Suomen ensimmäiset tietosuojasakot annettu

Keväällä 2018 voimaan tullut tietosuoja-asetus antoi EU:n kansallisille tietosuojaviranomaisille oikeuden määrätä hallinnollisia sakkoja tietosuojaloukkauksista. Ensimmäisinä sakkoja ehtivät määräämään Itävallan, Saksan ja Portugalin tietosuojaviranomaiset. Suomessa tietosuojavaltuutetun toimivaltaa täydentävä tietosuojalaki tuli voimaan 1.1.2019. Tietosuojalaki antaa tietosuojavaltuutetusta ja apulaistietosuojavaltuutetuista muodostuvalle seuraamuskollegiolle toimivallan määrätä hallinnollisia sakkoja Suomessa. Tietosuojavaltuutetun seuraamuskollegio aloitti työnsä syksyllä 2019.

Tietosuojavaltuutettu Reijo Aarnio on painottanut seuraamusvaihtoehdoista sakkojen sijaan rekisterinpitäjien ohjaamista ja tämän linjan mukaisesti yhtäkään sakkoa ei Suomessa tähän kevääseen mennessä ollut määrätty. 18.5.2020 tilanne kuitenkin muuttui, kun seuraamuskollegio määräsi seuraamusmaksun kolmelle yritykselle tietosuojalainsäädännön rikkomisesta.

Näiden seuraamusmaksujen perusteena olleet rikkomukset koskivat rekisteröityjen puutteellista informointia tietosuojaoikeuksistaan, mm. oikeudesta vastustaa käsittelyä ja sitä kautta oikeudesta estää omien tietojen luovutus suoramarkkinointiin, vaikutustenarvioinnin laiminlyöntiä sekä tarpeettomien henkilötietojen keräämistä ja dokumentoinnin puutetta.

Muissa EU/ETA-maissa annetut sakot ovat tyypillisesti koskeneet tapahtuneita tietoturvaloukkauksia (esim. asiakkaiden henkilötietojen hakkerointia), rekisteröityjen pyyntöihin vastaamatta jättämistä, myyntipuheluita ilman suostumusta, sähköisen suoramarkkinoinnin lähettämistä kiellosta huolimatta ja sähköpostin lähettämistä siten, että vastaanottajat näkevät toistensa osoitteet. Lisäksi sakkoja muissa EU/ETA-maissa on tullut mm. laiminlyönneistä tehdä tarvittavat tekniset ja organisatoriset toimenpiteet sekä siitä, ettei tietojenkäsittelylle ole ollut riittäviä perusteita.

Rekisteröidyn oikeudet korostuvat

Tapauksista käy ilmi, että seuraamusmaksuja on määrätty hyvin erilaisista tietosuojalainsäädännön rikkomuksista lähtien perusasioista, kuten lainmukaisesta perusteesta henkilötietojen keräämiselle ja käsittelylle, aina teknisten ja organisatoristen käytännön ratkaisujen toteuttamiseen. Tämä osoittaa, että kaikki tietosuojalainsäädännön velvoitteet on syytä täyttää eivätkä ne lainvalvojan silmissä miltään osin ole ohitettavissa. Edellytyksenä on, että lainsäädännön vaatimukset on täytetty, toteutettu käytännön ratkaisuina ja tämä kaikki on osoitettavissa dokumentein.

Yksi seikka tapauksissa näyttää korostuvan ja se on rekisteröidyn oikeudet (mm. informointi käsittelystä, pääsy tietoihin, oikeus oikaista tietoja, oikeus rajoittaa ja vastustaa käsittelyä sekä oikeus tulla unohdetuksi), jotka rekisteröidyt näyttävät nyt tiedostaneen.

Rekisteröidyille on selkeästi kerrottava heidän kaikista tietosuojaoikeuksistaan ja myös käytännössä toteutettava oikeudet sekä dokumentoitava, miten tämä on asianmukaisesti ratkaistu.

Sakko tietosuojarikkomuksesta voi olla suuruudeltaan jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Suomessa määrättyjen sakkojen suuruudet vaihtelevat 12 500 ja 100 000 euron välillä. Myös suurin osa muualla Euroopassa annetuista sakoista on ollut suhteellisen pieniä, mutta suuriakin on nähty. Yritysten lisäksi myös luonnollisia henkilöitä on sakotettu.

Henkilötietojen käsittely ja dokumentaatio syyniin

Tavoitteena tietosuoja-asetuksen säätämisessä on ollut yhtenäistää EU/ETA-maiden tietosuojakäytännöt. Tämän johdosta myös sakkoja koskevan käytännön pitäisi olla jokaisessa maassa sama. Kuten nyt on osoitettu, myös Suomessa voi saada sakkoja tietosuojalainsäädännön rikkomisesta. Tähän mennessä saatu sakkokäytäntö osoittaa, että sakkoja voi saada hyvin erilaisista rikkomuksista ja niiden suuruudet vaihtelevat rajusti.

Sakkojen lisäksi lainvastaisesta henkilötietojen käsittelystä seuraa merkittävä mainehaitta rekisterinpitäjälle. Seuraamusmaksun saanut organisaatio tulee nimetyksi tietosuojavaltuutetun toimiston tiedotteissa silloin, kun asia arvioidaan yleisesti merkittäväksi tai organisaatio voitaisiin sekoittaa toiseen toimijaan. Suomen kolmesta ensimmäisestä seuraamusmaksusta kahden yhteydessä on nimetty kyseessä oleva yritys ja kaikki kolme tapausta ovat saaneet laajaa mediahuomiota.

Viimeistään nyt kunkin rekisterinpitäjän on siis syytä käydä läpi henkilötietojen käsittelykäytäntönsä ja niiden tietosuoja-asetuksen mukaisuus sekä laatia kaikki tarvittava dokumentaatio tämän osoittamiseksi. Näin voidaan varmistaa, ettei tietosuojasakko ja sen aiheuttama mainehaitta osu omalle kohdalle.