Euroopan unionin yleinen tietosuoja-asetus (GDPR) on EUlaki, joka tuli voimaan 25. toukokuuta 2018. GDPRtavoitteena on suojella EUkansalaisten yksityisyyttä säätelemällä heidän henkilötietojensa keräämistä, käsittelyä ja käyttöä organisaatioiden toimesta. Tämä artikkeli antaa yleiskuvan GDPRä, sen keskeisistä säännöksistä ja vaikutuksista yrityksille.
Mikä on GDPR?
GDPR on sääntöjoukko, joka säätelee yksilöiden henkilötietojen käsittelyä EU. Henkilötiedot ovat mitä tahansa tietoa, joka voi tunnistaa henkilön, kuten nimi, sähköpostiosoite, IP-osoite ja sijaintitiedot. Asetusta sovelletaan kaikkiin organisaatioihin niiden sijainnista riippumatta, jotka käsittelevät EUkansalaisten henkilötietoja. Tämä tarkoittaa, että EUulkopuolella sijaitsevien organisaatioiden, jotka käsittelevät EUkansalaisten henkilötietoja, on noudatettava GDPR:ää.
GDPRkeskeiset säännökset
GDPR sisältää useita keskeisiä säännöksiä, joita organisaatioiden on noudatettava, mukaan lukien:
Suostumus: Organisaatioiden on saatava henkilöiltä selkeä ja tietoinen suostumus heidän henkilötietojensa keräämiseen, käsittelyyn ja käyttöön.
Läpinäkyvyys: Organisaatioiden on annettava yksilöille selkeää ja tiivistä tietoa siitä, miten heidän henkilötietojaan käytetään.
Rekisteröidyn oikeudet: Yksilöillä on oikeus tarkastella, korjata ja poistaa omia henkilötietojaan sekä vastustaa niiden käsittelyä.
Tietosuojavastaava: Organisaatioiden on nimettävä tietosuojavastaava (DPO) seuraamaan tietosuojatoimia.
Tietoturvaloukkauksista ilmoittaminen: Organisaatioiden on ilmoitettava henkilötietojen tietoturvaloukkauksista yksilöille ja viranomaisille 72 tunnin kuluessa.
Sisäänrakennettu ja oletusarvoinen tietosuoja: Organisaatioiden on toteutettava teknisiä ja organisatorisia toimenpiteitä henkilötietojen turvallisen ja yksityisen käsittelyn varmistamiseksi.
GDPRvaikutus yrityksiin
GDPR on vaikuttanut merkittävästi yrityksiin, jotka käsittelevät EUkansalaisten henkilötietoja. Vaadittujen toimenpiteiden laiminlyönti voi johtaa koviin rangaistuksiin, mukaan lukien jopa 20 miljoonan euron sakko tai 4 % yrityksen maailmanlaajuisesta liikevaihdosta riippuen siitä, kumpi on suurempi. GDPR on lisännyt datankäsittelytoimien valvontaa ja lisännyt tietoisuutta ihmisten yksityisyydensuojasta.
Jotta yritykset täyttäisivät GDPRvaatimukset, niiden on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi, nimettävä tietosuojavastaava ja kunnioitettava yksilöiden oikeuksia. Tämä saattaa edellyttää merkittäviä muutoksia tietojenkäsittelykäytännöissä, mukaan lukien sisäänrakennetun tietosuojan periaatteiden käyttöönotto ja tietosuoja-arviointien toteuttaminen.
Yhteenveto
GDPR on merkittävä asetus, jonka tavoitteena on suojata yksilöiden yksityisyyttä EU. Se asettaa tiukat vaatimukset EUkansalaisten henkilötietoja käsitteleville organisaatioille ja sillä on merkittävät seuraamukset, jos asetusta ei noudateta. Yritysten on suhtauduttava GDPR:ään vakavasti ja toteutettava asianmukaisia toimenpiteitä vaatimusten täyttämiseksi ja henkilötietojen suojaamiseksi.