Yleinen tietosuoja-asetus

Yleinen tietosuoja-asetus
Oikea nimi Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta
Vaikutusalue  Euroopan unioni
Annettu 27. huhtikuuta 2016
Voimassa 25. toukokuuta 2018
Lainsäädäntö
Ehdottaja Euroopan komissio
Käsittelyt Euroopan parlamentti ja Euroopan unionin neuvosto

Yleinen tietosuoja-asetus 2016/679 (engl. General Data Protection Regulation, GDPR) on Euroopan unionin (EU) asetus, jolla pyritään yhtenäistämään tietosuojaa koskeva lainsäädäntö EU:n jäsenvaltioiden kesken. Unionin sisäisen säätelyn lisäksi se koskee myös tahoja, jotka tallentavat EU:ssa asuvien henkilöiden henkilötietoja unionin ulkopuolelle. Yleisen tietosuoja-asetuksen tarkoituksena on ensisijaisesti vahvistaa EU:ssa asuvien henkilöiden oikeuksia omiin henkilötietoihinsa sekä yksinkertaistaa sääntely-ympäristöä niin, että sekä EU:n sisäinen että kansainvälinen liiketoiminta helpottuu.[1]

EU:n yleinen tietosuoja-asetuksen ovat säätäneet Euroopan parlamentti ja Euroopan unionin neuvosto tavallisessa lainsäätämisjärjestyksessä Euroopan komission tammikuussa 2012 antaman lainsäädäntöehdotuksen pohjalta. Asetus allekirjoitettiin 27. huhtikuuta 2016, ja sitä alettiin soveltaa kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018. Toisin kuin direktiivi, se ei edellytä jäsenvaltioiden kansallisilta hallituksilta uutta lainsäädäntöä ja on siten suoraan velvoittava ja sovellettavissa. Yleisellä tietosuoja-asetuksella kumottiin tietosuojadirektiivi 95/46/EY, joka oli annettu vuonna 1995.[2][3]

Rekisteröidyn oikeudet

Tietosuoja-asetuksessa määritellään rekisteröidyn eli luonnollisen henkilön, jota henkilötieto koskee, oikeudet liittyen henkilötietojen käsittelyyn. Asetuksen myötä rekisteröidyllä on oikeus tarkistaa hänestä tallennetut tiedot, saada tieto siitä, miten henkilötiedot on kerätty sekä miten niitä käsitellään ja kenelle niitä annetaan. Lisäksi rekisteröidyllä on oikeus oikaista mahdolliset väärät tiedot sekä poistaa tietonsa rekisteristä. Rekisteröidyllä on oikeus vastustaa henkilötietojen käsittelyä sekä pyytää henkilötietojen käsittelyn rajoittamista. Rekisteröidyllä on myös mahdollisuus siirtää tiedot toiselle organisaatiolle, lisäksi rekisteröidyllä on oikeus olla joutumatta perusteetta automaattisen päätöksenteon kohteeksi.[4]

Vastaavasti asetuksessa säädetään rekisterinpitäjille velvollisuus toimia siten, että edellä esitetyt oikeudet toteutuvat.[5]

Organisaatioiden velvollisuudet

Organisaatio saa käsitellä henkilötietoja, jos käsittelylle on laissa määritelty peruste.

Organisaatiolla on velvollisuus poistaa rekisteröidyn tiedot, mikäli organisaatiolla ei ole laillisia perusteita käsitellä niitä. Laillinen peruste voi olla esimerkiksi rekisteröidyn suostumus, sopimus, lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleinen etu ja julkinen valta tai rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Organisaation on nimitettävä tietosuojavastaava, jos organisaation toimintaan liittyy arkaluonteisten tietojen laajamittaista käsittelyä, ihmisten laajamittaista, säännöllistä tai järjestelmällistä seurantaa tai organisaatio on julkishallinnon toimija.[4]

Rekisterinpitäjällä on velvollisuus ilmoittaa mahdollisista tietoturvaloukkauksista 72 tunnin kuluessa valvontaviranomaiselle.[6]

Valvonta

Suomessa valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.[6][7]

Euroopan unionin valvontaviranomaisena toimii Euroopan tietosuojavaltuutettu. Euroopan tietosuojavaltuutettu valvoo, että EU:n hallinto käsittelee henkilötietoja sääntöjen mukaisesti. Euroopan tietosuojavaltuutettu käsittelee myös valituksia ja suorittaa tutkimuksia.[8]

Vaikutukset

Ehkä selvemmin käyttäjälle näkyvä asetuksen vaikutus on, että käyttäjältä on pyydettävä aktiivinen suostumus evästeisiin. Aiemmin evästeet hyväksyttiin selaimen asetusten perusteella.[9] Suomessa Traficom on julkaissut parikymmensivuisen ohjeistuksen evästeiden käsittelystä.[10]

GDPR johti siihen, että eräät ulkomaiset sivustot eivät enää hyväksyneet liikennettä EU:n alueelta. Esimerkiksi New York Daily News, Chicago Tribune, LA Times, Orlando Sentinel, Baltimore Sun ja Yahoo! Japan[11] kielsivät verkkosivujensa käytön eurooppalaisilta.[12] Osa sivustoista palasi myöhemmin käytettäväksi.

Asetuksen seurauksena suljettiin jotain pienempiä verkkopalveluja, esimerkiksi keskustelupalstoja, joiden ohjelmistoon ei ollut tarvittavia päivityksiä, kuten suomalainen JonneWeb.[13]

Joulukuussa 2021 Itävallassa tuomittiin Google Analytics -ohjelmiston käyttö verkkosivuilla laittomaksi (q.w.). Huhtikuussa 2022 Italia kielsi OpenAI:n ChatGPT:n käytön.[14] Google ei ole lainkaan julkaissut omaa Bard-tekoälyohjelmistoaan Euroopassa, vaikka se on saatavissa 180 maassa, minkä arvellaan johtuvan GDPR:sta sekä EU:n uudesta tekoälysäädöksestä.[15]

Kustannukset taloudelle

Mario Draghin raportin mukaan GDPR-asetus maksaa keskisuurille yrityksille yli miljoona euroa vuodessa, suurille kymmenen miljoonaa, ja vähentää 15-20 prosentilla datan hyödyntämistä. EK:n Jyri Häkämiehen mukaan vähäisempi sääntely on keskeinen syy yhdysvaltalaisyritysten etumatkaan ja siellä innovaatioiden ja bisneksen annetaan ohjata kehitystä: sääntely on yleensä jälkikäteistä. Tämä vaikuttaa siihen, voiko startup-yritys keskittyä ensin innovaationsa kehittämiseen vai pitääkö sen sijaan aloittaa tietosuojajuristien palkkaamisesta.[16]

Kritiikkiä

Turun yliopiston valtio-opin professori Matti Wiberg toteaa 2019 julkaistussa tutkimuksessaan, että liian usein luvan kysyminen henkilötietojen tallentamiseen on rituaali, jossa kumpikaan osapuoli ei tiedä, mistä on kysymys. Näin ollen asetuksen vaatimukset eivät täyty.[17]

Lähteet

  1. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex.", 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf
  2. Directive 95/46/EC of the European Parliament and of the Cou... eur-lex.europa.eu. Viitattu 29.4.2024. (englanniksi)
  3. Blackmer, W.S.: GDPR: Getting Ready for the New EU General Data Protection Regulation Information Law Group. 5 May 2016. InfoLawGroup LLP. Viitattu 22 June 2016.
  4. a b EU:n tietosuoja-asetus Tietosuojavaltuutetun toimisto. Arkistoitu 22.3.2019. Viitattu 23.3.2019.
  5. Arto Ylipartanen ja Ari Andreasson: EU:n yleinen tietosuoja-asetus (GDPR) muuttaa kansalliset käytännöt opitietosuojaa.fi. Viitattu 26.2.2018.
  6. a b Art. 33 GDPR – Notification of a personal data breach to the supervisory authority gdpr-info.eu. Viitattu 21.3.2019. (englanti)
  7. Tietoturvaloukkaukset Tietosuojavaltuutetun toimisto. Viitattu 22.3.2019.
  8. Euroopan tietosuojavaltuutettu Euroopan unioni. Viitattu 23.3.2019.
  9. Teemu: Evästeet verkkosivuilla ja GDPR, lue asiaa evästeistä. Myynninmaailma. 10.11.2021. Viitattu 29.4.2024.
  10. https://www.sitebuilders.fi/gdpr-ja-evasteet-nettisivuilla/
  11. Yahoo! JAPAN Yahoo! JAPAN. 29.4.2024. Viitattu 29.4.2024. (japani)
  12. GDPR: US news sites unavailable to EU users under new rules bbc.com. 25.5.2018. Viitattu 29.4.2024. (englanti)
  13. Jonnewe/b/ www.jonneweb.net. Viitattu 29.4.2024.
  14. https://www.bbc.com/news/technology-65139406
  15. Joakim Kullas: Sinä et voi käyttää Googlen uutta Bard-tekoälyä Mikrobitti. 29.4.2024. Viitattu 29.4.2024.
  16. Liiallinen sääntely estää talouden kasvua Euroopassa Helsingin Sanomat. 21.10.2024.
  17. Selvitys antaa karun kuvan tietosuojauudistuksesta – Annatko sinäkin riskillä ja summassa suostumuksen tietojesi käyttöön? Yle, 2019

Aiheesta muualla

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!