Kysymyksiä ja vastauksia

Yritysturvallisuus > Tietosuoja

Luonnollisten henkilöiden oikeus henkilötietojensa suojaan ei ole vain hallinnollinen vaatimus tai tekninen sääntö, vaan perustavanlaatuinen ihmisoikeus. Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdan mukaan "jokaisella on oikeus henkilötietojensa suojaan". Samoin Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artikla vahvistaa tämän oikeuden unionin perussopimustasolla. Näin ollen henkilötietojen suoja ei ole vain suositus tai poliittinen tavoite, vaan oikeudellisesti velvoittava perusoikeus, jota on kunnioitettava ja suojeltava kaikissa henkilötietojen käsittelytilanteissa.

Perusoikeudellinen asema tarkoittaa, että henkilötietojen suojaa on tarkasteltava samassa kategoriassa kuin muita perustavia oikeuksia, kuten yksityisyyden suojaa, sananvapautta tai syrjimättömyyttä. Se ei ole alisteinen taloudellisille intresseille tai hallinnolliselle tehokkuudelle, vaan sille on annettava merkittävä painoarvo kaikessa henkilötietojen käsittelyssä.

Perusoikeus henkilötietojen suojaan merkitsee muun muassa sitä, että henkilötietojen keruu, säilyttäminen, käyttö ja luovuttaminen on aina perusteltava laillisella, selkeällä ja oikeutetulla tarkoituksella.

Käytännön väline tämän perusoikeuden toteuttamiseen EU:ssa on EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR). Asetusta on sovellettu 25.5.2018 alkaen sekä julkisella että yksityisellä sektorilla kaikissa EU-maissa.

GDPR korvasi vuoden 1995 henkilötietodirektiivin (95/46/EY) ja sen pohjalta säädetyt kansalliset lait siltä osin kuin henkilötietojen käsittely kuuluu asetuksen soveltamisalaan. Asetus on suoraan sovellettavaa oikeutta kaikissa jäsenvaltioissa, mikä takaa henkilötietojen suojan yhdenmukaisuuden koko unionin alueella.

GDPR ei ole vain tekninen sääntelyinstrumentti, vaan se operationalisoi perusoikeuden henkilötietojen suojaan konkreettisiksi velvoitteiksi ja oikeuksiksi. Se määrittelee rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuut, asettaa tiukat vaatimukset suostumukselle ja tietojen minimoinnille, sekä antaa rekisteröidyille laajat oikeudet hallita omia tietojaan.

Merkittävä uudistus GDPR:ssa oli se, että sen vaatimukset koskevat sekä julkista että yksityistä sektoria. Näin varmistetaan, että yksityisen henkilön oikeus tietosuojaansa toteutuu samalla tasolla riippumatta siitä, käsitteleekö tietoja esimerkiksi kunta, valtion virasto tai kansainvälinen teknologiayritys.

Tämä on tärkeää, koska nykyaikainen henkilötietojen käsittely ei tunne selviä rajoja julkisen ja yksityisen välillä. Esimerkiksi terveydenhuollossa yksityiset toimijat voivat käsitellä hyvin arkaluonteisia henkilötietoja julkisen sektorin kanssa yhteistyössä. Asetus varmistaa, ettei kansalaisten tietosuoja heikkene riippumatta siitä, kuka on rekisterinpitäjä.

GDPR:n tavoitteena on suojata luonnollisten henkilöiden perusoikeuksia ja -vapauksia, erityisesti oikeutta henkilötietojen suojaan, mutta myös edistää henkilötietojen vapaata liikkuvuutta EU:ssa. Se pyrkii luomaan luottamusta digitaaliseen talouteen: kun ihmiset tietävät, että heidän tietonsa ovat turvassa ja käsittely on läpinäkyvää ja oikeudenmukaista, he uskaltavat käyttää digitaalisia palveluja ja jakaa tietojaan.

Toisaalta asetus on suunniteltu teknologianeutraaliksi ja tulevaisuuskestäväksi. Se ei rajoitu tiettyihin järjestelmiin tai tekniikoihin, vaan soveltuu kaikenlaiseen henkilötietojen käsittelyyn,olipa kyse perinteisestä paperirekisteristä, pilvipalvelusta, tekoälysovelluksesta tai biometriikasta.

Vaikka GDPR on suoraan sovellettavaa oikeutta, se sallii ja edellyttää joiltain osin kansallista täydentävää lainsäädäntöä. Suomessa tämä on toteutettu uudella tietosuojalailla, joka täsmentää esimerkiksi rekisteröidyn oikeuksia julkisen vallan toiminnassa ja nimeää tietosuojavaltuutetun kansalliseksi valvontaviranomaiseksi.

Kansallisen lain tehtävänä on täydentää asetusta siellä, missä se antaa jäsenvaltioille liikkumavaraa, mutta asetuksen ydinvelvoitteita ei voi kansallisella lailla kiertää tai heikentää. Näin varmistetaan EU-kansalaisten yhdenvertainen tietosuoja kaikkialla unionissa.

ROOLIT
Rekisterinpitäjä	Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Viite: 4 artikla
Yhteisrekisterinpitäjä	Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Yhteisrekisterinpitäjät määrittelevät keskinäisellä järjestelyllä ja läpinäkyvällä tavalla kunkin vastuualueen tietosuoja-asetuksessa vahvistettujen velvoitteiden noudattamiseksi. Viite: 26 artikla
Henkilötietojen käsittelijä	Henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Viite: 46 artikla
Tietosuojavastaava	Tietosuojavastaavalla tarkoitetaan luonnollista henkilöä, jolla on tietosuoja-asetuksen 38 artiklan mukainen asema ja 39 artiklan mukaiset tehtävät. Rekisterinpitäjä ja henkilötiedon käsittelijä nimeää tietosuojavastaavan tietosuoja-asetuksen 37 artiklassa luetelluissa tilanteissa. Viite: 37 artikla
Kolmas osapuoli	Kolmannella osapuolella tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena. Viite: 4 artikla
Edustaja	Edustajalla tarkoitetaan unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka rekisterinpitäjä tai henkilötietojen käsittelijä on nimennyt kirjallisesti toimimaan lukuunsa 27 artiklan nojalla ja joka edustaa rekisterinpitäjää tai henkilötietojen käsittelijää, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksista. Viite: 4 artikla
Yritys	Yrityksellä tarkoitetaan taloudellista toimintaa harjoittavaa luonnollista henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa. Viite: 4 artikla
Konserni	Konsernilla tarkoitetaan määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä. Viite: 4 artikla
Valvontaviranomainen	Valvontaviranomaisella tarkoitetaan jäsenvaltion 51 artiklan nojalla perustamaa riippumatonta viranomaista. Valvontaviranomaisen tehtävät on määritelty tietosuoja-asetuksen 57 artiklassa. Suomessa tietosuojavaltuutetun toimistolla on valvontaviranomaisen rooli, jonka tehtäviin kuuluu mm. valvoa tietosuoja-asetuksen soveltamista. Viite: 4 artikla
Osallistuva valvontaviranomainen	Osallistuvalla valvontaviranomaisella tarkoitetaan valvontaviranomaista, jolle asia kuuluu, koska rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut kyseisen valvontaviranomaisen jäsenvaltion alueelle, käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi kyseisessä valvontaviranomaisen jäsenvaltiossa asuviin rekisteröityihin tai kyseiselle valvontaviranomaiselle on tehty valitus. Viite: 4 artikla
Johtava valvontaviranomainen	Rekisterinpitäjä, joka toimii useassa EU:n jäsenvaltiossa, voi asioida päätoimipaikkansa valvontaviranomaisen, eli johtavan valvontaviranomaisen, kanssa henkilötietojen käsittelyä koskevissa asioissa. Menettely poistaa tarpeen asioida usean jäsenvaltion valvontaviranomaisen kanssa. Johtavan valvontaviranomaisen toimivalta on määritelty tietosuoja-asetuksen 56 artiklassa.

KÄSITTEITÄ
Mitä tarkoittaa suunnitteluvelvoite?	Henkilötietojen käsittely on suunniteltava niin, että se palvelee ihmistä. (EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2016/679, esipuhe (4) Rekisterinpitäjän tulee nimetä tietosuojan hallinnointiin liittyvät vastuut ja varata riittävät resurssit tietosuojatehtävien toteuttamiseen.
Mitä tarkoittaa käyttötarkoitussidonnaisuus?	Rekisterinpitäjän on ennakkoon määriteltävä ne käyttötarkoitukset, joissa henkilötietoja käsitellään ja varmistua siitä, ettei tietoja käsitellä muissa tarkoituksissa. Kaikki muut käyttötarkoitukset ovat luvatonta käyttöä. Viite: 5 artikla
Mikä on tietosuojaseloste?	Tietosuojaseloste (engl. privacy notice) tai tietosuojailmoitus on EU:n GDPR:n mukainen rekisteröidyn informointiasiakirja, joka tarkoittaa dokumenttia, jolla rekisteröityjä informoidaan henkilötietojen käsittelystä. Tietosuojaselosteen tulee sisältää GDPR:n 13 ja 14 artiklan mukaiset tiedot, kuten käsittelyn tarkoitus, oikeusperuste, rekisteröidyn oikeudet jne.
Mikä on seloste käsittelytoimista?	EU:n asetuksen (EU) 2016/679) 30 artikla koskee selostetta käsittelytoimista. Artiklan mukaan jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. EU:n tietosuoja-asetuksen 30 artiklan myötä organisaatioiden tulee laatia kirjallinen kuvaus niiden toteuttamasta henkilötietojen käsittelystä. Tätä kuvausta kutsutaan selosteeksi käsittelytoimista. Seloste käsittelytoimista on organisaation sisäinen asiakirja. Rekisterinpitäjän tai henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyydettäessä saatettava seloste valvontaviranomaisen saataville.
Mitä tietosuojan vaikutustenarvioinnilla tarkoitetaan?	Tietosuojan vaikutustenarviointi vaaditaan henkilötietojen käsittelytoimille, joiden suunnitteluvaiheessa on todennäköistä, että käsittelytoimiin liittyy yksilöiden oikeuksien ja vapauksien kannalta merkittäviä riskejä. Vaikutustenarvioinnin tuloksia käytetään hallintakeinojen määrittelemisessä, joilla pyritään pienentämään riskitasoa, sekä samalla varmistumaan asetuksen vaatimusten toteutumisesta. Vaikutustenarviointi suoritetaan suunnitteluvaiheessa olevalle järjestelmälle, sovellukselle, palvelulle tai hankkeelle, jossa tullaan käsittelemään henkilötietoja. Mikäli vaikutustenarvioinnin perusteella riskitaso on suuri, eikä rekisterinpitäjä pysty sitä pienentämään, on otettava yhteyttä valvontaviranomaiseen (ennakkokuuleminen). Viite: 35 artikla Kymen Vesi Oy:lle seuraamusmaksu Kymen Vesi Oy oli käsitellyt työntekijöidensä sijaintitietoja paikantamalla ajoneuvoja ajotietojärjestelmän avulla. Rekisterinpitäjä oli jättänyt tekemättä EU:n yleisen tietosuoja-asetuksen mukaisen vaikutustenarvioinnin ennen sijaintitietojen käsittelyn aloittamista. Sijaintitietoja oli käytetty mm. työajanseurantaan, joka liittyy työnantajan työnjohto-oikeuteen. Vaikutustenarviointi on tehtävä, mikäli sijaintitietoja käytetään järjestelmälliseen valvontaan. Seuraamuskollegio määräsi Kymen Vesi Oy:lle 16 000 euron suuruisen seuraamusmaksun. Lähteet: (tietosuoja.fi ajankohtaista 25.5.2020, kymensanomat.fi 27.5.2020) Taksi Helsinki Oy:lle seuraamusmaksu Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi hallinnollisen seuraamusmaksun Taksi Helsinki Oy:lle tietosuojalainsäädännön rikkomisesta. Yhtiöllä oli ongelmia useissa tietosuojan peruskysymyksissä. Yhtiö oli jättänyt mm. arvioimatta henkilötietojen käsittelyyn liittyvät riskit ja vaikutukset ennen kuin se otti käyttöönsä ääntä ja kuvaa takseissa tallentavan kameravalvontajärjestelmän. Apulaistietosuojavaltuutettu määräsi Taksi Helsingin korjaamaan käytäntöjään. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Taksi Helsingille 72 000 euron suuruisen seuraamusmaksun. Kollegio arvioi määrän oikeasuhteiseksi, tehokkaaksi ja varoittavaksi. Lähde: (tietosuoja.fi ajankohtaista 29.5.2020)
Mitä ennakkokuulemisella tarkoitetaan?	Rekisterinpitäjän on ennen henkilötietojen käsittelyn aloittamista kuultava valvontaviranomaista, jos 35 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi. Viite: 36 artikla
Mitä käsittelyn turvallisuudella tarkoitetaan?	Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset turvatoimenpiteet. Viite: 32 artikla

ILMOITUSVELVOLLISUUS
Onko henkilötietojen tietoturvaloukkauksesta ilmoitettava valvontaviranomaiselle?	Rekisterinpitäjän on ilmoitettava henkilötietoihin kohdistuvista tietoturvaloukkauksista valvontaviranomaiselle viimeistään 72 tunnin kuluessa ilmitulosta. Rekisterinpitäjän on ilmoitettava rekisteröidylle tietoturvaloukkauksesta, jos se vaarantaa rekisteröidyn henkilötietojen luottamuksellisuuden ja voi todennäköisesti loukata rekisteröidyn oikeuksia ja vapauksia. Tietosuoja-asetuksen 33 artiklassa luetellaan ilmoituksessa vaadittava tietosisältö. Viite: 33 artikla

TILINTEKOVELVOLLISUUS
Mitä rekisterinpitäjän tilintekovelvollisuus tarkoittaa?	Rekisterinpitäjä vastaa käsittelyn asianmukaisuudesta EU:n tietosuoja-asetuksen 5 artiklan 1 kohdan mukaisesti, joka sen on pystyttävä osoittamaan. Osoitusvelvollisuuteen liittyvät asiat on lueteltu tietosuoja-asetuksessa (5 artikala 1 kohta). Eräs keino osoittaa tämä on toteuttaa raportointi tietotilinpäätöksen avulla.
Mitä rekisterinpitäjän on kyettävä osoittamaan?	Rekisterinpitäjän on osoitettava, että se on varmistanut tietosuojavelvollisuuksien toteutumisen toiminnassaan tarvittavin teknisin, hallinnollisin ja organisatorisin toimenpitein. Pelkkä vaatimuksenmukaisuus ei riitä. Rekisterinpitäjän on osoitettava, että käsittely tapahtuu lain mukaisesti. tiedot on kerätty tiettyä, nimenomaista ja laillista tarkoitusta varten. tiedot ovat asianmukaisia ja olennaisia. tiedot ovat täsmällisiä ja tarvittaessa päivitettyjä. tiedot säilytetään tunnistettavassa muodossa ainoastaan niin kauan kuin on tarpeen. tietoja käsitellään tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus (eheys ja luottamuksellisuus). Viite: 5 artikla

TIETOTILINPÄÄTÖS
Mikä on tietotilinpäätöksen (accountability) tarkoitus?	Tietotilinpäätös ei sisälly EU:n tietosuoja-asetuksen käsitteisiin tai velvollisuuksiin. EU:n tietosuoja-asetus edellyttää kuitenkin tietojenkäsittelytoimintojen kattavaa dokumentoimista 28, 33 ja 49 artikloissa. Tietotilinpäätös on viranomaisille keino osoittaa julkisuuslain (621/1991) edellyttämän hyvän tiedonhallintatavan noudattaminen. Tietotilinpäätöstä voivat käyttää myös yksityisoikeudelliset yhteisöt. Tietotilinpäätöksellä tai muulla henkilötietojen käsittelyä koskevalla dokumentaatiolla on osoitettava, että rekisterinpitäjän toiminnassa toteutuu huolellisuus ja riittävä tietosuoja. Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys. Käsittelyssä toteutuu käyttötarkoitussidonnaisuus Kerää ja käsittelee ainoastaan tarpeellisia tietoja. erätyt tiedot ovat täsmällisiä ja asianmukaisia. Henkilötiedoille on määritelty asianmukaiset säilytysajat. Henkilötiedot on suojattu luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta asianmukaisin teknisin mekanismein ja organisatorisin kontrollein.
Mitä tietotilinpäätös kertoo henkilötietojen käsittelystä (accountability)?	Tietotilinpäätös tarjoaa vastauksen mm. seuraaviin kysymyksiin: Mihin rekisterinpitäjän henkilötietojen käsittely perustuu? Mitä henkilötietoja rekisterinpitäjä käsittelee? Miten rekisteröityjen oikeudet on toteutettu? Miten rekisterinpitäjän rekisterisovellukset on toteutettu? Miten rekisterinpitäjä on organisoinut henkilötietojen käsittelyn? Mitä käsittelytapoja ja käytänteitä henkilötietojen käsittelyssä noudatetaan? Miten henkilötiedot on suojattu? Miten henkilötietojen käsittelyn turvallisuutta ylläpidetään ja kehitetään? Miten käyttötarkoituksenmukaisuutta valvotaan? Miten mahdollisiin väärinkäytöksiin on puututtu?

TIETOSUOJAVASTAAVA
Milloin tietosuojavastaava on nimettävä?	Rekisterinpitäjän on nimettävä tietosuojavastaava aina, kun tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin (muu kuin tuomioistuin). ydintehtävät muodostuvat käsittelytoimista, jotka ovat luonteelta sellaisia, että ne edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mitassa ydintehtävät muodostuvat käsittelytoimista, jotka kohdistuvat henkilötietojen erityisiin tietoryhmiin, rikostuomioihin tai rikoksia koskeviin tietoihin. Viite: 37 artikla
Kuinka monta tietosuojavastaavaa voidaan nimetä?	Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta. Yksi ainoa tietosuojavastaava voidaan nimittää useampaa viranomaista tai julkishallinnon elintä varten niiden organisaatiorakenne ja koko huomioon ottaen. Viite: 37 artikla
Mitä asioita tietosuojavastaavaa nimettäessä on huomioitava?	Tietosuojavastaavaa nimitettäessä on otettava huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 39 artiklassa luetellut tehtävät. Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen. Tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle. Viite: 37 artikla
Mikä on tietosuojavastaavan asema?	Tietosuojavastaava on otettava asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn. Rekisterinpitäjän tai henkilötietojen käsittelijän on annettava tietosuojavastaavalle tarpeellinen tuki ja resurssit tämän suorittaessa 39 artiklassa tarkoitettuja tehtäviä. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, ettei tietosuojavastaava ota vastaan ohjeita näiden tehtävien hoitamisen yhteydessä. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tietosuojavastaavan muut tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja. Viite: 38 artikla
Mitkä ovat tietosuojavastaavan tehtävät?	Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Tietosuojavastaavalla on ainakin seuraavat tehtävät: Antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisia velvollisuuksia. Seurata, että noudatetaan tätä asetusta, muita unionin tai jäsenvaltion tietosuojalainsäännöksiä ja rekisterinpitäjän tai henkilötietojen käsittelijän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tiedon lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset. Antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 35 artiklan mukaisesti. Tehdä yhteistyötä valvontaviranomaisen kanssa. Toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklan mukainen ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä. Viite: 39 artikla

REKISTERÖIDYN OIKEUDET
Voiko henkilö vaatia tietojensa oikaisua?	Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Viite: 16 artikla
Voiko henkilö peruttaa suostumuksensa henkilötietojensa käsittelyyn?	Rekisteröidyllä on oikeus peruuttaa suostumuksensa henkilötietojen käsittelyyn ja pyytää rekisterinpitäjää poistamaan kaikki häntä koskevat henkilötiedot, ellei henkilötietojen käsittelylle ole laissa määrättyä perustetta. Viite: 17 artikla
Voiko henkilö rajoittaa henkilötietojensa käsittelyä?	Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin vaatia rekisterinpitäjää rajoittamaan henkilötietojen käsittelyä. Viite: 18 artikla
Onko henkilöllä oikeus siirtää omat tietonsa järjestelmästä toiseen?	Rekisteröidyllä on oikeus siirtää häntä koskevat henkilötiedot järjestelmästä toiseen. Siirto-oikeus ei koske henkilötietoja, jotka ovat tarpeen yleistä etua koskevan tehtävän suorittamisessa tai julkisen vallan käyttämisessä. Viite: 20 artikla
Onko henkilöllä oikeus vastustaa henkilötietojen käsittelyä?	Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin vastustaa henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella rekisteröityä koskevien henkilötietojen käsittelyä. Tällöin henkilötietoja saa käsitellä vain, jos rekisterinpitäjä osoittaa, että käsittelyyn on olemassa perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet. Rekisteröidyn vastustaessa henkilötietojen käsittelyä suoramarkkinointia varten, ei henkilötietojen käsittelyä saa jatkaa tähän tarkoitukseen. Viite: 21 artikla Posti Oy:lle seuraamusmaksu Asiakkaat olivat saaneet Posti Oy:lle tekemänsä muuttoilmoituksen jälkeen yhteydenottoja ja suoramarkkinointia eri yrityksiltä. Posti Oy ei informoinut rekisteröityjä heidän oikeudestaan kieltää tietojen luovutus muuttoilmoituksen yhteydessä, vaikka rekisteröidyillä on oikeus vastustaa henkilötietojen käsittelyä. Seuraamuskollegio määräsi Posti Oy:lle 100 000 euron suuruisen seuraamusmaksun. Lähde: (tietosuoja.fi ajankohtaista 22.5.2020)
Onko henkilöllä oikeus vastustaa automaattista päätöksentekoa?	Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin olla joutumatta pelkästään automaattisen päätöksenteon kohteeksi, kuten esimerkiksi profiloinnin, jos päätöksellä on rekisteröityyn kohdistuvia oikeusvaikutuksia. Viite: 22 artikla
Milloin henkilötietojen tietoturvaloukkauksesta on ilmoitettava rekisteröidylle?	Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin saada ilmoitus tietoturvaloukkauksesta, jos tapahtuma vaarantaa rekisteröidyn henkilötietojen luottamuksellisuuden ja voi todennäköisesti loukata rekisteröidyn oikeuksia ja vapauksia (esimerkiksi identiteetinvarkauksien, maksuvälinepetosten tai muun rikollisen toiminnan yhteydessä). Viite: 34 artikla