Rekisteröidyn oikeudet vahvistuvat uudessa tietosuoja-asetuksessa

Tietosuoja-asetus tuli voimaan 24.5.2016 ja sitä sovelletaan 25.5.2018 alkaen. Henkilötietojen käsittelyn on tuolloin oltava tietosuoja-asetuksen mukaista.

Henkilötietolaissa on nykyisellään jo määritelty oikeuksia rekisteröidylle ja osin tietosuoja-asetuksessa säädetyt oikeudet vastaavat henkilötietolaissa säädettyjä oikeuksia. Rekisteröidyn oikeudet vahvistuvat uudessa tietosuoja-asetuksessa ja asetus tuo uusiakin oikeuksia rekisteröidylle ja siten samaan aikaan uusia velvollisuuksia rekisterinpitäjälle.

 

Rekisteröidyn oikeudet

Asetuksen mukaan rekisteröidyllä on oikeus saada pääsy omiin henkilötietoihinsa. Käytännössä tämä tarkoittaa sitä, että rekisterinpitäjän tulee rekisteröidyn pyynnöstä ilmoittaa esimerkiksi se, käsitteleekö rekisterinpitäjä hänen henkilötietojaan, ja jos näitä henkilötietoja käsitellään, rekisteröidyllä on oikeus saada pääsy henkilötietoihin. Jos rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, on rekisteröidyllä oikeus myös saada tiedot muun muassa käsittelyn tarkoituksesta ja mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika. Henkilötietoja käsittelevien järjestelmien näkökulmasta on syytä ottaa huomioon muun muassa se, että reksisterinpitäjän on myös toimitettava rekisteröidylle sähköisesti jäljennös käsiteltävistä henkilötiedoista. Pyyntöihin vastaaminen voi olla hidasta erityisesti silloin, jos henkilötietoja sijaitsee useassa järjestelmässä ja rekisterinpitäjä ei ole miettinyt prosesseja tämän rekisteröidyn oikeuden toteuttamiseksi.

Oikeus tulla unohdetuksi antaa rekisteröidylle oikeuden pyytää poistamaan itseään koskevat tiedot rekisterinpitäjän järjestelmästä esimerkiksi siinä tapauksessa, että henkilötietojen käsittely on perustunut suostumukseen ja rekisteröity peruuttaa suostumuksensa. Ellei käsittelylle ole muuta laillista perustetta, on rekisterinpitäjän poistettava henkilötiedot pyynnön mukaisesti. Lakisääteisiin rekistereihin ei sovelleta oikeutta tulla unohdetuksi. Lakisääteisen tehtävän suorittamiseen liittyvän käsittelyn yhteydessä tietojen poistaminen rekistereistä ei ole mahdollista.

Rekisteröidylle on asetuksessa säädetty myös uusi oikeus siirtää tiedot järjestelmästä toiseen. Rekisteröidyllä on oikeus saada itseään koskevat henkilötiedot yleisesti käytössä olevassa siirtomuodossa, esimerkiksi muistitikulla, jotta hän voi toimittaa ne toiselle rekisterinpitäjälle. Jos teknisesti on mahdollista, siirto-oikeuteen kuuluu myös tietojen siirtäminen rekisterinpitäjältä toiselle. Tämän oikeuden toteutumiseksi edellytetään, että henkilötietojen käsittely perustuu sopimukseen tai suostumukseen ja käsittely tehdään automaattisesti.

Rekisterinpitäjät eivät kuitenkaan ole siirto-oikeuden perusteella velvollisia suunnittelemaan tai toteuttamaan keskenään yhteensopivia järjestelmiä. Julkisen vallan käyttämisessä tai käsittelyssä, joka on tarpeen yleistä etua koskevan tehtävän suorittamisessa ei sovelleta siirto-oikeutta.

Oikeus tietojen oikaisemiseen antaa rekisteröidylle oikeuden vaatia, että rekisterinpitäjä ilman aiheetonta viivytystä oikaisee rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot tai täydentää puutteelliset henkilötiedot.

Rekisteröidyllä on oikeus vastustaa käsittelyä, automaattista päätöksentekoa ja profilointia. Rekisteröity voi esimerkiksi vastustaa henkilötietojen käsittelyä suoramarkkinointia varten eikä niitä enää tämän jälkeen saa käsitellä tähän tarkoitukseen. Rekisteröidyllä on myös oikeus esimerkiksi olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Tähän oikeuteenkin on säädetty poikkeuksia, joista yksi on muun muassa se, että päätös on välttämätön rekisterinpitäjän ja rekisteröidyn välisen sopimuksen tekemistä tai täytäntöönpanoa varten.

Asetuksen mukaan rekisteröidyllä on jatkossa myös oikeus saada ilmoitus henkilötietojen tietoturvaloukkauksesta, jos loukkaus todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille, esimerkiksi identiteettivarkauksien muodossa. Rekisterinpitäjä voi suuren kokoluokan tietovuodoissa ilmoittaa vuodosta esimerkiksi median välityksellä, jos henkilökohtaisten ilmoitusten lähettäminen vaatisi kohtuutonta vaivaa.

Uudessa tietosuoja-asetuksessa vahvistuvat rekisteröidyn oikeudet velvoittavat rekisterinpitäjää monella, uudellakin tavalla huomioimaan oikeuksista seuraavat velvoitteet toiminnassaan.  Koska yksi rekisterinpitäjän päävelvollisuuksista on rekisteröidyn oikeuksien toteuttaminen, ei rekisterinpitäjä enää voi olla huomioimatta näiden oikeuksien vaikutuksia toimintaansa. Tietosuoja-asetuksen voimaan tulo onkin luonut organisaatioille erinomaisen apuvälineen henkilötietojen käsittelyä koskevien prosessien ja järjestelmien tarkastelemiseen ja kehittämiseen.

Jaa artikkeli

Facebook
Twitter
LinkedIn
Picture of Mirja Kattilakoski

Mirja Kattilakoski

Aiheeseen liittyviä artikkeleita