Suomen Asiakastieto Oy: EU:n tietosuoja-asetus ja rekisteröidyn oikeudet

EU:n tietosuoja-asetus GDPR astuu velvoittavana voimaan 25.5.2018. Sen jälkeen myös suomalaisten yritysten, järjestöjen ja viranomaisten eli rekisterinpitäjien on tarjottava henkilörekistereissään käsiteltäville rekisteröidyille entistä runsaammin päätäntävaltaa omiin tietoihinsa

Tietosuojalainsäädännön tavoitteena on lisätä yleistä tietoisuutta henkilötietojen käsittelystä ja antaa rekisteröidyille aiempaa enemmän mahdollisuuksia vaikuttaa omien tietojensa prosessointiin. Loppukeväästä 2018 alkaen rekisterinpitäjien on huolehdittava, että rekisteröidyillä on käytössään seuraavassa listatut oikeudet:

1. Oikeus saada informaatiota henkilötietojen keräämisestä ja käsittelystä

Rekisterinpitäjällä
on velvollisuus toimittaa rekisteröidyille tietoja henkilötietojen
käsittelystä. Asetuksen 13. artiklassa säädetään 12:sta eri
toimitettavasta tietotyypistä, kun henkilötietoja kerätään
rekisteröidyltä itseltään, eli kun henkilö esimerkiksi itse ryhtyy
yrityksen asiakkaaksi.

2. Oikeus saada pääsy tietoihin

Rekisteröidyllä
on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä
koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos
näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin
sekä artiklan sisältämän 8-kohtaisen luettelon lisätiedot.

3. Oikeus tietojen oikaisemiseen

Rekisteröidyllä
on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta
viivytystä rekisteröityä koskevat epätarkat ja virheelliset
henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin,
rekisteröidyllä on oikeus saada puutteelliset henkilötiedot
täydennettyä, muun muassa toimittamalla lisäselvitys.

4. Oikeus tietojen poistamiseen eli oikeus tulla unohdetuksi

Rekisteröidyllä
on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat
henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on
velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä,
edellyttäen, että jokin artiklassa luetelluista kuudesta perusteesta
täyttyy.

Poistamisoikeutta ei kuitenkaan sovelleta, jos käsittely on tarpeen mm. yleistä etua koskevan tehtävän suorittamista varten.

5. Oikeus käsittelyn rajoittamiseen

Rekisteröidyllä
on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos
kyseessä on yksi asetuksessa luetellusta neljästä perusteesta, kuten jos
rekisteröity kiistää henkilötietojen paikkansapitävyyden.

Jos
käsittelyä on rajoitettu, näitä henkilötietoja saa, säilyttämistä lukuun
ottamatta, käsitellä ainoastaan mm. rekisteröidyn suostumuksella taikka
oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
tahi toisen luonnollisen henkilön tai oikeushenkilön oikeuksien
suojaamiseksi.

6. Oikeus saada rekisterinpitäjä ilmoittamaan oikaisusta, poistosta ja käsittelyn rajoittamisesta tietojen vastaanottajille

Rekisterinpitäjän
on ilmoitettava kaikenlaisista henkilötietojen oikaisuista, poistoista
tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle
henkilötietoja on luovutettu, paitsi jos tämä osoittautuu
mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on
ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity
sitä pyytää.

7. Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä
on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut
rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja
koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot
toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle
henkilötiedot on toimitettu, jos käsittely perustuu suostumukseen tai
sopimukseen ja käsittely suoritetaan automaattisesti.

Kun
rekisteröity käyttää oikeuttaan siirtää tiedot järjestelmästä toiseen,
hänellä on oikeus saada henkilötiedot siirrettyä suoraan
rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.

8. Vastustamisoikeus

Rekisteröidyllä
on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä
perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen
käsittelyä, joka perustuu tiettyihin 6 artiklan alakohtiin, kuten
profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja,
paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa
huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn
edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen
laatimiseksi, esittämiseksi tai puolustamiseksi.

Jos
henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on
oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen
käsittelyä tällaista markkinointia varten, mukaan lukien profilointia
silloin kun se liittyy tällaiseen suoramarkkinointiin.

9. Oikeus olla joutumatta automatisoitujen päätösten kohteeksi

Rekisteröidyllä
on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu
pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on
häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla
tavalla merkittävästi. Olennaista on, tuottaako rekisterinpitäjä omassa
toiminnassaan sellaisia automatisoituja päätöksiä, joilla olisi edellä
kuvattuja vaikutuksia rekisteröidylle.

Edellä olevaa ei
sovelleta, jos päätös on välttämätön rekisteröidyn ja rekisterinpitäjän
välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai perustuu
rekisteröidyn nimenomaiseen suostumukseen.

10. Oikeus saada tieto rekisterinpitäjään kohdistuneesta tietoturvaloukkauksesta

Kun
henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean
riskin luonnollisten henkilöiden oikeuksille ja vapauksille,
rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta
rekisteröidylle ilman aiheetonta viivytystä.

11. Oikeus tehdä valitus valvontaviranomaiselle

Jokaisella
rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle,
erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa
tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos
rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä
rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita
hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

12. Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää vastaan

Jokaisella
rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän
katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu
sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu
tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien
hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten
oikeussuojakeinojen käyttöä, mukaan lukien oikeus tehdä valitus
valvontaviranomaiselle.

13. Oikeus saada korvaus aiheutuneista vahingoista

Jos
henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai
aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai
henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

Suomenkielinen kooste tietosuoja-asetuksesta löytyy osoitteesta https://www.privacy-regulation.eu/fi/index.htm

Lisätietoa