EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) tuli sovellettavaksi 25. toukokuuta 2018. Asetuksen perusteella viranomaiset ovat alkaneet jakaa ensimmäisiä sakkoja yritysten tietosuojarikkomuksista, vaikka käytännön ohjeistusta viranomaisilta on tähän mennessä saatu hyvin niukalti. EU:n tietosuojaviranomaisten tulisi noudattaa seuraamusmaksujen osalta yhtenäistä linjaa koko unionin alueella, joten sen suhteen eri maiden viranomaisten ennakkoratkaisuilla on merkitystä myös suomalaisten yritysten näkökulmasta. Alla listattuna muutama ennakkotapaus Euroopasta.

Saksa

Marraskuussa saksalainen tietosuojaviranomainen LfDI Baden-Württemberg määräsi chat-sovellus Knuddelsin 20.000 euron sakkoon GDPR:n 32 artiklan rikkomisesta. Viranomaiset katsoivat, että Knuddels ei ollut salannut käyttäjiensä tietoja asianmukaisesti, vaan oli säilönyt käyttäjien henkilökohtaiset tiedot pelkkänä tekstinä. Sovellukseen syyskuussa kohdistuneessa hyökkäyksessä yli 300 000 käyttäjän henkilötietoja, mukaan lukien sähköpostiosoitteita ja salasanoja, varastettiin. Sakon määrään vaikuttivat alentavasti yrityksen yhteistyö viranomaisten kanssa, toiminnan läpinäkyvyys ja panostukset tietoturvan parantamiseen jatkossa.

Itävalta

Itävallan ensimmäinen GDPR-sakko jaettiin syyskuussa. Paikallinen yritys oli asentanut valvontakameran toimitilojensa edustalle siten, että kamera kuvasi ja nauhoitti myös laajaa aluetta kävelytiestä. Toiminnan katsottiin olevan GDPR:n nojalla kiellettyä valvontaa julkisella paikalla, koska kamera kuvasi liian suurta aluetta yleisestä kävelytiestä eikä videovalvonnasta ollut asianmukaista ilmoitusta. Itävallan tietosuojaviranomainen määräsi yritykselle GDPR-rikkomuksesta 4.800 euron suuruisen sakon.

Ruotsi

Ruotsin tietosuojaviranomainen Datainspektionen sai lokakuussa ensimmäisen GDPR-tutkintansa päätökseen. Se tutki epäiltyjen GDPR-rikkomusten perusteella 412 yritystä, joista 66 tapausta tarkemmin. Tutkinnan seurauksena se antoi 57 toimijalle huomautuksen sillä perusteella, etteivät ne olleet nimittäneet ja ilmoittaneet viranomaisille tietosuojavastaaviaan ajoissa. Kahden yrityksen kohdalla annettiin vielä erikseen määräys nimetä tai ilmoittaa tietosuojavastaava, sillä ko. yritykset eivät tietosuojaviranomaisen tarkastuksenkaan jälkeen olleet tätä tehneet. Tietosuojaviranomainen tyytyi jakamaan sakkojen sijasta huomautuksia sillä perusteella, että GDPR-sääntely oli vielä niin uutta

Mikä näyttäisi olevan trendinä?

Edellä esitetyn perusteella vaikuttaa siltä, että ainakin näin aluksi sakot pysyttelevät suhteellisen maltillisella tasolla. Etenkin Ruotsissa on lähdetty varsin hillityllä linjalla, jossa ennen kovempien keinojen käyttöä yrityksille on annettu mahdollisuus korjata tilanne. Itävallassa viranomaiset korostivat sitä, että sakkojen tulee olla myös suhteessa yrityksen liikevaihtoon. Yhtenäistä seuraamuskäytäntöä saadaan kuitenkin vielä odottaa, kun GDPR:n soveltaminen on vasta näin alussa. Nähtäväksi jää, mille tasolle sakotuskäytäntö muutaman vuoden kuluessa asettuu.