Tietosuoja-asetusta, tai tuttavallisemmin GDPR:ää, alettiin soveltaa sellaisenaan koko EU:n ja ETA:n alueella toukokuussa 2018. Alkujärkytyksen jälkeen suurimmat pelot asetuksen mukanaan tuomista muutoksista sekä etenkin paljon puhutuista ”miljoonasakoista” tuntuvat laantuneen ja asettuneen asianmukaisiin uomiinsa.

Miten muualla Euroopassa on toimittu?

Suomessa tietosuojaviranomaiset ovat antaneet ratkaisunsa vasta muutamista tietosuojarikkomuksista, joista on toistaiseksi selvitty huomautuksella. Yhtään sakkoa ei ole Suomessa vielä määrätty.

Joulukuussa 2019 apulaistietosuojavaltuutettu tiedotti määränneensä Finnkino Oy:n muuttamaan tietosuojakäytäntöjään mm. sähköiseen markkinointiin liittyen. Voidakseen ostaa Finnkinon e-sarjalippuja tai varatakseen lippuja verkon kautta asiakkaan tuli liittyä Finnkino Lab -nimiseen asiakasohjelmaan ja antaa samalla suostumus myös suoramarkkinoinnin vastaanottamiseen.

Tietosuoja-asetuksen mukaan suostumuksen tulee aina perustua rekisteröidyn vapaaehtoiseen, yksilöityyn, tietoiseen ja yksiselitteiseen tahdonilmaisuun. Finnkinon sähköisten palveluiden pakotettu markkinointisuostumus ei ymmärrettävästi toteuttanut tätä vaatimusta. Finnkinon toimintaan liittyi päätöksen mukaan myös muita puutteita. Useista laiminlyönneistä huolimatta apulaistietosuojavaltuutettu tyytyi asiassa huomautuksen antamiseen. Oikeustila Suomessa on apulaistietosuojavaltuutetun mukaan edelleen epäselvä, mikä osaltaan puolsi huomautuksen antamista.

Tuorein tapaus koski POP Pankin menettelyä tietoturvaloukkauksen jälkeen. Pankille sattui keväällä 2019 tietoturvaloukkaus, joka liittyi pankin käyttämiin sähköisiin lomakkeisiin. Lomakkeiden sisältämiin tietoihin oli ulkopuolisella verkkopalveluita ylläpitävällä taholla tarpeettoman laaja pääsyoikeus, mikä katsottiin tietoturvaloukkaukseksi.

GDPR edellyttää, että tietoturvaloukkauksista tulee informoida tietosuojaviranomaista ja lisäksi tapauksissa, joissa henkilötietojen tietoturvaloukkaus voi todennäköisesti aiheuttaa ”korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille”, myös rekisteröityjä.

Tapahtuneen jälkeen pankki otti yhteyttä loukkauksen kohteeksi joutuneisiin henkilöihin siltä osin kuin sillä oli yhteystiedot käytettävissään. Lisäksi pankki julkaisi julkisen tiedonannon loukkauksesta verkkosivuillaan ja Facebook-sivuillaan. Tiedonanto oli kuitenkin muotoiltu niin, että siitä saattoi saada käsityksen, että kaikkiin loukkauksen kohteeksi joutuneisiin olisi oltu yhteydessä suoraan, mistä saattoi syntyä väärä mielikuva siitä, että nämä henkilöt olisivat saaneet tiedon loukkauksesta jo henkilökohtaisesti. Apulaistietosuojavaltuutettu antoi pankille huomautuksen epäselvästä ja puutteellisesta viestinnästä tietoturvaloukkauksesta informoinnissa, ei siis itse loukkauksesta.

Miten muualla Euroopassa on toimittu?

Vaikka yhtään sakkoa Suomessa ei ole vielä annettu, niin muualla Euroopassa tietosuojaviranomaiset ovat ottaneet selkeästi tiukemman lähestymistavan ja lähteneet varsin reippaalle sakotuslinjalle.

Kappalemääräisesti sakkoja on ETA-alueella määrätty jo yli 150 kappaletta. Sakkotilastoja johtaa tällä hetkellä Espanja, jossa on annettu toistaiseksi jo 43 sakkoa. Toisena tulee Romania 21 sakolla ja kolmantena Saksa 18 sakolla. Naapurimaassamme Ruotsissakin on määrätty toistaiseksi jo kaksi sakkoa, kuten myös Norjassa ja Tanskassa.

Sakkojen suuruus on vaihdellut 500 euron ja jopa yli 200 miljoonan euron välillä. Euromääräisesti kovimmat sakot on määrätty Iso-Britanniassa. Siellä British Airwaysia uhkaa yli 204 miljoonan euron suuruinen sakko. Toiseksi suurin sakko on niin ikään Iso-Britanniasta, jossa ICO on uhannut hotelliketju Marriot Internationalia yli 110 miljoonan euron sakolla. Kummassakin näistä tapauksista on ollut kyse tietoturvaloukkauksista, jotka ovat koskeneet suurta määrää yhtiöiden asiakkaita. British Airwaysin tapauksessa tietoturvaloukkauksen kohteena oli noin puolen miljoonan asiakkaan henkilötiedot, Marriot Internationalin osalta tietoturvaloukkaus koski jopa 339 miljoonan asiakkaan henkilötietoja kansainvälisesti.

Vaikka Suomessa sakkoja ei ole toistaiseksi määrätty tietosuojarikkomuksista, lienee todennäköistä, että ensimmäiset sakot nähdään täälläkin pian. Yritysten on syytä jatkossakin suhtautua asianmukaisella vakavuudella tietosuoja-asetuksen mukaisiin velvoitteisiin. Alla muutama keskeinen huomio:

1. Varmista, että yhtiössä tiedetään, mitä henkilötietoja käsitellään, miten ja mihin tarkoituksiin ja varmista että käsittelylle on asetuksen mukainen peruste.
2. Tiedosta tietoturvaloukkausten riskit ja seuraamukset yhtiön liiketoiminnalle ja maineelle.
3. Varmista, että tietosuojaa koskevat päätökset ja compliance-menettelyt myös dokumentoidaan asianmukaisesti osana yhtiön riskienhallintaprosesseja.
4. Selvitä mahdollisen vakuutusturvan kattavuus myös tietosuojarikkomusten varalta. Vakuutusten osalta on hyvä huomioida, että tällä hetkellä Suomessa vakuutusvalvontaviranomaisen kantana on, ettei sakkojen varalta vakuuttaminen ole Suomessa voimassaolevan hyvän vakuutustavan mukaista, eikä siis siten sallittua.

Julkaistu 7.2.2020