Tietosuoja

Siirto-oikeus 2026: GDPR 20 artikla ja tietojen siirrettävyys

Oikeus siirtää tiedot järjestelmästä toiseen GDPR 20 artiklan mukaan: mitä tietoja se koskee, missä muodossa ne annetaan ja miten siirto-oikeus eroaa tarkastusoikeudesta.

Also available in:English·Français

Siirto-oikeus (oikeus siirtää tiedot järjestelmästä toiseen) tarkoittaa rekisteröidyn oikeutta saada häntä koskevat henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja oikeutta siirtää ne toiselle rekisterinpitäjälle. Oikeus perustuu yleisen tietosuoja-asetuksen (GDPR) 20 artiklaan. Se on kapeampi kuin tarkastusoikeus: siirto-oikeus koskee vain rekisteröidyn itsensä toimittamia tietoja, joita käsitellään suostumuksen tai sopimuksen perusteella ja automaattisesti. Siirto-oikeuden tarkoitus on edistää kilpailua ja rekisteröityjen liikkuvuutta – esimerkiksi mahdollisuutta vaihtaa palveluntarjoajaa ilman, että tiedot jäävät vanhaan järjestelmään. Tässä oppaassa käydään läpi, mitä siirto-oikeus kattaa, mitkä ovat sen edellytykset ja miten se toteutetaan.

Siirto-oikeuden kolme edellytystä

Siirto-oikeus soveltuu vain, kun kaikki kolme edellytystä täyttyvät (20 artiklan 1 kohta):

  1. Käsittelyperuste on joko rekisteröidyn suostumus (6 artiklan 1 kohdan a alakohta tai 9 artiklan 2 kohdan a alakohta) tai sopimus (6 artiklan 1 kohdan b alakohta). Oikeutettuun etuun tai lakisääteiseen velvoitteeseen perustuvaa käsittelyä siirto-oikeus ei koske.
  2. Käsittely tapahtuu automaattisesti. Manuaalisia paperiaineistoja siirto-oikeus ei kata.
  3. Tiedot ovat rekisteröidyn itsensä toimittamia.

Kolmas edellytys on tärkein rajaus. “Toimitetut tiedot” kattavat sekä aktiivisesti annetut tiedot (esimerkiksi lomakkeelle syötetyt) että käyttäytymisestä havaitut tiedot (esimerkiksi palvelun käyttöhistoria tai laitteen tuottamat mittaustiedot). Sen sijaan tiedot, jotka rekisterinpitäjä on johtanut tai päätellyt näistä (esimerkiksi profiili, luottoluokitus tai algoritmin tuottama pisteytys), eivät kuulu siirto-oikeuden piiriin – vaikka ne kuuluvatkin tarkastusoikeuden piiriin. Tämä erottelu voi tuntua teknisluontoiselta, mutta se on olennainen: se estää siirto-oikeutta muuttumasta velvoitteeksi luovuttaa organisaation oma analyysityö kilpailijalle. Rekisteröity saa mukaansa sen, minkä hän on itse tuottanut, mutta ei sitä lisäarvoa, jonka rekisterinpitäjä on tiedoista jalostanut.

Missä muodossa tiedot annetaan?

20 artikla edellyttää jäsenneltyä, yleisesti käytettyä ja koneellisesti luettavaa muotoa. Käytännössä tämä tarkoittaa avoimia rakenteisia tiedostomuotoja kuten CSV, JSON tai XML – ei skannattua PDF-kuvaa eikä lukittua omaa muotoa. Tarkoitus on, että vastaanottava rekisterinpitäjä voi lukea tiedot koneellisesti ilman kohtuutonta työtä.

Lisäksi 20 artiklan 2 kohta antaa rekisteröidylle oikeuden saada tiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista. Tämä ei kuitenkaan velvoita rekisterinpitäjiä rakentamaan keskenään yhteensopivia järjestelmiä – riittää, että tiedot annetaan yhteensopivassa muodossa. Siirto-oikeus ei myöskään saa haitata muiden oikeuksia ja vapauksia (20 artiklan 4 kohta): jos rekisteröidyn tiedot sisältävät kolmansien henkilöiden tietoja, ne on käsiteltävä varoen.

Siirto-oikeuden käytännön merkitys korostuu erityisesti aloilla, joilla asiakas vaihtaa palveluntarjoajaa: pankit ja maksupalvelut, sähkö- ja teleoperaattorit sekä pilvipohjaiset kuluttajapalvelut. Näillä aloilla siirto-oikeus tukee kilpailua tekemällä vaihtamisesta helpompaa. Rekisterinpitäjän kannattaa siksi rakentaa tietojen vientitoiminto valmiiksi osaksi palvelua – manuaalinen, tapauskohtainen tietojen kokoaminen jokaisen pyynnön kohdalla on sekä hidasta että virhealtista. Toiminnon suunnittelussa on hyödyllistä erottaa jo tietomallissa rekisteröidyn toimittamat tiedot johdetuista, jotta siirrettävä osuus voidaan tuottaa automaattisesti oikeassa muodossa. Tämä on suora sovellus sisäänrakennetun tietosuojan periaatteesta: kun oikeus on huomioitu jo suunnitteluvaiheessa, sen toteuttaminen on toimivaa toiminnallisuutta eikä jokaiseen pyyntöön erikseen tehtävää käsityötä.

Siirto-oikeus vs. tarkastusoikeus

Siirto-oikeus ja tarkastusoikeus sekoitetaan usein toisiinsa, mutta ne ovat eri asioita:

  • Tarkastusoikeus (15 artikla) koskee kaikkia rekisteröityä koskevia tietoja millä tahansa käsittelyperusteella, mukaan lukien johdetut ja päätellyt tiedot. Jäljennös on annettava luettavassa muodossa, mutta ei välttämättä koneellisesti luettavassa.
  • Siirto-oikeus (20 artikla) koskee vain rekisteröidyn toimittamia tietoja, joita käsitellään suostumuksen tai sopimuksen perusteella automaattisesti, ja tiedot on annettava koneellisesti luettavassa muodossa.

Käytännössä rekisteröity saattaa esittää pyynnön, joka koskee molempia oikeuksia. Silloin käsittele molemmat: anna koko jäljennös tarkastusoikeuden nojalla ja toimita siirrettävät tiedot koneellisesti luettavassa muodossa siirto-oikeuden nojalla.

Miten siirto-oikeus toteutetaan?

Menettelysäännöt ovat samat kuin muissakin rekisteröidyn oikeuksissa: vastaus ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa (12 artiklan 3 kohta), lähtökohtaisesti maksutta, ja rekisteröity on tarvittaessa tunnistettava.

Prosessi etenee näin. Ensin tarkista edellytykset: onko käsittelyperuste suostumus tai sopimus, tapahtuuko käsittely automaattisesti ja ovatko tiedot rekisteröidyn toimittamia. Toiseksi rajaa tiedot: erottele toimitetut tiedot johdetuista ja päätellyistä. Kolmanneksi muunna muoto yleisesti käytetyksi rakenteiseksi tiedostomuodoksi. Neljänneksi tarkista kolmansien tiedot ja poista tarvittaessa. Viidenneksi toimita tiedot rekisteröidylle tai suoraan toiselle rekisterinpitäjälle.

Tässä käsittelytoimien seloste on hyödyllinen: siitä näet, mitkä käsittelytoimet perustuvat suostumukseen tai sopimukseen ja ovat siten siirto-oikeuden piirissä. Legiscopen kaltainen ratkaisu tunnistaa siirto-oikeuden alaiset käsittelyt automaattisesti käsittelyperusteen perusteella. Tietosuojavaltuutetun toimisto ohjeistaa oikeudesta rekisteröidyn oikeudet -sivullaan, ja lakiteksti löytyy GDPR:n 20 artiklasta EUR-Lexissä sekä tietosuojalaista (1050/2018).

Käytännön haasteet ja yhteentoimivuus

Siirto-oikeus on periaatteessa selkeä, mutta sen toteuttamisessa on toistuvia käytännön haasteita, jotka kannattaa ratkaista etukäteen.

Toimitettujen ja johdettujen tietojen erottaminen. Suurin käytännön haaste on rajata siirrettävät tiedot. Rekisteröidyn toimittamat tiedot (lomakedata, käyttöhistoria, mittaustiedot) kuuluvat siirto-oikeuden piiriin, mutta niistä johdetut profiilit, pisteytykset ja luokittelut eivät. Järjestelmät eivät useinkaan erottele näitä valmiiksi, joten erottelu on suunniteltava sisäänrakennetun tietosuojan periaatteen mukaan jo tietomallia rakennettaessa.

Yhteentoimivuus. 20 artiklan 2 kohta antaa oikeuden suoraan siirtoon rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista. GDPR ei kuitenkaan velvoita rakentamaan yhteensopivia järjestelmiä, joten “teknisesti mahdollista” tulkitaan käytännössä suppeasti. Riittää, että tiedot annetaan yleisesti käytetyssä rakenteisessa muodossa (CSV, JSON, XML); vastaanottavan järjestelmän vastuulla on tulkita ne.

Kolmansien tiedot. Rekisteröidyn toimittamat tiedot voivat sisältää muiden henkilöiden tietoja – esimerkiksi yhteystietoluettelo tai viestihistoria. 20 artiklan 4 kohta kieltää loukkaamasta muiden oikeuksia, joten kolmansien tietoja ei saa siirtää tavalla, joka mahdollistaisi niiden käytön muihin tarkoituksiin.

Tietoturva siirrossa. Kun tiedot annetaan koneellisesti luettavassa muodossa, ne on toimitettava turvallisesti. Salaamaton tiedosto avoimessa verkossa on itsessään tietoturvariski. Tunnista rekisteröity huolellisesti ennen toimitusta, jotta et luovuta tietoja väärälle henkilölle – väärä luovutus on tietoturvaloukkaus.

Nämä haasteet ratkeavat parhaiten, kun siirrettävät tiedot on merkitty valmiiksi käsittelyperusteen mukaan käsittelytoimien selosteeseen.

Euroopan tietosuojaneuvoston edeltäjä (WP29) on antanut siirto-oikeudesta yksityiskohtaiset suuntaviivat, jotka vahvistavat edellä kuvatun tulkinnan. Suuntaviivojen mukaan “toimitetut tiedot” on tulkittava laajasti niin, että ne kattavat myös havaitut käyttäytymistiedot, mutta rajaus johdettuihin ja päättelemällä tuotettuihin tietoihin on pidettävä tiukkana. Suuntaviivat myös suosittelevat, että rekisterinpitäjät tarjoavat rekisteröidyille valmiin tietojen latauksen ja rajapinnan sen sijaan, että pyynnöt käsiteltäisiin manuaalisesti tapaus kerrallaan. Ajantasainen ohjeistus löytyy Euroopan tietosuojaneuvoston sivuilta. Käytännössä hyvin toteutettu siirtotoiminto pienentää samalla tietoturvaloukkauksen riskiä, koska automaatio vähentää inhimillisiä virheitä tietojen kokoamisessa ja luovuttamisessa.

Usein kysytyt kysymykset

Mitä eroa on siirto-oikeudella ja tarkastusoikeudella?

Tarkastusoikeus (15 artikla) antaa jäljennöksen kaikista rekisteröityä koskevista tiedoista millä tahansa käsittelyperusteella. Siirto-oikeus (20 artikla) koskee vain rekisteröidyn itsensä toimittamia tietoja, joita käsitellään suostumuksen tai sopimuksen perusteella automaattisesti, ja tiedot on annettava koneellisesti luettavassa muodossa siirrettäväksi toiseen palveluun.

Koskeeko siirto-oikeus oikeutetun edun perusteella käsiteltyjä tietoja?

Ei. Siirto-oikeus soveltuu vain suostumukseen tai sopimukseen perustuvaan käsittelyyn. Oikeutettuun etuun tai lakisääteiseen velvoitteeseen perustuvaa käsittelyä siirto-oikeus ei kata – näihin sovelletaan kuitenkin tarkastusoikeutta ja mahdollisesti vastustamisoikeutta.

Missä tiedostomuodossa tiedot on annettava?

Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa – käytännössä esimerkiksi CSV, JSON tai XML. Skannattu PDF tai lukittu oma muoto ei täytä vaatimusta, koska niitä ei voi lukea koneellisesti ilman kohtuutonta työtä.

Kattaako siirto-oikeus profiilit ja pisteytykset?

Ei. Rekisterinpitäjän johtamat ja päättelemät tiedot, kuten profiilit, luottoluokitukset ja algoritmien tuottamat pisteytykset, jäävät siirto-oikeuden ulkopuolelle. Ne kuuluvat kuitenkin tarkastusoikeuden piiriin, joten rekisteröity saa ne nähtäväkseen 15 artiklan nojalla.

Koskeeko siirto-oikeus paperisia asiakirjoja?

Ei. Siirto-oikeus soveltuu vain automaattisesti käsiteltäviin tietoihin. Manuaalisesti käsitellyt paperiaineistot jäävät sen ulkopuolelle, vaikka ne kuuluisivatkin rekisteriin. Näihin sovelletaan kuitenkin tarkastusoikeutta, jonka nojalla rekisteröity saa jäljennöksen.

Mitä jos käsittelyperuste on oikeutettu etu?

Silloin siirto-oikeus ei sovellu, koska se edellyttää suostumusta tai sopimusta perusteena. Ilmoita rekisteröidylle, ettei siirto-oikeutta voida toteuttaa, mutta käsittele pyyntö tarkastusoikeutena: anna jäljennös tiedoista. Rekisteröidyllä voi lisäksi olla oikeus vastustaa oikeutettuun etuun perustuvaa käsittelyä (21 artikla), mikä on erillinen arviointinsa.

Kuka vastaa tietojen oikeellisuudesta siirron jälkeen?

Siirron jälkeen vastaanottava rekisterinpitäjä vastaa saamiensa tietojen käsittelystä omana rekisterinpitäjänään. Luovuttava rekisterinpitäjä ei vastaa siitä, mitä vastaanottaja tiedoilla tekee. Molempien on kuitenkin varmistettava, että siirto tapahtuu turvallisesti eikä tietoja luovuteta väärälle taholle.

Yhteenveto

Siirto-oikeus on GDPR 20 artiklan mukainen oikeus saada rekisteröidyn toimittamat tiedot koneellisesti luettavassa muodossa ja siirtää ne toiselle rekisterinpitäjälle. Oikeus soveltuu vain, kun käsittelyperuste on suostumus tai sopimus, käsittely on automaattista ja tiedot ovat rekisteröidyn toimittamia. Se on kapeampi kuin tarkastusoikeus eikä kata johdettuja tai päätettyjä tietoja. Toteuta oikeus kuukauden kuluessa, käytä avointa rakenteista tiedostomuotoa ja varo kolmansien tietoja. Käsittelyperusteen tunnistaminen käsittelytoimien selosteessa on avain siihen, että osaat rajata siirrettävät tiedot oikein.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →