GDPR

GDPR (General Data Protection Regulation, yleinen tietosuoja-asetus) on Euroopan unionin tietosuoja-asetus, joka astui voimaan 25.5.2018. Se on suunniteltu suojaamaan yksityishenkilöiden henkilötietojen käsittelyä ja parantamaan heidän tietosuojaoikeuksiaan.

GDPR korvasi aiemman tietosuojadirektiivin ja loi yhdenmukaiset tietosuojasäännöt kaikkialle EU:hun. GDPR koskee kaikkia organisaatioita, jotka käsittelevät EU:ssa oleskelevien yksilöiden henkilötietoja riippumatta siitä, missä organisaatio sijaitsee. Tämän vuoksi se vaikutti merkittävästi tietosuojakäytäntöihin ja -sääntöihin maailmanlaajuisesti.

GDPR:n tärkeimpiä tavoitteita ovat:

1. Yksilön oikeudet: GDPR antaa yksilöille useita oikeuksia, kuten oikeuden tietää mitä tietoja heistä kerätään, oikeuden pyytää tietojen poistamista sekä oikeuden kieltää tietojen käsittely tietyissä tilanteissa.
2. Suostumus: Organisaatiot tarvitsevat selkeän ja yksiselitteisen suostumuksen henkilöiltä tietojen keräämiseen ja käsittelyyn. Suostumus on oltava helposti peruutettavissa.
3. Tietojen käsittelyn periaatteet: GDPR asettaa vaatimuksia tietojen käsittelylle, kuten tietojen minimointi, tarkkuus ja rajoitetut säilytysajat.
4. Tietoturva: GDPR edellyttää, että organisaatiot ottavat käyttöön asianmukaiset tietoturvatoimenpiteet henkilötietojen suojaamiseksi.
5. Tietosuojavastaava: Monet organisaatiot joutuvat nimeämään tietosuojavastaavan, joka valvoo tietosuojaan liittyviä asioita.
6. Ilmoitusvelvollisuus: Organisaatioiden on ilmoitettava tietosuojaviranomaisille ja asianomaisille yksilöille tietoturvaloukkauksista.
7. Seuraamukset: GDPR antaa tietosuojaviranomaisille valtuudet määrätä sakkoja organisaatioille, jotka rikkovat asetusta. Sakot voivat olla merkittäviä.

Kts. myös tietoturva