Blogi

Mikä on oikeutettu etu GDPR:n mukaan?

Voitko asettaa evästeitä ja käsitellä verkkosivustosi vierailijoiden henkilötietoja ilman, että he suostuvat siihen? Tässä kaikki, mitä sinun pitää tietää oikeutetusta edusta 5 minuutissa.

Oikeutettu etu (eng. legitimate interest) on yksi GDPR:n hämmentävimpiä osia. Mutta, sen ymmärtäminen on tärkeää, jos hallinnoit yrityksen verkkosivustoa, tai teen töitä markkinointi- tai myyntiroolissa.

Yleinen Tietosuoja-asetus käsittelee ja suojaa EU-kansalaisten datan käsittelyä.
Sinulla on oltava oikeudellinen perusta, jos haluat käsitellä Eu-kansalaisten henkilötietoja.

Ja kyllä, joskus oikeutettu etu pätee, ja voit käsitellä dataa ilman suostumusta

Mutta voiko oikeutettua etua käyttää perustana evästeiden käytölle?

Käydään läpi mitä GDPR sanoo oikeutetusta edusta ja .

Oikeutettu etu - lyhyt versio

Oikeuttuun etuun  viittaaminen tietojen käsittelyssä on sallittua ainoastaan, kun se on välttämätöntä. Jos voit saavuttaa saman lopputuloksen ilman, että käsittelet henkilötietoja, ei henkilötietojen käsittely ole sallittua ilman suostumusta.

Myös silloin, kuin sinun mielestäsi henkilötietojen käsittely on välttämätöntä. Oikeuttua etua voi käyttää, kun sen välttämättömyydessä on otettu huomioon käyttäjiesi perusoikeudet.

Oikeutettua etua voidaan käyttää petosten torjuntaan, verkko- ja tietoturvaan, yleiseen turvallisuuteen kohdistuviin uhkiin tai palveluntarjoajan toiminnan kannalta välttämättömiin tietoihin.

Voiko oikeutettua etua käyttää perusteena evästeiden käytölle?

Suoramarkkinoinnin osalta evästeet, jotka keräävät ja käsittelevät verkkosivuston kävijöiden henkilötietoja (ensimmäisenä tai kolmantena osapuolena), eivät todennäköisesti kuulu oikeutetun edun piiriin.

Miksi? Evästeiden käyttäminen edellyttää suostumuksen keräämistä sähköisen viestinnän tietosuojadirektiivin ("evästelaki" ) nojalla ( "the Cookie Law" ) on ilman suostumusta lainvastaista yleisen tietosuoja-asetuksen nojalla.

Jos et ole saanut tarvittavaa suostumusta, et voi vedota sen sijaan oikeutettuun etuun

Jos haluat käyttää suostumusta laillisena perusteena henkilötietojen keräämiselle ja käsittelylle evästeiden avulla, Cookie Information voi auttaa sinua.

Jos et ole varma, onko verkkosivustosi GDPR:n mukainen, voit tehdä ilmaisen vaatimustenmukaisuustarkastuksen täältä!

Miten GDPR määrittelee oikeutetun edun?

<pYrityksenä tai organisaationa sinun on ehkä käsiteltävä henkilötietoja suorittaaksesi liiketoimintaasi liittyviä tehtäviä. Henkilötietojen käsittelyä tässä yhteydessä ei kuitenkaan voi välttämättä perustella oikeudellisella velvoitteella tai jotta yksityishenkilön kanssa tehdyn sopimuksen ehtojen täyttäminen onnistuu. Tällaisissa tapauksissa henkilötietojen käsittely voidaan perustella oikeutetulla edulla.

Mutta, GDPR:ssä on määritelty tiukat ehdot sille, milloin oikeutettua etua voi käyttää laillisena perustana henkilötietojen käsittelylle.

Yleisen tietosuoja-asetuksen mukaan internetin käyttäjien (tai yleensä ihmisten) henkilötietojen kerääminen ja käsittely edellyttää usein heidän suostumustaan. Voit kuitenkin käsitellä käyttäjien henkilötietoja myös ilman suostumuksen pyytämistä, jos voit vedota – todistaa ja dokumentoida – oikeutettuun syyhyn tehdä niin.

Aloitetaan katsomalla GDPR:n 6 artiklan 1. kohtaa. Se koskee henkilötietojen käsittelyn laillista perustetta.

  1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy::
    1. rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
    2. käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
    3. käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
    4. käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
    5. käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
    6. käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Ensimmäisen alakohdan f (6) alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

Useimpiin yritysten verkkosivustoihin, verkkosivustojen omistajiin ja ylläpitäjiin, markkinoijiin ja myyjiin, jotka pohtivat, onko heidän henkilötietojensa käsittely laillista, sovelletaan tyypillisesti vain alakohtia (a), (b) ja (f):

ART. 6 (A, B, F)

Tietojen käsittely (f) alakohdan “oikeutetut edut” nojalla edellyttää, että käsittely on välttämätöntä. Jos sama tavoite voitaisiin saavuttaa vaihtoehtoisella lähestymistavalla ilman henkilötietojen käsittelyä, käsittely ei ole laillista ilman suostumusta.

Vaikka käsittelyä pidettäisiinkin tarpeellisena ja oikeutettuna etuna, sitä on punnittava suhteessa internetin käyttäjien perusoikeuksiin ja -vapauksiin.

Jos haluat vedota oikeutettuun etuun, sinun on oltava valmis osoittamaan, mikä oikeuttaa oikeutetun etusi suhteessa internetin käyttäjien yleisiin etuihin.

Euroopan komission 29 artiklan mukaisen tietosuojatyöryhmän, joka on EC:n riippumaton neuvoa-antava elin, lähettämässä lausunnossa todetaan, että 6 artiklan (f) alakohdan mukaista oikeutettun etuun perustuvaa oikeutusta olisi vältettävä.

Tässä yhteydessä tietosuojatyöryhmä tukee myös asetusehdotuksessa valittua periaatteellista lähestymistapaa, joka perustuu laajoihin kieltoihin ja suppeisiin poikkeuksiin, ja uskoo, että olisi otettava käyttöön avoimia poikkeuksia yleisen tietosuoja-asetuksen 6 artiklan ja erityisesti sen 6 artiklan mukaisesti. yleisen tietosuoja-asetuksen 6 artiklan f kohdan (oikeutettu etu) mukaisia poikkeuksia olisi vältettävä.

Haluatko oppia lisää tietosuojasta ja siitä, miten saat verkkosivusi GDPR:n mukaiseksi? Osallistu yhteen vaatimustenmukaisuutta käsittelevistä webinaareistamme nyt!

Oikeutettu etu ja suoramarkkinointi

Voitko siis käyttää oikeutettua etua suoramarkkinoinnissa?

Johdanto-osa (47): “Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.”

Yleisen tietosuoja-asetuksen johdanto-osan 47 kappaleen viimeinen rivi voisi antaa verkkosivustojen omistajille ja markkinoijille vapaat kädet profiloida internetin käyttäjiä ja käsitellä kaikkia heidän tietojaan kysymättä. Näin ei kuitenkaan ole.

(47) Rekisterinpitäjän, myös sellaisen rekisterinpitäjän, jolle henkilötiedot voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen edellyttäen, että rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen.

Tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa.Oikeutetun edun olemassaoloa on joka tapauksessa arvioitava huolellisesti; on arvioitava muun muassa, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten.

Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä. Koska lainsäätäjän tehtävä on vahvistaa lailla käsittelyn oikeusperuste, jonka nojalla viranomaiset voivat käsitellä henkilötietoja, tätä käsittelyn oikeusperustetta ei olisi sovellettava viranomaisten tehtäviensä yhteydessä suorittamaan tietojenkäsittelyyn.

Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on myös asianomaisen rekisterinpitäjän oikeutetun edun mukaista. Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.

Johdanto-osan 47 kappaleessa on tärkeää huomata verbi “voi”, jolla luonnehditaan tilanteita, jotka voivat olla laillista tietojenkäsittelyä, mutta jotka eivät välttämättä tai automaattisesti oikeuta tietojenkäsittelyä.

Johdanto-osan kappaleessa annetaan esimerkki, jossa sinä (verkkosivuston omistaja ja rekisterinpitäjä) voit ehkä perustella asiakkaitasi koskevan tietojenkäsittelyn edellyttäen, että asiakkaasi “voi kohtuudella olettaa henkilötietojen käsittelyä, ja yhteyttä, jossa käsittelyä voidaansuorittaa kyseiseen tarkoitukseen”.

Johdanto-osan kappaleessa täsmennetään vielä, että asiakas ei kohtuudella odota näiden tietojen jatkokäsittelyä tulevaisuudessa.

Katsotaan esimerkkiä

Jos annat asiakkaalle mahdollisuuden kieltäytyä henkilötietojen (osoitteen) käsittelystä. Vaarana olisi, ettet voisi suorittaa liiketoimintatehtävääsi (pizzan toimittaminen).

Näin ollen johdanto-osan (47) viimeinen virke “Henkilötietojen käsittelyn suoramarkkinointitarkoituksiin voidaan katsoa tapahtuvan oikeutetun edun vuoksi” ei tarkoita sitä, että sinä – tai kolmannen osapuolen palvelusi – voisit oletusarvoisesti kerätä ja käsitellä tietoja profilointi- ja markkinointitarkoituksiin ilman suostumusta.

Sen sijaan sinun on noudatettava (a) alakohdassa esitettyjä vaatimuksia keräämällä suostumus, jos henkilötietojen käsittelijät (kolmannen osapuolen palvelut) aikovat käyttää keräämiäsi tietoja markkinointitarkoituksiin.

Voinko vedota evästeiden käyttöön perustuvan oikeutettuun etuun?

Ongelmana on se, että sähköisen viestinnän tietosuojadirektiivi valvoo evästeiden käyttöä, ja GDPR valvoo evästeiden käsittelemiä tietoja.

Hämmentävää, eikö? Kyllä, mutta pohjimmiltaan se tarkoittaa, että jos käytät evästeitä verkkosivustollasi, tarvitset käyttäjien suostumuksen. Näin ollen et voi myöhemmin vedota oikeutettuun etuun käsitellessäsi (tai antaessasi kolmansien osapuolten käsitellä) tietoja ilman suostumusta.

Toisin sanoen evästeiden käyttö verkkosivustollasi kuuluu suostumuksen laillisen perustan piiriin (artikla 6(a)).

Voimassa oleva suostumus on – yleisen tietosuoja-asetuksen johdanto-osan 32 kappaleen mukaisesti – “vapaaehtoinen, tietoinen, konkreettinen ja yksiselitteinen osoitus käyttäjän suostumuksesta henkilötietojen käsittelyyn”. “

Toisin sanoen käyttäjän on selkeästi annettava suostumuksensa.

Jos siis käytät verkkosivustollasi kolmannen osapuolen palveluja, jotka asettavat evästeitä verkkoprofilointia ja suoramarkkinointia varten, sinun ei kannata noudattaa johdanto-osan 47 kappaletta ja jättää suostumusten kerääminen väliin.

Johdanto-osan kappaleessa ei sallita suoramarkkinointia tai kolmannen osapuolen suorittamaa käsittelyä, jolla seurataan markkinointitarkoituksiin kävijöiden käyttäytymiseen perustuvia käyntejä sivustolla, sähköpostiviestien käyttöä, IP-osoitteita, maantieteellistä sijaintia, verkkotunnisteita jne. varten.

Johdanto-osan 70 kappaleessa hylätään mahdollisuus vedota oikeutettuun etuun henkilötietojen käsittelyssä markkinointitarkoituksiin.

Johdanto-osan 70 kappaleen mukaan internetin käyttäjällä on oikeus vastustaa henkilötietojen käsittelyä, myös suoramarkkinointiin käytettävää profilointia.

Olettaen, että haluat käyttää kolmannen osapuolen palveluja, jotka keräävät ja käsittelevät henkilötietoja markkinointitarkoituksiin. Tällöin tarvitset vapaaehtoisen suostumuksen (ks. johdanto-osan 32 kappale), ellet pysty osoittamaan ja dokumentoimaan todellista oikeutettua etua.

(70) Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä olisi oltava oikeus milloin tahansa ja maksutta vastustaa käsittelyä, mukaan lukien profilointia niiltä osin kuin se liittyy suoramarkkinointiin, olipa kyse sitten alkuperäisestä tai myöhemmästä käsittelystä.

Tämä oikeus olisi nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.

Muista myös, että evästeiden käyttö edellyttää suostumuksen keräämistä (sähköisen viestinnän tietosuojadirektiivi). Näin ollen henkilötietojen käsittely (sekä ensimmäisten että kolmansien osapuolten toimesta) on GDPR:n mukaan lainvastaista ilman voimassa olevaa suostumusta.

Oikeutettu etu tiivistettynä

Oletetaan, että haluat kerätä ja käsitellä verkkosivuston kävijöiden henkilötietoja ja käyttää niitä suoramarkkinointiin ja/tai jakaa näitä tietoja kolmansien osapuolten palveluille, jotka käyttävät niitä verkossa tapahtuvaan käyttäytymisen profilointiin. Sinun on päätettävä, kuuluuko tietojen kerääminen ja käsittely yrityksesi oikeutetun edun piiriin vai edellyttääkö se käyttäjän suostumusta.
Ensimmäinen tapauksessa sinun on todistettava ja dokumentoitava oikeutettu etu.

Jos väität, että kyseessä on oikeutettu etu, se edellyttää sinulta suunnittelua ja strategista ajattelua. Ennen kuin käsittelet tietoja oikeutetun edun perusteella, on tärkeää, että noudatat useita vaiheita.

Jos et pysty osoittamaan oikeutettua etua, sinun on saatava käyttäjältä pätevä suostumus.

Suostumusta koskevat vaatimukset on kuvattu Johdanto-osan 32 kappaleessa (suostumuksen on oltava “selkeä, myönteinen ja vapaasti annettu” eli käyttäjän täsmällisesti antama).

Oikeutetun edun käyttäminen evästeisiin ei ole mahdollista (ainoastaan ehdottoman välttämättömien evästeiden osalta – ei Google Analytics).

Pelkkä käyttäjille tiedottaminen siitä, että sivusto käyttää evästeitä, ei riitä edes melkein. Käyttäjille on annettava mahdollisuus kieltäytyä evästeiden ja mainosteknologiayritysten seurannasta, ja sinun on tallennettava kävijöiden suostumukset, jos tietosuojaviranomaiset tarkastavat sinut.

On välttämätöntä, että suhtaudumme GDPR:ään vakavasti. Se määrittelee, miten me yrityksinä voimme kerätä ja käsitellä kävijöidemme ja asiakkaidemme henkilötietoja ja silti kunnioittaa heidän oikeuttaan yksityisyyteen verkossa.

Oletko epävarma siitä, onko sinulla oikeutettu etu kerätä ja käsitellä henkilötietoja, pitäydytkö 6 Artiklan (a) alakohdassa ja hankitko suostumuksen On helppoa hankkia ammattimainen ratkaisu, joka kerää ja tallentaa GDPR:n mukaisen pätevän suostumuksen. Mikä parasta, sinun ei tarvitse huolehtia tietojenkäsittelyn laillisuudesta, jos käyttäjä on antanut suostumuksensa.

Varaa tapaaminen

Haluatko tietää lisää oikeutetusta edusta tai siitä, voitko tai etkö voi vedota oikeutettuun etuun evästeitä käyttäessäsi?

Varaa lyhyt tapaaminen asiantuntijamme kanssa.

Viitteet

Facebook
Twitter
LinkedIn
Email

Paras suostumuksenhallinta-alusta yrityksille ja brändeille

250 000 verkkosivustoa luottaa jo meihin GDPR-vaatimustenmukaisuutensa varmistamiseksi