Kysymys: Tarvitseeko henkilötietojen käsittelijä rekisteröidyltä suostumuksen vahvistusviestin lähettämiseen rekisterinpitäjän puolesta?

Hei ja kiitos, että käännyitte puoleemme kysymyksenne kanssa.

Henkilötietojen käsittely

Henkilötietojen käsittelylle tulee olla oikeudellinen peruste

GDPR:n mukaan henkilötietoja saa käsitellä ainoastaan, jos käsittelylle on oikeudellinen peruste. Suostumus on yksi näistä perusteista, mutta tapauksessanne se ei välttämättä ole tarpeellinen. GDPR:n mukainen, mahdollisesti sopivampi oikeusperuste voisi olla sopimus, jonka terveydenhuoltoyksikkö tekee potilaan kanssa terveydenhuollon palveluista. Terveydenhuoltoyksikön ja potilaan välisestä sopimuksesta tulisi tällöin ilmetä, että terveydenhuollon palveluntarjoaja käyttää kolmatta osapuolta henkilötietojen käsittelijänä.

Henkilötietojen käsittelyyn toisen puolesta tarvitaan tietojenkäsittelysopimus

Koska terveydenhuollon palveluntarjoaja käyttää henkilötietojen käsittelijänä kolmatta osapuolta, toimii terveydenhuollon palveluntarjoaja rekisterinpitäjänä ja kolmas osapuoli henkilötietojen käsittelijänä. Tällaisissa tilanteissa edellytetään, että rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla henkilötietojen käsittelysopimus. Tietojenkäsittelysopimuksella selvennetään henkilötietojen käsittelyn vastuiden ja velvollisuuksien jakautumista rekisterinpitäjän ja henkilötietojen käsittelijän välillä sekä sitä, miten henkilötietoja tulee käsitellä.

Yhteenveto

Jos henkilötietojen käsittely olisi järjestelty edellä esitetyllä tavalla, pelkkä sopimus terveydenhuollon palveluista voisi yksinään olla riittävä oikeudellinen peruste tekstiviestivahvistuksen lähettämiselle. Kolmannen osapuolen ei tarvitsisi pyytää potilaalta suostumusta peruutuksen yhteydessä, koska henkilötietojen käsittely perustuu sopimukseen potilaan kanssa.

Tarvitsetteko lisää apua?

Toivottavasti vastauksesta oli teille hyötyä. Voitte ottaa meihin yhteyttä, jos tarvitsette lisää apua!