Olet luultavasti jo kuullut tai nähnyt kirjainyhdistelmän GDPR, joka tarkoittaa Euroopan Unionin yleistä tietosuoja-asetusta (asetus 2016/679). Sen tarkoituksena oli yhtenäistää Euroopan unionin jäsenmaiden tietosuojaa koskeva lainsäädäntö, ja sen kehittivät yhdessä Euroopan parlamentti, EU:n neuvosto sekä Euroopan komissio. Laki astui voimaan EU-maissa vuonna 2018.
Sisällysluettelo
Lue artikkelistamme, mitä GDPR tarkoittaa, mitä hyötyä siitä on ja miten se vaikuttaa EU:n asukkaiden tietosuojaan käytännössä.
GDPR on EU:n yleinen tietosuoja-asetus, joka kehitettiin suojaamaan EU:n jäsenmaiden asukkaiden tietoja ja yksityisyyttä. Se siis määrittelee, miten heidän henkilötietojaan voidaan käsitellä. Tietosuoja-asetus koskee myös ulkomaalaisia yrityksiä ja muita tahoja, jotka käsittelevät EU:n jäsenmaiden asukkaiden tietoja.
GDPR, suomeksi EU:n yleinen tietosuoja-asetus, on lyhenne sanoista General Data Protection Regulation. GDPR-asetus hyväksyttiin vuonna 2016 ja otettiin käyttöön vuonna 2018, ja se korvasi aiemman henkilötietodirektiivin vuodelta 1995.
Asetuksen tarkoituksena oli luoda selkeät, yhteiset pelisäännöt koskien tietosuojalakeja, ja sen oli myös määrä vahvistaa yksilöiden oikeuksia koskien sitä, miten heidän tietojaan kerätään, käytetään ja vahvistetaan. Asetus sisältää myös velvollisuuksia yrityksille ja muille tietoja käsitteleville tahoille.
Asetuksen myötä yrityksillä on nyt selkeät säännöt, joita seurata, minkä tulisi tehdä liiketoiminnasta EU:ssa helpompaa. Jokaisen EU:n asukkaiden tietoja käsittelevän tahon tulee noudattaa yleistä tietosuoja-asetusta (GDPR) estääkseen tietojen vuotamisen ja hallita käyttäjätietoja asianmukaisesti. Jos tietosuojalakeja ei noudateta, seuraukset voivat olla mittavia – jopa miljoonia euroja.
EU:n tietosuoja-asetuksen yhteydessä puhutaan rekisterinpitäjistä, jotka ovat henkilötietoja kerääviä ja käsitteleviä tahoja, sekä rekisteröidyistä, jotka ovat yksilöitä, joiden tietoja rekisterissä on.
GDPR luotiin vastauksena digitalisaation viime aikoina tuomiin muutoksiin. Internetin kehityksen ja lisääntyvän digitaalisten teknologioiden käytön vuoksi yritykset ja järjestöt keräävät yhä enemmän henkilötietoja ja käyttävät ja jakavat niitä. Tämä tarjoaa mahdollisuuksia erilaisiin väärinkäytöksiin ja ongelmatilanteisiin, ja yksilöillä oli aiemmin heikosti mahdollisuuksia selvittää, mitä tietoja heistä kerättiin ja mihin tarkoituksiin.
Internetin käytön lisääntyminen onkin herättänyt huolta yksityisyydensuojasta sekä tietovuotojen vaikutuksista. EU:n tietosuoja-asetus vastasi näihin huoliin luomalla uudet säännöt henkilötietojen käsittelylle. Se siis osaltaan parantaa kyberturvallisuutta: kun tietojen käsittelyä hallitaan ja rajoitetaan, tietoja vuotaa vähemmän, ja yksityisyydensuoja parantuu. Se myös torjuu turhan tiedon keräämisen ja vaatii tietoa kerääviltä tahoilta selkeitä järjestelmiä tietojen keräämiseen, käsittelyyn ja hallinointiin.
GDPR-asetus koskee kaikkia tahoja, jotka käsittelevät EU:n asukkaiden tietoja. Mitä tietoja GDPR koskee? Käytännössä se koskee kaikkia tietoja, jotka yksilöivät henkilön ainutlaatuisella tavalla. Näitä ovat:
Nämä säännöt tarjoavat selkeät ohjeet kansainvälisille tahoille, jotka käsittelevät arkaluontoisia tietoja ja harjoittavat liiketoimintaa Euroopassa. Tietosuoja-asetus myös lisää luottamusta yritysten ja yksilöiden välillä, mikä on tärkeää digitaalisen talouden kehityksen kannalta.
Mikä on henkilötieto-GDPR? Henkilötietoja koskeva asetus määrittelee sen, miten EU:n asukkaiden yksityisiä ja arkaluontoisia tietoja käsitellään, ja sen tarkoituksena on parantaa EU:n asukkaiden tietosuojaa ja yksityisyyttä. Se myös tarjoaa selkeät ohjeet Euroopan Unionin asukkaita käsitteleville yrityksille ja järjestöille.
GDPR-asetus sisältää seitsemän pääperiaatetta henkilötietojen käsittelyyn. Näissä periaatteissa määritellään, miten rekisterinpitäjä voi kerätä, käyttää ja suojata henkilötietoja. Katso alta EU:n tietosuoja-asetuksen seitsemän periaatetta:
Kaikki tiedot tulee käsitellä asianmukaisesti, lakia noudattaen sekä läpinäkyvästi käyttäen asianmukaisia teknisiä ja organisaation sisäisiä menetelmiä. Jos yritys tai muu taho käsittelee tietoja tietosuojalakien mukaisesti, se vähentää turvallisuusriskejä ja kasvattaa EU:ssa asuvien ihmisten tietoturvaa.
GDPR-asetuksen noudattaminen tarkoittaa sitä, että valtio toimii EU:n yleisen tietosuoja-asetuksen mukaisesti. Tämä on tietosuoja-asetus, joka koskee kaikkien EU:n jäsenmaiden asukkaita. GDPR-asetusta noudattaakseen yrityksen tai muun tahon täytyy noudattaa sen periaatteita ja vaatimuksia, kun puhutaan kuluttajien henkilötietojen käsittelystä.
Tahoille, jotka eivät noudata EU:n tietosuoja-asetusta, voidaan määrätä sakkoja ja muita rangaistuksia. Sakkojen määrä ja muiden seuraamusten luonne riippuu siitä, kuinka vakavasti sääntöjä on rikottu, sekä yrityksen tai järjestön koosta ja varoista.
GDPR-asetuksen noudattamattomuutta koskee kaksi sakkotasoa:
Sakkojen lisäksi yrityksille voidaan määrätä muitakin seuraamuksia, kuten väliaikainen tai pysyvä henkilötietojen käsittelyn kielto tai tietojen käsittelyn keskeyttäminen.
GDPR ei ainoastaan määrää tehtäviä tietoja kerääville tahoille. Se takaa myös yksityishenkilöille oikeuksia. EU:n tietosuoja-asetuksen päätarkoitus on vahvistaa yksilöiden oikeutta henkilötietoihinsa ja mahdollisuus hallita henkilötietojen käsittelyä paremmin. Onkin hyvä tutustua kyberavaruudessa vaikuttaviin oikeuksiin ja muistaa, että sinulla on aina oikeus saada selville, mitä tietoa rekisterinpitäjä sinusta säilyttää, sekä oikeus tulla unohdetuksi.
Tietosuoja-asetuksessa listataan kahdeksan perustavanlaatuista oikeutta, joita yksilöillä on, kun he antavat yrityksille tai järjestöille pääsyn henkilötietoihinsa.
Mitä oikeuksia GDPR tuo? Se takaa yksilöille eli rekisteröidyille muun muassa oikeuden saada selville, miten heidän tietojaan käsitellään, oikeuden oikaista virheitä ja rajoittaa tietojen käsittelyä. Yksityishenkilöt voivat myös pyytää tiedon siitä, mitä tietoja rekisterinpitäjä on kerännyt ja käsitellyt.
Lue alta lisää kaikista GDPR-asetuksen suomista oikeuksista.
EU:n tietosuoja-asetuksen mukaan rekisteröidyillä on oikeus saada tietää, miten yritykset keräävät ja käyttävät henkilökohtaisia tietoja. Yksilöillä on oikeus myös saada tietää, kuinka kauan rekisterinpitäjä säilyttää henkilötietoja ja ketkä niitä voivat tarkastella.
Rekisteröidyllä henkilöllä on oikeus saada tietoonsa, mitä henkilötietoja heistä säilytetään ja saada tietoa kerätyn tiedon käyttötarkoituksesta ja siitä, miten rekisterinpitäjä säilyttää ja käsittelee näitä tietoja.
Jos yksityishenkilö haluaa tietää, mitä tietoa yritys tai muu taho heistä säilyttää, hänen täytyy tehdä GDPR-tietopyyntö. Pyynnön voi tehdä ainoastaan rekisteröity henkilö, ja rekisterinpitäjän on lähetettävä vastaus luettavassa muodossa yhden kuukauden sisällä.
GDPR-asetuksen myötä yksityishenkilöillä on myös oikeus pyytää korjaamaan virheelliset, epätäydelliset tai väärät henkilötiedot.
Oikeus tulla unohdetuksi viittaa siihen, että rekisteröidyt voivat pyytää, että rekisterinpitäjä poistaa pysyvästi kaikki henkilötiedot. Rekisterinpitäjää ei voida tosin velvoittaa poistamaan tietoja, jos niiden säilyttäminen on välttämätöntä yrityksen lakivelvollisuuksien noudattamiseksi.
Jos tietojen poistoa ei voida erityisestä syystä toteuttaa, rekisteröidyllä on oikeus pyytää tietojen käytön ja käsittelyn rajoittamista.
Yksilöt voivat pyytää, että heidän tietonsa siirretään toisen tahon järjestelmään yleisesti käytetyssä, koneluettavassa muodossa.
Joissain tapauksissa rekisteröidyllä on oikeus vastustaa henkilötietojen käsittelyä. Tällaisia tapauksia voivat olla esimerkiksi tietojen käyttö suoramarkkinointiin, tieteelliseen tutkimukseen tai muuhun julkiseen käyttöön.
Rekisteröidyllä on oikeus pyytää, että häntä koskevat tai merkittävästi häneen vaikuttavat päätökset tekee ihminen automaattisten prosessien sijaan.
Nämä oikeudet koskevan Euroopan unionin asukkaita riippumatta siitä, missä tietoja käsitellään tai missä tietoja käsittelevä yritys tai taho sijaistee. Ne koskevat myös henkilöitä, jotka ostavat palveluita tai tuotteita Euroopassa toimivilta ei-eurooppalaisilta tahoilta. On tärkeää huomioida, että nämä oikeudet eivät ole absoluuttisia ja niihin voi liittyä poikkeuksia tai rajoituksia.