Luvut 01 Voimassa: 25. toukokuuta 2018

GDPR

Yleinen tietosuoja-asetus

Yleiskatsaus

Yleinen tietosuoja-asetus (GDPR) on EU:n tietosuojalainsäädännön kulmakivi. Se korvasi tietosuojadirektiivin 95/46/EY ja vahvisti merkittävästi yksilöiden oikeuksia heidän henkilötietoihinsa samalla kun se asetti kattavat velvoitteet rekisterinpitäjille ja käsittelijöille.[1]

GDPR koskee kaikkia organisaatioita, jotka käsittelevät EU:n alueella olevien henkilöiden henkilötietoja riippumatta siitä, missä organisaatio on perustettu. Tämä alueellinen ulottuvuus on tehnyt GDPR:stä käytännössä globaalin tietosuojastandardin.[2]

Kuka on velvollinen noudattamaan

  • Rekisterinpitäjät: Organisaatiot, jotka määrittelevät henkilötietojen käsittelyn tarkoitukset ja keinot
  • Käsittelijät: Organisaatiot, jotka käsittelevät henkilötietoja rekisterinpitäjien puolesta
  • EU:n ulkopuoliset tahot: Kaikki organisaatiot, jotka tarjoavat tavaroita/palveluita EU:n asukkaille tai seuraavat heidän käyttäytymistään
  • Kaikki toimialat: Soveltuu kaikilla toimialoilla, lukuun ottamatta rajoituksia lainvalvonnassa ja kansallisessa turvallisuudessa

Tärkeimmät vaatimukset kehittäjille

Käsittelyn laillinen peruste

Jokaisella käsittelytoimella on oltava voimassa oleva laillinen peruste 6 artiklan mukaisesti:[3]

  1. Suostumus: Vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen
  2. Sopimus: Tarpeellinen sopimuksen täytäntöönpanemiseksi rekisteröidyn kanssa
  3. Laillinen velvoite: EU:n tai jäsenvaltion lain edellyttämä
  4. Elintärkeät edut: Rekisteröidyn tai toisen henkilön hengen suojaamiseksi
  5. Julkinen etu: Tarpeellinen julkisen tehtävän tai viranomaisvallan käyttämiseksi
  6. Oikeutetut edut: Tasapainotettu rekisteröidyn oikeuksia vastaan (ei sovellu viranomaisille)

Tekniset vaatimukset

  • Tietojen minimointi: Kerää vain tarpeellinen määrä määriteltyyn tarkoitukseen
  • Säilytyksen rajoittaminen: Säilytä henkilötietoja vain niin kauan kuin on tarpeen
  • Ehjyys ja luottamuksellisuus: Toteuta asianmukaiset turvatoimet
  • Tietosuoja suunnittelusta lähtien ja oletuksena: Sisällytä tietosuoja järjestelmiin alusta alkaen (25 artikla)[4]

Rekisteröidyn oikeudet

Sovellusten on tuettava seuraavia oikeuksia:

OikeusKuvausVastausaika
Pääsy (15 artikla)Toimita kopio henkilötiedoista ja käsittelytiedoista1 kuukausi
Oikaisu (16 artikla)Korjaa virheelliset henkilötiedotViipymättä
Poisto (17 artikla)Poista tiedot, kun niitä ei enää tarvitaViipymättä
Rajoittaminen (18 artikla)Rajoita käsittelyä tietyissä tilanteissaViipymättä
Siirrettävyys (20 artikla)Toimita tiedot koneellisesti luettavassa muodossa1 kuukausi
Vastustaminen (21 artikla)Vastusta käsittelyä oikeutettujen etujen perusteellaViipymättä

Tietoturvaloukkausten ilmoittaminen

  • Valvontaviranomaiselle: 72 tunnin kuluessa tiedon saamisesta (33 artikla)[5]
  • Rekisteröidyille: Viipymättä, kun on suuri riski oikeuksille ja vapauksille (34 artikla)
  • Dokumentointi: Pidä kirjaa kaikista loukkauksista riippumatta ilmoitusvelvollisuudesta

Rangaistukset

GDPR asettaa porrastetun rangaistusjärjestelmän:

  • Alempi taso: Enintään 10 miljoonaa euroa tai 2 % vuosittaisesta maailmanlaajuisesta liikevaihdosta, kumpi on suurempi
  • Ylempi taso: Enintään 20 miljoonaa euroa tai 4 % vuosittaisesta maailmanlaajuisesta liikevaihdosta, kumpi on suurempi[6]

Suurimmat sakot ovat olleet:

  • Amazon (Luxembourg, 2021): 746 miljoonaa euroa
  • Meta/Facebook (Irlanti, 2023): 1,2 miljardia euroa
  • Google (Ranska, 2022): 90 miljoonaa euroa

Toteutuksen tarkistuslista

  • Tunnista kaikki henkilötietojen käsittelytoimet
  • Määritä laillinen peruste jokaiselle käsittelylle
  • Ota käyttöön suostumuksen hallinta tarvittaessa
  • Laadi tietosuojaselosteet, jotka täyttävät läpinäkyvyysvaatimukset
  • Rakenna mekanismit rekisteröidyn pyyntöjen käsittelyyn
  • Toteuta asianmukaiset turvatoimet
  • Perusta loukkausten havaitsemis- ja ilmoitusmenettelyt
  • Suorita tietosuojavaikutusten arvioinnit korkean riskin käsittelyissä
  • Nimeä tietosuojavastaava, jos tarpeen
  • Pidä kirjaa käsittelytoimista (RoPA)

Lähteet ja viitteet

[1]
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679. EUR-Lex: GDPR:n virallinen teksti
[2]
GDPR:n alueellinen soveltamisala, 3 artikla. GDPR.eu: Alueellinen soveltamisala
[3]
Käsittelyn lainmukaisuus, 6 artikla. GDPR-Info: 6 artikla
[4]
Tietosuoja suunnittelusta lähtien ja oletuksena, 25 artikla. GDPR-Info: 25 artikla
[5]
Henkilötietojen tietoturvaloukkauksen ilmoittaminen, 33 artikla. GDPR-Info: 33 artikla
[6]
Hallinnolliset sakot, 83 artikla. GDPR-Info: 83 artikla