Minilex - Lakipuhelin

Rekisterinpidon on oltava avointa

» Lakipuhelin neuvoo - Soita 0600 12 450 »

Rekisterinpidon on oltava avointa, minkä vuoksi rekisterinpitäjälle on asetettu lainsäädännön keinoin tiettyjä velvollisuuksia. Kyse on tällöin nimenomaan rekisterinpitäjän toimintaan kohdistuvasta avoimuusvaatimuksesta, ei siitä, että ulkopuolisen henkilön olisi mahdollista päästä käsiksi rekisterissä oleviin tietoihin.

Rekisterinpitäjällä tarkoitetaan ihmistä tai organisaatiota, joka määrittelee henkilötietojen käsittelyn tarkoituksen ja tavat. Rekisterinpitäjiä voivat olla esimerkiksi verkkokauppa, yhdistys sairaala tai veroviranomainen. Rekisterillä puolestaan tarkoitetaan mitä tahansa henkilötietoja sisältävää tietojoukkoa, joka on jäsennelty ja josta tiedot ovat saatavilla tietyin perustein. Sillä ei ole merkitystä, onko tietojoukko keskitetty, hajautettu tai jaettu esimerkiksi maantieteellisin perustein. Rekisteröidyllä tarkoitetaan yksinkertaisesti henkilöä, jota rekisteröidyt henkilötiedot koskevat.

Rekisterinpitoa ja rekisteröityä koskeva sääntely sijoittuu pääasiallisesti Euroopan unionin yleiseen tietosuoja-asetukseen ja sitä täydentävään kansalliseen tietosuojalakiin. Artikkelin aikana on tarkoitus keskittyä kuitenkin voimassa olevan lainsäädännön sisältöön ja siihen, millaisina seikkoina rekisterinpitoon kohdistettu avoimuusvaatimus ilmenee.

Läpinäkyvyys yleisenä tietosuojaperiaatteena

Avoimuusvaatimus näkyy jo tietosuojaperiaatteiden tasolla. Yksi periaatteista on, että henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja läpinäkyvästi. Erityisesti läpinäkyvyyden vaatimus toteuttaa avoimuutta rekisterinpidossa. Aina, kun rekisterinpitäjä käsittelee henkilötietoja, on sen noudatettava tietosuojaperiaatteita. Sen lisäksi että periaatteita noudatetaan, on rekisterinpitäjän pystyttävä osoittamaan, että periaatteet todella toteutuvat.

Läpinäkyvyyden vaatimus tarkoittaa, että henkilötietojen käsittelystä täytyy kertoa selkeästi ja ymmärrettävästi. Periaate kytkeytyy myös rekisterinpitäjän informointivelvollisuuksiin rekisteröidylle. Rekisteröidylle onkin kerrottava, millaisia oikeuksia rekisteröidylle kuuluu, mitä henkilötietoja hänestä kerätään sekä millä tavalla ja missä tarkoituksessa hänen henkilötietojaan käsitellään. Näiden tietojen on oltava helposti saatavissa. Tiedot on kerrottava yksinkertaisella ja ymmärrettävällä kielellä. Tietojen ymmärrettävyys korostuu etenkin lasten tietoja käsiteltäessä.

Avoin ja ymmärrettävä toiminta koituu myös rekisterinpitäjän eduksi, sillä se lisää myös rekisteröidyn luottamusta rekisterinpitäjään.

Rekisterinpitäjän osoitusvelvollisuus

Myös rekisterinpitäjän osoitusvelvollisuus edistää osaltaan rekisterinpidon avoimuutta. Osoitusvelvollisuuden merkitys on, että rekisterinpitäjän on kyettävä osoittamaan, että se noudattaa tietosuojalainsäädäntöä toiminnassaan. Sen tarkoituksena on näyttää, että rekisterinpitäjä kunnioittaa tietosuojaa. Näin osoitusvelvollisuus myös lisää luottamusta rekisterinpitäjää kohtaan. Esimerkiksi tietoturvaloukkauksen tapahtuessa voi rekisterinpitäjä näyttää osoitusvelvollisuutensa avulla, että se on tapahtuneesta loukkauksesta huolimatta pyrkinyt aktiivisesti tunnistamaan toimintansa riskejä ja toteuttanut tarvittavat toimenpiteet henkilötietojen suojaamiseksi.

Käytännössä osoitusvelvollisuus toteutuu huolellisella dokumentoinnilla sekä tietyillä toimenpiteillä ja niiden kirjaamisella. Osoitusvelvollisuuden laajuus vaihtelee esimerkiksi organisaation koon sekä henkilötietojen laadun ja määrän mukaan. Velvollisuuden sisältö on näin arvioitava aina tapauskohtaisesti. Siihen voi liittyä esimerkiksi seloste henkilötietojen käsittelytoimista tai käsittelyn oikeusperustetta koskevat arviot sekä lukuisia muita toimenpiteitä tai dokumentointivelvollisuuksia.

Rekisterinpitäjän velvollisuus informoida rekisteröityjä henkilöitä

Rekisterinpidon avoimuutta toteuttaa myös rekisterinpitäjän informointivelvollisuus rekisteröidylle. Rekisterinpitäjän velvollisuus informointiin on samalla rekisteröidyn oikeus tiedonsaantiin. Käytännössä katsoen velvollisuus ilmenee niin, että rekisterinpitäjä on velvollinen tietoja kerätessään huolehtimaan rekisteröidyn tiettyihin seikkoihin kohdistuvasta tiedonsaantimahdollisuudesta. Rekisteröidyllä tulee olla tällöin mahdollisuus saada tieto rekisterinpitäjästä, sen yhteystiedoista sekä niistä tarkoituksista, joihin rekisteröidyn tietoja käsitellään. Rekisteröidylle on kerrottava myös tietojen käsittelyperuste ja häntä on informoitava tietojen käsittelyajoista sekä siitä, mihin tietoja luovutetaan. Rekisterinpitäjän on annettava myös tieto siitä, jos rekisteröidyn henkilötietoja on siirretty EU:n ulkopuolelle. Lisäksi rekisteröidylle on kerrottava hänen oikeuksistaan ja siitä, mistä häntä koskevat tiedot on saatu, jos niitä ei ole saatu rekisteröidyltä itseltään.

Velvollisuus mainittujen tietojen antamiseen kohdistuu rekisterinpitäjään ensinnäkin niitä kerättäessä. Silloin kun tietoja kerätään rekisteröidyltä itseltään, on tieto annettava tässä samassa yhteydessä. Jos tietoja saadaan sen sijaan jostain muualta, on informointi toteutettava kohtuullisessa ajassa ja viimeistään kuukauden kuluttua tietojen saamisesta. Jos tietoja käytetään rekisteröidyn kanssa viestintään, on tiedot annettava silloin, kun rekisteröidyn kanssa ollaan ensimmäisen kerran yhteydessä. Jos tietojen hankkiminen tehdään muuta kautta kuin rekisteröidyltä itseltään ja tarkoituksena on luovuttaa kyseisiä tietoja, kohdistuu velvollisuus tiedonantoon viimeistään siihen ajankohtaan, jona tietoja luovutetaan ensimmäistä kertaa.

Tietyissä tilanteissa myös tiedonantovelvollisuudesta katsotaan voitavan poiketa. Poikkeamista pidetään mahdollisena, jos rekisteröity on saanut tarkoitetut tiedot jo aiemmin tai jos poikkeamista pidetään välttämättömänä valtion turvallisuuden, puolustuksen tai yleisen järjestyksen ja turvallisuuden perusteella. Poikkeaminen velvollisuudesta voi ajankohtaistua myös silloin, kun sitä pidetään välttämättömänä rikosten ehkäisemisen, selvittämisen tai sellaisen valvontatehtävän vuoksi, joka liittyy verotukseen tai julkiseen talouteen. Lisäksi poikkeaminen on mahdollista silloin, kun tietojen kerääminen tapahtuu joltain muulta kuin rekisteröidyltä ja tietojen rekisteröidylle antaminen näyttäytyy mahdottomana tai kohtuuttomasti vaivaa aiheuttavana.

Rekisteröidyn oikeus saada pääsy omiin tietoihinsa

Rekisterinpidon avoimuutta osoittaa myös se, että jokaisella rekisteröidyllä on oikeus saada pääsy omiin tietoihinsa. Rekisteröidyllä on ensinnäkin oikeus saada tieto siitä, onko henkilörekisteriin talletettu häntä koskevia tietoja tai toisaalta mitä tietoja rekisteri hänestä sisältää. Rekisterinpitäjän on annettava rekisteröidylle jäljennös käsiteltävistä tiedoista. Oikeuden tulee toteutua salassapitosäännöksistä huolimatta, kun henkilö ilmoittaa tiedon etsimisen osalta tarpeelliset seikat.

Lisäksi rekisteröidyllä on oikeus saada tiedot henkilötietojensa käsittelyn tarkoituksesta ja niistä henkilötietoryhmistä, joita hänen osaltaan käsitellään. Jos rekisteröidyn tietoja luovutetaan tai niitä on aikomus luovuttaa, on hänelle annettava tiedot luovutuksen vastaanottajista. Jos henkilötietoja siirretään Euroopan unionin ulkopuolelle, on rekisteröidylle annettava tieto siirtoa varten toteutettavista suojatoimista. Rekisteröidyllä on niin ikään oikeus saada tieto tietojensa suunnitellusta säilytysajasta tai ainakin säilytysajan määrittämiskriteereistä. Lisäksi tieto on annettava rekisteröidyn oikeudesta pyytää tietojensa oikaisemista, poistamista, käsittelyn rajoittamista tai vastustamista sekä oikeudesta tehdä valitus tietosuojavaltuutetulle. Rekisteröidyllä on myös oikeus informointiin tietojensa alkuperästä, jos niitä ei ole kerätty häneltä itseltään. Jos tietojen käsittelyyn käytetään automatisoitua menetelmää, on tieto annettava myös tällaisen menetelmän käytöstä, menetelmän logiikasta, käsittelyn merkittävyydestä sekä seurauksista rekisteröidylle. 

Lähtökohtaisesti oikeuden käyttämisestä ei saa periä maksua. Jos rekisteröity pyytää useita jäljennöksiä, voi rekisterinpitäjä periä häneltä kohtuullisen, hallinnollisia kustannuksia vastaavan maksun. Kohtuullinen maksu voidaan periä myös silloin, jos pyyntö on selvästi kohtuuton tai perusteeton, erityisesti jos pyyntöjä esitetään toistuvasti.

Tarkastusoikeuden käyttöä saatetaan joutua rajoittamaan tietyissä, laissa erikseen määritellyissä, tilanteissa. Rekisteröidyllä henkilöllä on oikeus vaatia, että häntä koskeva virheellinen tieto korjataan. Lisäksi rekisteröidyllä on tietyissä tilanteissa oikeus saada rekisterinpitäjä poistamaan häntä koskevat henkilötiedot. Niin ikään rekisteröity voi vaatia tietojensa käsittelyn rajoittamista ja vastustaa henkilötietojensa käsittelyä.

Myös tietosuojavaltuutetulla on mahdollisuus valvoa henkilötietojen käsittelyn lainmukaisuutta ja oikeus tarkastaa henkilörekistereitä.

Vinkit

- Rekisterinpitäjälle on osoitettu rekisterinpidon avoimuuden turvaamiseksi tiettyjä velvollisuuksia lainsäädännön keinoin.

- Rekisterinpitäjän velvollisuudet liittyvät esimerkiksi rekisteröityjen informointiin ja osoitusvelvollisuuteen.

Varoitukset

- Rekisterinpitäjälle osoitetuista velvollisuuksista saatetaan tietyissä tilanteissa joutua poikkeamaan. Rekisterinpidon avoimuuteen voi näin ollen liittyä joitakin oikeudellisesti hankalia seikkoja. Epäselvien kysymysten osalta saattaa olla suositeltavaa olla yhteydessä asiantuntevaan lakimieheen.

 

- Lakipuhelin neuvoo aamusta iltaan joka päivä -


Pyydä tarjous lakipalvelusta

 

Jätä sitomaton tarjouspyyntö lakimiehen palkkaamiseksi




Lakimiehet käsittelevät tietojasi luottamuksellisesti, eikä niitä tallenneta
Minilex.fi-palveluun.


 

Aiheeseen liittyvät artikkelit


 

Selaa lakitietoa