TIETOSUOJAOPAS 15 5.3 Käsittelyn lainmukaisuus Henkilötietojen käsittelylle ja henkilörekisterin pitämiselle on aina oltava asetuksessa säädetty käsittelyn oikeusperuste. Käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy: • Rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten • Käsittely on tarpeen sopimuksen täytäntöön panemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä • Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi • Käsittely on tarpeen rekisteröidyn tai toisen yksityishenkilön elintärkeiden etujen suojaamiseksi • Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi • Kyse on oikeutetusta edusta. Oikeutettu etu käsittelyn oikeusperustana Tällöin käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, elleivät tietosuojan edellyttämät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäytä tällaista oikeutettua etua, erityisesti silloin, kun rekisteröity on lapsi. Tällöin tehdään intressipunninta eri osapuolten välillä. 5.2 Osoitusvelvollisuus Rekisterinpitäjä vastaa osoitusvelvollisuuden toteuttamisesta. Osoitusvelvollisuudesta käytetään englanninkielistä termiä accountability. Sen mukaan rekisterinpitäjän on pystyttävä jälkikäteen osoittamaan, että tietosuoja-asetuksen mukaisia henkilötietojen käsittelyä koskevia periaatteita on noudatettu käytännössä. Tämä edellyttää henkilötietojen käsittelyyn liittyvien prosessien sekä tieto-suojaperiaatteiden käytännön toteuttamisen dokumentointia sekä teknisiä ja organisatorisia toimenpiteitä. Yrityksen on rekisterinpitäjänä pystyttävä näyttämään, että henkilötietojen käsittelyä koskevia periaatteita noudatetaan. Tietosuojaa koskevilta toimilta edellytetään ennakoitavuutta, mikä voidaan toteuttaa suunnittelemalla, varautumalla ja kyvykkyydellä osoittaa toteutetut toimenpiteet. Yrityksen käytännön toimintaa auttavat selkeästi etukäteen määritellyt vastuut ja toimintatavat sekä menetelmät siitä, miten henkilötietoja käsitellään. Yrityksen tulee pystyä jälkikäteen osoittamaan, että lainsäädännön vaatimukset ja riskit on otettu sen toiminnassa asianmukaisesti huomioon. Dokumentointi on olennainen osa tätä.
RkJQdWJsaXNoZXIy Mjk0MTY=