Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle.

Tiedot on oikeus saada siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.

Oikeutta sovelletaan

  • ainoastaan henkilötietojen automaattiseen käsittelyyn
  • kun henkilötiedot koskevat rekisteröityä ja ovat hänen toimittamiaan
  • kun henkilötietojen käsittely perustuu suostumukseen tai sopimukseen
  • kun tietojen siirto ei vaikuta haitallisesti kolmansien osapuolten oikeuksiin ja vapauksiin.

Oikeus ei kata sellaisia tietoja, jotka rekisterinpitäjä on itse luonut rekisteröidyn toimittamien tietojen pohjalta (esim. terveyttä koskevat arviot) tai jotka on koostettu rekisteröidyn tarkkailusta muodostuneiden tietojen analysoinnista (kuten profilointi).

Tätä oikeutta ei myöskään ole silloin, kun tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietojen sisältämien henkilötietojen käsittely arkistointitarkoituksessa on yleiseen etuun ja rekisteröidyn oikeuksiin nähden tarpeen ja oikeasuhtaista, ja oikeus todennäköisesti estäisi erityisten tarkoitusten saavuttamisen tai vaikeuttaisi sitä suuresti.

Huomioi myös rekisteröidyn muut oikeudet

Rekisterinpitäjän on otettava huomioon myös muut rekisteröidyn oikeudet. Rekisterinpitäjän on kiinnitettävä erityistä huomiota informointiin: rekisteröidylle on avoimesti kerrottava oikeudesta siirtää tiedot ja siitä, mitä oikeus tarkoittaa tämän rekisterinpitäjän kohdalla.

Kun rekisteröity käyttää oikeuttaan siirtää tietoja järjestelmästä toiseen, se ei rajoita minkään muun tietosuoja-asetuksessa annetun oikeuden käyttöä. Rekisteröity voi edelleen käyttää rekisterinpitäjän palvelua ja hyötyä siitä myös tietojen siirron jälkeen. Tietojen siirtäminen järjestelmästä toiseen ei automaattisesti käynnistä tietojen poistamista rekisterinpitäjän järjestelmistä eikä vaikuta alkuperäiseen säilytysaikaan. Rekisteröity voi käyttää oikeuksiaan niin kauan kuin rekisterinpitäjä käsittelee tietoja.

Oikeus siirtää tiedot järjestelmästä toiseen ei saa myöskään vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

Kun rekisteröity pyytää tietojen siirtoa

Rekisterinpitäjän on tunnistettava rekisteröity siksi rekisteröidyksi, jonka tietoja siirtopyyntö koskee. Rekisterinpitäjä on voinut todentaa rekisteröidyn henkilöllisyyden esimerkiksi ennen sopimuksen tekemistä tai käsittelyä koskevan suostumuksen saamista. Silloin näitä henkilötietoja voidaan käyttää henkilöllisyyden vahvistamiseksi myös silloin, kun on kyse rekisteröidyn oikeuksien toteuttamisesta.  Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön esittäjän henkilöllisyyttä, se voi pyytää tätä toimittamaan lisätietoja henkilöllisyyden vahvistamiseksi.

Rekisterinpitäjän täytyy vastata rekisteröidylle ilman aiheetonta viivytystä, joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Vastauksessa rekisterinpitäjä kertoo toimenpiteistä, joihin se on pyynnön vuoksi ryhtynyt.

Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Tällöin määräaikaa voidaan jatkaa enintään kahdella kuukaudella. Määräajan jatkaminen on perusteltava.

Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, sen on ilmoitettava siitä rekisteröidylle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Kieltäytyminen on perusteltava. Rekisterinpitäjän on myös kerrottava rekisteröidylle mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja.

Miten tietoja vastaanottavan rekisterinpitäjän on reagoitava?

Vastaanottavan rekisterinpitäjän vastuulla on varmistaa, että järjestelmästä toiseen siirrettävät tiedot ovat tarpeellisia uutta tietojenkäsittelyä ajatellen. Vastaanottavalla rekisterinpitäjällä ei ole oikeutta käsitellä käsittelyn tarkoituksen kannalta tarpeettomia henkilötietoja, vaikka niitä mahdollisesti tulisikin siirron yhteydessä. Jos tiedot eivät ole uuden käsittelyn tarkoituksen kannalta olennaisia, niitä ei pitäisi säilyttää eikä käsitellä.

Vastaanottavasta organisaatiosta tulee siirrettävien henkilötietojen uusi rekisterinpitäjä. Rekisterinpitäjän on noudatettava tietosuoja-asetuksessa vahvistettuja periaatteita ja velvoitteita. Siksi vastaanottavan rekisterinpitäjän on selvästi ja suoraan ilmoitettava uuden käsittelyn tarkoitus ennen kuin siirtävälle rekisterinpitäjälle esitetään tietojen siirtämistä koskeva pyyntö. Rekisterinpitäjän on sovellettava tietosuojaperiaatteita, joita ovat lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, eheys ja luottamuksellisuus, säilytyksen rajoittaminen ja osoitusvelvollisuus.

Missä muodossa tiedot siirretään järjestelmästä toiseen?

Henkilötiedot on siirrettävä jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Tämä ei kuitenkaan tarkoita, että rekisterinpitäjien olisi ylläpidettävä yhteensopivia järjestelmiä. Rekisterinpitäjien on myös toimitettava tietojen mukana mahdollisimman paljon metatietoja, jotka ovat mahdollisimman täsmällisiä ja tarkkoja, jotta vaihdettujen tietojen tarkka merkitys säilyy.

Tietosuoja-asetuksessa ei anneta erityisiä suosituksia annettavien henkilötietojen muodosta, koska sopivin muoto vaihtelee eri aloilla ja tiedosta riippuen. Eri alojen sidosryhmiä ja ammattijärjestöjä kannustetaan tekemään yhteistyötä ja laatimaan yhteentoimivat standardit, jotta oikeutta koskevat vaatimukset voidaan täyttää.

Voiko pyynnöstä kieltäytyä?

Rekisterinpitäjä arvioi, voidaanko oikeus toteuttaa. Jos rekisterinpitäjä katsoo, että oikeutta ei voida toteuttaa, se voi kieltäytyä pyynnöstä. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Rekisterinpitäjä voi kieltäytyä toteuttamasta oikeutta, jos sen toteuttaminen vaikuttaisi haitallisesti muiden oikeuksiin ja vapauksiin.

Rekisterinpitäjä voi kieltäytyä pyynnöstä myös, jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia. Vaihtoehtoisesti rekisterinpitäjä voi tällöin periä pyynnön toteuttamisesta kohtuullisen maksun.

Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, sen on ilmoitettava siitä rekisteröidylle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Kieltäytyminen on perusteltava. Rekisterinpitäjän on myös kerrottava rekisteröidylle mahdollisuudesta tehdä valitus tietosuojavaltuutetulle sekä käyttää muita oikeussuojakeinoja.

Lue lisää:

Tietosuoja-asetus: artiklat 12 ja 20