Tietosuoja-asetus on ollut 25.5.2018 asti voimassa sovellettavaa lainsäädäntöä. Tuosta ajankohdasta saakka tietosuoja-asetusta on sovellettu henkilötietojen käsittelyyn. Henkilötiedoilla tarkoitetaan kaikkea sellaista tietoa, josta yksin tai yhdistelemällä henkilö voidaan tunnistaa. Käsittelyllä taas puolestaan viitataan kaikkeen toimintaan tai toimintoihin, joita kohdistetaan henkilötietoihin. Nämä toiminnot ovat mm. tyypillisesti henkilötiedon keräämistä, säilyttämistä tai ko. tiedon muokkaamista.
Tietosuoja-asetus asettaa rekisterinpitäjälle, eli käytännössä taholle, joka määrittelee henkilötietojen keräämisen tarkoitukset vaatimuksia henkilötietojen tietoturvalliselle käsittelemiselle. Tähän liittyy osaltaan tietosuojaa koskevat vaatimukset.
Tällaisena keskeisenä vaatimuksena voidaan rekisterinpitäjältä edellyttää sitä, ettei sen keräämä henkilöä koskeva henkilötieto pääse leviämään hallitsemattomasti.
Tietosuoja-asetus mahdollistaa rekisteröidylle eli sille, joka on antanut tietyllä perusteella henkilötietonsa rekisterinpitäjän käsiteltäväksi tehokkaat oikeussuojakeinot oikeuksiensa valvomiseksi. Tämä tarkoittaa käytännössä vahingonkorvauskanteen nostamista rekisterinpitäjää vastaan yleisessä tuomioistuimessa.
Tietosuoja-asetuksen johdantotekstin mukaan rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tietosuoja-asetusta.
Tietosuoja-asetus täsmentää rekisterinpitäjän vastuuta 82 artiklassa, joka mahdollistaa tietosuoja-asetuksen rikkomista koskevassa tilanteessa henkilölle oikeuden saada korvausta sekä aineettomasta että aineellisesta vahingosta.
Aineettomalla vahingolla tarkoitetaan Suomessa voimassa olevan vahingonkorvauslain mukaista kärsimyskorvausta, jota voi kuvailla sellaiseksi henkiseksi kärsimystunteeksi, jonka henkilö voi kokea mielipahana, häpeänä tai esimerkiksi pelkotilana. Aineellisella vahingolla puolestaan tarkoitetaan sellaista vahinkoa, joka jälkeenpäin on konkreettisesti todennettavissa.
Mikäli rekisterinpitäjä voi osoittaa, ettei se ole millään tavalla vastuussa kyseisestä vahingosta, voi se vapautua vastuusta. Tällöin arvioitaneen sitä, onko rekisterinpitäjä täyttänyt kaikki sille tietosuoja-asetuksessa ja sitä täydentävässä lainsäädännössä asetetut vaatimukset.
