EU:n tietosuoja-asetus ja rekisteröidyn oikeudet

Tiedätkö, millaisia uusia oikeuksia ja valinnanmahdollisuuksia asiakkaillanne, jäsenillänne, potentiaalisilla asiakkaillanne ja henkilöstöllänne on jatkossa omien tietojensa osalta? Tässä kirjoituksessa listaan 13 oikeutta, jotka rekisteröidyillä tulee olemaan keväästä 2018 alkaen.

EU:n tietosuoja-asetus GDPR astuu velvoittavana voimaan 25.5.2018. Sen jälkeen myös suomalaisten yritysten, järjestöjen ja viranomaisten eli rekisterinpitäjien on tarjottava henkilörekistereissään käsiteltäville rekisteröidyille entistä runsaammin päätäntävaltaa omiin tietoihinsa.

Tietosuojalainsäädännön tavoitteena on lisätä yleistä tietoisuutta henkilötietojen käsittelystä ja antaa rekisteröidyille aiempaa enemmän mahdollisuuksia vaikuttaa omien tietojensa prosessointiin. Loppukeväästä 2018 alkaen rekisterinpitäjien on huolehdittava, että rekisteröidyillä on käytössään seuraavassa listatut oikeudet.

Onko teidän organisaatiossanne jo työn alla prosessit seuraavien oikeuksien toteuttamiseksi?

1. Oikeus saada informaatiota henkilötietojen keräämisestä ja käsittelystä

Rekisterinpitäjällä on velvollisuus toimittaa rekisteröidyille tietoja henkilötietojen käsittelystä. Asetuksen 13. artiklassa säädetään 12:sta eri toimitettavasta tietotyypistä, kun henkilötietoja kerätään rekisteröidyltä itseltään, eli kun henkilö esimerkiksi itse ryhtyy yrityksen asiakkaaksi.

2. Oikeus saada pääsy tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä artiklan sisältämän 8-kohtaisen luettelon lisätiedot.

3. Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin, rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

4. Oikeus tietojen poistamiseen eli oikeus tulla unohdetuksi

Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että jokin artiklassa luetelluista kuudesta perusteesta täyttyy.

Poistamisoikeutta ei kuitenkaan sovelleta, jos käsittely on tarpeen mm. yleistä etua koskevan tehtävän suorittamista varten.

5. Oikeus käsittelyn rajoittamiseen

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi asetuksessa luetellusta neljästä perusteesta, kuten jos rekisteröity kiistää henkilötietojen paikkansapitävyyden.

Jos käsittelyä on rajoitettu, näitä henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan mm. rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tahi toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi.

6. Oikeus saada rekisterinpitäjä ilmoittamaan oikaisusta, poistosta ja käsittelyn rajoittamisesta tietojen vastaanottajille

Rekisterinpitäjän on ilmoitettava kaikenlaisista henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.

7. Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.

Kun rekisteröity käyttää oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.

8. Vastustamisoikeus

Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu tiettyihin 6 artiklan alakohtiin, kuten profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.

9. Oikeus olla joutumatta automatisoitujen päätösten kohteeksi

Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Olennaista on, tuottaako rekisterinpitäjä omassa toiminnassaan sellaisia automatisoituja päätöksiä, joilla olisi edellä kuvattuja vaikutuksia rekisteröidylle.

Edellä olevaa ei sovelleta, jos päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai perustuu rekisteröidyn nimenomaiseen suostumukseen.

10. Oikeus saada tieto rekisterinpitäjään kohdistuneesta tietoturvaloukkauksesta

Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

11. Oikeus tehdä valitus valvontaviranomaiselle

Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

12. Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää vastaan

Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien oikeus tehdä valitus valvontaviranomaiselle.

13. Oikeus saada korvaus aiheutuneista vahingoista

Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

Suomenkielinen kooste tietosuoja-asetuksesta löytyy osoitteesta https://www.privacy-regulation.eu/fi/index.htm Rekisteröidyn uudistuviin oikeuksiin pureudutaan syvemmin marraskuussa järjestämäni tietosuojaseminaarisarjan toisessa osassa.

Seminaarin kumppanina toimii Suomen Asiakastieto. Lisätiedot ja liput: https://tietosuojaseminaari.fi

Elina Koivumäki

Kirjoittaja on tietosuoja-asioihin erikoistunut lakimies, yrittäjä, tietokirjailija, kouluttaja ja juontaja.

Lexperience Oy