Kuinka toteuttaa alumnirekisteri – Tunne Työ 2.0
Tunne Työ 2.0 -hankkeessa on useaan otteeseen noussut esille halukkuus koota alumnirekisteri. Tämä on herättänyt kysymyksiä ja epävarmuutta rekisterin laillisuudesta ja käytännön toteutuksesta.
Selvitimme asian Tietosuojavaltuutetun toimiston kautta https://tietosuoja.fi/etusivu
Henkilötietorekisterin kuten alumnirekisterin voi kerätä, jos siihen on henkilöiden suostumus.
Alle huomioitavia asioita. Lähde https://tietosuoja.fi/rekisteroidyn-suostumus
Rekisteröidyn suostumus
Suostumus on yksi mahdollinen oikeusperuste henkilötietojen käsittelylle. Suostumus antaa rekisteröidylle mahdollisuuden valvoa henkilötietojensa käsittelyä ja vaikuttaa henkilötietojen käsittelyyn peruuttamalla suostumuksen.
Suostumuksen edellytykset
Jotta suostumus on pätevä, sen on oltava
· yksilöity
· tietoinen
· aidosti vapaaehtoinen ja
· yksiselitteinen tahdonilmaisu.
Rekisteröity voi antaa suostumuksen ennalta määriteltyyn, nimenomaiseen ja lailliseen tarkoitukseen. Jos henkilötietojen käsittelyn tarkoitus muuttuu, sinun on pyydettävä uusi suostumus ennen käsittelyn aloittamista.
Suostumuksen yksilöinti
Kun pyydät suostumusta, sinun on yksilöitävä käyttötarkoitus, johon tietoja kerätään. Jos käsittelet henkilötietoja useaan eri tarkoitukseen, rekisteröidyn on voitava valita, mihin käyttötarkoituksiin hän haluaa antaa suostumuksensa. Eri käyttötarkoituksia varten on pyydettävä erilliset suostumukset. Uutta käyttötarkoitusta varten on lähtökohtaisesti pyydettävä aina uusi suostumus.
Suostumuksen vapaaehtoisuus
Suostumus ei ole aidosti vapaaehtoinen, jos rekisteröity on heikommassa asemassa suhteessa rekisterinpitäjään. Rekisteröity voi olla heikommassa asemassa esimerkiksi silloin, jos olet rekisteröidyn työnantaja tai viranomainen.
Suostumuksen antamisesta on oltava mahdollisuus kieltäytyä, ja se on voitava peruuttaa ilman haitallisia seurauksia. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen.
Osoitusvelvollisuus ja tietosuojaperiaatteiden huomioiminen
Sinun on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn, ja että annettu suostumus täyttää sille laissa säädetyt edellytykset.
Suostumus ei koskaan syrjäytä tietosuojaperiaatteita. Et voi esimerkiksi kerätä tietoja laajemmin kuin käyttötarkoituksen kannalta on tarpeen tai poiketa henkilötietojen suojaamisvelvoitteista.
Suostumuksen pyytäminen
Suostumus on yksiselitteinen ja selkeä tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. Rekisteröity ei voi antaa suostumustaan vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jotakin tekemättä.
Jos pyydät suostumusta sähköisesti, pyynnön on oltava selkeä ja tiivis, eikä se saa tarpeettomasti häiritä palvelun käyttöä. Esimerkiksi ruudun rastittaminen verkkosivustolla on tarpeeksi yksiselitteinen ja selkeä tahdonilmaisu.
Kerro suostumuksesta selkeästi ja erillään muusta tiedosta. Älä sido tai upota suostumusta käyttö- ja sopimusehtoihin niin, ettei rekisteröidyllä ole todellista mahdollisuutta vaikuttaa suostumuksen antamiseen.
Jos pyydät suostumusta esimerkiksi palvelun käyttöehtojen yhteydessä, pyyntö on esitettävä
· selvästi erillään muista asioista
· selkeällä ja yksinkertaisella kielellä
· helposti ymmärrettävässä muodossa.
Mitä rekisteröidylle on kerrottava suostumusta pyytäessä?
Kun pyydät rekisteröidyn suostumusta henkilötietojen käsittelylle, sinun on ilmoitettava vähintään
· rekisterinpitäjä tai rekisterinpitäjät (yhteisrekisterinpitäjyys) ja muut mahdolliset tahot, joille tietoja luovutetaan
· kaikki erilliset käyttötarkoitukset, joita varten suostumus on pyydetty
· mitä tietoja rekisteröidyltä kerätään
· rekisteröidyn oikeus peruuttaa suostumus
· tietojen käyttäminen automatisoitujen yksittäispäätösten tekemiseen ja profilointiin
· riskit tietojen siirrosta EU:n ulkopuolisiin maihin, kun maan osalta ei ole tehty päätöstä tietosuojan tason riittävyyden osalta ja asianmukaisia suojatoimia ei ole toteutettu.
Rekisterinpitäjän lukuun henkilötietoja käsitteleviä käsittelijöitä ei tarvitse yksilöidä osana suostumuksen pyytämistä. Suostumuksen pyytämisen yhteydessä on kuitenkin huomioitava myös yleisempi informointivelvollisuus ja se, mitä tietoja on toimitettava, kun henkilötietoja kerätään rekisteröidyltä. Yleinen informointivelvoite edellyttää vastaanottajien yksilöintiä (mukaan lukien rekisterinpitäjän lukuun toimivat henkilötietojen käsittelijät).
Suostumuksen peruuttaminen
Ennen kuin rekisteröity antaa suostumuksen, rekisterinpitäjän on kerrottava
· oikeudesta peruuttaa suostumus
· kuinka peruuttaminen käytännössä tehdään.
Suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen. Suostumuksen voi peruuttaa milloin tahansa ilmaiseksi.
Suostumuksen peruuttamisen jälkeen sinun on lopetettava henkilötietojen käsittely niiltä osin kuin käsittely on perustunut suostumukseen. Informoi rekisteröityä kaikista käsittelyperusteista, jotta hän tietää, miten suostumuksen peruuttaminen vaikuttaa henkilötietojen käsittelyyn.
Poista suostumuksen perusteella käsiteltävät tiedot peruuttamisen jälkeen, jollei tietojen säilyttämiselle ole muuta lainmukaista perustetta. Kun henkilötietojen käsittely on päättynyt, säilytä todisteet suostumuksen olemassaolosta vain niin kauan kuin on tarpeen oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
