Tilin poistopyyntö (GDPR-poistovaatimus, art. 17)

Tilin poistopyyntö GDPR:n nojalla (poistovaatimus) Suomessa on kirjallinen vaatimus, jolla rekisteröity käyttää oikeuttaan tietojen poistamiseen yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklan mukaisesti, täydennettynä tietosuojalailla (1050/2018). Pyyntö velvoittaa rekisterinpitäjän poistamaan kaikki henkilötiedot ja sulkemaan tilin kuukauden kuluessa; epääminen on perusteltava kirjallisesti.

Oikeuden tietojen poistamiseen oikeudellinen perusta on yleisen tietosuoja-asetuksen (EU 2016/679) 17 artikla, joka tunnustetaan myös nimellä oikeus tulla unohdetuksi. Artikla antaa rekisteröidylle oikeuden vaatia henkilötietojensa poistamista kuudessa tilanteessa: tiedot eivät ole enää tarpeen alkuperäisiin tarkoituksiin (17(1)(a)); rekisteröity peruuttaa suostumuksensa eikä muuta oikeusperustetta ole (17(1)(b)); rekisteröity vastustaa käsittelyä eikä rekisterinpitäjällä ole ylivoimaista perustetta (17(1)(c)); tietoja on käsitelty lainvastaisesti (17(1)(d)); tiedot on poistettava unionin tai jäsenvaltion oikeuden mukaisen lakisääteisen velvoitteen noudattamiseksi (17(1)(e)); tai tiedot on kerätty tietoyhteiskunnan palvelujen tarjoamisen yhteydessä lapselle (17(1)(f)). Tietosuojalaki (1050/2018) sovittaa nämä oikeudet Suomen kansalliseen oikeusjärjestelmään.

Sähköisten palveluiden yleistyminen on tehnyt tilin poistopyynnöistä arkipäivää. Verkkokaupat, sosiaalisen median alustat, suoratoistopalvelut, pelialustat ja muut digitaaliset palvelut keräävät laajoja henkilötietoja käyttäjistään. Rekisteröidyillä on oikeus vaatia kaikkien näiden tietojen poistamista ja tilin sulkemista, kun he lopettavat palvelun käytön tai haluavat muuten rajoittaa digitaalista jalanjälkeään. Laki sähköisen viestinnän palveluista (917/2014) täydentää GDPR:ää sähköisten palveluiden osalta ja edellyttää palveluntarjoajilta tiettyjä tietojen käsittelyyn liittyviä velvoitteita.

Rekisterinpitäjällä on poistopyynnön vastaanottaessaan velvollisuus arvioida sen perusteltavuus. Jos poistamiselle on este, kuten lakisääteinen velvoite säilyttää tietoja tai muu ylivoimainen oikeudellinen peruste, rekisterinpitäjän on ilmoitettava tästä rekisteröidylle kirjallisesti. Kuitenkin tilanteissa, joissa tiedot on kerätty suostumukseen perustuen tai markkinointitarkoituksiin eikä muuta oikeusperustetta ole, poistaminen on toteutettava ilman perusteetonta viivytystä.

Erot lähisukuisiin asiakirjoihin ovat merkittäviä. Tilin poistopyyntö eroaa tarkastuspyynnöstä (yleisen tietosuoja-asetuksen (EU 2016/679) 15 artikla) siinä, että tavoitteena on tietojen poistaminen eikä pääsy niihin. Oikaisupyyntö (16 artikla) kohdistuu tietojen virheellisyyteen eikä poistamiseen. Suoramarkkinoinnin vastustus (21 artikla) rajoittaa tietojen käyttöä markkinointiin mutta ei välttämättä johda kaikkien tietojen poistamiseen. Laajempi forms-legal.com -kirjasto kattaa nämä täydentävät GDPR-mallit suomalaiseen tietosuojadokumentaatioon.

Rekisterinpitäjän velvollisuudet poistamisen jälkeen. Yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklan 2 kohdan mukainen ilmoitusvelvollisuus tarkoittaa, että rekisterinpitäjän on aktiivisesti toimittava vaatiakseen muilta rekisterinpitäjiltä tietojen poistamista. Poistopyyntö ei siis rajoitu vain alkuperäiseen rekisterinpitäjään, vaan sen vaikutus ulottuu koko arvoketjuun. Käytännössä tämä koskee esimerkiksi mainosverkostoja, analytiikkapalveluita ja kumppanimarkkinointitahoja, joille rekisterinpitäjä on luovuttanut henkilötietoja. Velvollisuus on oikeudellisesti sitova eikä rekisterinpitäjä voi vedota teknisiin vaikeuksiin sen toteuttamisen estämiseksi. Tietosuojavaltuutetun toimisto Suomessa sekä Euroopan tietosuojaneuvosto (EDPB) ovat antaneet ohjeistusta tämän velvollisuuden laajuudesta.

Erot tietosuojalainsäädännössä Suomessa ja muualla EU:ssa. Yleinen tietosuoja-asetus (EU 2016/679) on suoraan sovellettavaa oikeutta koko EU:ssa, mutta tietosuojalaki (1050/2018) täydentää sitä kansallisilla erityissäännöksillä. Suomessa tietosuojavaltuutetun toimisto on toimivaltainen viranomainen, joka käsittelee valitukset ja voi määrätä seuraamusmaksuja. GDPR:n 17 artikla on yhdenmukaisesti sovellettavissa kaikkialla EU:ssa, mikä tarkoittaa, että suomalainen rekisteröity voi käyttää poisto-oikeuttaan myös ulkomaisia palveluntarjoajia, kuten Google LLC ja Meta Platforms Ireland Ltd., kohtaan, jos ne tarjoavat palveluja EU:ssa asuville henkilöille.

Tilin poistopyyntö GDPR:n nojalla Suomessa tarvitaan tilanteissa, joissa henkilö haluaa sulkea digitaalisen tilin ja varmistaa, että kaikki palveluntarjoajan hallussa olevat henkilötiedot poistetaan.

Palvelun lopettaminen ja tilin sulkeminen. Kun henkilö lopettaa verkkokaupan, suoratoistopalvelun tai muun digitaalisen palvelun käytön, on tärkeää varmistaa, että myös kaikki palvelun keräämät henkilötiedot poistetaan. Pelkkä tilin käytön lopettaminen ei tarkoita tietojen poistamista; monilla palveluilla on pitkät säilytysajat, ellei poistoa nimenomaisesti pyydetä. Suomessa tietosuojavaltuutetun toimisto on antanut ohjeistusta siitä, että palveluntarjoajien on annettava käyttäjille helppo tapa poistaa tilinsä, mutta käytännössä helppojen poistotoimintojen puuttuessa kirjallinen poistopyyntö on varmin tapa.

Suostumuksen peruuttaminen ja tietoihin perustuvan käsittelyn päättäminen. Kun henkilö peruuttaa suostumuksensa henkilötietojen käsittelyyn, hänellä on yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklan 1 kohdan b alakohdan mukaan oikeus pyytää myös tietojen poistamista, jos käsittely perustuu yksinomaan suostumukseen eikä muuta oikeusperustetta ole. Tämä on tyypillinen tilanne markkinointirekistereissä ja suostumuspohjaisissa palveluissa. Mikäli rekisterinpitäjä väittää, että sillä on muu oikeusperusta, kuten oikeutettu etu, rekisterinpitäjän on osoitettava tämä kirjallisesti.

Digitaalisen jalanjäljen pienentäminen. Monet henkilöt haluavat rajoittaa digitaalista jalanjälkeään tietoturvan, yksityisyyden tai henkilökohtaisten syiden vuoksi. Tilin poistopyyntö antaa oikeudellisen välineen varmistaa, että tiedot todella poistetaan eikä palveluntarjoaja vain deaktivoi tiliä säilyttäen tiedot. Tietoturvaloukkausten riski kasvaa, kun henkilötietoja on hajallaan useissa palveluissa; poistamalla tarpeettomat tilit vähennetään altistumista tietomurroille.

Epäilty tietoturvaloukkaus tai lainvastainen käsittely. Kun henkilö epäilee, että palveluntarjoaja käsittelee hänen tietojaan lainvastaisesti, hänellä on yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklan 1 kohdan d alakohdan mukaan oikeus vaatia tietojen poistamista. Lainvastainen käsittely voi tarkoittaa esimerkiksi puuttuvaa oikeusperustaa, suostumuksen vilpillistä hankkimista tai tietojen käyttöä alkuperäisen tarkoituksen vastaisesti. Tietoturvaloukkauksia koskevat ilmoitukset voidaan tehdä tietosuojavaltuutetun toimistolle yleisen tietosuoja-asetuksen (EU 2016/679) 33 ja 77 artiklan nojalla.

Lapsen nimissä avatun tilin sulkeminen. Kun vanhempi haluaa sulkea alaikäisen lapsen nimissä avatun tilin tai palvelun, joka on kerännyt lapsen tietoja yleisen tietosuoja-asetuksen (EU 2016/679) 8 artiklan ja tietosuojalain (1050/2018) 5 §:n vastaisesti, poistopyyntö on asianmukainen keino. Suomessa alaikäisen ikäraja sähköisen viestinnän palveluissa on 13 vuotta, ja alle 13-vuotiaan lapsen tietojen käsittely edellyttää huoltajan suostumusta. Vanhemman on esitettävä selvitys huoltajuudestaan osana poistopyyntöä.

Kuoleman jälkeen tehtävä poistopyyntö. Kun vainajan omainen tai kuolinpesä haluaa sulkea vainajan digitaaliset tilit, tilin poistopyyntö toimii oikeudellisena välineenä. Suomessa digitaalisen omaisuuden hallintaan sovelletaan perintökaaren (40/1965) säännöksiä, mutta GDPR:n nojalla on erillinen oikeus pyytää vainajan tietojen poistamista. Kuolintodistus on esitettävä palveluntarjoajille tilien sulkemista varten, ja Digi- ja väestötietovirasto (DVV) myöntää virallisia kuolintodistuksia.

Tietojen poistaminen ennen ulkomaanmatkaa tai oleskelua. Kun henkilö muuttaa maasta tai oleskelee ulkomailla pitkään, suomalaisten palvelujen tilien poistaminen voi olla käytännöllistä. Poistopyynnöllä varmistetaan, että palveluntarjoaja ei jatka tietojen käsittelyä tarpeettomasti poissaolon aikana ja että tiedot poistetaan asianmukaisesti myös kolmansista maista, joihin palveluntarjoaja on mahdollisesti luovuttanut niitä.

Tehokas tilin poistopyyntö GDPR:n nojalla Suomessa sisältää seuraavat osatekijät, jotta rekisterinpitäjä voi tunnistaa rekisteröidyn ja toteuttaa poistamisen yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklan mukaisesti.

Rekisteröidyn yksilöinti. Pyynnössä yksilöidään rekisteröity täydellisellä nimellä, henkilötunnuksella tai syntymäajalla ja tiliin liitetyllä sähköpostiosoitteella. Yksilöinti on välttämätöntä oikean tilin löytämiseksi rekisterinpitäjän järjestelmistä. Pelkän nimen ilmoittaminen ei usein riitä, koska samalla nimellä voi olla useita rekisteröityneitä käyttäjiä.

Tilin tunnistetiedot. Pyynnössä ilmoitetaan käyttäjätunnus, asiakasnumero tai muu tilin yksilöivä tieto. Tunnistetiedot nopeuttavat oikean tilin löytämistä ja vähentävät väärän tilin poistamisen riskiä. Mahdolliset liittyvät asiakastunnukset tai tilausnumerot on suositeltavaa mainita.

Poistopyynnön oikeudellinen peruste. Pyynnössä viitataan yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklaan ja yksilöidään soveltuva peruste: tiedot eivät ole enää tarpeen, suostumus peruutetaan, käsittelyä vastustetaan tai käsittely on ollut lainvastaista. Oikeusperusteen mainitseminen osoittaa rekisterinpitäjälle, että kyse on lakisääteisestä vaatimuksesta, jota ei voi sivuuttaa.

Poistettavien tietojen laajuus. Pyynnössä määritellään, koskeeko vaatimus kaikkia tietoja vai tiettyä ryhmää. Kattava poistaminen sisältää tilitiedot, henkilötiedot, ostohistorian, käyttäytymistiedot, maksutiedot, profilointi- ja markkinointitiedot sekä kaiken käyttäjän luoman sisällön. forms-legal.com -kirjaston malli kattaa nämä kaikki kategoriat.

Velvollisuus ilmoittaa kolmansille osapuolille. Pyynnössä viitataan yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklan 2 kohtaan, jonka mukaan rekisterinpitäjän on ilmoitettava muille rekisterinpitäjille, joille tietoja on luovutettu, poistopyynnöstä. Tämä velvollisuus koskee erityisesti tilanteita, joissa palveluntarjoaja on luovuttanut tietoja kumppaneille tai mainontaverkostoille.

Vastausaika ja vahvistuspyyntö. Pyynnössä viitataan rekisterinpitäjän velvollisuuteen vastata ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa yleisen tietosuoja-asetuksen (EU 2016/679) 12 artiklan 3 kohdan mukaisesti. Pyynnössä pyydetään myös kirjallinen vahvistus poistamisen toteuttamisesta tai perustellun kieltäytymisen ilmoittaminen.

Valitusoikeuden mainitseminen. Pyynnössä mainitaan rekisteröidyn oikeus tehdä valitus tietosuojavaltuutetun toimistolle, mikä korostaa pyynnön vakavuutta ja rekisterinpitäjän velvollisuutta ottaa se asianmukaisesti käsittelyyn. Valitusoikeuden mainitseminen kannustaa rekisterinpitäjää toimimaan sääntöjenmukaisesti.

Päiväys, allekirjoitus ja lähetystodiste. Pyyntö päivätään ja allekirjoitetaan; päiväys käynnistää kuukauden vastausmääräajan. Pyyntö lähetetään todisteellisesti, esimerkiksi sähköpostilla, ja lähetystodiste säilytetään. Todiste on tarpeen mahdollisen valituksen tietosuojavaltuutetun toimistolle tai vahingonkorvausvaatimuksen yhteydessä yleisen tietosuoja-asetuksen (EU 2016/679) 82 artiklan mukaisesti.

Tietojen käsittelyn rajoittaminen poistamisen selvittämisen ajaksi. Jos rekisterinpitäjä tarvitsee lisäaikaa poistamisen toteuttamiseen tai kiistää poistamisvelvollisuuden, rekisteröity voi pyytää tietojen käsittelyn rajoittamista yleisen tietosuoja-asetuksen (EU 2016/679) 18 artiklan 1 kohdan d alakohdan mukaisesti ajaksi, jona asia selvitetään. Käsittelyn rajoittaminen estää rekisterinpitäjää käyttämästä tietoja muihin tarkoituksiin selvittämisen aikana. Pyyntö käsittelyn rajoittamisesta voidaan liittää poistopyyntöön samanaikaisesti.

Erityiset henkilötietoryhmät ja tiukennetut vaatimukset. Jos poistopyyntö koskee erityisiä henkilötietoryhmiä, kuten terveystietoja, uskontoa, poliittisia mielipiteitä tai etnistä alkuperää, yleisen tietosuoja-asetuksen (EU 2016/679) 9 artiklan erityinen suoja korostuu. Näiden tietojen poistaminen on erityisen tärkeää, ja rekisterinpitäjän on noudatettava tiukennettuja velvollisuuksia niiden käsittelyssä.

Kansainväliset tiedonsiirrot ja poistaminen. Kun rekisterinpitäjä on siirtänyt henkilötietoja kolmansiin maihin, kuten Yhdysvaltoihin tai Intiaan, poistopyyntö kattaa myös nämä tiedot. Yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklan 2 kohdan mukainen ilmoitusvelvollisuus ulottuu myös kolmansissa maissa sijaitseviin rekisterinpitäjiin, joille tietoja on luovutettu. Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet varmistakseen, että myös nämä tahot poistavat tiedot.

Tilin poistopyyntö GDPR:n nojalla Suomessa täytetään seuraavien vaiheiden mukaisesti.

Vaihe 1 — Yksilöi itsesi. Ilmoita täydellinen nimesi, henkilötunnuksesi tai syntymäaikasi sekä tiliin liitetty sähköpostiosoite. Varmista, että käytät samaa nimeä ja sähköpostia, jolla tili on rekisteröity. Rekisterinpitäjä voi pyytää henkilöllisyyden varmistamiseksi lisätietoja yleisen tietosuoja-asetuksen (EU 2016/679) 12 artiklan 6 kohdan mukaisesti.

Vaihe 2 — Ilmoita tilin tunnistetiedot. Kirjoita käyttäjätunnus, asiakasnumero tai muu tilin yksilöivä tieto. Jos et muista kaikkia tunnistetietoja, ilmoita ainakin sähköpostiosoite, jolla tili on luotu.

Vaihe 3 — Yksilöi rekisterinpitäjä. Ilmoita palvelun tai yrityksen nimi ja osoite tai tietosuojavastaavan sähköposti. Suomalaisilla yrityksillä tietosuojavastaavan yhteystiedot löytyvät yleensä palvelun tietosuojaselosteesta; ulkomaisten yritysten, kuten Google LLC:n tai Meta Platforms Ireland Ltd:n, tietosuojavastaavan yhteystiedot löytyvät niiden verkkosivuilta.

Vaihe 4 — Valitse poistoperuste. Valitse yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklan mukainen peruste: tiedot eivät ole enää tarpeen, peruutat suostumuksesi, vastustat käsittelyä tai tietoja on käsitelty lainvastaisesti. Jos useampi peruste soveltuu, valitse tärkein; voit täsmentää lisätiedoissa.

Vaihe 5 — Määrittele poistettavien tietojen laajuus. Valitse, kattaako vaatimus kaikki henkilötietosi vai tietyn ryhmän. Tilin sulkemisen yhteydessä on yleensä tarkoituksenmukaista vaatia kaikkien tietojen poistamista.

Vaihe 6 — Viittaa velvollisuuteen ilmoittaa kolmansille. Mainitse, että odotat rekisterinpitäjän täyttävän yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklan 2 kohdan mukaisen velvollisuuden ilmoittaa kaikille tahoille, joille tietoja on luovutettu.

Vaihe 7 — Pyydä kirjallinen vahvistus. Pyydä rekisterinpitäjää lähettämään kirjallinen vahvistus poistamisen toteuttamisesta tai perustellun kieltäytymisen ilmoitus.

Vaihe 8 — Päivää, allekirjoita ja lähetä. Kirjoita paikkakunta ja päiväys muodossa PP.KK.VVVV ja allekirjoita pyyntö. Lähetä se todisteellisesti, esimerkiksi sähköpostilla, ja säilytä lähetystodiste. Päiväys käynnistää kuukauden vastausmääräajan kulumisen yleisen tietosuoja-asetuksen (EU 2016/679) 12 artiklan 3 kohdan mukaisesti.

Vaihe 9 — Säilytä kaikki poistoprosessiin liittyvät asiakirjat. Kun poistopyyntö on lähetetty, säilytä jäljennös pyynnöstä, lähetystodiste, rekisterinpitäjän vastaus tai vahvistus sekä mahdolliset muistutukset. Nämä asiakirjat ovat välttämättömiä, jos tietosuojavaltuutetun toimistolle tehdään valitus yleisen tietosuoja-asetuksen (EU 2016/679) 77 artiklan mukaisesti tai jos haetaan vahingonkorvausta 82 artiklan nojalla. Hyvä arkistointikäytäntö on säilyttää asiakirjat vähintään kolmen vuoden ajan, joka vastaa GDPR-asioiden yleistä vanhentumisaikaa Suomessa.

Vaihe 10 — Tarkista poistamisen laajuus saadun vastauksen perusteella. Kun rekisterinpitäjä vahvistaa poistamisen, tarkista, kattaako vahvistus kaikki vaaditut tietoryhmät, mukaan lukien varmuuskopioidut tiedot. Jos vahvistus on puutteellinen tai se rajaa poistamisen vain tiettyihin tietoihin, pyydä täsmennystä. Oikeudellisesti sitova poistaminen kattaa kaikki rekisterinpitäjän hallussa olevat henkilötietosi.

Tilin poistopyyntö GDPR:n nojalla Suomessa perustuu yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklaan, tietosuojalakiin (1050/2018) ja lakiin sähköisen viestinnän palveluista (917/2014).

Oikeus tietojen poistamiseen yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklan mukaisesti. Rekisteröidyllä on oikeus vaatia henkilötietojensa poistamista kuudessa 17 artiklan 1 kohdan tilanteessa: tiedot eivät ole enää tarpeen; suostumus peruutetaan; käsittelyä vastustetaan eikä ylivoimaista perustetta ole; tietoja on käsitelty lainvastaisesti; tiedot on poistettava lakisääteisen velvoitteen noudattamiseksi; tai tiedot kerättiin tietoyhteiskunnan palveluissa lapselta. Rekisterinpitäjän on toteutettava poistaminen ilman perusteetonta viivytystä. Oikeus koskee kaikkia rekisterinpitäjiä riippumatta siitä, sijaitsevatko ne Suomessa tai EU:n ulkopuolella, kunhan ne tarjoavat palveluja EU:ssa asuville henkilöille.

Poistamisen esteet 17 artiklan 3 kohdan mukaisesti. Poisto-oikeutta voidaan rajoittaa, jos käsittely on tarpeen sananvapauden ja tiedonvälityksen vapauden käyttämiseksi; lakisääteisen velvoitteen noudattamiseksi tai yleistä etua koskevan tehtävän suorittamiseksi; kansanterveyteen liittyvän yleisen edun vuoksi; arkistointia, tieteellistä tutkimusta tai tilastointia varten; tai oikeudellisia vaatimuksia varten. Suomessa kirjanpitolaki (1336/1997) edellyttää kirjanpitoaineiston säilyttämistä kuusi vuotta, joten kaupalliseen toimintaan liittyviä tilitietoja ei voi poistaa ennenaikaisesti. Rekisterinpitäjän on perusteltava kieltäytyminen kirjallisesti.

Velvollisuus ilmoittaa sivullisille 17 artiklan 2 kohdan mukaisesti. Jos rekisterinpitäjä on julkistanut henkilötiedot tai luovuttanut niitä muille, sen on toteutettava kohtuulliset toimenpiteet ilmoittaakseen muille rekisterinpitäjille poistopyynnöstä. Tämä koskee erityisesti tilanteita, joissa tietoja on jaettu yhteistyökumppaneille, mainostajille tai hakukoneille. Velvollisuus on erityisen tärkeä digitaalisten mainosverkostojen yhteydessä, joissa henkilötietoja on jaettu useille kolmansille osapuolille.

Vastausaika yleisen tietosuoja-asetuksen (EU 2016/679) 12 artiklan mukaisesti. Rekisterinpitäjän on vastattava poistopyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta 12 artiklan 3 kohdan mukaisesti. Määräaikaa voidaan jatkaa enintään kahdella kuukaudella perustellusta syystä, jolloin rekisteröidylle on ilmoitettava jatkamisesta kuukauden kuluessa. Jos rekisterinpitäjä ei ryhdy toimenpiteisiin, sen on ilmoitettava kieltäytymisen syistä ja oikeudesta tehdä valitus valvontaviranomaiselle.

Laki sähköisen viestinnän palveluista (917/2014). Tietoyhteiskunnan palvelut on velvoitettu tiedottamaan käyttäjilleen henkilötietojen käsittelystä ja mahdollistamaan tietojen poistaminen. Sähköisen viestinnän palveluiden tarjoajien on noudatettava sekä GDPR:ää että kansallista lainsäädäntöä henkilötietojen suojaamisessa. Laki sähköisen viestinnän palveluista (917/2014) 205 § sääntelee lisäksi evästeiden käyttöä, joka liittyy usein digitaalisten tilipalveluiden henkilötietojen käsittelyyn.

Oikeus vahingonkorvaukseen yleisen tietosuoja-asetuksen (EU 2016/679) 82 artiklan mukaisesti. Jos rekisteröidylle aiheutuu aineellista tai aineetonta vahinkoa poistopyynnön perusteettomasta epäämisestä tai lainvastaisesta tietojen käsittelystä, hänellä on oikeus vaatia vahingonkorvausta rekisterinpitäjältä tai henkilötietojen käsittelijältä tuomioistuimessa. Aineettomaan vahinkoon voi liittyä esimerkiksi yksityisyyden loukkaus, identiteettivarkaus tai mielipaha.

Tietosuojavaltuutetun toimisto valvontaviranomaisena. Tietosuojavaltuutetun toimisto valvoo poisto-oikeuden noudattamista Suomessa, käsittelee rekisteröityjen valituksia ja voi määrätä rekisterinpitäjälle hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan nojalla. Rekisteröidyllä on oikeus tehdä valitus tietosuojavaltuutetun toimistolle 77 artiklan mukaisesti, jos poistopyyntöön ei vastata asianmukaisesti. Kilpailu- ja kuluttajavirasto (KKV) voi myös auttaa kuluttajasuhteissa.

Tavanomaiset virheet tilin poistopyynnön laadinnassa voivat viivästyttää poistamista tai johtaa sen epäämiseen.

Virhe 1 — Puutteelliset tunnistetiedot. Pyyntö ilman tilin sähköpostia tai käyttäjätunnusta voi johtaa siihen, että rekisterinpitäjä ei löydä oikeaa tiliä. Ratkaisu: ilmoita aina sekä tiliin liitetty sähköpostiosoite että käyttäjätunnus tai asiakasnumero.

Virhe 2 — Oikeusperusteen mainitsematta jättäminen. Pyyntö ilman viittausta yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklaan voidaan käsitellä tavallisena asiakaspalvelupyyntönä eikä lakisääteisenä velvoitteena. Ratkaisu: viittaa nimenomaisesti 17 artiklaan ja soveltuvaan perusteeseen.

Virhe 3 — Pelkän deaktivoinnin pyytäminen. Tilin deaktivointi tai keskeyttäminen ei tarkoita tietojen poistamista; tiedot säilytetään yleensä palveluntarjoajan järjestelmissä. Ratkaisu: vaadi nimenomaisesti kaikkien henkilötietojen poistamista ja tilin pysyvää sulkemista.

Virhe 4 — Kolmansille ilmoittamista koskevan velvollisuuden sivuuttaminen. Pyyntö ilman viittausta yleisen tietosuoja-asetuksen (EU 2016/679) 17 artiklan 2 kohdan velvollisuuteen voi johtaa siihen, että rekisterinpitäjä laiminlyö ilmoittamisen kumppaneilleen. Ratkaisu: mainitse velvollisuus nimenomaisesti pyynnössä.

Virhe 5 — Vahvistuksen pyytämättä jättäminen. Ilman nimenomaista vahvistuspyyntöä rekisterinpitäjä ei välttämättä ilmoita poistamisen toteuttamisesta. Ratkaisu: pyydä kirjallinen vahvistus poistamisen toteuttamisesta tai perustellun kieltäytymisen ilmoittaminen.

Virhe 6 — Lähetystodisteen laiminlyöminen. Ilman lähetystodistetta on vaikea osoittaa, milloin pyyntö on toimitettu ja milloin vastausmääräaika alkaa kulua. Ratkaisu: lähetä pyyntö sähköpostilla tai muulla tavalla, josta jää todiste, ja säilytä se. Sähköpostilähetys on käytännöllisin keino, koska lähetetyistä sähköposteista jää automaattisesti aikaleima.

Virhe 7 — Kieltäytymiseen reagoimatta jättäminen. Jos rekisterinpitäjä kieltäytyy perusteetta tai epäasiallisella perusteella, on tärkeää reagoida. Ratkaisu: tee valitus tietosuojavaltuutetun toimistolle yleisen tietosuoja-asetuksen (EU 2016/679) 77 artiklan mukaisesti. Valitus voidaan tehdä tietosuojavaltuutetun verkkosivuston kautta tai kirjallisesti, ja se on maksuton. Tietosuojavaltuutettu voi määrätä rekisterinpitäjälle hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan nojalla.

Virhe 8 — Varmuuskopiotietojen huomiotta jättäminen. Rekisterinpitäjä voi väittää, että tilin tiedot on jo poistettu mutta varmuuskopiossa ne ovat vielä tallessa. Ratkaisu: pyydä rekisterinpitäjää selostamaan varmuuskopiokäytänteensä ja varmistamaan, että tiedot poistetaan myös varmuuskopioista seuraavassa rutiinipoistossa.