Joni Nieminen
Yle
Askarruttaako, mitä kaikkea tietoa sinusta kerätään? Entä millaiset mahdollisuudet sinulla on ottaa asiasta selvää? EU:n tietosuoja-asetuksen mukaan sinulla on oikeus tehdä tietopyyntö mille tahansa toimijalle, joka on kerännyt henkilötietojasi.
Tietoja sinusta kertyy lukuisiin eri paikkoihin. Tietojasi voi olla kauppaketjun asiakasrekisterissä, Facebookin ja muiden digitaalisten palvelujen sovelluksissa sekä työ- ja opiskelupaikoissa.
EU-maassa kansalaisella on oikeus tehdä tietopyyntö. Se tarkoittaa, että sinulla on oikeus tietää, mitä henkilötietoja sinusta kerätään, mihin tarkoitukseen ja missä niitä säilytetään.
Saat tarkastaa henkilötietosi ilman mitään erityistä syytä eli pyyntöä ei tarvitse perustella.
Mitkä tietosi kuuluvat tietopyynnön piiriin?
Henkilötiedot ovat laaja käsite. Niihin kuuluvat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Sellaisia ovat esimerkiksi puhelinnumero, auton rekisterinumero ja digilaitteen IP-osoite.
Tarkempia esimerkkejä henkilötiedoista löydät Tietosuojavaltuutetun toimiston sivuilta.
Muotoile tietopyyntö selkeästi
Jotta saat haluamasi tiedot, kannattaa olla tarkkana tietopyyntöä tehdessä. Ei riitä, että organisaatio kertoo, mitä tietoja se yleensä kerää, vaan sen pitää toimittaa nimenomaan sinua koskevat tiedot.
Sinun ei tarvitse erikseen lähteä noutamaan tietojasi mistään, vaan tiedot on toimitettava sinulle siinä muodossa, jossa olet niitä pyytänyt.
Jos teet tietopyynnön sähköisesti, tiedot tulee myös toimittaa sähköisesti.
Tietopyyntöä tehdessäsi voit käyttää apuna tätä listaa:
- Mitä tietoja minusta on talletettu ylläpitämiinne rekistereihin?
- Haluan tarkastaa kaikki tietoni.
- Haluan myös tietää, mistä olette tietojani saaneet ja kenelle olette jakaneet tietojani.
- Pyynnön esittäjän nimi, postiosoite, puhelinnumero, henkilötunnus ja sähköpostiosoite.
Kenelle osoitat tietopyynnön?
Selvitä ensin, miten voit tehdä tietopyynnön. Sen pitäisi käydä ilmi yrityksen tai toimijan nettisivuilta, yleensä Tietosuoja-valikon takaa. Yrityksen sivuilta tulee myös löytyä henkilö, jolle voit osoittaa tietopyynnön.
Jos yritys tai muu toimija kerää henkilötietojasi, sen pitää kertoa sinulle siitä. Yleensä asia kerrotaan yrityksen kotisivuilta löytyvässä tietosuoja- tai rekisteriselosteessa. Jos yrityksen sivuilla ei ole tietosuojaselostetta, sen on kysyttäessä kerrottava, onko tietoja kerätty ja mihin tarkoitukseen.
Esimerkiksi Ylen tai kauppapaikka Tori.fi:n omistajan Schibstedtin tietosuojasivulta selviää, miten tietojasi käsitellään ja kuinka niitä voi pyytää.
Isoilla toimijoilla on oltava tietosuojavastaava. Sellainen pitää nimetä, jos organisaatio kerää laajamittaisesti arkaluontoisia tietoja, seuraa ihmisiä säännöllisesti ja järjestelmällisesti tai jos se on julkishallinnon toimija. Tietopyyntö lähetetään tietosuojavastaavalle. Häneltä saat myös tarvittaessa tarkempia ohjeita.
Joskus voi olla vaikea löytää tietoa siitä, kenelle tietopyyntö osoitetaan. Jos et löydä nimettyä henkilöä, voit kysyä keneltä hyvänsä yrityksessä.
Tee tietopyyntö kirjallisena
Tietopyynnön muodolle ei ole erityisiä vaatimuksia, mutta se kannattaa tehdä kirjallisena. Silloin sinulla on todiste tietopyynnöstä, jos ongelmia myöhemmin ilmenee.
Tietopyyntö pitää käsitellä ja vastaus toimittaa 30 päivän sisällä. Jos tietopyyntö on epäselvä tai erityisen laaja, vastaajalla on oikeus 60 päivän toimitusaikaan.
Tietosuojavaltuutetun mukaan monet yritykset eivät kelpuuta vapaamuotoista tietopyyntöä. Näin ei saisi tehdä, mutta monet toimijat tekevät silti niin prosessin helpottamiseksi. Tietopyynnön muoto on lain mukaan vapaa, joten erityisiä ehtoja sen tekemiselle ei saisi olla.
Monilta yrityksiltä ja viranomaisilta löytyy nettisivuilta valmis kaavake, jolla tietopyynnön voi tehdä – esimerkkinä Finnair ja S-ryhmä.
Miten todistat henkilöllisyytesi tietopyyntöä varten?
Tietopyynnön tekijänä sinun pitää todistaa henkilöllisyytesi. Yrityksen pitää tarjota sinulle tietoturvallinen tapa toimittaa todistus henkilöllisyydestäsi. Yleensä se on suojattu sähköposti.
Jotkut yritykset voivat lähettää tietosi pelkän sähköpostiosoitteen perusteella. Se on laissa kiellettyä ja tietoturvariski. Lähettäjän tiedot on helppo väärentää sähköpostilla.
Henkilöllisyystodistuksen (passi tai henkilökortti) kopion lähettäminen suojaamattomalla sähköpostilla on myös tietoturvariski.
Varmista, että tietopyyntö on tullut perille
Kun lähetät tietopyynnön, sinun kannattaa pyytää kuittaus siitä, että pyyntö on mennyt perille. Yritykset eivät välttämättä tee tätä automaattisesti.
Tietojen toimittamisessa saattaa mennä jopa kuukausi, joten on hyvä varmistaa, että prosessi on käynnissä.
Tietosuojavaltuutettu auttaa ongelmien kanssa
Jos sinulla on ongelmia esimerkiksi tietojesi saamisessa tai oikean tahon löytymisessä, niistä voi olla syytä ilmoittaa tietosuojavaltuutetulle. Tietosuojavaltuutetun toimistolla on kattavat ohjeet sekä puhelinpalvelu, josta saat apua tarvittaessa.
Jos aihetta on, ota rohkeasti yhteyttä – EU-kansalaisena sinulla on siihen yksiselitteinen oikeus.
Oikeutesi eivät rajoitu tietojen saamiseen
Omien tietojen pyytämisen lisäksi sinulla on EU-kansalaisena oikeus saada tietää:
- Miten henkilötiedot on kerätty
- Miten niitä käsitellään
- Kenelle niitä annetaan
Joissakin tilanteissa sinulla on myös oikeus vastustaa henkilötietojesi käsittelyä ja tai pyytää käsittelyn rajoittamista. Tietyissä tilanteissa voit myös halutessasi siirtää tiedot toiselle rekisterinpitäjälle.
Huomaa, että et saa omia tietojasi poistettua, jos niitä kerätään perustellun tarpeen takia – kuten lain noudattamiseksi tai esimerkiksi tutkimusta tai tilastointia varten.
Digitreeneissä voit opetella arjessa hyödyllisiä digitaitoja – hakuvinkeistä tietoturvaan. Vertaistukea saat Facebookissa Yle Oppimisen Digitreenit-ryhmässä.
Muokkaukset:
16.8.19: Täsmennetty kahta viimeistä kappaletta: Lisätty maininta, että tietojen käsittelyn vastustaminen tai rajoittaminen sekä tietojen siirtäminen ja poistaminen ovat mahdollisia tietyissä tilanteissa.
10.8.22: Teksti ja kuvat kauttaltaan ajan tasalle.
