Johdanto

Henkilötietodirektiivi sisältää henkilötietojen käsittelyä EU:ssa koskevat yleiset säädökset. Direktiivin säädökset on otettu käyttöön EU- ja ETA-maiden kansallisissa lainsäädännöissä, ja ne on toimeenpantu kussakin jäsenvaltiossa.

Koska Questbackin asiakkaat määrittelevät kyselyiden, paneeleiden ja yhteisöjen tarkoituksen ja käytön, heitä pidetään direktiivin mukaisina "tiedon valvojina", ja he ovat siten vastuussa tietojen käsittelystä direktiivin mukaisesti.

Tämän selvityksen tarkoituksena on antaa kuvaus direktiivin tiedon valvojille asettamista yleisistä velvollisuuksista. Selvitys ei ole tyhjentävä luettelo asiakkaan velvoitteista tiedon valvojana, eikä se kata mitään kuhunkin kansalliseen lainsäädäntöön erikseen sisältyviä elementtejä.

Määritelmät

Määritelmillä tarkoitetaan tässä ohjeessa samaa kuin direktiivissä:

Rekisteröity: kaikki tunnistetut tai tunnistettavissa olevat luonnolliset henkilöt. Tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilötunnuksen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Tällaisia henkilöitä ovat käytännössä osallistujat, panelistit ja yhteisöjen jäsenet.

Henkilötiedot: kaikenlaiset rekisteröityä koskevat tiedot

Henkilötietojen käsittely: kaikenlaiset sellaiset toiminnot tai toimintojen kokonaisuudet, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai tuomalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä estäminen, poistaminen tai tuhoaminen. Käsittely voi tapahtua vain määritellyn tarkoituksen mukaisesti.

Tiedon valvoja: luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu toimielin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Asiakkaan käynnistämissä tai sen puolesta käynnistetyissä kyselyissä direktiivin mukainen tiedon valvoja on asiakas.

Henkilötietojen käsittelijä: luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu toimielin, joka käsittelee henkilötietoja tiedon valvojan puolesta. Koska Questbackin ohjelmistoja ja tallennustiloja voidaan käyttää henkilötietojen tallentamiseen, Questback on asiakkaalle henkilötietojen käsittelijä silloin, kun asiakas käyttää Questbackin ohjelmistoja henkilötietojen käsittelyyn.

Rekisteröijien suostumus

Henkilötietojen käsittely on direktiivin mukaan sallittua ainoastaan silloin, kun jokin tietyistä luetelluista vaatimuksista täyttyy. Tiedon valvojan on saatava rekisteröidyn suostumus ennen minkäänlaista henkilötietojen käsittelyä. Suostumukselle asetetut vaatimukset on kuvattu alla.

Kun tällainen suostumus on saatu, henkilötietoja voidaan käsitellä direktiivin säädösten mukaisesti. Näitä säädöksiä ei luetella tässä katsauksessa.

Tiedon valvojan on saatava rekisteröidyn suostumus ennen minkäänlaista henkilötietojen käsittelyä. Suostumukselle asetetut vaatimukset on selitetty yksityiskohtaisesti alla:

Suostumuksen on oltava

  • Vapaaehtoinen: suostumus on annettava vapaasti, eikä sitä voida antaa minkäänlaisen painostuksen tai aiheettoman suostuttelun nojalla. Rekisteröidyllä on lisäksi oikeus peruuttaa antamansa suostumus milloin tahansa.
  • Nimenomainen: nimenomaan rekisteröidyn on annettava suostumus. Tämä tarkoittaa sitä, että rekisteröidyn on aktiivisesti ja ehdottomasti hyväksyttävä se, että henkilötietoja käsitellään.
  • Riittäviin tietoihin perustuva: suostumus on saatava sen jälkeen, kun rekisteröidylle on annettu alla yksilöidyt tiedot.
  • Yksiselitteinen: annetun suostumuksen on selkeästi koskettava informaatiossa kuvattuja ehtoja ja tietoja, jotta mitään epäilystä ei jää siitä, mitä tietoja suostumus koskee.

Informaation tulee

  • Olla annettu viimeistään tietojen keräämishetkellä: kyselyillä kerättävien tietojen osalta tämä tarkoittaa sitä, että informaatio tulee antaa kyselyn alussa, ennen kuin mitään tietoja annetaan.
  • Jos henkilötieto on sähköpostiosoite tai puhelinnumero, joka on jo kerätty ennen kyselyn aloittamista, informaatio on tullut antaa jo keräämishetkellä, ja se on annettava uudelleen viimeistään kyselyn alussa.
  • Sisältää sen, mitä tietoja käsitellään: kyselyiden, yhteisöjen ja paneeleiden tarkoituksen toteuttamiseksi kerättyä tietoa on useimmiten rekisteröidyn itsensä toimittama tieto. Mikäli muita tietoja kerätään, tällaisten tietojen luonne ja keräämisen lähde on dokumentoitava.
  • Sisältää tietojen valvojan ja sen edustajan tunnistetiedot: tunnistetietoihin kuuluvat virallinen nimi ja osoite. Rekisteröidylle on lisäksi kerrottava henkilötietojen käsittelijästä eli Questbackistä.
  • Sisältää tietojen käsittelyn tarkoitus: yksi käsittelyn peruselementeistä on direktiivin mukaisesti se, ettei tietojen valvoja saa käyttää henkilötietoja mihinkään muihin kuin suostumuksen nimenomaisesti kattamiin tarkoituksiin. Tästä syystä on tärkeää, että henkilötietojen käsittelyn syistä annetaan riittävän yksityiskohtainen selostus. Tarkoituksen on oltava tarkoin määrätty, nimenomainen ja perusteltu.
  • On tärkeää huomata, ettei kuvatun tarkoituksen ylittävä käyttö ole direktiivin nojalla sallittua. Mikäli tietoja käsitellään uudessa tai yksilöidystä tarkoituksesta poikkeavassa tarkoituksessa, vaaditaan rekisteröidyltä uusi suostumus. Jos tietojen valvoja aikoo säilyttää tietoja kyselyn päättymisen jälkeen, tämän on sisällyttävä kuvattuun tarkoitukseen.
  • Sisältää maininnan siitä, paljastetaanko tiedot kolmansille osapuolille, sekä tällaisten kolmansien osapuolien identeteetit: tiedot henkilötietojen käsittelijästä kuuluvat tämän määräyksen alaan.
  • Sisältää tieto siitä, että tietojen antaminen on vapaaehtoista: kaikki tietojen antaminen on vapaaehtoista, mikä on ilmaistava rekisteröidyille annettavassa informaatiossa selkeästi.
  • Sisältää muut tiedot, joiden avulla rekisteröidyt voivat käyttää oikeuksiaan: rekisteröidyllä on oltava oikeus saada tieto siitä, mitä häntä koskevia tietoja on kerätty, ja tietyissä tapauksissa myös oikeus korjata ja poistaa henkilötietoja. Tietojen valvojan on annettava tiedot kaikista mahdollisista keinoista näiden oikeuksien käyttömahdollisuuden varmistamiseksi. Tietojen valvojan on annettava nämä tiedot ottaen huomioon kunkin kyselyn/paneelin/yhteisön olosuhteet.
  • Informaatioon suositellaan sisällytettävän maininnat siitä, että tiedot poistetaan, kun tietojen käsittelyn tarkoitus on täyttynyt, sekä maininta siitä, että tietojen valvoja korjaa virheelliset tiedot tarvittaessa.
  • Sisältää informaatiota tietojen siirrosta: rekisteröidylle on kerrottava, että tietoja siirretään. Questback ei säilytä mitään tietoja EU:n/ETA:n ulkopuolelle, ellei asiakas sopimuksella ole sitä vaatinut.