Tiedätkö, millaisia uusia oikeuksia ja valinnanmahdollisuuksia asiakkaillanne, jäsenillänne, potentiaalisilla asiakkaillanne ja henkilöstöllänne on jatkossa omien tietojensa osalta? Tässä kirjoituksessa listataan 13 oikeutta, mitä rekisteröidyillä tulee olemaan keväästä 2018 alkaen.
EU:n tietosuoja-asetus, englanniksi General Data Protection Regulation (GDPR) astuu velvoittavana voimaan 25.5.2018. Sen jälkeen myös suomalaisten yritysten, järjestöjen ja viranomaisten eli rekisterinpitäjien on tarjottava henkilörekistereissään käsiteltäville rekisteröidyille entistä runsaammin päätäntävaltaa omiin tietoihinsa.
Tietosuojalainsäädännön tavoitteena on lisätä yleistä tietoisuutta henkilötietojen käsittelystä ja antaa rekisteröidyille aiempaa enemmän mahdollisuuksia vaikuttaa omien tietojensa prosessointiin.
Loppukeväästä 2018 alkaen rekisterinpitäjien on huolehdittava, että rekisteröidyillä on käytössään seuraavassa listatut oikeudet. Tässä muistilistassa kerrotaan ytimekkäästi oikeuden pääsisältö, ei kattavasti yksityiskohdista.
Otsikoissa viitatut tietosuoja-asetuksen artiklat on linkitetty www.privacy-regulation.eu sivustolla olevaan hyvään suomenkieliseen koosteeseen, jossa on sekä kyseinen artikla auki kirjoitettuna että linkitys artiklaa koskeviin tietosuoja-asetuksen perusteluteksteihin eli ns. resitaaleihin.
Onko teidän organisaatiossa jo työn alla prosessit seuraavien oikeuksien toteuttamiseksi?
1) Oikeus saada informaatiota henkilötietojen keräämisestä ja käsittelystä (Art 13, Art 14)
Rekisterinpitäjällä on velvollisuus toimittaa rekisteröidyille tietoja henkilötietojen käsittelystä. Asetuksen 13 artiklassa säädetään 12:sta eri toimitettavasta tietotyypistä, kun henkilötietoja kerätään rekisteröidyltä itseltään, eli kun henkilö esimerkiksi itse ryhtyy yrityksen asiakkaaksi.
Asetuksen 14 artiklassa lisätään vielä kaksi tietotyyppiä, jotka on lisäksi toimitettava, kun henkilötietoja ei ole saatu rekisteröidyltä itseltään, vaan jostain muualta.
2) Oikeus saada pääsy tietoihin (Art 15)
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä artiklan sisältämän 8-kohtaisen luettelon lisätiedot.
3) Oikeus tietojen oikaisemiseen (Art 16)
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin, rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.
4) Oikeus tietojen poistamiseen eli oikeus tulla unohdetuksi (Art 17)
Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että jokin artiklassa luetelluista kuudesta perusteesta täyttyy.
5) Oikeus käsittelyn rajoittamiseen (Art 18)
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi asetuksessa luetellusta neljästä perusteesta, kuten jos rekisteröity kiistää henkilötietojen paikkansapitävyyden.
Jos käsittelyä on rajoitettu näitä henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan mm. rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tahi toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi.
6) Oikeus saada rekisterinpitäjä ilmoittamaan oikaisusta, poistosta ja käsittelyn rajoittamisesta tietojen vastaanottajille (Art 19)
Rekisterinpitäjän on ilmoitettava kaikenlaisista henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.
7) Oikeus siirtää tiedot järjestelmästä toiseen (Art 20)
Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.
Kun rekisteröity käyttää oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.
8) Vastustamisoikeus (Art 21)
Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu tiettyihin 6 artiklan alakohtiin, kuten profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.
9) Oikeus olla joutumatta automatisoitujen päätösten kohteeksi (Art 22)
Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.
Edellä olevaa ei sovelleta, jos päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai perustuu rekisteröidyn nimenomaiseen suostumukseen.
10) Oikeus saada tieto rekisterinpitäjään kohdistuneesta tietoturvaloukkauksesta (Art 34)
Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.
11) Oikeus tehdä valitus valvontaviranomaiselle (Art 77)
Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.
12) Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää vastaan (Art 79)
Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien oikeus tehdä valitus valvontaviranomaiselle.
13) Oikeus saada korvaus aiheutuneista vahingoista (Art 82)
Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.
***
Rekisteröidyn uudistuviin oikeuksiin pureuduttiin loppuvuonna 2017 järjestämäni tietosuojaseminaarisarjan toisessa osassa. Seminaarin tallenteet nyt ostettavissa, 100 % seminaarisarjaan osallistuneista palautteen antajista suositteli koulutuksia muille. Verkkokauppaan: https://tietosuojaseminaari.fi
Jos organisaationne valmistautuminen tietosuoja-asetuksen voimaan astumiseen tarvitsee lähes 20 vuoden kokemuksella varustettua, juristijargonia puhumatonta asiantuntijaa, minut tavoittaa sähköpostilla elina@elinakoivumaki.com ja puhelimitse 040 555 35 79.