Rekisteröidyn oikeudet

 

 

Mitä oikeuksia oppilaalla tai opiskelijalla on henkilötietojensa käsittelyssä?

Tietosuoja-asetuksen tarkoituksena on taata luonnollisille henkilöille kaikissa jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet.[1] Lähtökohtaisesti ne vastaavat pitkälti henkilötietolain mukaisia rekisteröidyn oikeuksia. Aiempaan verrattuna tietosuoja-asetus kuitenkin tarkentaa oikeuksien sisältöä ja vastaavasti myös edellyttää rekisterinpitäjiltä kattavampia toimenpiteitä niiden käytön mahdollistamiseksi.

Rekisteröidyllä on oikeus tietää, käsitelläänkö häntä koskevia henkilötietoja vai ei. Rekisterinpitäjän tulee pyynnöstä vahvistaa se, että oppilasta tai opiskelijaa koskevia henkilötietoja käsitellään tai että niitä ei käsitellä.[2] Siinä tapauksessa, että henkilötietoja käsitellään, rekisteröidyllä on oikeus saada pääsy käsittelyn kohteena oleviin henkilötietoihinsa. Käytännössä tämä merkitsee sitä, että rekisterinpitäjän on toimitettava oppilaalle tai opiskelijalle jäljennös käsiteltävistä henkilötiedoista.[3]

Kun rekisteröity käyttää oikeuttaan saada pääsy tietoihin, rekisteröidylle on jäljennöksen lisäksi annettava henkilötietojen käsittelyä koskevat tiedot. Tällaisia tietoja ovat seuraavat:

  • käsittelyn tarkoitukset,
  • kyseessä olevat henkilötietoryhmät,
  • vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa,
  • henkilötietotietojen suunniteltu säilytysaika, tai jos se ei ole mahdollista, säilytysajan määrittämiskriteerit,
  • rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä,
  • oikeus tehdä valitus valvontaviranomaiselle,
  • jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot,
  • tieto automaattisen päätöksenteon olemassaolosta ja merkitykselliset tiedot käsittelyyn liittyvästä logiikasta sekä tiedot käsittelyn merkittävyydestä ja mahdollisista seurauksista.[4]

Rekisteröidyllä on aina oikeus vaatia rekisterinpitäjää oikaisemaan epätarkat, vanhentuneet, puutteelliset tai muuten virheelliset henkilötiedot. Rekisterinpitäjän on korjaamispyynnön vastaanotettuaan ryhdyttävä toimenpiteisiin ilman aiheetonta viivytystä.[5] Jos rekisterinpitäjä tai tämän edustaja havaitsee virheitä käsittelemissään henkilötiedoissa, tiedot on täsmällisyyden periaatteen noudattamiseksi oikaistava, vaikka rekisteröity ei sitä olisi vaatinutkaan.

Rekisteröity voi halutessaan vaatia, että rekisterinpitäjä rajoittaa henkilötietojen käsittelyä niiden paikkansapitävyyden varmistamisen ajaksi.[6] Tällöin rekisterinpitäjän tulee merkitä tallennetut henkilötiedot tavalla, joka mahdollistaa niiden myöhemmän käsittelyn rajoittamisen.[7] Henkilötietojen käsittelyä rajoittavia menetelmiä voivat olla muun muassa valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Jos henkilötietojen käsittely on automaattista, käsittelyn rajoittaminen tulisi varmistaa teknisin keinoin siten, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa.[8] Rajoittamista voidaan vaatia myös silloin, kun henkilötietojen käsittely on lainvastaista, mutta rekisteröity vastustaa niiden poistamista, tai jos rekisterinpitäjä ei enää tarvitse tietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.[9]

Jos oppilas tai opiskelija havaitsee, että hänen henkilötietojaan käsitellään lainvastaisesti, tarpeettomasti niiden alkuperäisiin käsittelytarkoituksiin nähden tai että ne tulisi lain nojalla poistaa, hänellä on oikeus vaatia henkilötietojensa poistamista.[10] Rekisteröity ei kuitenkaan voi vaatia henkilötietojensa poistamista niin kauan, kun käsiteltävät henkilötiedot ovat tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi tai kun niiden käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten.[11] Oppilas tai opiskelija ei siten voi esimerkiksi vaatia arvosana- tai poissaolotietojensa poistamista sillä perusteella, että hän ei halua niitä käsiteltävän.

Rekisteröidyn oikeuksiin vaikuttaa jonkin verran se, mihin oikeudelliseen edellytykseen henkilötietojen käsittely perustuu. Oppilaitoksissa henkilötietojen käsittely perustuu lähtökohtaisesti joko siihen, että se on tarpeen rekisterinpitäjän lakisääteisen tehtävän noudattamiseksi tai siihen, että se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi. Silloin, kun käsittely perustuu rekisterinpitäjän lakisääteisen noudattamiseen, rekisteröidyn oikeudet rajoittuvat yllä lueteltuihin oikeuksiin. Tätä kohtaa täydennetään, kun tietosuojalaki on hyväksytty.

Jos käsittely perustuu yleistä etua koskevan tehtävään tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen, rekisteröidyllä on lisäksi oikeus vastustaa henkilötietojensa käsittelyä milloin tahansa henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella. Tällöin rekisterinpitäjä ei enää lähtökohtaisesti saa käsitellä rekisteröityä koskevia tietoja. Käsittelyä saadaan kuitenkin jatkaa siinä tapauksessa, että rekisterinpitäjä pystyy osoittamaan käsittelylle olevan olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet.[12] Lisäksi vastustamisoikeus on nimenomaisesti saatettava rekisteröidyn tietoon viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, ja se on tehtävä selkeästi ja muusta tiedotuksesta erillään.[13]

Rekisteröidyn oikeuksien toteuttaminen oppilaitoksissa

Kaikilla rekisterinpitäjillä on tietosuoja-asetuksen nojalla nimenomainen velvollisuus sekä helpottaa rekisteröidyn oikeuksien käyttämistä että toimia rekisteröidyn pyynnöstä niiden toteuttamiseksi.[14] Käytännössä tämä merkitsee sitä, että oikeuksien käyttämistä ei tule tehdä rekisteröidyn kannalta liian vaikeaksi tai monimutkaiseksi. Oppilaille ja opiskelijoille on kerrottava avoimesti, millaisia oikeuksia heillä on henkilötietojensa käsittelyn suhteen sekä opastettava heitä siinä, miten he voivat tällaisia oikeuksiaan hyödyntää.

Silloin, kun oppilas tai opiskelija ilmaisee haluavansa käyttää henkilötietojen käsittelyyn liittyviä oikeuksiaan, rekisterinpitäjän on vastattava pyyntöön ilman aiheetonta viivytystä, kuitenkin viimeistään kuukauden kuluessa pyynnön vastaanottamisesta.[15] Rekisterinpitäjän tehtävänä on varmistaa, että opetushenkilöstö on tietoinen rekisteröityjen oikeuksista ja siitä, miten niiden käyttämistä koskevien pyyntöjen kanssa tulee toimia.

Rekisteröidyltä ei voida periä maksua oikeuksien käyttämisestä tai niiden käyttöä koskeviin pyyntöihin vastaamisesta.[16] Jos pyyntö koskee tietojen saamista, ne on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa myös suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.[17] Jos henkilötietoja käsitellään sähköisesti, on oppilaalle tai opiskelijalle tarjottava keinot esittää pyynnöt sähköisesti.[18]

Jos rekisterinpitäjä ei toteuta rekisteröidyn pyytämiä toimenpiteitä, rekisterinpitäjän on viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta ilmoitettava rekisteröidylle syyt siihen. Samassa yhteydessä rekisteröidylle on kerrottava hänelle kuuluvista oikeussuojakeinoista, kuten oikeudesta tehdä valitus valvontaviranomaiselle.[19] Hyväksyttävä syy pyynnön hylkäämiselle voi olla esimerkiksi se, että pyyntö kohdistuu selkeästi toisen henkilön tietoihin. Se, että rekisterinpitäjä ei pysty varmistumaan pyynnön esittäneen henkilön henkilöllisyydestä, ei kuitenkaan lähtökohtaisesti ole perusteltu syy olla ryhtymättä toimenpiteisiin pyynnön toteuttamiseksi. Jos rekisterinpitäjällä on perusteltua syytä epäillä pyynnön tehneen oppilaan tai opiskelijan henkilöllisyyttä, on häntä pyydettävä toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi.[20]

Rekisteröidyn oikeudet eivät riipu rekisteröidyn iästä, vaan ne kuuluvat yhtä lailla sekä aikuisille että lapsille. Tilanteisiin, joissa kolmas osapuoli, kuten alaikäisen lapsen vanhempi, esittää pyynnön rekisteröidyn oikeuksien käytöstä, tietosuoja-asetus ei ota kantaa.

Joskus pyyntöjä voidaan esittää myös kiusantekotarkoituksessa. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään jatkuvasti, rekisterinpitäjä voi harkintansa mukaan joko periä kohtuullisen maksun pyyntöihin vastaamisesta tai kieltäytyä suorittamasta pyydettyä toimea. Rekisterinpitäjän on tällöin pystyttävä perustelemaan pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.[21] Myös tällaisissa tapauksissa rekisteröidylle on kuukauden kuluessa toimitettava tiedot pyynnön toteuttamisesta kieltäytymisestä, kieltäytymisen perusteista sekä hänen käytettävistään olevista oikeussuojakeinoista.

 

[1] Tietosuoja-asetuksen johdanto-osan 13 kohta.

[2] Tietosuoja-asetuksen 15 artiklan 1 kohta.

[3] Tietosuoja-asetuksen 15 artiklan 3 kohta.

[4] Tietosuoja-asetuksen 15 artiklan 1 kohta.

[5] Tietosuoja-asetuksen 16 artikla.

[6] Tietosuoja-asetuksen 18 artiklan 1 kohta.

[7] Tietosuoja-asetuksen 4 artiklan 3 kohta.

[8] Tietosuoja-asetuksen johdanto-osan 67 kohta.

[9] Tietosuoja-asetuksen 18 artiklan 1 kohta.

[10] Tietosuoja-asetuksen 17 artiklan 1 kohta.

[11] Tietosuoja-asetuksen 17 artiklan 3 kohta.

[12] Tietosuoja-asetuksen 21 artiklan 1 kohta.

[13] Tietosuoja-asetuksen 21 artiklan 4 kohta.

[14] Tietosuoja-asetuksen 12 artiklan 1 ja 2 kohdat.

[15] Tietosuoja-asetuksen 12 artiklan 3 kohta.

[16] Tietosuoja-asetuksen 12 artiklan 5 kohta.

[17] Tietosuoja-asetuksen 12 artiklan 1 kohta.

[18] Tietosuoja-asetuksen johdanto-osan 59 kohta.

[19] Tietosuoja-asetuksen 12 artiklan 4 kohta.

[20] Tietosuoja-asetuksen 12 artiklan 6 kohta.

[21] Tietosuoja-asetuksen 12 artiklan 5 kohta.

Lisätietoja

Henriikka Hannula, erityisasiantuntija 
OKM, Yleissivistävän koulutuksen ja varhaiskasvatuksen osasto, Yleissivistävän koulutuksen ja varhaiskasvatuksen vastuualue 0295330204