Rekisteröidyn tarkastusoikeus

EU:n yleinen tietosuoja-asetus (GDPR) on tullut voimaan 25.5.2016, ja sen soveltaminen alkoi jäsenvaltioissa 25.5.2018. Yleistä tietosuoja-asetusta sovelletaan sekä julkisessa että yksityisessä sosiaalihuollossa henkilötietoja käsiteltäessä. Kansallinen, vuoden 2019 alusta voimaan tullut tietosuojalaki täsmentää ja täydentää henkilötietojen käsittelyä koskevaa EU:n yleistä tietosuoja-asetusta. Vanha henkilötietolaki kumottiin, kun tietosuojalaki astui voimaan.
EU:n tietosuoja-asetus (EUR-Lex)
Tietosuojalaki (Finlex)

Tietosuojalainsäädännön tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä ja edistää hyvää tietojenkäsittelytavan kehittämistä ja noudattamista.
Henkilötietojen käsittely (Tietosuojavaltuutettu)
Rekisteröidyn oikeudet eri tilanteissa (Tietosuojavaltuutettu)

1.1.2024 voimaan tulleen sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain tavoitteena on selkiyttää ja yhtenäistää sosiaali- ja terveydenhuollon tiedonhallintaan liittyvää sääntelyä siten, että sääntely olisi soveltajille selkeää ja ymmärrettävää, ja että sääntely olisi kokonaisuutena tietosuoja-asetuksen mukaista. Laissa on säädetty muun ohella siirtymäajoista valtakunnallisiin tietojärjestelmäpalvelujen ym. osalta.
Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä 

Henkilötieto ja henkilörekisteri

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötieto tarkoittaa siis tietoa, josta henkilö voidaan tunnistaa. 

Henkilörekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu.

Rekisterinpitäjä on luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. 

Asiakastietojen rekisterinpitäjästä säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain 3 luvussa. Lain 13 §:n 1 momentin mukaan julkisessa sosiaali- ja terveydenhuollossa palvelun järjestämisestä vastaava palvelunantaja on asiakastietojen rekisterinpitäjä, jos ei muualla laissa toisin säädetä. Yksityisessä sosiaali- ja terveydenhuollossa asiakastietojen rekisterinpitäjä on se palvelunantaja, jonka kanssa asiakas on tehnyt sopimuksen palvelun toteuttamisesta. 
Asiakastietolaki 3 luku 

Rekisteröidyllä tarkoitetaan henkilöä, jota henkilötieto koskee.

Rekisteröidyn tarkastusoikeus

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitteleekö tämä häntä koskevia henkilötietoja. 

Jos rekisteröidyn tietoja käsitellään, on rekisterinpitäjän toimitettava rekisteröidylle tämän pyytäessä jäljennös käsiteltävistä henkilötiedoista.

Tiedot voidaan antaa paperilla, sähköisesti jossakin yleisesti käytetyssä tiedostomuodossa tai suullisesti.
Oikeus saada tutustua tietoihin (Tietosuojavaltuutettu)

Rekisteröidylle saadaan näyttää tai toimittaa kansalaisen käyttöliittymän tai hyvinvointisovelluksen välityksellä valtakunnallisiin tietojärjestelmäpalveluihin hänestä tallennetut tiedot lukuun ottamatta sellaista tietoa, jota julkisuuslain 11 §:n 2 momentin, tietosuojalain 34 §:n tai muun lainsäädännön mukaan asiakkaalla ei ole oikeutta saada. 
Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (asiakastietolaki) 74 §:n 2 mom.
Omakanta on lainkohdassa tarkoitettu kansalaisen käyttöliittymä.


Vastausaika

Rekisterinpitäjän tulee vastata rekisteröidyn pyyntöön ilman aiheetonta viivytystä, kuitenkin kuukauden kuluessa pyynnön vastaanottamisesta.

Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Tällöin määräaikaa voidaan jatkaa enintään kahdella kuukaudella. Määräajan jatkaminen on perusteltava. Myös kieltäytymisestä on ilmoitettava kuukauden kuluessa pyynnön vastaanottamisesta. 

Tarkastuspyynnön hinta

Oikeuden käyttäminen on lähtökohtaisesti maksutonta. Rekisterinpitäjä voi kuitenkin periä rekisteröidyltä kohtuullisen hallinnollisten kustannusten mukaisen maksun, jos tämä pyytää tiedoista useampia jäljennöksiä.

Rekisterinpitäjä voi periä pyynnön toteuttamisesta kohtuullisen maksun myös silloin, jos rekisteröidyn pyyntö on ilmeisen perusteeton tai kohtuuton. Vaihtoehtoisesti rekisterinpitäjä voi kieltäytyä pyynnöstä. Pyyntöjä voidaan pitää ilmeisen perusteettomina tai kohtuuttomina erityisesti, jos niitä esitetään toistuvasti. Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

Pyynnöstä kieltäytyminen

Rekisteröidyn oikeuden toteuttaminen on pääsääntö. Jos rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä, sillä on oltava kieltäytymiselle lainmukainen peruste. Kieltäytymisperusteista säädetään yleisen tietosuoja-asetuksen 12 artiklassa, 15 artiklan 4 kohdassa sekä tietosuojalain 31 ja 34 pykälissä. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Rekisterinpitäjä voi kieltäytyä rekisteröidyn pyynnöstä esimerkiksi näissä tilanteissa:

  • Oikeus saada jäljennös tiedoista vaikuttaisi haitallisesti muiden oikeuksiin ja vapauksiin.
  • Rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, etenkin jos niitä esitetään toistuvasti. (Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus / kohtuuttomuus tai vaihtoehtoisesti rekisterinpitäjä voi periä pyynnön toteuttamisesta kohtuullisen maksun.)
  • Tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle tai rekisteröidyn tai jonkun muun oikeuksille.

Rekisteröidylle on kerrottava kieltäytymisen syyt, ellei se vaaranna kieltäytymisen tarkoitusta. Rekisterinpitäjän on myös kerrottava rekisteröidylle tämän mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja.
Oikeus saada tutustua tietoihin (Tietosuojavaltuutettu)

Rekisteröidyn vaatimus tiedon oikaisemisesta

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee häntä koskevat epätarkat tai virheelliset henkilötiedot. Rekisteröidyllä on myös oikeus saada puutteelliset henkilötiedot täydennettyä. Oikaisupyyntöön vastaamisessa pätevät samat tarkastusoikeuden osalta todetut periaatteet (lähtökohtainen maksuttomuus, viivytyksetön vastaus, kieltäytymisen lainmukainen peruste).
Katso tarkemmin: Rekisteröidyn oikeus oikaista tietoja (Tietosuojavaltuutettu)