GDPR

GDPR

GDPR:n määritelmä

GDPR tarkoittaa yleistä tietosuoja-asetusta. Se on kattava tietosuojalaki, joka otettiin käyttöön 25. toukokuuta 2018 sääntelemään, kuinka yritykset ja organisaatiot käsittelevät yksilöiden henkilötietoja Euroopan unionin (EU) ja Euroopan talousalueen (ETA) sisällä. GDPR:n ensisijainen tavoite on antaa yksilöille hallinta omiin henkilötietoihinsa ja yksinkertaistaa sääntely-ympäristöä yrityksille, jotka toimivat EU:ssa ja ETA:ssa.

Keskeiset käsitteet ja vaatimukset

GDPR sisältää useita keskeisiä käsitteitä ja vaatimuksia, joita organisaatioiden on noudatettava varmistaakseen vaatimustenmukaisuuden. Näitä ovat muun muassa:

Lailliset, Läpinäkyvät ja Erityiset Tarkoitukset

GDPR:n mukaan henkilötietoja voidaan käsitellä vain laillisesti, läpinäkyvästi ja erityisiin tarkoituksiin. Organisaatioilla on oltava laillinen peruste henkilötietojen käsittelyyn, kuten sopimuksen täytäntöönpanon tarpeellisuus, lainmukaisen velvoitteen noudattaminen, elintärkeiden etujen suojaaminen, suostumus, yleisen edun mukaisen tehtävän suorittaminen tai viranomaisen toimivallan käyttäminen sekä rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen.

Suostumus

Suostumus on olennainen osa GDPR:ää. Organisaatioiden on hankittava selkeä ja yksiselitteinen suostumus yksilöiltä ennen heidän henkilötietojensa keräämistä. Suostumuksen on oltava vapaasti annettu, erityinen, tietoon perustuva ja yksiselitteinen. Yksilöille on annettava selkeää tietoa tietojen käsittelyn tarkoituksesta, henkilötietojen kategorioista, tietojen vastaanottajista, säilytysajasta ja heidän oikeuksistaan. Yksilöiden on oltava yhtä helppoa peruuttaa suostumus kuin antaa se.

Yksilön oikeudet

GDPR antaa yksilöille erilaisia oikeuksia heidän henkilötietoihinsa liittyen. Näitä oikeuksia ovat muun muassa:

• Oikeus Tietojen Käyttöön: Yksilöillä on oikeus pyytää pääsyä organisaatioiden hallussa oleviin henkilötietoihinsa.
• Oikeus Tietojen Siirrettävyyteen: Yksilöillä on oikeus saada henkilötietonsa jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja siirtää ne toiselle organisaatiolle.
• Oikeus Poistaa Tiedot: Tunnetaan myös nimellä "oikeus tulla unohdetuksi", yksilöillä on oikeus pyytää henkilötietojensa poistamista, kun ne eivät ole enää tarpeen siihen tarkoitukseen, jota varten ne kerättiin, kun yksilö peruuttaa suostumuksen tai kun tietojen käsittely on lainvastaista.
• Oikeus Oikaista: Yksilöillä on oikeus pyytää epätarkkojen tai puutteellisten henkilötietojen oikaisemista.

Tietoturvaloukkauksen Ilmoittaminen

GDPR edellyttää, että organisaatiot ilmoittavat tietoturvaviranomaisille tietoturvaloukkauksista viipymättä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun he tulevat tietoisiksi loukkauksesta. Jos loukkaus todennäköisesti aiheuttaa korkean riskin yksilöiden oikeuksille ja vapauksille, organisaation on ilmoitettava suoraan myös asianomaisille yksilöille.

Vaatimustenmukaisuus ja Täytäntöönpano

Organisaatioiden, jotka kuuluvat GDPR:n soveltamisalaan, on varmistettava noudattavansa sen säännöksiä välttääkseen sanktiot ja mahdolliset mainehaitat. Tässä muutamia toimenpiteitä, joita organisaatiot voivat tehdä varmistaakseen GDPR:n noudattamisen:

• Ymmärrä Vaatimukset: Organisaatioiden tulisi perehtyä GDPR:n vaatimuksiin ja arvioida, miten ne koskevat heidän erityisiä olosuhteitaan. Tämä voi sisältää tietovaraston inventointia, tietojen käsittelytoimintojen arviointia ja tarpeellisten käytäntöjen ja menettelyjen toteuttamista.
• Saa Suostumus: Organisaatioiden tulisi varmistaa, että heillä on selkeä suostumus yksilöiltä ennen heidän henkilötietojensa keräämistä. Suostumus tulisi saada tavalla, joka on helposti ymmärrettävä ja erillään muista ehdoista ja edellytyksistä.
• Data Protection Officer (DPO): Tietosuojavastaavan nimeäminen voi auttaa varmistamaan GDPR:n noudattamisen. DPO on organisaation sisällä nimetty henkilö, joka valvoo tietosuojatoimintoja ja toimii yhteyshenkilönä rekisteröidyille ja valvontaviranomaisille.
• Privacy by Design: Organisaatioiden tulisi sisällyttää Privacy by Design -periaate prosesseihinsa ja järjestelmiinsä. Tämä tarkoittaa yksityisyyden ja tietosuojan huomioon ottamista tuotteiden, palveluiden ja liiketoimintakäytäntöjen suunnittelun ja kehittämisen alkuvaiheista lähtien.
• Vahvat Turvatoimet: Tehokkaiden turvatoimien, kuten salauksen, käyttöoikeusvalvonnan ja säännöllisten tietoturvatarkastusten, toteuttaminen voi auttaa suojaamaan henkilötietoja luvattomalta käytöltä, paljastamiselta ja tuhoutumiselta.

Viimeisimmät Kehitykset ja Kiistat

Implementointinsa jälkeen GDPR:llä on ollut merkittävä vaikutus tietosuojaan ja -turvaan. Säädös on inspiroinut muita maita ja alueita ottamaan käyttöön samankaltaisia lakeja, kuten California Consumer Privacy Act (CCPA) Yhdysvalloissa.

Yksi keskeisistä jatkuvista kiistoista GDPR:n ympärillä on sen täytäntöönpano ja seuraamukset lain rikkomisesta. GDPR sallii valvontaviranomaisten määrätä sakkoja jopa 20 miljoonaan euroon tai 4 %:iin maailmanlaajuisesta vuotuisesta liikevaihdosta edellisen tilikauden aikana, kumpi on suurempi, vakavista rikkomuksista. Kuitenkin jotkut kriitikot väittävät, että sakkoja on sovellettu suhteettomasti, erityisesti pienempiin yrityksiin.

Toinen keskustelualue on tasapainottelu tietosuojan ja innovoinnin välillä. Jotkut väittävät, että GDPR estää innovointia ja asettaa raskaita vaatimustenmukaisuusvelvoitteita yrityksille, kun taas toiset väittävät, että se on välttämätöntä yksilöiden perusoikeuksien suojaamiseksi ja luottamuksen ylläpitämiseksi digitaalitaloudessa.

Asiaan liittyvät Termit

• Data Protection Officer (DPO): Henkilö, joka on nimetty valvomaan GDPR-vaatimusten noudattamista organisaatiossa.
• Privacy by Design: Periaate, jossa yksityisyys ja tietosuoja huomioidaan IT-järjestelmien ja liiketoimintakäytäntöjen suunnittelussa ja toiminnassa.