Tietosuoja-asetus ja tietosuojaperiaatteet

Tietosuoja-asetusta (General Data Protection Regulation eli GDPR) aletaan soveltaa 25.5.2018. Se on tullut voimaan jo 25.5.2016. Tietosuoja-asetuksen lisäksi Suomessa sovelletaan sitä täydentävänä yleislakina kansallista tietosuojalakia.

Tietosuojaperiaatteet

Tietosuoja-asetus määrää kaikille yhteisistä tietosuojaperiaatteista, joita tulee noudattaa kaikessa henkilötietojen käsittelyssä:

  • Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (lainmukaisuus, kohtuullisuus ja läpinäkyvyys);
  • Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla (käyttötarkoitussidonnaisuus);
  • Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi);
  • On toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (täsmällisyys);
  • Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten (säilytyksen rajoittaminen); ja
  • Henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (eheys ja luottamuksellisuus).

Tietosuoja-asetus (GDPR, EU) 2016/679 on julkaistu kokonaisuudessaan myös suomeksi.