GDPR – Yleinen tietosuoja-asetus: määritelmä, vaikutukset ja sakot

Tutustu GDPR:ään — selkeä määritelmä, vaikutukset yrityksille ja yksityisille sekä sakot (jopa 20 M€ tai 4 % liikevaihdosta). Käytännön ohjeet ja vaatimukset.

Tekijä: Leandro Alegsa

Yleinen tietosuoja-asetus (GDPR) (asetus (Euroopan unioni) 2016/679) annettiin 27. huhtikuuta 2016. Se tuli voimaan 25. toukokuuta 2018.

Euroopan parlamentti, Euroopan unionin neuvosto ja Euroopan komissio hyväksyvät asetuksen. Se suojaa ihmisten henkilötietoja kaikkialla Euroopan unionissa (EU). Asetus vaikuttaa myös henkilötietojen vientiin EU:sta ja soveltuu organisaatioihin, jotka käsittelevät EU:ssa asuvien henkilöiden tietoja, vaikka organisaatio olisi rekisteröity EU:n ulkopuolella.

Mitä GDPR kattaa?

GDPR koskee kaikkia sellaisia tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön (esim. nimi, tunnistenumero, sijaintitiedot, verkkotunnisteet ja esimerkiksi terveystiedot tai pankkitiedot). Asetus koskee sekä julkisia että yksityisiä organisaatioita ja kattaa sekä automatisoidut että osin manuaaliset tietojenkäsittelyt.

Keskeiset periaatteet

  • Lainmukaisuus, kohtuullisuus ja läpinäkyvyys: henkilötietoja saa käsitellä vain laillisin perustein ja rekisteröidyille on annettava selkeät tiedot käsittelystä.
  • Tarkoitussidonnaisuus: tietoja saa kerätä vain nimenomaisesti ilmoitettuihin tarkoituksiin.
  • Tietojen minimointi: kerätään vain tarpeelliset tiedot.
  • Tarkkuus: tiedot on pidettävä ajan tasalla.
  • Säilytyksen rajoittaminen: tietoja ei saa säilyttää pidempään kuin tarkoitus edellyttää.
  • Luottamuksellisuus ja eheys: tietoja on suojattava asianmukaisin teknisin ja organisatorisin toimenpitein.
  • Tilivelvollisuus (accountability): rekisterinpitäjän on pystyttävä todentamaan, että GDPR-vaatimuksia noudatetaan.

Rekisteröidyn oikeudet

  • Oikeus saada pääsy tietoihin (oikeus saada kopio käsiteltävistä tiedoista).
  • Oikeus oikaista virheelliset tai puutteelliset tiedot.
  • Oikeus poistattaa tiedot (”oikeus tulla unohdetuksi”) tietyissä tilanteissa.
  • Oikeus rajoittaa käsittelyä tietyissä olosuhteissa.
  • Oikeus siirtää tiedot järjestelmästä toiseen (data portability).
  • Oikeus vastustaa suoramarkkinointia ja tietyissä tilanteissa muunlaista käsittelyä.
  • Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi, mukaan lukien profilointi, tietyin rajoituksin.

Rekisterinpitäjän ja käsittelijän velvollisuudet

GDPR erottaa kaksi pääroolia:

  • Rekisterinpitäjä (controller) päättää, miksi ja miten henkilötietoja käsitellään.
  • Käsittelijä (processor) toimii rekisterinpitäjän lukuun ja tekee tiedonkäsittelyä sopimuksen perusteella.

Rekisterinpitäjän vastuulla ovat mm. lainmukaisen käsittelyperusteen arviointi, tietosuojaselosteen laatiminen, riskien arviointi ja tarvittaessa vaikutustenarvioinnin (DPIA) tekeminen sekä viranomaisilmoitukset tietoturvaloukkauksista. Käsittelijän on noudatettava rekisterinpitäjän ohjeita, toteutettava riittävät suojaustoimet ja pidettävä mukana selvitysprosessi (esim. alihankintasopimukset).

Rekisterinpitovelvollisuus — tietosuojavastaava

Joissain tapauksissa organisaation on nimettävä tietosuojavastaava (DPO), esimerkiksi jos organisaation ydintoimintana on laajamittainen erityisten tietoryhmien käsittely tai jatkuva ja järjestelmällinen seuranta. DPO:n tehtävänä on neuvoa organisaatiota ja valvoa GDPR:n noudattamista.

Tietojen siirto EU:n ulkopuolelle

Henkilötietoja saa siirtää EU:n ulkopuolelle vain, jos vastaanottajamaa tarjoaa riittävän suojan (esim. komission päätös riittävyydestä) tai siirtoon on käytetty asianmukaisia turvamekanismeja kuten sitovia yrityssääntöjä (BCR), mallisopimuslausekkeita tai poikkeustapauksissa hyväksyttävää poikkeusta. Organisaatioiden on dokumentoitava ja arvioitava siirtojen turvallisuus.

Tietoturvaloukkaukset

Tietoturvaloukkauksesta, joka todennäköisesti aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille, on ilmoitettava valvontaviranomaiselle yleensä 72 tunnin kuluessa siitä, kun loukkaus on havaittu. Jos loukkaus aiheuttaa korkean riskin rekisteröityjen oikeuksille, myös rekisteröidyt on informoitava ilman aiheetonta viivytystä.

Sakot ja valvonta

GDPR:n rikkoneet henkilöt tai organisaatiot voivat saada huomattavia seuraamuksia. Sakot voivat olla enintään 20 000 000 euroa tai enintään 4 prosenttia yrityksen maailmanlaajuisesta vuosiliikevaihdosta (whichever is greater), riippuen rikkomuksen luonteesta ja vakavuudesta. Lisäksi valvontaviranomaiset voivat määrätä korjauksia, käsittelytoimenpiteiden rajoituksia ja muita hallinnollisia sanktioita. Rekisteröidyt voivat myös vaatia vahingonkorvausta.

Käytännön ohjeet organisaatioille

  • Tee henkilötietojen käsittelyn kartoitus ja määrittele käsittelyn tarkoitukset sekä säilytysajat.
  • Varmista käsittelyn oikeusperusteet (esim. suostumus, sopimus, lakisääteinen velvoite, elintärkeät edut, julkinen tehtävä tai oikeutettu etu).
  • Päivitä tietosuojaselosteet ja viestintä rekisteröidyille selkeäksi ja ymmärrettäväksi.
  • Laadi tai tarkista käsittelijäsopimukset ja varmista tekniset ja organisatoriset suojaustoimet (salaus, pääsynhallinta, varmuuskopiot).
  • Ota käyttöön prosessit tietoturvaloukkausten havaitsemiseksi ja ilmoittamiseksi.
  • Kouluta henkilöstöä ja nimeä vastuuhenkilöt tietosuojatehtäviin (esim. DPO).
  • Arvioi säännöllisesti riskit ja tee tarvittaessa tietosuoja-vaikutustenarviointi (DPIA).

GDPR on laaja ja vaikuttava sääntelykehys, jonka tavoitteena on suojella yksilöiden perusoikeutta yksityisyyteen ja henkilötietojen suojaan sekä yhdenmukaistaa tietosuojakäytäntöjä EU:ssa. Organisaatioiden on otettava säännökset huomioon arjessa, jotta rekisteröityjen oikeudet turvataan ja seuraamuksilta vältytään.

Täytäntöönpanosäännöt

[icon]

Tämä kohta tarvitsee lisätietoja.

Yleinen tietosuoja-asetus panee täytäntöön sääntöjä, jotka suojaavat ihmisiä monenlaisilta yksityisyyteen liittyviltä ongelmilta. Sillä pannaan täytäntöön ihmisten oikeus sopia laillisesti yritysten kanssa heidän yksityisten tietojensa käytöstä. Sillä myös vahvistetaan ihmisten oikeus siihen, että yritys ei enää saa heidän yksityisiä tietojaan käyttöönsä. Se myös vahvistaa, että käyttäjillä on oikeus sallia yksityisten tietojensa julkistaminen tai olla julkistamatta niitä. Asetuksella varmistetaan myös, että henkilötietoja ei käsitellä, ellei käyttäjä ole antanut siihen lupaa henkilötietojen käsittelijälle.


 

Aikajana

  • 25. tammikuuta 2012: Yleistä tietosuoja-asetusta koskeva ehdotus julkaistiin.
  • 21. lokakuuta 2013: Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunta (LIBE) äänestää siitä, tulisiko tietosuoja-asetuksesta tehdä uusi asetus, joka koskee ihmisiä Euroopassa.
  • 15. joulukuuta 2015: Euroopan parlamentti, neuvosto ja komissio (virallinen kolmikantakokous) keskustelevat yleisestä tietosuoja-asetuksesta. Kyseisenä päivänä tietosuoja-asetus on johtanut yhteiseen ehdotukseen.
  • 17. joulukuuta 2015: Euroopan parlamentin LIBE-valiokunta äänesti kolmen osapuolen välisten neuvottelujen puolesta.
  • 8. huhtikuuta 2016: Euroopan unioni on hyväksynyt yleisen tietosuoja-asetuksen. Ainoa jäsenvaltio, joka äänesti vastaan, oli Itävalta, joka katsoi, että useat uuden asetuksen näkökohdat eivät ole tyydyttäviä verrattuna tietosuojadirektiiviin.
  • 14. huhtikuuta 2016: Euroopan parlamentti on hyväksynyt yleisen tietosuoja-asetuksen, joka korvaa aiemmin käytössä olleen tietosuojadirektiivin.
  • 24. toukokuuta 2016: Yleinen tietosuoja-asetus on alkanut tulla käyttöön kaikkialla maailmassa, mutta sitä ei ole vielä pantu täysimääräisesti täytäntöön. Tämä on 20 päivää sen jälkeen, kun yleinen tietosuoja-asetus on julkaistu Euroopan unionin virallisessa lehdessä.
  • 25. toukokuuta 2018: Yleinen tietosuoja-asetus tulee voimaan kaikkialla maailmassa. Asetuksen luomisesta on kulunut kaksi vuotta.
  • Heinä-elokuu 2018: GDPR tulee voimaan Islannissa, Liechtensteinissa ja Norjassa. Nämä kolme maata ovat liittyneet ETA:n sekakomiteaan, koska ne kaikki ovat sopineet noudattavansa asetusta.
 

Kysymyksiä ja vastauksia

K: Mikä on yleinen tietosuoja-asetus (GDPR)?


A: Yleinen tietosuoja-asetus on Euroopan parlamentin, Euroopan unionin neuvoston ja Euroopan komission antama asetus, jolla suojellaan ihmisten henkilötietoja kaikkialla EU:ssa.

K: Milloin se tuli voimaan?


V: Se tuli voimaan 25. toukokuuta 2018.

K: Mitä GDPR:n tavoitteena on tehdä?


V: Yleisen tietosuoja-asetuksen tavoitteena on antaa kansalaisille määräysvalta henkilötietoihinsa ja yksinkertaistaa muiden maiden kanssa käytäviä taloussuhteita koskevia säännöksiä yhdenmukaistamalla EU:n menettelyjä.

K: Korvaako se jotakin nykyistä lainsäädäntöä?


V: Kyllä, se korvaa vuonna 1995 annetun tietosuojadirektiivin.

Kysymys: Onko paikallisia lakeja muutettava, jotta GDPR:ää voidaan noudattaa?


V: Ei, paikallisia lakeja ei tarvitse muuttaa EU:ssa, koska asetus on sitova.
K: Mitä tapahtuu, jos joku tai yritys ei noudata GDPR-lainsäädäntöä? V: Niille voidaan määrätä sakko, joka voi olla jopa 20 000 000 euroa tai enintään 4 prosenttia yrityksen edellisen vuoden voitoista, sen mukaan, kumpi määrä on suurempi.


Etsiä
AlegsaOnline.com - 2020 / 2025 - License CC3