Tag Archive for: GDPR-sanktioita

ePrivacy-asetus viivästyy reippaasti

/in /by

Juuri kun GDPR on saatu nielaistua, on perässä tulossa toinen – jos mahdollista paljon sekavampi ePrivacy-asetus koskien sähköisen viestinnän tietosuojaa. Mutta toviksi voi huokaista: kestää helposti parikin vuotta ennen kuin ePrivacy astuu voimaan. Toistaiseksi sisällöstä tarkkoja tietoja kertovat puhuvat vastoin parempaa tietoa. Tässä vielä GDPR-kertaus blogin muodossa.

Blogi on laadittu Ohjelmisto- ja e-business ry:n järjestämän tilaisuuden sisällön perusteella. HPP Asianajotoimisto Oy:n Terho Nevasalo presentoi asian tuttuun selkeään ja osaavaan tyyliinsä.

ePrivacy täydentää GDPR-asetusta

Siinä missä yleinen tietosuoja-asetus GDPR säätelee henkilötietoa sisältävien viestien ja tietosisältöjen tallentamista ja käsittelyä, sähköisen viestinnän tietosuojaa säätävä  ePrivacy-asetus liittyy henkilötietoa sisältävien viestien ja sisältöjen välittämiseen. Hyvin oleellista asiassa on viesteihin liittyvä metatieto. ePrivacy täydentää ja täsmentää GDPR-asetusta viestintäpalveluiden osalta.

ePrivacyn tarkoitus isossa kuvassa lienee selvä ja hyvin perusteltu. Mutta mitä asetuksen käytätännössä tulee sisältää – siitä EU:n jäsenvaltiot ovat erittäin erimielisiä. Suomen puheenjohtajakaudella esityksiä sisällöksi julkaistiin 10 ja viimeisimmän päiväys on 8.11.2019. Nyt kuitenkin näyttää siltä, että mahdollisesti, jopa todennäköisesti asetuksen ehdotuksen kirjoittaminen aloitetaan alusta. Missä asetusvalmistelu – siinä ongelma. Vai kuinkas se kuuluikaan.

Miksi ePrivacy-asetus on niin vaikea laatia?

Asetus on liki mahdoton toteuttaa siten, että kaikki sinänsä perustellut näkökulmat tulisivat huomioiduiksi: yksityisen ihmisen suojaaminen ja liiketoiminnan intressit ovat vahvasti vastakkain. Otetaan esimerkiksi telemarkkinointi: Suomessa tietosuojavaltuutettu on jo aikaa ollut sillä kannalla, että puhelinmarkkinoinnin tulisi olla mahdollista vain viestin vastaanottajan suostumuksella. Tai ainakin niin, ellei vastaanottaja ole sitä erikseen kieltänyt. Mikäli näin, kuolee toimiala yhdellä sivalluksella. Tätä kevyempi vaihtoehto, jota myös pidetään mahdollisena, on puhelinnumerossa näkyvä tunnistetieto, joka kertoisi puhelun vastaanottajalle, että puhelu on telemarkkinoinnillinen yhteydenotto. Tulos: toimiala kuolee lähes yhtä suurella varmuudella ellei keksitä hyviä palkkioita tai muita etuja, mitä puheluun vastaaja saa. Kun tähän keittoon lisätään kansalliset erityispiirteet, voivat huonosti nukkuvat etsiä syytä unettomuuteen jostain muualta kuin ePivacysta.

Sakkoa sakkoa enemmän sakkoa

Sakotuksen määrät tulevat olemaan samat kuin GDPR:ssä. Määrät ovat huomattavia ainakin pienemmille toimijoille ja GDPR-sakkoja on todellakin langetettu niin koululle, kiinteistönvälitysyritykselle kuin taksiyhtiölle. Hotelli, joka oli jättänyt aamiaiskävijöiden nimilistan näkyville, sai 15 000 € maksettavakseen. Asetus ei rajaa mitään toimialaa kevyemmän kohtelun piiriin, se kannattaa muistaa. Toukokuinen blogi GDPR-sanktioista on yhä validi.

Isoille toimijoille sakko voi kuitenkin olla pieni kustannus verrattuna tilanteen korjaamiseen. Eräs yritys sai 220 000 €:n sakon mutta ihmisten tiedottaminen joko soittamalla tai  kirjeitse olisi kustantanut miljoonia. Isot yritykset voivat siis mahdollisesti taktikoida, muiden on pakko noudattaa sääntöjä.

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, jutellaan

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

GDPR-sanktioita langetettu ympäri Eurooppaa

/in /by

EU:n tietosuoja-asetus GDPR on täyttämässä vuoden.  GDPR-sanktioita on langetettu ympäri Eurooppaa. Useimmiten viranomaiset ovat sakkojen sijaan määränneet lievempiä keinoja kuten huomautuksia tai varoituksia. Tähän mennessä sakkoja on määrätty yli 40 asiassa ja lisää on tulossa.  Sakkojen perusteet kertovat, että regulaatio ei ole mikään teoreettinen ohjeistus vaan täyttä totta. Ohjelmisto- ja e-business ry yhdessä HPP Asianajotoimiston kanssa julkaisi ajankohtaisen katsauksen miten GDPR:n ensimmäinen vuosi on sujunut ja millaisia käytänteitä on muotoutunut.

GDPR-sanktioita eri puolelta Eurooppaa

Saksassa sosiaalisen median yrityksen sakko, 20 000 € oli varsin pieni ottaen huomioon, että 330 000 ihmisen käyttäjätunnukset salasanoineen paljastuivat hakkerihyökkäyksessä. Viranomainen otti huomioon yrityksen yhteistyöhalukkuuden ja mm. sen, että yritys oli välittömästi tiedottanut käyttäjiään hyökkäyksestä. Suurin Saksassa määrätty sakko on toistaiseksi 80 000 € ja se liittyy puutteellisen tietoturvan aiheuttamaan arkaluontoisten terveystietojen paljastumiseen. Mittakaavan valottamiseksi vielä muistutuksena, että Ranskassa Googlelle määrättiin 50 miljoonan euron sakko, aiheesta julkaistiin blogi tuoreeltaan. Mutta kuten HPP:n Terho Nevasalo sanoi, summa pitää suhteuttaa Googlen ”huikeaan sotakassaan”. Googlen synti oli se, ettei se riittävän tarkasti kertonut käyttäjilleen mitä puhelimista kerätyillä tiedoilla tehdään ja kauanko niitä säilytetään.

Tanskassa tietosuojaviranomainen on esittänyt taksiyhtiölle 160 000 €:n sakkoa sillä perusteella, että yhtiö poistaa rekisteristään asiakkaan muut tiedot kahden vuoden jälkeen mutta ilmoittaa säilyttävänsä ja säilyttää asiakkaiden puhelinnumeroita viiden vuoden ajan. Tälle ei nähty perusteita; asian käsittely on kesken.

GDPR ei koske pelkästään kaupallisia yrityksiä. Norjassa Bergenin kunnalle on määrätty 170 000 €:n sakko, koska puutteellinen tietoturva mahdollisti pääsyn alakoulujen oppilaiden ja työntekijöiden henkilötietoihin. Suurin osa rekistereissä olevista 35 000 ihmisestä oli lapsia, mikä ns. heikompien ryhmien suojelemiseksi on omiaan nostamaan  sanktion määrää.
Tapaus Bergen kuitenkin eroaa johtuen Suomessa tietosuojalakiin tehdystä poikkeuksesta. Terho Nevasalo lähetti oleellisen tarkennuksen, jota maallikkona en ymmärtänyt blogiin alun perin kuvata. Terho kirjoitti seuraavasti:
”Suomessa ei esim. viranomainen, kunnallinen viranomainen tai vastaava taho ole hallinnollisen seuraamusmenettelyn (sakko) piirissä, koska tietosuojalain mukaan hallinnollista seuraamusmaksua ei ole tarpeellista ulottaa koskemaan viranomaisten henkilötietojen käsittelyä, sillä viranomaisia sitoo hallinnon lainmukaisuusvaatimus ja viranomaisten on lisäksi noudatettava hallinnon yleislakeja. Viranomaisten henkilötietojen käsittelyä koskee myös rikosoikeudellinen virkavastuu ja vahingonkorvausvastuu. Tämä periaate voi tietosuojalain hallituksen esityksen muuttua, jos siihen nähdään tarvetta.”

Puolassa digitaalisen markkinoinnin yritys ei kertonut rekisteröidyilleen, että he ovat rekisterissä. 14. artiklan laiminlyönti tuli kustantamaan 220 000 €. Irlannissa viranomaiset tutkivat paraikaa Facebookia: onko käyttäjien salasanojen tietoturvasta huolehdittu riittävästi.

Eteläisen Euroopan käytännöt eivät näyttäisi poikkeavan

Arveltiin, että pohjoisessa Euroopassa GDPR:n vaatimuksia pyritään sekä noudattamaan että valvomaan. Samaan aikaan oletettiin, että eteläinen osa maanosasta pelaa toisilla säännöillä, viranomaisvalvontaa myöten. Vaikuttaisi siltä, että ainakin jälkimmäinen veikkaus meni pieleen. Sanktioita on langettu melko tasaisesti ympäri Eurooppaa ja ainakin yksi sankio on määrätty myös Kreikassa.

Suomalainen keissi onneksi vielä puuttuu eikä ole myöskään tietoa, että yksikään järjestö olisi päätynyt sakkomenettelyyn. Mutta kuten Bergenin kuntaa koskeva tapaus osoittaa, organisaation toimialalla ei ole merkitystä eivätkä järjestötkään ole mitenkään GDPR:n ulkopuolella. Kuten eräässä kuuluisassa TV-sarjassa tavattiin sanoa: ”Let´s be careful out there”.

Autamme Tietopiiri Oy:ssä järjestöjä varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, niin kerron lisää