Käytämme evästeitä käyttökokemuksesi parantamiseen verkkosivuillamme. Lisätietoja how we use cookies and how you can change your settings.

Yleinen tietosuoja-asetus

Infografiikka – Infografiikka – tietosuoja-asetus

Tietosuoja-asetuksessa vahvistetaan yksilön oikeudet ja tietojen käsittelijän ja tietojenkäsittelystä vastaavan velvollisuudet

Yleinen tietosuoja-asetus on keskeinen osa komission ehdottamaa pakettia. Ehdotuksella päivitetään ja nykyaikaistetaan vuoden 1995 tietosuojadirektiivin periaatteet. Siinä vahvistetaan yksilön oikeudet ja tietojen käsittelijän ja tietojenkäsittelystä vastaavan velvollisuudet. Siinä myös vahvistetaan menetelmät, joilla varmistetaan sääntöjen noudattaminen, sekä sääntöjen rikkomisesta aiheutuvat seuraamukset.

Neuvosto ja Euroopan parlamentti pääsivät asetusehdotuksesta yhteisymmärrykseen joulukuussa 2015.

Neuvosto vahvisti ensimmäisen käsittelyn kantansa 8. huhtikuuta 2016. Euroopan parlamentti hyväksyi asetusehdotuksen 14. huhtikuuta 2016.

Tarkempia tietoja

Asetuksella puututaan moniin peruskysymyksiin.

Rekisteröidyn oikeudet

Asetuksessa luetellaan rekisteröidyn eli henkilötietojen käsittelyn kohteena olevan henkilön oikeudet. Näiden entistä vahvempien oikeuksien myötä henkilöillä on paremmat mahdollisuudet hallita henkilötietojaan muun muassa, koska

  • henkilötietojen käsittelyyn tarvitaan henkilön selvä suostumus
  • rekisteröidyllä on paremmat mahdollisuudet tutustua omiin henkilötietoihinsa
  • rekisteröidyllä on oikeus saada korjattua mahdolliset virheelliset henkilötiedot tai poistaa ne, ja oikeus "tulla unohdetuksi"
  • rekisteröidyllä on oikeus vastustaa esimerkiksi henkilötietojen käyttöä profilointiin
  • rekisteröidyllä on oikeus siirtää tietoja palveluntarjoajalta toiselle

Lisäksi asetuksessa säädetään rekisterinpitäjien (eli tietojenkäsittelystä vastaavien) velvollisuudesta antaa rekisteröidyille avoimia ja helposti saatavia tietoja heidän tietojensa käsittelystä.

Asetuksen noudattaminen

Asetuksessa määritellään rekisterinpitäjien velvollisuudet ja niiden puolesta henkilötietoja käsittelevien (tietojenkäsittelijöiden) yleiset velvollisuudet. Niihin kuuluu velvollisuus toteuttaa asianmukaisia tietosuojatoimenpiteitä sen mukaan, miten suuri riski tietojenkäsittelyyn liittyy (riskiperusteinen lähestymistapa). Rekisterinpitäjien velvollisuus on tietyissä tapauksissa myös ilmoittaa henkilötietojen tietoturvaloukkauksista. Kaikkien julkisten viranomaisten ja tiettyjä riskialttiita tietojenkäsittelytoimia toteuttavien yritysten on myös nimettävä tietosuojavastaava.

Seuranta ja korvaukset

Asetusehdotuksessa vahvistetaan jäsenvaltioiden nykyinen velvollisuus nimetä kansallisen tason riippumaton valvontaviranomainen. Lisäksi sillä pyritään ottamaan käyttöön mekanismeja, joilla tietosuojalainsäädännön soveltamisesta tehdään johdonmukaisempaa kaikkialla EU:ssa. Etenkin merkittävissä rajatylittävissä tapauksissa, joihin osallistuu useita kansallisia valvontaviranomaisia, tehdään yksi valvontapäätös. Tämä yhden yhteyspisteen periaate merkitsee sitä, että yrityksen, jolla on toimipisteitä useissa jäsenvaltioissa, on oltava yhteydessä ainoastaan sen jäsenvaltion tietosuojaviranomaiseen, jossa sen päätoimipaikka sijaitsee.

Asetusehdotukseen sisältyy Euroopan tietosuojaneuvoston perustaminen. Tietosuojaneuvostossa olisi edustaja kaikista 28 riippumattomasta valvontaviranomaisesta, ja se korvaisi nykyisen 29 artiklan mukaisen komitean.

Asetuksessa tunnustetaan rekisteröidyn oikeus tehdä valitus valvontaviranomaiselle samoin kuin rekisteröidyn oikeus käyttää oikeussuojakeinoja ja saada korvausta. Siinä säädetään myös vastuusta. Läheisyyden varmistamiseksi henkilöillä, joita päätökset koskevat, on oikeus tarkistuttaa tietosuojaviranomaisen päätös kansallisessa tuomioistuimessa riippumatta siitä, mihin jäsenvaltioon rekisterinpitäjä on sijoittautunut.

Siinä säädetään erittäin vakavista seuraamuksista rekisterinpitäjille tai tietojenkäsittelijöille, jotka rikkovat tietosuojasääntöjä. Rekisterinpitäjille voidaan määrätä sakkoa, joka on enintään 20 milj. € tai 4% näiden vuotuisesta kokonaisliikevaihdosta. Näitä hallinnollisia seuraamuksia määräävät kansalliset tietosuojaviranomaiset.

Tiedonsiirrot kolmansiin maihin

Asetusehdotus kattaa myös henkilötietojen siirron kolmansiin maihin ja kansainvälisille järjestöille. Tältä osin komissio saisi oikeuden arvioida suojan tasoa kolmannen maan alueella tai tietojenkäsittelyn sektorilla. Jos komissio ei ole tehnyt päätöstä tietosuojan tason riittävyydestä jollain alueella tai sektorilla, henkilötietoja voidaan silti siirtää erityistapauksissa tai kun on olemassa riittävät takeet (tietosuojaa koskevat vakiolausekkeet, yritystä koskevat sitovat säännöt tai sopimuslausekkeet).