GDPR-sakkonuija heiluu nyt Suomessakin. Lue, ja varmista etteivät viattoman tuntuiset mokat ajaa organisaatiotasi sakkomiinaan.
28.5.2020
Viattomat virheet, kallis lasku
Viattoman tuntuiset tietosuoja-asetuksen tulkinnat toivat samana päivänä GDPR-sakot peräti kolmelle yritykselle. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi maksettavaksi 12 500 sekä 16 000 ja 100 000 euron seuraamukset. Kyseessä ovat Suomen ensimmäiset sakkorangaistukset tietosuoja-asetuksen rikkomisesta.
Postille langetetun 100 000 euron sakkomaksun taustalla olivat varsin viattoman tuntuiset puutteet rekisteröityjen informoinnissa. Muuttoilmoituksen juuri tehneet olivat alkaneet saada yhteydenottoja useilta eri suoramarkkinointiyrityksiltä. Posti ei ollut informoinut muuttoilmoitusta tekeviä asiakkaita, että heidän tietojaan tullaan luovuttamaan muille osapuolille ja että asiakkailla on laillinen oikeus kieltää tietojensa luovutus. Muuttoilmoitus -palvelun sivulla Posti oli unohtanut kertoa myös kaikki muut rekisteröityjen oikeudet, kuten oikeus omien tietojen tarkistamiseen, korjaamiseen ym. Rikkomus koski tietosuojavaltuutetun toimiston mukaan 161 000 asiakasta pelkästään vuoden 2019 aikana.
Kymen Vesi Oy:n 16 000 euron sakon perustelu oli oli työntekijöiden sijainnin jatkuva seuraaminen ajotietojärjestelmän avulla. Ajoneuvojen sijaintitietoja käytettiin muun muassa työajan seuraamiseen. Tietosuojavaltuutetun toimiston päätöksen mukaan sakkojen perusteluna oli lisäksi se, että yritys ei ollut tehnyt EU:n yleisen tietosuoja-asetuksen mukaista vaikutustenarviointia ennen sijaintitietojen käsittelyn aloittamista.
Vaikutustenarviointi on tehtävä, kun käsittelystä todennäköisesti seuraa korkea riski rekisteröidyn henkilön oikeuksille ja vapauksille. Arviointi on tehtävä muun muassa, jos käsitellään heikommassa asemassa olevien rekisteröityjen sijaintitietoja tai sijaintitietoja käytetään järjestelmälliseen valvontaan. Tieto tilanteista, joissa sijaintitietojen käsittelyyn perustuva vaikutustenarviointi on tehtävä, on julkaistu muun muassa tietosuojavaltuutetun verkkosivuilla.
Kolmannen yrityksen nimeä tietosuojavaltuutetun toimisto ei julkistanut. 12 500 euron sakot tulivat tarpeettomien henkilötietojen keräämisestä ja puutteista tietosuojakäytäntöjen dokumentoinnissa. Yritys oli kerännyt rekrytoitavilta ja työntekijöiltä terveydentilaa ja mahdollista raskautta, uskontoa ja perhesuhteita koskevia tietoja. Tämä rikkoo sekä EU:n tietosuoja-asetusta että Työelämän tietosuojalakia.
Sakkojen lisäksi tietosuojavaltuutettu määräsi yrityksen poistamaan tarpeettomat tiedot, ja korjaamaan puutteet tietosuojakäytäntöjen dokumentoinnissa. Yrityksen nimen julkaisematta jättäminen on melko harvinaista. Ovathan yritystoimintaa koskevat laiminlyönnit, rikkeet ja väärinkäytökset julkista tietoa eikä tietosuoja ole poikkeus.
Tarkista ja varmista
Tietosuoja-asetus on laaja kokonaisuus. Vaikka organisaatioihin vaikuttavat useat lait ja säädökset, tietousojaa koskevat läpäisevät koko toiminnan. Siksi asetuksen noudattamisessa kannattaa olla tarkkana. Tarkista ja varmista, että organisaatiosi on
- Määritellyt henkilötietojen käsittelylle asetuksen mukaiset lailliset perusteet. Muuten henkilötietoja ei voi kerätä eikä käsitellä.
- Dokumentoinut tietosuojakäytännöt ja määritellyt henkilöstön vastuut tietosuojan osalta, eli laatinut selosteen käsittelytoimista. Tietosuojakäytäntöjen arvioinnissa ja dokumentoinnissa on tärkeä muistaa, että asetuksen mukainen oletusarvoinen, sisäänrakennettu tietosuoja tulee huomioida liiketoiminnan kaikissa vaiheissa
- Ohjeistanut henkilöstöä, eli laatinut osana sisäistä dokumentaatiota tietoturvaa ja tietosuojaa koskevat ohjeet, sekä: ohjeistuksen miten rekisteröityjen oikeudet toteutetaan ja miten tietoturvaloukkausten sattuessa toimitaan.
- Informoinut tietosuoja- / rekisteriselosteessa asiakkaita ja muita rekisteröityjä tiiviisti ja totuudenmukaisesti organisaation tietosuojakäytännöistä.
Asetuksessa on tiettyjä vaatimuksia julkisten selosteiden sisällölle ja muodolle, ja niin sisäinen kuin julkinen dokumentaatio on pidettävä ajan tasalla. Jos haluat pelata varman päälle, lue asiantuntijoidemme laatimat 19-kohdan ohjeet.
Asetuksen edellyttämä oletusarvoinen tietosuoja rakentuu palasista. Turvallinen, asianmukaisesti suojattu infra ja yhteydet ovat itsestään selvyys, mutta yhtä paljon vaa’assa painaa henkilöstön toiminta. Muista, että muun dokumentaation ohella myös henkilöstölle laadittu sisäinen ohjeistus tulee pitää ajan tasalla.
Satsaa tietosuojaan, satsaat luottamukseen ja kilpailukykyyn
Suomen ensimmäisiä GDPR-sakkoja voi pitää tuntuvina. Seuraamusmaksujen on tarkoitus olla oikeasuhtaisia ja toimia varoituksena muille. Sakkojen suuruus on määritelty tietosuoja-asetuksessa. Pienimmillään se on 2 %, enimmillään jopa 4 % organisaation edellisvuoden liikevaihdosta. Joka tapauksessa kallis ja turha kantapään oppi.
Pidä tietosuoja kunnossa. Satsaat asiakkaiden ja sidosryhmien luottamukseen ja kilpailukykyyn.
Millä mallilla on sinun organisaatiosi tietosuoja? Tilaa meiltä arvio tai avaimet käteen tietosuojapäivitys!
Tilaa digityöläisten sisäpiiritieto!
Oliko jutusta hyötyä? Jaa se muille.
