Yleinen tietosuoja-asetus, tunnettu lyhenteellä GDPR, on yksi viime vuosikymmenen merkittävimmistä lainsäädännöllisistä uudistuksista yksityisyyden ja henkilötietojen suojan alalla Euroopan unionissa. Asetus astui voimaan 25. toukokuuta 2018 EU-maissa ja se koskee henkilötietojen käsittelyä ja säilyttämistä laajasti eri organisaatioissa ja yrityksissä. Sen tavoitteena on antaa yksilöille enemmän valtaa omiin tietoihinsa sekä yhtenäistää sääntelyä koko EU:n alueella.
GDPR on sanana lyhennys englanninkielisestä termistä General Data Protection Regulation. Se on EU-asetus, mikä tarkoittaa, että sen säännöt ovat suoraan voimassa kaikissa jäsenmaissa ilman erillistä kansallista lakia. Asetus korvasi aiemman tietosuojadirektiivin, joka oli käytössä vuodesta 1995 lähtien, ja toi mukanaan uuden tason tietosuojan suojaan.
GDPR koskee henkilötietoja, joita ovat kaikki tiedot, joilla voidaan tunnistaa yksilö suoraan tai välillisesti. Näitä voivat olla esimerkiksi nimi, sähköpostiosoite, puhelinnumero, sijaintitiedot tai IP-osoite. Asetuksen piiriin kuuluu myös arkaluonteisemmat tiedot kuten terveystiedot, yksilön etninen tausta tai henkilötunnus.
GDPR:ää noudatetaan tiukasti sekä EU-alueella toimivissa organisaatioissa että kaikkialla muualla maailmassa, jos kyseiset organisaatiot käsittelevät EU-kansalaisten henkilötietoja tai tarjoavat palveluita EU-alueella asuville henkilöille. Tämä ulottuvuus tekee GDPR:stä globaalisti merkittävän lainsäädännön.
Tausta ja miksi GDPR syntyi
Aiempi EU-tietosuojalainsäädäntö perustui vuosikymmenien takaiseen Data Protection Directive -ohjeeseen, joka ei enää vastannut digitalisaation, pilvipalveluiden ja globaaleihin datavirtoihin perustuvan liiketoiminnan vaatimuksia. GDPR otettiin käyttöön osana EU:n laajempaa pyrkimystä suojata yksilöiden oikeuksia digitaalisessa ympäristössä ja tarjota selkeät, yhtenäiset säännöt henkilötietojen käsittelyyn.
Kun internet ja digitaaliset palvelut kasvoivat räjähdysmäisesti 2000-luvulla, oli selvää, että vanhat säädökset eivät riittäneet turvaamaan yksilöiden oikeuksia. Tietovuodot, profilointi, automaattinen päätöksenteko ja datan massakeruu herättivät huolta yksityisyyden suojasta. GDPR:n myötä EU halusi tarjota kansalaisilleen oikeudet hallita omia tietojaan paremmin ja pakottaa yritykset toimimaan vastuullisesti.
GDPR:n valmistelu kesti vuosia ja sääntely hyväksyttiin lopulta vuonna 2016. Se astui voimaan vasta toukokuussa 2018, jotta yrityksillä ja organisaatioilla olisi aikaa valmistautua uusiin vaatimuksiin. Asetuksen käyttöönottaminen merkitsi digitaalisen yksityisyyden historiallista murrosta.
GDPR:n keskeiset periaatteet
GDPR:ssä on useita keskeisiä periaatteita, jotka toimivat ohjenuorana henkilötietojen käsittelylle. Nämä periaatteet näkyvät jokapäiväisessä tietosuojatyössä ja määrittävät kuinka tietoja voidaan kerätä, käyttää, säilyttää ja poistaa.
Ensinnäkin lainmukaisuus tarkoittaa sitä, että henkilötietojen käsittelylle on oltava oikeudellinen peruste. Yleisiä perusteita ovat suostumus, sopimuksen täytäntöönpano, lakisääteinen velvoite, elintärkeät edut tai oikeutettu etu.
Toiseksi tarkoituksen rajoittaminen tarkoittaa sitä, että tietoja saa käsitellä vain siihen tarkoitukseen, johon ne alun perin on kerätty, eikä niitä saa käyttää muihin tarkoituksiin ilman uutta oikeutta.
Kolmanneksi tietoja tulee kerätä mahdollisimman vähän (minimointi) ja säilyttää vain niin kauan kuin on tarpeen. Lisäksi käsittely tulee tehdä avoimesti ja turvallisesti, suojaten tiedot luvattomalta käytöltä ja väärinkäytöltä.
Rekisteröidyn oikeudet – mitä yksilö saa?
GDPR vahvistaa yksilön oikeuksia omiin tietoihinsa ja asettaa organisaatioille velvollisuuksia vastata näihin oikeuksiin. Oikeudet ovat olennainen osa sitä, mitä GDPR pyrkii saavuttamaan: yksilön hallinnan lisääminen omiin tietoihin.
Yksi keskeisimmistä oikeuksista on oikeus saada pääsy omiin tietoihin, eli rekisteröidyllä on oikeus pyytää ja saada selville, mitä tietoja hänestä on kerätty ja mihin niitä käytetään.
Toinen tärkeä oikeus on oikeus tietojen oikaisuun, jolloin virheelliset tai vanhentuneet tiedot tulee korjata. Lisäksi GDPR antaa oikeuden poistaa tiedot eli niin sanottu ”oikeus tulla unohdetuksi”, mikäli tietoja ei enää tarvita alkuperäiseen tarkoitukseen.
GDPR sisältää myös oikeuden rajoittaa käsittelyä, vastustaa tietojen käyttöä ja tietojen siirrettävyyden, jolloin henkilö voi siirtää tietonsa toiselle palveluntarjoajalle standardoidussa muodossa.
Organisaatioiden velvollisuudet ja vastuu
GDPR:ssä ei säädellä vain yksilöiden oikeuksia, vaan myös organisaatioiden vastuuta tietojen käsittelystä. Kaikkien organisaatioiden, jotka käsittelevät henkilötietoja, on noudatettava asetuksen vaatimuksia riippumatta siitä, ovatko ne pieniä paikallisia yrityksiä vai suuria monikansallisia yhtiöitä.
Yrityksillä on esimerkiksi velvollisuus dokumentoida kaikki tietojenkäsittelytoimet ja osoittaa, että ne toimivat asetuksen mukaisesti. Tarvittaessa organisaatioiden tulee nimetä tietosuojavastaava, joka valvoo GDPR:n noudattamista ja toimii yhteyshenkilönä tietosuojaviranomaisten kanssa.
GDPR edellyttää myös, että tietoturvaloukkauksista ilmoitetaan valvontaviranomaiselle yleensä 72 tunnin kuluessa siitä, kun yritys on tunnistanut tietomurron. Tämä varmistaa nopean reagoinnin ja vähentää vahinkoja yksilöille.
Sakot ja seuraamukset
Yksi GDPR:n näkyvimmistä piirteistä on sen sakkojen ja seuraamusten järjestelmä. Asetus antaa tietosuojaviranomaisille oikeuden määrätä merkittäviä sakkoja organisaatioille, jotka rikkovat sääntöjä.
Suurimmat sakot voivat olla jopa 20 miljoonaa euroa tai 4 % yrityksen globaalista liikevaihdosta, riippuen siitä, kumpi on suurempi. Tämä tekee GDPR:n vaatimusten noudattamisesta taloudellisesti merkittävän prioriteetin yrityksille.
Sakkoja voidaan määrätä esimerkiksi silloin, kun yritys ei pysty osoittamaan laillista perustetta tietojen käsittelylle, epäonnistuu tietoturvaloukkauksista ilmoittamisessa tai ei suojaa tietoja asianmukaisesti.
Miten GDPR näkyy käytännössä
GDPR on muuttanut tapaa, jolla yritykset keräävät ja käsittelevät henkilötietoja. Käyttäjä saattaa huomata sen esimerkiksi silloin, kun palvelut pyytävät erillistä suostumusta evästeiden käyttöön, kun rekisteröidyt pyytävät tietojaan tai kun yritys tarjoaa mahdollisuuden poistaa profiilitietojaan.
Organisaatioissa on usein myös tarkemmat tietosuojakäytännöt ja -ilmoitukset, joissa kerrotaan selkeästi, mihin tarkoitukseen tietoja kerätään ja kuinka niitä säilytetään. Usein näkyvin muutos on se, että käyttäjä saa entistä enemmän tietoa ja valinnanvapautta omien tietojensa hallintaan.
GDPR:n keskeiset asiat listattuna
- GDPR = General Data Protection Regulation
- EU-asetus, joka säätelee henkilötietojen käsittelyä
- Soveltuu myös organisaatioille EU-alueen ulkopuolella, jos ne käsittelevät EU-henkilöiden tietoja
- Vahvistaa yksilön oikeuksia omiin tietoihin
- Velvoittaa organisaatiot noudattamaan läpinäkyvyyttä ja turvallisuutta
- Sakot voivat olla jopa miljoonia euroja
Lue lisää digitaalisesta maailmasta ja tietoturvasta: digitaalinen turvaopas.
