Yleinen tietosuoja-asetus (GDPR)

 

TIIVISTELMÄ ASIAKIRJASTA:

Asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta

ASETUKSEN TARKOITUS

• Yleinen tietosuoja-asetus (GDPR) suojaa yksityishenkilöitä, kun heidän tietojaan käsitellään yksityisellä sektorilla ja suurimmalla osalla julkista sektoria. Toimivaltaisten viranomaisten suorittamaan tietojen käsittelyyn lainvalvontatarkoituksia varten sovelletaan sen sijaan tietosuojadirektiiviä (ks. tiivistelmä).
• Se auttaa yksilöitä hallitsemaan paremmin henkilötietojaan. Sillä myös päivitetään ja yhdenmukaistetaan sääntöjä, minkä ansiosta yritykset voivat vähentää byrokratiaa ja hyötyä kuluttajien suuremmasta luottamuksesta.
• Sillä perustetaan täysin riippumattomien valvontaviranomaisten järjestelmä, joka vastaa säännösten noudattamisen valvonnasta.
• Se on osa Euroopan unionin (EU) tietosuojauudistusta sekä tietosuojalainsäädäntöä koskevaa direktiiviä ja asetusta (EU) 2018/1725 luonnollisten henkilöiden suojelusta EU:n toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä (ks. tiivistelmä).

TÄRKEIMMÄT KOHDAT

Yksilön oikeudet

Yleisellä tietosuoja-asetuksella vahvistetaan olemassa olevia oikeuksia, otetaan käyttöön uusia oikeuksia ja autetaan yksilöitä hallitsemaan paremmin henkilötietojaan. Se sisältää seuraavat osat:

• Helpompi pääsy omiin tietoihin. Tähän sisältyy lisätietojen antaminen siitä, miten tietoja käsitellään, ja sen varmistaminen, että tiedot ovat saatavilla selkeästi ja ymmärrettävästi.
• Uusi oikeus siirtää tiedot järjestelmästä toiseen. Henkilötiedot on entistä helpompi siirtää palveluntarjoajalta toiselle.
• Selkeämpi oikeus tietojen poistamiseen (oikeus tulla unohdetuksi). Kun henkilö ei enää halua, että hänen tietojaan käsitellään, tiedot poistetaan, paitsi jos on olemassa jokin laillinen peruste säilyttää ne.
• Oikeus saada tietoa henkilötietojen tietoturvaloukkauksesta. Yritysten ja organisaatioiden on ilmoitettava asiasta asianomaiselle tietosuojaviranomaiselle ja vakavien tietoturvaloukkausten tapauksessa myös asianomaisille henkilöille.

Yrityksiä koskevat säännöt

Yleisessä tietosuoja-asetuksessa luodaan tasapuoliset toimintaedellytykset kaikille EU:n sisämarkkinoilla toimiville yrityksille, otetaan käyttöön teknologianeutraali lähestymistapa ja edistetään innovointia useilla eri toimilla muun muassa seuraavin keinoin:

• Yhteiset EU:n laajuiset säännöt. Yksi EU:n laajuinen tietosuojalainsäädäntö lisää oikeusvarmuutta ja vähentää hallinnollista taakkaa.
• Tietosuojavastaavat. Tietosuojasta vastaavan henkilön nimeävät viranomaiset ja yritykset, jotka käsittelevät tietoja laajamittaisesti tai joiden ydintehtävänä on erityisten tietoryhmien, kuten terveyteen liittyvien tietojen, käsittely.
• Yhden luukun periaate. Yritysten on asioitava vain yhden valvontaviranomaisen kanssa (siinä EU:n jäsenvaltiossa, jossa niillä on päätoimipaikka); asianomaiset valvontaviranomaiset tekevät yhteistyötä Euroopan tietosuojaneuvoston puitteissa rajat ylittävissä tapauksissa.
• EU-säännöt, jotka koskevat EU:n ulkopuolisia yrityksiä. Euroopan ulkopuolelle sijoittautuneiden yritysten on sovellettava samoja sääntöjä, kun ne tarjoavat tavaroita tai palveluja tai seuraavat henkilöiden käyttäytymistä EU:ssa.
• Innovaatioille suotuisat säännöt. Tietosuojatakeet otetaan huomioon tuotteissa ja palveluissa jo suunnitteluvaiheessa (sisäänrakennettu ja oletusarvoinen tietosuoja)
• Yksityisyydensuojaa parantavat tekniikat. Pseudonymisoiminen (kun tietojen tunnistuskentistä korvataan yksi tai useampi keinotekoisilla tunnisteilla) ja salaus (kun tiedot koodataan niin, että vain valtuutetut osapuolet voivat lukea niitä).
• Ilmoitusten poistaminen. Yleisessä tietosuoja-asetuksessa poistettiin useimmat ilmoitusvelvollisuudet ja niihin liittyvät kustannukset. Yksi sen tavoitteista on poistaa esteitä, jotka vaikuttavat henkilötietojen vapaaseen liikkuvuuteen EU:ssa. Tämä helpottaa yritysten laajentumista digitaalisilla sisämarkkinoilla.
• Tietosuojaa koskevat vaikutustenarvioinnit. Yritysten on tehtävä vaikutustenarviointeja, jos tietojenkäsittely voi aiheuttaa henkilön oikeuksien ja vapauksien kannalta korkean riskin.
• Tietojen kirjaaminen. Pienten ja keskisuurten yritysten ei tarvitse pitää kirjaa käsittelytoimista – paitsi jos käsittely on säännöllistä tai todennäköisesti vaarantaa sen henkilön oikeudet ja vapaudet, jonka tietoja käsitellään, tai sisältää arkaluonteisia tietoryhmiä.
• Nykyaikainen työkalupakki kansainvälisiin tiedonsiirtoihin. Yleisessä tietosuoja-asetuksessa tarjotaan erilaisia välineitä tietojen siirtämiseksi EU:n ulkopuolelle, mukaan lukien Euroopan komission tekemät tietosuojan riittävyyttä koskevat päätökset, joissa EU:n ulkopuolinen maa tarjoaa riittävän suojan tason, ennalta hyväksytyt (vakiomuotoiset) sopimuslausekkeet, sitovat yrityssäännöt, käytännesäännöt ja sertifiointi.

Uudelleentarkastelu

Komissio antoi kesäkuussa 2020 kertomuksen asetuksen arvioinnista ja uudelleentarkastelusta. Seuraava arviointi on määrä tehdä vuonna 2024.

MISTÄ ALKAEN ASETUSTA SOVELLETAAN?

Yleistä tietosuoja-asetusta on sovellettu 25. toukokuuta 2018 alkaen.

TAUSTAA

Ks. lisätietoja:

• EU:n tietosuojasääntöjen uudistaminen (Euroopan komissio)
• EU:n tietosuojasäännöt (Euroopan komissio)
• Komission kertomus: EU:n tietosuojasäännöt lisäävät kansalaisten vaikutusmahdollisuuksia ja sopivat digitaaliaikaan – lehdistötiedote (Euroopan komissio)
• Tietosuojauudistus – lehdistötiedote (Euroopan komissio)
• Henkilötietojen suoja (Euroopan komissio)

Covid-19-pandemian ja kriisin vaikutuksista selviytymiseksi toteutettujen toimenpiteiden jälkeen komissio hyväksyi:

• Komission suositus (EU) 2020/518, annettu 8 päivänä huhtikuuta 2020, unionin yhteisestä välineistöstä teknologian ja datan käyttöä varten covid-19-kriisin torjumiseksi ja siitä ulospääsemiseksi erityisesti mobiilisovellusten ja anonymisoidun liikkuvuusdatan käytön osalta.

ASIAKIRJA

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1–88)

Asetukseen (EU) 2016/679 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen tekstiin. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89–131)

Ks. konsolidoitu toisinto.

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39–98)

Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37–47)

Ks. konsolidoitu toisinto.

Viimeisin päivitys: 07.01.2022