Yleinen tietosuoja-asetus
EU:n yleisessä tietosuoja-asetuksessa säädetään yksilöiden henkilötietojen käsittelystä EU:ssa ja siirrosta EU:n ulkopuolisiin maihin.
Mikä on yleinen tietosuoja-asetus?
EU:n yleinen tietosuoja-asetus on maailman tiukin yksityisyyttä ja turvallisuutta säätelevä laki.
Tietosuoja-asetuksella päivitettiin ja nykyaikaistettiin vuoden 1995 tietosuojadirektiivin periaatteet. Se hyväksyttiin vuonna 2016, ja sitä alettiin soveltaa 25. toukokuuta 2018.
Yleisessä tietosuoja-asetuksessa määritellään
- yksilöiden perusoikeudet digiaikana
- tietojenkäsittelystä vastaavien velvollisuudet
- menetelmät vaatimusten noudattamisen varmistamiseksi
- sääntöjä rikkoneille määrättävät seuraamukset
Yksilöiden oikeudet
Tietosuoja-asetuksessa luetellaan rekisteröidyn eli henkilötietojen käsittelyn kohteena olevan henkilön oikeudet. Näiden entistä vahvempien oikeuksien myötä ihmisillä on paremmat mahdollisuudet hallita henkilötietojaan muun muassa, koska
- henkilötietojen käsittelyyn tarvitaan henkilön selvä suostumus
- rekisteröidyllä on parempi pääsy omiin henkilötietoihinsa
- rekisteröidyllä on oikeus saada korjattua mahdolliset virheelliset henkilötiedot tai poistaa ne ja oikeus "tulla unohdetuksi"
- rekisteröidyllä on oikeus vastustaa esimerkiksi henkilötietojen käyttöä profilointiin
- rekisteröidyllä on oikeus siirtää tietoja palveluntarjoajalta toiselle
Tietosuoja-asetuksessa vahvistetaan yksilöiden oikeudet sekä tietojen käsittelijöiden ja käsittelystä vastaavien velvollisuudet.
Yritysten ja organisaatioiden velvollisuudet
Tietosuoja-asetuksessa määritellään rekisterinpitäjien ja niiden puolesta henkilötietoja käsittelevien (tietojenkäsittelijöiden) yleiset velvollisuudet.
Niihin kuuluu velvollisuus toteuttaa asianmukaisia tietosuojatoimia sen mukaan, miten suuri riski tietojenkäsittelyyn liittyy.
Tietyissä tapauksissa rekisterinpitäjien on myös ilmoitettava henkilötietojen tietoturvaloukkauksista. Kaikkien julkisten viranomaisten ja tiettyjä riskialttiita tietojenkäsittelytoimia toteuttavien yritysten on myös nimettävä tietosuojavastaava.
Tietosuojasääntöjen soveltaminen
Tietosuoja-asetuksessa vahvistetaan jäsenmaiden velvoite perustaa riippumaton valvontaviranomainen kansallisella tasolla ja luodaan mekanismi, jolla varmistetaan tietosuojalainsäädännön yhdenmukainen soveltaminen kaikkialla EU:ssa.
Asetuksessa säädetään, että rajatylittävissä tapauksissa, joissa on mukana useita kansallisia valvontaviranomaisia, tehdään vain yksi valvontapäätös. Tämä yhden yhteyspisteen periaate merkitsee sitä, että jos yrityksellä on toimipisteitä useissa jäsenmaissa, sen on oltava yhteydessä ainoastaan sen jäsenmaan tietosuojaviranomaiseen, jossa sen päätoimipaikka sijaitsee.
Euroopan tietosuojaneuvosto varmistaa, että yleistä tietosuoja-asetusta sovelletaan kaikilta osin ja johdonmukaisesti. Tietosuojaneuvosto koostuu kaikkien 27 jäsenmaan riippumattomien valvontaviranomaisten edustajista.
Neuvosto hyväksyi 17. marraskuuta 2025 EU-lain, jonka on määrä tulla voimaan vuonna 2026. Se nopeuttaa ja tehostaa kansallisten tietosuojaviranomaisten välistä yhteistyötä käsiteltäessä yleisen tietosuoja-asetuksen mukaisia rajatylittäviä valituksia, jotka koskevat useita EU-maita. Säännöillä yksinkertaistetaan hallinnollisia menettelyjä ja pyritään varmistamaan
- rajatylittävien valitusten nopea käsittely ja parempi yhteistyö
- valituksen tekijöiden ja valituksen osapuolten oikeuksien tarkastelu
Tietosuoja-asetuksessa säädetään vakavista seuraamuksista rekisterinpitäjille tai tietojenkäsittelijöille, jotka rikkovat tietosuojasääntöjä. Rekisterinpitäjille voidaan määrätä sakko, joka voi olla jopa 20 milj. € tai 4% näiden vuotuisesta kokonaisliikevaihdosta.
Lisäksi yksityishenkilöt voivat tehdä kantelun valvontaviranomaiselle, ja heillä on oikeus oikeussuojakeinoihin ja vahingonkorvaukseen. Heillä on oikeus tarkistuttaa tietosuojaviranomaisen päätös kansallisessa tuomioistuimessa riippumatta siitä, mihin jäsenmaahan rekisterinpitäjä on sijoittautunut.
Tietojen siirtäminen EU:n ulkopuolisiin maihin
Tietosuoja-asetus kattaa myös henkilötietojen siirron EU:n ulkopuolisiin maihin ja kansainvälisille järjestöille. Euroopan komissio arvioi suojan tasoa tietyllä EU:n ulkopuolisen maan alueella tai tietojenkäsittelyn sektorilla.
Jos komissio ei ole tehnyt päätöstä tietosuojan tason riittävyydestä jollain alueella tai sektorilla, henkilötietoja voidaan silti siirtää erityistapauksissa tai kun käytössä on asianmukaiset turvatoimet.
Katso myös
Tietosuoja EU:ssa
Tietosuoja lainvalvonnassa
Päivitetty viimeksi: 22. toukokuuta 2026