EU:n yleinen tietosuoja-asetus (GDPR) astui voimaan 25.5.2018 ja velvoittaa jokaista organisaatiota käsittelemään henkilötietoja lain mukaisesti — yrityksistä kuntiin. Artikkeli käy läpi, mitä GDPR käytännössä tarkoittaa suomalaisille yrityksille ja kunnille.

4 liittyvaa artikkelia

Voimaantulo: 25.5.2018 · Säädöksen numero: (EU) 2016/679 · Annettu: 27.4.2016 · Kattaa: EU + ETA · Viranomainen Suomessa: Tietosuojavaltuutettu

Pikakatsaus

1Vahvistetut faktat
  • GDPR on EU:n asetus, joka tuli sovellettavaksi 25.5.2018 (Suomen Yrittäjät)
  • Sakot voivat olla enintään 20 000 000 € tai 4 % liikevaihdosta (Kuntaliitto)
2Mikä on epäselvää
  • Tarkat sakkosummat määräytyvät tapauskohtaisesti
  • Käytännön soveltamiskokemusten kirjo vaihtelee organisaatioittain
3Aikajanasignaali
  • 27.4.2016: Euroopan parlamentti ja neuvosto antoivat asetuksen
  • 25.5.2018: Soveltaminen alkoi koko EU:ssa
4Mitä seuraavaksi
  • Organisaatioiden on varmistettava käsittelyn oikeusperuste ja dokumentaatio
  • Tietosuojavaltuutetun valvontarooli korostuu
Kenttä Arvo
Virallinen nimi Asetus (EU) 2016/679
Voimaantulo 25.5.2018
Annettu 27.4.2016
Kattavuus EU + ETA
Suomen viranomainen Tietosuojavaltuutettu (tietosuoja.fi)

Mikä on yleinen tietosuoja-asetus?

EU:n yleinen tietosuoja-asetus, joka tunnetaan myös lyhenteellä GDPR (General Data Protection Regulation), on EU:n asetus henkilötietojen käsittelystä. Se vahvistaa rekisteröityjen oikeuksia ja yksinkertaistaa sääntelyä yhtenäisellä tavalla kaikissa jäsenmaissa. Kuntaliitto toteaa, että asetuksen tavoitteena on varmistaa, että ihmisten oikeus henkilötietojen suojaan ja sitä kautta yksityisyyteen toteutuu digitaaliaikana.

GDPR:n historia ja tausta

Euroopan parlamentti ja neuvosto antoivat asetuksen 27.4.2016. Theseus (opinnäytetyö) vahvistaa, että kahden vuoden siirtymäajan jälkeen GDPR:n soveltaminen alkoi 25.5.2018 kaikissa EU-maissa.

GDPR:n kattavuus EU:ssa ja Suomessa

GDPR:ää sovelletaan henkilötietojen käsittelyyn sekä julkisella että yksityisellä sektorilla. Kuntaliitto tarkentaa, että asetusta sovelletaan aina kun henkilötietoja käsitellään organisaation EU:n alueella sijaitsevan toimipaikan toiminnan yhteydessä, riippumatta siitä, suoritetaanko itse käsittely unionin alueella. Lisäksi tietyissä tilanteissa soveltamisala ulottuu myös EU:n ulkopuolelle sijoittuneisiin organisaatioihin, kun ne tarjoavat palveluja tai seuraavat käyttäytymistä EU:n alueella.

Euroopan komissio vahvistaa, että yrityksen on huomioitava GDPR, jos se käsittelee henkilötietoja EU:ssa sijaitessaan — riippumatta siitä, missä henkilötietojen käsittely fyysisesti tapahtuu.

Yhteenveto: GDPR koskee kaikkia organisaatioita, jotka käsittelevät henkilötietoja EU:n alueella — olipa kyse yrityksestä, kunnasta tai järjestöstä.

Käytännössä tämä tarkoittaa, että suomalaisen yrityksen tai kunnan on noudatettava GDPR:ää myös silloin, kun se käyttää EU:n ulkopuolella sijaitsevaa pilvipalvelua henkilötietojen käsittelyyn.

Milloin tietosuoja-asetus tuli voimaan?

Euroopan parlamentti ja neuvosto antoivat yleisen tietosuoja-asetuksen 27.4.2016. Kahden vuoden siirtymäajan jälkeen asetus tuli sovellettavaksi 25.5.2018 koko EU:ssa. Suomen Yrittäjät ja Theseus (opinnäytetyö) vahvistavat saman aikataulun.

Suomen oma tietosuojalaki täydentää asetusta ja tuli voimaan 1.1.2019. Pro Tietosuoja toteaa, että uusi laki sovelletaan GDPR:n rinnalla. Oikeusministeriö selvitti asetuksen soveltamiskokemuksia ja toimivuutta lausuntokierroksella, johon vastasi yhteensä 66 organisaatiota sekä julkiselta että yksityiseltä sektorilta.

Oikeusministeriö toteaa, että GDPR on vakiinnuttanut henkilötietojen suojan huomioimisen osaksi organisaatioiden toimintaa ja antanut enemmän keinoja hallita omien henkilötietojen käsittelyä.

Euroopan komissio (Your Europe) toteaa, että GDPR koskee yritystä, jos se käsittelee henkilötietoja EU:ssa sijaitessaan — riippumatta siitä, missä henkilötietojen käsittely fyysisesti tapahtuu.

Kaksivaiheinen voimaantulo antoi organisaatioille aikaa valmistautua, mutta käytännön soveltamiskokemusten kirjo vaihtelee edelleen organisaatioittain.

Miksi GDPR-asetusta tarvitaan?

Digitaaliaikana henkilötietojen kerääminen ja käsittely on kasvanut räjähdysmäisesti. Kuntaliitto toteaa, että GDPR:n tavoitteena on varmistaa, että ihmisten oikeus henkilötietojen suojaan toteutuu. Tietosuoja.fi lisää, että asetus antaa paremman suojan henkilötiedoille ja enemmän keinoja hallita tietojensa käsittelyä.

Henkilöiden oikeuksien vahvistaminen

Rekisteröity voi kysyä, onko organisaatiolla henkilötietojaan, ja saada vahvistuksen siitä, että tietoja ei käsitellä. Tietosuoja.fi tarkentaa, että organisaation on toimitettava tiedot yleisesti käytetyssä sähköisessä muodossa, jollei rekisteröity pyydä toisin — pois lukien tilanteet, joissa antaminen vaikuttaisi haitallisesti muiden oikeuksiin ja vapauksiin.

Yksinkertaistettu kansainvälinen toiminta

Ennen GDPR:tä jokainen jäsenmaa tulkitsi tietosuojasääntelyä omalla tavallaan. Yhtenäinen EU:n asetus poistaa tämän pirstaloitumisen ja luo yhtenäisen sääntely-ympäristön kaikille toimijoille. Euroopan komissio (Your Europe) mukaan yrityksen on huomioitava GDPR, jos se käsittelee henkilötietoja EU:ssa sijaitessaan — riippumatta siitä, missä henkilötietojen käsittely fyysisesti tapahtuu.

Miksi tämä merkitys

Yhtenäinen sääntely tarkoittaa, että suomalainen yritys tai kunta tarvitsee vain yhden tietosuojadokumentaation, ei erillisiä kansallisia versioita joka maahan. Tämä vähentää hallinnollista taakkaa erityisesti rajat ylittävää toimintaa harjoittaville organisaatioille.

Yhtenäinen sääntely-ympäristö hyödyttää erityisesti suomalaisia yrityksiä, jotka toimivat useissa EU-maissa, sillä ne voivat soveltaa yhtä dokumentaatiomallia kaikkialla.

Mitä tietosuoja-asetus GDPR edellyttää rekisteröidyn suostumuksella?

GDPR:n mukaan rekisterinpitäjä ja käsittelijä saa käsitellä henkilötietoja ainoastaan asetuksessa säädetyllä perusteella. Kuntaliitto toteaa, että yksi tällainen peruste on rekisteröidyn antama suostumus.

Suostumuksen ehdot

Henkilötietoja saa käsitellä, jos rekisteröity on antanut vapaaehtoisen, tietoisen ja yksiselitteisen suostumuksen. Suostumuksen on oltava nimenomainen toimenpide — hiljainen hyväksyntä tai esimerkiksi valmiiksi rastitettu laatikko ei kelpaa.

Vaihtoehdot suostumukselle

Suostumus ei ole ainoa oikeusperuste henkilötietojen käsittelylle. Kuntaliitto esittää muut lainmukaiset perusteet:

  • Käsittely on tarpeen sopimuksen täytäntöönpanoon tai sopimusta edeltäviin toimenpiteisiin
  • Käsittely on tarpeen lakisääteisen velvoitteen noudattamiseen
  • Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseen
  • Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen
Avainhavainto

Organisaation ei tarvitse kerätä erillistä suostumusta jokaiseen tietokäsittelyyn, jos käsittely perustuu esimerkiksi lakisääteiseen velvoitteeseen tai sopimukseen. Tämä on keskeinen muutos aiempaan ajatteluun verrattuna.

Organisaatioiden kannattaa tunnistaa käsittelynsä oikeusperuste huolellisesti, sillä suostumus ei ole ainoa vaihtoehto — ja suostumus on helppo perua, kun taas lakisääteinen velvoite pysyy.

Onko hetu salassapidettävä?

Henkilötunnus (HETU) on Suomessa erityinen henkilötieto, joka kuuluu GDPR:n suojaamiin tietoryhmiin. Kuntaliitto toteaa, että HETU:a saa käsitellä vain, jos siihen on lain nojalla perusteltu oikeus. Kunnissa ja yrityksissä HETU:n käyttö edellyttää joko rekisteröidyn nimenomaista suostumusta tai muuta GDPR:n mukaista oikeusperustetta.

HETU henkilötietona

Henkilötunnus on tunniste, joka yksilöi henkilön ja mahdollistaa tietojen yhdistämisen eri rekistereihin. Koska HETU on jokaiselle suomalaiselle yksilöivä ja elinikäinen tunniste, sen väärinkäyttö voi aiheuttaa vakavaa haittaa rekisteröidylle. Siksi GDPR ja Suomen tietosuojalaki asettavat sille tiukemmat käsittelyvaatimukset kuin tavallisille perustiedoille.

Käsittelyn rajoitukset

Kunta voi käyttää HETU:a esimerkiksi sosiaali- tai terveydenhuollon palveluissa, kun käsittely perustuu lakisääteiseen velvoitteeseen. Yritys puolestaan tarvitsee joko rekisteröidyn nimenomaisen suostumuksen tai käsittelyn on liityttävä sopimukseen. Pro Tietosuoja mukaan Suomen tietosuojalaki täydentää GDPR:n vaatimuksia näissä tilanteissa.

Käytännön seuraus on, että organisaatioiden on tunnistettava HETU:n käsittelyperuste ja dokumentoitava se osana tietosuojadokumentaatiotaan. Suomen Yrittäjät toteaa, että tietosuoja-asetus velvoittaa yrityksen tekemään selosteen käsittelytoimista, jos henkilötietoja käsitellään useammin kuin satunnaisesti — ja tietosuojaviranomainen voi pyytää selosteen nähtäväkseen.

Huomioitavaa

Tietosuojatoimenpiteiden riittävyys mitoitetaan riskiarvioinnin perusteella, jossa otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Tämä tarkoittaa, että jokaisen organisaation on arvioitava omat riskinsä, eikä yhtä mallia voi soveltaa kaikille.

Käytännössä tämä tarkoittaa, että organisaation on tunnistettava HETU:n käyttötarkoitus, arvioitava riskitaso ja dokumentoiva käsittelyperuste — muuten sanktiot voivat olla merkittäviä.

Mitkä ovat GDPR:n sakot?

GDPR:n hallinnollisen sakon määrä voi olla korkeintaan 20 000 000 euroa tai 4 % yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi on suurempi. Kuntaliitto tarkentaa, että sakon määräämisestä päättää GDPR:n nojalla perustettu valvontaviranomainen — Suomessa tietosuojavaltuutettu.

Tarkat sakkosummat määräytyvät aina tapauskohtaisesti, ja ne huomioivat rikkomuksen luonteen, keston, laajuuden ja vaikutukset. Lievemmät rikkomukset voivat johtaa varoitukseen tai hallinnollisiin seuraamuksiin ilman merkittäviä taloudellisia sanktioita. Valvontaviranomainen arvioi kunkin tilanteen erikseen.

Ydinpointti

EU:n ulkopuolelle sijoittuneet organisaatiotkin voivat joutua GDPR:n piiriin, jos ne tarjoavat palveluja EU:ssa oleville henkilöille tai seuraavat heidän käyttäytymistään — sakot voivat koskea myös niitä.

Sakkorangaistuksen uhka toimii tehokkaana kannustimena organisaatioille varmistaa tietosuojakäytäntöjen ajanmukaisuus, sillä se voi nousta jopa 20 miljoonaan euroon.

Ketkä tarvitsevat tietosuojavastaavan?

GDPR:n mukaan tietosuojavastaava (DPO) valvoo henkilötietojen käsittelyä ja neuvoo työntekijöitä heidän velvoitteistaan. Euroopan komissio (Your Europe) toteaa, että tietosuojavastaava tekee yhteistyötä tietosuojaviranomaisen kanssa ja toimii yhteyshenkilönä viranomaisen ja yksityishenkilöiden välillä.

Tietosuojavastaava on pakollinen julkisille organisaatioille ja yrityksille, joiden ydin-toiminta edellyttää laajamittaista säännöllistä rekisteröityjen seurantaa tai erityisten henkilötietoryhmien käsittelyä. Suomessa tietosuojavaltuutettu toimii valvovana viranomaisena.

Sisäänrakennetun ja oletusarvoisen tietosuojan periaate edellyttää, että tietosuojaan liittyvät tarpeet tunnistetaan ja huomioidaan jo ennen käsittelyn aloittamista. Kuntaliitto mukaan rekisterinpitäjä on vastuussa siitä, että se toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet.

Suomessa Oikeusministeriön lausuntokierrokselle vastasi 66 organisaatiota, jotka edustivat sekä julkista että yksityistä sektoria. Oikeusministeriö totesi, että GDPR on vakiinnuttanut henkilötietojen suojan osaksi organisaatioiden arkea — mutta käytännön soveltamiskokemusten kirjo vaihtelee edelleen organisaatioittain.

Yhteenveto: Organisaatioiden, jotka eivät valmistaudu kunnolla, riskinä ovat hallinnolliset sakot, jotka voivat nousta 20 000 000 euroon tai 4 %:iin maailmanlaajuisesta liikevaihdosta. Yrityksille ja kunnille konkreettinen kehotus on selkeä: dokumentoi käsittelytoimet, tunnista oikeusperuste ja kouluta henkilöstö.

Organisaatioiden kannattaa nähdä tietosuojavastaava strategisena resurssina, ei pelkkänä compliance-taakkana — hyvin hoidettu tietosuoja rakentaa luottamusta asiakkaiden ja kansalaisten keskuudessa.

Aiheeseen liittyvää: Deepfakien etiikka ja lainsäädäntö · Google Authenticator siirto

Lisälähteet

kauppakamari.fi

Yleinen tietosuoja-asetus eli GDPR tuli voimaan koko EU:ssa 25.5.2018, kuten GDPR:n tanskankielinen selitys havainnollisesti kuvaa sen ydinkäsitteitä ja soveltamista.

Ala missa naita

Usein kysytyt kysymykset

Miten GDPR vaikuttaa yrityksiin Suomessa?

GDPR velvoittaa kaikkia yrityksiä, jotka käsittelevät henkilötietoja EU:ssa, noudattamaan asetuksen vaatimuksia — riippumatta yrityksen koosta tai toimialasta. Tämä tarkoittaa dokumentointivelvoitteita, rekisteröidyn oikeuksien turvaamista ja tietosuojatoimenpiteiden toteuttamista riskiarvioinnin perusteella.

Mitä ovat GDPR:n periaatteet?

Keskeisiä periaatteita ovat laillisuus, kohtuullisuus ja läpinäkyvyys käsittelyssä, tarkoituksen rajoittaminen, tietominimoin, täsmällisyys, säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus. Lisäksi rekisterinpitäjä on vastuussa periaatteiden noudattamisesta ja pystyy osoittamaan sen.

Kuka on GDPR:n rekisterinpitäjä?

Rekisterinpitäjä on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Se voi olla yritys, kunta, järjestö tai muu organisaatio. Rekisterinpitäjä vastaa siitä, että käsittely tapahtuu GDPR:n mukaisesti ja että tarvittavat tekniset ja organisatoriset toimenpiteet on toteutettu.

Miten tehdä GDPR-tietopyyntö?

Rekisteröity voi pyytää organisaatiolta vahvistusta siitä, käsitelläänkö hänen henkilötietojaan, ja saada tiedot käyttöön yleisesti käytetyssä sähköisessä muodossa. Tietopyyntö osoitetaan organisaation tietosuojavastaavalle tai yhteyshenkilölle. Organisaation on vastattava kohtuullisessa ajassa, yleensä kuukauden kuluessa.

Mitkä ovat GDPR:n sakot?

Vakavimmat rikkomukset voivat johtaa sakkoihin, jotka ovat enintään 20 000 000 euroa tai 4 % yrityksen edeltävän tilikauden maailmanlaajuisesta kokonaisliikevaihdosta. Lievemmät rikkomukset voivat johtaa varoitukseen tai hallinnollisiin toimenpiteisiin. Sakon määrää Suomessa tietosuojavaltuutettu.

Mitä tietoja GDPR suojaa?

GDPR suojaa kaikkia henkilötietoja — eli tietoja, jotka voidaan yhdistää tunnistettuun luonnolliseen henkilöön. Tämä kattaa nimet, osoitteet, sähköpostiosoitteet, mutta myös IP-osoitteet, sijaintitiedot ja muut tekniset tunnisteet. Erityisiä henkilötietoryhmiä ovat esimerkiksi terveystiedot, uskonto ja etnisyys.

Mikä on tietosuojavaltuutettu?

Tietosuojavaltuutettu on Suomen valvova viranomainen, joka valvoo GDPR:n noudattamista kansallisesti. Viranomaisen tehtävänä on käsitellä valituksia, tutkia tietosuojaloukkauksia ja antaa ohjeistusta organisaatioille. Suomessa tietosuojavaltuutetun toimisto löytyy osoitteesta tietosuoja.fi.