Tietosuoja-asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta. Asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. Henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä. Asetuksen johdanto-osan kappaleen 4 mukaan oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin.
Asetuksen tavoitteet ja periaatteet vastaavat pitkälti henkilötietodirektiivin tavoitteita ja periaatteita. Tietosuoja-asetus säädettiin varmistamaan luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estämään henkilötietojen vapaata liikkuvuutta sisämarkkinoilla haitanneet eroavuudet henkilötietodirektiivin soveltamisessa.
Tietosuoja-asetuksen lähestymistapa on riskiperusteinen, jolloin henkilötietojen suojan painopiste on tilanteissa, jotka todennäköisimmin muodostavat uhkan henkilöiden yksityisyydelle.
Tietosuoja-asetus on suoraan sovellettavaa oikeutta, mutta siinä sallitaan kuitenkin useiden säännösten osalta kansallisia täydentäviä säännöksiä, eli se sisältää direktiivinluonteista kansallista liikkumavaraa. Tietosuoja-asetuksen kansallinen liikkumavara mahdollistaa kansallisen asetuksen säännöksiä täsmentävän lainsäädännön. Lisäksi kansallisella lainsäädännöllä on joissain tilanteissa mahdollista poiketa tietosuoja-asetuksen velvoitteista. Kansallisella liikkumavaralla tarkoitetaan, että asetusta täsmentävä kansallinen lainsäädäntö on mahdollista ainoastaan niiltä osin, kuin se asetuksessa nimenomaisesti sallitaan. Kansallisen henkilötietojen käsittelyä koskevan lainsäädännön liikkumavaranmukaisuuden lisäksi lainsäätäjän on varmistettava myös se, ettei kansallinen sääntely ole muiltakaan osin ristiriidassa tietosuoja-asetuksen kanssa. Kansallinen liikkumavara pohjautuu tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohtaan sekä erityisiin henkilötietoryhmiin kuuluvien tietojen osalta 9 artiklan 2 kohdan b, g, h, i ja j alakohtaan. Asetus sisältää myös useita artiklakohtaisia tarkennuksia kansallisesta liikkumavarasta. Poikkeamismahdollisuus liittyy keskeisesti 23 artiklan (rajoitukset) ja IX luvun (tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset) soveltamiseen.
Tietosuoja-asetuksen kohde, tavoitteet ja soveltamisala sekä asetuksessa käytettävät käsitteet määritellään asetuksen I luvussa. Asetuksen 2 artiklan mukaan asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
Tietosuoja-asetuksen keskeisten käsitteiden (henkilötieto, käsittely, rekisteri, rekisterinpitäjä, henkilötietojen käsittelijä, vastaanottaja) määritelmät (4 artikla) vastaavat pitkälti henkilötietodirektiiviä. Henkilötiedon määritelmässä tarkennetaan, että myös sijaintitieto ja verkkotunnistetieto ovat henkilötietoja. Asetuksessa on myös useita uusia määritelmiä (esimerkiksi pseudonymisoiminen, henkilötietojen tietoturvaloukkaus, geneettinen tieto, biometrinen tieto, päätoimipaikka, edustaja, yritys ja konserni).
Tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista, joita ovat lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus. Rekisterinpitäjän on pystyttävä osoittamaan noudattaneensa näitä periaatteita henkilötietojen käsittelyssä (osoitusvelvollisuus).
Tietosuoja-asetuksen 6 artiklassa säädetään henkilötietojen käsittelyn lainmukaisuudesta. Artiklan 1 kohdan mukaan henkilötietojen käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Luettelossa mainitut edellytykset vastaavat suurelta osin henkilötietolain 8 §:n 1 momentissa säädettyjä perusteita henkilötietojen käsittelylle. Suostumuksen edellytyksistä säädetään 7 artiklassa.
Tietosuoja-asetuksen 9 artiklassa säädetään erityisiä henkilötietoryhmiä koskevasta käsittelystä. Erityisten henkilötietoryhmien käsite käy ilmi 9 artiklan 1 kohdasta, jossa säädetään seuraavasti: ”Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.”
Tietosuoja-asetuksen 9 artiklassa mainitut erityiset henkilötietoryhmät vastaavat pitkälti henkilötietolain 11 §:ssä lueteltuja arkaluonteisia tietoja. Määritelmät eroavat toisistaan erityisesti siinä, että henkilötietolain mukaan arkaluonteisia tietoja ovat myös rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta koskevat tiedot.
Poikkeuksista käsittelykieltoon säädetään asetuksen 9 artiklan 2 kohdassa. Osa poikkeuksista on suoraan sovellettavia, ja osa edellyttää kansallista lainsäädäntöä. Erityisten henkilötietoryhmien käsittelykieltoa ei sovelleta muun muassa, jos käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista (2 kohdan b alakohta). Erityisiä henkilötietoryhmiä koskevan 9 artiklan 4 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.
Tietosuoja-asetuksen 10 artiklan mukaan rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 6 artiklan 1 kohdan perusteella suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.
Tietosuoja-asetuksen III luvussa säädetään rekisteröidyn oikeuksista. Rekisteröidyn oikeuksia koskevassa luvussa on säännökset muun muassa:
rekisteröidyn informoinnista (12—14 artikla),
rekisteröidyn oikeudesta saada pääsy tietoihin (15 artikla),
oikeudesta tietojen oikaisemiseen (16 artikla),
oikeudesta tietojen poistamiseen (17 artikla),
oikeudesta käsittelyn rajoittamiseen (18 artikla),
oikeudesta siirtää tiedot järjestelmästä toiseen (artikla 20),
vastustamisoikeudesta (21 artikla), sekä
automatisoiduista yksittäispäätöksistä (22 artikla).
Tietosuoja-asetuksen IV luvussa säädetään muun muassa rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista.
Tietosuoja-asetuksen V luku koskee henkilötietojen siirtoa kolmansiin maihin ja kansainvälisille järjestöille, VI luku valvontaviranomaisia, VII luku valvontaviranomaisten yhteistyötä ja yhdenmukaisuusmekanismia ja VIII luku oikeussuojakeinoja, vastuita ja seuraamuksia.
Hallinnollisten sakkojen määräämisen yleisistä edellytyksistä säädetään tietosuoja-asetuksen 83 artiklassa, jonka mukaan jokaisen valvontaviranomaisen on varmistettava, että asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdassa lueteltujen tietosuojaviranomaisen käytettävissä olevien muiden toimenpiteiden lisäksi tai niiden sijasta.
Tietosuoja-asetuksen IX luvussa on säädetty erityisistä käsittelytilanteista ja niitä koskevasta kansallisesta liikkumavarasta. Luvun 88 artiklassa säädetään käsittelystä työsuhteen yhteydessä. Artiklan 1 kohdan mukaan jäsenvaltiot voivat antaa lakisääteisesti tai työehtosopimuksilla yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä oikeuksien ja vapauksien suojan varmistamiseksi, erityisesti palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuus ja monimuotoisuus työpaikalla, työterveys ja -turvallisuus, työnantajan tai asiakkaan omaisuuden suoja, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä sekä työsuhteen päättämistä varten. Artiklan 2 kohdan mukaan näihin sääntöihin on sisällytettävä asianmukaisia ja erityisiä toimenpiteitä rekisteröidyn ihmisarvon, oikeutettujen etujen ja perusoikeuksien suojaamiseksi siten, että erityistä huomiota kiinnitetään tietojenkäsittelyn läpinäkyvyyteen, henkilötietojen siirtoihin saman konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, sisällä ja työpaikalla käytössä oleviin valvontajärjestelmiin.
Tietosuoja-asetuksen johdanto-osan kappaleen 155 mukaan jäsenvaltion lainsäädännöllä tai työehtosopimuksilla, mukaan lukien ”paikalliset sopimukset”, voidaan vahvistaa erityissäännöksiä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä, erityisesti niistä edellytyksistä, joiden mukaisesti henkilötietoja voidaan käsitellä työsuhteen yhteydessä työntekijän suostumuksen perusteella taikka palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuuden ja monimuotoisuuden toteutuminen työpaikalla, työterveys ja -turvallisuus, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten.
