50 miljoonan euron GDPR-sakko langetettu

Tekniikka&Talous uutisoi 22.1.2019, että Ranskan tietoturvaviranomaisten langettama GDPR-sakko on peräti 50 miljoonaa euroa ja sen saa Google. Jotain tämänsuuntaista osasimme odottaa – silti yllätyimme.

Arvasimme lähes oikein

Veikkailimme viime keväänä, että vielä vuoden 2018 puolella julkistetaan merkittävän suuruusluokan sanktio GDPR-asetuksen vastaisesta henkilötietojen käsittelystä. Aikataulu venähti mutta summa tosiaan on huomattava. Itse olin valmis laittamaan arvaukseni sen varaan, että missään tapauksessa sanktion kohteena ei ole kolmannen sektorin toimija. Ohessa linkki GDPR-aiheiseen blogiin, joka tosin keskittyy faktoihin eikä ennustamiseen.

Kolmannen sektorin sijaan oletin, että sanktion saa huomattavan uutisoinnin saattelemana jokin kiinalainen verkkokaupan toimija. Väärin meni: kohde on Google, joka ranskalaisten tietosuojaviranomaisten mukaan ei kerro meille riittävän tarkoin mihin meistä tallennettavaa tietoa käytetetään. Yksityiset ihmiset ovat viime vuoden aikana ainakin jonkin verran havahtuneet huomaamaan, että kaikkialle tietoja ei kannata luovuttaa ja kaikkia kyllä-rasteja ei ole syytä valita verkkopalveluissa asioidessaan.

Suunnitelmallinen sääntöjen rikkominen vs. huolimattomuus

Google ja moni muu suuryhtiö tekee rikkomuksensa suunnitelmallisesti mutta olemme nähneet huolimattomuudesta seuranneita asioita sellaisissa organisaatioissa, joissa moista tuskin osattiin odottaa – meille läheisestä esimerkistä käy Trafin tapaus. Vuonna 2017 nimenomaan Trafi vakuutteli, ettei Ruotsissa tapahtunut vuoto ole mahdollista Suomessa. Se mitä tapahtui on erilainen mutta lopputulos sama, tietoa karkasi ja ei tarvinnut olla kummoinen nörtti niin olisi voinut koneellisesti hakea kaikkien Trafin kontaktien henkilötiedot itselleen.

Mitä voimme oppia?

Tämä merkitsee, että meidän kaikkien tulee olla huolellisia henkilötietojen käsittelyssä olemmepa sitten aiheen äärellä yksityishenkilöinä tai järjestön edustajina tai kumppanina. Googlen tapaus tarkoittaa viimeistään nyt alleviivausta GDPR:lle: tämä asetus tosiaan on totta eikä paperin kahinaa. Kolmannelle sektorille annettaneen käytännössä lisäaikaa – näinköhän esimerkiksi pienen Ranskassa toimivan järjestön asiat ovat vielä asetusten vaatimusten tasalla. Mutta pian on syytä olla tai leka heiluu myös järjestöjen suuntaan. Työnkulkujen kuvaaminen ja vastuuttaminen ja tietorakenteiden eheyttäminen on vaan tehtävä, vaikka järjestöllä aivan varmuudella on kädet muutenkin täynnä. Mutta jos muuan hyvin tunnettu aines osuu tuulettimeen, seuraukset voivat olla sekä yksilöiden että järjestön kannalta dramaattisia.

Toivottavasti en synkistellyt liiaksi, me ainakin olemme valmiina auttamaan.

Autamme järjestöjä varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, niin kerron lisää

Ilkka Harjula, 0400 545 767 tai ilkka.harjula(at)tietopiiri.fi

 

Otsikkokuva: www.pixabay.com