Rekisteröityjen oikeudet | Yrittajat.fi
Etusivu > Yrittajan Abc > Yritystoiminnan Abc > Yrittajan Tietosuojaopas

Etsi

Rekisteröityjen oikeudet

Tietosuoja-asetuksessa on säädetty rekisteröityjen oikeuksista. Rekisteröidyn oikeudet tarkoittavat rekisterinpitäjälle velvollisuuksia.

Rekisteröidyllä on oikeus

  • saada läpinäkyvästi tietoa henkilötietojen käsittelystä
  • saada pääsy omiin tietoihin
  • tietojen oikaisemiseen
  • tulla unohdetuksi, eli tietojen poistamiseen
  • siirtää tiedot järjestelmästä toiseen
  • rajoittaa tietojen käsittelyä
  • vastustaa käsittelyä
  • vastustaa automatisoituja yksittäispäätöksiä, profilointi mukaan luettuna

Yrittäjän on ilmoitettava henkilötiedon oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä aiheuttaa kohtuutonta vaivaa. Yrittäjän on ilmoitettava rekisteröidyille näistä vastaanottajista, jos rekisteröity sitä pyytää.

» Katso tietosuoja-asetuksen artiklat 12, 15–20.
 

Oikeus saada tietoa henkilötietojen käsittelystä

Rekisteröidyllä on aina oikeus saada tietää, käsitteleekö yritys hänen tietojaan. Jos tietoja käsitellään, on rekisteröidyllä oikeus saada tietoonsa hänestä tallennetut henkilötiedot sekä saada seuraavat tiedot:

  • käsiteltävät henkilötietoryhmät
  • vastaanottajat tai vastaanottajaryhmät, joille yritys on luovuttanut henkilötietoja tai joille tietoja on tarkoitus luovuttaa
  • mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos säilytysaikaa ei voi ilmoittaa, tämän ajan määrittämiskriteerit
  • kaikki tietojen alkuperästä käytettävissä olevat tiedot, jos henkilötietoja ei kerätä rekisteröidyltä
  • ilmoitus henkilötiedon siirtoa EU:n ulkopuolelle koskevista asianmukaisista toimista
  • automaattisen päätöksenteon (mukaan lukien profiloinnin) olemassaolo, keskeiset tiedot tietojen käsittelyyn liittyvästä logiikasta sekä käsittelyn merkittävyydestä ja mahdollisista seurauksista rekisteröidyille.

Lisäksi rekisteröidylle tulee kertoa, että hänellä on oikeus

  • pyytää rekisterinpitäjältä häntä koskevien henkilötietojen oikaisemista, poistamista tai henkilötietojen käsittelyn rajoittamista
  • tehdä valitus valvontaviranomaiselle.

Pääsy tietoihin toteutetaan siten, että rekisteröidylle toimitetaan jäljennös käsiteltävistä henkilötiedoista sekä tietosuojaseloste eli tätä tarkoitusta varten laadittu seloste. Rekisteröidylle ei tarvitse antaa esimerkiksi tietoja, joissa on mukana liikesalaisuuksia tai muiden henkilöiden henkilötietoja. Yritys voi laatia edellä olevista tiedoista erillisen selosteen tai muotoilla tietosuojaselosteensa kattamaan nämä tiedot.
 

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että yritys oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

Yrityksen tulisi pystyä muokkaamaan rekisterinsä tietoja jälkikäteen, jotta epätarkat tai virheelliset tiedot voidaan korjata.

» Katso tietosuoja-asetuksen artikla 16.
 

Oikeus tulla unohdetuksi

Rekisteröidyllä on oikeus saada yritys poistamaan häntä koskevat tiedot eli oikeus tulla unohdetuksi seuraavissa tilanteissa:

  • Henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin. Jos esimerkiksi kokoustila on varattu ja asiakkaan tiedot on kerätty vain tätä varten, tulee tiedot poistaa asiakkaan pyynnöstä kokouksen jälkeen (olettaen, että tietoja ei enää tarvita muun lainsäädännön tai edun nojalla).
  • Henkilötietojen käsittely perustuu suostumukseen ja rekisteröity peruuttaa antamansa suostumuksen. Jos rekisteröity vastustaa muuta käsittelyä kuin käsittelyä suoramarkkinointia varten, on lisäedellytyksenä se, että käsittelyyn ei ole olemassa perusteltua syytä.
  • Rekisteröity vastustaa käsittelyä. Jos rekisteröity vastustaa muuta käsittelyä kuin käsittelyä suoramarkkinointia varten, on lisäedellytyksenä se, että käsittelyyn ei ole olemassa perusteltua syytä.
  • Henkilötietoja on käsitelty lainvastaisesti.
  • Henkilötiedot on poistettava lakisääteisen velvoitteen noudattamiseksi.
  • Henkilötiedot on kerätty tarjottaessa sähköisiä palveluja suoraan lapselle.

Yrityksillä voi olla oikeutettu etu henkilötietojen käsittelyyn, jolloin tietoja ei tarvitse poistaa. Yrityksillä on siten oikeus käsitellä työntekijöidensä tietoja, vaikka työntekijä sitä vastustaisikin.

» Katso tietosuoja-asetuksen artikla 17.
 

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Hänellä on oikeus siirtää kyseiset tiedot toiselle yritykselle tai rekisterinpitäjälle, jos tietojen käsittely perustuu suostumukseen tai sopimukseen ja tietoja käsitellään automaattisesti eli jonkinlaisella ohjelmalla.

Jos yritys käsittelee henkilötietoja suostumuksen tai sopimuksen perusteella, tulisi sen päivittää tietojärjestelmänsä sellaisiksi, että niistä voidaan siirtää tietoa toiselle yritykselle. Tämä koskee vain sähköistä tietoa; paperilla olevia tietoja ei tarvitse luovuttaa siirto-oikeuden perusteella. Jos tietojen käsittely ei perustu suostumukseen tai sopimukseen, ei rekisteröidyllä ole oikeutta siirtää henkilötietoja järjestelmästä toiseen.

Esimerkiksi työntekijöiden tietoja käsitellään sekä sopimuksen että yrityksen oikeutettujen etujen perusteella. Tällöin siirto-oikeus on olemassa vain sopimukseen liittyvissä tiedoissa, kuten palkkatiedoissa. Myös verkkopalveluissa yrittäjän tulisi varautua siirto-oikeuteen. On huomioitava, että siirto-oikeuden kohteena voivat olla vain tiedot, jotka rekisteröity on toimittanut yritykselle.

Henkilötietojen siirto-oikeutta ei kuitenkaan ole, jos se vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin. Yrityksen tulee itse arvioida tämä.

» Katso tietosuoja-asetuksen artikla 20.
 

Oikeus rajoittaa tietojen käsittelyä

Rekisteröidyllä on oikeus vaatia, että yritys rajoittaa hänen tietojensa käsittelyä, kun

  • käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
  • rekisterinpitäjä ei enää tarvitse henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
  • rekisteröidyn ja yrityksen välillä on erimielisyys siitä, syrjäyttävätkö yrittäjän henkilötietojen käsittelyn oikeutetut perusteet rekisteröidyn vaatimukset, ja odotettaessa asian todentamista rekisteröity on vastustanut henkilötietojen käsittelyä.

Jos käsittelyä on rajoitettu jollain edellä mainitulla perusteella, saa näitä henkilötietoja käsitellä ainoastaan rekisteröidyn suostumuksella, oikeudellisen vaateen laatimiseksi tai toisen henkilön oikeuksien suojaamiseksi. Tällöin yrittäjä saa edelleen säilyttää tietoja.

» Katso tietosuoja-asetuksen artiklat 18 ja 19.
 

Oikeus vastustaa käsittelyä

Rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä silloin, kun hän on antanut suostumuksensa tietojen käsittelylle. Rekisteröidyllä on oikeus myös milloin tahansa vastustaa sellaista häntä koskevien henkilötietojen käsittelyä, joka perustuu yrityksen oikeutettuun etuun tai profilointiin.

Rekisterinpitäjä ei kiellon jälkeen saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Oikeusvaade tarkoittaa esimerkiksi kannetta käräjäoikeudessa.

Perusteltuna syynä voidaan pitää myös työnantajan lakisääteistä velvollisuutta käsitellä työntekijän tietoja. Tällöin tietojen käsittelyä ei voida lopettaa, vaikka työntekijä sitä vastustaisikin.

Rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä suoramarkkinointia varten — mukaan lukien profilointi silloin kun se liittyy suoramarkkinointiin. Suoramarkkinoinnista kerrotaan enemmän Suoramarkkinointi-sivulla.
 

Oikeus vastustaa automatisoituja yksittäispäätöksiä, profilointi mukaan luettuna

Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn (kuten profilointiin), jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. 

Rekisteröidyllä on oikeus olla joutumatta hänen henkilökohtaisia ominaisuuksiaan arvioivan, mahdollisesti toimenpiteen sisältävän päätöksen kohteeksi, joka on tehty yksinomaan automaattisen tietojenkäsittelyn perusteella. Tästä tulee aiheutua henkilölle oikeudellisia vaikutuksia, kuten online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin käytännöt ilman, että kukaan ihminen osallistuu päätöksentekoon.

Tyypillisesti profiloinnissa analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.

  • perustuu rekisteröidyn nimenomaiseen suostumukseen
  • on välttämätön rekisteröidyn ja yrittäjän välisen sopimuksen tekemistä tai päätöksentekoa varten
  • on hyväksytty EU- tai kansallisessa lainsäädännössä.

Jos automatisoidussa päätöksenteossa käsitellään arkaluonteisia tietoja, yrittäjän tulee toteuttaa asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tämä tarkoittaa korostettua tietoturva-asioiden kunnossapitoa ja käsittelyn huolellista suunnittelua. Myös automatisoitua päätöksentekoa tehtäessä tulisi katsoa, ettei siinä syrjitä ketään arkaluontoisiin tietoihin perustuen.
 

» Katso tietosuoja-asetuksen artikla 22.

 

» Takaisin Yrittäjän tietosuojaopas -etusivulle

 

Päivitetty 23.2.2018