Tietosuoja-asetusta, tai tuttavallisemmin GDPR:ää, alettiin soveltaa sellaisenaan koko EU:n ja ETA:n alueella toukokuussa 2018. Alkujärkytyksen jälkeen suurimmat pelot asetuksen mukanaan tuomista muutoksista sekä etenkin paljon puhutuista ”miljoonasakoista” tuntuvat laantuneen ja asettuneen asianmukaisiin uomiinsa.
Millaisia rikkomuksia Suomessa on tullut esiin?
Suomessa tietosuojaviranomaiset ovat antaneet ratkaisunsa vasta muutamista tietosuojarikkomuksista, joista on toistaiseksi selvitty huomautuksella. Yhtään sakkoa ei ole Suomessa vielä määrätty.
Joulukuussa 2019 apulaistietosuojavaltuutettu tiedotti määränneensä Finnkino Oy:n muuttamaan tietosuojakäytäntöjään muun muassa sähköiseen markkinointiin liittyen. Voidakseen ostaa Finnkinon e-sarjalippuja tai varatakseen lippuja verkon kautta asiakkaan tuli liittyä Finnkino Lab -nimiseen asiakasohjelmaan ja antaa samalla suostumus myös suoramarkkinoinnin vastaanottamiseen.
Tietosuoja-asetuksen mukaan suostumuksen tulee aina perustua rekisteröidyn vapaaehtoiseen, yksilöityyn, tietoiseen ja yksiselitteiseen tahdonilmaisuun. Finnkinon sähköisten palveluiden pakotettu markkinointisuostumus ei ymmärrettävästi toteuttanut tätä vaatimusta. Finnkinon toimintaan liittyi päätöksen mukaan myös muita puutteita. Useista laiminlyönneistä huolimatta apulaistietosuojavaltuutettu tyytyi asiassa huomautuksen antamiseen. Oikeustila Suomessa on apulaistietosuojavaltuutetun mukaan edelleen epäselvä, mikä osaltaan puolsi huomautuksen antamista.
Tuorein tapaus koski POP Pankin menettelyä tietoturvaloukkauksen jälkeen. Pankille sattui keväällä 2019 tietoturvaloukkaus, joka liittyi pankin käyttämiin sähköisiin lomakkeisiin. Lomakkeiden sisältämiin tietoihin oli ulkopuolisella verkkopalveluita ylläpitävällä taholla tarpeettoman laaja pääsyoikeus, mikä katsottiin tietoturvaloukkaukseksi.
GDPR edellyttää, että tietoturvaloukkauksista tulee informoida tietosuojaviranomaista. Lisäksi jos henkilötietojen tietoturvaloukkaus voi todennäköisesti aiheuttaa ”korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille”, myös rekisteröityjä tulee informoida.
Tapahtuneen jälkeen pankki otti yhteyttä loukkauksen kohteeksi joutuneisiin henkilöihin siltä osin kuin sillä oli yhteystiedot käytettävissään. Lisäksi pankki julkaisi julkisen tiedonannon loukkauksesta verkkosivuillaan ja Facebook-sivuillaan. Tiedonanto oli kuitenkin muotoiltu niin, että siitä saattoi saada käsityksen, että kaikkiin loukkauksen kohteeksi joutuneisiin olisi oltu yhteydessä suoraan. Tästä saattoi syntyä väärä mielikuva, että nämä henkilöt olisivat saaneet tiedon loukkauksesta jo henkilökohtaisesti.
Apulaistietosuojavaltuutettu antoi pankille huomautuksen epäselvästä ja puutteellisesta viestinnästä tietoturvaloukkauksesta informoinnissa, ei siis itse loukkauksesta.
Miten muualla Euroopassa on toimittu?
Vaikka yhtään sakkoa Suomessa ei ole vielä annettu, muualla Euroopassa tietosuojaviranomaiset ovat ottaneet selkeästi tiukemman lähestymistavan ja lähteneet varsin reippaalle sakotuslinjalle.
Kappalemääräisesti sakkoja on ETA-alueella määrätty jo yli 150 kappaletta. Sakkotilastoja johtaa tällä hetkellä Espanja, jossa on annettu toistaiseksi 43 sakkoa. Toisena tulee Romania 21 sakolla ja kolmantena Saksa 18 sakolla. Ruotsissakin on määrätty toistaiseksi jo kaksi sakkoa, kuten myös Norjassa ja Tanskassa.
Sakkojen suuruus on vaihdellut 500 euron ja jopa yli 200 miljoonan euron välillä. Euromääräisesti kovimmat sakot on määrätty Isossa-Britanniassa. Siellä British Airwaysia uhkaa yli 204 miljoonan euron suuruinen sakko. Toiseksi suurin sakko on niin ikään Isosta-Britanniasta, jossa ICO on uhannut hotelliketju Marriot Internationalia yli 110 miljoonan euron sakolla. Kummassakin näistä tapauksista on ollut kyse tietoturvaloukkauksista, jotka ovat koskeneet suurta määrää yhtiöiden asiakkaita. British Airwaysin tapauksessa tietoturvaloukkauksen kohteena oli noin puolen miljoonan asiakkaan henkilötiedot, Marriot Internationalin osalta tietoturvaloukkaus koski jopa 339 miljoonan asiakkaan henkilötietoja kansainvälisesti.
Voiko sakoilta suojautua?
Vaikka Suomessa sakkoja ei ole toistaiseksi määrätty tietosuojarikkomuksista, lienee todennäköistä, että ensimmäiset sakot nähdään täälläkin pian. Yritysten on syytä jatkossakin suhtautua asianmukaisen vakavasti tietosuoja-asetuksen mukaisiin velvoitteisiin. Alla muutama keskeinen huomio:
- Varmista, että yhtiössä tiedetään, mitä henkilötietoja käsitellään, miten ja mihin tarkoituksiin, ja varmista, että käsittelylle on asetuksen mukainen peruste.
- Tiedosta tietoturvaloukkausten riskit ja seuraamukset yhtiön liiketoiminnalle ja maineelle.
- Varmista, että tietosuojaa koskevat päätökset ja compliance-menettelyt myös dokumentoidaan asianmukaisesti osana yhtiön riskienhallintaprosesseja.
- Selvitä mahdollisen vakuutusturvan kattavuus myös tietosuojarikkomusten varalta. On hyvä huomioida, että tällä hetkellä Suomessa vakuutusvalvontaviranomaisen kantana on, ettei sakkojen varalta vakuuttaminen ole Suomessa voimassaolevan hyvän vakuutustavan mukaista, eikä siis siten sallittua.
Tommi Härmä
Counsel
Ida Koskinen
Lawyer
Asianajotoimisto Merkurius Oy