05.07.2018

Rekisteröidyn oikeudet

Oikeuksia koskevan pyynnön tekeminen

Voit halutessasi käyttää oheista lomaketta pyynnön tekemiseen. Pyyntö toimitetaan Jyväskylän yliopiston kirjaamoon. Katso tarkemmat tiedot lomakkeesta:

  • Rekisteröidyn oikeuksien lomake (docx)

Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä

Sinulla on oikeus tietää käsitelläänkö henkilötietojasi vai ei. Lisäksi sinulla on oikeus saada käsittelyä koskevat tiedot (tietosuojailmoitus tai muu vastaava dokumentti). Läpinäkyvyys on erityisen tärkeää henkilötietojen käsittelyssä.

Seuraavassa taulukossa esitetään lyhyesti ne tiedot, jotka rekisteröidylle tulisi toimittaa ja missä vaiheessa.

Mitkä tiedot tulee toimittaa?

Tiedot on saatu suoraan rekisteröidyltä

Tiedot on saatu muuta kautta

Rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän sekä tietosuojavastaavan nimi ja yhteystiedot

Käsittelyn tarkoitus sekä oikeusperusta

Rekisterinpitäjän tai kolmannen osapuolen mahdolliset oikeutetut edut

Henkilötietoryhmät

 

Henkilötietojen vastaanottajat / vastaanottajaryhmät

Henkilötietojen siirtoa EU:n ulkopuolelle koskevat tiedot sekä tieto suojatoimenpiteistä

Henkilötietojen säilytysaika tai kriteerit, joilla säilytysaika määritetään

Tieto rekisteröidyn oikeuksista

Jos käsittely perustuu suostumukseen, tieto siitä, kuinka suostumuksen voi peruuttaa

Oikeus tehdä valitus valvontaviranomaiselle (25.5.2018 alkaen)

Mistä henkilötiedot on saatu, ja onko ne saatu yleisesti saatavilla olevista lähteistä

 

Onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus tai sopimuksen tekemisen edellyttämä vaatimus, onko toimittaminen pakollista ja mitä seuraa siitä, jos tietoja ei toimita.

 

Käytetäänkö tietoja automaattiseen päätöksentekoon (tai profilointiin), käsittelyn logiikka, käsittelyn merkittävyys ja seuraukset rekisteröidylle

Milloin tiedot tulee toimittaa?

Tietojen hankkimishetkellä.

Kohtuullisen ajan sisällä tietojen hankkimisesta (viimeistään kuukauden sisällä)

 

 

Oikeus saada pääsy tietoihin

Rekisteröidyllä on oikeus saada

  • Vahvistus siitä, että hänen henkilötietojaan käsitellään
  • Pääsy henkilötietoihin
  • Muuta lisätietoa – tämä vastaa laajalti tietosuojailmoitukseen sisällytettäviä tietoja (ks. Artikla 15)

Tietosuoja-asetuksessa selvennetään, että pääsyoikeuden tarkoituksena on mahdollistaa se, että rekisteröity on tietoinen henkilötietojensa käsittelystä ja voi varmistua sen lainmukaisuudesta.

Rekisteröidylle on toimitettava henkilötietojensa käsittelyä koskevat tiedot ilman viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Vastausaikaa voi pidentää kahdella kuukaudella silloin, kun rekisteröidyn pyyntö on monimutkainen tai runsaslukuinen. Tällaisessa tapauksessa rekisteröityä on informoitava pyynnön vastaanottamisesta sekä ilmoitettava syyt siihen, että vastausajan pidentäminen on tarpeen.

Jos rekisteröidyn pyyntö on ilmeisen perusteeton tai kohtuuton, erityisesti kun ne ovat toistuvia, on mahdollista evätä pyyntö. Jos rekisteröidyn pyyntö evätään, hänelle tulee selvittää viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja. Pyynnön tehneen henkilön henkilöllisyys tulee varmentaa kohtuullisia keinoja käyttäen. Jos pyyntö esitetään sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus saada virheelliset tai vaillinaiset henkilötiedot oikaistua. Jos tällaisia henkilötietoja on luovutettu kolmansille osapuolille, tulee näitä informoida oikaisusta, jos mahdollista. Myös rekisteröityä tulee informoida mahdollisuuksien rajoissa siitä, kenelle tietoja on luovutettu.

Oikeus tietojen poistamiseen

Oikeus tietojen poistamiseen tunnetaan myös ”oikeutena tulla unohdetuksi”. Yleisenä periaatteena on se, että rekisteröidyllä on mahdollisuus pyytää henkilötietojensa poistamista silloin, kun pakottavaa syytä niiden jatkokäsittelylle ei ole.

Oikeus tietojen poistamiseen ei tarjoa täydellistä ”oikeutta tulla unohdetuksi”. Rekisteröidyllä on oikeus saada henkilötietonsa poistetuksi ja estää käsittely tietyissä olosuhteissa:

  • Kun henkilötietoja ei enää tarvita suhteessa siihen tarkoitukseen jota varten ne alun perin kerättiin/käsiteltiin
  • Kun rekisteröity peruu suostumuksensa
  • Kun rekisteröity vastustaa käsittelyä ja mikään oikeutettu etu ei vaadi käsittelyn jatkamista
  • Henkilötietoja on käsitelty lainvastaisesti (eli tietosuoja-asetusta on rikottu)
  • Henkilötiedot tulee poistaa laillisen velvoitteen noudattamiseksi
  • Henkilötietoja käsitellään tarjottaessa tietoyhteiskunnan palveluita lapselle

On joitain tiettyjä tilanteita, joissa oikeus tietojen poistamiseen ei päde, ja rekisteröidyn pyyntö voidaan evätä. Tietojen poisto ei ole tarpeen, jos käsittely suoritetaan seuraavista syistä:

  • Sanan- ja tiedonvapauden harjoittamiseksi
  • Laillisen velvoitteen noudattamiseksi, yleisen edun mukaisen tehtävän suorittamiseksi tai viranomaisen tehtävän hoitamiseksi
  • Yleisen edun mukaisia kansanterveydellisiä tarkoituksia varten
  • Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten
  • Oikeudellisien vaatimuksien tekemistä tai niiltä puolustautumista varten

Oikeus käsittelyn rajoittamiseen

 Tietosuoja-asetuksen mukaan rekisteröidyllä on oikeus rajoittaa henkilötietojensa käsittelyä. Kun käsittelyä rajoitetaan, rekisterinpitäjällä tai henkilötietojen käsittelijällä on oikeus säilyttää henkilötietoja, muttei jatkaa niiden käsittelyä. Rekisteröidystä voi säilyttää juuri sen verran tietoa, kun on tarpeen sen varmistamiseksi, että rajoitusta noudatetaan tulevaisuudessa.

Henkilötietojen käsittelyä tulee rajoittaa seuraavissa tilanteissa:

  • Rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
  • Rekisteröity vastustaa henkilötietojensa käsittelyä (sen ollessa tarpeen yleisen edun mukaisen tehtävän suorittamiseksi tai oikeutettujen etujen toteuttamiseksi), ja tarkastellaan sitä, asettuvatko organisaation oikeutetut perusteet rekisteröidyn perusteiden edelle
  • Kun käsittely on lainvastaista ja rekisteröity vastustaa tietojen poistamista ja pyytää sen sijaan niiden rajoittamista
  • Kun henkilötietoja ei enää tarvita, mutta rekisteröity pyytää tietoja aloittaakseen tai tehdäkseen oikeusvaatimuksen tai puolustautuakseen sellaiselta

Jos kyseisiä henkilötietoja on luovutettu kolmansille osapuolille, tulee näitä informoida henkilötietojen käsittelyn rajoittamisesta, ellei sen tekeminen vaadi mahdottomia tai kohtuuttomia toimenpiteitä.

Rekisteröityä tulee informoida, kun käsittelyn rajoittaminen päätetään kumota.

Oikeus siirtää tiedot järjestelmästä toiseen

Oikeus siirtää tiedot järjestelmästä toiseen antaa rekisteröidylle mahdollisuuden saada haltuunsa itseään koskevat henkilötiedot ja käyttää niitä uudelleen omiin tarkoituksiinsa eri palveluissa.

Oikeutta siirtää tiedot järjestelmästä toiseen voidaan soveltaa:

  • Henkilötietoihin, jotka rekisteröity on toimittanut rekisterinpitäjälle
  • Kun käsittely perustuu rekisteröidyn suostumukseen tai sopimuksen täytäntöön panemiseksi
  • Kun käsittely suoritetaan automaattisen tietojenkäsittelyn avulla

Rekisteröidylle tulee toimittaa itseään koskevat henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.

Vastustamisoikeus

 Vastustamisoikeus tarkoittaa sitä, että rekisteröidyllä on oikeus vastustaa:

  • Oikeutettuun etuun perustuvaa käsittelyä tai käsittelyä, joka suoritetaan yleisen edun mukaisen tehtävän suorittamiseksi tai viranomaisen tehtävän hoitamiseksi (mukaan lukien profilointi)
  • Suoramarkkinointia (ml. profilointi)
  • Käsittelyä, joka suoritetaan tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten (tähän voidaan säätää poikkeus kansallisessa laissa)

Käsittely suoritetaan lakisääteisen tehtävän suorittamiseksi tai organisaation oikeutettujen etujen toteuttamiseksi

Rekisteröidyn vastustaessa käsittelyä tulee perustana olla ”henkilökohtainen erityinen tilanne” (artikla 21). Henkilötietojen käsittely tulee keskeyttää, ellei rekisterinpitäjä pysty osoittamaan, että

  • Käsittelyn suorittamiselle on pakottava laissa säädetty perusta, joka asettuu yksilön etujen, oikeuksien ja vapauksien edelle tai
  • Käsittely suoritetaan oikeusvaatimuksen aloittamiseksi, tekemiseksi tai sellaiselta puolustautumiseksi

Rekisteröityä tulee informoida vastustamisoikeudesta yhteydenpidon alkuhetkellä sekä tietosuojailmoituksessa. Se tulee tuoda rekisteröidyn tietoon yksiselitteisesti ja esittää selkeästi ja erillään muista tiedoista.

Käsittely suoritetaan suoramarkkinointia varten

Henkilötietojen käsittely suoramarkkinointia varten tulee lopettaa heti kun tieto vastustamisesta vastaanotetaan. Vapauttamisperusteita tästä kieltäytymiseksi ei ole. Suoramarkkinointia varten tapahtuvan käsittelyn vastustaminen tulee käsitellä missä tahansa vaiheessa sekä maksutta.

Rekisteröityä tulee informoida vastustamisoikeudesta yhteydenpidon alkuhetkellä sekä tietosuojailmoituksessa. Se tulee tuoda rekisteröidyn tietoon yksiselitteisesti ja esittää selkeästi ja erillään muista tiedoista.

Automaattiseen tietojenkäsittelyyn ja profilointiin liittyvät oikeudet

Tietosuoja-asetus tarjoaa rekisteröidylle keinoja suojautua siltä riskiltä, että mahdollisesti haitallinen päätös tehdään ilman ihmisen väliintuloa. Rekisterinpitäjän tulee tunnistaa mahdolliset käsittelytoimet, jotka perustuvat automatisoituun päätöksentekoon, ja harkita onko tarvetta päivittää toimenpiteet tietosuoja-asetuksen edellyttämälle tasolle.

Milloin näitä oikeuksia voidaan soveltaa?

Rekisteröidyllä on oikeus olla joutumatta päätöksenteon kohteeksi, kun

  • Se perustuu automatisoituun tietojenkäsittelyyn ja
  • Sillä on oikeudellisia tai samalla tapaa merkittäviä seurauksia rekisteröidyn kannalta

Rekisterinpitäjän tulee varmistaa, että rekisteröidyllä on mahdollisuus

  • Saada ihmisen väliintulo
  • Ilmaista näkökantansa
  • Saada selitys päätöksestä sekä kyseenalaistaa se

Voiko oikeuksia soveltaa kaikkeen automatisoituun päätöksentekoon?

Ei. Oikeutta ei voida soveltaa, kun päätöksenteko

  • on tarpeen sellaiseen sopimukseen osallistumiseksi tai sen täytäntöön panemiseksi, jossa rekisteröity on osapuolena
  • käsittelylle on laillinen lupa (esim. petoksen tai veronkierron estämiseksi) tai
  • käsittely perustuu yksiselitteiseen suostumukseen (artikla 9(2))

Oikeutta ei lisäksi voi soveltaa silloin, kun päätöksenteolla ei ole oikeudellista tai samalla tapaa merkittäviä seurauksia rekisteröidyn kannalta.

Mitä muuta tietosuoja-asetuksessa säädetään profiloinnista?

Tietosuoja-asetus määrittelee profiloinniksi minkä tahansa henkilötietojen automatisoidun käsittelyn, jonka tarkoituksena on arvioida yksilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan tämän

  • työsuoritusta
  • taloudellista tilannetta
  • terveyttä
  • henkilökohtaisia mieltymyksiä
  • luotettavuutta
  • käyttäytymistä
  • sijaintia tai
  • liikkeitä

Kun henkilötietoja käsitellään profilointia varten, rekisterinpitäjän/henkilötietojen käsittelijän tulee varmistaa, että kohtuulliset suojakeinot ovat käytössä. Tällöin tulee:

  • varmistaa, että käsittely on asianmukaista ja läpinäkyvää tarjoamalla merkityksellistä tietoa käsittelylogiikasta, kuten myös sen merkityksestä ja mahdollisista seurauksista rekisteröidylle
  • suorittaa asianmukaiset matemaattiset tai tilastolliset toimenpiteet profilointia varten
  • toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla mahdollistetaan epätarkkuuksien korjaaminen ja virheiden riskin minimointi
  • suojata henkilötiedot tavalla, joka on oikeasuhteinen rekisteröidyn etuihin ja oikeuksiin kohdistuviin riskeihin nähden, ja jolla ehkäistään syrjiviä vaikutuksia

Automatisoitu päätöksenteko, joka suoritetaan artiklassa 9(2) listattuihin tarkoituksiin, ei saa:

  • kohdistua lapseen tai
  • perustua arkaluonteisten henkilötietojen käsittelyyn, paitsi jos
    • käsittelyyn on saatu rekisteröidyn yksiselitteinen suostumus
    • käsittely on tarpeen huomattavan yleisen edun takia, perustuen EU:n/jäsenvaltion lainsäädäntöön. Sen tulee olla oikeasuhteinen tarkoitusperiin nähden, kunnioittaa perimmäistä oikeutta tietosuojaan ja kattaa asianmukaiset ja erityiset suojakeinot, joilla turvataan rekisteröidyn oikeudet ja edut.