�ݺ�ߣ

GDPR, GDPR, vaan mikä se on se GDPR
Jyrki J.J. Kasvi

Mikä on EU:n asetus?
 Euroopan unionin asetus on EU:n vahvin lainsäädäntöväline:
 Asetus tulee sellaisenaan voimaan kaikissa Unionin jäsenmaissa heti kun se on
julkaistu EU:n virallisessa lehdessä
 GDPR hyväksyttiin 14.4.2016 ja astuu voimaan 25.5.2018
 Asetus kumoaa sen kanssa ristiriidassa olevat kansalliset lait
 Asetuksen kanssa ristiriitaisia lakeja ei saa säätää
 Toisin kuin Euroopan Unionin direktiivi, asetusta ei voi sovittaa
osaksi jäsenmaiden omaa lainsäädäntöä
 GDPR on siis sitova ja tulee heti voimaan sellaisenaan ilman
kansallista soveltamista
 Siirtymäaikaa on ollut kaksi vuotta, ei tule yllätyksenä kenellekään
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 2

Mikä on EU:n yleinen tietosuoja-asetus?
 GDPR (General Data Protection Regulation)
 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten
henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta
liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)
 Säätelee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa
 ei koske luonnollisen henkilön henkilökohtaista henkilötietojen käsittelyä, joka ei
liity ammatilliseen tai kaupalliseen toimintaan
 ei koske kansallista turvallisuutta koskevaa henkilötietojen käsittelyä
 Tavoitteena parantaa luottamusta sähköisiin palveluihin ja
edistää EU:n digitaalista sisämarkkinoiden kehittämistä.
 Tavoitteena varmistaa ihmisten omien henkilötietojen suojaa
 Monet asetuksen velvoitteet sisältyvät jo nyt henkilötietolakiin

Miksi EU tarttunut tietoturvassa asetus-lekaan?

Mikä on henkilötieto?
 GDPR:n henkilötiedon määritelmä vanhaa henkilötietolakia
täsmällisempi
 Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai
tunnistettavissa olevaan henkilöön liittyviä tietoja
 Tunnistettavissa olevan henkilön henkilöllisyys voidaan suoraan tai epäsuorasti
tunnistaa tietojen perusteella (esim. sijaintitiedot, teletunnisteet, geenitiedot,
valokuvat, potilastiedot, …)
 Kansallinen tietosuojaviranomainen on toimivaltainen
rekisterinpitäjän päätoimipaikan perusteella
 Kansallisten tietosuojaviranomaisten yhteistyötä varten ns. yhdenmukaisuus-
mekanismi (Euroopan tietosuojaneuvosto EDPB) ja yhden luukun mekanismi.
 Euroopan tietosuojaneuvosto voi antaa sitovia päätöksiä tietosuoja-asetuksen
soveltamisesta

Henkilötietojen käsittelyn rajat
 Henkilötietojen kerääminen on sidonnainen käyttötarkoitukseen
 Kerättyä tietoa ei saa käyttää myöhemmin tarkoitukseen, jolla ei ole
sidonnaisuutta niiden alkuperäiseen käyttötarkoitukseen.
 Henkilötietoja saa käsitellä vain kun
 Rekisteröity henkilö on antanut suostumuksensa henkilötietojensa käsittelyyn
tiettyä tarkoitusta varten tai se perustuu rekisteröidyn kanssa tehtyyn
sopimukseen
 välttämätöntä rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi
 tarpeen rekisterinpitäjän lakisääteisen velvoitteen suorittamiseksi tai julkisen
vallan käyttämiseksi tai yleistä etua koskevan tehtävän suorittamiseksi
 tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen
toteuttamiseksi (rekisteröidyn edut, perusoikeudet ja –vapaudet huomioiden)

Lisää rajoja
 Henkilötiedot, joita ei saa käsitellä ilman eri perustetta
 Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen
vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen ja suuntautuminen
 Geneettiset tai biometriset tiedot, joista henkilö voidaan tunnistaa
 Terveyttä koskevat tiedot
 Henkilötietoja voi siirtää ETA-alueen ulkopuolelle vain
asetuksessa vahvistetuin edellytyksin
 Siirrot Yhdysvaltoihin erillisen tietosuojasopimuksen eli ns. Privacy Shield -
sopimuksen turvin.

Rekisteröidyn henkilön oikeudet
 Tiedonsaantioikeus omista henkilötiedoista
 Rekisteröidyllä oltava pyynnöstä pääsy hänestä kerättyihin tietoihin
 Tiedot sähköisesti käsitellyistä henkilötiedoista on toimitettava jäsennellyssä,
yleisesti käytetyssä ja koneellisesti luettavassa muodossa
 Tiedonsaantioikeus omien henkilötietojen käsittelystä
 Tiedonsaantioikeus koskee myös henkilötietojen käsittelyä (helppotajuisesti ja
läpinäkyvästi, kuka käsitellyt, mitä tietoja, milloin, …)
 Rekisterinpitäjän on myös pyynnöstä ilmoitettava, keille tietoja on luovutettu.
 Oikeus saada itseään koskevat tiedot oikaistua
 Oikeus siirtää itseään koskevat tiedot toiselle rekisterinpitäjälle
 Rekisterinpitäjä ei saa estää keräämiensä henkilötietojen siirtämistä esimerkiksi
kilpailijansa rekisteriin

Lisää oikeuksia
 Oikeus tietojenkäsittelyn vastustamiseen
 Esimerkiksi suoramarkkinointiin tai profilointiin
 Oikeus saada tieto omia tietoja koskevista tietoturvaloukkauksista
 Oikeus tulla unohdetuksi
 Omien henkilötietojen käyttökielto
 Omien henkilötietojen tuhoaminen rekisteristä
 Oikeus vahingonkorvauksiin
 Henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa,
on oikeus saada rekisterinpitäjältä täysi korvaus vahingosta

Rekisterinpitäjän velvollisuudet
 Henkilötietoja käsittelyssä on varmistettava tietojen turvallisuus,
eheys ja luottamuksellisuus
 Tiedot tulee suojata luvattomalta ja lainvastaiselta käsittelyltä
 Tiedot tulee suojata vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai
vahingoittumiselta
 Rekisterinpitäjällä todistustaakka ja näyttövelvollisuus tietosuoja-
asetuksen velvoitteiden noudattamisesta
 Pelkkä lain passiivinen noudattaminen ei enää riitä
 Ilmoitusvelvollisuus tietoturvaloukkauksista sekä tietosuoja-
viranomaiselle että kohteeksi joutuneille rekisteröidyille
 Tiedonantovelvollisuus rekisteröidyistä kerätyistä tiedoista ja
niiden käsittelystä sekä tietojen luovutuksista

Lisää velvollisuuksia
 Tietosuojavastaavien asettaminen
 Kaikki viranomaisten ja julkishallinnon elimet (ei tuomioistuimet)
 Yksityiset yhteisöt, joiden tehtäviin kuuluu laajamittaista henkilötietojen käsittelyä
 Selosteen ylläpito henkilötietojen käsittelystä
 Ei, jos alle 250 työntekijää, paitsi jos käsittely voi aiheuttaa riskin rekisteröidyn
oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsitellään on erityisen
arkaluonteisia tietoja.
 Tietosuojaa koskevan vaikutusten arvioinnin laatiminen
 Jos henkilötietojen käsittelyyn kohdistuu todennäköinen korkea riski

Sanktiot
 Rekisterinpitäjä ja henkilötietojen käsittelijä voidaan määrätä
maksamaan hallinnollisia sakkoja tietosuoja-asetuksen
rikkomisesta
 Hallinnollinen sakko voi olla enintään 20 000 000 € tai 4% yrityksen edeltävän
tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan,
kumpi näistä määristä on suurempi.

Haasteita
 Datan toissijainen käyttö
 Tietosuoja-asetus kieltää henkilötietojen käytön muuhun, kuin mihin ne on kerätty.
 Julkishallinnon rekistereitä haluttaisiin hyödyntää tutkimuksessa ja alustatalouden
palveluiden kehityksessä
 Käyttöehtosopimukset eli EULAt
 Tietosuoja-asetuksen ehdot huomioidaan sähköisten palveluiden käyttöehdoissa,
mutta käyttöehtoja ei lueta eikä niiden tekstiä ymmärretä
 Suomalaisten rekisterinpitäjien hidas herääminen
 Suuri osa henkilörekistereitä pitävistä julkisista ja yksityisistä yhteisöistä on
hukanneet kahden vuoden valmistautumisaikansa
 Odotettavissa ainakin näyttövelvollisuuden laiminlyöntejä ja mahdollisia
hallinnollisia sakkoja
 Työmarkkinoilla jatkuvasti paheneva tietosuojaosaajapula
 Huonosti valmistautuneita yhteisöjä rahastetaan

30.9.2010 www.kasvi.org 14
Sukupuolten välinen digikuilu?
Keskustelua
U.S. Army Photo

�ݺ�ߣ

GDPR, GDPR, vaan mikä se on se GDPR

Recommended

More Related Content

What's hot (20)

Similar to GDPR, GDPR, vaan mikä se on se GDPR (20)

More from Jyrki Kasvi (20)

GDPR, GDPR, vaan mikä se on se GDPR

Editor's Notes