Tietosuojasanktiot: Mitä tietosuoja-asetuksen vaatimusten noudattamatta jättämisestä voi seurata?
Yleinen tietosuoja-asetus (GDPR) tuli voimaan vuoden 2018 keväällä. Tuolloin yksi eniten huomiota herättäneistä asioista oli tietosuojaviranomaisten mahdollisuus määrätä henkilötietojen rekisterinpitäjälle tai käsittelijälle huomattavan suuria hallinnollisia sakkoja asetuksen vastaisesta toiminnasta. Ovatko tietosuojaviranomaiset käyttäneet tätä mahdollisuutta asetuksen vastaisen toiminnan kitkemiseksi ja jos, millä tavalla?
Yleinen tietosuoja-asetus (GDPR) tuli voimaan vuoden 2018 keväällä. Tuolloin yksi eniten huomiota herättäneistä asioista oli tietosuojaviranomaisten mahdollisuus määrätä henkilötietojen rekisterinpitäjälle tai käsittelijälle huomattavan suuria hallinnollisia sakkoja asetuksen vastaisesta toiminnasta. Ovatko tietosuojaviranomaiset käyttäneet tätä mahdollisuutta asetuksen vastaisen toiminnan kitkemiseksi ja jos, millä tavalla?
Tietosuojasanktioiden kehitys Suomessa
Suomessa tietosuojavaltuutettu (TSV) on antanut huomautuksia, määräyksiä ja hallinnollisia sakkoja varsin aktiivisesti viime vuosina ja määrän voi todeta olevan nousujohteinen. Määrällisesti eniten annetaan huomautuksia. Huomautukset, kuten myös päätökset hallinnollisista sakoista, sisältävät usein myös määräyksen toiminnan korjaamiseen.
Hallinnollisia sakkoja määrätään selvästi harvemmin, mutta niidenkin osalta on havaittavissa nousujohteisuutta etenkin seuraamusten euromäärissä. Sakkojen tapauskohtaisen euromäärisen suuruuden kehitystä voidaan kuvata toteamalla, että vuonna 2021 sakkojen yhteismäärä oli 780 000 euroa ja niitä annettiin seitsemässä eri tapauksessa. Vuonna 2022 sakkojen yhteismäärä viidessä annetussa ratkaisussa nousi jo 1 195 300 euroon. Kuluvana vuonna hallinnollisia sakkoja on määrätty 856 000 euroa yhdessä tapauksessa.
Mistä syistä sanktioita yleisimmin määrätään?
Yksi yleisimmistä syistä tietosuojasanktion määräämiseen on ollut rekisteröidyn oikeuksien kunnioittamatta jättäminen. Sakkoja on määrätty mm. tilanteissa, joissa rekisterinpitäjä ei ole vastannut henkilön pyyntöihin säädetyssä ajassa, ei ole antanut pyydettyjä tietoja tai poistanut niitä pyynnöstä huolimatta. Myös henkilön tunnistautumisen tarpeettoman vaikeaksi tekeminen on johtanut sakkojen määräämiseen. Esimerkiksi TSV määräsi 13.12.2022 Alektum Oy:lle 750 000 euron suuruisen sakon ja Liettuan tietosuojaviranomainen puolestaan 2.7.2023 Vinted-nimiselle yhtiölle 2 385 276 euron suuruisen sakon.
Toinen tavallinen syy tietosuojasanktioiden määräämiselle on ollut henkilötietojen tarpeeton käsittely. Tietosuoja-asetuksen mukaan henkilötietojen keräämisen ja käsittelyn tulee rajoittua siihen tarkoitukseen, johon ne on kerätty. Jos siis tietoja kerätään ja käsitellään enemmän kuin tarkoituksen toteuttaminen edellyttää, voidaan toiminnasta määrätä merkittävänkin suuruisia sakkoja. Tästä voidaan mainita esimerkkinä TSV:n suomalaiselle korkeakoululle 29.7.2021 määräämä 25 000 euron suuruinen sakko.
Puutteet säilytysaikojen määrittelyssä on myös yksi tavanomaisimpia tietosuojasanktioiden määräämisen perusteita. Rekisterinpitäjän tulee määritellä, kuinka kauan henkilöistä kerättyjä tietoja aiotaan säilyttää. GDPR:n mukaan säilytysajan tulee rajoittua käsittelyn tarpeellisuuteen tai perustua muun lainsäädännön vaatimuksiin. Liian pitkät ja perusteettomat säilytysajat tai se, että säilytysaikoja ei ole lainkaan määritelty, on johtanut sanktioiden määräämiseen. Tästä esimerkkinä tapaus, jossa TSV määräsi 6.3.2024 Verkkokauppa.comille 856 000 euron hallinnollisen sakon
Myös erilaiset puutteet tietoturvassa korotuvat sanktioiden määräämisen syinä. Rekisterinitäjän velvollisuutena on huolehtia siitä, että käsittely on turvallista sekä teknisten järjestelmien että henkilötietoja käsittelevien henkilöiden toimintatapojen osalta. Luvaton pääsy tietoihin tai tietojen siirtyminen EU:n/ETA:n ulkopuolelle käytettävässä järjestelmässä olevien toimintojen vahingossakin tapahtuneen aktivoitumisen vuoksi on katsottu rikkovan GDPR:n määräyksiä. TSV määräsi esimerkiksi Psykoterapiakeskus Vastaamolle 7.12.2021 608 000 euron suuruisen hallinnollisen sakon ja Ruotsin viranomainen puolestaan Apotek AB:lle ja Apohem AB:lle 29.8.2024 32000 000 euron ja 698 0000 euron sakon.
Yhteenveto
Sakon määräämistä on perusteltu sillä, että tietosuojalainsäädännön vaatimusten rikkominen on ollut pitkäkestoista, järjestelmällistä ja kohdistunut suureen määrään rekisteröityjä. Tämä on korostunut erityisesti tapauksissa, joissa rikkomukset ovat kohdistuneet erityisiin henkilötietoihin, kuten esimerkiksi terveystietoihin. Lisäksi taloudellisen hyödyn tavoittelu ja aiempien määräysten noudattamatta jättäminen korostuvat raskauttavina tekijöinä seuraamuksen harkinnassa. Tällaisissa tapauksissa on katsottu, että pelkkä huomautus tai määräys ei ole riittävä seuraamus vakavan ja toistuvan rikkomuksen osalta, vaan taloudellinen sanktio on ollut välttämätön tehokkaan pelotevaikutuksen saavuttamiseksi. Päätökset heijastavat selkeää pyrkimystä varmistaa, että yritykset ottavat tietosuojalainsäädännön velvoitteet vakavasti ja toimivat sen mukaisesti.