EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) tulee sovellettavaksi 25.5.2018, ja se tuo mukanaan liudan uudistuksia, jotka parantavat yksilön mahdollisuuksia määrätä omista henkilötiedoistaan. Asetus myös tiukentaa rekisterinpitäjän vastuuta henkilötietojen käsittelijänä.

Yksi keskeisimmistä asetuksen tuomista uudistuksista on oikeus tulla unohdetuksi (right to be forgotten). Sen mukaan henkilöä koskevat tiedot tulee poistaa rekisteristä, kun hän ei enää halua tietojansa käsiteltävän ja niiden käsittelylle ei ole laillisia perusteita. Oikeus tulla unohdetuksi parantaa yksilöiden oikeutta hallita henkilötietojaan ja niiden käyttöä.

Asetus antaa yksilölle myös paremman mahdollisuuden tietojensa siirtoon. Rekisteröidyllä on oikeus saada henkilötietonsa siirrettyä rekisteristä toiseen.

GDPR edellyttää jäsenvaltioiden määräävän valvontaviranomaisen, joka vastaa asetuksen soveltamisen valvonnasta. Tämä tulee helpottamaan sekä rekisterinpitäjiä että rekisteröityjä, joiden tulee vastedes ottaa yhteyttä kansalliseen valvontaviranomaiseen. Henkilö voikin ottaa yhteyttä kansalliseen valvontaviranomaiseen, vaikka hänen henkilötietojaan käsitellään toisessa valtiossa. Keskeinen GDPR:n aiheuttama uudistus on myös se, että asetusta sovelletaan myös yrityksiin, jotka eivät sijaitse EU:n alueella, mutta jotka tarjoavat palveluita EU:n alueella. Tämä laajentaa asetuksen soveltamisalan koskemaan myös suuria kansainvälisiä yhtiöitä.

GDPR lisää rekisterinpitäjän vastuuta. Jos rekisterinpitäjä ei täytä asetuksen asettamia vaatimuksia henkilötietojen käsittelystä, ovat sanktiot suuret. Hallinnollinen sakko on 20 miljoonaa euroa tai 4 % yrityksen globaalista liikevaihdosta riippuen siitä, kumpi määrä muodostuu suuremmaksi.

Asetus myös määrää, että henkilötietojen tietoturvaloukkauksen tapahtuessa rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa valvontaviranomaiselle. Näin ei tosin tarvitse menetellä, jos tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Tietoturvaloukkauksesta on ilmoitettava myös rekisteröidylle, jos se todennäköisesti aiheuttaa korkean riskin luonnollisen henkilön oikeuksille ja vapauksille.

Nopeaa apua lakiasioihin.