GDPR: EU:n yleinen tietosuoja-asetus - Kännykkä uutiset, arvostelut, arviot, vertailut ja testit
Main menu:
Ajankohtaista
Asetus lisää oikeuksia yksityishenkilöille
GDPR tuli, mikä muuttui suhteessa vanhaan?
Ihmetyttääkö miksi joudut nykyään klikkaamaan joka sivulla jos jonkinlaista rastia? Se johtuu GDPR:stä. Tietosuoja-asetus näyttäytynee vielä monelle todella mystyisenä kokonaisuutena ja osa jopa sekoittanee sen sivustojen SSL-suojaukseen. Tietosuoja-asetus eli GDPR oli varsin laaja kokonaisuus. Jutussa on pyritty kokoamaan relevanteimmat ja oleellissimmat muutokset.
Johdanto GDPR:ään ja asetuksen tarkoitus
EU:n yleinen tietosuoja-asetus eli GDPR hyväksyttiin jo toukokuussa 2016, kahden vuoden siirtymäajalla [1]. Se koskee EU-maita ja lisäksi myös tahoja, jotka tallentavat EU-kansalaisten henkilötietoja EU:n ulkopuolella. Asetus on Euroopan komission, Euroopan parlamentin ja Euroopan unionin neuvoston yhteinen pyrkimys yhtenäistää tietosuojaa koskeva lainsäädäntö kaikkien EU:n jäsenmaiden kesken, ensisijaisesti yksinkertaistaa sääntely-ympäristöä sekä vahvistaa kansalaisten oikeuksia omiin henkilötietoihinsa. Suomen kansallinen lainsäädäntö [2] on jo varsin hyvin EU:n tietosuoja-asetuksen mukainen.
Mikä muuttui suhteessa vanhaan henkilötietolakiin?
Sana ”muutoskokonaisuus” ei tule asetustekstistä, vaan tällä sanalla pyritään jutussa auttamaan lukijaa hahmottamaan asetuksen tuomia muutoksia. Ensimmäinen muutoskokonaisuus vanhaan henkilötietolakiin nähden on, että GDPR tuo lisää oikeuksia yksityishenkilölle [3]. Näkyvin muutos on nettisurffaajalle lienee jo harmittaviksikin käyneet tietosuoja-asetuksen hyväksymisspyynnöt, joita alati joutuu sivustoilla klikkaamaan. Muutos, jota ei ehkä tule ajatelleeksi, on vaikkapa niinkin arkinen, että pizzaa kotiin tilatessa asiakas tietää nyt paremmin, miten hänen ruokatilauksiensa tietoja käsitellään, tallennetaanko näitä tietoja ja millä tavoin. Edellä kerrotun esimerkin tapaus ei lienee komissiolla ollut mielessä asetusta säädettäessä. Uuden asetuksen myötä yksityishenkilöllä on oikeus saada kaikki tallennetut henkilötiedot, tietyillä ehdoilla pyytää oikeutta tulla unohdetuksi (pyytää haltijaa poistamaan kaikki henkilötiedot) ja oikeus kuulla tietosuojarikkomuksista.
Toinen muutoskokonaisuus vanhaan henkilötietolakiin verraten on, että GDPR:n käyttöönottoa tehostetaan tuntuvilla rangaistuksilla [3]. Törkeimmistä väärinkäytöksistä voi joutua maksamaan sakkoa 4% yrityksen globaalista liikevaihdosta tai 20 miljoonaa euroa, joista valitaan korkeampi. Ennen sakkoa toimijalle annetaan varoitus todennäköisestä lainvastaisuudesta, sitten huomautus asetuksen vastaisesta käsittelystä ja vasta lopulta tulee toimenpidemääräys. Sakkoa käytetään kuitenkin vain viimeisenä keinona. Sitä ennen toimijan tulee osoittaa, että on tehnyt kaikkensa asetuksen toteutumisen eteen.
Kolmas muutoskokonaisuutena on, että yritysten tarvitsee jatkossa ottaa huomioon vain yksi henkilötietojen käsittelyyn liittyvä laki [3]. Aikaisemmin EU:n ulkopuoliset yritykset saivat käsitellä dataa vapaammin, mutta nyt asetus on voimassa aina, kun henkilötietojen käsittely tapahtuu Euroopan unionissa. Neljäs muutoskokonaisuus liittyy ”privacy by design” -konseptiin, joka tulee pakolliseksi eri tietojärjestelmiä suunniteltaessa. Tällä konseptilla tarkoitetaan tapaa suunnitella ja kehittää tietojärjestelmiä, joissa tietoturva on järjestelmän ydinvaatimus.
GDPR:SSÄ
ON
ERITYYPPISIÄ
LUVANVA-
RAISUUS-
TASOJA
Luvanvaraisuus on osa viidettä muutoskokonaisuutta. GDPR:ssä on erityyppisiä luvanvaraisuustasoja, joista suostumus, sopimus ja oikeutettu etu ovat yleisimpiä. Luvan pyytäminen pitää olla selkeä ja lupaa kysyessä pitää tehdä selväksi tietojen käyttötarkoitus. Yritykset eivät voi enää ns. kätkeä näitä tietoja loppukäyttäjän lisenssisopimukseen tai verkkosivustolle sijoitettujen lakitekstioiden alle. Luvan peruminen on tehtävä yhtä helpoksi kuin sen antaminenkin ja käsittelykäytänteiden muuttuessa pitää saada uusi lupa.
Jos henkilötietojen käsittelyä suorittaa viranomainen tai julkishallinnon elin [5], on tietosuojavastaavan nimittäminen pakollista. Tietosuojavastaavia näkyy kuitenkin yllättäen olevan jopa parturien ja pizzerioiden nettisivuilla, vaikka se on ilmeisen tarpeetonta asetuksen kannalta, pakollista tietosuojavastaavan nimittäminen on näet vain eräissä poikkeustapauksissa.
Direktiivi ja asetus, mitä nämä ovat?
Kaikki mitä EU tekee, perustuu perussopimuksiin [6]. Direktiivin ja asetuksen erona on tiivistetysti se, että direktiivi tulee saattaa osaksi kansallista lainsäädäntöä, se velvoittaa saavuttamaan tavoitteet ja EU-maa saa päättää itse keinoista. Asetus taasen astuu voimaan heti, sitä ei tarvitse erikseen saattaa osaksi kansallista lainsäädäntöä. Lukijan on ensin hyvä ymmärtää kaksi eri EU:n säädösten tyyppiä. Määräyksen tyyppejä on yhteensä 8, mutta tässä esseesssä käsitellään direktiiviä ja asetusta [7]. Direktiivi on EU-maita velvoittava, mutta joustavuutta direktiivin käsittelyyn tuo se, että maat saavat päättää itse keinoista miten tavoitteisiin päästään; lopulta kuitenkin EU-maiden pitää saavuttaa direktiivissä säädetyt tavoitteet [5]. Direktiivi on saatettava osaksi EU-maiden kansallista lainsäädäntöä. Kansallisten viranomaisten on myös ilmoitettava näistä kansallisista laeista Euroopan komissiolle.
Toinen
EU:n säädösten tyyppi on asetus. Asetukset ovat säädöksiä ja
niitä sovelletaan yhtälaisesti ja automaattisesti kaikissa Euroopan
Unionin jäsenmaissa heti niiden tultua voimaan. Asetukset sitovat
kaikkia EU-maita koko laajudessaan ja niitä ei tarvitse erikseen
saattaa osaksi kansallista lainsäädäntöä.
DIREKTIIVILLÄ
JA ASETUKSELLA
ON EROA
Lähdeluettelo
[1]
Wikipedia. 2019, Yleinen tietosuoja-asetus. Tulostettu 30.4.2019
https://fi.wikipedia.org/wiki/Yleinen_tietosuoja-asetus
[2]
CentriaBulletin. 2019, GDPR – mikä muuttuu? Tulostettu 1.5.2019
https://centriabulletin.fi/gdpr-mika-muuttuu/
[3]
Dagmar. 2019, GDPR-perusteet. Tulostettu 1.5.2019
https://www.dagmar.fi/digitaalinen-markkinointi/gdpr-perusteet-markkinoijalle-katso-mika-muuttuu-uuden-tietosuojauudistuksen-myota/
[4]
Tietosuojavaltuutetun toimisto. 15.12.2018.
[5]
Tietosuojavaltuutetun toimisto, 2019, Tietosuojavastaavat UKK.
Tulostettu 30.4.2019
https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavat+UKK+fi.pdf/006f8dcb-540a-403e-a29d-b8a4b7c4814f/Tietosuojavastaavat+UKK+fi.pdf.pdf/Tietosuojavastaavat+UKK+fi.pdf.pdf
[6]
Euroopan Unioni. 2019, EU-lainsäädännön tyypit. Tulostettu
1.5.2019
https://ec.europa.eu/info/law/law-making-process/types-eu-law_fi
[7]Selko.fi.
2019, EU:n päätökset, asetukset ja direktiivit. Tulostettu
1.5.2019.
https://selko.fi/artikkelit/eun-paatokset-asetukset-ja-direktiivit/asetus-direktiivi-ja-paatos/
Kommentoi
