Oikeus saada tutustua tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitteleekö tämä häntä koskevia henkilötietoja. Näin rekisteröidyllä on mahdollisuus arvioida ja varmistaa käsittelyn lainmukaisuus.

Jos rekisteröidyn tietoja käsitellään, rekisterinpitäjän on toimitettava hänelle jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

Lisäksi rekisteröidyllä on oikeus saada seuraavat tiedot:

  • käsittelyn tarkoitukset
  • käsiteltävät henkilötietoryhmät
  • vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset organisaatiot, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa
  • suojatoimet, jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle
  • henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, säilytysajan määrittämiskriteerit
  • rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista tai henkilötietojen käsittelyn rajoittamista sekä oikeus vastustaa tällaista käsittelyä
  • oikeus tehdä valitus valvontaviranomaiselle
  • jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot
  • automaattisen päätöksenteon (ml. profilointi) mahdollinen käyttö, merkitykselliset tiedot käsittelyyn liittyvästä logiikasta, kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

Kuinka nopeasti rekisteröidyn pyyntöön on vastattava?

Rekisterinpitäjän täytyy vastata rekisteröidylle ilman aiheetonta viivytystä, joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Vastauksessa rekisterinpitäjä kertoo toimenpiteistä, joihin se on pyynnön vuoksi ryhtynyt.

Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Tällöin määräaikaa voidaan jatkaa enintään kahdella kuukaudella. Määräajan jatkaminen on perusteltava.

Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, sen on ilmoitettava siitä rekisteröidylle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Kieltäytyminen on perusteltava. Rekisterinpitäjän on myös kerrottava rekisteröidylle mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja.

Voiko rekisteröidyltä periä maksun?

Oikeuden käyttäminen on lähtökohtaisesti maksutonta. Rekisterinpitäjä voi kuitenkin periä rekisteröidyltä kohtuullisen, pyyntöön vastaamisesta aiheutuvien hallinnollisten kustannusten mukaisen maksun, jos tämä pyytää tiedoista useampia jäljennöksiä.

Rekisterinpitäjä voi periä pyynnön toteuttamisesta kohtuullisen maksun myös silloin, jos rekisteröidyn pyyntö on ilmeisen perusteeton tai kohtuuton. Vaihtoehtoisesti rekisterinpitäjä voi kieltäytyä pyynnöstä.

Pyyntöjä voidaan pitää ilmeisen perusteettomina tai kohtuuttomina erityisesti, jos niitä esitetään toistuvasti. Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

Mahdollisen maksun määrittämisessä on otettava huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset.

Voiko pyynnöstä kieltäytyä?

Rekisteröidyn oikeuden toteuttaminen on pääsääntö. Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, sillä on oltava kieltäytymiselle lainmukainen peruste. Kieltäytymisperusteista säädetään yleisen tietosuoja-asetuksen 12 artiklassa, 15 artiklan 4 kohdassa sekä tietosuojalain 31 ja 34 pykälissä. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Rekisterinpitäjä voi kieltäytyä rekisteröidyn pyynnöstä näissä tilanteissa:

  • Oikeus saada jäljennös tiedoista vaikuttaisi haitallisesti muiden oikeuksiin ja vapauksiin.
  • Rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti.
    • Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.
    • Vaihtoehtoisesti rekisterinpitäjä voi periä pyynnön toteuttamisesta kohtuullisen maksun.
  • Tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta tai haitata rikosten ehkäisemistä tai selvittämistä.
  • Tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle tai rekisteröidyn tai jonkun muun oikeuksille.
  • Henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi.

Oikeudesta saada tutustua tietoihin voi lisäksi tietyin edellytyksin poiketa tieteellisen tai historiallisen tutkimuksen tai tilastoinnin yhteydessä. Lue lisää rekisteröidyn oikeuksista poikkeamisesta.

Jos kieltäytymisperuste koskee vain osaa tiedoista, on rekisteröidyllä oikeus saada tietää muut häntä koskevat tiedot.

Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, sen on ilmoitettava siitä rekisteröidylle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Rekisteröidylle on kerrottava kieltäytymisen syyt, ellei se vaaranna kieltäytymisen tarkoitusta. Rekisterinpitäjän on myös kerrottava rekisteröidylle tämän mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja.

Jos oikeuden toteuttamisesta kieltäydytään, pyydetyt tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä.

Rekisteröidyn henkilöllisyyden vahvistaminen

Rekisterinpitäjän on pystyttävä vahvistamaan tietosuojaoikeuksiaan käyttävän rekisteröidyn henkilöllisyys. Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön esittäjän henkilöllisyyttä, se voi pyytää tätä toimittamaan lisätietoja henkilöllisyyden vahvistamiseksi.

Tietosuoja-asetus ei sisällä säännöksiä siitä, miten rekisteröidyn henkilöllisyys on vahvistettava. Sopivia menettelyjä on jo usein olemassa. Rekisterinpitäjä on voinut todentaa rekisteröidyn henkilöllisyyden esimerkiksi ennen sopimuksen tekemistä tai käsittelyä koskevan suostumuksen saamista. Silloin näitä henkilötietoja voidaan käyttää henkilöllisyyden vahvistamiseksi myös silloin, kun on kyse rekisteröidyn oikeuksien toteuttamisesta.

Jos rekisterinpitäjä pyytää lisätietoja henkilöllisyyden todentamista varten, se ei saa johtaa kohtuuttomiin vaatimuksiin ja sellaisten henkilötietojen keräämiseen, jotka eivät ole olennaisia tai tarpeellisia.

Jos rekisterinpitäjä ei pysty tunnistamaan rekisteröityä, sen on mahdollisuuksien mukaan ilmoitettava asiasta rekisteröidylle.

Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä siksi, ettei tätä pystytä tunnistamaan, rekisterinpitäjän täytyy osoittaa, ettei se pysty vahvistamaan rekisteröidyn henkilöllisyyttä.

Jos rekisteröityä ei voida tunnistaa, hän ei voi käyttää oikeuttaan

  • saada tutustua tietoihin
  • oikaista tietoja
  • poistaa tiedot
  • rajoittaa tietojen käsittelyä
  • siirtää tiedot järjestelmästä toiseen.

Rekisteröity voi kuitenkin toimittaa lisätietoja tunnistamista varten.

Milloin henkilöllisyyttä ei tarvitse vahvistaa?

Henkilötietoja saa säilyttää sellaisessa muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin käsittelyn tarkoitusta varten on tarpeen.

Jos rekisteröidyn tunnistamisen mahdollistavat henkilötiedot eivät ole tarpeellisia henkilötietojen käsittelyn tarkoituksen kannalta, tietosuoja-asetus ei velvoita rekisterinpitäjiä säilyttämään, hankkimaan tai käsittelemään tällaisia lisätietoja pelkästään tietosuoja-asetuksen noudattamiseksi.

Lue lisää:
Tietosuoja-asetus: artiklat 12 ja 15 (EUR-Lexin verkkosivuilla)
Tietosuojalaki: pykälät 31 ja 34 (Finlexissä)