Tietoturvaloukkaukset – Ajankohtaiskatsaus ratkaisukäytännöstä

29.11.19Uutinen

Viranomaisten toimivalta määrätä sakkoja

EU:n yleinen tietosuoja-asetus (GDPR) tuli voimaan 25.5.2018, eli noin puolitoista vuotta sitten. Ennen asetuksen voimaantuloa erityisesti uuden lainsäädännön mahdollistamat hallinnolliset sakot olivat julkisessa keskustelussa paljon esillä, ja organisaatiot ryhtyivät erilaisiin toimiin varmistaakseen riittävän tietosuojan tason – ja välttääkseen sakot.

GDPR:n nojalla EU-maiden kansalliset valvontaviranomaiset voivat määrätä sakkoja tietosuoja-asetuksen rikkomisesta. Eurooppalaista ratkaisukäytäntöä löytyy jo verrattain paljon. Sakkojen määrä vaihtelee 118 euron ja 204,6 miljoonan euron välillä ja usein sakon perusteena on ollut GDPR:n artikla 32 (riittämätön tietoturva) ja artikla 5 (henkilötietojen käsittelyn periaatteet).

Aktiivisimpia sakottajia lukumääräisesti ovat olleet Saksa ja Unkari. Sen sijaan euromääräisesti suurimpia sakkoja on annettu UK:ssa. Julkisuudessakin paljon esillä olleessa ns. Marriot-tapauksessa UK:n tietosuojaviranomainen vaati Marriot-hotelliketjulle 110 miljoonan euron sakkoa, ja toisessa tapauksessa British Airwaysille 204 miljoonan euron sakkoa molempien rikkoessa tietosuoja-asetuksen määräyksiä riittävästä tietoturvasta (art. 32). Ranskassa puolestaan Googlelle on jo määrätty 50 miljoonan euron sakko. Tässä tapauksessa muutoksenhaku on vielä kesken.

Suomessa ei vielä ole julkaistu yhtään tapausta. Kansallinen tietosuojalainsäädäntö tuli voimaan 1.1.2019 ja hallinnollisista sakoista päättävä seuraamuskollegio aloitti toimintansa vasta syyskuun 2019 lopussa, joten ensimmäisten sakkojen määrääminen on vain ajan kysymys.

 

Ajankohtaista ratkaisukäytäntöä

Alla poimintoja muutamasta ajankohtaisesta ennakkotapauksesta Euroopassa, joissa määrätyt sanktiot ovat vaihdelleet parista sadasta yli sataan miljoonaan euroon. 

Iso-Britannia 9.7.2019, sakko 110.000.000 euroa, ei vielä lopullinen (Art. 32)

Hotelliketju (Marriot International, Inc.) joutui laajan tietoturvaloukkauksen kohteeksi (10/2018), jossa sen palvelimelta varastettiin noin 300 miljoonaa kävijätietoa, kuten passinumeroita, luottokorttitietoja ja syntymäpäiviä. Tiedoista n. 30 miljoonaa koski 31 EEA-maan henkilöitä. Marriot-hotelliketju osti Starwood-hotellikonsernin vuonna 2016, mutta havaitsi loukkaukset vasta v. 2018. Tietomurto oli tapahtunut todennäköisesti jo 2014. Sakko kohdistettiin Marriotille, koska viranomaisen mukaan se oli laiminlyönyt suorittaa yrityskaupan yhteydessä riittävän DD-tarkastuksen tietojärjestelmien turvallisuusvaatimusten osalta. Yritysostojen yhteydessä yhtiön on pystyttävä osoittamaan paitsi mitä henkilötietoja se on hankkinut, myös miten näitä henkilötietoja suojataan.

Espanja 7.11.2019, sakko 900 euroa (art. 13)

Yhtiö ei ilmoittanut tietosuojaselosteessaan riittävällä tarkkuudella suorittamastaan tietojenkeruusta. Espanjan tietosuojaviranomainen määräsi yhtiölle 900 euron sakon.

Itävalta 23.10.2019, sakko 18.000.000 euroa (Art. 5 (1) a), 6) 

Itävallan posti oli profiloinut yli 3 miljoonaa itävaltalaista, sisältäen tiedot heidän kotiosoitteistaan, henkilökohtaisista mieltymyksistään, tavoistaan ja mahdollisesta puoluejäsenyydestä. Tietoa myytiin edelleen mm. poliittisille puolueille ja eri yhtiöille. Postille määrättiin sakko riittämättömän käsittelyperusteen vuoksi.

Ruotsi 20.8.2019, sakko 18.630 euroa (Art. 5 (1) c, 9, 35, 36)

Ruotsalainen lukio käytti luokassa automaattista kasvojentunnistusta helpottamaan oppilaiden poissaolojen kirjaamista. Kamera kuvasi oppilaat heidän tulleessaan luokkahuoneeseen. Ohjelma tunnisti oppilaat ja kirjasi heidät läsnäoleviksi. Kokeilu kesti muutamia viikkoja ja koski 22 oppilasta. Tunnistamiseen oli saatu oppilailta ja huoltajilta suostumus. Tietosuojaviranomainen katsoi, että suostumus ei ollut pätevä, koska kyseessä on riippuvuussuhde oppilaiden ja oppilaitoksen välillä, poissaoloa olisi voinut valvoa vähemmän yksityisyyttä loukkaavalla tavalla ja biometriset tiedot ovat arkaluonteisia tietoja, joiden käsitteleminen edellyttää poikkeusperustetta.

Saksa 3/2019, sakko 50.000 euroa (art. 6)

Pankki keräsi ns. mustaa listaa vanhoista asiakkuuksistaan, jotta se osaisi varoa näitä jatkossa ja kieltäytyä avaamasta pankkitiliä. Henkilötietojen käsittelylle tähän tarkoitukseen ei katsottu olevan laillista perustetta.

Tsekki 10.1.2019, sakko 388 euroa (Art. 6)

Yhtiölle määrättiin sakko, kun se ei ollut poistanut yhtiön Facebook-sivuilta yhtiön entiseen työntekijään liittyviä postauksia, vaikka työntekijä oli sitä pyytänyt. Sakko määrättiin, koska työntekijän pyyntöä tietojen poistamiseksi ei ollut noudatettu.

 

Mikä suuntana?

Tietosuojaviranomaisten tulee keskinäisellä yhteistyöllä varmistua, että sakkokäytännöt ovat samanlaisia kaikissa EU-maissa. Tällä hetkellä näyttää kuitenkin siltä, että sakotuskäytännöissä on eroavaisuutta EU-maiden välillä. Kansalliset tietosuojalait ovat tulleet eri aikaan voimaan, samoin sakkojen määrääminen ei ole ollut mahdollista kaikissa EU-maissa samaan aikaan. Mielenkiintoista onkin nähdä, miten eri maiden tietosuojaviranomaiset pystyvät saavuttamaan yhtenäisen käytännön tilanteessa, jossa muutamat maat näyttävät olevan selvästi muita aktiivisempia sakottajia. Toisin sanoen, käykö niin, että aktiiviset toimijat ”määräävät” linjaukset, joita muut seuraavat?

Nyt kun Suomessa seuraamuskollegio on aloittanut toimintansa, on odotettavissa, että pian määrätään ensimmäiset sakot. Tästä saataneen suuntaviivaa, minkälaisen tulokulman Suomen tietosuojaviranomainen GDPR-sakkoihin ottaa.

Kirjoittanut

Aino-Kaisu Renko

Asianajaja, CIPP/E, osakas

Tutustu asiantuntijaan

Ota yhteyttä

  • Kuinka voisimme auttaa sinua?
    Jätä viestisi tähän, niin olemme sinuun yhteydessä.

    Oulu

    020 7551 480

    Jyväskylä

    020 7551 490

  • Puhelinnumerosi
  • Lisätieto koskien soittopyyntöäsi
  • Nimesi
  • Sähköpostiosoitteesi
  • Viesti
  • Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.

Lähetä viesti asiantuntijalle

  • Miten voisin olla avuksesi?

  • Puhelinnumerosi
  • Lisätieto koskien soittopyyntöäsi
  • Nimesi
  • Sähköpostiosoitteesi
  • Viesti
  • Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.