Rekisteröidyn oikeuksista poikkeaminen tieteellisen tai historiallisen tutkimuksen tai tilastoinnin yhteydessä
Tietosuoja-asetuksen III luvussa säädetään henkilötietojen käsittelyyn sovellettavista rekisteröidyn oikeuksista. Rekisteröidyn käytettävissä olevat oikeudet määräytyvät sen perusteella, mitä tietosuoja-asetuksen mukaista käsittelyperustetta sovelletaan. Oikeuksien toteuttamisesta voidaan tietyin edellytyksin poiketa tieteellisen tai historiallisen tutkimuksen tai tilastoinnin yhteydessä joko tietosuoja-asetuksen tai tietosuojalain säännösten perusteella.
Rekisteröidyn oikeuksista on mahdollista poiketa
- Tietosuojalain 31 §:n perusteella
- Tietosuoja-asetuksen 14, 17 ja 21 artiklan perusteella
- Tietosuoja-asetuksen 11 artiklan perusteella
Lue lisää henkilötietojen käsittelyperusteista
Rekisteröidyn oikeuksista poikkeaminen tietosuojalain 31 §:n perusteella
Tietosuojalain 31 §:n mukaisin edellytyksin voidaan poiketa seuraavista rekisteröidyn oikeuksista:
- oikeus saada tutustua tietoihin
- oikeus oikaista tietoja
- oikeus rajoittaa tietojen käsittelyä
- oikeus vastustaa henkilötietojen käsittelyä
Jos rekisterinpitäjä käsittelee erityisiin henkilötietoryhmiin kuuluvia tietoja tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja, on käsittelystä laadittava tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi tai noudatettava tietosuoja-asetuksen 40 artiklan mukaisia käytännesääntöjä, joissa rekisteröityjen oikeuksista poikkeaminen on otettu asianmukaisesti huomioon.
- Vaikutustenarvioinnin sisällöstä säädetään tietosuoja-asetuksen 35 artiklan 7 kohdassa. Vaikutustenarvioinnin on sisällettävä kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista, arvio käsittelyn tarpeellisuudesta ja oikeasuhtaisuudesta, arvio rekisteröityä koskevista riskeistä sekä suunnitellut toimenpiteet riskeihin puuttumiseksi.
Tietosuojavaltuutetun toimisto on laatinut ohjeen vaikutustenarvioinnin tekemisen tueksi. Ohjetta ja työkalua voidaan käyttää myös aikaisemmin laaditun vaikutustenarvioinnin kattavuuden arvioimiseksi.
Lue lisää vaikutustenarvioinnin tekemisestä
Tietosuojan vaikutustenarvioinnin ohje (pdf)
Excel-työkalu vaikutustenarvioinnin laatimisen tueksi (.xlsx-tiedosto)
- Rekisteröidyn oikeuksista voidaan poiketa tietosuojalain 31 §:n perusteella vain tarvittaessa. Perusteet rekisteröidyn oikeuksista poikkeamisen tarpeellisuudelle on tuotava esille vaikutustenarvioinnissa. Rekisterinpitäjän on lisäksi huolehdittava tietosuojalain 31 §:ssä säädettyjen suojatoimien toteuttamisesta.
- Jos rekisterinpitäjä siirtää henkilötietoja kolmansiin maihin, sen on arvioitava, onko siirrossa otettava käyttöön täydentäviä suojatoimia.
Lisätietoja Euroopan tietosuojaneuvoston ohjeessa:
Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi (englanniksi, pdf) (ks. erityisesti kohta 85).
Lue lisää henkilötietojen siirrosta kolmanteen maahan
- Vaikutustenarviointi on toimitettava kirjallisesti tiedoksi tietosuojavaltuutetun toimistoon ennen henkilötietojen käsittelyyn ryhtymistä. Vaikutustenarviointi voidaan toimittaa tietosuojavaltuutetun toimistolle sähköpostitse osoitteeseen tietosuoja(at)om.fi tai postitse osoitteeseen Tietosuojavaltuutetun toimisto, PL 800, 00531 Helsinki viitteellä ”Tietosuojalain 31§ mukainen rekisteröidyn oikeuksista poikkeaminen”. Tarvittaessa vaikutustenarvioinnin voi lähettää salattuna sähköpostina tai kirjattuna kirjeenä.
Ennakkokuulemista koskevaa lomaketta tulee käyttää vaikutustenarvioinnin lähettämiseen vain silloin, jos rekisterinpitäjän on kuultava tietosuojavaltuutettua tietosuoja-asetuksen 36 artiklan mukaisesti.
Tietosuojavaltuutetun toimiston yhteystiedot
- Henkilötietojen käsittely voidaan aloittaa, vaikka tietosuojavaltuutetun toimisto ei olisi vielä vastannut toimitettuun vaikutustenarviointiin.
- Vaikutustenarviointi ja muu osoitusvelvollisuuden mukainen dokumentaatio on pidettävä ajantasaisena ja tietosuojavaltuutetun saatavilla koko henkilötietojen käsittelyn elinkaaren ajan.
Lue lisää osoitusvelvollisuudesta
Rekisteröidyn oikeuksista poikkeaminen tietosuoja-asetuksen 14, 17 ja 21 artiklan perusteella
Tietosuoja-asetuksen 14 artiklan 5 kohdan b alakohdan, 17 artiklan 3 kohdan d alakohdan ja 21 artiklan 6 kohdan mukaisin edellytyksin voidaan poiketa seuraavista rekisteröidyn oikeuksista:
- oikeus saada tietoa henkilötietojen käsittelystä
- oikeus poistaa tiedot
- oikeus vastustaa henkilötietojen käsittelyä
Jos rekisteröidyn oikeuksien toteuttamisesta poiketaan ainoastaan tietosuoja-asetuksen 14, 17 ja/tai 21 artiklan perusteella, vaikutustenarviointia ei ole tarpeen laatia ja toimittaa tietosuojalain 31 §:ssä edellytetyllä tavalla. Vaikutustenarviointi voidaan kuitenkin joutua laatimaan tietosuoja-asetuksen 35 artiklan perusteella.
Poikkeaminen rekisteröidyn oikeuksista 14 artiklan perusteella sisältyy viranomaisen luetteloon käsittelytoimista, joiden yhteydessä on tehtävä vaikutustenarviointi. Vaikutustenarviointi on laadittava esimerkiksi silloin, kun tietojen käsittely on laajamittaista.
Rekisteröidyn oikeuksista poikkeaminen tietosuoja-asetuksen 11 artiklan perusteella
Tietosuoja-asetuksen 11 artiklassa säädetään henkilötietojen käsittelystä, joka ei edellytä rekisteröidyn tunnistamista. Säännöksen mukaisin edellytyksin voidaan poiketa seuraavista rekisteröidyn oikeuksista:
- oikeus saada tutustua tietoihin
- oikeus oikaista tietoja
- oikeus poistaa tiedot
- oikeus rajoittaa tietojen käsittelyä
- oikeus siirtää tiedot järjestelmästä toiseen
Jotta rekisterinpitäjä voi poiketa oikeuksista, sen on pystyttävä osoittamaan, ettei se pysty tunnistamaan rekisteröityä. Jos rekisteröity antaa oikeuksia käyttääkseen lisätietoja, joiden perusteella hänet voidaan tunnistaa, on rekisteröidyn oikeudet lähtökohtaisesti toteutettava.
Jos rekisteröidyn oikeuksien toteuttamisesta poiketaan ainoastaan tietosuoja-asetuksen 11 artiklan perusteella, vaikutustenarviointia ei ole tarpeen laatia ja toimittaa tietosuojalain 31 §:ssä edellytetyllä tavalla. Vaikutustenarviointi voidaan kuitenkin joutua laatimaan tietosuoja-asetuksen 35 artiklan perusteella.
Rekisteröidyn oikeuksia koskeva informointi
Rekisteröidyille on annettava tietoa heidän käytettävissään olevista oikeuksista sekä siitä, miltä osin oikeuksien käyttämistä on rajoitettu. Rekisteröityjen informointia koskevista velvoitteista ei voida poiketa tietosuojalain 31 §:n perusteella. Jos rekisteröityjen informoimisesta poiketaan tietosuoja-asetuksen 14 artiklan 5 kohdan b alakohdan perusteella, on informointia koskevat tiedot asetettava julkisesti saataville esimerkiksi rekisterinpitäjän verkkosivuille.
Lue lisää rekisteröidyn informoinnista
Lue lisää:
Rekisteröidyn oikeudet tieteellisessä tutkimuksessa
Tieteellinen tutkimus ja tietosuoja
Vastauksia usein kysyttyihin kysymyksiin tieteellisestä tutkimuksesta