Oikeus poistaa tiedot
Rekisteröidyllä on tietyissä tilanteissa oikeus saada rekisterinpitäjä poistamaan itseään koskevat tiedot ilman aiheetonta viivytystä. Oikeus tunnetaan myös nimellä oikeus tulla unohdetuksi.
Rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, jos
- henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä käsiteltiin
- rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelylle ole muuta laillista perustetta
- rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinoinnin tarkoituksiin tai muuten käyttää vastustamisoikeuttaan, eikä käsittelylle ole perusteltua syytä
- henkilötietoja on käsitelty lainvastaisesti
- henkilötiedot on poistettava rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
- lapsen henkilötiedot on kerätty tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.
Oikeutta tietojen poistamiseen ei ole, jos niiden käsittely on tarpeen
- sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi
- lakisääteisen velvoitteen noudattamiseksi
- yleistä etua koskevan tehtävän vuoksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten
- kansanterveyteen liittyvää yleistä etua koskevista syistä
- yleisen edun mukaista arkistointia, tieteellistä tai historiallista tutkimusta tai ti-lastollisia tarkoituksia varten, jos tietojen poistaminen todennäköisesti estää toiminnan tai vaikeuttaa sitä suuresti
- oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Kuinka nopeasti rekisteröidyn pyyntöön on vastattava?
Rekisterinpitäjän täytyy vastata rekisteröidylle ilman aiheetonta viivytystä, joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Vastauksessa rekisterinpitäjä kertoo toimenpiteistä, joihin se on pyynnön vuoksi ryhtynyt.
Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Tällöin määräaikaa voidaan jatkaa enintään kahdella kuukaudella. Määräajan jatkaminen on perusteltava.
Voiko rekisteröidyltä periä maksun?
Oikeuden käyttäminen on lähtökohtaisesti maksutonta. Jos poistopyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi joko periä rekisteröidyltä kohtuullisen maksun tai kieltäytyä pyynnöstä.
Pyyntöjä voidaan pitää ilmeisen perusteettomina tai kohtuuttomina erityisesti, jos niitä esitetään toistuvasti. Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.
Mahdollisen maksun määrittämisessä on otettava huomioon hallinnolliset kustannukset, jotka aiheutuvat tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta.
Voiko pyynnöstä kieltäytyä?
Rekisterinpitäjä arvioi, täyttyvätkö edellytykset tietojen poistamiselle. Jos rekisterinpitäjä katsoo, että oikeutta saada tiedot poistetuksi ei ole, se voi kieltäytyä pyynnöstä. Rekisteröity voi halutessaan saattaa asian tietosuojavaltuutetun käsiteltäväksi.
Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi periä pyynnön toteuttamisesta kohtuullisen maksun tai kieltäytyä pyynnöstä.
Jos rekisterinpitäjä kieltäytyy pyynnöstä, sen on ilmoitettava siitä rekisteröidylle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Kieltäytyminen on perusteltava. Rekisteröidylle on myös kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja.
Ilmoita henkilötietojen poistamisesta tahoille, joille on luovutettu tietoja
Rekisterinpitäjän on mahdollisuuksien mukaan ilmoitettava henkilötietojen poistamisesta kaikille niille tahoille, jolle se on luovuttanut näitä tietoja. Rekisterinpitäjän on ilmoitettava rekisteröidylle tietojen vastaanottajat, jos hän sitä pyytää.
Jos rekisterinpitäjä on julkistanut henkilötiedot ja se on velvollinen poistamaan tiedot rekisteröidyn pyynnöstä, sen on tehtävä kohtuulliset toimenpiteet ilmoittaakseen muille henkilötietoja käsitteleville tahoille, että henkilö on pyytänyt näitä poistamaan henkilötietoihin liittyvät linkit tai tietojen jäljennökset tai kopiot. Kohtuullisiin toimenpiteisiin kuuluvat muun muassa tekniset toimenpiteet. Velvollisuuden arvioinnissa huomioidaan käytettävissä oleva teknologia ja toimenpiteiden kustannukset.
Rekisteröidyn henkilöllisyyden vahvistaminen
Rekisterinpitäjän on pystyttävä vahvistamaan tietosuojaoikeuksiaan käyttävän rekisteröidyn henkilöllisyys. Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön esittäjän henkilöllisyyttä, se voi pyytää tätä toimittamaan lisätietoja henkilöllisyyden vahvistamiseksi.
Tietosuoja-asetus ei sisällä säännöksiä siitä, miten rekisteröidyn henkilöllisyys on vahvistettava. Henkilöllisyyden vahvistamisessa on noudatettava tietojen minimoinnin periaatetta, eikä sitä varten pidä kerätä enempää tietoja kuin rekisterinpitäjällä on jo hallussaan.
Jos rekisterinpitäjä ei pysty tunnistamaan rekisteröityä, sen on mahdollisuuksien mukaan ilmoitettava asiasta tälle. Jos rekisterinpitäjä kieltäytyy pyynnöstä siksi, ettei rekisteröityä pystytä tunnistamaan, rekisterinpitäjän täytyy osoittaa, ettei se pysty vahvistamaan henkilöllisyyttä.
Jos rekisteröityä ei voida tunnistaa, hän ei voi käyttää oikeuttaan
- saada tutustua tietoihinsa
- oikaista tietoja
- poistaa tiedot
- rajoittaa tietojen käsittelyä
- siirtää tiedot järjestelmästä toiseen.
Milloin henkilöllisyyttä ei tarvitse vahvistaa?
Henkilötietoja saa säilyttää sellaisessa muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin se on tarpeen käsittelyn tarkoitusta varten.
Jos rekisteröidyn tunnistamisen mahdollistavat henkilötiedot eivät ole tarpeellisia henkilötietojen käsittelyn tarkoituksen kannalta, tietosuoja-asetus ei velvoita rekisterinpitäjiä säilyttämään, hankkimaan tai käsittelemään tällaisia lisätietoja pelkästään tietosuoja-asetuksen noudattamiseksi.
Sopivia menettelyjä henkilöllisyyden vahvistamiseksi on jo usein olemassa organisaatiossa. Rekisterinpitäjä on voinut todentaa rekisteröidyn henkilöllisyyden esimerkiksi ennen sopimuksen tekemistä tai suostumuksen pyytämistä henkilötietojen käsittelyyn. Silloin henkilöllisyys voidaan vahvistaa vertaamalla pyynnön tehneen henkilön tietoja rekisterinpitäjän jo hallussa oleviin tietoihin rekisteröidystä. Lisätietojen pyytäminen ei saa johtaa epäolennaisten tai tarpeettomien henkilötietojen keräämiseen.
Rekisterinpitäjällä on velvollisuus helpottaa rekisteröidyn oikeuksien käyttämistä. Henkilöllisyyden vahvistaminen ei saa johtaa oikeuksien käytön vaikeutumiseen. Rekisterinpitäjä ei esimerkiksi lähtökohtaisesti voi vaatia pyynnön tekemistä paikan päällä toimipisteessään. Siksi myös henkilöllisyystodistuksen käyttämistä henkilöllisyyden todentamisessa on harkittava tarkkaan. Ensisijaisesti henkilöllisyys tulisi vahvistaa muulla tavalla.
Henkilöllisyyden vahvistamisen tavoissa on otettava huomioon myös ihmisten erilaiset tilanteet: esimerkiksi ikäihmisten tai haavoittuvassa asemassa olevien henkilöiden mahdollisuudet asioida organisaation toimipisteessä tai käyttää sähköisiä järjestelmiä voivat olla rajalliset. Myös lapsilla on oikeus saada tutustua itseään koskeviin tietoihin, mutta heillä ei välttämättä ole välineitä sähköiseen tunnistautumiseen. Rekisterinpitäjän tulee siis arvioida, miten se kykenee ottamaan erilaiset ihmiset huomioon ja toteuttamaan heidän oikeutensa mahdollisimman kattavasti.
Hyviä käytäntöjä henkilötietojen poisto-oikeuden toteuttamisessa
Euroopan tietosuojaneuvosto on laatinut suosituksia ja hyviä käytäntöjä poisto-oikeuden toteuttamiseksi.
Ota käyttöön sisäiset menettelyt, joissa määritellään pyynnöille selkeät käsittelyvaiheet ja määräajat, ja pidä ne ajan tasalla.
Luo organisaatiossa toimiva vastuunjako poistopyyntöjen käsittelyyn ja dokumentointiin.
Kartoita henkilötiedot ja niiden säilytyspaikat organisaatiosi järjestelmissä käsittelytoimia koskevan selosteen avulla. Näin voit luoda selkeän yleiskuvan siitä, mitkä tiedot tulee pyydettäessä poistaa ja missä nämä tiedot sijaitsevat.
Etenkin suurempien organisaatioiden voi olla hyödyllistä hakea sertifiointeja, joilla voidaan osoittaa maailmanlaajuisesti vahvistettujen ISO-standardien vaatimusten täyttäminen. Näitä ovat esimerkiksi ISO/IEC 27001 -standardi, joka sisältää suosituksia organisaation tietoturvallisuuden hallintaan, riskeihin ja kontrollointiin, ja ISO 9001 -standardi, joka sisältää vaatimukset organisaation laadunhallintajärjestelmän rakentamiseen ja kehittämiseen. Standardit voivat olla hyvä lähde organisaation sisäiselle lisäohjeistukselle ja sisäisten prosessien parantamiselle, vaikkei organisaatio hakisikaan sertifiointia.
Harkitse lisäksi, voitaisiinko organisaatiossasi laatia käytännesäännöt, joissa määritellään vakiintuneet menettelyt poisto-oikeuden tehokkaaksi toteuttamiseksi. Lue lisää käytännesäännöistä
Varmista, että organisaatiosi henkilöstölle järjestetään asianmukainen perehdytys ja välineet poistopyyntöjen käsittelyyn. Prosessien on oltava tietosuoja-asetuksen mukaiset.
Perehdytyksen päätteeksi voi harkita testin järjestämistä, jolla varmistetaan, että henkilöstö on omaksunut toimintatavat. Hyvä käytäntö on myös järjestää poistopyynnön käsittelystä käytännönläheinen harjoitus tai simulaatio.
Voit mahdollisuuksien mukaan myös laatia henkilöstön käyttöön mallipohjia erityyppisiin poistopyyntöihin vastaamiseksi.
Arvioi organisaatiosi tietosuojaselosteen tai selosteiden sisältö ja täydennä niihin tarvittaessa tietoa henkilötietojen poisto-oikeudesta. Varmista, että tietoa poisto-oikeuden käyttämistä annetaan rekisteröidyille selkeässä ja helposti ymmärrettävässä muodossa.
Silloin kun poisto-oikeutta ei ole mahdollista toteuttaa täysimääräisesti, selosteisiin on hyvä sisällyttää kuvaus siitä, mihin tietoihin poisto-oikeus soveltuu.
Tarjoa rekisteröidylle mahdollisuus tehdä ensin tarkastuspyyntö tietoihinsa, jotta hän voi varmistaa, mitkä henkilötiedot poistetaan.
Kerro rekisteröidyille myös tietojen poistamisen seurauksista (esim. vaikutukset palvelujen käyttöön tai markkinointikieltoon).
Erittele kaikki henkilötietojen säilytysajat organisaatiossasi. Voit hyödyntää esimerkiksi taulukkoa, joka sisältää käsiteltävät henkilötiedot, käsittelyn oikeusperusteet sekä säilytysajat.
Dokumentoi käsittelytoimia koskevassa selosteessa henkilötietojen säilytysajat ja käsittelyperusteet. Kuvaa myös ne lakisääteiset velvoitteet, joihin säilytysajat perustuvat (esim. kirjanpitolain, työaikalain ja rahanpesun vastaisen sääntelyn vaatimukset tietojen säilyttämisestä).
Ylläpidä ja päivitä selostetta käsittelytoimista myös säilytysaikojen osalta.
Edistä organisaatiosi toiminnan läpinäkyvyyttä kuvaamalla myös tietosuojaselosteessa henkilötietojen säilytysajat tai jos se ei ole mahdollista, kriteerit säilytysaikojen määrittelyyn.
Anonymisointi tarkoittaa henkilötietojen käsittelyä niin, ettei henkilöä enää voida tunnistaa niistä suoraan tai epäsuorasti (esimerkiksi tietojen karkeistaminen yleiselle tasolle tai tilastolliseen muotoon). Anonymisointia voidaan käyttää poisto-oikeuden toteuttamisen keinona. Tehokkaasti anonymisoidut tiedot eivät ole enää henkilötietoja.
Rekisterinpitäjän on keskeistä varmistaa, että anonymisointi toteutetaan teknisesti tehokkaalla tavalla niin, ettei henkilö ole tosiasiallisesti enää tunnistettavissa tiedoista. Tunnistamisen täytyy estyä peruuttamattomasti niin, että myöskään muiden tahojen ei ole enää mahdollista yhdistää tietoja henkilöön.
Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä niin, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Pseudonymisoidut tiedot voivat yhä olla henkilötietoja, jolloin niiden käsittelyssä on noudatettava tietosuojasääntelyä. Sitä, ovatko tiedot edelleen henkilötietoja, on aina arvioitava kunkin tietoja käsittelevän organisaation näkökulmasta. Pseudonymisointi ei lähtökohtaisesti ole keino henkilötietojen poisto-oikeuden toteuttamiseen.
Varmista, että organisaatiosi compliance- tai lakiosastot osallistuvat menettelyihin ja päätöksentekoon niissä tilanteissa, joissa tietojen poistamisesta kieltäydytään tai poistopyynnön toteuttamista lykätään.
Hyödynnä näissä tilanteissa teknisiä ja organisatorisia toimia, kuten henkilötietojen anonymisointia, salausta tai pääsyn rajoittamista tietoihin.
Noudata vakiintuneita teknisiä standardeja, jotta tietojen poistaminen ja hävittäminen tehdään turvallisesti ja jäsennellysti.
Varmistu henkilötietojen poistamisesta ja hävittämisestä niin, että pystyt myös osoittamaan sen jälkeenpäin.
Tietojen poistamisen vaikutusta varmuuskopioihin voidaan rajoittaa esimerkiksi korvaamalla poistettavat tiedot satunnaisista merkeistä koostuvilla merkkijonoilla.
Myönteisiä kokemuksia on saatu ohjelmistoista, jotka poimivat automaattisesti kaikki tietyn rekisteröidyn henkilötiedot rekisterinpitäjän sisäisistä järjestelmistä ja siirtävät ne sellaisiin varmuuskopioihin, joihin työntekijöillä ei ole pääsyä. Tällöin tulisi kuitenkin varmistua siitä, että henkilötiedot joko poistetaan tai anonymisoidaan kokonaan jälkeenpäin, jottei niitä voi enää yhdistää henkilöön.