Oikeus henkilötietojen poistamiseen – käytännöt ja haasteet

EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen oikeus tulla unohdetuksi eli oikeus saada henkilötiedot poistetuiksi rekisterinpitäjän rekistereistä on yksi keskeisimmistä tietosuojaoikeuksista. Miten tämä toteutetaan käytännössä?

Rekisteröidyllä – henkilöllä, jonka tietoja käsitellään – on tietyissä tilanteissa oikeus vaatia rekisterinpitäjää poistamaan häntä koskevat henkilötiedot ilman aiheetonta viivytystä. Tällöin rekisterinpitäjän tulee voida toteuttaa rekisteröidyn pyyntö säädetyssä ajassa. Toisaalta yhtä lailla tärkeää on tunnistaa tilanteet, jolloin rekisteröidyn poistopyyntöön ei voida suostua.

Oikeus tulla unohdetuksi – mitä se tarkoittaa?

Oikeus vaatia henkilötietojen poistamista, eli niin sanottu oikeus tulla unohdetuksi, tarkoittaa, että rekisteröidyllä on oikeus vaatia rekisterinpitäjää poistamaan häntä koskevat henkilötiedot ilman aiheetonta viivytystä tietyissä, asetuksessa määritellyissä tilanteissa. Tämä oikeus rekisteröidyllä on muun muassa silloin, kun

tietoja ei enää tarvita niihin tarkoituksiin, joita varten ne on kerätty tai joita varten niitä muutoin käsiteltiin
rekisteröity peruuttaa suostumuksensa, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta
rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinoinnin tarkoituksiin
henkilötietoja on käsitelty lainvastaisesti.

Oikeus tietojen poistamiseen ei kuitenkaan ole ehdoton. Poikkeuksia ovat muun muassa tilanteet, joissa tietojen käsittely on tarpeen esimerkiksi sananvapauden ja tiedonvälityksen vapauden turvaamiseksi, rekisterinpitäjän lakisääteisen velvoitteen täyttämiseksi, yleisen edun mukaisiin arkistointi-, tutkimus- tai tilastointitarkoituksiin tai oikeudellisten vaateiden laatimiseksi, esittämiseksi tai puolustamiseksi.

Kuinka henkilötietojen säilytysaika määritetään?

Tietosuoja-asetus ei määritä henkilötiedoille säilytysaikoja, vaan rekisterinpitäjän tulee itse määritellä ne. Koska henkilötietojen käsittelyn (mukaan lukien niiden säilyttämisen) tulee olla aina laillista, on henkilötietojen säilyttäminenkin mahdollista vain niin kauan, kuin sille on olemassa vähintään yksi tietosuoja-asetuksessa mainittu laillinen käsittelyperuste (suostumus, sopimus, lakisääteinen velvoite, elintärkeiden etujen suojaaminen, julkinen tehtävä tai oikeutettu etu). Rekisterinpitäjän on arvioitava, onko sillä laillinen peruste käsitellä henkilötietoja vaiko ei. Rekisterinpitäjän on lisäksi pystyttävä perustelemaan, miksi tietty säilytysaika on tarpeen tiettyä tarkoitusta ja kyseessä olevia henkilötietoja varten.

Silloin, kun henkilötietojen keräämisen perusteena on lakisääteinen velvoite, myös asianomaisten tietojen säilytysajasta säädetään usein laissa tai säilytysaika voidaan johtaa siitä. Eri lakien edellyttämät säilytysajat voivat vaihdella pituudeltaan. On kuitenkin huomattava, että useimmiten lait eivät määrittele tietojen enimmäissäilytysaikaa, vaan vähimmäisajan, kuten esimerkiksi verotukseen, kirjanpitoon ja henkilöstöön liittyvissä laeissa tehdään. Lisäksi samoihin tietoihin voi soveltua useita erityislakeja, joissa määrätyt säilytysajat poikkeavat toisistaan. Esimerkiksi työsuhteeseen liittyvien tietojen säilytysaikoja koskevia tai säilytysaikoihin vaikuttavia määräyksiä sisältyy muun muassa työsopimus-, työaika-, vuosiloma-, työturvallisuus-, tasa-arvo-, ilmoittajansuojelu-, kirjapito- ja rikoslakiin sekä lakiin yksityisyyden suojasta työelämässä. Erityislait eivät kuitenkaan syrjäytä toisiaan eli tietoja tulee säilyttää kussakin tapauksessa pisimmän sovellettavan ajan mukaisesti.

Kun lakisääteiseen velvoitteeseen tai sopimukseen perustuva laillinen peruste ei ole enää voimassa, tietoja voidaan joissain tapauksissa säilyttää edelleen suostumuksen perusteella tai organisaation oikeutetun edun vuoksi. Organisaation voi esimerkiksi olla perusteltua säilyttää asiakastietoja 10 vuotta tai kauemmin asiakassuhteen päättymisestä oikeutetun edun perusteella mahdollisiin vahingonkorvaus- tai muihin vaatimuksiin vastaamiseksi. Kansainvälisen konsernin tapauksessa myös muiden konsernimaiden tietojen säilytys-, kanne- tai muiden oikeuksien käyttämiseen liittyvä sääntely vaikuttaa aikaan, joka konserniyhtiöiden on perusteltua säilyttää henkilötietoja.

Oikeutetun edun perusteella tapahtuva henkilötietojen käsittely edellyttää rekisteröityjen oikeuksien kunnioittamista eli sen arvioimista, onko rekisterinpitäjän etu painavampi kuin rekisteröidylle tietojen säilyttämisestä aiheutuva riski ja mahdollisen riskin realisoitumisesta aiheutuva vahinko (niin sanottu tasapainotesti).

Kuinka rekisteröidyn pyyntöön tulla unohdetuksi tulee reagoida?

Rekisterinpitäjän on varmistettava pyynnön esittäjän henkilöllisyys. Jos henkilöllisyydestä on epäselvyyttä, voidaan pyytää lisätietoja, mutta vaatimukset eivät saa olla kohtuuttomia. Jos rekisterinpitäjä ei pysty tunnistamaan rekisteröityä, tästä on ilmoitettava pyynnön esittäneelle ja lisäksi hänelle on perusteltava, miksi tunnistaminen ei onnistu. Jos rekisteröity ei toimita lisätietoja tunnistamista varten, hän ei voi käyttää oikeuttaan tietojen poistamiseen.

Kun rekisteröidyn henkilöllisyys on varmistettu, rekisterinpitäjän on vastattava poistopyyntöön ilman aiheetonta viivytystä, kuitenkin viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Jos pyyntöjä on paljon tai ne ovat monimutkaisia, vastausaikaa voidaan pidentää enintään kahdella kuukaudella. Tästä on kuitenkin ilmoitettava ja viive on perusteltava. Jos pyyntöihin ei voida suostua, kieltäytyminen on perusteltava ja rekisteröidylle on kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle.

Jotta rekisterinpitäjä voisi toimia asianmukaisesti rekisteröidyn poistopyynnön saatuaan, sillä tulee olla käyvät prosessit ja dokumentaatio rekisteröityjen oikeuksien toteutumisen turvaamiseksi. Näin rekisterinpitäjä pystyy arvioimaan soveltuvasti jokaisen poistopyynnön ja täyttämään sekä rekisteröidyn oikeudet että omat lakisääteiset velvoitteensa.

Oikeuden käyttäminen on lähtökohtaisesti maksutonta. Jos poistopyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi periä kohtuullisen maksun tai kieltäytyä pyynnöstä. Tällöin rekisterinpitäjän on pystyttävä osoittamaan pyynnön perusteettomuus tai kohtuuttomuus. Kieltäytymisestä on ilmoitettava rekisteröidylle viimeistään kuukauden kuluessa ja kerrottava samalla mahdollisuudesta tehdä valitus valvontaviranomaiselle tai käyttää muita oikeussuojakeinoja.

Rekisterinpitäjän on mahdollisuuksien mukaan ilmoitettava henkilötietojen poistamisesta kaikille vastaanottajille, joille tietoja on luovutettu. Jos rekisteröity pyytää, hänelle on kerrottava näistä vastaanottajista. Jos tiedot on julkistettu, rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet ilmoittaakseen muille rekisterinpitäjille poistopyynnöstä.

Kuinka oikeus tulla unohdetuksi toteutuu käytännössä?

Tietosuojavaltuutetun toimisto selvittää parhaillaan, miten suomalaiset organisaatiot noudattavat tietosuojalainsäädännön vaatimuksia henkilötietojen poistamisessa. Kysely on lähetetty muun muassa korkeakouluille, perintäyhtiöille sekä vakuutus- ja työeläkevakuutusyhtiöille. Selvityksen tavoitteena on kartoittaa organisaatioiden kohtaamia haasteita ja arvioida mahdollisen ohjauksen tarvetta. Kysely on osa laajempaa Euroopan tietosuojaneuvoston koordinoimaa toimenpidettä, johon osallistuu 32 valvontaviranomaista eri puolilta Eurooppaa. Tulokset julkaistaan alkuvuonna 2026 ja niiden perusteella voidaan ryhtyä jatkotoimiin sekä kansallisesti että EU-tasolla.

Yhteenveto

Oikeus tulla unohdetuksi on tärkeä osa yksilön tietosuojaa, mutta sen toteuttaminen vaatii tasapainottelua yksilön oikeuksien ja yritysten tarpeiden välillä. Rekisterinpitäjillä on velvollisuus käsitellä poistopyynnöt asianmukaisesti ja perustellusti sekä varmistaa poistopyynnön esittäjän henkilöllisyys. Tietosuojavaltuutetun toimiston käynnistämä selvitys antaa ajantasaista tietoa siitä, miten oikeus henkilötietojen poistamiseen toteutuu käytännössä Suomessa ja muualla Euroopassa.