Back to top

Uusi EU:n laajuinen tietosuoja-asetus GDPR

GDPR eli  General Data Protection Regulation tarkoittaa EU:n uutta tietosuoja-asetusta.

Uusi asetus otetaan käyttöön toukokuussa 2018 kahden vuoden siirtymäajan jälkeen. Asetus korvaa aiemmin käytössä olleen tietosuojadirektiivin (95/46/EY). Asetus parantaa Euroopan Unionin kansalaisten tietosuojaa ja oikeuksia omien henkilötietojen käsittelyyn luottamuksellisesti. Samalla se yhtenäistää EU maiden kirjavia kansallisia säädöksiä yhdeksi selkeäksi malliksi. Asetus täsmentää ja selkeyttää yritysten ja organisaatioiden velvollisuudet henkilötietojen käytöstä omissa tietokannoissa ja järjestelmissä.

Mitä ovat henkilötiedot?

Henkilötiedoilla tarkoitetaan kaikkia yksilöä koskevia tietoja, niin yksityistä, ammatillista kuin julkista elämääkin.

Henkilötietoja ovat esimerkiksi:

  • nimi
  • valokuva
  • sähköpostiosoite
  • pankkitiedot
  • internetin yhteisöpalveluissa julkaistut päivitykset
  • terveydentilaa koskevat tiedot
  • tilaukset ja ostokset
  • koulutus tai pätevyys
  • käyttäjätunnus ja salasana
  • tietokoneen IP-osoite

Tietosuoja-asetusta sovelletaan tilanteissa, joissa henkilö voidaan tunnistaa henkilötiedoista suoraan tai epäsuorasti tai yksilöidä ryhmästä.

Kansalaisen tietosuoja ja oikeudet

Henkilöillä on uuden tietosuoja-asetuksen myötä enemmän oikeuksia omiin henkilötietoihinsa, mukaan lukien sähköinen tietoaineisto.

Asetuksessa on lueteltu pitkä lista kansalaisen oikeuksia tietoaineistoon, kuten oikeus saada ilmoitus tietojenkäsittelystä yritykseltä tai organisaatiolta, oikeus antaa suostumus omien henkilötietojen käsittelyyn tai vastustaa niiden käsittelyä, oikeus saada korvaus tietojenkäsittelyssä tapahtuneista virheistä rekisterinpitäjältä.

Henkilöllä on oikeus pyytää organisaatiolta selvitys tiedoista, joita yrityksen rekisteristä hänestä on säilytettynä. Samalla henkilöllä on oikeus vaatia yritystä tai organisaatiota poistamaan tai siirtämään muualle kaikki häntä koskevat henkilökohtaiset tiedot. Yrityksen on pystyttävä todistamaan tietojen poistaminen tai siirtäminen.

Tarkka listaus oikeuksista ja velvollisuuksista löytyy Euroopan unionin neuvoston sivulla olevasta alkuperäisestä tietosuoja-asetuksesta ja sen ohjemateriaalista.

Yrityksien ja organisaatioiden velvollisuudet

Rekisterinpitäjä on vastuussa henkilötietojen käsittelystä ja vastaa tietosuoja-asetuksen rikkomisesta aiheutuvista mahdollisista vahingoista.

Asetus määrittää yrityksille ja organisaatioille tarvittavan suojaustason henkilötietoja sisältäviin tietokantoihin ja järjestelmiin.  Organisaatioiden on viranomaisen pyytäessä kyettävä esittämään valmiutensa ja varautumistoimenpiteet tietomurtoja vastaan.

Yrityksen laiminlyödessä tietoturva-asetuksen asettamia vaatimuksia, se voidaan tuomita sakkoon, jonka suuruus voi olla neljä prosenttia yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta tai 20 miljoonaa euroa — riippuen siitä kumpi summa on suurempi.

Laiminlyönnin tai muusta syystä tapahtuneen tietomurron ilmetessä yritys on velvollinen ilmoittamaan asiasta viranomaisille viimeistään 72 tunnin kuluessa.

Ole rauhassa.

Meillä Tietolatvalla asiaan ollaan jo puututtu. Olemme huomioineet EU:n uuden tietosuoja-asetuksen oikeudet ja velvollisuudet toiminnassamme ja henkilötietosi ovat täten meillä asianmukaisessa turvassa.

Vastaamme mielellämme sinulle heränneisiin kysymyksiin uuden tietosuoja-asetuksen aiheuttamista muutoksista.

Lisätietoa aiheesta: http://www.consilium.europa.eu/fi/policies/data-protection-reform/