Yleinen tietosuoja-asetus

Kohteesta Wikipedia
Siirry navigaatioon Siirry hakuun

EU:n yleinen tietosuoja-asetus, 2016/679 (engl. General Data Protection Regulation, GDPR) on Euroopan parlamentin, Euroopan unionin neuvoston ja Euroopan komission yhteinen pyrkimys yhtenäistää tietosuojaa koskeva lainsäädäntö kaikkien Euroopan unionin jäsenmaiden kesken. EU:n sisäisen säätelyn lisäksi se koskee myös tahoja, jotka tallentavat EU:ssa asuvien henkilöiden henkilötietoja Euroopan unionin ulkopuolelle. Yleisen tietosuoja-asetuksen tarkoituksena on ensisijaisesti vahvistaa EU:ssa asuvien henkilöiden oikeuksia omiin henkilötietoihinsa sekä yksinkertaistaa sääntely-ympäristöä niin, että sekä EU:n sisäinen että kansainvälinen liiketoiminta helpottuu.[1] 

EU:n tietosuoja-asetus on annettu 27. huhtikuuta 2016 ja sitä alettiin soveltaa kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018. Toisin kuin direktiivi, se ei edellytä kansallisilta hallituksilta uutta lainsäädäntöä, ja on siten suoraan velvoittava ja sovellettavissa. Yleinen tietosuoja-asetus korvaa tietosuojadirektiivin (95/46/EY) joka annettiin vuonna 1995. [2][3]

EU-kansalaisen oikeudet[muokkaa | muokkaa wikitekstiä]

Tietosuoja-asetuksessa määritellään kansalaisen oikeudet liittyen henkilötietojen käsittelyyn. Asetuksen myötä jokaisella EU-kansalaisella on oikeus tarkistaa hänestä tallennetut tiedot, saada tieto siitä miten henkilötiedot on kerätty sekä miten niitä käsitellään ja kenelle niitä annetaan. Lisäksi kansalaisella on oikeus oikaista mahdolliset väärät tiedot sekä poistaa tietonsa rekisteristä. Kansalaisella on oikeus vastustaa henkilötietojen käsittelyä sekä pyytää henkilötietojen käsittelyn rajoittamista. Kansalaisella on myös mahdollisuus siirtää tiedot toiselle organisaatiolle, lisäksi kansalaisella on oikeus olla joutumatta perusteetta automaattisen päätöksenteon kohteeksi.[4]

Vastaavasti asetuksessa säädetään rekisterinpitäjille velvollisuus toimia siten, että edellä esitetyt oikeudet toteutuvat.[5]

Organisaatioiden velvollisuudet[muokkaa | muokkaa wikitekstiä]

Organisaatio saa käsitellä henkilötietoja, jos käsittelylle on laissa määritelty peruste.

Organisaatiolla on velvollisuus poistaa kansalaisen tiedot, mikäli organisaatiolla ei ole laillisia perusteita käsitellä niitä. Laillinen peruste voi olla esimerkiksi rekisteröidyn suostumus, sopimus, lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleinen etu ja julkinen valta tai rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Organisaation on nimitettävä tietosuojavastaava jos organisaation toimintaan liittyy arkaluonteisten tietojen laajamittaista käsittelyä, ihmisten laajamittaista, säännöllistä tai järjestelmällistä seurantaa tai organisaatio on julkishallinnon toimija.[4]

Rekisterinpitäjällä on velvollisuus ilmoittaa mahdollisista tietoturvaloukkauksista 72 tunnin kuluessa valvontaviranomaiselle.[6]

Valvonta[muokkaa | muokkaa wikitekstiä]

Suomessa valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.

Euroopan unionin valvontaviranomaisena toimii Euroopan tietosuojavaltuutettu. Euroopan tietosuojavaltuutettu valvoo, että EU:n hallinto käsittelee henkilötietoja sääntöjen mukaisesti. Euroopan tietosuojavaltuutettu käsittelee myös valituksia ja suorittaa tutkimuksia.[7]

Lähteet[muokkaa | muokkaa wikitekstiä]

  1. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex.", 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf
  2. "Directive 95/46/EC"
  3. Blackmer, W.S.: GDPR: Getting Ready for the New EU General Data Protection Regulation Information Law Group. 5 May 2016. InfoLawGroup LLP. Viitattu 22 June 2016.
  4. a b EU:n tietosuoja-asetus Tietosuojavaltuutetun toimisto. Viitattu 23.3.2019.
  5. Arto Ylipartanen ja Ari Andreasson: EU:n yleinen tietosuoja-asetus (GDPR) muuttaa kansalliset käytännöt opitietosuojaa.fi. Viitattu 26.2.2018.
  6. Art. 33 GDPR – Notification of a personal data breach to the supervisory authority gdpr-info.eu. Viitattu 21.3.2019. (englanniksi)
  7. Euroopan tietosuojavaltuutettu Euroopan Unioni. Viitattu 23.3.2019.

Aiheesta muualla[muokkaa | muokkaa wikitekstiä]

Tämä lakiin tai oikeuteen liittyvä artikkeli on tynkä. Voit auttaa Wikipediaa laajentamalla artikkelia.