GDPR-sanktioita langetettu ympäri Eurooppaa
EU:n tietosuoja-asetus GDPR on täyttämässä vuoden. GDPR-sanktioita on langetettu ympäri Eurooppaa. Useimmiten viranomaiset ovat sakkojen sijaan määränneet lievempiä keinoja kuten huomautuksia tai varoituksia. Tähän mennessä sakkoja on määrätty yli 40 asiassa ja lisää on tulossa. Sakkojen perusteet kertovat, että regulaatio ei ole mikään teoreettinen ohjeistus vaan täyttä totta. Ohjelmisto- ja e-business ry yhdessä HPP Asianajotoimiston kanssa julkaisi ajankohtaisen katsauksen miten GDPR:n ensimmäinen vuosi on sujunut ja millaisia käytänteitä on muotoutunut.
GDPR-sanktioita eri puolelta Eurooppaa
Saksassa sosiaalisen median yrityksen sakko, 20 000 € oli varsin pieni ottaen huomioon, että 330 000 ihmisen käyttäjätunnukset salasanoineen paljastuivat hakkerihyökkäyksessä. Viranomainen otti huomioon yrityksen yhteistyöhalukkuuden ja mm. sen, että yritys oli välittömästi tiedottanut käyttäjiään hyökkäyksestä. Suurin Saksassa määrätty sakko on toistaiseksi 80 000 € ja se liittyy puutteellisen tietoturvan aiheuttamaan arkaluontoisten terveystietojen paljastumiseen. Mittakaavan valottamiseksi vielä muistutuksena, että Ranskassa Googlelle määrättiin 50 miljoonan euron sakko, aiheesta julkaistiin blogi tuoreeltaan. Mutta kuten HPP:n Terho Nevasalo sanoi, summa pitää suhteuttaa Googlen ”huikeaan sotakassaan”. Googlen synti oli se, ettei se riittävän tarkasti kertonut käyttäjilleen mitä puhelimista kerätyillä tiedoilla tehdään ja kauanko niitä säilytetään.
Tanskassa tietosuojaviranomainen on esittänyt taksiyhtiölle 160 000 €:n sakkoa sillä perusteella, että yhtiö poistaa rekisteristään asiakkaan muut tiedot kahden vuoden jälkeen mutta ilmoittaa säilyttävänsä ja säilyttää asiakkaiden puhelinnumeroita viiden vuoden ajan. Tälle ei nähty perusteita; asian käsittely on kesken.
GDPR ei koske pelkästään kaupallisia yrityksiä. Norjassa Bergenin kunnalle on määrätty 170 000 €:n sakko, koska puutteellinen tietoturva mahdollisti pääsyn alakoulujen oppilaiden ja työntekijöiden henkilötietoihin. Suurin osa rekistereissä olevista 35 000 ihmisestä oli lapsia, mikä ns. heikompien ryhmien suojelemiseksi on omiaan nostamaan sanktion määrää.
Tapaus Bergen kuitenkin eroaa johtuen Suomessa tietosuojalakiin tehdystä poikkeuksesta. Terho Nevasalo lähetti oleellisen tarkennuksen, jota maallikkona en ymmärtänyt blogiin alun perin kuvata. Terho kirjoitti seuraavasti:
”Suomessa ei esim. viranomainen, kunnallinen viranomainen tai vastaava taho ole hallinnollisen seuraamusmenettelyn (sakko) piirissä, koska tietosuojalain mukaan hallinnollista seuraamusmaksua ei ole tarpeellista ulottaa koskemaan viranomaisten henkilötietojen käsittelyä, sillä viranomaisia sitoo hallinnon lainmukaisuusvaatimus ja viranomaisten on lisäksi noudatettava hallinnon yleislakeja. Viranomaisten henkilötietojen käsittelyä koskee myös rikosoikeudellinen virkavastuu ja vahingonkorvausvastuu. Tämä periaate voi tietosuojalain hallituksen esityksen muuttua, jos siihen nähdään tarvetta.”
Puolassa digitaalisen markkinoinnin yritys ei kertonut rekisteröidyilleen, että he ovat rekisterissä. 14. artiklan laiminlyönti tuli kustantamaan 220 000 €. Irlannissa viranomaiset tutkivat paraikaa Facebookia: onko käyttäjien salasanojen tietoturvasta huolehdittu riittävästi.
Eteläisen Euroopan käytännöt eivät näyttäisi poikkeavan
Arveltiin, että pohjoisessa Euroopassa GDPR:n vaatimuksia pyritään sekä noudattamaan että valvomaan. Samaan aikaan oletettiin, että eteläinen osa maanosasta pelaa toisilla säännöillä, viranomaisvalvontaa myöten. Vaikuttaisi siltä, että ainakin jälkimmäinen veikkaus meni pieleen. Sanktioita on langettu melko tasaisesti ympäri Eurooppaa ja ainakin yksi sankio on määrätty myös Kreikassa.
Suomalainen keissi onneksi vielä puuttuu eikä ole myöskään tietoa, että yksikään järjestö olisi päätynyt sakkomenettelyyn. Mutta kuten Bergenin kuntaa koskeva tapaus osoittaa, organisaation toimialalla ei ole merkitystä eivätkä järjestötkään ole mitenkään GDPR:n ulkopuolella. Kuten eräässä kuuluisassa TV-sarjassa tavattiin sanoa: ”Let´s be careful out there”.
Autamme Tietopiiri Oy:ssä järjestöjä varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.
Ota yhteyttä, niin kerron lisää