Tämä on ensimmäinen osa kaksiosaisesta blogikirjoituksesta, joka käsittelee GDPR:ää ja Brexitiä. Ensimmäisessä osassa keskitytään siihen, mikä GDPR tarkalleen ottaen on, miten se vaikuttaa Brexitiin ja mitä voimme odottaa osana uutta asetusta.
Lue toinen osa täältä.
GDPR - Mikä se on?
EU:n yleisen tietosuoja-asetuksen (GDPR) soveltaminen 25. toukokuuta 2018 tulee jossain muodossa voimaan Yhdistyneessä kuningaskunnassa riippumatta siitä, mitä 50 artiklan kanssa tapahtuu siihen mennessä. Siirtyminen yhtenäiseen EU:n sääntely-ympäristöön on suurin muutos tietosuojassa 20 vuoteen. Sen tarkoituksena on yhtenäistää ja vahvistaa yksilöiden tietosuojaa, ja sen tavoitteena on yksinkertaistaa sääntöjen noudattamista kaikkialla Euroopassa toimiville yrityksille.
GDPR - (Br)Exit in Style?
Euroopan unionista eroamista koskevat neuvottelut voivat kestää vuosia, ja tänä aikana Yhdistyneeseen kuningaskuntaan sovelletaan edelleen EU:n tietosuojalainsäädäntöä. Brexitistä riippumatta GDPR:n soveltaminen on velvollisuus kaikille brittiläisille yrityksille, jotka tarjoavat tavaroita tai palveluja EU:n kansalaisille tai jotka seuraavat EU:n kansalaisten käyttäytymistä. Jos Yhdistynyt kuningaskunta eroaa EU:sta, mutta jatkaa osallistumistaan Euroopan talousalueen (ETA) jäsenenä, se jatkaa vapaakauppaa EU:n kanssa sillä edellytyksellä, että se alistuu EU:n lakeihin (GDPR mukaan lukien). Irtautumisessa, jossa Yhdistynyt kuningaskunta saavuttaa täydellisen riippumattomuuden, sovelletaan "kolmansien maiden" tietosuojasääntöjä, jotka voivat rajoittaa Yhdistyneen kuningaskunnan tietojen vientiä. EU:n komission olisi tällöin muodostettava näkemys siitä, tarjoaako Yhdistynyt kuningaskunta brexitin jälkeen riittävän tietosuojan ETA-maasta vietyjen tietojen osalta. Saadakseen komission hyväksynnän Yhdistyneen kuningaskunnan on lähes varmasti parannettava tietosuojalakejaan, jotta ne olisivat olennaisesti samanlaiset kuin yleinen tietosuoja-asetus ja jotta se voisi säilyttää henkilötietojen välttämättömän virran Yhdistyneen kuningaskunnan ja EU:n välillä.
GDPR - Mitä uutta?
Shakespearen Hamlet on arviolta noin 20 000 sanan mittainen, ja Euroopan unionin virallinen lehti on 88-sivuinen ja pitkä asiakirja, eikä liene yllätys, että muutokset ovat merkittäviä ja kattavat useita aloja. Yleisen tietosuoja-asetuksen mukainen alueellinen soveltamisala kattaa paljon enemmän EU:n ulkopuolisia organisaatioita, ja 27 artiklassa säädetään, että EU:n ulkopuolisilla organisaatioilla on oltava edustaja EU:n alueella. Erityisryhmiin kuuluvien henkilötietojen laajempi määritelmä 9 artiklan mukaisesti sisältää geneettisten ja biometristen tietojen käsittelyn, mikä edellyttää tiukempaa suojaa tällaisille tiedoille.
Yleisessä tietosuoja-asetuksessa säädetään myös tiukemmasta valvonnasta sellaisten tietojen käsittelylle, jotka heijastavat henkilön rotua tai etnistä alkuperää, poliittisia tai uskonnollisia tai filosofisia mielipiteitä tai vakaumuksia, sekä terveydentilaa tai sukupuolielämää koskevien tietojen käsittelylle. Toisin kuin nykyisessä tietosuojadirektiivissä, tietosuoja-asetuksessa edellytetään erillisen suostumuksen hankkimista tietojenkäsittelytoimiin, jotka eivät liity tietojen alkuperäiseen keruun syyhyn, ja rekisteröidyllä on oikeus peruuttaa tällainen suostumus milloin tahansa. Mitä tulee sakkoihin, joita voidaan määrätä, yleinen tietosuoja-asetus liittyy kilpailu- ja lahjonnan vastaisten lakien rinnalle, sillä niiden noudattamatta jättämisestä määrättävät seuraamukset ovat kaikkein korkeimpia. Rekisteröityjen oikeuksiin, suostumusten käsittelyyn ja kansainvälisiin siirtorajoituksiin liittyvistä rikkomuksista määrätään suurimmat sakot, jotka voivat olla enintään 20 000 000 euroa tai enintään 4 prosenttia edellisen vuoden maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi on korkeampi.
Jos haluat varmistaa, että henkilökuntasi on täysin tietoinen GDPR:stä ja siitä, miten sitä sovelletaan organisaatioonne, ota meihin yhteyttä saadaksesi lisätietoja tai pyydä esittelyä GDPR:ää käsittelevästä eLearning-kurssistamme.
