GDPR tuo mukanaan yhdeksän suurta muutosta

Sivuston eugdpr.org mukaan EU:n uusi tietosuoja-asetus GDPR sisältää yhdeksän suurta muutosta aikaisempaan tietosuojadirektiiviin verrattuna. 

Moln2_stralfors875x580.jpg

1. Maantieteellisesti laajempi kattavuus. 

Uusi asetus koskee kaikkia yrityksiä, jotka käsittelevät EU-maissa asuvien henkilöiden tietoja, toimipa yritys missä päin maailmaa tahansa.

2. Rangaistusmaksu.

Henkilötietojen käsittelyn huonosti hoitava yritys voidaan tuomita maksamaan hallinnollinen sanktiomaksu, jonka suuruus on jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen maailmanlaajuisesta liikevaihdosta – maksu määräytyy suurimman summan mukaan.

3. Myöntymys.

Pitkien ja vaikeasti ymmärrettävien sopimusten käyttö kielletään. Asiakkaan suostumusta on kysyttävä helposti ymmärrettävällä tavalla, ja lupa pitää pystyä haluttaessa peruuttamaan yhtä helposti.

4. Tietomurroista tiedottaminen.

Tietomurron kohteeksi joutuneen yrityksen on tiedotettava asiasta maissa, jossa tietovuoto saattaa rajoittaa ihmisten vapautta ja oikeuksia.

5. Tietojen saatavuus.

Jokaisella kansalaisella on oikeus saada ilmaiseksi sähköinen kopio yrityksen tallentamista henkilötiedoista. Lisäksi jokaisella on oikeus tietää, käsitelläänkö tietoja jollakin tavalla ja siinä tapauksessa missä ja mihin tarkoitukseen.

6. Oikeus tietojen poistamiseen.

Yrityksen on henkilön pyynnöstä poistettava kaikki tätä koskevat tiedot, samalla kun tietojen levittäminen ja käsittely kolmannen osapuolen luona on lopetettava.

7. Tiedonsiirto.

Kansalaisilla on oikeus saada käyttöönsä itseään koskevat tiedot sellaisessa muodossa, että ne voidaan antaa toisen toimijan käyttöön.

8. Integriteettisuoja.

Integriteettisuoja on sisällytettävä järjestelmään noudattamalla nk. Privacy by designia. Tämä tarkoittaa mm. sitä, että ainoastaan työtehtävän kannalta ehdottoman tarpeelliset tiedot saa tallentaa ja että henkilötiedot saa luovuttaa vain sellaisten henkilöiden käyttöön, jotka tarvitsevat niitä tietojen käsittelyyn.

9. Tietosuoja-asiamies.

Tietosuoja-asiamiehen, Data protection officer, nimittäminen on pakollista vain sellaisissa organisaatioissa, joiden ydintoiminta edellyttää henkilötietojen säännöllistä ja järjestelmällistä valvontaa suuressa mittakaavassa, sekä organisaatioissa, jotka käsittelevät arkaluonteisia tietoja.