Tietosuoja-asetus (englanniksi General Data Protection Regulation) on komission ajama, tulossa oleva, mutta ei vielä lopullisessa muodossaan oleva säännös, joka olisi tarkoitus vahvistaa ensi vuonna ja astua voimaan vuonna 2016. Olennaisin ero nykyiseen on teknisten erojen lisäksi siinä, että kyseessä ei ole direktiivi, vaan asetus.
Tietosuoja myllerryksessä, osa III
Pureudutaan tällä kertaa tietojen hallintaoikeuksiin joita komission ehdottama tietosuoja-asetus tarjoaisi henkilölle jonka tietoja käsitellään. Käsittelyä aloitettaessa henkilölle on kerrottava iso lista asioita käsittelyn perusteista ja hänen oikeuksistaan. Suostumusta tietojen käsittelyyn ei saa olettaa, vaan se on saatava explisiittisesti ja todistusvastuu on tietojen käsittelijällä. Suostumuksen voi myös peruuttaa milloin vain.
Henkilöllä, jonka tietoja käsitellään, on oikeus tarkastaa tietonsa, korjata virheelliset tiedot, kieltää tietojen käyttö profilointiin, siirtää tietonsa ja oikeus tulla unohdetuksi. Jos tietoja käsitellään automatisoidusti, on tarkistusmahdollisuuskin oltava tarjolla sähköisesti. Käyttäjää ei myöskään saa laskuttaa oikeuksiensa käytöstä, ellei niiden käyttö ole yletöntä. Sosiaalisen median isot pelurit lobbaavat kovasti profiloinnin kieltämisoikeutta vastaan, saavathan ne profiloinnista suurimman osan tuloistaan.
Järjestelmän kehittämiseen saadaan lisähaasteita siitä, että käyttäjälle pitää hänen niin halutessaan luovuttaa hänen tietonsa sähköisessä, strukturoidussa ja yleisesti käytetyssä muodossa. Ideana on, että hän voisi kilpailuttaa ja siirtää tietonsa toisen palveluntarjoajan järjestelmään. Odotamme mielenkiinnolla millaisia käytännön toteutuksista tulee. Järjestelmien yhteensopivuutta ei tietenkään voida vaatia, mutta kysymykseksi jää kuinka sotkuisia export-toteutuksia tullaan näkemään.
Toinen suuri haaste on käyttäjän oikeus tulla unohdetuksi, eli kaikkien tietojen poistaminen järjestelmästä, mukaan lukien kolmannet tahot, joille tietojen käsittely tai varastointi on ulkoistettu. Iso kysymys on myös se, kuinka laajalle levinneestä datasta ja missä määrin tiedon alkuperäistä käsittelijää voidaan oikeasti pitää vastuussa, ja millaisia oikeusriitoja tästä tulemme näkemään.
Keskeisimmät säädöksen kohdat oikeuksien suhteen ovat siis:
15. Right of access
16. Right to rectification
17. Right to be forgotten and erasure
18. Right to data portability
19. Right to to object
20. Measures based on profiling
Edellisessä osassa kävimme läpi vaatimuksia tietomurroista raportointiin sekä asetuksen potentiaalisiin (sakko)rangaistustasoihin.