EU:n tietosuoja-asetus GDPR on täyttämässä vuoden. GDPR-sanktioita on langetettu ympäri Eurooppaa. Useimmiten viranomaiset ovat sakkojen sijaan määränneet lievempiä keinoja kuten huomautuksia tai varoituksia. Tähän mennessä sakkoja on määrätty yli 40 asiassa ja lisää on tulossa. Sakkojen perusteet kertovat, että regulaatio ei ole mikään teoreettinen ohjeistus vaan täyttä totta. Ohjelmisto- ja e-business ry yhdessä HPP Asianajotoimiston kanssa julkaisi ajankohtaisen katsauksen miten GDPR:n ensimmäinen vuosi on sujunut ja millaisia käytänteitä on muotoutunut.
GDPR-sanktioita eri puolelta Eurooppaa
Saksassa sosiaalisen median yrityksen sakko, 20 000 € oli varsin pieni ottaen huomioon, että 330 000 ihmisen käyttäjätunnukset salasanoineen paljastuivat hakkerihyökkäyksessä. Viranomainen otti huomioon yrityksen yhteistyöhalukkuuden ja mm. sen, että yritys oli välittömästi tiedottanut käyttäjiään hyökkäyksestä. Suurin Saksassa määrätty sakko on toistaiseksi 80 000 € ja se liittyy puutteellisen tietoturvan aiheuttamaan arkaluontoisten terveystietojen paljastumiseen. Mittakaavan valottamiseksi vielä muistutuksena, että Ranskassa Googlelle määrättiin 50 miljoonan euron sakko, aiheesta julkaistiin blogi tuoreeltaan. Mutta kuten HPP:n Terho Nevasalo sanoi, summa pitää suhteuttaa Googlen ”huikeaan sotakassaan”. Googlen synti oli se, ettei se riittävän tarkasti kertonut käyttäjilleen mitä puhelimista kerätyillä tiedoilla tehdään ja kauanko niitä säilytetään.
Tanskassa tietosuojaviranomainen on esittänyt taksiyhtiölle 160 000 €:n sakkoa sillä perusteella, että yhtiö poistaa rekisteristään asiakkaan muut tiedot kahden vuoden jälkeen mutta ilmoittaa säilyttävänsä ja säilyttää asiakkaiden puhelinnumeroita viiden vuoden ajan. Tälle ei nähty perusteita; asian käsittely on kesken.
GDPR ei koske pelkästään kaupallisia yrityksiä. Norjassa Bergenin kunnalle on määrätty 170 000 €:n sakko, koska puutteellinen tietoturva mahdollisti pääsyn alakoulujen oppilaiden ja työntekijöiden henkilötietoihin. Suurin osa rekistereissä olevista 35 000 ihmisestä oli lapsia, mikä ns. heikompien ryhmien suojelemiseksi nostaa sanktion määrää.
Puolassa digitaalisen markkinoinnin yritys ei kertonut rekisteröidyilleen, että he ovat rekisterissä. 14. artiklan laiminlyönti tuli kustantamaan 220 000 €. Irlannissa viranomaiset tutkivat paraikaa Facebookia: onko käyttäjien salasanojen tietoturvasta huolehdittu riittävästi.
Eteläisen Euroopan käytännöt eivät näyttäisi poikkeavan
Arveltiin, että pohjoisessa Euroopassa GDPR:n vaatimuksia pyritään sekä noudattamaan että valvomaan. Samaan aikaan oletettiin, että eteläinen osa maanosasta pelaa toisilla säännöillä, viranomaisvalvontaa myöten. Vaikuttaisi siltä, että ainakin jälkimmäinen veikkaus meni pieleen. Sanktioita on langettu melko tasaisesti ympäri Eurooppaa ja ainakin yksi sankio on määrätty myös Kreikassa.
Suomalainen keissi onneksi vielä puuttuu eikä ole myöskään tietoa, että yksikään järjestö olisi päätynyt sakkomenettelyyn. Mutta kuten Bergenin kuntaa koskeva tapaus osoittaa, organisaation toimialalla ei ole merkitystä eivätkä järjestötkään ole mitenkään GDPR:n ulkopuolella. Kuten eräässä kuuluisassa TV-sarjassa tavattiin sanoa: ”Let´s be careful out there”.
Autamme Tietopiiri Oy:ssä järjestöjä varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.
Artikkelin on kirjoittanut Ilkka Harjula | TietoPiiri Oy