Mikä on GDPR? Yksinkertainen opas EU:n tietosuoja-asetukseen

Jos organisaatiosi kerää, käyttää tai seuraa EU:n alueella olevien ihmisten henkilötietoja, sen tulee noudattaa EU:n tietosuoja-asetusta eli GDPR:ää. Yrityksesi sijaintimaalla ei ole merkitystä: tällä eurooppalaisella yksityisyyslailla on globaali ulottuvuus, ja se on muuttanut tapaa, jolla kaikki maailman yritykset käsittelevät henkilötietoja.

Vuonna 2016 hyväksytty ja toukokuusta 2018 lähtien sovellettu GDPR määrittelee selkeästi, mitä pidetään henkilötietona, miten tietoja voidaan käyttää ja mitä oikeuksia yksilöillä on omiin tietoihinsa liittyen.

Tässä oppaassa käydään läpi, mitä GDPR tarkoittaa, keitä se koskee ja mitä yritysten on tiedettävä pysyäkseen vaatimusten mukaisina.

Mitä GDPR tarkoittaa yksinkertaisesti sanottuna?

GDPR on EU:n tietosuoja-asetus, joka suojaa kaikkien EU:n alueella olevien ihmisten henkilötietoja. Tämä kattaa kaikki tiedot, joista henkilö voidaan tunnistaa suoraan tai epäsuorasti, kuten nimet, sähköpostiosoitteet, IP-osoitteet tai evästeet.

GDPR antaa ihmisille enemmän hallintaa omiin tietoihinsa. Se edellyttää myös, että yritykset kertovat selkeästi, miksi tietoja kerätään, ja että kerättyjä tietoja käsitellään huolellisesti ja turvallisesti. Se korvasi aiemmat EU:n tietosuojasäännökset astuessaan voimaan 25. toukokuuta 2018.

Miksi GDPR säädettiin

Ennen GDPR:ää tietosuoja EU:ssa perustui vuoden 1995 tietosuojadirektiiviin. Tuolloin internet oli vielä uusi asia, ja yritykset käsittelivät huomattavasti pienempää määrää henkilötietoja. Teknologian kehittyessä ja verkkopalveluiden tullessa osaksi arkea kävi selväksi, etteivät vanhat säännöt enää riittäneet.

Vuonna 2012 Euroopan komissio ehdotti uutta lainsäädäntöä yksityisyydensuojan vahvistamiseksi ja uuteen digitaaliseen talouteen sopeutumiseksi. Useiden vuosien keskustelujen jälkeen GDPR hyväksyttiin EU-parlamentissa vuonna 2016 ja tuli voimaan vuonna 2018.

Toisin kuin aiempi direktiivi, GDPR:ää sovelletaan kaikissa EU-maissa sellaisenaan, mikä luo yhtenäiset standardit ja antaa ihmisille vahvemmat oikeudet omiin henkilötietoihinsa.

Verkottuneessa maailmassa yksityisyys on nyt tärkeämpää kuin koskaan, ja GDPR:n kaltaiset lait on suunniteltu antamaan netinkäyttäjien tiedot takaisin heidän omaan hallintaansa.

Keitä GDPR koskee

GDPR koskee kaikkia organisaatioita, jotka keräävät, käyttävät tai säilyttävät EU:n alueella olevien ihmisten henkilötietoja riippumatta siitä, sijaitseeko yritys itse Euroopan talousalueella (ETA) vai sen ulkopuolella. Laki koskee dataa, ei yrityksen sijaintia.

Asetus määrittelee kaksi keskeistä roolia:

• Rekisterinpitäjä: Päättää, miten ja miksi henkilötietoja käsitellään.
• Henkilötietojen käsittelijä: Käsittelee tietoja rekisterinpitäjän puolesta, esimerkiksi pilvipalvelut tai maksunvälittäjät.

ETA-alueella toimivat yritykset

ETA kattaa 27 EU:n jäsenvaltiota sekä Islannin, Liechtensteinin ja Norjan. Kaikkien ETA-alueella toimivien organisaatioiden on noudatettava GDPR:ää käsitellessään henkilötietoja, vaikka käsittely tapahtuisi Euroopan ulkopuolella. Jos esimerkiksi suomalainen yritys käyttää Yhdysvalloissa sijaitsevia palvelimia, sen on silti noudatettava GDPR:n sääntöjä.

ETA-alueen ulkopuoliset yritykset

ETA-alueen ulkopuolella toimiminen ei vapauta organisaatiota GDPR:stä. Jos yrityksesi käsittelee EU:ssa asuvien henkilötietoja jollakin seuraavista tavoista, GDPR:ää on edelleen noudatettava:

• Tarjoaa tuotteita tai palveluja EU:n alueella oleville ihmisille, joko maksutta tai maksua vastaan.
• Seuraa EU:n alueella olevien ihmisten käyttäytymistä, esimerkiksi seuraamalla toimintaa verkossa evästeiden avulla tai profiloimalla käyttäjiä.

Esimerkiksi Suomessa sijaitseva koulutusalusta, joka palvelee yhdysvaltalaisia yliopisto-opiskelijoita, on velvollinen noudattamaan GDPR:ää. Myös sellaisen ETA-alueen ulkopuolisen yrityksen, joka toimii henkilötietojen käsittelijänä ETA-alueella toimivalle yritykselle, on noudatettava asetusta.

Jos palvelu on vain satunnaisesti saatavilla EU:ssa ilman, että se on suunnattu EU:n käyttäjille tai heidän henkilötietojensa käsittelyyn, se voi jäädä GDPR:n soveltamisalan ulkopuolelle. Jos yritys ei kuitenkaan tee selkeitä toimia EU:ssa asuvien käyttäjien poissulkemiseksi, viranomaiset voivat silti katsoa, että GDPR koskee myös kyseistä palvelua.

Lisäksi on olemassa joitakin erityisiä tietotyyppejä, jotka jäävät asetuksen soveltamisalan ulkopuolelle. Näihin kuuluvat esimerkiksi kansalliseen turvallisuuteen liittyvät tiedot, lainvalvontatarkoituksiin kerätyt tiedot sekä puhtaasti henkilökohtaisiin tai kotitalouskäyttöön liittyvät tiedot.

Mitä GDPR:n mukaan luetaan henkilötiedoiksi?

GDPR:n mukaan henkilötiedot ovat mitä tahansa tietoja, jotka liittyvät elossa olevaan henkilöön, ja joita voidaan käyttää henkilön tunnistamiseen suoraan tai epäsuorasti. Esimerkkejä ovat:

• Koko nimet
• Kotiosoitteet
• Sähköpostiosoitteet, jotka sisältävät henkilön nimen
• Henkilötunnukset tai passinumerot
• IP-osoitteet
• Evästeiden tunnisteet
• Laitteiden mainontatunnisteet
• Potilastiedot

GDPR tekee myös eron pseudonymisoitujen tietojen ja aidosti anonymisoitujen tietojen välillä. Pseudonymisoidut tiedot voidaan edelleen yhdistää tiettyyn henkilöön, kun taas aidosti anonymisoituja tietoja ei voida. Vain jälkimmäiset jäävät asetuksen soveltamisalan ulkopuolelle.

Lisäksi GDPR määrittelee erityiset henkilötietoryhmät, kuten rotu tai etninen alkuperä, uskonnolliset vakaumukset, poliittiset mielipiteet ja biometriset tiedot. Tällaisen tiedon käsittely on lähtökohtaisesti kielletty, ellei siihen ole hyvin tarkasti määriteltyjä perusteita, koska siihen liittyy tavallista suurempia riskejä.

Mitä ovat henkilötietojen käsittelyn oikeudelliset perusteet?

GDPR ei salli organisaatioiden käsitellä henkilötietoja pelkästään siksi, että ne haluavat tehdä niin. Käsittelylle on oltava selkeä, laillinen peruste, ja asetuksessa määritellään kuusi tarkempaa perustetta:

• Suostumus: Henkilö on antanut selkeän luvan tietojensa käyttöön. Suostumuksen on oltava vapaaehtoinen, yksilöity ja helposti peruttavissa. Hiljaisuus tai valmiiksi rastitetut ruudut eivät ole hyväksyttäviä suostumuksen muotoja.
• Sopimus: Käsittely on tarpeen sopimuksen täyttämiseksi henkilön kanssa (esimerkiksi maksutietojen käsittely ostotapahtuman toteuttamiseksi).
• Lakisääteinen velvoite: Joissakin tapauksissa laki velvoittaa organisaatiota käsittelemään henkilötietoja, esimerkiksi sairaaloiden velvollisuus säilyttää potilastietoja.
• Elintärkeä välttämättömyys: Tietojen käsittely on tarpeen jonkun hengen suojelemiseksi, esimerkiksi lääketieteellisessä hätätilanteessa.
• Julkishallinnollinen tehtävä: Käsittely on tarpeen virallisen tehtävän suorittamiseksi tai yleisen edun valvomiseksi (yleistä erityisesti viranomaisille).
• Oikeutettu peruste: Organisaatio voi käsitellä tietoja, jos siihen on sellainen perusteltu syy, joka ei syrjäytä yksilön oikeuksia, kuten tietojen käyttö kyberturvallisuuden varmistamiseen.

GDPR:n 7 keskeistä periaatetta

GDPR perustuu seitsemään keskeiseen periaatteeseen, jotka määrittelevät, miten henkilötietoja tulee käsitellä. Nämä periaatteet asettavat standardit oikeudenmukaisuudelle, turvallisuudelle ja vastuullisuudelle tietojen käsittelyssä.

1. Lainmukaisuus, kohtuullisuus ja läpinäkyvyys

Tämä periaate tarkoittaa sitä, että tietoja saa kerätä ja käyttää vain pätevistä, GDPR:n sallimista syistä, kuten henkilön suostumuksella tai tietyn palvelun tarjoamiseksi. Se edellyttää myös, että tietoja käytetään oikeudenmukaisesti ilman harhaanjohtamista tai käyttöä sellaisilla tavoilla, joita henkilö ei voisi kohtuudella odottaa. Lisäksi keskeistä on läpinäkyvyys: organisaatioiden on kerrottava selkeästi ja ymmärrettävästi, mitä tietoja ne keräävät, miksi niitä kerätään ja miten niitä aiotaan käyttää.

2. Käyttötarkoituksen rajaus

GDPR:n mukaan henkilötietoja saa kerätä vain tiettyä, selkeästi määriteltyä tarkoitusta varten. Organisaatioiden on kerrottava ihmisille tiedonkeruun yhteydessä, miksi tietoja kerätään. Kun tiedot on kerätty, niitä ei saa käyttää sellaisiin tarkoituksiin, jotka eivät ole yhteensopivia alkuperäisen käyttötarkoituksen kanssa.

3. Tietojen minimointi

GDPR edellyttää, että organisaatiot keräävät vain ne henkilötiedot, jotka ovat välttämättömiä ilmoitettua tarkoitusta varten. Tämä periaate rajoittaa kerättävän tiedon määrää ja vähentää riskejä onnettomuuksista, joissa tiedot joutuvat vääriin käsiin tai niitä käytetään väärin. Se auttaa pitämään tiedonkeruun rajattuna ja relevanttina.

4. Täsmällisyys

Henkilötietojen on oltava tarkkoja ja paikkansapitäviä. Jos organisaatio säilyttää tietoja henkilöstä, sen on varmistettava, että tiedot ovat oikein ja tarvittaessa ajan tasalla. Jos tiedoissa tapahtuu muutoksia tai niissä havaitaan virheitä, organisaation on korjattava ne. Tietojen täsmällisyys on tärkeää, jotta vältetään ihmisiin vahingollisesti vaikuttavat virheet, erityisesti silloin kun tietoja käytetään heitä koskevien päätösten tekemiseen.

5. Säilytyksen rajoittaminen

Organisaatioiden ei tulisi säilyttää henkilötietoja pidempään kuin on tarpeen. Kun kerätyt tiedot ovat täyttäneet tarkoituksensa, ne tulee poistaa tai anonymisoida. Tämä periaate varmistaa, ettei tietoja säilytetä "varmuuden vuoksi” ilman selkeää syytä. Se myös vähentää tarpeettomaan säilyttämiseen liittyviä riskejä esimerkiksi tietomurtojen tai yksityisyysongelmien osalta.

6. Integriteetti ja luottamuksellisuus

Henkilötietojen vahva suojaaminen on olennaisen tärkeää. Organisaatioiden on estettävä tietojen luvaton tarkastelu, varastaminen tai muuttaminen. Tämä edellyttää asianmukaisten teknisten ja organisatoristen turvatoimien käyttöönottoa tietojen käsittelyssä.

7. Osoitusvelvollisuus

Osoitusvelvollisuus tarkoittaa, että organisaatioiden ei tarvitse pelkästään noudattaa GDPR:n sääntöjä, vaan niiden on myös pystyttävä osoittamaan se. Tämä sisältää esimerkiksi sen, että organisaatiot dokumentoivat tietojen käsittelytavat, kouluttavat henkilöstöä ja ottavat käyttöön yksityisyyttä koskevat käytännöt.

Käyttäjien tietosuojaoikeudet GDPR:n mukaan

Oikeus saada tietoa

Sinulla on oikeus tietää, milloin organisaatio kerää henkilötietojasi ja miksi. Tämä tarkoittaa sitä, että yritysten on kerrottava alusta alkaen selkeästi, mitä tietoja ne keräävät, miten niitä aiotaan käyttää ja kenelle niitä voidaan luovuttaa.

Näiden tietojen tulee olla esitetty helposti ymmärrettävässä muodossa, jotta voit tehdä perustellun päätöksen siitä, haluatko jakaa tietosi.

Oikeus saada pääsy tietoihin

Tämä tarkoittaa sitä, että voit pyytää miltä tahansa organisaatiolta tiedon siitä, mitä henkilötietoja se on tallentanut sinusta. Voit pyytää kopion tiedoista sekä lisätietoja siitä, miten tietoja käytetään ja kenelle niitä on luovutettu. Organisaatioiden on toimitettava nämä tiedot kohtuullisessa ajassa.

Tämä oikeus ei kuitenkaan ole ehdoton; sen toteuttaminen ei saa haitata muiden tahojen oikeuksia ja vapauksia, kuten liikesalaisuuksia tai immateriaalioikeuksia.

Oikeus tietojen oikaisuun

Jos organisaation hallussa olevat henkilötietosi ovat virheellisiä tai puutteellisia, sinulla on oikeus pyytää niiden korjaamista. Olipa kyseessä sitten väärin kirjoitettu nimi, vanhentunut osoite tai puuttuvat tiedot, niin organisaation on korjattava ne.

Oikeus tietojen poistamiseen (oikeus tulla unohdetuksi)

Voit pyytää organisaatiota poistamaan henkilötietosi, kun niiden säilyttämiselle ei ole enää perusteltua syytä. Tätä kutsutaan usein "oikeudeksi tulla unohdetuksi". Se koskee niitä tilanteita, joissa tietoja ei enää tarvita siihen tarkoitukseen, johon ne alun perin kerättiin, tai jos tietoja on käsitelty lainvastaisesti.

Tämäkään oikeus ei ole ehdoton, vaan organisaatiot voivat yhä säilyttää tietoja, jos siihen on lakisääteinen velvoite tai muu pätevä peruste.

Oikeus käsittelyn rajoittamiseen

Tämä oikeus antaa sinulle mahdollisuuden pyytää organisaatiota rajoittamaan henkilötietojesi käyttöä. Voit tehdä tällaisen pyynnön esimerkiksi silloin, jos epäilet tietojen olevan virheellisiä, jos niitä on käsitelty lainvastaisesti tai jos organisaatio ei enää tarvitse tietoja, mutta haluat kuitenkin niiden säilyvän oikeudellisen vaateen vuoksi. Rajoituksen aikana organisaatio saa säilyttää tietoja, mutta ei saa käyttää niitä muihin tarkoituksiin ilman lupaasi tai ilman laillista perustetta.

Oikeus siirtää tiedot toiseen järjestelmään

Tämä oikeus mahdollistaa sen, että saat kopion henkilötiedoistasi helposti käytettävässä muodossa. Voit myös pyytää tietojen siirtämistä suoraan toiselle organisaatiolle, jos se on teknisesti mahdollista. Tämän oikeuden tavoitteena on antaa sinulle enemmän hallintaa tietoihisi ja helpottaa palvelujen vaihtamista tai tietojen siirtämistä ilman, että joudut aloittamaan kaiken alusta.

Oikeus vastustaa käsittelyä

Sinulla on oikeus vastustaa henkilötietojesi käyttöä, erityisesti silloin, kun niitä käytetään suoramarkkinointiin. Jos vastustat käsittelyä, organisaation on lopetettava tietojesi käyttö, ellei se pysty osoittamaan painavaa ja perusteltua syytä jatkaa käsittelyä.

Automatisoituun päätöksentekoon liittyvät oikeudet

Sinulla on myös oikeus kyseenalaistaa päätökset, jotka on tehty sinua koskien täysin automatisoitujen prosessien avulla, erityisesti jos päätöksellä on merkittäviä vaikutuksia, kuten esimerkiksi lainan tai työpaikan saaminen. GDPR antaa sinulle oikeuden pyytää ihmisen osallistumista tällaisiin tilanteisiin, eli voit vaatia, että joku tarkistaa päätöksen henkilökohtaisesti sen sijaan, että se perustuisi pelkästään algoritmeihin tai automaattisiin järjestelmiin.

Mitä suostumus GDPR:n mukaan tarkoittaa ja miten se saadaan?

GDPR:n mukaisen suostumuksen on täytettävä tiukat vaatimukset ollakseen pätevä. Jotta suostumus hyväksytään, sen on oltava:

• Vapaaehtoinen: Sinulla on oltava aito valinnanmahdollisuus ilman painostusta tai kielteisiä seuraamuksia, jos kieltäydyt.
• Yksilöity ja tietoon perustuva: Organisaation on kerrottava, kuka se on, mitä tietoja se kerää, miksi niitä tarvitaan ja miten niitä käytetään.
• Yksiselitteinen: Suostumuksen on perustuttava selkeään aktiiviseen toimintaan, kuten valintaruudun rastittamiseen tai lomakkeen allekirjoittamiseen. Hiljaisuus tai valmiiksi rastitetut ruudut eivät kelpaa perusteeksi.

Ihmisillä on myös oikeus peruuttaa suostumuksensa milloin tahansa, ja sen on oltava yhtä helppoa kuin suostumuksen antaminen. Kun suostumus peruutetaan, yrityksen on lopetettava tietojen käyttö kyseiseen tarkoitukseen.

Alle 16-vuotiaille suunnatuissa palveluissa vaaditaan yleensä huoltajan suostumus, tosin joissakin EU-maissa tämä ikäraja on laskettu 13 vuoteen.

Miten yritykset voivat noudattaa GDPR-vaatimuksia

On olemassa tiettyjä toimenpiteitä, joita jokaisen organisaation tulisi tehdä pysyäkseen GDPR:n mukaisena ja suojatakseen yksityisyyttä.

Käsittelytoimien kirjaaminen (RoPA)

GDPR:n artikla 30 edellyttää, että yritykset dokumentoivat ne toimet, joilla henkilötietoja käsitellään. Näiden tietojen tulee kattaa käsittelyn tarkoitukset, kerättyjen tietojen tyypit, kenelle tietoja luovutetaan, säilytysajat sekä käytössä olevat turvatoimet.

Pienet yritykset voivat joissakin tapauksissa saada vapautuksen tästä velvollisuudesta, jos käsittely on satunnaista ja vähäriskistä, mutta näiden tietojen ylläpitäminen on joka tapauksessa tärkeää, jotta vaatimustenmukaisuus voidaan osoittaa viranomaisille.

Tietosuojavaikutusten arvioinnit (DPIA)

Kun yritys suunnittelee henkilötietojen käsittelemistä tavalla, joka voi aiheuttaa merkittäviä riskejä ihmisten oikeuksille ja vapauksille, sen on tehtävä tietosuojavaikutusten arviointi eli DPIA. Tämä on pakollista esimerkiksi silloin, kun käytetään uusia teknologioita, valvotaan julkisia tiloja laajamittaisesti tai käsitellään laajasti erityisiin henkilötietoryhmiin kuuluvia tietoja.

Tietosuojavaikutusten arvioinnin tarkoituksena on tunnistaa ja vähentää mahdollisia riskejä ennen henkilötietojen käsittelyn aloittamista. Jos toteutettujen toimenpiteiden jälkeenkin merkittäviä riskejä jää jäljelle, yrityksen on ennen käsittelyn jatkamista kuultava tietosuojaviranomaista, joka on kussakin EU-maassa GDPR:n noudattamista valvova kansallinen viranomainen.

Tietosuojavastaavan (DPO) nimeäminen

Joidenkin organisaatioiden on GDPR:n mukaisesti nimettävä tietosuojavastaava eli DPO. Tämä henkilö vastaa siitä, että organisaatiossa valvotaan henkilötietojen käsittelyä ja että GDPR:n vaatimuksia noudatetaan.
Sinun on nimettävä tietosuojavastaava, jos:

• Seuraat käyttäjiä säännöllisesti tai järjestelmällisesti laajassa mittakaavassa, esimerkiksi seuraamalla verkossa tapahtuvaa toimintaa.
• Käsittelet laajassa mittakaavassa erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten terveystietoja, geneettisiä tietoja tai biometrisiä tietoja.
• Olet viranomainen tai julkinen toimielin (poikkeuksena tuomioistuimet ja riippumattomat oikeusviranomaiset).

Tietosuojavastaava voi olla organisaation työntekijä tai ulkopuolinen asiantuntija. Joka tapauksessa hänen on toimittava riippumattomasti, neuvottava henkilöstöä, valvottava tietosuojatoimenpiteitä ja toimittava pääasiallisena yhteyshenkilönä tietosuojaviranomaisten kanssa.

Tietojen siirtoon liittyvät suojatoimet

Kun henkilötietoja siirretään EU:n ulkopuolelle, GDPR edellyttää, että sama tietosuojan taso säilyy myös siirron aikana. Yritysten on otettava käyttöön asianmukaiset suojatoimet tietojen turvaamiseksi ja GDPR-vaatimusten noudattamiseksi.

Henkilötietoja voidaan suojata usealla hyväksytyllä tavalla:

• Tietosuojan riittävyyspäätökset: Tietoja voidaan siirtää maihin, joiden EU on todennut tarjoavan riittävän tietosuojan tason.
• Sopimusperusteiset suojatoimet: Tietosuojan varmistamiseksi yritykset voivat sisällyttää sopimuksiin erityisiä ehtoja EU:n ulkopuolisten vastaanottajien kanssa.
• Poikkeukset: Joissakin tilanteissa siirrot ovat sallittuja, jos henkilö on antanut nimenomaisen suostumuksensa tai jos siirto on sopimuksen toteuttamiseksi välttämätöntä.

GDPR:n mukaiset turvatoimet ja tietojen salaus

Organisaatioiden on toteutettava vahvoja turvatoimia suojatakseen henkilötietoja luvattomalta käytöltä, muuttamiselta tai häviämiseltä. Näihin kuuluvat tekniset ratkaisut, kuten salaus, sekä organisatoriset toimenpiteet, kuten käyttöoikeuksien rajoittaminen vain valtuutetulle henkilöstölle.

Salaus on avoimissa yhteiskunnissa keskeisessä roolissa yksityisyyden ja vapauksien suojaamisessa, ja se on edelleen yksi tehokkaimmista keinoista estää tietomurtoja.

Tietomurroista ilmoittaminen

Jos tietomurto vaarantaa yksilöiden oikeudet tai vapaudet, yritysten on ilmoitettava siitä asianomaiselle tietosuojaviranomaiselle 72 tunnin kuluessa. Jos riski on korkea, myös asianomaisille henkilöille on ilmoitettava erikseen.

Ilmoituksen laiminlyönti määräajassa voi johtaa seuraamuksiin, joten yrityksillä on oltava selkeät prosessit tietomurtojen tehokkaaseen havaitsemiseen, arviointiin ja käsittelyyn.

Henkilöstön tietoisuus ja koulutus

GDPR:n noudattaminen ei ole pelkästään tietosuojakäytäntöjen allekirjoittamista, vaan myös siitä, kuinka hyvin työntekijät ymmärtävät ja soveltavat niitä työssään. Henkilöstölle on annettava selkeät ohjeet ja säännöllistä koulutusta, jotta he osaavat käsitellä henkilötietoja vastuullisesti ja kunnioittaa yksilöiden oikeuksia. Laaja tietoisuus organisaation sisällä auttaa ehkäisemään tietomurtoja ja tukee jatkuvaa vaatimustenmukaisuutta.

GDPR:n valvonta ja seuraamukset rikkomuksista

Jokaisessa ETA-maassa on tietosuojaviranomainen, joka valvoo, miten organisaatiot noudattavat tietosuojasääntöjä. Nämä viranomaiset voivat tehdä tutkimuksia, pyytää dokumentaatiota ja suorittaa tarkastuksia varmistaakseen, että yritykset täyttävät velvoitteensa.

Jos yrityksen todetaan rikkovan GDPR:ää, seuraamukset voivat olla merkittäviä. Vakavimmista rikkomuksista voidaan määrätä sakkoja jopa 20 miljoonaa euroa tai 4 % yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta. Taloudellisten seuraamusten lisäksi viranomaiset voivat määrätä myös korjaavia toimenpiteitä, kuten käsittelyn keskeyttämisen tiettyjen tietojen osalta tai tietosuojakäytäntöjen parantamisen.

Nämä tietosuojaviranomaiselle annetut valtuudet varmistavat sen, ettei GDPR:n noudattaminen ole vapaaehtoista. Henkilötietoja käsittelevien yritysten on otettava vastuunsa vakavasti tai varauduttava merkittäviin seuraamuksiin.

Onko GDPR voimassa Yhdysvalloissa?

GDPR on EU:ssa säädetty asetus, mutta se ei kuitenkaan rajoitu Euroopan alueelle. Myös yhdysvaltalaiset yritykset voivat kuulua sen soveltamisalaan, jos ne käsittelevät EU:n alueella olevien henkilöiden henkilötietoja. Tämä tarkoittaa sitä, että vaikka yrityksellä ei olisi fyysistä läsnäoloa Euroopassa, sen on silti noudatettava GDPR:ää, jos sen toiminta täyttää tietyt kriteerit.

Mitä GDPR edellyttää yhdysvaltalaisilta yrityksiltä

GDPR:n artiklan 3 mukaan yhdysvaltalaisten yritysten on noudatettava asetusta, jos niillä on toimipaikka EU:ssa tai jos ne tarjoavat tuotteita tai palveluja EU:n alueella oleville henkilöille, vaikka kyseinen palvelu olisi ilmainen. Myös EU:n alueella olevien henkilöiden toiminnan seuraaminen verkossa, esimerkiksi evästeiden, seurannan tai kohdennetun mainonnan avulla, asettaa yhdysvaltalaisen yrityksen GDPR:n alaisuuteen.

GDPR:ää noudattaakseen yhdysvaltalaisten yritysten on:

• Kartoitettava, millaisia henkilötietoja ne keräävät.
• Määriteltävä selkeä oikeusperuste kunkin tietotyypin käsittelylle, kuten suostumus tai sopimuksen täytäntöönpano.
• Arvioitava kaikki EU:sta Yhdysvaltoihin tapahtuvat tietojen siirrot ja varmistettava, että käytössä on asianmukaiset suojatoimet, kuten vakioidut sopimuslausekkeet (SCC).
• Nimettävä GDPR-edustaja EU:n alueelle, jos yrityksellä ei ole siellä fyysistä toimipaikkaa.
• Hankittava etukäteen suostumus verkkosivujen tiedonkeruuseen ja evästeiden käyttöön.
• Päivitettävä tietosuojakäytännöt vastaamaan GDPR:n velvoitteita ja rekisteröityjen oikeuksia.

GDPR vs. CCPA ja CPRA

Siinä missä GDPR edellyttää selkeää suostumusta ennen henkilötietojen käsittelyä, California Consumer Privacy Act (CCPA) ja sen päivitys, California Privacy Rights Act (CPRA), noudattavat erilaista lähestymistapaa eli opt-out-mallia.

Kaliforniassa yritykset eivät yleensä tarvitse ennakkosuostumusta henkilötietojen keräämiseen tai käsittelyyn, paitsi tietyissä tilanteissa, kuten tietojen myynnissä tai jakamisessa, alaikäisten tietojen käsittelyssä tai arkaluonteisten tietojen käsittelyssä.

Sen sijaan nämä lait korostavat läpinäkyvyyttä: yritysten on kerrottava käyttäjille tietojenkäsittelykäytännöistään ja tarjottava helppo tapa kieltäytyä henkilötietojen myynnistä tai jakamisesta. Yleisesti ottaen Kaliforniassa painopiste on käyttäjän omassa hallinnassa ja näkyvyydessä, ei ennakkosuostumuksessa.

Yhdysvaltalaisille yrityksille tämä merkitsee tärkeää eroa: GDPR:n tiukkoja suostumusvaatimuksia ei sovelleta samalla tavalla Yhdysvalloissa, joten molemmilla alueilla toimivien yritysten on mukautettava käytäntöjään sen mukaisesti.

Mitä GDPR merkitsee evästeiden suhteen?

GDPR:n mukaan evästeet, jotka voivat tunnistaa henkilön tai seurata hänen toimintaansa verkossa, katsotaan henkilötiedoiksi. Tämä koskee perinteisten evästeiden lisäksi myös muita tekniikoita, kuten selaimen sormenjäljitystä, jonka avulla käyttäjä voidaan tunnistaa yksilöllisesti laitteen ja selaimen asetusten perusteella.

Verkkosivustojen on annettava käyttäjille mahdollisuus valita, millaisia evästeitä he hyväksyvät – tätä kutsutaan tarkennetuksi suostumukseksi. Välttämättömät evästeet eivät kuitenkaan edellytä suostumusta.

GDPR määrittelee sen, miten käyttäjän suostumus on hankittava, mutta EU:ssa evästeiden käyttöä säätelee myös ePrivacy-direktiivi, joka täydentää GDPR:ää ja koskee erityisesti evästeiden kaltaisia verkkoseurantatekniikoita. Tämän vuoksi monet verkkosivustot näyttävät EU:n käyttäjille evästebannereita ja pyytävät heitä hallitsemaan asetuksiaan, ennen kuin ei-välttämättömiä evästeitä otetaan käyttöön.

Jos haluat vähentää tietojesi seurantaa verkossa, virtuaalisen erillisverkon (VPN) käyttö voi auttaa parantamaan selaamisen yksityisyyttä peittämällä IP-osoitteesi ja salaamalla verkkoliikenteesi.

Yleisiä väärinkäsityksiä GDPR:stä

GDPR on ollut voimassa jo vuosia, mutta siihen liittyy edelleen paljon väärinkäsityksiä siitä, mitä se käytännössä tarkoittaa yritysten kannalta. Käydäänpä näitä väärinkäsityksiä läpi.

GDPR koskee vain EU-maiden yrityksiä

Usein oletetaan, että GDPR koskee vain EU:n sisällä toimivia yrityksiä, mutta asetuksen soveltamisala on paljon laajempi. Myös EU:n ulkopuolella toimivien yritysten, esimerkiksi yhdysvaltalaisten yritysten, on noudatettava GDPR:ää, jos ne tarjoavat tuotteita tai palveluja EU:n alueella oleville ihmisille tai seuraavat heidän toimintaansa verkossa esimerkiksi seurantaevästeiden avulla.

Suostumus on aina pakollinen

Toinen yleinen väärinkäsitys on, että GDPR edellyttää aina suostumusta henkilötietojen käsittelyyn. Todellisuudessa suostumus on vain yksi useista laillisista perusteista. Yritykset voivat tukeutua myös sopimukseen, lakisääteiseen velvoitteeseen, elintärkeään välttämättömyyteen, julkishallinnollisiin tehtäviin tai oikeutettuun perusteeseen, kunhan yksilöiden oikeuksia kunnioitetaan. Suostumus on välttämätön silloin, kun mikään muu oikeusperuste ei täyty.

GDPR on pelkkä sakotusjärjestelmä

Monet pitävät GDPR:ää pelkästään suurten sakkojen määräämiseen pyrkivänä järjestelmänä, mutta todellisuudessa sen keskeinen tavoite on vahvistaa yksityisyyden suojaa ja edistää vastuullista tietojen käsittelyä. Seuraamukset rikkomuksista voivat olla merkittäviä, mutta GDPR:n painopiste on tosiasiassa siinä, että organisaatiot käsittelevät henkilötietoja läpinäkyvästi, turvallisesti ja yksilöiden oikeuksia kunnioittaen.

GDPR estää kaiken markkinoinnin

Yksi yleinen harhaluulo on se, että GDPR tekee markkinoinnista mahdotonta. Asetus ei kiellä markkinointia kokonaan, vaan asettaa sille rajat varmistaakseen, että henkilötietoja käytetään reilulla tavalla. Sopivan oikeusperusteen, kuten esimerkiksi suostumuksen tai lakisääteisen velvoitteen avulla yritykset voivat edelleen harjoittaa markkinointia EU:n alueella oleville henkilöille, kunhan yksityisyyden suojaa kunnioitetaan.