EU:n yleinen tietosuoja-asetus : rekisteröidyn oikeuksien toteutuminen ja datanhallinnan hyödyntäminen yrityksissä

Abstract

Datan alentuneet käsittelykustannukset houkuttelevat yrityksiä keräämään dataa entistä enemmän, joka voi johtaa henkilötietojen käsittelyn väärinkäyttöön ja rekisteröidyn yksityisyyden loukkaamiseen. Euroopan unionin yleinen tietosuoja-asetus astui voimaan 25.5.2018, jonka myötä jokaisen, Euroopan unionin sisällä henkilötietoja käsittelevän yrityksen, on noudatettava asetuksessa määrättyjä vaatimuksia. Asetuksen tarkoituksena on yhtenäistää lainsäädäntö Euroopan unionin sisällä sekä lisätä oikeuksia yksilöille. Asetuksen vaatimusten rikkomisesta voi koitua yritykselle merkittäviä sanktiota – jopa 4 % yrityksen globaalista vuosittaisesta liikevaihdosta tai 20 miljoonaa euroa, riippuen kumpi näistä on suurempi. Vaatimusten toteuttamisen tekee haastavaksi konkretian puuttuminen asetuksen virallisesta tekstistä, joka myös vaikeuttaa yksilön tapaa käyttää oikeuksiaan sekä tarkastella käsittelyn lainmukaisuutta.

Tämän tutkimuksen tarkoituksena on selvittää, miten rekisteröidyn oikeuksia koskevat vaatimukset ovat toteutettu yrityksissä ja, kuinka datanhallintaa on hyödynnetty niiden toteuttamisessa. Tutkimus toteutettiin laadullisena tutkimuksena, jossa haastateltiin eri toimialojen tietosuojavastaavia tai yleisen tietosuoja-asetuksen parissa työskenteleviä henkilöitä. Tutkimukseen osallistui kahdeksan henkilöä. Tutkimuksessa havaittiin, että rekisteröidyn oikeuksia koskevat vaatimukset olivat toteutettu eri tavalla osallistuneissa yrityksissä. Tutkimuksessa myös havaittiin, että datanhallinnalla on ollut keskeinen rooli rekisteröidyn oikeuksien toteuttamisessa ja yleisesti asetuksen vaatimustenmukaisuudessa. Johtopäätöksenä voidaan todeta, että eri toimialojen lainsäädäntö ja henkilötietojen käsittelyn laajuus vaikuttavat osaltaan siihen, miten yrityksissä on toteutettu rekisteröidyn oikeuksia koskevat vaatimukset.

The decrease in costs of data processing is tempting companies to collect more data from their customers, which can lead to misconducts in personal data processing and violations of data subject’s privacy. The European General Data Protection Regulation (later referred to as ”Regulation”) entered into force on 25 May 2018, which means that every company processing personal data within the European Union must comply with the requirements set out in the Regulation*. The purpose of the Regulation is to harmonize legislation around personal data processing within the European Union and to increase the rights of individuals as data subjects. Violation of the requirements set by the Regulation can result in significant sanctions for the company - up to 4% of the company's global annual turnover or 20 MEUR, whichever is higher. The implementation of the requirements is made complicated by the lack of specificity in the official text of the Regulation, which also makes it difficult for an individual to exercise his or her rights and to review the lawfulness of the data processing they are subject to.

The purpose of this study is to find out how the requirements regarding data subject's rights have been implemented in companies and how data management has been utilized in the implementations. The study was carried out as a qualitative study, in which data protection officers from different industries or people working on the general data protection regulation domain were interviewed. In total, eight people participated in the study. The study found out that the requirements regarding data subject's rights were implemented in multiple different ways within the participating companies. The study also discovered that data management has played a key role in enforcing the data subject's rights and, more generally, in complying with the Regulation. In conclusion, the legislation in different sectors and fields of industry as well as the scope of the processing of personal data contribute to the implementation of the requirements regarding data subject's rights in companies.