Yleinen tietosuoja-asetus

Kohteesta Wikipedia
Siirry navigaatioon Siirry hakuun

EU:n yleinen tietosuoja-asetus, 2016/679 (engl. General Data Protection Regulation, GDPR) on Euroopan parlamentin, Euroopan unionin neuvoston ja Euroopan komission yhteinen pyrkimys yhtenäistää tietosuojaa koskeva lainsäädäntö kaikkien Euroopan unionin jäsenmaiden kesken. EU:n sisäisen säätelyn lisäksi se koskee myös tahoja, jotka tallentavat EU-kansalaisten henkilötietoja Euroopan unionin ulkopuolelle. Yleisen tietosuoja-asetuksen tarkoituksena on ensisijaisesti vahvistaa kansalaisten EU:ssa asuvien henkilöiden oikeuksia omiin henkilötietoihinsa sekä yksinkertaistaa sääntely-ympäristöä niin, että sekä EU:n sisäinen, että kansainvälinen liiketoiminta helpottuu.[1] 

EU:n tietosuoja-asetus on annettu 27. huhtikuuta 2016 ja siitä tuli täytäntöönpanokelpoinen kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018. Toisin kuin direktiivi, se ei edellytä kansallisilta hallituksilta uutta lainsäädäntöä, ja on siten suoraan velvoittava ja sovellettavissa. Yleinen tietosuoja-asetus korvaa tietosuojadirektiivin (95/46/EY) joka annettiin vuonna 1995. [2][3]

EU-kansalaisen oikeudet[muokkaa | muokkaa wikitekstiä]

Tietosuoja-asetuksessa määritellään kansalaisen oikeudet liittyen henkilötietojen käsittelyyn. Asetuksen myötä jokaisella EU-kansalaisella on oikeus tarkistaa hänestä tallennetut tiedot, saada tieto siitä miten henkilötiedot on kerätty sekä miten niitä käsitellään ja kenelle niitä annetaan. Lisäksi kansalaisella on oikeus oikaista mahdolliset väärät tiedot sekä poistaa tietonsa rekisteristä. Kansalaisella on oikeus vastustaa henkilötietojen käsittelyä sekä pyytää henkilötietojen käsittelyn rajoittamista. Kansalaisella on myös mahdollisuus siirtää tiedot toiselle organisaatiolle, lisäksi kansalaisella on oikeus olla joutumatta perusteetta automaattisen päätöskenteon kohteeksi.[4]

Vastaavasti asetuksessa säädetään rekisterinpitäjille velvollisuus toimia siten, että edellä esitetyt oikeudet toteutuvat.[5]

Organisaatioiden velvollisuudet[muokkaa | muokkaa wikitekstiä]

Organisaatio saa käsitellä henkilötietoja jos sille on laissa määritelty peruste.

Organisaatiolla on velvollisuus poistaa kansalaisen tiedot, mikäli organisaatiolla ei ole laillisia perusteita käsitellä niitä. Laillinen peruste voi olla esimerkiksi rekisteröidyn suostumus, sopimus, lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleinen etu ja julkinen valta tai rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Organisaation on nimitettävä tietosuojavastaava jos organisaation toimintaan liittyy arkaluonteisten tietojen laajamittaista käsittelyä, ihmisten laajamittaista, säännöllistä tai järjestelmällistä seurantaa tai organisaatio on julkishallinnon toimija.[4]

Rekisterinpitäjällä on velvollisuus ilmoittaa mahdollisista tietoturvaloukkauksista 72 tunnin kuluessa valvontaviranomaiselle.[6]

Valvonta[muokkaa | muokkaa wikitekstiä]

Suomessa valvontaviranomaisena toimii Tietosuojavaltuutetun toimisto. Jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin kansalaisen oikeuksille ja vapauksille, tulee loukkauksesta ilmoittaa hänelle.[6][7]

Euroopan unionin valvontaviranomaisena toimii Euroopan tietosuojavaltuutettu. Euroopan tietosuojavaltuutettu valvoo, että EU:n hallinto käsittelee henkilötietoja sääntöjen mukaisesti. Euroopan tietosuojavaltuutettu käsittelee myös valituksia ja suorittaa tutkimuksia.[8]

Lähteet[muokkaa | muokkaa wikitekstiä]

  1. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex.", 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf
  2. "Directive 95/46/EC"
  3. Blackmer, W.S.: GDPR: Getting Ready for the New EU General Data Protection Regulation Information Law Group. 5 May 2016. InfoLawGroup LLP. Viitattu 22 June 2016.
  4. a b EU:n tietosuoja-asetus Tietosuojavaltuutetun toimisto. Viitattu 23.3.2019.
  5. Arto Ylipartanen ja Ari Andreasson: EU:n yleinen tietosuoja-asetus (GDPR) muuttaa kansalliset käytännöt opitietosuojaa.fi. Viitattu 26.2.2018.
  6. a b Art. 33 GDPR – Notification of a personal data breach to the supervisory authority gdpr-info.eu. Viitattu 21.3.2019. (englanniksi)
  7. Tietoturvaloukkaukset Tietosuojavaltuutetun toimisto. Viitattu 22.3.2019.
  8. Euroopan tietosuojavaltuutettu Euroopan Unioni. Viitattu 23.3.2019.

Aiheesta muualla[muokkaa | muokkaa wikitekstiä]

Tämä lakiin tai oikeuteen liittyvä artikkeli on tynkä. Voit auttaa Wikipediaa laajentamalla artikkelia.