Yleinen tietosuoja-asetus

EU:n yleinen tietosuoja-asetus, 2016/679 (engl. General Data Protection Regulation, GDPR) on Euroopan parlamentin, Euroopan unionin neuvoston ja Euroopan komission yhteinen pyrkimys yhtenäistää tietosuojaa koskeva lainsäädäntö kaikkien Euroopan unionin jäsenmaiden kesken. EU:n sisäisen säätelyn lisäksi se koskee myös tahoja, jotka tallentavat EU:ssa asuvien henkilöiden henkilötietoja Euroopan unionin ulkopuolelle. Yleisen tietosuoja-asetuksen tarkoituksena on ensisijaisesti vahvistaa EU:ssa asuvien henkilöiden oikeuksia omiin henkilötietoihinsa sekä yksinkertaistaa sääntely-ympäristöä niin, että sekä EU:n sisäinen että kansainvälinen liiketoiminta helpottuu.

EU:n yleinen tietosuoja-asetus on annettu 27. huhtikuuta 2016 ja sitä alettiin soveltaa kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018. Toisin kuin direktiivi, se ei edellytä kansallisilta hallituksilta uutta lainsäädäntöä, ja on siten suoraan velvoittava ja sovellettavissa. Yleisellä tietosuoja-asetuksella kumottiin tietosuojadirektiivi (95/46/EY), joka annettiin vuonna 1995.

Rekisteröidyn oikeudet

Tietosuoja-asetuksessa määritellään rekisteröidyn eli luonnollisen henkilön, jota henkilötieto koskee, oikeudet liittyen henkilötietojen käsittelyyn. Asetuksen myötä rekisteröidyllä on oikeus tarkistaa hänestä tallennetut tiedot, saada tieto siitä, miten henkilötiedot on kerätty sekä miten niitä käsitellään ja kenelle niitä annetaan. Lisäksi rekisteröidyllä on oikeus oikaista mahdolliset väärät tiedot sekä poistaa tietonsa rekisteristä. Rekisteröidyllä on oikeus vastustaa henkilötietojen käsittelyä sekä pyytää henkilötietojen käsittelyn rajoittamista. Rekisteröidyllä on myös mahdollisuus siirtää tiedot toiselle organisaatiolle, lisäksi rekisteröidyllä on oikeus olla joutumatta perusteetta automaattisen päätöksenteon kohteeksi.

Vastaavasti asetuksessa säädetään rekisterinpitäjille velvollisuus toimia siten, että edellä esitetyt oikeudet toteutuvat.

Organisaatioiden velvollisuudet

Organisaatio saa käsitellä henkilötietoja, jos käsittelylle on laissa määritelty peruste.

Organisaatiolla on velvollisuus poistaa rekisteröidyn tiedot, mikäli organisaatiolla ei ole laillisia perusteita käsitellä niitä. Laillinen peruste voi olla esimerkiksi rekisteröidyn suostumus, sopimus, lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleinen etu ja julkinen valta tai rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Organisaation on nimitettävä tietosuojavastaava, jos organisaation toimintaan liittyy arkaluonteisten tietojen laajamittaista käsittelyä, ihmisten laajamittaista, säännöllistä tai järjestelmällistä seurantaa tai organisaatio on julkishallinnon toimija.

Rekisterinpitäjällä on velvollisuus ilmoittaa mahdollisista tietoturvaloukkauksista 72 tunnin kuluessa valvontaviranomaiselle.

Valvonta

Suomessa valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.

Euroopan unionin valvontaviranomaisena toimii Euroopan tietosuojavaltuutettu. Euroopan tietosuojavaltuutettu valvoo, että EU:n hallinto käsittelee henkilötietoja sääntöjen mukaisesti. Euroopan tietosuojavaltuutettu käsittelee myös valituksia ja suorittaa tutkimuksia.

Vaikutukset

Ehkä selvemmin käyttäjälle näkyvä asetuksen vaikutus on, että käyttäjältä on pyydettävä aktiivinen suostumus evästeisiin. Aiemmin evästeet hyväksyttiin selaimen asetusten perusteella. Suomessa Traficom on julkaissut parikymmensivuisen ohjeistuksen evästeiden käsittelystä.

GDPR johti siihen että jotkut ulkomaiset sivustot eivät enää hyväksyneet liikennettä EU:n alueelta. Esimerkiksi New York Daily News, Chicago Tribune, LA Times, Orlando Sentinel ja Baltimore Sun, Yahoo! Japan kielsivät verkkosivujensa käytön eurooppalaisilta. Osa sivustoista palasi myöhemmin käytettäväksi.

Asetuksen seurauksena suljettiin jotain pienempiä verkkopalveluja, esimerkiksi keskustelupalstoja, joiden ohjelmistoon ei ollut tarvittavia päivityksiä, kuten legendaarinen JonneWeb.

Joulukuussa 2021 Itävallassa tuomittiin Google Analytics -ohjelmiston käyttö verkkosivuilla laittomaksi (q.w.). Huhtikuussa 2022 Italia kielsi OpenAI:n ChatGPT:n käytön. Google ei ole lainkaan julkaissut omaa Bard-tekoälyohjelmistoaan Euroopassa, vaikka se on saatavissa 180 maassa, minkä arvellaan johtuvan GDPR:sta ja uudesta EU:n valmistelevasta tekoälyä rajoittavasta sääntelystä.

Kritiikkiä

Turun yliopiston valtio-opin professori Matti Wiberg toteaa 2019 julkaistussa tutkimuksessaan, että liian usein luvan kysyminen henkilötietojen tallentamiseen on rituaali, jossa kumpikaan osapuoli ei tiedä, mistä on kysymys. Näin ollen asetuksen vaatimukset eivät täyty.

Lähteet

  1. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex.", 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf
  2. "Directive 95/46/EC"
  3. Blackmer, W.S.: GDPR: Getting Ready for the New EU General Data Protection Regulation Information Law Group. 5 May 2016. InfoLawGroup LLP. Viitattu 22 June 2016.
  4. a b EU:n tietosuoja-asetus Tietosuojavaltuutetun toimisto. Viitattu 23.3.2019.
  5. Arto Ylipartanen ja Ari Andreasson: EU:n yleinen tietosuoja-asetus (GDPR) muuttaa kansalliset käytännöt opitietosuojaa.fi. Viitattu 26.2.2018.
  6. a b Art. 33 GDPR – Notification of a personal data breach to the supervisory authority gdpr-info.eu. Viitattu 21.3.2019. (englanniksi)
  7. Tietoturvaloukkaukset Tietosuojavaltuutetun toimisto. Viitattu 22.3.2019.
  8. Euroopan tietosuojavaltuutettu Euroopan unioni. Viitattu 23.3.2019.
  9. https://myynninmaailma.fi/asiantuntija-artikkelit/verkkopalvelut/evasteet-verkkosivuilla-ja-gdpr-miten-evasteita-hallitaan-oikein/
  10. https://www.sitebuilders.fi/gdpr-ja-evasteet-nettisivuilla/
  11. https://www.yahoo.co.jp/
  12. https://www.bbc.com/news/world-europe-44248448
  13. https://www.bbc.com/news/technology-65139406
  14. https://www.mikrobitti.fi/uutiset/sina-et-voi-kayttaa-googlen-uutta-bard-tekoalya/a0ae16b5-161a-4d31-a6a1-9b13d3c40e6e
  15. Selvitys antaa karun kuvan tietosuojauudistuksesta – Annatko sinäkin riskillä ja summassa suostumuksen tietojesi käyttöön? Yle, 2019

Aiheesta muualla