Käytännön opit GDPR:n soveltamisesta

Suomen tietosuojavaltuutetun toimisto on toukokuussa 2020 määrännyt ensimmäiset seuraamusmaksut EU:n yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR) rikkomisesta. Tähän mennessä seuraamusmaksuja on määrätty yhteensä viidessä tapauksessa suurimman seuraamusmaksun ollessa 100 000 euroa. Rikkomukset ovat koskeneet muun muassa rekisteröityjen puutteellista informointia, vaikutustenarviointien tekemättä jättämistä ja tarpeettomien henkilötietojen keräämistä.

Lisäksi apulaistietosuojavaltuutettu on 14.5.2020 antamassaan päätöksessä linjannut, evästeitä koskevaan suostumukseen on sovellettava tietosuoja-asetuksen mukaisia suostumuksen edellytyksiä. Päätöksen myötä verkkosivujen evästeilmoitukset menevät nyt uusiksi suurimmalla osalla yrityksistä. Jokainen yritys joutuukin nyt arvioimaan evästeitä koskevat suostumuskäytäntönsä ja päivittämään niitä tarvittaessa.

Kansallisten päätösten lisäksi Euroopan Unionin tuomioistuin on 16.7.2020 antamassaan päätöksessä (ns. Schrems II -päätös) linjannut, että EU:n ja Yhdysvaltojen välinen Privacy Shield järjestely on pätemätön. Päätöksellä on merkittäviä vaikutuksia siihen, miten yritykset ja organisaatiot voivat siirtää henkilötietoja Yhdysvaltalaisille yrityksille. Käytännössä jokainen yritys joutuu nyt arvioimaan tapauskohtaisesti kaikki henkilötietojen siirrot Yhdysvaltoihin ja muutoinkin EU:n ulkopuolelle.

Ensimmäiset päätökset ovat tarkentaneet useita tietosuoja-asetuksen mukaisia velvoitteita. Lisäksi apulaistietosuojavaltuutetun antama päätös toi kauan kaivattua selkeyttä kansallisiin evästekäytäntöihin. Ensimmäiset päätökset toimivat hyvänä muistutuksena siitä, että yritysten on noudatettava toiminnassaan tietosuojalainsäädännön velvoitteita. Vastuu tietosuojavelvoitteiden noudattamisesta on yrityksien vastuulla. Nyt viimeistään on hyvä hetki tarkistaa yrityksen tietosuojavelvoitteiden noudattaminen ja ottaa oppia tähän mennessä annetuista päätöksistä.

Mikäli aihe herättää mielenkiintoa, tule kuulemaan lisää perjantaina 13. marraskuuta 2020 Pohjois-Pohjanmaan Lunch&Learn -tilaisuuteen. Kerron tilaisuudessa lisää ajankohtaisia asioita tietosuoja-asetuksen soveltamisessa on, millaisia seuraamuksia viranomaiset ovat langettaneet, ja mitä näistä tapauksista voidaan oppia?

Kouluttaja: OTM, insinööri (AMK) Jari Piittinen on erikoistunut tietosuoja-asioihin. Hän on avustanut lukuisia yrityksiä ja yhteisöjä tietosuoja-asetuksen soveltamisessa kuten käsittelytoimien kartoituksessa, tarvittavan dokumentaation laatimisessa ja riskien arvioinnissa. Lisäksi Jari on kouluttanut yritysten henkilöstöä tietosuoja-asioissa.

Tervetuloa!