EU:n yleinen tietosuoja-asetus (GDPR)

laki oikeus

EU:n yleinen tietosuoja-asetus (GDPR) hyväksyttiin keväällä 2016 (14.4.2016) Euroopan parlamentin ja neuvoston päätöksillä. Asetus alkoi velvoittamaan kahden vuoden siirtymäajan jälkeen toukokuussa 2018.

EU:n tietosuoja-asetuksesta (2016/679) löytyy virallinen suomennos

Lisäksi yleisen tietosuoja-asetuksen artiklat on kerätty www.privacy-regulation.eu sivustolle eli kieliversioittain koosteeseen, jossa on sekä kyseinen artikla auki kirjoitettuna että linkitys perusteluteksteihin.

EU:n yleisen tietosuoja-asetuksen tavoitteina ovat yksilön oikeuksien ja vapauksien vahvistaminen, sisämarkkinaulottuvuuden lujittaminen, tietosuojan globaalin ulottuvuuden huomioiminen sekä tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen. Asetuksen tavoitteena on ollut luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys. Lisäksi pyritään parantamaan luottamusta online-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä.

EU:n yleinen tietosuoja-asetus korvasi vuonna 1995 annetun henkilötietodirektiivin. Asetus sisältää säännökset mm. henkilötietojen käsittelyä koskevista periaatteista, käsittelyn lainmukaisuudesta, rekisterinpitäjän ja henkilötietojen käsittelijän velvoitteista ja vastuista (myös sopimukset), rekisteröiden suostumuksen edellytyksistä ja nk. erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä.

Organisaatioiden tulee varmistaa tietoturvansa riittävyys sekä varautua ongelmatilanteisiin - myös kriisiviestintään. EU-tasoisella sääntelyllä halutaan ohjata yhteisöt ja yritykset ottamaan tietosuoja-asiat kokonaisvaltaisesti huomioon jo toimintansa suunnittelussa.

Taustaa: EU:n yleisen tietosuoja-asetuksen (2016/679) valmistelun vaiheet

Maaliskuussa 2012 Euroopan komissio esitti henkilötietosuojaa koskevan EU:n oikeudellisen kehyksen uudistamista. Komission ehdotuksen pohjalta keskusteltiin yksityiskohtaisesti sekä parlamentissa että neuvostossa. Euroopan parlamentin LIBE-valiokunta äänesti mietinnöstään asetuksesta lokakuussa 2013 ja Euroopan parlamentti äänesti kannastaan yleiseen tietosuoja-asetusehdotukseen maaliskuussa 2014. Se hyväksyi LIBE-valiokunnan mietinnön sellaisenaan.

Asetus siirtyi käsiteltäväksi Euroopan unionin neuvostoon eli ministerineuvostoon. Euroopan unionin oikeus- ja sisäasioiden neuvosto hyväksyi kokouksessaan 15.6.2015 yleisnäkemyksen ehdotukseksi Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus). Ministerineuvosto ei hyväksynyt edellisen Euroopan parlamentin hyväksymää tietosuoja-asetusta sellaisenaan.

Asetuksen käsittely siirtyi 24.6.2015 Euroopan parlamentin, komission ja ministerineuvoston kolmikantaneuvotteluihin, joissa pyrittiin löytämään kompromissi asetuksen lopullisesta sisällöstä. Kun asetus lopullisesti hyväksyttiin keväällä 2016, suomalaisilla organisaatioilla on asetuksen mukaan kaksi vuotta aikaa sopeuttaa toimintansa EU:n tietosuoja-asetuksen vaatimusten mukaiseksi 25.5.2018 mennessä. EU:n yleinen tietosuoja-asetus eli Euroopan parlamentin ja neuvoston asetus yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta oli yksi Euroopan parlamentin istuntokauden tärkeimmistä lainsäädäntöhankkeista.

Mitä EU:n yleinen tietosuoja-asetus koskee?
EU:n tietosuoja-asetus koskee lähtökohtaisesti kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa. Koska kyseessä on kaikissa jäsenvaltioissa suoraan sovellettava asetus, tulee se yhdenmukaistamaan eurooppalaista tietosuojasääntelyä, joka tällä hetkellä muodostuu jäsenvaltioiden epäyhtenäisestä sääntelystä.

EU:n tietosuoja-asetuksessa luetellaan rekisteröidyn eli henkilötietojen käsittelyn kohteena olevan henkilön oikeudet. Tällaisia oikeuksia ovat mm. omia henkilötietoja koskeva tiedonsaantioikeus, oikeus saada tiedot oikaistua, oikeus tulla unohdetuksi sekä oikeus tietojen poistamiseen ja tietojenkäsittelyn vastustamiseen. Lisäksi asetuksessa säädetään rekisterinpitäjien (eli tietojenkäsittelystä vastaavien) velvollisuudesta antaa rekisteröidyille avoimia ja helposti saatavia tietoja heidän tietojensa käsittelystä.

EU:n tietosuoja-asetuksen sääntelyn lähtökohtana on ns. riskipohjainen lähestymistapa. Sääntelyssä otetaan huomioon henkilötietojen käsittelyyn kulloinkin liittyvät riskit. Pyrkimyksenä on yhtäältä välttää vähäriskisten toimien ylisääntelyä ja toisaalta varmistaa rekisteröidyn suoja korkean riskin toiminnassa (huomioiden mm. tietojen laatu/luonne, käsittelytarkoitus ja laajuus). Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ryhtymään toimiin, jotka vastaavat henkilötietojen käsittelyyn kulloinkin liittyvää riskiä.

Organisointi

Eräitä asetukseen sisältyviä tärkeitä kohtia:
- Määritelmiä erilaisista käsitteistä kuten suostumus, geneettiset tiedot, biometriset tiedot jne.
- Sääntöjä henkilötietojen käsittelijöiden vastuusta, erityisesti rekisterinpitäjien, mutta myös rekisterinpidossa avustavien osalta.
- Ei riitä, että organisaatiot noudattaa asetusta, vaan niiden on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan rekisterinpitäjän toiminnassa.
- Ilmoitusvelvollisuus vähäistä suurempien tietoturvaloukkausten tapahtuessa.
- Tietosuojavastaavien asettaminen
- Oikeus saada itseään koskevat tiedot koneluettavassa muodossa. Asetuksen mukaan rekisteröidyllä on oikeus siirtää henkilötietonsa ja kaikki muut rekisteröidyn antamat tiedot toiseen järjestelmään silloin, kun rekisteröity itse on antanut henkilötiedot ja kun niiden käsittely perustuu suostumukseen tai sopimukseen.
- Asetuksella säädetään myös tietosuojaviranomaisen toimivallasta, tehtävistä ja valtuuksista. Jokainen tietosuojaviranomainen on toimivaltainen oman jäsenvaltionsa alueella. Kun kyse on jäsenvaltioiden rajat ylittävästä henkilötietojen käsittelystä, on rekisterinpitäjän päätoimipaikan tietosuojaviranomainen yleensä toimivaltainen käsittelemään asiaa.
- Perustettiin Euroopan tietosuojaneuvosto (EDPB, European Data Protection Board), jolla on mahdollisuus antaa sitovia päätöksiä tietosuoja-asetuksen soveltamisesta.
- Asetuksen mukaan valvontaviranomaisella on valtuudet langettaa hallinnollisia seuraamuksia asetuksessa luetelluista teoista määräämällä sakkoja tiettyyn enimmäismäärään asti kuhunkin tapaukseen liittyvät olosuhteet asianmukaisesti huomioon ottaen.

Asetuksen tavoitteena on parantaa luottamusta online-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä. Organisaation henkilötietojen käsittelyyn liittyvien toimintatapojen läpikäynti ja sopeuttaminen uutta asetusta vastaavaksi on hyvä aloittaa ajoissa.

Tietojen korkea laatu ja toimivat lainmukaiset menettelytavat tietojen käsittelyssä vaikuttavat positiivisesti kaikkiin organisaation toiminnan osa-alueisiin. Tieto on arvokas ja ainoa voimakkaasti kasvava tuotannontekijä. Erilaisten tietovarantojen ympärille kehittyy jatkuvasti uusia palveluja, jotka ovat tärkeitä koko tietoyhteiskunnan menestymiselle.

Erityisesti verkkoympäristössä henkilötietojen käsittelyyn liittyvät puutteet koetaan ongelmana asioinnin luotettavuuden ja käytettävyyden kannalta. Asiakkaiden ja sidosryhmien luottamus organisaation menettelytapoihin henkilötietojen käsittelyn on toimintaa vahvasti tukeva tekijä. Riskien minimointi, hyvän maineen rakentaminen, kansalaisten ja kuluttajien luottamuksen säilyttäminen ovat asioita, joista on tulossa ratkaisevan tärkeitä kaikkien sektoreiden toiminnan menestymiselle.

Asetus toi rekisterinpitäjille noudatettavaksi niin sanottua accountability -periaatetta (tilintekokykyisyys). Näin ollen ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia (compliance), vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan (tilinteko/osoitusvelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa. Todistustaakka ja näyttövelvollisuus tietosuojakysymysten lainmukaisesta hoidosta ja velvoitteiden täyttymisestä tulee lankeamaan rekisterinpitäjille, joista tehdään tilintekovelvollisia huomattavien sakkojen uhalla.

Lisäksi korkeariskinen henkilötietojen käsittely edellyttää asiakkaiden tietosuojan, oikeuksien ja vapauksien vaikuttavuusarvion (DPIA, Data Protection Impact Assessment) tekemistä. Arvion tekemiseen löytyy hyvät ohjeet Tietosuojavaltuutetun toimiston kotisivuilta

Vuoden tietosuojavastaavan tunnustuspalkinto! OpiTietosuojaa.fi 25.2.2025 20:49
Vuoden 2024 tietosuojavastaava Juha Sallisella riittää vielä työsarkaa GDPR Techin yrittäjä ja perustaja tietosuojakonsultti Juha Sallinen palkittiin vuoden 2024 tietosuojavastaavana. Palkinto myönnetään vuosittain henkilölle, joka esimerkillisesti kehittää tietosuojakäytäntöjä ja edistää...

Lue lisää: Vuoden tietosuojavastaavan tunnustuspalkinto!

Tietosuojavaltuutetun toimisto

Suosittelemme:

Uusimmat artikkelit

Kyberturvallisuuskeskus - Tietoturva nyt!