gdpr sakot vuosi gdpr:ää

Vuosi GDPR:ää – sanktiot tulivat, vaikutukset alkavat näkyä

Googlelle suurimmat GDPR-sakot tähän mennessä Ranskasta: 50 miljoonaa euroa. Myös muut maat aktivoituvat. Katso mitä kaikkea GDPR on tuonut tullessaan.

GDPR:ää eli yleistä tietosuoja-asetusta on nyt sovellettu reilun vuoden ajan. Tuliko jättisanktioita, kuten pelättiin? Onko mikään muuttunut? Oliko uudistus pannukakku vai tuliko siitä jotain hyvää?

Tietosuojavaltuutettu Reijo Aarnio kertoo blogissaan, miltä vuosi GDPR:ää on näyttänyt viranomaisen näkökulmasta. Tietosuojavaltuutetulle on ilmoitettu noin 1600 tietosuojavastaavaa, minkä lisäksi vireille tulleiden asioiden määrä on edellisiin vuosiin verrattuna 2,5-kertainen. Tämä merkitsee, että Suomessa asiamäärien kasvu on ollut noin 150 %, kun se EU:n jäsenmaissa on ollut keskimäärin 40 – 60 %:n luokkaa.

Suomessa kansallista ratkaisukäytäntöä ei ole vielä päässyt muotoutumaan. Syynä tähän lienee osaltaan se, että kansallinen, tietosuoja-asetusta täydentävä tietosuojalakimme saatiin voimaan vasta 1.1.2019.

Suurimmat GDPR-sakot toistaiseksi – Googlelle 50 miljoonaan rapsut

Muiden maiden tietosuojaviranomaiset sen sijaan ovat jo päässeet GDPR-ratkaisujen makuun. Suurin toistaiseksi langetettu GDPR-sakko on Ranskan tietosuojaviranomaisen Googlelle langettama 50 miljoonan euron sanktio läpinäkyvän informoinnin ja oikeaoppisen suostumuksen keräämisen laiminlyönnistä (katso ohjeemme läpinäkyvän informoinnin toteuttamiseen täältä).

Googlen saama sakko on suurin yksittäinen GDPR:n nojalla annettu, mutta esimerkkejä on muitakin. Norjassa Bergenin kunta sai 170.000 euron sakot, kun yksi kunnan oppilaista löysi 35.000 oppilaan ja koulun henkilökunnan salaamattomat kirjautumistiedot sisältävät tiedostot julkiselta palvelimelta. Tiedostot olivat kenen tahansa löydettävissä koulussa käytetyn oppimisalustan kautta.

Ranskassa kiinteistövälitysyhtiö Sergic sai 400.000 euron sakot, kun käyttäjät pystyivät pääsemään käsiksi toisten käyttäjien tiedostoihin sivuston URL-osoitetta muokkaamalla.

Puolassa puolestaan nimeämätön yhtiö sai 220.000 euron sakot, kun se oli kerännyt noin 6 miljoonan ihmisen julkisia tietoja käyttääkseen niitä kaupallisiin tarkoituksiin, mutta laiminlyönyt kertonut tiedon keruusta sen kohteena oleville henkilöille.

GDPR:n nojalla annettuja sanktioita seuraavan enforcementtracker.com -sivuston tietojen mukaan Tsekeissä ja Bulgariassa on otettu kantaa työsuhteessa käsiteltäviin henkilötietoihin.

Bulgariassa työntekijä oli pyytänyt työnantajalta pääsyä tietoihinsa. Työnantajalle määrättiin 500 euron sakot, kun työnantaja ei ollut vastannut työntekijän pyyntöön ajoissa ja GDPR:n edellyttämällä tavalla. Tsekeissä entinen työntekijä oli puolestaan pyytänyt, että työnantaja poistaisi häntä koskevat tiedot yhtiön Facebook-sivulta. Työnantaja sai 388 euron sakot, kun työnantaja ei ollut toteuttanut poistopyyntöä.

gdpr sakot vuosi gdpr:ää

Tietoturvaloukkauksia kymmeniä tuhansia

EU:n tietosuojaviranomaisille oli tammikuuhun 2019 mennessä ilmoitettu vajaat 42.000 tietoturvaloukkausta. Ajantasaista tietoa ei ole saatavilla, mutta luku lähentelee tässä vaiheessa jo todennäköisesti jo 100.000 ilmoitettua tietoturvaloukkausta.

Määrä on suuri eikä todennäköisesti edes pidä sisällään kaikkia todellisuudessa tapahtuneita tietoturvaloukkauksia. Loukkauksia jää varmasti paljon ilmoittamatta.

Toisaalta moni raportoiduista loukkauksista lienee vaikutuksiltaan ja vakavuudeltaan vähäinen. Tietoturvaloukkauksesta ei GDPR:n mukaan tarvitse ilmoittaa, jos siitä ei todennäköisesti aiheudu ihmisten oikeuksiin ja vapauksiin kohdistuvaa riskiä. Arvion tekeminen aiheutuvasta riskistä voi olla hankalaa ja käytännössä yritykset ja yhteisöt sakkojen pelossa todennäköisesti mieluummin ilmoittavat kuin jättävät ilmoittamatta.

Mitä seuraavaksi?

Tietosuojan ammattilaisten keskuudessa yleinen käsitys tuntuu olevan se, että nyt eletään vielä tietynlaista suvantovaihetta. Kunhan EU-maiden tietosuojaviranomaiset pääsevät kunnolla vauhtiin GDPR:n tulkitsemisessa tulemme saamaan ratkaisuja, jotka tarkentavat GDPR:n säännöksiä ja sen edellyttämää vaatimustasoa.

Vaatimustason tarkentuessa olemme viisaampia sen suhteen, mitä vielä on tehtävä.

Oman näkemykseni mukaan asiat laitettiin suomalaisissa yrityksissä melko hyvälle tolalle vuoden takaisessa rutistuksessa. GDPR:n mukanaan tuoma – ja sen yrityksiltä vaatima – ajattelutavan muutos on kuitenkin vasta alkamassa. Menee vielä vuosia ennen kuin näemme GDPR:n vaikutukset kokonaisuudessaan.

Töitä on siis vielä tehtävänä, mutta työn hedelminä voimme odottaa parempaa ja datankäytöltään reilumpaa yhteiskuntaa.

Sillä välin Kiinan valvontaan perustuva kansalaispisteytysjärjestelmä antaa meille varoittavan esimerkin toisenlaisesta mahdollisesta tulevaisuudesta ilman oikeasuhtaisia ja oikeudenmukaisia tiedonkeruun ja -käytön sääntöjä.

Lisää tietosuojaa ja yksityisyyttä käsitteleviä artikkeleitamme löydät täältä: Tietosuoja ja yksityisyys.