Sanktiot tietosuojarikkeistä

, , ,

Nainen istuu kannettava koneen äärellä palaverissa
Nainen istuu kannettava koneen äärellä palaverissa
Tietosuojarikkeet voivat johtaa huomautuksiin, määräyksiin tai jopa miljoonasakkoihin. Vastuullisuus, dokumentointi ja henkilöstön osaaminen ovat avainasemassa.

Entä jos tietosuoja yrityksessäsi olisi rikki?

Tietosuojaa, eli sitä, miten yrityksessä henkilötietoja käsitellään, säännellään muun muassa yleisessä tietosuoja-asetuksessa (GDPR) ja tietosuojalaissa. Lähdetään siitä, että yrityksesi tuntee tietosuojalainsäädännön ja tekee parhaansa, että noudattaa sitä. Joskus silti sattuu arvaamattomia asioita, ja tapahtuneista tietosuojarikkeistä voi tulla seuraamuksia.

Jokaisella yrityksen työntekijällä on vastuu omasta toiminnastaan,
sekä ilmoittamisvastuu epäillyistä tai havaituista
puutteista, ongelmista ja rikkomuksista.

Kuka tietosuojaa valvoo?

Suomessa Tietosuojavaltuutetun toimisto on se, minne voi ilmoittaa mahdollisista tietosuojapoikkeamista (lue lisää täältä: https://lawder.fi/tietosuojapoikkeama-mita-se-on-ja-mita-sen-kanssa-pitaa-tehda/ ), ja jolla on tarkastusoikeus.

Tietosuojavaltuutetun tehtäviin kuuluu mm. valvoa
tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä
koskevien lakien noudattamista ja sekä tarkastuksensa perusteella
määrätä hallinnollisia seuraamuksia tietosuoja-asetuksen rikkomisesta.


Mitä mahdolliset seuraamukset ovat?

Jos tarkastuksessa ilmenee, että yritys ei ole noudattanut tietosuojalainsäädäntöä, Tietosuojavaltuutetun toimistolla on tietosuojalain mukainen oikeus käyttää seuraavia korjaavia toimivaltuuksia:

  1. Rekisterinpitäjälle annettavat varoitukset, huomautukset ja määräykset.

  2. Henkilötietojen käsittelyn rajoittaminen tai kieltäminen (väliaikainen tai pysyvä), tai kolmanteen maahan tai kansainväliselle järjestölle tehtävien tiedonsiirtojen keskeyttämismääräys.

  3. Uhkasakko kahdessa edellä olevassa kohdassa olevien toimenpiteiden tueksi. Uhkasakon asettamisesta ja tuomitsemisesta maksettavaksi säädetään uhkasakkolaissa.

  4. Sertifioinnin peruuttamisesta tai sen antamisesta kieltäytymisestä määräyksen antaminen.

  5. Hallinnollinen seuraamusmaksu (muiden korjaavien toimenpiteiden lisäksi tai niiden sijaan). Enintään 20 miljoonaa euroa tai 4% yrityksen maailmanlaajuisesta liikevaihdosta.

Näistä ensimmäiset neljä seuraamusta määrää tietosuojavaltuutettu yksin, mutta hallinnollisen seuraamusmaksun määrää seuraamuskollegio, johon kuuluu tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua.

Niin kuin huomaat, virheestä ei heti välttämättä joudu maksamaan miljoonia euroa, vaan käytössä on siis pienempiäkin seuraamuksia.

On kuitenkin huomioitava, että näiden yllä mainittujen sanktioiden lisäksi yritykselle voi tietosuojarikkomuksista seurata vahingonkorvausvastuu niistä vahingoista, joita rekisteröidylle kyseisestä rikkomuksesta aiheutuu. Tietosuoja-asetuksen mukaan henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa, on oikeus saada täysi korvaus vahingosta joko rekisterinpitäjältä tai henkilötietojen käsittelijältä.

Suuri osa annetuista sanktioista on huomautuksia, varoituksia ja määräyksiä.
Hallinnolliset seuraamusmaksut on tarkoitettu lähtökohtaisesti
vakavien rikkomusten varalle.

Mitä seuraamuksia tietosuojapoikkeamista on tullut viime aikoina?

Vuoden 2024 aikana Suomessa ilmoitettiin Tietosuojavaltuutetun toimistoon 7152tietoturvaloukkausta. On muistettava, että tämä on vain murto-osa kaikista tapahtuneista henkilötietojen käsittelyyn liittyvistä poikkeamista, koska pienimpiä poikkeamia (joita on suurin osa kaikista poikkeamista) ei tarvitse sinne ilmoittaa.

DLA Piperin vuotuinen GDPR and Data Breach Survey -tutkimus julkisti, että vuonna 2024 Euroopassa määrättiin yhteensä 1,2 miljardin euron edestä GDPR-sakkoja. Suurimman viime vuonna määrätyn GDPR-sakon koko maailmassa, 310 miljoonaa euroa, sai LinkedIn. Kaikki EU-alueella määrätyt GDPR-sakot voi käydä katsomassa tällä sivustolla: https://www.enforcementtracker.com/.

Suomessa suurin viime vuonna määrätty seuraamusmaksu määrättiin 13.11.2024 Postille. Päätös ja lisätietoja asiasta löytyy Finlex-sivustolta. Tässäkin tapauksessa huomattavaa on, että seuraamusmaksun lisäksi Postille annettiin myös muita sanktioita, siis Määräys saattaa henkilötietojen käsittelytoimet tietosuojasääntelyn mukaisiksi ja Huomautus yleisen tietosuoja-asetuksen säännösten vastaisista henkilötietojen käsittelytoimista. Näiden seuraamusten lisäksi Postille luvattiin antaa ohjausta oikeista toimintatavoista.

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi
Postille 2,4 miljoonan euron seuraamusmaksun
tietosuojasäännösten vastaisesta käytännöstä OmaPosti-palvelussa.

Miten saat pidettyä yrityksesi tietosuojan ehjänä?

Keskeinen tekijä seuraamusten minimoinnissa tietosuojan osalta on se, että yritys pystyy osoittamaan noudattaneensa tietosuoja-asetusta. Tähän liittyen olennaista on ennen kaikkea yrityksen henkilötietojen käsittelyn prosessien lainmukaisuuden varmistaminen ja jatkuva seuranta. Siihen kuuluu tärkeänä riittävän, sekä sisäisen että ulkoisen, tietosuojadokumentaation tekeminen ja ylläpito. Riittävän tietosuojadokumentaation ohella tulee huolehtia myös henkilökunnan tietosuojatietoisuudesta (lue lisää täältä: https://lawder.fi/henkiloston-tietosuojatietoisuuden-yllapitaminen-ja-koulutus/ ) ja tietosuoja-asioiden sisäisestä vastuuttamisesta sekä henkilötietojen käsittelyyn käytettyjen alihankkijoiden kanssa tehdyistä sopimuksista ja heidän toimiensa valvonnasta.

Käy siis läpi, missä ja miten yrityksesi henkilötietoja säilytetään ja että täytätte tietosuoja-asetuksen vaatimukset. Näin vältytte sanktioilta ja turvaatte rekisterissä olevienne tiedot.

Käytännössä olet aina itse vastuussa omasta toiminnastasi.
Jos et tiedä, kuinka toimia, kysy neuvoa tai ohjeita.
Jos epäilet tai havaitset jotain ongelmia tai rikkomuksia
henkilötietojen käsittelyn suhteen, kerro niistä välittömästi
yrityksesi tietosuoja-asioista vastaavalle henkilölle.


Lopuksi

Jos tarvitset apua organisaatiosi tietosuojatyöhön, tietosuojatilanteen arviointiin tai tietosuojatietoisuuden kasvattamiseen ja/tai ylläpitämiseen, lue lisää palveluistamme ja ota rohkeasti yhteyttä:https://lawder.fi/palvelut/datasaantelyn-asiantuntijapalvelut/tietosuoja-asiantuntijan-palvelut/. Kokeneiden tietosuoja-asiantuntijoidemme avulla voit helposti huolehtia jatkuvasta tietosuojan toteutumisesta yrityksessäsi.

Lawderin virtuaalisessa aulassa vastaamme yritysten ja yhteisöjen kysymyksiin mm. tietosuojaan liittyen. Palvelemme helposti napin painalluksen päässä arkisin 9-15. Astu aulaan – neuvonta on maksuton!

ASTU LAWDERIN AULAAN
Kaarina Limingoja

Kaarina Limingoja
Head of Data Protection, CIPP/E, CIPM
Lawder Oy

LUE MYÖS

Linkedin Envelope

Helsinki
Maistraatinportti 1
00240 Helsinki

Turku
Junakatu 9
Logomo Byrå
20100 Turku

  • Operaattori: Apix Messaging Oy (003723327487)
  • OVT-tunnus: 003732574412
  • Y-tunnus: 3257441-2

Part of Citrus

© Lawder. All rights reserved.

Tutustu myös konsernin muihin verkkosivuihin

Citrus Solutions Oy
Noventia Oy
Lawder Oy