GDPR on lyhenne sanoista ”General Data Protection Regulation”, mikä suomeksi käännettynä on yleinen tietosuoja-asetus. Se on Euroopan unionin asetus, joka sääntelee henkilötietojen käsittelyä ja suojaa yksityishenkilöiden tietosuojaa EU:ssa. GDPR on voimassa kaikissa EU-maissa ja sillä pyritään antamaan yksilöille parempi hallinta omista henkilötiedoistaan sekä luomaan yhtenäiset säännöt tietosuojasta kaikkialla EU:ssa. Asetus tuli voimaan 25. toukokuuta 2018.
GDPR:n tavoitteena on suojata yksilöiden yksityisyyttä ja antaa heille enemmän hallintaa omista henkilötiedoistaan. Asetus sisältää säännöksiä henkilötietojen keräämisestä, käsittelystä, säilyttämisestä, tietoturvasta ja yksilöiden oikeuksista omiin tietoihinsa. Se myös määrää seuraamuksista ja sanktioista organisaatioille, jotka eivät noudata asetuksen vaatimuksia.
Organisaatioiden tulee noudattaa GDPR:n sääntöjä, kun ne keräävät, käsittelevät tai tallentavat henkilötietoja. Tämä koskee esimerkiksi yrityksiä, julkishallintoa, voittoa tavoittelemattomia organisaatioita ja muita toimijoita, jotka käsittelevät henkilötietoja. Asetus edellyttää muun muassa selkeää informointia yksilöille heidän tietojensa käsittelystä, suostumuksen pyytämistä tietyissä tapauksissa, turvatoimien toteuttamista ja yksilöiden oikeuksien kunnioittamista.
Lakisääteisyys
GDPR on voimassa oleva EU:n asetus, joka edellyttää yrityksiä ja organisaatioita noudattamaan sen säännöksiä henkilötietojen käsittelystä. Yrityksen on täytettävä asetuksen vaatimukset, jotta se toimii lainmukaisesti ja välttää mahdolliset sakot ja seuraamukset. Lisää tietosuojalaista voit lukea Finlexistä.
Yksilön oikeudet
GDPR antaa yksilöille laajat oikeudet omiin henkilötietoihinsa, kuten oikeuden saada tietää, mitä tietoja yritys kerää heistä, ja oikeuden pyytää tietojen korjaamista tai poistamista. Yrityksen tulee olla valmis vastaamaan näihin pyyntöihin.
GDPR sisältää useita yksilön oikeuksia henkilötietojen käsittelyyn liittyen, ja nämä oikeudet koskevat myös yrityksen kotisivuja. Yrityksen kotisivuilla tulee olla selkeä ja ymmärrettävä tietosuojailmoitus.
Kun yritys kerää ja käsittelee yksilön tietoja, tulee yksilöllä olla oikeus tarkastella heidän omia tietoja. Jos henkilötiedoissa löytyy virheitä tai korjattavaa, on yksilöllä oikeus pyytää tietojen korjaamista. Kotisivujen tietosuojailmoituksessa voi kertoa, miten korjauspyyntö tehdään.
Yksilöllä tulee olla myös ”oikeus unohtaa” eli yksilön tulee olla oikeus pyytää tietojensa poistoa. Lisäksi yksilöllä tulee olla oikeus pyytää henkilötietojensa rajoittamista tiettyihin tilainteisiin, esimerkiksi jos hän kistää tietojen oikeellisuuden.
Yksilöillä voi olla oikeus saada heidän omat henkilötietonsa jäsennellyssä ja koneellisesti luettavassa muodossa siirrettäväksi toiselle palveluntarjoajalle.
Yksilöillä on oikeus vastustaa henkilötietojensa käsittelyä esimerkiksi suoramarkkinointitarkoituksiin. Tässä kohtaa yrityksen kannattaa aina pyytää henkilöä itse merkitsemään hyväksynnän suoramarkkinointiin esimerkiksi lomakkeella.
Yrityksen kotisivujen tulisi tarjota mahdollisuus käyttäjille toteuttaa näitä oikeuksiaan helposti. Tämä voi tarkoittaa esimerkiksi tietosuojailmoituksen laatimista, yhteydenottolomakkeiden tai sähköpostiosoitteiden tarjoamista tiedusteluja varten sekä käyttäjätilien hallintapaneelin tarjoamista, jos sivustoilla on käyttäjätilijärjestelmä.
Suostumus
Organisaatioiden on pyydettävä selkeästi ja ymmärrettävästi käyttäjien suostumus henkilötietojen keräämiseen ja käsittelyyn. Suostumuksen tulee olla vapaaehtoinen, informoitu ja yksiselitteinen.
Jos yritys kerää evästeiden tai muiden seurantatekniikoiden avulla tietoja, tulee käyttäjiltä pyytää suostumus ennen kuin tietoja kerätään.
Suoramarkkinoinnissa yrityksen kotisivuilla oleva lomake, jossa kerätään sähköpostimarkkinointiin sähköpostiosoitteita. Tähän tulee olla erikseen yksilön valittavissa se, että vastaanottaa suoramarkkinointia, eikä se tule olla valmiiksi valittuna.
Tietoturva
GDPR:n tietoturva yrityksen kotisivuilla tarkoittaa henkilötietojen asianmukaista suojaamista ja turvaamista, kun käsitellään ja tallennetaan henkilötietoja verkkosivustolla. Tämä on tärkeää, jotta yksilöiden yksityisyys ja tietosuoja voivat säilyä. Tässä on hyvä ottaa huomioon tietojen salaus, tietoturva-aukkojen välttäminen, käyttäjätunnistus ja -valvonta, evästeiden käyttö, henkilötietojen minimointi, tietojen säilytysaika, tietomurrot ja niistä ilmoittaminen sekä kumppanien ja alihankkijoiden tietoturva.
Tietosuojailmoitukset
Organisaatioiden on annettava selkeää tietoa siitä, miten ja miksi henkilötietoja käsitellään. Tämä tieto on esitettävä ymmärrettävästi ja helposti saatavilla. Tällainen on esimerkiksi jo aiemmin ilmoitettu tietosuojailmoitus yrityksen kotisivuilla.
Tietojen siirto EU:n tai ETA-alueen ulkopuolelle
Jos tietoja siirretään EU:n tai ETA-alueen ulkopuolelle, tulee varmistaa, että siirto tapahtuu asianmukaisilla suojatoimilla, kuten Euroopan komission hyväksymillä mallisopimuslausekkeilla.
Sakot ja seuraamukset
Yrityksen tulisi ottaa tietoturva vakavasti ja toteuttaa tarvittavat toimenpiteet henkilötietojen suojaamiseksi ja tietoturvan ylläpitämiseksi. Tämä auttaa vähentämään tietoturvariskejä ja varmistamaan, että henkilötiedot käsitellään GDPR:n vaatimusten mukaisesti. GDPR:ssä määrätään seuraamuksista organisaatioille, jotka eivät noudata asetuksen vaatimuksia. Sakot voivat olla huomattavan suuria, riippuen rikkeen vakavuudesta.
Yhteenvetona GDPR:n huomioiminen on tärkeää, koska se varmistaa yrityksen lainmukaisuuden, suojaa yksilöiden oikeuksia ja yksityisyyttä, sekä auttaa säilyttämään asiakasluottamuksen ja maineen.
Lisätietoja tietosuojasta löytyy Tietosuoja.fi-sivustolta.