Oikeus rajoittaa tietojen käsittelyä
Rekisteröity voi pyytää rekisterinpitäjää rajoittamaan häntä koskevien henkilötietojen käsittelyä.
Käsittelyn rajoittaminen tarkoittaa, että rajoituksen alaisia henkilötietoja saa säilyttämisen lisäksi käsitellä vain
- rekisteröidyn suostumuksella
- oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
- toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai
- tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.
Oikeus on olemassa seuraavissa tilanteissa:
- Rekisteröity kiistää henkilötietojen paikkansapitävyyden. Tällöin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden.
- Käsittely on lainvastaista, mutta rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista.
- Rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
- Rekisteröity on vastustanut henkilötietojen käsittelyä muuhun kuin suoramarkkinointitarkoitukseen, ja odotetaan sen todentamista, syrjäyttävätkö rekisterinpitäjän edut rekisteröidyn edut.
Jos käsittelyä on rajoitettu, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kuin käsittelyä koskeva rajoitus poistetaan.
Käsittelyä voidaan rajoittaa esimerkiksi siirtämällä valitut tiedot toiseen käsittelyjärjestelmään, estämällä käyttäjien pääsy tietoihin tai poistamalla julkaistut tiedot verkkosivustolta.
Kuinka nopeasti rekisteröidyn pyyntöön on vastattava?
Rekisterinpitäjän täytyy vastata rekisteröidylle ilman aiheetonta viivytystä, joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Vastauksessa rekisterinpitäjä kertoo toimenpiteistä, joihin se on pyynnön vuoksi ryhtynyt.
Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Tällöin määräaikaa voidaan jatkaa enintään kahdella kuukaudella. Määräajan jatkaminen on perusteltava.
Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, sen on ilmoitettava siitä rekisteröidylle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Kieltäytyminen on perusteltava. Rekisterinpitäjän on myös kerrottava rekisteröidylle mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja.
Voiko rekisteröidyltä periä maksun?
Oikeuden käyttäminen on lähtökohtaisesti maksutonta.
Jos rajoittamispyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi joko periä rekisteröidyltä kohtuullisen maksun tai kieltäytyä pyynnöstä.
Pyyntöjä voidaan pitää ilmeisen perusteettomina tai kohtuuttomina erityisesti, jos niitä esitetään toistuvasti. Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.
Mahdollisen maksun määrittämisessä on otettava huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset.
Voiko pyynnöstä kieltäytyä?
Rekisterinpitäjä arvioi, täyttyvätkö edellytykset rajoittaa tietojen käsittelyä. Jos rekisterinpitäjä katsoo, että oikeutta rajoittaa tietojen käsittelyä ei ole, se voi kieltäytyä pyynnöstä. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.
Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi periä pyynnön toteuttamisesta kohtuullisen maksun tai kieltäytyä pyynnöstä.
Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, on sen ilmoitettava siitä rekisteröidylle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Kieltäytyminen on perusteltava. Rekisterinpitäjän on myös kerrottava rekisteröidylle mahdollisuudesta tehdä valitus tietosuojavaltuutetulle sekä käyttää muita oikeussuojakeinoja.
Oikeudesta rajoittaa tietojen käsittelyä voi lisäksi tietyin edellytyksin poiketa tieteellisen tai historiallisen tutkimuksen tai tilastoinnin yhteydessä. Lue lisää rekisteröidyn oikeuksista poikkeamisesta
Ilmoita käsittelyn rajoittamisesta
Rekisterinpitäjän on mahdollisuuksien mukaan ilmoitettava henkilötietojen käsittelyn rajoittamisesta jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.
Rekisteröidyn henkilöllisyyden vahvistaminen
Rekisterinpitäjän on pystyttävä vahvistamaan tietosuojaoikeuksiaan käyttävän rekisteröidyn henkilöllisyys. Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön esittäjän henkilöllisyyttä, se voi pyytää tätä toimittamaan lisätietoja henkilöllisyyden vahvistamiseksi.
Tietosuoja-asetus ei sisällä säännöksiä siitä, miten rekisteröidyn henkilöllisyys on vahvistettava. Sopivia menettelyjä on jo usein olemassa. Rekisterinpitäjä on voinut todentaa rekisteröidyn henkilöllisyyden esimerkiksi ennen sopimuksen tekemistä tai käsittelyä koskevan suostumuksen saamista. Silloin näitä henkilötietoja voidaan käyttää henkilöllisyyden vahvistamiseksi myös silloin, kun on kyse rekisteröidyn oikeuksien toteuttamisesta.
Jos rekisterinpitäjä pyytää lisätietoja henkilöllisyyden todentamista varten, se ei saa johtaa kohtuuttomiin vaatimuksiin ja sellaisten henkilötietojen keräämiseen, jotka eivät ole olennaisia tai tarpeellisia.
Jos rekisterinpitäjä ei pysty tunnistamaan rekisteröityä, sen on mahdollisuuksien mukaan ilmoitettava asiasta rekisteröidylle.
Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä siksi, ettei tätä pystytä tunnistamaan, rekisterinpitäjän täytyy osoittaa, ettei se pysty vahvistamaan rekisteröidyn henkilöllisyyttä.
Jos rekisteröityä ei voida tunnistaa, hän ei voi käyttää oikeuttaan
- saada pääsy tietoihin
- oikaista tietoja
- poistaa tiedot
- rajoittaa tietojen käsittelyä
- siirtää tiedot järjestelmästä toiseen.
Rekisteröity voi kuitenkin toimittaa lisätietoja tunnistamista varten.
Milloin henkilöllisyyttä ei tarvitse vahvistaa?
Henkilötietoja saa säilyttää sellaisessa muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin käsittelyn tarkoitusta varten on tarpeen.
Jos rekisteröidyn tunnistamisen mahdollistavat henkilötiedot eivät ole tarpeellisia henkilötietojen käsittelyn tarkoituksen kannalta, tietosuoja-asetus ei velvoita rekisterinpitäjiä säilyttämään, hankkimaan tai käsittelemään tällaisia lisätietoja pelkästään tietosuoja-asetuksen noudattamiseksi.
Lue lisää:
Tietosuoja-asetus: artiklat 12, 18 ja 19 (EUR-Lexin verkkosivuilla)