Raportti omien henkilötietojen tarkastusoikeutta koskevasta selvityksestä on julkaistu – täydensimme ohjeistusta verkkosivuillamme

Euroopan tietosuojaneuvosto on julkaissut raportin EU:n laajuisesta toimenpiteestä, jossa tietosuojaviranomaiset selvittivät, miten henkilön oikeus saada tutustua itseään koskeviin tietoihin toteutuu organisaatioissa. Selvitykseen saatiin vastaukset yhteensä 1 185 eri kokoiselta organisaatiolta. Raportissa kuvataan selvityksessä tunnistettuja kehityskohteita ja annetaan suosituksia siihen, mitä organisaatioiden tulisi huomioida tarkastusoikeuden toteuttamisessa.

Raportissa annetaan suosituksia tarkastusoikeuden toteuttamisen haasteisiin

EU-maiden tietosuojaviranomaiset selvittivät vuoden 2024 aikana, miten organisaatiot eri toimialoilla toteuttavat ihmisten pyynnöt saada tutustua heistä kerättyihin henkilötietoihin. Selvitykseen osallistui yhteensä 30 tietosuojan valvontaviranomaista.

Raportissa pureudutaan tarkemmin seitsemään havaittuun haasteeseen. Niihin kuuluvat muun muassa puutteet organisaation sisäisessä dokumentaatiossa, tarkastusoikeuden rajoittaminen virheellisin perustein ja esteet, joita henkilö voi kohdata, kun hän haluaa käyttää oikeuttaan. Tietosuojaneuvosto antaa raportissa suosituksia kutakin haastetta varten.

Tulosten perusteella kaksi kolmasosaa tietosuojaviranomaisista arvioi, että organisaatiot toteuttavat henkilötietojen tarkastusoikeuden keskitasoisesti tai hyvin. Monet organisaatiot ovat esimerkiksi ottaneet käyttöön verkkopalveluja, joiden kautta henkilö voi tehdä pyynnön helposti tai ladata tiedot itselleen. Tulokset osoittavat, että suuremmilla organisaatioilla on paremmat edellytykset pyyntöjen toteuttamiseen kuin pienillä toimijoilla.

Suomessa organisaatiot tuntevat velvollisuutensa, haasteena vanhentuneet käytännöt

Suomessa tietosuojavaltuutetun toimisto selvitti tilannetta kyselyllä, joka lähetettiin viidelletoista organisaatiolle yksityisellä ja julkisella sektorilla. Selvitys kohdistui muun muassa kaupunkeihin ja hyvinvointialueisiin sekä yrityksiin useilla eri toimialoilla.

”Kyselyyn vastanneiden organisaatioiden tietoisuus tarkastusoikeutta koskevista velvollisuuksista on yleisesti ottaen hyvä. Useimmilla organisaatioilla on myös toimivat prosessit pyyntöjen käsittelyyn”, apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa toteaa.

Haasteita havaittiin muun muassa kuviin, videoihin ja äänitallenteisiin liittyvien henkilötietojen toimittamisessa. Lisäksi osalla organisaatioista oli puutteita tietoja pyytäneen henkilön tunnistamiskäytännöissä, ja henkilöllisyyden vahvistamiseksi saatettiin vaatia tarpeettomia henkilötietoja. Kaikki organisaatiot eivät myöskään olleet määritelleet pyyntöjen säilytysaikoja. Säilytysajat on määriteltävä kaikille henkilötiedoille, myös pyynnöille ja niihin liittyvälle viestinvaihdolle.

Joissakin organisaatioissa oli käytössä tietosuoja-asetuksen vastaisia tai vanhan henkilötietolain aikaisia käytäntöjä. Pyynnöt saatettiin esimerkiksi jättää kokonaan tutkimatta, jos niitä ei tehty ensisijaisen yhteydenottokanavan kautta, tai pyynnön tekemiseksi saatettiin vaatia tietyn lomakkeen käyttämistä. Joissakin organisaatioissa tietojen tarkastuspyynnön sai esittää vain kerran vuodessa maksutta. Vuoden aikarajaa ei enää nykyisessä lainsäädännössä ole, vaan kohtuulliset väliajat maksuttomille pyynnöille on määritettävä tapauskohtaisesti.

Täydensimme ohjeistusta tietojen tarkastuspyyntöjen toteuttamisesta

Verkkosivuillamme tarjotaan organisaatoille ohjausta tarkastusoikeuden toteuttamiseksi tietosuojalainsäädännön vaatimusten mukaisesti. Olemme täydentäneet ohjeistusta selvityksessä esiin nousseiden havaintojen perusteella.

Tietoa annetaan muun muassa siitä, missä muodossa henkilötiedot tulee antaa, kuinka kauan pyynnöt tulee säilyttää ja mitä on otettava huomioon tiedot pyytäneen henkilön tunnistamisessa. Selvennämme myös kuinka toimia, kun annettavissa tiedoissa on myös toisen henkilön tietoja, tai jos joku toinen tekee pyynnön henkilön puolesta.

Tutustu organisaatioille annettuun ohjeistukseen verkkosivuillamme: Oikeus saada tutustua tietoihin

Lisätietoja:

​​​​​​​Tietosuojaneuvoston raportti ja liite kansallisista tuloksista neuvoston verkkosivuilla (englanniksi)

Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla: CEF 2024: EDPB identifies challenges to the full implementation of the right of access (20.1.2025)

Tiedote 28.2.2024: Tietosuojavaltuutetun toimisto selvittää tarkastusoikeuden toteutumista osana Euroopan laajuista toimenpidettä

Tietosuojaneuvoston ohje: Oikeus tutustua tietoihin (pdf, tietosuojaneuvoston verkkosivuilla)

Tarkastusoikeus eli oikeus saada tutustua omiin tietoihin on yksi yleisimmin käytetyistä tietosuojaoikeuksista. Sen ansiosta henkilö voi tarkistaa, mitä tietoja organisaatio hänestä käsittelee ja onko käsittely tietosuojavaatimusten mukaista. Tarkastusoikeus mahdollistaa muiden tietosuojaoikeuksien käytön, kuten oikeuden tietojen oikaisuun tai poistamiseen.

Euroopan tietosuojaneuvosto (EDPB) on riippumaton EU:n elin, joka koostuu EU:n kansallisista tietosuojaviranomaisista ja Euroopan tietosuojavaltuutetun edustajista. Myös ETA-maat Islanti, Norja ja Liechtenstein ovat tietosuojaneuvoston jäseniä. Euroopan tietosuojaneuvosto vastaa EU:n yleisen tietosuoja-asetuksen sekä poliisi- ja rikosoikeusviranomaisia koskevan tietosuojadirektiivin yhdenmukaisesta soveltamisesta. Yhteisillä koordinoiduilla toimenpiteillä toteutetaan tietosuojaneuvoston tavoitetta valvonnan yhdenmukaistamiseksi ja tiivistetään EU-maiden valvontaviranomaisten yhteistyötä. Kyseessä oli kolmas koordinoitu toimenpide.