Tietosuoja

Tarkastusoikeus 2026: GDPR 15 artikla ja rekisteröidyn pyyntö

Rekisteröidyn tarkastusoikeus GDPR 15 artiklan mukaan: mitä tietoja on annettava, kuukauden määräaika, tunnistaminen ja tavallisimmat virheet. Opas 2026.

Also available in:English·Français·Deutsch

Tarkastusoikeus tarkoittaa rekisteröidyn oikeutta saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö hänen henkilötietojaan, ja jos käsitellään, jäljennös tiedoista sekä joukko lisätietoja käsittelystä. Oikeus perustuu yleisen tietosuoja-asetuksen (GDPR) 15 artiklaan. Rekisterinpitäjän on vastattava pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa. Tarkastusoikeus on rekisteröidyn tärkein oikeus, koska se avaa oven kaikille muille: vasta nähtyään, mitä tietoja hänestä käsitellään, rekisteröity voi vaatia oikaisua, poistoa tai siirtoa. Tässä oppaassa käydään läpi, mitä tietoja on annettava, mikä on määräaika ja miten pyyntöön vastataan ilman tavallisimpia virheitä.

Mitä tarkastusoikeus kattaa?

15 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö häntä koskevia tietoja, ja pääsy tietoihin sekä seuraavat lisätiedot:

  • käsittelyn tarkoitukset;
  • henkilötietoryhmät, joita käsitellään;
  • vastaanottajat tai vastaanottajaryhmät, joille tietoja on luovutettu;
  • tietojen suunniteltu säilytysaika tai sen määrittämisperusteet;
  • oikeus vaatia oikaisua, poistoa tai käsittelyn rajoittamista sekä oikeus vastustaa käsittelyä;
  • oikeus tehdä valitus valvontaviranomaiselle;
  • tietojen alkuperä, jos niitä ei ole kerätty rekisteröidyltä itseltään;
  • tiedot automaattisesta päätöksenteosta ja profiloinnista sekä sen logiikasta.

Suuri osa näistä lisätiedoista on jo julkisessa tietosuojaselosteessa, mutta 15 artikla edellyttää niiden antamista nimenomaan kyseisen rekisteröidyn käsittelyn osalta. Kaikki nämä tiedot löytyvät helpoiten, kun käsittelytoimien seloste on kunnossa.

Jäljennös tiedoista

15 artiklan 3 kohta velvoittaa antamaan jäljennöksen käsiteltävistä henkilötiedoista. Jäljennös on toimitettava maksutta; useammista jäljennöksistä voidaan periä kohtuullinen maksu hallinnollisten kustannusten perusteella. Jos pyyntö tehdään sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei rekisteröity toisin pyydä.

Jäljennösoikeus ei ole rajaton. 15 artiklan 4 kohta täsmentää, että jäljennös ei saa loukata muiden oikeuksia ja vapauksia. Tämä tarkoittaa, että kolmansien henkilöiden tietoja (esimerkiksi toisen henkilön nimi asiakaspalvelukirjeenvaihdossa) voi joutua peittämään. Peittäminen on tehtävä huolellisesti – koko asiakirjan epäämiseen se ei oikeuta.

Huomaa ero tarkastusoikeuden ja siirto-oikeuden välillä: tarkastusoikeus antaa jäljennöksen kaikista tiedoista luettavassa muodossa, kun taas siirto-oikeus koskee vain rekisteröidyn itsensä toimittamia tietoja koneellisesti luettavassa muodossa. Käytännössä jäljennös voidaan toimittaa esimerkiksi PDF-tiedostona tai suojatun asiakasportaalin kautta. Olennaista on, että rekisteröity saa tosiasiallisen pääsyn tietoihinsa ymmärrettävässä muodossa – pelkkä tekninen tietokantavedos ilman selityksiä ei täytä vaatimusta, jos rekisteröity ei voi sen perusteella ymmärtää, mitä tietoja hänestä käsitellään ja mihin tarkoitukseen.

Kuukauden määräaika ja tunnistaminen

12 artiklan 3 kohta velvoittaa vastaamaan pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan jatkaa kahdella kuukaudella, jos pyyntö on monimutkainen tai pyyntöjä on useita – mutta jatkamisesta ja sen syistä on ilmoitettava rekisteröidylle kuukauden kuluessa.

Ennen tietojen luovuttamista rekisteröity on tunnistettava. Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön esittäjän henkilöllisyyttä, se voi pyytää lisätietoja tunnistamiseksi (12 artiklan 6 kohta). Tunnistaminen ei kuitenkaan saa olla tekosyy pyynnön viivyttämiseksi tai epäämiseksi, eikä lisätietoja saa vaatia enempää kuin on tarpeen. Sähköpostiosoitteen vahvistaminen riittää usein tavanomaisissa tapauksissa; arkaluonteisia tietoja luovutettaessa voidaan edellyttää vahvempaa tunnistautumista.

Pyyntö on lähtökohtaisesti maksuton. Maksun tai pyynnöstä kieltäytymisen voi tehdä vain, jos pyyntö on ilmeisen perusteeton tai kohtuuton, erityisesti toistuvuutensa vuoksi (12 artiklan 5 kohta) – ja todistustaakka tästä on rekisterinpitäjällä.

Käytännössä tarkastusoikeuden hoitaminen edellyttää toimivaa sisäistä prosessia, koska tiedot ovat lähes aina hajallaan useissa järjestelmissä: asiakasrekisterissä, sähköpostissa, laskutuksessa, asiakaspalvelun tikettijärjestelmässä ja mahdollisesti varmuuskopioissa. Ilman järjestelmällistä tapaa koota tiedot kuukauden määräaika ylittyy helposti. Rakenna siksi vakioitu haku, joka kattaa kaikki henkilötietoja sisältävät järjestelmät, ja nimeä vastuuhenkilö, joka koordinoi kokoamisen. Huomaa myös, että tarkastusoikeus koskee kaikkia rekisteröidyn tietoja riippumatta käsittelyperusteesta. Toisin kuin siirto-oikeus, joka rajautuu suostumukseen ja sopimukseen, tarkastusoikeus kattaa myös oikeutettuun etuun ja lakisääteiseen velvoitteeseen perustuvan käsittelyn sekä johdetut ja päätellyt tiedot, kuten profiilit ja pisteytykset. Tämä tekee tarkastusoikeudesta laajimman rekisteröidyn oikeuden ja usein työläimmän toteuttaa.

Tavallisimmat virheet

Tarkastusoikeuden käsittelyssä toistuvat samat virheet:

  • Määräajan ylittäminen. Kuukausi kuluu nopeasti. Rakenna prosessi, jossa pyyntö kirjataan heti ja vastuuhenkilö nimetään.
  • Ylimääräisen tunnistautumisen vaatiminen. Passikopion tai käynnin vaatiminen tavallisessa pyynnössä on usein liiallista ja voi olla itsessään lainvastaista.
  • Kolmansien tietojen unohtaminen. Jäljennöstä ei saa antaa niin, että se paljastaa muiden henkilöiden tietoja.
  • Pyynnön muodon rajaaminen. Rekisteröity voi esittää pyynnön vapaamuotoisesti – myös sähköpostilla tai puhelimitse. Et voi vaatia tietyn lomakkeen käyttöä ehdottomana edellytyksenä.
  • Tietojen löytämättömyys. Ilman ajantasaista käsittelytoimien selostetta et tiedä, mistä järjestelmistä tietoja pitää hakea.

Tietosuojavaltuutetun toimisto ohjeistaa rekisteröityjen oikeuksista rekisteröidyn oikeudet -sivullaan. Legiscopen kaltainen ratkaisu ohjaa tarkastuspyyntöjen käsittelyä määräaikoineen ja linkittää pyynnöt käsittelytoimien selosteeseen, jolloin tiedot löytyvät nopeasti. Lakiteksti löytyy tietosuojalaista (1050/2018) ja GDPR:n 15 artiklasta EUR-Lexissä.

Rajoitukset ja poikkeukset tarkastusoikeuteen

Tarkastusoikeus on vahva mutta ei rajaton. Rajoitukset ovat kapeita, ja niitä on tulkittava suppeasti – pääsääntö on aina tietojen antaminen. Käytännössä rajoituksia on kolmea tyyppiä.

Muiden oikeudet (15 artiklan 4 kohta). Jäljennös ei saa loukata muiden henkilöiden oikeuksia ja vapauksia. Tämä oikeuttaa peittämään kolmansien henkilöiden tietoja tai liikesalaisuuksia, mutta ei epäämään koko pyyntöä. Peittäminen on tehtävä täsmällisesti, ja rekisteröidyn omat tiedot on silti annettava.

Kansalliset rajoitukset. Suomen tietosuojalaki (1050/2018) sisältää GDPR 23 artiklan sallimia poikkeuksia. Tarkastusoikeutta voidaan rajoittaa esimerkiksi silloin, kun tietojen antaminen vaarantaisi rikosten ehkäisemisen tai selvittämisen taikka kansallisen turvallisuuden. Erityissäännöksiä on myös muun muassa tieteellisen tutkimuksen ja viranomaistoiminnan osalta. Rajoitukset ovat poikkeuksia, ja niiden soveltaminen on perusteltava.

Ilmeisen perusteettomat tai kohtuuttomat pyynnöt (12 artiklan 5 kohta). Jos pyyntö on ilmeisen perusteeton tai kohtuuton, erityisesti toistuvuutensa vuoksi, rekisterinpitäjä voi periä kohtuullisen maksun tai kieltäytyä. Todistustaakka pyynnön kohtuuttomuudesta on rekisterinpitäjällä, ja rima on korkealla – pelkkä pyynnön työläys ei riitä.

Jos rajoitat tai epäät tarkastusoikeutta, ilmoita rekisteröidylle syyt ja hänen oikeudestaan tehdä valitus Tietosuojavaltuutetun toimistolle sekä käyttää oikeussuojakeinoja. Perusteeton epääminen on itsessään rikkomus, joten rajoitusten soveltaminen kannattaa dokumentoida huolellisesti käsittelytoimien selosteeseen kytkettynä.

Euroopan tietosuojaneuvosto (EDPB) on julkaissut tarkastusoikeudesta yksityiskohtaiset suuntaviivat (Guidelines 01/2022), jotka täsmentävät muun muassa jäljennöksen laajuutta, kolmansien tietojen peittämistä ja tunnistamisen rajoja. Suuntaviivat korostavat, että rekisterinpitäjä ei saa tulkita pyyntöä keinotekoisen suppeasti: jos rekisteröity ei ole nimenomaisesti rajannut pyyntöään, se kattaa lähtökohtaisesti kaikki hänestä käsiteltävät tiedot. Tarkastusoikeus on myös yksi yleisimmistä valitusten aiheista kansallisille valvontaviranomaisille, ja sen laiminlyönti kuuluu GDPR 83 artiklan 5 kohdan ylempään sakkoluokkaan. Ajantasainen ohjeistus löytyy Euroopan tietosuojaneuvoston sivuilta.

Usein kysytyt kysymykset

Kuinka nopeasti tarkastuspyyntöön on vastattava?

Ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan jatkaa kahdella kuukaudella, jos pyyntö on monimutkainen tai pyyntöjä on useita, mutta jatkamisesta on ilmoitettava rekisteröidylle kuukauden kuluessa perusteluineen.

Voiko tarkastuspyynnöstä periä maksun?

Ei lähtökohtaisesti. Ensimmäinen jäljennös on maksuton. Maksun voi periä vain useammista jäljennöksistä tai jos pyyntö on ilmeisen perusteeton tai kohtuuton, erityisesti toistuvuutensa vuoksi. Todistustaakka pyynnön kohtuuttomuudesta on rekisterinpitäjällä.

Miten rekisteröity tunnistetaan?

Jos on perusteltu syy epäillä henkilöllisyyttä, voidaan pyytää lisätietoja tunnistamiseksi (12 artiklan 6 kohta). Tunnistautumista ei saa vaatia enempää kuin on tarpeen. Tavallisissa tapauksissa esimerkiksi rekisteröidyn oman sähköpostitilin vahvistaminen riittää; arkaluonteisten tietojen kohdalla voidaan edellyttää vahvempaa tunnistautumista.

Mitä jos pyyntö koskee myös toisen henkilön tietoja?

Jäljennös ei saa loukata muiden oikeuksia (15 artiklan 4 kohta). Kolmansien henkilöiden tiedot on tarvittaessa peitettävä. Tämä ei kuitenkaan oikeuta epäämään koko pyyntöä – rekisteröidyn omat tiedot on silti annettava peittämisen jälkeen.

Voiko tarkastuspyynnön esittää joku muu rekisteröidyn puolesta?

Voi, jos hänellä on siihen valtuutus. Esimerkiksi asianajaja tai edunvalvoja voi esittää pyynnön rekisteröidyn puolesta asianmukaisella valtakirjalla. Rekisterinpitäjän on varmistuttava sekä valtuutuksesta että rekisteröidyn henkilöllisyydestä ennen tietojen luovuttamista, jottei tietoja anneta väärälle taholle.

Onko tarkastusoikeus sama kuin oikeus saada tieto käsittelystä?

Tarkastusoikeus on laajempi. Se kattaa vahvistuksen käsittelystä, jäljennöksen tiedoista ja lisätiedot tarkoituksista, vastaanottajista ja säilytysajoista. Pelkkä ilmoitus “tietojasi käsitellään” ei riitä – rekisteröidyllä on oikeus nähdä konkreettiset tiedot ja saada niistä jäljennös. Tarkastusoikeus on myös portti muihin oikeuksiin, koska vasta tiedot nähtyään rekisteröity voi vaatia oikaisua tai poistoa.

Yhteenveto

Tarkastusoikeus on GDPR 15 artiklan mukainen rekisteröidyn oikeus saada vahvistus käsittelystä, jäljennös tiedoistaan ja joukko lisätietoja käsittelyn tarkoituksista, vastaanottajista ja säilytysajoista. Vastaus on annettava kuukauden kuluessa, pyyntö on lähtökohtaisesti maksuton, ja rekisteröity on tunnistettava luovuttamatta ylimääräistä. Vältä tavallisimmat virheet: määräajan ylitys, liiallinen tunnistautuminen ja kolmansien tietojen paljastaminen. Tarkastusoikeus on portti muihin oikeuksiin, kuten oikeuteen tulla unohdetuksi ja siirto-oikeuteen – hoida se hyvin, niin muutkin sujuvat.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →