GDPR-päivitys: Sanktioita odotellessa

10. helmikuuta 2019

Tietosuojalainsäädännön kokonaisuus vakiintui uuden tietosuojalain tullessa voimaan 1.1.2019. Samalla kiinnostus säädösten mukaiseen toimintaan heräsi uudelleen. Viimeistään nyt GDPR-yhteensopivuus on osa päivittäistä tietojärjestelmien operointia. Tietosuojavaltuutetun toimisto on laatinut tiiviin ja helppolukuisen tietopaketin organisaatioille henkilötietojen käsittelystä, mukaan lukien ohjeen toimenpiteistä henkilötietojen tietoturvaloukkauksissa.

Ilmoitetut tietosuojaloukkaukset

Tieto valvontaviranomaisille ilmoitetuista tietosuojaloukkauksista on jatkuvasti täsmentynyt, kun GDPR:n täytäntöönpanosta on kulunut aikaa. Alkuvaiheessa oli epätietoisuutta ilmoitusten määrästä ja siitä onko kyse vain medianäkyvyyden aiheuttamasta innostuksesta vai vakaasta tasosta.

DLA Piper -asianajotoimiston koostaman raportin mukaan 25.5.2018 - 28.1.2019 välisenä aikana Suomessa on valvontaviranomaisille raportoitu 2500 tietosuojarikkomusta, eli noin 45 kpl 100 000 asukasta kohden. Luku on absoluuttisesti pieni, mutta suhteellisesti suuri, kun sitä vertaa muihin EU-maihin. Kuten nyt tiedämme GDPR-tietopyyntöjen kaaosta ei syntynyt, mutta Suomi on ilmoitetuissa tietosuojaloukkauksissa kärkipäässä sekä absoluuttisesti (7. sija) että välilukuun suhteutettuna (4. sija). PwC:n mukaan tietosuojavaltuutetulle on tullut keskimäärin yli 10 tietosuojaan liittyvää valitusta päivässä, mikä johtaa samansuuntaiseen n. 2500 ilmoituksen lukemaan.

Lähde: DLA Piper GDPR data breach survey: February 2019

Määrätyt sakot

EU:n tietosuoja-asetukseen perustuvia sakkoja on määrätty DLA Piperin mukaan 91 kertaa. Suurin sakko on Ranskan tietosuojaviranomaisen Googlelle määräämä 50 miljoonan euron sakko. Saksassa on määrätty kymmenien tuhansien eurojen sakkoja ja loput sakot ovat olleet mittaluokaltaan tuhansia euroja. Suomessa ei tätä kirjoitettaessa ole määrätty sakkoja. Sakkojen lukumäärä on pieni suhteutettuna 59000 ilmoitettuun tietosuojaloukkaukseen.

Johtopäätökset

Odotettavissa on, että loppuvuonna 2019 määrätään GDPR-sanktioita enemmän kuin tähän mennessä. Valvontaviranomaisille on kasautunut ilmoituksia tietosuojaloukkauksista, joista on odotettavissa päätöksiä. Sanktioita määräävät niiden maiden viranomaiset, joille on tehty ilmoituksia, eli käytännössä Pohjois- ja Länsi-Euroopan maat. Jos Puola jätetään pois laskuista, niin Etelä- ja Itä-Euroopan maissa on tehty yhteensä suunnilleen saman verran ilmoituksia kuin Suomessa.

 

Mika Kukkonen on osakas ja operatiivinen johtaja Tietosi.fi -palvelua kehittävässä eTaika Oy:ssä. Mikalla on pitkä kokemus ohjelmistoalalla HR-sovellusten kehittämisestä ja henkilötietojen käsittelystä B2B-asiakasrajapinnassa.
LinkedInTwitter