Esittelyä GDPR-asetuksen rajauksista sekä yleisistä tavoitteista.

Määritelmiä siitä, millaista henkilötietojen käsittelyä GDPR-asetus koskee ja millaista ei.

GDPR-asetuksen soveltaminen määräytyy mm. alueellisen sijainnin perusteella, jonka perusteet esitellään tässä artiklassa.

Tärkeimpien GDPR-asetuksen termien määritelmät.

Osoitusvelvollisuus on yksi GDPR:n tuomista selkeimmistä uudistuksista. Jokaisen organisaation pitää kyetä osoittamaan noudattavansa seuraavia henkilötietojen käsittelyn periaatteita.

Henkilötietojen käsittelyn on aina perustuttava lailliseen oikeusperusteeseen, joista rekisteröidyltä saatu suostumus ja tarpeellisuus sopimuksen tuottamiseen ovat yleisimmät.

Kun henkilötietojen käsittely perustuu rekisteröidyltä saatuun suostumukseen, seuraavien periaatteiden on täytyttävä suostumusprosessissa.

Lasten henkilötietoja suojellaan GDPR-asetuksessa erityisen tarkasti. Seuraavien periaatteiden on täytyttävä käsiteltäessä lasten henkilötietoja suostumukseen perustuen.

Erityisiä henkilötietoryhmiä ovat mm. rotu ja etninen alkuperä tai ammattiliiton jäsenyys. Tällaisia henkilötietoja saa käsitellä ainoastaan tämän artiklan listaamissa tilanteissa.

Rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja voidaan käsitellä ilman henkilöltä saatua suostumusta, joten tässä artiklassa tarkennataan tämän laillista toteuttamista.

Määritelmiä käsittelystä, joka ei edellytä henkilön tunnistamista. Tällaisessa käsittelyssä kaikkia GDPR-asetuksen kohtia ei sovelleta.

Rekisterinpitäjältä vaaditaan selkeää, läpinäkyvää informointia mm. rekisteröidyille henkilötietoja käsitellessään. Tämä artikla esittelee tähän liittyviä periaatteita.

Yksityiskohtainen yhteenveto tiedoista, jotka rekisterinpitäjän on esitettävä rekisteröidylle, kun häneltä saadaan henkilötietoja rekisteriin.

Yksityiskohtainen yhteenveto tiedoista, jotka rekisterinpitäjän on esitettävä rekisteröidylle, kun hänen henkilötietojaan lisätään rekisteriin muusta lähteestä, kuin häneltä itseltään.

Rekisteröidyllä on oikeus tietää, käsitelläänkö hänen henkilötietojaan, ja saada lisäksi paljon muuta tietoa henkilötietojen käsittelystä seuraavien periaatteiden mukaan.

Rekisteröidyllä on oikeus vaatia epätarkkojen tai virheellisten tietojen oikaisua.

Tiettyjen perusteiden täyttyessä (mm. henkilötietojen käsittelyn perustuessa suostumukseen), rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot poistumaan rekisteristä.

Rekisteröidyllä on tietyissä tilanteissa oikeus saada rekisterinpitäjä rajoittamaan hänen henkilötietojensa käsittelyä.

Mikäli rekisterinpitäjä on välittänyt rekisteröidyn henkilötietoja eteenpäin, hänen on ilmoitettava myös tietojen vastaanottajille rekisteröidyn oikeuksiin liittyvistä muutoksista.

Kun henkilötietojen käsittely perustuu suostumukseen tai suoritetaan automaattisesti, rekisteröidyllä on oikeus saada tietonsa ja siirtää tietonsa toiselle rekisterinpitäjälle estämättä.

Rekisteröidyllä on oikeus vastustaa häntä koskevien henkilötietojen käsittelyä, kun käsittely perustuu yleiseen tai oikeutettuun etuun, jolloin käsittelyä saadaan jatkaa vain huomattavan tärkeän syyn turvin.

Kun henkilötietojen avulla tehdään automaattisia päätöksiä (esim. profilointi), rekisteröidyllä on erityisen vahvat oikeudet riitauttaa tehty päätös ja jopa estää automaattinen käsittely.

Rekisteröidyn oikeuksista voidaan tinkiä ainoastaan tämän artiklan esittelemien asioiden turvaamiseksi.

Rekisterinpitäjän vastuulla on järjestää yleisesti ne toimenpiteet ja toimintaperiaatteet, jotka varmistavat tämän asetuksen noudattamisen ja sen, että asetuksen noudattaminen pystytään osoittamaan.

Rekisterinpitäjän vastuulla on järjestää ne toimenpiteet, jotka tuovat tietosuojaperiaatteet (kuten tietojen minimoinnin) osaksi henkilötietojen käsittelyä ja rekisteröityjen oikeuksia pystytään suojaamaan.

Jos rekisterinpitäjiä on useampia, heidän on järjesteltävä tämän asetuksen eri vastuut ja tehtävät selvästi ja tämän järjestelyn oleellisten osien on oltava rekisteröityjen saatavilla. Rekisteröidyt voivat kuitenkin käyttää oikeuksiaan kutakin rekisterinpitäjää kohtaan ja vastaan.

Unionin ulkopuolelle sijoittautunut rekisterinpitäjä tarvitsee nimetyn edustajan unionin aluetta varten, kun rekisterinpitäjä käsittelee unionissa olevien henkilötietoja tavaroiden tai palvelujen tarjoamiseen rekisteröidyille tai rekisteröityjen käyttäytymisen seurantaan.

Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Tätä käsittelyä täytyy ohjata sopimuksella, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja vahvistaa tämän artiklan mukaiset käsittelyn avainasiat.

Kaiken henkilötietojen käsittelyn, joka tapahtuu rekisterinpitäjän lukuun, on tapahduttava rekisterinpitäjän ohjeiden mukaisesti.

Rekisterinpitäjän sekä henkilötietojen käsittelijän on muodostettava ja julkaistava tämän artiklan mukainen kirjallinen seloste henkilötietojen käsittelytoimistaan.

Rekisterinpitäjän ja henkilötietojen käsittelijän on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa.

Rekisterinpitäjän ja henkilötietojen käsittelijän vastuulla on analysoida henkilötietojen käsittelyn rekisteröidyille aiheuttamaa riskiä ja toteuttaa riskitasoa vastaavan turvallisuustason varmistavat toimenpiteet (kuten henkilötietojen salaus ja henkilöstön koulutus), joita esitellään tässä artiklassa.

Jos tapahtuu henkilötietojen tietoturvaloukkaus, kunkin osapuolen on ilmoitettava eteenpäin relevanteille osapuolille, esimerkiksi henkilötietojen käsittelijän rekisterinpitäjälle ja rekisterinpitäjän valvontaviranomaiselle.

Jos tapahtuu henkilötietojen tietoturvaloukkaus, kunkin osapuolen on ilmoitettava eteenpäin relevanteille osapuolille, esimerkiksi rekisterinpitäjän rekisteröidyille.

Jos tietyntyyppinen henkilötietojen käsittely aiheutaa rekisteröidyn kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle.

Jos vaikutustenarvioinnissa todetaan suunnitellun henkilötietojen käsittelyn aiheuttavan korkean riskin, eikä rekisterinpitäjä ole toteuttanut toimenpiteitä riskin pienentämiseksi, rekisterinpitäjän on ennen henkilötietojen käsittelyä kuultava valvontaviranomaista.

Rekisterinpitäjän ja henkilötietojen käsittelijän on tämän artiklan mukaisissa tilanteissa nimitettävä tietosuojavastaava, joka mm. seuraa ja neuvoo tämän asetuksen noudattamisessa.

Tietosuojavastaava on monin puolin erityisasemassa tehtävänsä vuoksi. Häntä ei esimerkiksi saa neuvoa tehtävissään eikä rangaista tehtäviensä hoitamisesta.

Tietosuojavastaava neuvoo ja antaa tietoa tämän asetuksen noudattamiseen liittyen ja hänellä on oltava hoidettavanaan ainakin tämän artiklan mukaiset tehtävät.

GDPR-asetus velvoittaa jäsenvaltioita, valvontaviranomaisia, tietosuojaneuvostoa sekä komissiota edistämään käytännesääntöjen laatimista, jotka voivat helpottaa esimerkiksi eri kokoisten ja eri alojen organisaatioita soveltamaan tätä asetusta asianmukaisesti.

Mikäli GDPR:n asianmukaista soveltamista helpottavia käytännesääntöjä muodostuu, niiden noudattamista voi seurata ainoastaan toimija, jolla on käytännesääntöjen kohteen osalta asianmukaisen tason asiantuntemus ja jonka toimivaltainen valvontaviranomainen on akkreditoinut tähän tarkoitukseen.

Tietosuojaa koskevia sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä kannustetaan ottamaan käyttöön erityisesti unionin tasolla. Sertifikaattien tarkoituksena on osoittaa, että kyseisiä käsittelytoimia suoritettaessa noudatetaan tätä asetusta.

Tietosuojaan liittyvän sertifioinnin voi myöntää ja uusia ainoastaan riippumaton ja asiantunteva toimija, jonka joko valvontaviranomainen tai erityinen kansallinen akkreditointelin on akkreditoinut.

Mikäli henkilötietoja on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, niitä voidaan siirtää vain tämän luvun periaatteita noudattamalla, jotta tällä asetuksella taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta.

Henkilötietoja voidaan siirtää ilman erillistä lupaa kolmanteen maahan tai kansainväliselle järjestölle, jos komissio on erikseen päättänyt, että kyseinen vastaanottaja varmistaa riittävän tietosuojan tason.

Tämä artikla esittelee suojatoimia, joita on oltava tehtynä, jotta henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle, mikäli vastaanottajan tietosuojaa ei ole erityisesti komissiossa todettu riittäväksi.

Henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille vaatii asianmukaisia suojatoimia, joista yksi oleellisimmista on yritystä koskevat sitovat säännöt. Nämä säännöt on hyväksytettävä valvontaviranomaisella ja niissä on määritettävä vähintään tässä artiklassa listatut asiat.

Henkilötietojen siirtämistä vaativan kolmannen maan tuomioistuimen tai hallintoviranomaisen päätöksen on perustuttava tämän maan ja unionin väliseen voimassa olevaan kansainväliseen sopimukseen, jotta se voisi olla täytäntöönpanokelpoinen.

Jos aiemmin tässä luvussa esitellyt tilanteet eivät ole kyseessä, henkilötietojen siirto kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa ainoastaan tämän artiklan esittelemillä edellytyksillä.

Komissio ja eri jäsenvaltioiden valvontaviranomaiset tekevät yhteistyötä henkilötietojen suojaamiseksi mm. kehittämällä kansainvälisiä yhteistyökeinoja tukemaan lainsäädännön toteutumista sekä tarjoamalla keskinäistä apua asetuksen valvonnaksi.

Tätä asetusta valvovasta viranomaisesta käytetään nimitystä valvontaviranomainen. Valvontaviranomaiset pyrkivät vaikuttamaan asetuksen yhdenmukaiseen soveltamiseen koko unionissa. Kukin jäsenvaltio on vastuussa siitä, että yksi tai useampi viranomainen nimetään tähän tehtävään.

Valvontaviranomaisen työhön ei saa vaikuttaa ulkopuolelta ja heille on taattava tarpeelliset resurssit, jotta he voivat hoitaa tehtävänsä ja käyttää valtuuksiaan tämän asetuksen mukaisesti.

Tarkempia edellytyksiä valvontaviranomaisen nimittämiselle, erottamiselle pätevyydelle sekä toimintakaudelle.

Jäsenvaltion lainsäädännössä on säädettävä valvontaviranomaisen perustamisesta, mm. kelpoisuusehdoista, nimitysmenettelyistä sekä toimikausien kestosta.

Valvontaviranomaisella on valtuudet tämän asetuksen mukaisten tehtävien hoitoon oman jäsenvaltionsa alueella.

Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena sekä ainoana yhteystahona kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta.

Jokaisen valvontaviranomaisen on alueellaan hoidettava vähintään tämän artiklan mukaiset tehtävät, eikä tehtävien hoitamisesta saa aiheutua kustannuksia rekisteröidyille tai tietosuojavastaaville.

Tarkennuksia valvontaviranomaisen valtuuksista erilaisissa tutkinta-, toimivalta-, hyväksymis- ja neuvontatarpeissa. Jäsenvaltiokohtaisesti valvontaviranomaisen valtuuksia voidaan laajentaa.

Valvontaviranomaisen on laadittava vuosittain toimintakertomus, johon sisältyvät tämän artiklan määrittelemät asiat.

Kaikkien osallistuvien valvontaviranomaisten on tehtävä yhteistyötä, tarjottava keskinäistä avunantoa ja toteutettava yhteisiä operaatioita, jotta usean jäsenvaltion alueelle sijoittautuneita rekisterinpitäjiä tai henkilötietojen käsittelijöitä pystytään valvomaan asiallisesti.

Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua, ilman aiheetonta viivytystä ja viimeistä kuukauden kuluessa pyynnön vastaanottamisesta, tämän asetuksen soveltamisen varmistamiseksi.

Valvontaviranomaisten on tarvittaessa toteutettava yhteisiä operaatioita. Operaatioihin saavat osallistua jokaisen jäsenvaltion valvontaviranomaiset, joiden alueella rekisterinpitäjä tai henkilötietojen käsittelijä toimii tai joissa asuviin rekisteröityihin käsittelytoimet merkittävästi vaikuttavat.

Valvontaviranomaisten on tehtävä yhteistyötä toistensa ja komission kanssa artikojen 63-67 määrittelemän yhdenmukaisuusmekanismin mukaisesti.

Tämän artiklan mukaisista asioista valvontaviranomaisen on tehtävä päätösehdotus tietosuojaneuvostolle, joka antaa vastauksena lausunnon. Mikäli valvontaviranomaisen epäillään laiminlyöneen velvollisuuksia yhteistyöhön ja keskinäiseen avunantoon useaan valtioon vaikuttavassa asiassa, voivat myös muut valvontaviranomaiset pyytää tietosuojaneuvoston lausuntoa.

Tietosuojaneuvosto antaa tämän artiklan mukaisissa asioissa sitovia päätöksiä, jotta voidaan edistää tämän asetuksen asianmukaista ja yhtenäistä soveltamista koko unionissa.

Valvontaviranomainen voi omalla alueellaan poikkeusoloissa toteuttaa kiireellisiä väliaikaisia toimenpiteitä ilman edellä kuvattua yhdenmukaisuusmenettelyä, mikäli rekisteröityjen oikeuksien ja vapauksien suojaaminen tätä vaatii. Myös tietosuojaneuvostolta voidaan pyytää perusteltuna kiireellistä lausuntoa, jolloin lausunto toimitetaan kahden viikon kuluessa.

Komissio voi hyväksyä yleisiä täytäntöönpanosäädöksiä, joilla täsmennetään järjestelyt valvontaviranomaisia koskeviin sähköisin keinoin toteutettavaan tietojenvaihtoon.

Tietosuojaneuvosto, johon kuuluu yksi valvontaviranomaisen johtaja kustakin jäsenvaltiosta sekä Euroopan tietosuojavaltuutettu, perustetaan.

Tietosuojaneuvosto toimii riippumattomasti eikä toimivaltaansa käyttäessään pyydä eikä vastaanota ohjeita miltään taholta.

Tietosuojaneuvosto varmistaa, että tätä asetusta sovelletaan yhdenmukaisesti, ja toteuttaa tämän varmistamiseksi vähintään tämän artiklan mukaiset tehtävät.

Tietosuojaneuvoston on laadittava ja julkaistava vuosittain kertomus luonnollisten henkilöiden tietosuojasta käsittelyn yhteydessä unionissa ja toimitettava se Euroopan parlamentille, neuvostolle ja komissiolle.

Tarkennuksia päätöksentekomenettelyistä Euroopan tietosuojaneuvostossa.

Tarkennuksia puheenjohtajan valinnasta ja toimikaudesta Euroopan tietosuojaneuvostossa.

Euroopan tietosuojaneuvoston puheenjohtaja valmistelee tietosuojaneuvoston kokoukset, valvoo tietosuojaneuvoston toimintaa ja tiedottaa sen päätöksistä.

Tietosuojaneuvostolla on sihteeristö, joka toimii puheenjohtajan ohjeiden mukaisesti ja hoitaa erityisesti tämän artiklan mukaiset tehtävät.

Tietosuojaneuvoston keskustelut ovat luottamuksellisia neuvoston katsoessa sen tarpeelliseksi työjärjestyksensä mukaisesti.

Jokaisella rekisteröidyllä on oikeus tehdä valitus alueensa valvontaviranomaiselle, jos rekisteröidyn mielestä häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta.

Tarkennuksia oikeuksista tehokkaisiin oikeussuojakeinoihin viranomaista vastaan eri tilanteissa.

Tarkennuksia oikeuksista tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan eri tilanteissa.

Rekisteröidyllä on oikeus valtuuttaa asianmukaisesti perustettu, voittoa tavoittelematon järjestö tai yhdistys, tekemään valitus puolestaan ja käyttämään puolestaan 77, 78 ja 79 artiklassa tarkoitettuja oikeuksia.

Jos rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintoihin liittyvää samaa asiaa koskevia kanteita on muidenkin jäsenvaltioiden tuomioistuimissa, ensin nostettu kanne jatkuu ja muut voivat keskeyttää menettelynsä.

Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada korvaus. Ensisijaisesti vastuussa ovat kaikki rekisterinpitäjät, jotka ovat osallistuneet tietojenkäsittelyyn. Henkilötietojen käsittelijä on vastuussa vain, jos se ei ole noudattanut tämän asetuksen velvoitteita henkilötietojen käsittelijälle tai rekisterinpitäjän ohjeita.

Valvontaviranomaisilla on huomautusten ja muiden valtuuksien lisäksi mahdollisuus määrätä kussakin tapauksessa hallinnollisia sakkoja. Sakkojen määräytymisessä huomioidaan tämän artiklan näkökulmat ja niiden suuruus on enintään 20 000 000 euroa, tai neljä prosenttia yrityksen edeltävän tilikauden vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.

Jäsenvaltioiden on vahvistettava tehokkaat säännöt asetuksen rikkomisesta etenkin niille osille, joihin ei artiklan 83 nojalla sovelleta hallinnollisia sakkoja.

Jäsenvaltioiden on lainsäädännöllä sovitettava yhteen tämän asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen.

Tarkennuksia henkilötietojen käsittelystä virallisten asiakirjojen yhteydessä.

Jäsenvaltiot voivat halutessaan määritellä tarkemmin kansallisen henkilötunnuksen käsittelyn edellytykset.

Jäsenvaltiot voivat tarkentaa sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä.

Henkilötietojen käsittely yleisen edun mukaisia arkistointi-, tutkimus- ja tilastointitarkoituksia varten on asetuksessa erityistapaus, joten tällaisen käsittelyn yhteydessä vaadittavia suojatoimia tarkennetaan tässä artiklassa.

Jäsenvaltiot voivat antaa erityissääntöjä valvontaviranomaisten valtuuksista suhteessa rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joita koskee salassapitovelvollisuus.

Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset soveltavat tämän asetuksen tullessa voimaan kattavia sääntöjä, jotka koskevat luonnollisten henkilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä voidaan soveltaa edelleen, jos ne saatetaan tämän asetuksen mukaisiksi.

Komissiolle siirrettyä valtaa antaa delegoituja säädöksiä koskevat tässä artiklassa säädetyt edellytykset.

Komiteamenettelyä käytetään silloin, kun EU:n säädöksen (kuten GDPR) täytäntöönpanovalta on siirretty komissiolle. EU-maiden edustajista koostuva komitea avustaa komissiota täytäntöönpanotoimenpiteiden määrittelyssä. Tässä artiklassa tarkennuksia komiteamenettelyn toteuttamisesta.

Aiempi direktiivi "yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta" kumoutuu 25.5.2018, samana päivänä kun siirtymäaika GDPR-asetuksen soveltamiseen päättyy.

"Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla" säätävä direktiivi jää voimaan eikä GDPR tuo lisävelvoitteita käsittelyn osalta, joissa on noudatettava tässä direktiivissä säädettyjä erityisiä velvoitteita.

Kansainväliset sopimukset, joissa edellytetään henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille, ovat edelleen voimassa, kunnes ne muutetaan, korvataan tai kumotaan.

Komissio toimittaa Euroopan parlamentille joka neljäs vuosi kertomuksen tämän asetuksen arvioinnista ja uudelleentarkastelusta.

Komissio esittää tarvittaessa lainsäädäntöehdotuksia unionin muiden henkilötietojen suojaa koskevien säädösten muuttamiseksi, jotta varmistetaan yhtenäinen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä.

GDPR-asetus on kaikilta osiltaan velvoittava, sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa 25 päivästä toukokuuta 2018.