Henkilötietojen suojaaminen

Kansalaisten oikeudet

Yleisellä tietosuoja-asetuksella vahvistetaan olemassa olevia oikeuksia, otetaan käyttöön uusia oikeuksia ja autetaan kansalaisia hallitsemaan paremmin henkilötietojaan. Kansalaisten oikeuksia ovat muun muassa

  • helpompi pääsy tietoihin — esimerkiksi enemmän tietoa siitä, miten kyseisiä tietoja käsitellään, ja sen varmistaminen, että tiedot annetaan selkeässä ja ymmärrettävässä muodossa
  • oikeus siirtää tiedot järjestelmästä toiseen — henkilötiedot on entistä helpompi siirtää palveluntarjoajalta toiselle
  • selkeämpi oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”) — kun henkilö ei enää halua, että hänen tietojaan käsitellään, tiedot poistetaan, paitsi jos on olemassa jokin laillinen peruste säilyttää ne
  • oikeus saada tietoa henkilötietojen tietoturvaloukkauksesta — yritysten ja organisaatioiden on ilmoitettava henkilölle viipymättä vakavista tietoturvaloukkauksista. Niiden on myös ilmoitettava asiasta asianmukaiselle tietosuojavalvontaviranomaiselle.

Yrityksiä koskevat säännöt

Yleisen tietosuoja-asetuksen tarkoituksena on luoda liiketoimintamahdollisuuksia ja edistää innovointia muun muassa seuraavin keinoin:

  • yhteiset EU:n laajuiset säännöt — yhteisestä EU:n laajuisesta tietoturvalainsäädännöstä arvioidaan kertyvän 2,3 miljardin euron säästöt vuodessa
  • viranomaisten ja laajamittaisesti tietoja käsittelevien yritysten nimeämä tietosuojavaltuutettu, joka vastaa tietosuojasta
  • yhden luukun periaate — yritysten tarvitsee ottaa yhteyttä vain yhteen tietosuojaviranomaiseen (siinä EU-maassa, jossa ne pääasiallisesti sijaitsevat)
  • EU-säännöt, jotka koskevat EU:n ulkopuolelle sijoittautuneita yrityksiä — Euroopan ulkopuolelle sijoittautuneiden yritysten on sovellettava samoja sääntöjä, kun ne tarjoavat tavaroita tai palveluja tai seuraavat henkilöiden käyttäytymistä EU:ssa
  • innovaatioille suotuisat säännöt — tietosuojatakeet otetaan huomioon tuotteissa ja palveluissa jo suunnitteluvaiheessa (sisäänrakennettu ja oletusarvoinen tietosuoja)
  • yksityisyydensuojaa parantavat tekniikat, kuten pseudonymisoiminen (kun tietojen tunnistuskentistä korvataan yksi tai useampi keinotekoisilla tunnisteilla) ja salaus (kun tiedot koodataan niin, että vain valtuutetut osapuolet voivat lukea niitä)
  • ilmoitusten poistaminen — uusissa tietosuojasäännöissä poistetaan suurin osa ilmoitusvelvollisuuksista ja niihin liittyvistä kuluista. Yksi tietosuoja-asetuksen tavoitteista on poistaa henkilötietojen vapaan liikkuvuuden esteitä EU:n sisällä. Tämä helpottaa yritysten laajenemista
  • vaikutustenarvioinnit — yritysten on tehtävä vaikutustenarviointeja, jos tietojenkäsittely voi aiheuttaa henkilön oikeuksien ja vapauksien kannalta korkean riskin
  • tietojen kirjaaminen — pk-yrityksiä ei vaadita pitämään kirjaa käsittelytoimistaan, paitsi jos tietojen käsittely voi aiheuttaa henkilön oikeuksien ja vapauksien kannalta korkean riskin.