Ison-Britannian tietosuojalaki 2018 – selitys ja rekisteröityjen oikeudet

Ison-Britannian tietosuojalaki 2018 selitetty: ymmärrä rekisteröityjen oikeudet, henkilötietojen suoja, soveltamisala ja käytännön vaikutukset helposti ja selkeästi.

Tekijä: Leandro Alegsa

Vuoden 2018 tietosuojalaki (c 29) on Ison-Britannian hallituksen vuonna 2018 säätämä laki, joka korvaa vuonna 1998 säädetyn lain.

Laki asettaa säännöt henkilöille ja organisaatioille, jotka käyttävät tai tallentavat tietoja elävistä ihmisistä, ja antaa oikeuksia niille henkilöille, joiden tietoja on kerätty. Lakia sovelletaan sekä tietokoneilla että muissa tallennusjärjestelmissä oleviin tietoihin, mukaan lukien paperiset arkistot.

Laki kattaa henkilötiedot, joita ovat esimerkiksi osoite, puhelinnumero, sähköpostiosoite, työhistoria ja muut henkilöllisyyttä tai yksilöllisyyttä koskevat tiedot.

Tietoja käyttävät organisaatiot kutsutaan rekisterinpitäjiksi ja niitä, joita tiedot koskevat, kutsutaan rekisteröidyiksi. Rekisterinpitäjä vastaa siitä, että henkilötietojen käsittely on lainmukaista ja läpinäkyvää.

Miten laki liittyy GDPR:ään ja UK GDPR:ään

Vuoden 2018 tietosuojalaki täydentää ja täsmentää EU:n yleistä tietosuoja-asetusta (GDPR). Brexitin jälkeen Iso-Britannia on säilyttänyt tietosuojaperiaatteet osittain muuttuneessa muodossa, ja niin sanottu UK GDPR toimii yhdessä Data Protection Act 2018:n kanssa. Käytännössä tämä tarkoittaa, että monia GDPR:n periaatteita ja rekisteröityjen oikeuksia sovelletaan myös Ison-Britannian laeissa.

Rekisteröityjen keskeiset oikeudet

  • Pääsy omiin tietoihin (subject access request) – rekisteröidyllä on oikeus pyytää nähtäväkseen, mitä tietoja häntä koskien on tallennettu.
  • Oikaisuoikeus – virheelliset tai puutteelliset tiedot on korjattava.
  • Oikeus tulla unohdetuksi (poisto) – tietyissä tilanteissa rekisteröity voi vaatia tietojen poistamista.
  • Rajoittamisen oikeus – oikeus rajoittaa tietojenkäsittelyä tietyissä olosuhteissa.
  • Tietojen siirrettävyysoikeus – oikeus saada henkilötiedot koneellisesti luettavassa muodossa ja siirtää ne toiselle palveluntarjoajalle, mikäli käsittely perustuu suostumukseen tai sopimukseen ja tapahtuu automaattisesti.
  • Vastustamisoikeus – oikeus vastustaa henkilötietojen käsittelyä, joka perustuu rekisterinpitäjän oikeutetulle edulle tai suoramarkkinointiin.
  • Automaattisen päätöksenteon ja profiloinnin rajoitukset – rekisteröidyllä on oikeus olla kohteena yksinomaan automaattiselle päätöksenteolle tietyissä tilanteissa.
  • Suostumuksen peruuttaminen – jos käsittely perustuu suostumukseen, rekisteröidyllä on oikeus peruuttaa suostumus milloin tahansa.

Rekisterinpitäjän velvollisuudet

Rekisterinpitäjien on noudatettava periaatteita, kuten lainmukaisuus, tarkoitussidonnaisuus, minimointi, täsmällisyys, säilyttämisen rajoittaminen ja tietojen turvallisuus. Keskeisiä velvollisuuksia ovat:

  • määritellä ja dokumentoida käsittelyn oikeusperuste (esim. suostumus, sopimus, lakisääteinen velvoite, yleinen etu, oikeutettu etu),
  • tarjota rekisteröidyille selkeät tiedot käsittelystä (rekisteriselosteet ja tietosuojaselosteet),
  • varmistaa asianmukaiset tekniset ja organisatoriset toimenpiteet (esim. salaaminen, käyttöoikeuksien hallinta),
  • ilmoittaa merkittävistä tietoturvaloukkauksista valvontaviranomaiselle (Information Commissioner's Office, ICO) ja tarvittaessa rekisteröidyille.

Erityiset henkilötietoryhmät

Laki asettaa tiukemmat ehdot erityisille henkilötiedoille (ns. erityisluonteisille tiedoille), kuten terveystiedot, rodullinen tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen vakaumus, ammattiliittoon kuuluminen, geneettiset ja biometriset tiedot. Näiden käsittely vaatii yleensä selkeän lainmukaisen perusteensa, esimerkiksi erityisen suostumuksen tai lainsäädännöllisen perusteen.

Tietoturvaloukkaukset ja valvonta

ICO (Information Commissioner's Office) valvoo lain noudattamista Isossa-Britanniassa. ICO voi tutkia käsittelytoimia, antaa ohjeita, määrätä korjaavia toimenpiteitä ja asettaa seuraamuksia. Seuraamukset voivat olla merkittäviä: rangaistukset vaihtelevat, ja vakavista GDPR-tyyppisistä rikkomuksista voidaan määrätä sakkoja jopa enintään 17,5 miljoonaa puntaa tai 4 % yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta (kumpi tahansa on suurempi). Lisäksi on olemassa muita oikeudellisia seuraamuksia ja rikosoikeudellisia vastuita tietyissä tapauksissa.

Tietosuojan vaikutustenarviointi (DPIA)

Kun käsittely on todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille (esim. laaja profilointi, arkaluonteisten tietojen laaja käsittely), rekisterinpitäjän tulee tehdä tietosuojan vaikutustenarviointi (Data Protection Impact Assessment, DPIA). DPIA auttaa tunnistamaan riskit ja määrittelemään toimenpiteet niiden vähentämiseksi.

Kansainväliset tietonsiirrot

Henkilötietojen siirrot Ison-Britannian ulkopuolelle ovat sallittuja vain, jos vastaanottajamaa takaa riittävän tietosuojan tai jos käytössä on sopimusperusteet (esim. EU:n malliehtoja vastaavat sopimukset) tai muut hyväksytyt suojatoimet. Brexitin jälkeen esimerkiksi siirrot EU:n suuntaan vaativat edelleen soveltuvia oikeudellisia keinoja (UK GDPR ja DPA 2018 huomioiden).

Miten rekisteröity voi käyttää oikeuksiaan?

  • Ota ensiksi yhteyttä siihen organisaatioon, joka käsittelee tietojasi (rekisterinpitäjä). Organisaation tulee tarjota yhteystiedot ja ohjeet tietojen tarkistamiseksi tai pyyntöjen tekemiseksi.
  • Rekisteröidyllä on oikeus tehdä kirjallinen pyyntö omien tietojensa saamiseksi tai korjaamiseksi. Useimmat pyynnöt tulee käsitellä kohtuullisessa ajassa (yleisesti 1 kuukausi, monimutkaisissa tapauksissa pidennys mahdollinen).
  • Jos saat epätyydyttävän vastauksen tai epäilet oikeuksiesi loukkausta, voit tehdä valituksen suoraan ICO:lle (Information Commissioner's Office).

Käytännön vinkkejä yksityishenkilöille

  • Pidä kirjaa siitä, mihin olet antanut tietoja ja mihin olet antanut suostumuksen.
  • Lue rekisterinpitäjän tietosuojaseloste ennen tietojen luovuttamista.
  • Hyödynnä rekisteröityjen oikeuksia: pyydä pääsy tietoihin, oikaise virheet ja vaadi tarpeettomien tietojen poistoa.
  • Ilmoita epäilyttävistä tietoturvaloukkauksista ja huijauksista ICO:lle.


Tietosuojalain pääkohdat

Tämä on lyhyt yksinkertaistettu yhteenveto Yhdistyneen kuningaskunnan tietosuojalain pääperiaatteista.

Tämä koskee esimerkiksi henkilöstöä, asiakkaita ja tilinomistajia koskevia tietoja;

  • Jos keräät tietoja ihmisistä tiettyä tarkoitusta varten, et saa käyttää niitä muuhun tarkoitukseen;
  • Et saa luovuttaa ihmisten tietoja muille henkilöille tai organisaatioille, elleivät he anna siihen suostumustaan;
  • Ihmisillä on oikeus tarkastella tietoja, joita organisaatiot tallentavat heistä;
  • Tietoja ei saa säilyttää pidempään kuin on tarpeen, ja ne on pidettävä ajan tasalla;
  • Tietoja ei saa lähettää Euroopan talousalueen ulkopuolelle, ellei tietosuojan taso ole riittävä;
  • Organisaatioiden, jotka tallentavat ihmisiä koskevia tietoja, on rekisteröidyttävä Information Commissioner's Office -virastoon;
  • Jos tallennat ihmisiä koskevia tietoja, sinun on varmistettava, että ne ovat turvallisia ja hyvin suojattuja;
  • Jos organisaatiolla on sinusta virheellisiä tietoja, sinulla on oikeus pyytää sitä muuttamaan ne.



Aiheeseen liittyvät sivut



Kysymyksiä ja vastauksia

K: Mikä on vuoden 2018 tietosuojalaki?


V: Vuoden 2018 tietosuojalaki on Ison-Britannian hallituksen vuonna 2018 hyväksymä laki, ja se korvaa vuonna 1998 hyväksytyn lain. Siinä asetetaan säännöt ihmisille, jotka käyttävät tai tallentavat tietoja elävistä ihmisistä, ja annetaan oikeuksia niille ihmisille, joiden tietoja on kerätty.

Kysymys: Minkä tyyppisiin tietoihin lakia sovelletaan?


V: Lakia sovelletaan henkilötietoihin, jotka ovat tosiasioita, kuten osoite, puhelinnumero, sähköpostiosoite, työhistoria jne.

K: Minkälaisia tallennusjärjestelmiä laki koskee?


V: Lakia sovelletaan tietokoneilla tai missä tahansa tallennusjärjestelmässä oleviin tietoihin, jopa paperitietoihin.

K: Minkä nimisiä ovat tietoja käyttävät henkilöt?


V: Tietoja käyttäviä henkilöitä kutsutaan rekisterinpitäjiksi.

K: Miksi kutsutaan henkilöitä, joita tiedot koskevat?


V: Henkilöitä, joita tiedot koskevat, kutsutaan rekisteröidyiksi.

K: Antaako vuoden 2018 tietosuojalaki oikeuksia niille, joiden tietoja on kerätty?


V: Kyllä, vuoden 2018 tietosuojalaki antaa oikeuksia niille ihmisille, joiden tietoja on kerätty.

K: Mitä oikeuksia annetaan henkilöille, joiden tietoja on kerätty vuoden 2018 tietosuojalain nojalla?


V: Vuoden 2018 tietosuojalaki antaa oikeuksia henkilöille, joiden tietoja on kerätty, kuten oikeuden tutustua omiin tietoihinsa, oikeuden saada tietonsa oikaistuksi tai poistetuksi ja oikeuden vastustaa tietojensa käyttöä tiettyihin tarkoituksiin.


Etsiä
AlegsaOnline.com - 2020 / 2025 - License CC3