EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) tuli sovellettavaksi vuonna 2018, jolloin se korvasi henkilötietodirektiivin. GDPR toi mukanaan liudan uudistuksia, joilla parannettiin yksilöiden mahdollisuuksia määrätä omista henkilötiedoistaan sekä tiukennettiin rekisterinpitäjien vastuuta henkilötietojen käsittelijöinä.

soveltuvuusala

GDPR myötä tietosuojasääntelyn soveltuvuusala laajeni niin, että tietosuoja-asetus tulee sovellettavaksi aina, kun kyseessä on EU:ssa sijaitsevien henkilöiden henkilötietojen käsittely. Näin ollen asetusta sovelletaan myös yrityksiin, jotka eivät sijaitse EU:n alueella, mutta jotka tarjoavat palveluita EU:ssa. Tämä laajentaa asetuksen soveltamisalan koskemaan myös suuria kansainvälisiä yhtiöitä.

GDPR perusteella jäsenvaltioiden tulee myös määrätä valvontaviranomaisen, joka vastaa asetuksen soveltamisen valvonnasta. Tämä tulee helpottamaan sekä rekisterinpitäjiä että rekisteröityjä, joiden tulee vastedes ottaa yhteyttä kansalliseen valvontaviranomaiseen. Henkilö voikin ottaa yhteyttä valvontaviranomaiseen, vaikka hänen henkilötietojaan käsitellään toisessa valtiossa.

Tämän lisäksi direktiivistä poiketen tietosuoja-asetus ei sovellu enää pelkästään rekisterinpitäjään, vaan siihen on lisätty myös henkilötietojen käsittelijän määritelmä ja velvollisuudet. Henkilötietojen käsittelijä voi olla sellainen taho kuin luonnollinen henkilö, viranomainen tai yritys, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijän tulee noudattaa useita velvoitteita, kuten turvallisuusvaatimuksia, ja hän voi olla rekisterinpitäjän kanssa yhteisvastuussa aiheuttamastaan vahingosta.

oikeudet henkilöille

Tietosuoja-asetuksessa ensinnäkin uudelleenmääriteltiin ”henkilötietojen” käsite. Aiemmin tietosuojadirektiivissä henkilötietoihin luettiin tiedot, joista henkilö oli suoraan tunnistettavissa, kuten nimi, sähköpostiosoite ja henkilöturvatunnus. Uudistuksen myötä käsite laajeni kattamaan myös epäsuorat tiedot, jotka yhdessä muiden tietojen kanssa voivat mahdollistaa henkilön tunnistamisen.

Yksi tietosuoja-asetuksen päätavoitteista on mahdollistaa se, että ihmiset voisivat paremmin valvoa ja kontrolloida omein henkilötietojen käsittelyä. Yksi keino tavoitteen saavuttamiseksi on varmistaa, että henkilön suostumus henkilötietojensa käsittelylle on vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä. Tämä puolestaan edellyttää muun muassa, että yritykset ja muut rekisterinpitäjät eivät voi enää käyttää pitkiä käyttöehtoja, vaan heidän on esitettävä oleelliset tiedot lyhyesti, ytimekkäästi ja helposti ymmärrettävästi.

Rekisteröidyllä on myös oikeus tarkistaa maksutta hänestä kerätyt henkilötiedot. Lisäksi yksi merkittävimmistä asetuksen tuomista muutoksista on oikeus tulla unohdetuksi (right to be forgotten). Sen mukaan henkilöä koskevat tiedot tulee poistaa rekisteristä, kun hän ei enää halua tietojansa käsiteltävän eikä niiden käsittelylle ole enää laillisia perusteita. Oikeus tulla unohdetuksi parantaa yksilöiden oikeutta hallita henkilötietojaan ja niiden käyttöä.

Tämän lisäksi asetus antaa yksilölle paremman mahdollisuuden tietojensa siirtoon. Rekisteröidyllä on oikeus saada henkilötietonsa siirrettyä rekisteristä toiseen.

rekisterinpitäjän vastuu

GDPR lisää rekisterinpitäjän vastuuta liittyen esimerkiksi rekisteröidyn informointiin ja tietojen poistamiseen liittyen. Jos rekisterinpitäjä ei täytä asetuksen asettamia vaatimuksia henkilötietojen käsittelystä, ovat sanktiot suuret. Hallinnollinen sakko voi olla jopa 20 miljoonaa euroa tai 4 % yrityksen globaalista liikevaihdosta riippuen siitä, kumpi määrä muodostuu suuremmaksi.

Asetus myös määrää, että henkilötietojen tietoturvaloukkauksen tapahtuessa rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa valvontaviranomaiselle. Näin ei tosin tarvitse menetellä, jos tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Tietoturvaloukkauksesta on ilmoitettava myös rekisteröidylle, jos se todennäköisesti aiheuttaa korkean riskin luonnollisen henkilön oikeuksille ja vapauksille.

Lue lisää henkilötietojen käsittelyn periaatteista.

Lähde §: yleinen tietosuoja-asetus

01.09.2017

Päivitetty 07.07.2024

Suomen Juristit lakimies

Nopeaa apua lakiasioihin.