Mikä on GDPR? Kaikki, mitä sinun tarvitsee tietää EU:n yleisestä tietosuoja-asetuksesta
Olet luultavasti jo kuullut tai nähnyt kirjainyhdistelmän GDPR, joka tarkoittaa Euroopan Unionin yleistä tietosuoja-asetusta (asetus 2016/679). Sen tarkoituksena oli yhtenäistää Euroopan unionin jäsenmaiden tietosuojaa koskeva lainsäädäntö, ja sen kehittivät yhdessä Euroopan parlamentti, EU:n neuvosto sekä Euroopan komissio. Laki astui voimaan EU-maissa vuonna 2018.
Sisällysluettelo
Lue artikkelistamme, mitä GDPR tarkoittaa, mitä hyötyä siitä on ja miten se vaikuttaa EU:n asukkaiden tietosuojaan käytännössä.
Mikä on GDPR?
GDPR on EU:n yleinen tietosuoja-asetus, joka kehitettiin suojaamaan EU:n jäsenmaiden asukkaiden tietoja ja yksityisyyttä. Se siis määrittelee, miten heidän henkilötietojaan voidaan käsitellä. Tietosuoja-asetus koskee myös ulkomaalaisia yrityksiä ja muita tahoja, jotka käsittelevät EU:n jäsenmaiden asukkaiden tietoja.
GDPR, suomeksi EU:n yleinen tietosuoja-asetus, on lyhenne sanoista General Data Protection Regulation. GDPR-asetus hyväksyttiin vuonna 2016 ja otettiin käyttöön vuonna 2018, ja se korvasi aiemman henkilötietodirektiivin vuodelta 1995.
Asetuksen tarkoituksena oli luoda selkeät, yhteiset pelisäännöt koskien tietosuojalakeja, ja sen oli myös määrä vahvistaa yksilöiden oikeuksia koskien sitä, miten heidän tietojaan kerätään, käytetään ja vahvistetaan. Asetus sisältää myös velvollisuuksia yrityksille ja muille tietoja käsitteleville tahoille.
Asetuksen myötä yrityksillä on nyt selkeät säännöt, joita seurata, minkä tulisi tehdä liiketoiminnasta EU:ssa helpompaa. Jokaisen EU:n asukkaiden tietoja käsittelevän tahon tulee noudattaa yleistä tietosuoja-asetusta (GDPR) estääkseen tietojen vuotamisen ja hallita käyttäjätietoja asianmukaisesti. Jos tietosuojalakeja ei noudateta, seuraukset voivat olla mittavia – jopa miljoonia euroja.
EU:n tietosuoja-asetuksen yhteydessä puhutaan rekisterinpitäjistä, jotka ovat henkilötietoja kerääviä ja käsitteleviä tahoja, sekä rekisteröidyistä, jotka ovat yksilöitä, joiden tietoja rekisterissä on.
Miksi GDPR on olemassa ja ketä se koskee?
GDPR luotiin vastauksena digitalisaation viime aikoina tuomiin muutoksiin. Internetin kehityksen ja lisääntyvän digitaalisten teknologioiden käytön vuoksi yritykset ja järjestöt keräävät yhä enemmän henkilötietoja ja käyttävät ja jakavat niitä. Tämä tarjoaa mahdollisuuksia erilaisiin väärinkäytöksiin ja ongelmatilanteisiin, ja yksilöillä oli aiemmin heikosti mahdollisuuksia selvittää, mitä tietoja heistä kerättiin ja mihin tarkoituksiin.
Internetin käytön lisääntyminen onkin herättänyt huolta yksityisyydensuojasta sekä tietovuotojen vaikutuksista. EU:n tietosuoja-asetus vastasi näihin huoliin luomalla uudet säännöt henkilötietojen käsittelylle. Se siis osaltaan parantaa kyberturvallisuutta: kun tietojen käsittelyä hallitaan ja rajoitetaan, tietoja vuotaa vähemmän, ja yksityisyydensuoja parantuu. Se myös torjuu turhan tiedon keräämisen ja vaatii tietoa kerääviltä tahoilta selkeitä järjestelmiä tietojen keräämiseen, käsittelyyn ja hallinointiin.
GDPR-asetus koskee kaikkia tahoja, jotka käsittelevät EU:n asukkaiden tietoja. Mitä tietoja GDPR koskee? Käytännössä se koskee kaikkia tietoja, jotka yksilöivät henkilön ainutlaatuisella tavalla. Näitä ovat:
- Yleiset henkilötiedot (nimi, osoite, henkilökortin ja/tai passin numero)
- Verkkotiedot (IP-osoitteet, sijainti, evästeet)
- Terveystiedot, geneettiset tiedot ja biometriset tiedot
- Rotu tai etninen alkuperä
- Poliittiset mielipiteet tai uskonnolliset vakaumukset
- Seksuaalinen suuntaus
- Muut henkilön yksilöivät tiedot
Nämä säännöt tarjoavat selkeät ohjeet kansainvälisille tahoille, jotka käsittelevät arkaluontoisia tietoja ja harjoittavat liiketoimintaa Euroopassa. Tietosuoja-asetus myös lisää luottamusta yritysten ja yksilöiden välillä, mikä on tärkeää digitaalisen talouden kehityksen kannalta.
Mikä on henkilötieto-GDPR? Henkilötietoja koskeva asetus määrittelee sen, miten EU:n asukkaiden yksityisiä ja arkaluontoisia tietoja käsitellään, ja sen tarkoituksena on parantaa EU:n asukkaiden tietosuojaa ja yksityisyyttä. Se myös tarjoaa selkeät ohjeet Euroopan Unionin asukkaita käsitteleville yrityksille ja järjestöille.
EU:n tietosuoja-asetuksen seitsemän periaatetta
GDPR-asetus sisältää seitsemän pääperiaatetta henkilötietojen käsittelyyn. Näissä periaatteissa määritellään, miten rekisterinpitäjä voi kerätä, käyttää ja suojata henkilötietoja. Katso alta EU:n tietosuoja-asetuksen seitsemän periaatetta:
- Lainmukaisuus, asianmukaisuus ja läpinäkyvyys. Organisaatioiden tulee varmistaa, että niiden harjoittama henkilötietojen käsittely ei riko lakia, on selkeää ja läpinäkyvää ja palvelee kuluttajaa.
- Käyttötarkoitussidonnaisuus. Organisaatioiden, jotka keräävät henkilötietoja, on eriteltävä tietojen keräämisen tarkoitus ja säilyttää tietoa vain niin kauan, kuin tarkoitus vaatii.
- Tietojen minimointi. Yritykset saavat kerätä vain sellaista tietoa kuluttajista, joka on asianmukaista ja tarpeellista käyttötarkoitusta varten.
- Tietojen täsmällisyys. Kerätyn tiedon virheettömyys ja olennaisuus on olennainen osa tietosuoja-asetusta. Kaikki virheellinen tai tarpeeton tieto täytyy poistaa tai korjata.
- Säilytyksen rajoittaminen. Yritykset voivat säilyttää henkilötietoja ainoastaan niin kauan kuin niiden käsittely käyttötarkoituksen kannalta vaatii.
- Luottamuksellisuus ja turvallisuus. Rekisterinpitäjien täytyy käsitellä tietoa tavalla, joka takaa tietojen asianmukaisen valvonnan. Rekisterinpitäjien täytyy toimia niin, että yksityiset tiedot suojataan asiattomalta ja laittomalta väärinkäytöltä sekä vahingossa tapahtuvalta tuhoutumiselta tai häviämiseltä.
- Osoitusvelvollisuus. Tämä periaate vaatii, että rekisterinpitäjä pystyy osoittamaan noudattavansa yllä kuvattuja EU:n tietosuoja-asetuksen periaatteita. Rekisterinpitäjien tulee varmistaa ja pystyä todistamaan, että he käsittelevät henkilötietoja lain mukaan.
Kaikki tiedot tulee käsitellä asianmukaisesti, lakia noudattaen sekä läpinäkyvästi käyttäen asianmukaisia teknisiä ja organisaation sisäisiä menetelmiä. Jos yritys tai muu taho käsittelee tietoja tietosuojalakien mukaisesti, se vähentää turvallisuusriskejä ja kasvattaa EU:ssa asuvien ihmisten tietoturvaa.
Mitä GDPR-asetuksen noudattaminen tarkoittaa?
GDPR-asetuksen noudattaminen tarkoittaa sitä, että valtio toimii EU:n yleisen tietosuoja-asetuksen mukaisesti. Tämä on tietosuoja-asetus, joka koskee kaikkien EU:n jäsenmaiden asukkaita. GDPR-asetusta noudattaakseen yrityksen tai muun tahon täytyy noudattaa sen periaatteita ja vaatimuksia, kun puhutaan kuluttajien henkilötietojen käsittelystä.
Sakot ja rangaistukset tietosuoja-asetuksen noudattamattomuudesta
Tahoille, jotka eivät noudata EU:n tietosuoja-asetusta, voidaan määrätä sakkoja ja muita rangaistuksia. Sakkojen määrä ja muiden seuraamusten luonne riippuu siitä, kuinka vakavasti sääntöjä on rikottu, sekä yrityksen tai järjestön koosta ja varoista.
GDPR-asetuksen noudattamattomuutta koskee kaksi sakkotasoa:
- Pienet rikkomukset: Pienemmistä rikkomuksista, kuten virheet tietojen käsittelyä koskevissa tiedoissa tai rekisterinpitäjän nimeämättä jättämisestä, voidaan määrätä jopa 10 miljoonan euron sakko tai 2 % vuosituloista – kumpi summa sitten onkaan suurempi.
- Vakavat rikkomukset: Vakavammissa tapauksissa, kuten silloin kun henkilötietoja käsitellään ilman lakiperustetta tai jos henkilötietojen vuodosta ei ilmoiteta, yrityksille ja muille tahoille voidaan määrät jopa 20 miljoonan euron sakko tai 2 % vuosituloista.
Sakkojen lisäksi yrityksille voidaan määrätä muitakin seuraamuksia, kuten väliaikainen tai pysyvä henkilötietojen käsittelyn kielto tai tietojen käsittelyn keskeyttäminen.
Tunne GDPR-asetukseen liittyvät oikeutesi
GDPR ei ainoastaan määrää tehtäviä tietoja kerääville tahoille. Se takaa myös yksityishenkilöille oikeuksia. EU:n tietosuoja-asetuksen päätarkoitus on vahvistaa yksilöiden oikeutta henkilötietoihinsa ja mahdollisuus hallita henkilötietojen käsittelyä paremmin. Onkin hyvä tutustua kyberavaruudessa vaikuttaviin oikeuksiin ja muistaa, että sinulla on aina oikeus saada selville, mitä tietoa rekisterinpitäjä sinusta säilyttää, sekä oikeus tulla unohdetuksi.
Tietosuoja-asetuksessa listataan kahdeksan perustavanlaatuista oikeutta, joita yksilöillä on, kun he antavat yrityksille tai järjestöille pääsyn henkilötietoihinsa.
Mitä oikeuksia GDPR tuo? Se takaa yksilöille eli rekisteröidyille muun muassa oikeuden saada selville, miten heidän tietojaan käsitellään, oikeuden oikaista virheitä ja rajoittaa tietojen käsittelyä. Yksityishenkilöt voivat myös pyytää tiedon siitä, mitä tietoja rekisterinpitäjä on kerännyt ja käsitellyt.
Lue alta lisää kaikista GDPR-asetuksen suomista oikeuksista.
Oikeus saada tietoa henkilötietojensa käsittelystä
EU:n tietosuoja-asetuksen mukaan rekisteröidyillä on oikeus saada tietää, miten yritykset keräävät ja käyttävät henkilökohtaisia tietoja. Yksilöillä on oikeus myös saada tietää, kuinka kauan rekisterinpitäjä säilyttää henkilötietoja ja ketkä niitä voivat tarkastella.
Oikeus saada tutustua tietoihin
Rekisteröidyllä henkilöllä on oikeus saada tietoonsa, mitä henkilötietoja heistä säilytetään ja saada tietoa kerätyn tiedon käyttötarkoituksesta ja siitä, miten rekisterinpitäjä säilyttää ja käsittelee näitä tietoja.
Jos yksityishenkilö haluaa tietää, mitä tietoa yritys tai muu taho heistä säilyttää, hänen täytyy tehdä GDPR-tietopyyntö. Pyynnön voi tehdä ainoastaan rekisteröity henkilö, ja rekisterinpitäjän on lähetettävä vastaus luettavassa muodossa yhden kuukauden sisällä.
Oikeus oikaista tietoja
GDPR-asetuksen myötä yksityishenkilöillä on myös oikeus pyytää korjaamaan virheelliset, epätäydelliset tai väärät henkilötiedot.
Oikeus poistaa tiedot ja tulla unohdetuksi
Oikeus tulla unohdetuksi viittaa siihen, että rekisteröidyt voivat pyytää, että rekisterinpitäjä poistaa pysyvästi kaikki henkilötiedot. Rekisterinpitäjää ei voida tosin velvoittaa poistamaan tietoja, jos niiden säilyttäminen on välttämätöntä yrityksen lakivelvollisuuksien noudattamiseksi.
Oikeus rajoittaa tietojen käsittelyä
Jos tietojen poistoa ei voida erityisestä syystä toteuttaa, rekisteröidyllä on oikeus pyytää tietojen käytön ja käsittelyn rajoittamista.
Oikeus siirtää tiedot järjestelmästä toiseen
Yksilöt voivat pyytää, että heidän tietonsa siirretään toisen tahon järjestelmään yleisesti käytetyssä, koneluettavassa muodossa.
Oikeus vastustaa tietojen käsittelyä
Joissain tapauksissa rekisteröidyllä on oikeus vastustaa henkilötietojen käsittelyä. Tällaisia tapauksia voivat olla esimerkiksi tietojen käyttö suoramarkkinointiin, tieteelliseen tutkimukseen tai muuhun julkiseen käyttöön.
Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi
Rekisteröidyllä on oikeus pyytää, että häntä koskevat tai merkittävästi häneen vaikuttavat päätökset tekee ihminen automaattisten prosessien sijaan.
Nämä oikeudet koskevan Euroopan unionin asukkaita riippumatta siitä, missä tietoja käsitellään tai missä tietoja käsittelevä yritys tai taho sijaistee. Ne koskevat myös henkilöitä, jotka ostavat palveluita tai tuotteita Euroopassa toimivilta ei-eurooppalaisilta tahoilta. On tärkeää huomioida, että nämä oikeudet eivät ole absoluuttisia ja niihin voi liittyä poikkeuksia tai rajoituksia.