Oikeus oikaista tietoja

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee häntä koskevat epätarkat ja virheelliset henkilötiedot. Rekisteröidyllä on myös oikeus saada puutteelliset henkilötiedot täydennettyä.

Kuinka nopeasti rekisteröidyn pyyntöön on vastattava?

Rekisterinpitäjän täytyy vastata rekisteröidylle ilman aiheetonta viivytystä, joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Vastauksessa rekisterinpitäjä kertoo toimenpiteistä, joihin se on pyynnön vuoksi ryhtynyt.

Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Tällöin määräaikaa voidaan jatkaa enintään kahdella kuukaudella. Määräajan jatkaminen on perusteltava.

Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, sen on ilmoitettava siitä rekisteröidylle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Kieltäytyminen on perusteltava. Rekisterinpitäjän on myös kerrottava rekisteröidylle mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja.

Voiko rekisteröidyltä periä maksun?

Oikeuden käyttäminen on lähtökohtaisesti maksutonta.

Jos rekisteröidyn oikaisupyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi joko periä kohtuullisen maksun tai kieltäytyä pyynnöstä.

Pyyntöjä voidaan pitää ilmeisen perusteettomina tai kohtuuttomina erityisesti, jos niitä esitetään toistuvasti. Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

Mahdollisen maksun määrittämisessä on otettava huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset.

Voiko pyynnöstä kieltäytyä?

Rekisterinpitäjän vastuulla on huolehtia siitä, että sen käsittelemät tiedot ovat täsmällisiä ja tarvittaessa päivitettyjä. Rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä.

Kun aloite tiedon oikaisemiseksi tulee rekisteröidyltä, rekisterinpitäjä arvioi, ovatko rekisteröidyn oikaistavaksi pyytämät tiedot henkilötietojen käsittelyn tarkoituksen kannalta puutteellisia, epätarkkoja tai virheellisiä.

Jos rekisterinpitäjä katsoo, että tiedot eivät rekisteröidyn esittämistä näkemyksistä huolimatta ole käsittelyn tarkoituksen kannalta epätarkkoja tai virheellisiä, ei tietoja tarvitse oikaista. Rekisterinpitäjän on tällöin annettava rekisteröidylle perusteltu vastaus siitä, miksi tietoja ei oikaista. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Jos rekisterinpitäjä ei pidä tietojen oikaisemista rekisteröidyn esittämään muotoon perusteltuna, on rekisteröidyllä huomioon ottaen tarkoitukset, joihin tietoja käsiteltiin, oikeus saada puutteelliset henkilötiedot täydennettyä muun muassa toimittamalla lisäselvitys.

Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi periä pyynnön toteuttamisesta kohtuullisen maksun tai kieltäytyä pyynnöstä.

Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, sen on ilmoitettava siitä rekisteröidylle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Kieltäytyminen on perusteltava. Rekisterinpitäjän on myös kerrottava rekisteröidylle mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja.

Ilmoita henkilötietojen oikaisemisesta

Rekisterinpitäjän on mahdollisuuksien mukaan ilmoitettava henkilötietojen oikaisemisesta jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.

Rekisteröidyn henkilöllisyyden vahvistaminen

Rekisterinpitäjän on pystyttävä vahvistamaan tietosuojaoikeuksiaan käyttävän rekisteröidyn henkilöllisyys. Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön esittäjän henkilöllisyyttä, se voi pyytää tätä toimittamaan lisätietoja henkilöllisyyden vahvistamiseksi.

Tietosuoja-asetus ei sisällä säännöksiä siitä, miten rekisteröidyn henkilöllisyys on vahvistettava. Sopivia menettelyjä on jo usein olemassa. Rekisterinpitäjä on voinut todentaa rekisteröidyn henkilöllisyyden esimerkiksi ennen sopimuksen tekemistä tai käsittelyä koskevan suostumuksen saamista. Silloin näitä henkilötietoja voidaan käyttää henkilöllisyyden vahvistamiseksi myös silloin, kun on kyse rekisteröidyn oikeuksien toteuttamisesta.

Jos rekisterinpitäjä pyytää lisätietoja henkilöllisyyden todentamista varten, se ei saa johtaa kohtuuttomiin vaatimuksiin ja sellaisten henkilötietojen keräämiseen, jotka eivät ole olennaisia tai tarpeellisia.

Jos rekisterinpitäjä ei pysty tunnistamaan rekisteröityä, sen on mahdollisuuksien mukaan ilmoitettava asiasta rekisteröidylle.

Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä siksi, ettei tätä pystytä tunnistamaan, rekisterinpitäjän täytyy osoittaa, ettei se pysty vahvistamaan rekisteröidyn henkilöllisyyttä.

Jos rekisteröityä ei voida tunnistaa, hän ei voi käyttää oikeuttaan

  • saada pääsy tietoihin
  • oikaista tietoja
  • poistaa tiedot
  • rajoittaa tietojen käsittelyä
  • siirtää tiedot järjestelmästä toiseen.

Rekisteröity voi kuitenkin toimittaa lisätietoja tunnistamista varten.

Milloin henkilöllisyyttä ei tarvitse vahvistaa?

Henkilötietoja saa säilyttää sellaisessa muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin käsittelyn tarkoitusta varten on tarpeen.

Jos rekisteröidyn tunnistamisen mahdollistavat henkilötiedot eivät ole tarpeellisia henkilötietojen käsittelyn tarkoituksen kannalta, tietosuoja-asetus ei velvoita rekisterinpitäjiä säilyttämään, hankkimaan tai käsittelemään tällaisia lisätietoja pelkästään tietosuoja-asetuksen noudattamiseksi.

Lue lisää:

Tietosuoja-asetus: artiklat 16 ja 19