Mitä oikeuksia kansalaisilla on yleisen tietosuoja-asetuksen nojalla?
Tietosuoja-asetus antaa seuraavat oikeudet rekisteröidyille eli henkilöille, joiden tietoja käsitellään:
- Oikeus saada tietoa henkilötietojen käsittelystä
- Oikeus saada tutustua tietoihin
- Oikeus oikaista tietoja
- Oikeus poistaa tiedot (oikeus tulla unohdetuksi)
- Oikeus rajoittaa tietojen käsittelyä
- Oikeus siirtää tiedot järjestelmästä toiseen
- Oikeus vastustaa tietojen käsittelyä
- Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi
Huomaathan, että osa oikeuksista ei päde kaikissa tilanteissa. Kunkin käsittelyperusteen yhteydessä pätevät rekisteröidyn oikeudet näkyvät taulukossa.
Rekisterinpitäjällä on velvollisuus vastata rekisteröityjen oikeuksia koskeviin pyyntöihin ja helpottaa oikeuksien käyttämistä. Henkilötietojen käsittelijän on avustettava rekisterinpitäjää tehtävässä.
Tarkistuslista rekisteröidyn oikeuksista:
- Valmistaudu: Kehitä järjestelmiä ja menettelyjä, joilla rekisteröidyn oikeuksia koskeviin pyyntöihin vastataan. Kouluta henkilöstöä käsittelemään rekisteröityjen pyynnöt osana yrityksen normaaleja työprosesseja.
- Helpota oikeuksien käyttöä: Kerro rekisteröidyille, mitä oikeuksia heillä on sekä yhteystiedot, joihin he voivat ottaa yhteyttä käyttääkseen niitä.
- Tunne tietosi: Pidä rekisterisi ajan tasalla, jotta voit nopeasti tunnistaa käsittelemäsi tiedot sekä löytää ja hakea tietoja tehokkaasti.
- Kerro tietojen käsittelystä läpinäkyvästi: Ilmoita rekisteröidyille aina selkeästi ja ymmärrettävästi käsittelemistäsi henkilötiedoista ennen kuin aloitat käsittelyn (esimerkiksi tietosuojaselosteessa) sekä käsittelyn aikana (esimerkiksi rekisteröidyn pyynnöstä).
- Vastaa kuukauden kuluessa: Vastaa aina rekisteröidyn pyyntöön kuukauden sisällä. Jos tarvitset lisäaikaa vastaamiseen tai jos et pysty vastaamaan pyyntöön, ilmoita rekisteröidylle myös tästä kuukauden kuluessa.
- Siirrä pyyntö eteenpäin: Kun saat pyynnön, joka koskee toiselle taholle siirtämiäsi tietoja, muista tarvittaessa ilmoittaa pyynnöstä sille.
- Dokumentoi: Seuraa rekisteröityjen pyyntöjä ja tallenna vastauksesi. Kirjaa ylös perustelusi myös silloin, jos et vastaa pyyntöön.
Kuinka rekisteröidyn oikeuksia koskeva pyyntö on käsiteltävä?
Avoimuus on keskeistä tietosuojan kannalta ja luonnollisesti myös rekisteröidyn oikeuksien kannalta.
Rekisterinpitäjän on
- Kommunikoitava rekisteröityjen kanssa selkeällä ja ymmärrettävällä kielellä (erityisesti, jos käsitellään lasten tietoja)
- Helpotettava oikeuksien käyttöä erityisesti sähköisissä kanavissa. Voit esimerkiksi tarjota verkkosivuillasi lomakkeen, jolla rekisteröidyt voivat käyttää tietosuojaoikeuksiaan helposti.
Vastaa kirjallisesti
Lähtökohtaisesti henkilön tarkastusoikeutta koskevaan pyyntöön tulee vastata samalla tavalla kuin pyyntö on esitetty, tai rekisteröidyn pyytämällä tavalla. Pyyntöön on mieluiten vastattava kirjallisesti, mahdollisuuksien mukaan sähköisesti. Vastaus rekisteröidyn pyyntöön voidaan antaa myös suullisesti, mutta sitä ei suositella, koska sinun on pystyttävä osoittamaan, että olet vastannut pyyntöön.
Vastaa kuukauden kuluessa
Yleisessä tietosuoja-asetuksessa määritellään, missä ajassa rekisterinpitäjän on vastattava pyyntöön ja missä tapauksissa se voi periä pyynnöstä maksun.
Kun rekisteröity käyttää jotakin oikeuttaan, rekisterinpitäjän on vastattava siihen kuukauden kuluessa. Jos pyyntö on monimutkainen ja vastaamiseen tarvitaan enemmän aikaa, määräaikaa voi pidentää kahdella kuukaudella. Rekisteröidylle on ilmoitettava määräajan pidentämisestä kuukauden kuluessa pyynnön vastaanottamisesta. Jos pystyt osoittamaan, että pyyntö on ilmeisen perusteeton tai kohtuuton erityisesti toistuvuutensa vuoksi, voit joko periä pyyntöön vastaamisesta kohtuullisen maksun tai kieltäytyä pyynnön toteuttamisesta.
Jos sinulla on perusteltu syy epäillä pyynnön esittäjän henkilöllisyyttä (esimerkiksi jos pyyntö esitetään muulla kuin henkilön tavallisesti käyttämällä sähköpostiosoitteella tai muuten kuin todennetun asiakastilin kautta), voit pyytää pyynnön tekijältä lisätietoja henkilöllisyyden vahvistamiseksi ennen vastaamista.
Jos et aio noudattaa rekisteröidyn pyyntöä, sinun on ilmoitettava rekisteröidylle kuukauden kuluessa pyynnön vastaanottamisesta syyt siihen, miksi et suostu pyyntöön (esim. miksi et poista pyydettyjä tietoja). Lisäksi henkilölle on kerrottava mahdollisuudesta tehdä valitus kansalliselle tietosuojaviranomaiselle ja käyttää oikeussuojakeinoja.
Älä veloita maksua
Et voi vaatia maksua rekisteröidyltä, joka haluaa käyttää tietosuojaoikeuksiaan. Voit kuitenkin periä maksun, jos pyyntö on ilmeisen perusteeton tai kohtuuton erityisesti pyyntöjen toistuvuuden vuoksi. Maksun laskemisessa on otettava huomioon pyyntöön vastaamisesta aiheutuvat hallinnolliset kustannukset. Pyynnön toteuttamisesta voi myös kieltäytyä, jos se on ilmeisen perusteeton tai kohtuuton. Tällöin sinun on kyettävä osoittamaan pyynnön perusteettomuus.
Käytännön esimerkkejä
- Rekisteröity esittää kahden kuukauden välein tarkastuspyyntöjä pöydän valmistaneelle puusepälle. Puuseppä vastasi ensimmäiseen pyyntöön kokonaisuudessaan. Koska puuseppä ei käsittele henkilötietoja osana ydintoimintaansa eikä tarjonnut rekisteröidylle useampaa kuin yhtä palvelua, on epätodennäköistä, että rekisteröityä koskevissa tiedoissa tapahtuisi muutoksia. Rekisteröity on todennut, että uusi pyyntö koskee samoja tietoja kuin edellinen pyyntö. Näin ollen pyyntöä voidaan pitää kohtuuttomana toistuvuutensa vuoksi.
- Jos puuseppä päättää pyytää rekisteröidyltä maksun tietojen luovuttamisesta, tämän kannattaa ilmoittaa asiasta rekisteröidylle etukäteen, jolloin rekisteröity voi peruuttaa pyynnön. Vaihtoehtoisesti puuseppä voi ilmoittaa rekisteröidylle syyt siihen, miksi hän ei vastaa pyyntöön. Lisäksi puusepän on kerrottava rekisteröidylle mahdollisuudesta tehdä valitus tietosuojaviranomaiselle ja käyttää oikeussuojakeinoja.
Oikeus saada tietoa henkilötietojen käsittelystä
Oikeus saada tietoa henkilötietojen käsittelystä auttaa ihmisiä ymmärtämään, mitä heidän tiedoillaan tehdään. He voivat tehdä päätöksiä tiedon pohjalta ja valvoa paremmin, että heidän henkilötietojaan käsitellään asianmukaisesti. Kaikilla rekisteröidyillä on oikeus tietää, kun käsittelet heidän henkilötietojaan.
Rekisterinpitäjänä sinulla on velvollisuus kertoa tietojen käsittelystä rekisteröidyille.
Mitä tietoja on annettava?
Rekisteröidylle annettavat tiedot riippuvat siitä, oletko kerännyt henkilötiedot suoraan rekisteröidyltä itseltään (yleisen tietosuoja-asetuksen 13 artiklan mukaisesti) vai oletko saanut ne toisesta lähteestä välillisesti (yleisen tietosuoja-asetuksen 14 artiklan mukaisesti). Seuraavissa taulukoissa esitetään yhteenveto tiedoista, jotka sinun on annettava rekisteröidylle:
Jotta henkilötietojen käsittely olisi asianmukaista ja läpinäkyvää, sinun on annettava seuraavat tiedot:
Organisaatiosi on annettava tämän taulukon tiedot, jos tietoja käsitellään edelleen jotain toista tarkoitusta varten, joka poikkeaa alkuperäisestä käyttötarkoituksesta mutta on yhteensopiva sen kanssa. Nämä tiedot on annettava rekisteröidyille ennen kuin tietoja jatkokäsitellään. Tällöin rekisteröidylle on myös annettava selvitys siitä, miten uudet ja aiemmat käyttötarkoitukset ovat yhteensopivia keskenään.
Milloin tiedot on annettava?
Jos organisaatiosi kerää henkilötietoja suoraan rekisteröidyltä, sen on annettava tarvittavat tiedot keräämisen yhteydessä.
Jos henkilötietoja kerätään välillisesti, tiedot on annettava viimeistään kuukauden kuluessa siitä, kun henkilötiedot on alun perin saatu. Kuukauden enimmäisaikaa lyhennetään näissä tilanteissa:
- Jos henkilötietoja käytetään yhteydenpitoon rekisteröidyn kanssa. Tällöin sinun on informoitava rekisteröityä viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran.
- Jos tiedot siirretään toiselle vastaanottajalle, ilmoita tästä rekisteröidyille viimeistään silloin, kun henkilötietoja siirretään.
Kuukauden enimmäisaikaa ei voi pidentää.
Jos henkilötietojen käsittelyyn tehdään myöhemmin muutoksia (esim. uudet vastaanottajat, toinen yhteensopiva käyttötarkoitus, siirto Euroopan talousalueen ulkopuolelle jne.), organisaatiosi on joka tapauksessa informoitava rekisteröityä henkilötietojen käsittelystä ennen muutoksen voimaantuloa. Informointi on tehtävä hyvissä ajoin etukäteen. Mitä merkittävämpi muutos on, sitä aikaisemmin organisaation on ilmoitettava asiasta rekisteröidylle, jotta rekisteröidyllä on kohtuullinen aika arvioida muutoksen vaikutusta ja käyttää tietosuojaoikeuksiaan.
Milloin organisaatiosi ei ole velvollinen antamaan tietoja?
Organisaatiosi ei ole velvollinen informoimaan rekisteröityä tietojen käsittelystä, jos henkilö on jo saanut tarvittavat tiedot.
Jos henkilötietoja kerätään välillisesti, sovelletaan tiettyjä poikkeuksia. Tietojen antaminen ei ole tarpeen, jos:
- tällaisten tietojen antaminen osoittautuu mahdottomaksi tai vaatisi suhteettoman paljon työtä. Kynnys tälle poikkeukselle on kuitenkin erittäin korkea, mikä tarkoittaa sitä, että rekisterinpitäjä voi vedota tähän perusteeseen vain poikkeustilanteissa
- tietojen hankkimisesta tai luovuttamisesta säädetään nimenomaisesti laissa
- henkilötiedot on pidettävä luottamuksellisina lakisääteisen salassapitovelvollisuuden perusteella.
Käytännössä
- Joissakin EU-maissa kansallinen lainsäädäntö voi velvoittaa veroviranomaiset pyytämään työnantajilta tiettyjä tietoja työntekijöistä. Veroviranomaisten ei tarvitse tällaisessa tapauksessa ilmoittaa asiasta työntekijälle. Työnantajan on kuitenkin osana ilmoitusvelvollisuuttaan ilmoitettava työntekijälle, että veroviranomaiset ovat yksi henkilötietojen vastaanottajista.
Miten tiedot tulee antaa rekisteröidylle?
Tietoa on hyvä tarjota kerroksittain. Näin vältetään se, että kerralla annetaan niin paljon tietoa, että se voi haitata avoimuutta ja hukuttaa vastaanottajan tietomäärään. Kun tiedot tarjotaan kerroksittain, ne voidaan antaa tiiviisti ja samalla huolehditaan siitä, että kaikki tiedot toimitetaan. Tämä yksinkertaistaa rekisterinpitäjän tehtävää ja mahdollistaa myös sen, että rekisteröity ymmärtää olennaiset tiedot nopeasti ja tehokkaasti. Tiedot voidaan esittää esimerkiksi seuraavasti:
- Perustietojen ensimmäinen kerros
- Mitä? Anna yhteenveto perustiedoista, joiden perusteella rekisteröity voi arvioida käsittelyn vaikutuksia ja laajuutta. Kerro mm. tieto siitä, kuka on rekisterinpitäjä, henkilötietojen käsittelyn tarkoitukset, vastaanottajaryhmät, tietolähde ja rekisteröidyn oikeudet.
- Miten? Tiedot voidaan esittää esimerkiksi taulukkomuodossa selvästi näkyvässä paikassa otsikolla ”Perustiedot tietosuojasta” tai ponnahdusikkunoissa, joissa selitetään, milloin henkilötietoja kerätään. Jos henkilötietojen käsittely perustuu suostumukseen, on suositeltavaa mainita tämä paikassa, jossa rekisteröidyn on annettava suostumus (lähellä ”suostumus”-painiketta).
- Mitä? Anna yhteenveto perustiedoista, joiden perusteella rekisteröity voi arvioida käsittelyn vaikutuksia ja laajuutta. Kerro mm. tieto siitä, kuka on rekisterinpitäjä, henkilötietojen käsittelyn tarkoitukset, vastaanottajaryhmät, tietolähde ja rekisteröidyn oikeudet.
- Toinen kerros: lisätietoja ja yksityiskohtaisempia tietoja
- Mitä? Tässä osassa esitetään ymmärrettävästi ja kattavasti muut tiedot, jotka organisaation on annettava yleisen tietosuoja-asetuksen 13 ja 14 artiklan nojalla.
- Miten? Lisätietoja voidaan antaa monin tavoin, esimerkiksi perustietoihin sisältyvien hyperlinkkien avulla tai erillisessä ladattavassa tiedostossa. Lisätietojen antamisessa tulisi huomioida tasapaino tiiviyden ja toisaalta tarkkuuden välillä. Tiedot tulisi jäsennellä niin, että ne ovat helposti luettavissa. Muista myös mukauttaa tietoja kohderyhmän mukaan: jos palvelusi kohdistuu esimerkiksi lapsiin, kirjoita tiedot lapsille ymmärrettävällä tavalla.
- Mitä? Tässä osassa esitetään ymmärrettävästi ja kattavasti muut tiedot, jotka organisaation on annettava yleisen tietosuoja-asetuksen 13 ja 14 artiklan nojalla.
Lue lisää
WP29-työryhmän ohje: asetuksen (EU) 2016/679 mukaista avoimuutta koskevat ohjeet
Euroopan komission uutishuone
Tarkastusoikeus
Rekisteröidyt voivat käyttää oikeuttaan saada tutustua tietoihinsa, jotta he voivat tarkistaa, että heidän tietojaan käsitellään lainmukaisesti.
Kun rekisteröidyt käyttävät tarkastusoikeuttaan, heidän tulisi saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö heidän henkilötietojaan vai ei. Jos tietoja käsitellään, rekisteröidyillä on oikeus saada tutustua tietoihinsa sekä oikeus saada seuraavat tiedot:
- käsittelyn tarkoitukset;
- kyseessä olevat henkilötietoryhmät;
- henkilötietojen vastaanottajat (tai vastaanottajaryhmät);
- henkilötietojen säilytysaika tai säilytysajan määrittämisen perusteet;
- oikeus pyytää rekisterinpitäjältä häntä koskevien henkilötietojen oikaisemista tai poistamista tai henkilötietojen käsittelyn rajoittamista tai vastustaa käsittelyä;
- oikeus tehdä valitus tietosuojaviranomaiselle;
- tietojen lähde (kun henkilötietoja ei kerätä suoraan rekisteröidyltä);
- tieto automaattisesta päätöksenteosta, mukaan lukien profilointi, merkitykselliset tiedot sen perusteista sekä käsittelyn merkitys ja mahdolliset seuraukset rekisteröidylle;
- tiedot käytössä olevista suojatoimista, kun henkilötietoja siirretään EU:n ulkopuolelle, (tietojen siirtoa koskevan yleisen tietosuoja-asetuksen 46 artiklan mukaisesti).
Lisäksi henkilöllä on oikeus saada (maksutta) kopio häntä koskevista henkilötiedoista, joita organisaatiosi käsittelee. Jos henkilö pyytää lisäjäljennöksiä, organisaatiosi voi päättää periä kohtuullisen maksun, joka lasketaan kopioiden tekemisestä aiheutuvien hallinnollisten kustannusten perusteella. Huomaa, että useimmissa tapauksissa yksityishenkilöitä ei voida vaatia maksamaan maksua pääsystä omiin henkilötietoihinsa.
Jos pyyntö esitetään sähköisesti, organisaation olisi toimitettava pyydetyt tiedot yleisesti käytetyssä sähköisessä muodossa, ellei henkilö toisin pyydä.
Tärkeää huomata
Ennen kuin annat kopion henkilötiedoista, sinun on tarkistettava, että se ei vaikuta muiden oikeuksiin ja vapauksiin (esim. jos samassa tiedostossa käsitellään useampaa kuin yhtä henkilöä koskevia tietoja, liikesalaisuuksia tai tekijänoikeuksien alaisia tietoja).
Oikeus tietojen oikaisuun
Rekisteröidyllä on oikeus pyytää ja vaatia rekisterinpitäjältä virheellisten tietojen korjaamista ja puutteellisten tietojen täydentämistä. Jos organisaatiosi on siirtänyt henkilötietoja kolmansille osapuolille, sinun on ilmoitettava näille tahoille tietojen oikaisemisesta, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuuttomasti työtä.
Käytännössä
- Asiakas ilmoittaa organisaatiollesi, että hän on muuttanut toiseen kaupunkiin. Organisaatiosi on muutettava osoite asiakastietokantaan.
Oikeus tietojen poistamiseen (oikeus tulla unohdetuksi)
Rekisteröity voi pyytää organisaatiota poistamaan häntä koskevat henkilötiedot seuraavissa tilanteissa:
- henkilötietoja ei enää tarvita siihen tarkoitukseen, jota varten ne on kerätty
- organisaatio käsittelee henkilötietoja lainvastaisesti
- organisaation on poistettava henkilötiedot lakisääteisen velvoitteen vuoksi
- rekisteröity peruuttaa suostumuksensa eikä käsittelyllä ole muuta oikeusperustetta
- rekisteröity on käyttänyt oikeuttaan vastustaa tietojen käsittelyä
- alaikäiset, jotka ovat antaneet suostumuksensa verkkopalvelun käyttöön, voivat aina pyytää tällaisten henkilötietojen poistamista (riippumatta heidän nykyisestä iästään).
Jos poistettavia henkilötietoja on aiemmin siirretty muille organisaatioille, sinun on ilmoitettava näille vastaanottajille, että rekisteröity on pyytänyt tietojen poistamista, paitsi jos tämä osoittautuu mahdottomaksi tai vaatisi kohtuuttomasti työtä.
Jos organisaatiotasi vaaditaan poistamaan sen julkaisemat henkilötiedot, sen on toteutettava kaikki kohtuulliset toimenpiteet ilmoittaakseen muille näitä tietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt poistamaan kyseisiin henkilötietoihin liittyvät linkit tai niiden jäljennökset tai kopiot.
Organisaatiosi voi kieltäytyä poistamasta henkilötietoja vain muutamissa tapauksissa, esimerkiksi:
- sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttäminen
- oikeusvaateen laatiminen, esittäminen tai puolustaminen
- organisaatioon sovellettavan lakisääteisen velvoitteen noudattaminen tai yleistä etua koskevan tehtävän suorittaminen tai organisaatiolle uskotun julkisen vallan käyttäminen
- kansanterveyteen liittyvät yleiseen etuun liittyvät syyt
- yleisen edun mukaisia arkistointitarkoituksia, tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia (tietyin edellytyksin).
Käytännössä
- Organisaatiosi työntekijä on lomautettu. Työntekijä pyytää, että hänen henkilötietonsa poistetaan henkilöstörekisteristä. Työlainsäädännössä edellytetään kuitenkin, että henkilöstöhallinnon asiakirjoja (henkilöstörekisteri, jäljennökset palkkalaskelmista jne.) säilytetään tietyn ajan. Näiden asiakirjojen osalta sinun on kieltäydyttävä tietojen poistamista koskevasta pyynnöstä.
- Entinen asiakas ei enää halua vastaanottaa markkinointiviestejä organisaatioltasi ja pyytää poistamaan yhteystietonsa. Koska pakottavia syitä yhteistietojen käsittelyn jatkamiseen ei ole, organisaatiosi on poistettava tiedot.
Oikeus käsittelyn rajoittamiseen
Tietyissä tilanteissa rekisteröidyt voivat pyytää tietojensa käsittelyn rajoittamista. Organisaatiosi voi tällöin edelleen säilyttää henkilötietoja, mutta sen on lopetettava kaikki muut niihin liittyvät käsittelytoimet.
Rekisteröidyllä on oikeus pyytää tietojen käsittelyn rajoittamista, kun:
- rekisteröity kiistää henkilötietojen paikkansapitävyyden;
- käsittely on lainvastaista, jolloin rekisteröity voi tietojen poistamisen sijaan pyytää henkilötietojen käytön rajoittamista;
- organisaatio ei enää tarvitse henkilötietoja, mutta tiedot ovat edelleen tarpeen, jotta rekisteröity voi esittää oikeudellisen vaateen;
- rekisteröity on käyttänyt vastustamisoikeuttaan. Rajoitusta sovelletaan niin kauan kuin on tarpeen sen tarkistamiseksi, ovatko organisaation oikeutetut syyt ensisijaisia rekisteröidyn perusteltuihin syihin nähden.
Jos rekisteröity käyttää oikeuttaan rajoittaa käsittelyä, organisaatiosi voi käyttää tietoja vain tietyissä erityistilanteissa, esimerkiksi rekisteröidyn suostumuksella tai oikeusvaateen puolustamiseksi. Jos olet aiemmin välittänyt rajoituksen kohteena olevia tietoja muille tahoille, sinun on ilmoitettava niille käsittelyn rajoittamisesta, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuuttomasti työtä.
Ennen kuin poistat tietojen käsittelyn rajoituksen, varmista, että ilmoitat rekisteröidylle aikomuksestasi.
Oikeus siirtää tiedot järjestelmästä toiseen
Oikeus siirtää tiedot järjestelmästä toiseen antaa rekisteröidyille mahdollisuuden saada henkilötietonsa jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Näin he voivat helposti käyttää tietoja uudelleen ja halutessaan siirtää tietonsa toiseen palveluun. Oikeutta siirtää tiedot järjestelmästä toiseen voidaan käyttää vain, jos nämä kolme edellytystä täyttyvät samanaikaisesti:
- käsittely perustuu suostumukseen tai sopimukseen;
- käsittely on automatisoitu (eli ei käytetä paperisia asiakirjoja);
- rekisteröidyt ovat toimittaneet tiedot itse. Tämä sisältää myös tiedot, joita organisaatiosi on saanut rekisteröidyn toiminnan perusteella (esim. liitetyt lisälaitteet).
Oikeus tietojen siirtämiseen ei siis koske tietoja, jotka organisaatio itse luo edellä mainittujen tietojen perusteella.
Rekisteröidyillä on oikeus:
- saada henkilötietonsa jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Muodon on mahdollistettava se, että rekisteröity voi käyttää henkilötietoja uudelleen toista palvelua varten.
Esimerkki: xml, json ja csv ovat yleisiä tiedostomuotoja, jotka täyttävät tämän kriteerin. Metatiedot on myös toimitettava, jotta tietoja voidaan käyttää toisella alustalla. Pdf-muoto ei riitä. - henkilötietojen siirtämiseen suoraan toiselle rekisterinpitäjälle. Organisaatiosi pitää tehdä siirto vain, jos tällainen suora siirto on teknisesti mahdollista.
Käytännössä
- Organisaatiosi tarjoaa musiikin suoratoistopalveluja verkossa. Asiakkaasi voivat pyytää soittolistojensa siirtämistä toiseen musiikin suoratoistopalveluun.
- Organisaatiosi on pk-yritys, joka tarjoaa sähköpostipalvelua. Jos asiakas, jolla on sähköpostitili puhtaasti henkilökohtaisiin tai kotitalouden tarpeisiin, pyytää sitä, sinun on siirrettävä hänen osoiteluettelonsa ja sähköpostinsa toiseen sähköpostipalveluun, jos tämä on teknisesti mahdollista. Jos tämä ei ole mahdollista, sinun on toimitettava osoiteluettelo ja sähköpostit asiakkaalle uudelleenkäytettävässä digitaalisessa muodossa.
Oikeus vastustaa henkilötietojen käsittelyä
Rekisteröity voi vastustaa henkilötietojensa käsittelyä ”erityiseen tilanteeseensa liittyvistä syistä”. Vastustamisoikeutta voidaan käyttää vain, jos käsittely perustuu johonkin seuraavista oikeusperusteista:
- organisaation tai kolmannen osapuolen oikeutettu etu; tai
- yleistä etua tai julkisen vallan käyttöä koskevan tehtävän suorittaminen.
Muissa tilanteissa rekisteröity ei voi käyttää vastustamisoikeuttaan, koska muita oikeusperusteita varten on olemassa vaihtoehtoja samaan tarkoitukseen: jos suostumus on annettu, rekisteröity voi yksinkertaisesti peruuttaa suostumuksensa. Rekisteröity ei voi vastustaa laissa säädettyä henkilötietojen käsittelyä.
Kun rekisteröidyt käyttävät vastustamisoikeuttaan, organisaation on punnittava molempien osapuolten etuja. Sen pitää lopettaa kaikki näiden henkilötietojen käsittely, ellei se voi osoittaa pakottavia perusteluja, jotka syrjäyttävät rekisteröidyn oikeudet ja vapaudet (esim. organisaatio ryhtyy oikeustoimiin). Organisaation on dokumentoitava nämä syyt ja ilmoitettava ne rekisteröidylle.
Tärkeää huomata
Kun tietoja käsitellään markkinointitarkoituksiin, rekisteröidyllä on oikeus vastustaa tietojen käsittelyä ilman erityistä syytä. Tässä tapauksessa syyt, joiden vuoksi organisaatiosi käsittelee näitä tietoja, eivät ole merkityksellisiä, vaan henkilötietojen käsittely tähän tarkoitukseen tulee lopettaa välittömästi vastustamispyynnön jälkeen.
Käytännössä
- Organisaatiosi on pieni tapahtumamarkkinointiyritys. Kun henkilö ostaa lipun bändin konserttiin verkossa, hän saa mainoksia muista vastaavista konserteista. Jos henkilö haluaa lopettaa näiden mainosten vastaanottamisen, organisaation on lopetettava suoramarkkinointi.
- Organisaatiosi on vakuutusalalla toimiva pk-yritys. Tällä alalla henkilötietoja tarvitaan tietyissä tilanteissa rahanpesun torjumiseksi. Vakuutuksen tarjoajana voit kieltäytyä noudattamasta vastustamisoikeutta, koska kansalliset rahanpesun vastaiset lait velvoittavat sinua käsittelemään henkilötietoja.
Lue lisää
Oikeus olla joutumatta automaattiseen päätöksenteon kohteeksi
Henkilöllä on oikeus olla joutumatta täysin automaattisen päätöksen kohteeksi (eli ilman ihmisen osallistumista päätöksentekoprosessiin), jolla on oikeusvaikutuksia tai joka vaikuttaa merkittävästi henkilöön.
Automatisoitu päätöksenteko kulkee usein käsi kädessä profiloinnin kanssa, joka määritellään yleisessä tietosuoja-asetuksessa ”kaikenlaiseksi henkilötietojen automaattiseksi käsittelyksi, joka koostuu henkilötietojen käytöstä luonnollisten henkilöiden tiettyjen henkilökohtaisten ominaisuuksien arviointiin, erityisesti kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, etuihin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkumiseen liittyvien näkökohtien analysointiin tai ennustamiseen” (yleisen tietosuoja-asetuksen 4 artiklan 4 kohta).
Jotta tätä oikeutta voidaan soveltaa, automaattiseen käsittelyyn on sisällyttävä:
- päätös, joka perustuu yksinomaan automatisoituun käsittelyyn ilman ihmisen osallisuutta. Tämä tarkoittaa, että yhdelläkään luonnollisella henkilöllä ei ole merkittävää määräysvaltaa päätökseen eikä hän voi esimerkiksi muuttaa tai kumota päätöstä;
- päätös, jolla on rekisteröidyille oikeusvaikutuksia tai joka vaikuttaa heihin merkittävästi.
Käytännössä
- Esimerkkinä oikeusvaikutuksista voisi olla puhelinsopimuksen automaattinen irtisanominen, koska asiakas ei ole maksanut puhelinlaskua.
- Esimerkkejä henkilöön merkittävästi vaikuttavasta päätöksestä (asiayhteys on aina otettava huomioon, kun arvioidaan, aiheutuuko rekisteröidylle merkittävä vaikutus):
- päätökset, jotka vaikuttavat ihmisen taloudelliseen tilanteeseen, kuten hänen kelpoisuutensa hakea luottoa;
- verkkoalustan kautta hakemuksen tehneiden automaattinen hylkääminen;
- hintaerottelu kuluttajan selaushistorian ja ostotottumusten perusteella;
- päätökset, jotka vaikuttavat henkilön koulutukseen, kuten yliopistoon pääsyyn.
- päätökset, jotka vaikuttavat ihmisen taloudelliseen tilanteeseen, kuten hänen kelpoisuutensa hakea luottoa;
Kolmessa tilanteessa voidaan edelleen tehdä automatisoitu yksittäispäätös:
- jos se on lain mukaan sallittua (esim. petosten tai veronkierron estämiseksi)
- jos päätös perustuu rekisteröidyn nimenomaiseen suostumukseen
- jos se on tarpeen sopimuksen tekemiseksi tai täytäntöön panemiseksi. Muista kuitenkin, että viimeksi mainittu tilanne vaatii aina tapauskohtaista arviointia. Heti kun sopimuksen tekemiseen tai täytäntöönpanoon on olemassa vähemmän yksityisyyttä loukkaavia menetelmiä, automaattista päätöstä ei enää voi pitää tarpeellisena.
Jos kyse on arkaluonteisista tiedoista, automatisoitu päätöksenteko on mahdollista vain Euroopan unionin tai kansallisen lainsäädännön mukaisen nimenomaisen suostumuksen tai merkittävän yleisen edun perusteella.
Rekisteröidyn oikeudet kunkin oikeusperusteen osalta
