Villy Lindfelt, juristi
villy.lindfelt@lakius.fi
044 2358 211
Varaa maksuton alkukartoitus >
Rekisteröidyn oikeudet
Tietosuojalainsäädännön lähtökohta on, että henkilöllä (rekisteröidyllä) on laaja päätäntävalta itseään koskevien henkilötietojen osalta. Lainsäädäntö sisältääkin melko yksityiskohtaiset säännökset niistä oikeuksista, joita ihmisillä on omia henkilötietojaan koskien. Henkilötietoa on kaikki tieto, joka voidaan liittää tunnistettuun tai tunnistettavissa olevaan henkilöön, kuten nimi, sähköpostiosoite ja passikuva. Rekisterinpitäjä on se, joka määrää henkilötietojen käsittelyn tarkoitukset. Yritys käsittelee rekisterinpitäjänä esimerkiksi työntekijöitä ja asiakkaita koskevia henkilötietoja. Niinpä rekisterinpitäjä, kuten yritys, on se, jolla on velvollisuus täyttää rekisteröidyn oikeudet.
Tässä kirjoituksessa käsitellään pääpiirteittäin rekisteröidyn keskeiset oikeudet sekä se, miten rekisteröidyn oikeudet tulee täyttää.
1. Rekisteröidyn oikeudet
1. Rekisteröidyn oikeus läpinäkyvään informointiin
Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä. Rekisterinpitäjän on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tällä tarkoitetaan yleensä tietosuojaselostetta, sen saatavilla pitämistä ja aktiivista toimittamista rekisteröidyille erityisesti siinä tilanteessa, kun henkilö antaa itseään koskevia tietoja. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa.
Rekisteröidyn oikeuksista tulee myös informoida rekisteröityä tietosuojaselosteessa.
2. Rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä. Lisäksi rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei rekisteröity toisin pyydä.
Jos henkilötietoja käsitellään, rekisteröidyllä on oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot (tyypillisesti sisältyvät tietosuojaselosteeseen):
käsittelyn tarkoitukset;
kyseessä olevat henkilötietoryhmät;
vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa;
mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;
rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;
oikeus tehdä valitus valvontaviranomaiselle;
jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot;
automaattisen päätöksenteon, muun muassa profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.
Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, rekisteröidyllä on oikeus saada ilmoitus siirtoa koskevista asianmukaisista suojatoimista.
3. Rekisteröidyn oikeus tietojen oikaisemiseen ja poistamiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.
Rekisteröidyllä on myös oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä. Rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, jos:
henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
käsittely perustui suostumukseen ja rekisteröity peruuttaa suostumuksen, eikä käsittelyyn ole muuta laillista perustetta;
rekisteröity vastustaa käsittelyä eikä käsittelyyn ole olemassa perusteltua syytä;
henkilötietoja on käsitelty lainvastaisesti;
henkilötiedot on poistettava unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi; tai
henkilötiedot on kerätty siinä yhteydessä, kun tietoyhteiskunnan palveluja tarjotaan lapselle.
Velvollisuutta poistaa henkilötietoja ei kuitenkaan ole, jos käsittely on tarpeen:
sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi;
rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten;
kansanterveyteen liittyvää yleistä etua koskevista syistä;
yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, jos poistamisoikeus todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti; tai
oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.
4. Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:
rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;
käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai
rekisteröity on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.
Jos käsittelyä on rajoitettu, näitä henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.
Jos rekisteröity on saanut käsittelyn rajoitetuksi, rekisterinpitäjän on tehtävä rekisteröidylle ilmoitus, ennen kuin käsittelyä koskeva rajoitus poistetaan.
Rekisterinpitäjän on ilmoitettava kaikenlaisista henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.
5. Oikeus siirtää tiedot järjestelmästä toiseen
Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos:
käsittely perustuu suostumukseen tai sopimukseen; ja
käsittely suoritetaan automaattisesti.
Kun rekisteröity käyttää oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista. Oikeus tietojen siirtämiseen ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.
6. Oikeus vastustaa käsittelyä, automaattista päätöksentekoa ja profilointia
Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu yleistä etua koskevan tehtävän suorittamiseen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttöön sekä rekisterinpitäjän tai kolmannen oikeutetun edun toteuttamiseen. Rekisterinpitäjä ei saa enää tällöin käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Suoramarkkinoinnissa rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.
Viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, rekisteröidyn oikeus vastustaa käsittelyä on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.
Jos henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, rekisteröidyllä on oikeus henkilökohtaiseen tilanteeseensa liittyvällä perusteella vastustaa häntä itseään koskevien henkilötietojen käsittelyä, paitsi jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.
Rekisteröidyllä on myös oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Tästä poikkeuksena tilanteet, joissa päätös
on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten;
on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tai
perustuu rekisteröidyn nimenomaiseen suostumukseen.
Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös. Päätökset eivät saa lähtökohtaisesti perustua erityisiin henkilötietoryhmiin.
2. Rekisteröidyn oikeuksien täyttäminen
Pyyntöihin vastattava määräajan puitteissa
Rekisterinpitäjän tulee täyttää henkilön tieto- tai muiden oikeuksien käyttöpyynnöt ja toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty rekisteröidyn oikeuksien nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa 1 kuukauden kuluessa pyynnön vastaanottamisesta. Pyyntöihin tulee aina vastata itse toimenpiteiden suorittamisen lisäksi. Määräaikaa voidaan tarvittaessa jatkaa enintään 2 kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt.
Jos pyyntö esitetään sähköisesti, tiedot toimitettava sähköisesti
Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, ellei rekisteröity toisin pyytää.
Rekisteröidylle vastattava myös, jos pyyntöä ei täytetä
Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja. Rekisteröidyn pyynnön perusteella toimitetut tiedot ja rekisterinpitäjän toimet rekisteröidyn oikeuksien toteuttamiseksi ovat lähtökohtaisesti maksuttomia.
Rekisteröidyn tunnistaminen
EU:n yleisessä tietosuoja-asetuksessa (GDPR) ei ole säännöksiä siitä, miten rekisteröidyn henkilöllisyys on todennettava. Liiallisia vaatimuksia henkilöllisyyden tunnistamiseen tai rekisteröidyn oikeuksien käyttämiseen liittyen, kuten vaatimus lomakkeen tulostamiseen, täyttämiseen ja allekirjoittamiseen, tulisi välttää. Rekisteröidyn oikeuksia käyttöä ei saisi tarpeettomasti vaikeuttaa. Vaikka kohtuulliset keinot tulisi käyttää sen varmistamiseksi, että henkilötietoja ei luovuteta ulkopuolisille, tulisi kuitenkin välttää tarpeettomasti uusien henkilötietojen keräämistä (esim. allekirjoitus) rekisteröidyn oikeuksien toteuttamisen nojalla.
Tietopyyntörekisterin ylläpitäminen
Jotta rekisterinpitäjä kykenee jälkikäteen osoittamaan täyttäneensä tietopyynnöt (osoitusvelvollisuus), tulisi toimenpiteistä pitää suppeasisältöistä rekisteriä (tietojen minimointivelvollisuus).
Lue lisää, miten voimme auttaa tietosuojaan liittyvissä asioissa.
Katso myös palvelupakettimme tietosuojadokumentaation laadintaan.