Kunta tarjoaa kuntalaisille paljon erilaisia palveluja. Palvelujen tarjoamiseksi kunta tarvitsee kuntalaisten henkilötietoja palvelujen suunnitteluun, toteuttamiseen ja joissakin tapauksissa laskuttamiseen. Palveluiden käyttäjien yksityisyydensuojan ja oikeusturvan takia on tärkeää, että kunta käsittelee henkilötietoja asianmukaisesti ja lain vaatimalla tavalla.
25.5.2018 sovellettavaksi tulleessa EU:n yleisessä tietosuoja-asetuksessa (GDPR) määritellään rekisteröidyn oikeudet omiin henkilötietoihinsa ja mitä toimenpiteitä rekisterinpitäjän on toteutettava toteuttaakseen rekisteröidyn oikeuksia. Lisäksi tietosuoja-asetuksessa velvoitetaan rekisterinpitäjää toteuttamaan tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa että henkilötietoja käsitellään asetuksen mukaisesti. Toimenpiteillä varmistutaan että henkilötietojen käsittely on lainmukaista, niitä käsitellään vain tiettyä ilmoitettua tarkoitusta varten, käsittely kohdistuu vain tarvittaviin tietoihin ja tiedot ovat täsmällisiä ja oikeita. Tietoja ei tule säilyttää kauempaa kuin käyttötarkoitus vaatii tai lainsäädäntö velvoittaa.
Rekisteröidyn oikeudet
Oikeus saada pääsy tietoihin
Rekisterinpitäjän on rekisteröidyn pyytäessä ilmoitettava, käsitelläänkö häntä koskevia henkilötietoja vai ei sekä toimitettava jäljennös käsiteltävistä henkilötiedoista. Rekisterinpitäjällä on velvollisuus toimittaa jäljennös sähköisesti kaikista käsiteltävistä rekisteröidyn henkilötiedoista.
Oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee rekisteröityä koskevat virheelliset henkilötiedot tai täydentää puutteellisia henkilötietoja.
Oikeus tulla unohdetuksi
Oikeus tulla unohdetuksi tarkoittaa rekisteröidyn oikeutta pyytää rekisterinpitäjää poistamaan esimerkiksi häntä koskevat vanhentuneet henkilötiedot. Oikeutta tulla unohdetuksi ei sovelleta lakisääteisiin rekistereihin. Tietojen poistaminen niistä ei ole mahdollista lakisääteisen tehtävän suorittamiseen liittyvän käsittelyn yhteydessä.
Oikeus siirtää tiedot järjestelmästä toiseen
Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot yleisesti käytössä olevassa siirtomuodossa ja toimittaa ne toiselle rekisterinpitäjälle. Siirto-oikeutta ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamisessa tai julkisen vallan käyttämisessä. Siirto-oikeutta sovelletaan myös julkisella sektorilla niihin rekistereihin, jotka on kerätty vapaaehtoisten tehtävien hoitamiseen.
Oikeus vastustaa käsittelyä, automaattista päätöksentekoa ja profilointia
Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e tai f alakohtaan, kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet, tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Tämä oikeus ei koske julkisen sektorin rekistereitä, joita pidetään lain perusteella.
Oikeus saada ilmoitus henkilötietojen tietoturvaloukkauksesta
Rekisterinpitäjille on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta henkilökohtaisesti niille rekisteröidyille, joiden tietoja loukkaus koskettaa. Oikeus astuu voimaan, jos loukkaus todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille, esimerkiksi identiteetinvarkauksien, maksuvälinepetosten tai muun rikollisen toiminnan muodossa. Ilmoitusta ei tarvitse lähettää tietyissä tilanteissa, esimerkiksi jos vuotaneet henkilötiedot ovat salattu ja salausavaimet eivät ole vaarantuneet. Rekisterinpitäjä voi ilmoittaa vuodosta median välityksellä, jos henkilökohtaisten ilmoitusten lähettäminen vaatisi kohtuutonta vaivaa. Tällaisiksi tilanteiksi voidaan nähdä suuren kokoluokan tietovuodot, joiden piirissä on lukemattomia rekisteröityjä.
Oikeus tehdä valitus valvontaviranomaiselle
Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tietosuoja-asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja. Valvontaviranomainen Suomessa on tietosuojavaltuutettu.
Rekisterinpitäjän tiedonantovelvoitteet
Rekisterinpitäjällä on velvollisuus tiedottaa avoimesti henkilötietojen käsittelystä ennen käsittelytoimien aloittamista.
Kuntaan on nimetty tietosuojavastaava, joka antaa rekisterinpitäjälle ja henkilöstölle tietoja ja neuvoja, seuraa että tietosuojalainsäädäntöä noudatetaan, antaa neuvoja vaikutustenarvioinnin tekemisestä ja toimii valvontaviranomaisen yhteyspisteenä.
Tietosuojavastaavan yhteystiedot: