Yleinen tietosuoja-asetus (GDPR)

TÄRKEIMMÄT KOHDAT

Yksilön oikeudet

Yleisellä tietosuoja-asetuksella vahvistetaan olemassa olevia oikeuksia, otetaan käyttöön uusia oikeuksia ja autetaan yksilöitä hallitsemaan paremmin henkilötietojaan. Se sisältää seuraavat osat:

• Helpompi pääsy omiin tietoihin. Tähän sisältyy lisätietojen antaminen siitä, miten tietoja käsitellään, ja sen varmistaminen, että tiedot ovat saatavilla selkeästi ja ymmärrettävästi.
• Uusi oikeus siirtää tiedot järjestelmästä toiseen. Henkilötiedot on entistä helpompi siirtää palveluntarjoajalta toiselle.
• Selkeämpi oikeus tietojen poistamiseen (oikeus tulla unohdetuksi). Kun henkilö ei enää halua, että hänen tietojaan käsitellään, tiedot poistetaan, paitsi jos on olemassa jokin laillinen peruste säilyttää ne.
• Oikeus saada tietoa henkilötietojen tietoturvaloukkauksesta. Yritysten ja organisaatioiden on ilmoitettava asiasta asianomaiselle tietosuojaviranomaiselle ja vakavien tietoturvaloukkausten tapauksessa myös asianomaisille henkilöille.

Yrityksiä koskevat säännöt

Yleisessä tietosuoja-asetuksessa luodaan tasapuoliset toimintaedellytykset kaikille EU:n sisämarkkinoilla toimiville yrityksille, otetaan käyttöön teknologianeutraali lähestymistapa ja edistetään innovointia useilla eri toimilla muun muassa seuraavin keinoin:

• Yhteiset EU:n laajuiset säännöt. Yksi EU:n laajuinen tietosuojalainsäädäntö lisää oikeusvarmuutta ja vähentää hallinnollista taakkaa.
• Tietosuojavastaavat. Tietosuojasta vastaavan henkilön nimeävät viranomaiset ja yritykset, jotka käsittelevät tietoja laajamittaisesti tai joiden ydintehtävänä on erityisten tietoryhmien, kuten terveyteen liittyvien tietojen, käsittely.
• Yhden luukun periaate. Yritysten on asioitava vain yhden valvontaviranomaisen kanssa (siinä EU:n jäsenvaltiossa, jossa niillä on päätoimipaikka); asianomaiset valvontaviranomaiset tekevät yhteistyötä Euroopan tietosuojaneuvoston puitteissa rajat ylittävissä tapauksissa.
• EU-säännöt, jotka koskevat EU:n ulkopuolisia yrityksiä. Euroopan ulkopuolelle sijoittautuneiden yritysten on sovellettava samoja sääntöjä, kun ne tarjoavat tavaroita tai palveluja tai seuraavat henkilöiden käyttäytymistä EU:ssa.
• Innovaatioille suotuisat säännöt. Tietosuojatakeet otetaan huomioon tuotteissa ja palveluissa jo suunnitteluvaiheessa (sisäänrakennettu ja oletusarvoinen tietosuoja)
• Yksityisyydensuojaa parantavat tekniikat. Pseudonymisoiminen (kun tietojen tunnistuskentistä korvataan yksi tai useampi keinotekoisilla tunnisteilla) ja salaus (kun tiedot koodataan niin, että vain valtuutetut osapuolet voivat lukea niitä).
• Ilmoitusten poistaminen. Yleisessä tietosuoja-asetuksessa poistettiin useimmat ilmoitusvelvollisuudet ja niihin liittyvät kustannukset. Yksi sen tavoitteista on poistaa esteitä, jotka vaikuttavat henkilötietojen vapaaseen liikkuvuuteen EU:ssa. Tämä helpottaa yritysten laajentumista digitaalisilla sisämarkkinoilla.
• Tietosuojaa koskevat vaikutustenarvioinnit. Yritysten on tehtävä vaikutustenarviointeja, jos tietojenkäsittely voi aiheuttaa henkilön oikeuksien ja vapauksien kannalta korkean riskin.
• Tietojen kirjaaminen. Pienten ja keskisuurten yritysten ei tarvitse pitää kirjaa käsittelytoimista – paitsi jos käsittely on säännöllistä tai todennäköisesti vaarantaa sen henkilön oikeudet ja vapaudet, jonka tietoja käsitellään, tai sisältää arkaluonteisia tietoryhmiä.
• Nykyaikainen työkalupakki kansainvälisiin tiedonsiirtoihin. Yleisessä tietosuoja-asetuksessa tarjotaan erilaisia välineitä tietojen siirtämiseksi EU:n ulkopuolelle, mukaan lukien Euroopan komission tekemät tietosuojan riittävyyttä koskevat päätökset, joissa EU:n ulkopuolinen maa tarjoaa riittävän suojan tason, ennalta hyväksytyt (vakiomuotoiset) sopimuslausekkeet, sitovat yrityssäännöt, käytännesäännöt ja sertifiointi.

Uudelleentarkastelu

Komissio antoi kesäkuussa 2020 kertomuksen asetuksen arvioinnista ja uudelleentarkastelusta. Seuraava arviointi on määrä tehdä vuonna 2024.