Rekisteröidyn oikeuksien käyttöpyynnöt — tietosuojavastaavan täydellinen opas

Rekisteröidyn oikeuksien käyttöpyyntö on muodollinen pyyntö henkilöltä rekisterinpitäjälle, jossa hän käyttää tietosuoja-asetuksen 15 artiklan mukaista oikeuttaan saada vahvistus siitä, käsitelläänkö hänen henkilötietojaan, ja jos käsitellään, pääsy kyseisiin tietoihin sekä tiettyihin lisätietoihin. Kuka tahansa luonnollinen henkilö, jonka tietoja käsitellään, voi tehdä rekisteröidyn oikeuspyynnön. Muodollisia vaatimuksia ei ole — pyyntö voidaan tehdä suullisesti, sähköpostilla, verkkolomakkeella tai jopa sosiaalisen median kautta. Pyynnön tekijän henkilöllisyys on varmistettava, mutta organisaatio ei saa asettaa kohtuuttomia esteitä pyynnön tekemiselle. Rekisteröidyn oikeuspyynnöt eivät rajoitu asiakkaisiin. Työntekijät, entiset työntekijät, työnhakijat, verkkosivuvierailijat ja jopa liikekontaktit voivat tehdä niitä. Organisaatioille, joilla on merkittävää HR-toimintaa, työntekijöiden oikeuspyynnöt ovat usein monimutkaisimpia — ne koskevat tietoja, jotka ovat hajallaan palkanlaskentajärjestelmissä, sähköpostiarkistoissa, suoritusarvioinneissa ja muualla.

Rekisteröidyn oikeuspyyntöön vastaamisen vakiomääräaika on yksi kuukausi pyynnön vastaanottamisesta — ei kuukausi henkilöllisyyden vahvistamisesta tai kuittaamisesta, vaan vastaanottamisesta. Tämä määräaika lasketaan kalenterikuukausittain: 15. maaliskuuta vastaanotetun pyynnön määräaika on 15. huhtikuuta. Pidennykset ovat mahdollisia tietosuoja-asetuksen 12 artiklan 3 kohdan nojalla: jos pyyntö on erityisen monimutkainen tai organisaatio saa suuren määrän pyyntöjä, määräaikaa voidaan pidentää kahdella lisäkuukaudella. Rekisterinpitäjän on kuitenkin ilmoitettava pidennyksestä rekisteröidylle alkuperäisen kuukauden määräajan kuluessa, mukaan lukien viivästyksen syyt. Käytännössä useimmat valvontaviranomaiset suhtautuvat kielteisesti pidennyksiin, joita käytetään vakiokäytäntönä. Ne on tarkoitettu aidosti monimutkaisiin tapauksiin — ei oletuspuskuriksi. Jos huomaat tarvitsevasi pidennyksiä rutiininomaisesti, se on merkki siitä, että rekisteröidyn oikeuspyyntöjen käsittelyprosessisi kaipaa parantamista. Ulkoiselle tietosuojavastaavalle, joka hallitsee 15 asiakasta keskimäärin 3 rekisteröidyn oikeuspyynnöllä asiakasta kohden vuodessa, se tarkoittaa 45 yksittäistä seurattavaa määräaikaa. Manuaalinen seuranta kalenterimerkintöjen avulla on virhealtista eikä skaalaudu. Yksittäinen myöhästynyt määräaika voi johtaa valvontaviranomaiselle tehtyyn valitukseen ja mainevahinkoon sekä asiakkaalle että tietosuojavastaavalle.

Artikla 15 edellyttää rekisterinpitäjiä toimittamaan seuraavat tiedot vastauksena rekisteröidyn oikeuspyyntöön: käsittelyn tarkoitukset, henkilötietojen ryhmät, vastaanottajat tai vastaanottajaryhmät, suunniteltu säilytysaika tai sen määrittämiskriteerit, oikeus oikaisuun, poistamiseen tai rajoittamiseen, oikeus tehdä valitus valvontaviranomaiselle, tietojen lähde (jos niitä ei ole kerätty suoraan rekisteröidyltä) sekä automaattisen päätöksenteon olemassaolo, profilointi mukaan lukien. Näiden metatietojen lisäksi rekisterinpitäjän on toimitettava kopio käsiteltävistä henkilötiedoista. Ensimmäinen kopio on toimitettava maksutta; lisäkopioista voidaan periä kohtuullinen hallinnollinen maksu. Vastaus on toimitettava yleisesti käytetyssä sähköisessä muodossa, jos pyyntö on tehty sähköisesti. Sen on oltava tiivis, läpinäkyvä ja selkeällä, ymmärrettävällä kielellä — erityisesti jos rekisteröity on lapsi.

Jokaista rekisteröidyn oikeuspyyntöä ei tarvitse täyttää kokonaisuudessaan. Artikla 12(5) sallii rekisterinpitäjien hylätä pyynnöt, jotka ovat "ilmeisen perusteettomia tai kohtuuttomia" — esimerkiksi saman henkilön toistuvat pyynnöt ilman uutta käsittelyä. Todistustaakka pyynnön perusteettomyydestä on rekisterinpitäjällä. Asianajajan ja asiakkaan välinen luottamus sekä liikesalaisuudet voivat myös rajoittaa, mitä on luovutettava. Jos täydellisen kopion toimittaminen kaikista tiedoista paljastaisi patentoituja algoritmeja, liiketoimintastrategioita tai tietoja muista henkilöistä, rekisterinpitäjä voi poistaa tai pidättää kyseisiä tietoja — mutta hänen on silti vastattava pyyntöön kokonaisuutena. Työntekijöiden rekisteröidyn oikeuspyynnöt ovat erityisen monimutkaisia. Niihin liittyy usein tietoja, joita säilyttävät useat osastot (HR, IT, taloushallinto, johto) ja ne voivat sisältää sisäistä viestintää työntekijästä. Valvontaviranomaiset odottavat yleensä organisaatioiden etsivän kaikista merkityksellisistä järjestelmistä, mukaan lukien sähköposti, mutta luottamukselliset johdon keskustelut uudelleenjärjestelyistä tai kurinpitotoimista voivat olla vapautettuja tietyissä olosuhteissa. Epävarmoissa tapauksissa dokumentoi perustelut kaikille soveltamillesi rajoituksille tai poikkeuksille. Valvontaviranomaiset ovat paljon ymmärtäväisempiä, kun rekisterinpitäjä pystyy osoittamaan harkitun, dokumentoidun päätöksentekoprosessin kuin kohdatessaan kategorisia kieltäytymisiä.