PWC Uutishuone
PWC Uutishuone

Rangaistuksia ropisee – sakkoja tietosuojaloukkauksista

Keväällä 2018 voimaan tullut tietosuoja-asetus antoi EU:n kansallisille tietosuojaviranomaisille oikeuden määrätä hallinnollisia sakkoja tietosuojaloukkauksista. Henkilötietoja käsittelevät yritykset ja rekisterinpitäjät ovatkin jännityksellä odottaneet, mistä rikkomuksista ja minkä suuruisia sakkoja uuden lainsäädännön perusteella määrätään. Ensimmäisinä sakkoja ehtivät määräämään Itävallan, Saksan ja Portugalin tietosuojaviranomaiset.

Itävalta

Itävallan tietosuojaviranomainen (Österreichische Datenschutzbehörde) määräsi 4 800 euron suuruisen sakon yhtiölle, jonka valvontakamera kuvasi pääsisäänkäynnin lisäksi laajaa osaa läheisestä kävelykadusta ja parkkipaikasta. Lisäksi yhtiö säilytti valvontamateriaalia kauemmin kuin sen katsottiin tarvitsevan sitä. Yhtiö ei myöskään pitänyt lokia tietojen käsittelystä eikä riittävällä tavalla informoinut valvonnan piiriin joutuneita henkilöitä valvonnasta.

Viranomainen katsoi, että valvonta olisi pitänyt rajata vain välttämättömään laajuuteen ja että pääsisäänkäyntiä laajempi kuvaaminen ja materiaalin tarvetta pitempi säilyttäminen olivat vastoin tietosuojalainsäädännön käyttötarkoitussidonnaisuuden ja tietojen minimoinnin periaatteita. Laiminlyömällä riittävän informoinnin ja tietojen käsittelemisen seurannan yhtiön katsottiin rikkoneen myös läpinäkyvyyden periaatetta.

Saksa

Baden-Württembergin tietosuojaviranomainen Saksassa (State Commissioner for Data Protection and Freedom of Information Baden-Württemberg) määräsi maan ensimmäisen hallinnollisen sakon sosiaalisen median yhtiölle. Knuddels.de-chat-palvelu joutui hakkeroinnin kohteeksi, minkä seurauksena satojen tuhansien henkilöiden sähköpostiosoitteet ja salasanat vuotivat palvelusta. Yhtiö oli säilyttänyt rekisteröityjen käyttäjien salasanoja kryptaamattomassa muodossa.

Yhtiölle määrättiin 20 000 euron suuruinen sakko, jota voidaan pitää kohtuullisena ottaen huomioon vuotaneiden henkilötietojen suuren määrän ja puutteet yhtiön tietoturvakäytännöissä. Sakon määrään vaikutti alentavasti se, että yhtiö ilmoitti tapahtuneesta tietoturvaloukkauksesta sekä viranomaiselle että rekisteröidyille ilman viivytystä ja pyrki muutoinkin selvittämään asiaa aktiivisesti yhteistyössä viranomaisen kanssa. Myös se, että yhtiö kohensi tietoturvakäytäntöjään loukkauksen johdosta, otettiin huomioon sakkoa alentavana seikkana.

Portugali

Portugalin kansallinen tietosuojaviranomainen (Comissão Nacional de Protecção de Dados) määräsi portugalilaiselle sairaalalle 400 000 euron suuruiset hallinnolliset sakot tietosuoja-asetuksen mukaisten velvoitteiden rikkomisesta.

Kaikilla sairaalassa työskennelleillä lääkäreillä oli pääsy kaikkiin potilastietoihin erikoistumisalasta riippumatta, minkä lisäksi lääkäreiden aktiivisia käyttäjätilejä oli yli kolminkertainen määrä suhteessa sairaalassa työskenteleviin lääkäreihin. Sairaala ei siten rajoittanut lääkäreiden pääsyä vain niihin tietoihin, joita kukin lääkäri työssään tarvitsi. Sairaalalla ei ollut pääsynhallintaa varten prosesseja puhumattakaan siitä, että pääsynhallintaa olisi jollakin tavalla dokumentoitu. Sairaala vetosi siihen, että se käytti Portugalin terveysministeriön julkisille sairaaloille tarjoamaa IT-järjestelmää ja että se ei siten olisi ollut vastuussa edellä mainituista tietoturvapuutteista.

Portugalin tietosuojaviranomainen kuitenkin katsoi, että sairaalan tehtävä rekisterinpitäjänä oli varmistua henkilötietojen käsittelyn riittävästä turvallisuustasosta ja että sairaala laiminlyömällä tämän velvoitteen oli tietoisesti toiminut tietosuojalainsäädännön tietojen minimoinnin ja luottamuksellisuuden periaatteiden vastaisesti.

Päätöksessä korostuu rekisterinpitäjän viimekätinen vastuu henkilötietojen käsittelystä.

Mitä Suomessa tapahtuu?

Tietosuojavaltuutetun toimivaltaa täydentävä tietosuojalaki tuli voimaan 1.1.2019. Tietosuojalaki antaa tietosuojavaltuutetusta ja apulaistietosuojavaltuutetuista muodostuvalle seuraamuskollegiolle toimivallan määrätä hallinnollisia sakkoja Suomessa. Tietosuojavaltuutetulle on tullut keskimäärin yli 10 tietosuojaan liittyvää valitusta päivässä. Oletettavaa on, että sakkojen määrääminen Suomessakin on vain ajan kysymys.