Oikeus vastustaa tietojen käsittelyä

Rekisteröidyllä on tietyissä tilanteissa oikeus vastustaa henkilötietojensa käsittelyä eli pyytää, että niitä ei käsiteltäisi ollenkaan.

Kun tietoja käsitellään yleistä etua koskevan tehtävän suorittamiseksi, rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi tai rekisterinpitäjän tai kolmannen osapuolten oikeutettujen etujen toteuttamiseksi, rekisteröity voi vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella.

Tällöin tietojen käsittely on lopetettava, paitsi jos

  • rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet, tai
  • käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Kun tietoja käsitellään suoramarkkinointia varten, rekisteröity voi vastustaa käsittelyä ilman eri perusteluja. Vastustamisen jälkeen tietoja ei saa enää käsitellä suoramarkkinoinnin tarkoituksiin.

Kun tietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, rekisteröity voi vastustaa käsittelyä henkilökohtaiseen tilanteeseensa liittyvällä perusteella. Tällöin tietojen käsittely on lopetettava. Vastustamisoikeutta ei kuitenkaan ole, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

Rekisteröidylle on selkeästi kerrottava vastustamisoikeudesta. Tieto on esitettävä muusta tiedotuksesta erillään.

Tietoyhteiskunnan palveluissa rekisteröidyn on voitava käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen.

Kuinka nopeasti rekisteröidyn pyyntöön on reagoitava?

Vastustamisoikeus on toteutettava viipymättä.

Rekisterinpitäjän täytyy vastata rekisteröidylle ilman aiheetonta viivytystä, joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Vastauksessa rekisterinpitäjä kertoo toimenpiteistä, joihin se on pyynnön vuoksi ryhtynyt. Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Tällöin määräaikaa voidaan jatkaa enintään kahdella kuukaudella. Määräajan jatkaminen on perusteltava.

Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, sen on ilmoitettava siitä rekisteröidylle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Kieltäytyminen on perusteltava. Rekisterinpitäjän on myös kerrottava rekisteröidylle tämän mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja.

Voiko rekisteröidyltä periä maksun?

Oikeuden käyttäminen on lähtökohtaisesti maksutonta.

Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi periä pyynnön toteuttamisesta kohtuullisen maksun tai kieltäytyä pyynnöstä.

Pyyntöjä voidaan pitää ilmeisen perusteettomina tai kohtuuttomina erityisesti, jos niitä esitetään toistuvasti. Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

Mahdollisen maksun määrittämisessä on otettava huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset.

Voiko pyynnöstä kieltäytyä?

Jos vastustamisoikeutta käytetään suoramarkkinointia varten tapahtuvaan käsittelyyn, ei oikeuden toteuttamisesta voi kieltäytyä. Rekisterinpitäjälle ei jää harkinnanvaraa pyynnön toteuttamisessa, sillä vastustamista ei tarvitse perustella. Jos oikeutta ei pyynnöstä huolimatta toteuteta, rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Muissa yllä kuvatuissa tilanteissa rekisterinpitäjä arvioi, voidaanko oikeus toteuttaa. Jos rekisterinpitäjä katsoo, että edellytykset eivät täyty, se voi kieltäytyä pyynnöstä. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi periä pyynnön toteuttamisesta kohtuullisen maksun tai kieltäytyä pyynnöstä. Rekisterinpitäjän on osoitettava pyynnön perusteettomuus ja kohtuuttomuus.

Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, sen on ilmoitettava siitä rekisteröidylle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Kieltäytyminen on perusteltava. Rekisterinpitäjän on myös kerrottava rekisteröidylle mahdollisuudesta tehdä valitus tietosuojavaltuutetulle sekä käyttää muita oikeussuojakeinoja.

Oikeudesta vastustaa tietojen käsittelyä voi lisäksi tietyin edellytyksin poiketa tieteellisen tai historiallisen tutkimuksen tai tilastoinnin yhteydessä.

Lue lisää rekisteröidyn oikeuksista poikkeamisesta

Rekisteröidyn henkilöllisyyden vahvistaminen

Rekisterinpitäjän on pystyttävä vahvistamaan tietosuojaoikeuksiaan käyttävän rekisteröidyn henkilöllisyys. Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön esittäjän henkilöllisyyttä, se voi pyytää tätä toimittamaan lisätietoja henkilöllisyyden vahvistamiseksi.

Tietosuoja-asetus ei sisällä säännöksiä siitä, miten rekisteröidyn henkilöllisyys on vahvistettava. Sopivia menettelyjä on jo usein olemassa. Rekisterinpitäjä on voinut todentaa rekisteröidyn henkilöllisyyden esimerkiksi ennen sopimuksen tekemistä tai käsittelyä koskevan suostumuksen saamista. Silloin näitä henkilötietoja voidaan käyttää henkilöllisyyden vahvistamiseksi myös silloin, kun on kyse rekisteröidyn oikeuksien toteuttamisesta.

Jos rekisterinpitäjä pyytää lisätietoja henkilöllisyyden todentamista varten, se ei saa johtaa kohtuuttomiin vaatimuksiin ja sellaisten henkilötietojen keräämiseen, jotka eivät ole olennaisia tai tarpeellisia.

Jos rekisterinpitäjä ei pysty tunnistamaan rekisteröityä, sen on mahdollisuuksien mukaan ilmoitettava asiasta rekisteröidylle.

Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä siksi, ettei tätä pystytä tunnistamaan, rekisterinpitäjän täytyy osoittaa, ettei se pysty vahvistamaan rekisteröidyn henkilöllisyyttä.

Jos rekisteröityä ei voida tunnistaa, hän ei voi käyttää oikeuttaan

  • saada pääsy tietoihin
  • oikaista tietoja
  • poistaa tiedot
  • rajoittaa tietojen käsittelyä
  • siirtää tiedot järjestelmästä toiseen.

Rekisteröity voi kuitenkin toimittaa lisätietoja tunnistamista varten.

Milloin henkilöllisyyttä ei tarvitse vahvistaa?

Henkilötietoja saa säilyttää sellaisessa muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin käsittelyn tarkoitusta varten on tarpeen.

Jos rekisteröidyn tunnistamisen mahdollistavat henkilötiedot eivät ole tarpeellisia henkilötietojen käsittelyn tarkoituksen kannalta, tietosuoja-asetus ei velvoita rekisterinpitäjiä säilyttämään, hankkimaan tai käsittelemään tällaisia lisätietoja pelkästään tietosuoja-asetuksen noudattamiseksi.

Lue lisää:
Tietosuoja-asetus: artiklat 12 ja 21 (EUR-Lexin verkkosivuilla)