Tietosuoja-asetus voimassa puolitoista vuotta – Millaisia sanktioita on annettu?
07.11.2019
Tietosuoja-asetuksen soveltaminen alkoi toukokuussa 2018. Eri maiden valvontaviranomaiset ovat tutkineet tähän mennessä jo yli 210 000 tietosuoja-asetusta koskevaa rikkomusta. Näistä yli 65 000 on koskenut tietoturvaloukkauksia ja yli 95 000 ovat muita valituksia ja kanteluita. Eniten tietoturvaloukkauksia on tähän mennessä ilmoitettu Alankomaissa, Saksassa ja Iso-Britanniassa.
Suurin hallinnollinen sakko tietosuoja-asetuksen rikkomisesta on tähän mennessä ollut Googlelle Ranskan valvontaviranomaisten toimesta langetettu 50 miljoonaa euroa. Google on valittanut päätöksestä, joten päätös ei ole lainvoimainen. Googlen katsottiin rikkoneen henkilötietojen käsittelyä koskevaa sääntelyä liittyen mm. tietosuojainformoinnin läpinäkyvyyteen ja mainonnan kohdentamiseen liittyviin suostumuksiin. Päätöksessä nostettiin esille myös se, että käyttäjiä ei ollut informoitu riittävällä tavalla, ja saatavilla oleva informaatio oli hajanaista ja vaikeaselkoista. Googlen saama hallinnollinen sakko poikkeaa huomattavasti suuruudeltaan tyypillisistä tietosuoja-asetuksen nojalla annetuista hallinnollisista sakoista. Sakon suureen määrään vaikutti liikevaihdon lisäksi mm. käyttäjien suuri määrä.
Sakkoja on jaettu, mutta ei vielä Suomessa
Lisäksi syksyn aikana otsikoihin on noussut esimerkiksi kaksi kreikkalaisen valvontaviranomaisen langettamaa hallinnollista sakkoa. Isompi 400 000 euron sakko annettiin useista tietosuoja-asetuksen velvoitteiden rikkomuksista, esimerkiksi liittyen asetuksen ”sisäänrakennetun tietosuojan”-periaatteen rikkomisesta. Sähköisissä suoramarkkinointiviesteissä ollut ns. opt-out -toiminto ei toiminut vaadittavalla tavalla. Sen vuoksi markkinoinnin kieltäneet asiakkaat saivat yhtiöltä edelleen mainospostia.
Pienempi 15 000 euron sakko langetettiin yhtiölle, joka oli vaatinut työntekijöitään allekirjoittamaan henkilötietojen käsittelyä koskevan suostumuksen. Valvontaviranomainen katsoi, että vaadittu suostumus ei tosiasiassa siinä tilanteessa ollut laillinen peruste henkilötietojen käsittelylle. Lisäksi yhtiö ei ollut informoinut henkilöstöä, mihin käsittelyperusteisiin heidän henkilötietojensa käsittely tosiasiassa perustui. Tämän vuoksi mm. tietosuoja-asetuksen informointivelvoitteita katsottiin rikotun.
Näiden tapausten ohella hallinnollisia sakkoja on jaettu esimerkiksi puutteellisten pääsynhallintajärjestelyiden tai informoinnin osalta. Lisäksi hallinnollisiin sakkoihin ovat johtaneet mm. puutteet liittyen henkilötietojen käsittelyä koskeviin sopimuksiin tai tietosuoja-asetuksen periaatteiden noudattamiseen esimerkiksi tietojen minimoinnin osalta.
Suomessa valvontaviranomainen ei ole toistaiseksi määrännyt hallinnollisia sakkoa tietosuoja-asetuksen rikkomisesta. Suomessa hallinnollisten sakkojen määräämisestä päättää kolmejäseninen seuraamuskollegio, joka aloitti työnsä vasta tämän vuoden syyskuun lopussa. Seuraamuskollegioon kuuluu tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegion antamaan päätökseen voi hakea muutosta hallinto-oikeudelta.
Hallinnolliset sakot vasta viimeinen sanktiokeino
Hallinnolliset sakot on tarkoitettu lähtökohtaisesti vakavien rikkomusten varalle. Tietosuojaviranomaisella on käytössään neuvonnan ja ohjauksen lisäksi myös muita puuttumiskeinoja, kuten huomautuksen, varoituksen tai henkilötietojen käsittelyä koskevan kiellon määrääminen.
Hallinnollisten sakkojen määräytyminen perustuu tietosuoja-asetuksen säännöksiin. Tiettyjen asetuksen velvoitteiden rikkominen johtaa pienempään sakkoluokkaan eli enimmillään 10 miljoonan euron sakkoihin tai summaan, joka on 2% liikevaihdosta. Tiettyjen asetuksen säännösten rikkominen johtaa taas suurempaan sakkoluokkaan, jolloin summa voi nousta enimmillään 20 miljoonaan euroon tai summaan, joka on 4% liikevaihdosta. Lisäksi sakkojen määräytymiseen vaikuttaa esimerkiksi kuinka yhteiskykyinen loukkauksen tehnyt taho on, mikä on loukkauksen laajuus, kesto sekä luonne ja mitkä henkilötiedot olivat loukkauksen kohteena ja miten rikkomus tuli valvontaviranomaisen tietoon. Lisäksi rekisteröidyillä oikeus hakea vahingonkorvausta esimerkiksi rekisterinpitäjältä, jos henkilötietojen käsittelystä on aiheutunut rekisteröidyille vahinkoa.
Keskeinen tekijä oikeudellisten riskien pienentämisessä on ns. osoitusvelvollisuuden täyttäminen. Henkilötietoja käsittelevän tahon tulee pystyä osoittamaan noudattaneensa tietosuoja-asetusta. Tähän liittyen olennaista on riittävän sisäisen ja ulkoisen tietosuojadokumentaation ylläpito sekä ennen kaikkea yhtiön sisäisten ja ulkoisten henkilötietojen käsittelynprosessien lainmukaisuuden varmistaminen ja jatkuva seuranta. Riittävät toimenpiteet tulee mitoittaa käsittelyyn liittyviin riskeihin ja niiden riittävyys perustuu aina kokonaisarvioon. Riittävän tietosuojadokumentaation ohella tulee huolehtia esimerkiksi henkilökunnan koulutuksesta ja tietosuoja-asioiden sisäisestä vastuuttamisesta sekä henkilötietojen käsittelyyn käytettyjen alihankkijoiden valvonnasta.
Annamme mielellämme lisätietoja.
Markus Myhrberg, Partner, [email protected]
Ville Kukkonen, Associate, [email protected]
Maria Storey, Associate, [email protected]
