Mikä ihmeen GDPR / tietosuoja-asetus?!

EU:n tietosuoja-asetus eli GDPR hyväksyttiin huhtikuussa 2016 ja sitä sovelletaan 25. toukokuuta 2018 alkaen.

Tietosuoja-asetus edellyttää toimia kaikilta organisaatioilta. Tietosuoja-asetus velvoittaa kartoittamaan ja dokumentoimaan kaiken organisaatiossa tapahtuvan henkilötietojen käsittelyn ja kiinnittämään huomiota käsittelyn turvallisuuteen. Henkilötietojen käsittely voi tapahtua automaattisen tietojenkäsittelyn avulla, mutta yhtälailla jäsenneltyyn manuaaliseen kortistoon tai paperidokumentteihin.

Iso muutos uuden tietosuoja-asetuksen myötä on osoitusvelvollisuus, niin sanottu käänteinen todistustaakka. Valvontaviranomainen voi tarkastaa organisaation tietosuojan tilan ja organisaation tulee pystyä osoittamaan miten henkilötietoja käsitellään. Mikäli henkilötietojen käsittelyssä tapahtuu epäilty tietovuoto, tulee se ilmoittaa omatoimisesti valvontaviranomaiselle.

Jos tietosuoja-asetuksen edellyttämiä asioita ei ole organisaatiossa huomioitu, on viranomaisella oikeus määrätä organisaatiolle sanktioita. Sanktiot voivat vaihdella rekisterin pitämiskiellosta aina rahallisiin korvauksiin.

Lue lisää tietosuojan yleisimmistä käsitteistä.

Kansallinen tietosuojalainsäädäntö

EU:n tietosuoja-asetus jättää jäsenmaille jonkin verran kansallista liikkumavaraa. Asetuksen määrittelemissä tilanteissa jäsenmaat voivat antaa tai säilyttää kansallista lainsäädäntöä, jolla säädetään poikkeuksista ja täsmennyksistä siihen.

Kansallisessa lainsäädännössä voidaan säätää mm. 

  • lapsen ikärajaa 16 ja 13 ikävuoden välillä, kun tarjotaan tietoyhteiskunnan palveluita suoraan lapselle ja käsittely perustuu 6 artiklan 1 kohdan mukaisesti suostumukseen.
  • tarkennuksia erityisten henkilötietoryhmien käsittelylle artiklan 9 mukaisesti.
  • erityistilanteita koskevia säännöksiä artikloiden 85-91 mukaisesti, josta esimerkkinä edellytykset henkilötietojen käsittelylle käsiteltäessä kansallista henkilötunnusta.

EU:n tietosuoja-asetus

Tietosuoja-asetus säätää EU:n kansalaisten oikeuksista tietosuojaan.

Kohde ja tavoitteet

Luku 1 / Artikla 1

Aineellinen soveltamisala

Luku 1 / Artikla 2

Alueellinen soveltamisala

Luku 1 / Artikla 3

Määritelmät

Luku 1 / Artikla 4

Käsittelyn lainmukaisuus

Luku 2 / Artikla 6

Suostumuksen edellytykset

Luku 2 / Artikla 7

Oikeus tietojen oikaisemiseen

Luku 3 / Artikla 16

Oikeus käsittelyn rajoittamiseen

Luku 3 / Artikla 18

Vastustamisoikeus

Luku 3 / Artikla 21

Rajoitukset

Luku 3 / Artikla 23

Rekisterinpitäjän vastuu

Luku 4 / Artikla 24

Yhteisrekisterinpitäjät

Luku 4 / Artikla 26

Henkilötietojen käsittelijä

Luku 4 / Artikla 28

Seloste käsittelytoimista

Luku 4 / Artikla 30

Käsittelyn turvallisuus

Luku 4 / Artikla 32

Ennakkokuuleminen

Luku 4 / Artikla 36

Tietosuojavastaavan nimittäminen

Luku 4 / Artikla 37

Tietosuojavastaavan asema

Luku 4 / Artikla 38

Tietosuojavastaavan tehtävät

Luku 4 / Artikla 39

Käytännesäännöt

Luku 4 / Artikla 40

Sertifiointi

Luku 4 / Artikla 42

Sertifiointielimet

Luku 1 / Artikla 43

Siirtoja koskeva yleinen periaate

Luku 5 / Artikla 44

Valvontaviranomainen

Luku 6 / Artikla 51

Riippumattomuus

Luku 6 / Artikla 52

Toimivalta

Luku 6 / Artikla 55

Tehtävät

Luku 6 / Artikla 57

Valtuudet

Luku 6 / Artikla 58

Toimintakertomukset

Luku 6 / Artikla 59

Keskinäinen avunanto

Luku 7 / Artikla 61

Yhdenmukaisuusmekanismi

Luku 7 / Artikla 63

Tietosuojaneuvoston lausunto

Luku 7 / Artikla 64

Kiireellinen menettely

Luku 7 / Artikla 66

Tietojenvaihto

Luku 7 / Artikla 67

Euroopan tietosuojaneuvosto

Luku 7 / Artikla 68

Riippumattomuus

Luku 7 / Artikla 69

Tietosuojaneuvoston tehtävät

Luku 7 / Artikla 70

Kertomukset

Luku 7 / Artikla 71

Menettely

Luku 7 / Artikla 72

Puheenjohtaja

Luku 7 / Artikla 73

Puheenjohtajan tehtävät

Luku 7 / Artikla 74

Sihteeristö

Luku 7 / Artikla 75

Tietojen salassapito

Luku 7 / Artikla 76

Rekisteröityjen edustaminen

Luku 8 / Artikla 80

Menettelyn keskeyttäminen

Luku 8 / Artikla 81

Seuraamukset

Luku 8 / 84

Salassapitovelvollisuus

Luku 9 / Artikla 90

Komiteamenettely

Luku 10 / Artikla 93

Direktiivin 95/46/EY kumoaminen

Luku 11 / Artikla 94

Suhde direktiiviin 2002/58/EY

Luku 11 / Artikla 95

Komission kertomukset

Luku 11 / Artikla 97

Voimaantulo ja soveltaminen

Luku 11 / Artikla 99

}