GDPR-sakot ovat Suomessakin mahdollisia elokuun alun jälkeen – ”Huomautuksia annettu aktiivisesti”
Suomessa elokuun alussa toimintansa aloittava kollegio saa oikeudet määrätä hallinnollisia GDPR-sanktioita.
EU:n uusi tietosuoja-asetus astui voimaan viime vuoden toukokuussa. Tietosuojavaltuutetun toimistossa on sen jälkeen pitänyt kiirettä.
– Huomautuksia on tehty aktiivisesti, sitä toimivaltuutta olemme tässä vaiheessa käyttäneet. Huomautus pitää GDPR-lainsäädännön mukaan antaa, jos sellaiseen on syytä, tietosuojavaltuutettu Reijo Aarnio kertoo.
Sen sijaan hallinnollisia sanktioita eli yksinkertaisemmin sakkoja ei ole Suomessa vielä langetettu. Toimivaltuutta käyttää kolmijäseninen kollegio, joka aloittaa työnsä elokuun ensimmäisenä päivänä. Siihen kuuluu Aarnion lisäksi kaksi apulaistietosuojavaltuutettua.
Tämän jälkeen hallinnollisia sanktioita voidaan määrätä Suomessakin. Tähän mennessä niitä on langetettu vähän. Yksi merkittävimmistä on tuore tapaus Britanniasta, missä maan tietosuojaviranomainen ICO määräsi Marriott-hotelliketjulle 110 miljoonan euron GDPR-sakon. Syynä oli vuoden 2018 lopulla varausjärjestelmästä löydetty tietoturva-aukko, jonka kautta noin 500 miljoonan asiakkaan tiedot karkasivat.
– En halua vielä spekuloida sen enempää, määrätäänkö sanktioita Suomessa. Riippuu tilanteen törkeydestä, milloin kynnys käyttää hallinnollisia toimivaltuuksia ylittyy. Olen kuitenkin tyytyväinen, kun saamme kollegion käyttöön. Silloin olemme samalla viivalla muiden EU-maiden kanssa, Aarnio sanoo.
Kantelut useimmiten kansalaisilta
Tietosuojavaltuutetun toimistoon tulee tällä hetkellä Aarnion mukaan ”valtavasti” asioita vireille. Ne koskevat useimmiten rekisteröityjen kuluttajien oikeuksia.
– Jos havaitsemme oikeuksien hankaloittamista tai estämistä, voimme määrätä yrityksen korjaamaan toimintaansa ja menettelemään tietosuoja-asetuksen mukaisesti. Voimme määrätä yrityksen myös tekemään tietoturvaloukkausilmoituksen niille kuluttajille, joiden henkilötiedot ovat joutuneet loukkauksen kohteeksi. Ilmoituksessa on kerrottava, että kyseisen henkilön tietoja on joutunut niille, joille tietoja ei ole kuulunut joutua.
Tietosuojavaltuutetun toimisto voi myös määrätä tarkastusoikeuden puhelin- tai videotallenteisiin tai asiakasrekisterissä oleviin tietoihin.
– Voimme määrätä virheet oikaistaviksi, jos rekisterissä sellaisia on, Aarnio jatkaa.
Aarnion mukaan ilmoitukset mahdollisista väärinkäytöksistä tulevat useimmiten kanteluina tavallisilta kansalaisilta.
– Kun asialla on rajat ylittävää vaikutusta, kantelu voi tulla mistä tahansa EU-jäsenmaasta Suomeen. Jos suomalainen yritys tarjoaa verkon ylitse tuotteita tai palveluita esimerkiksi Bulgariaan ja paikallinen kuluttaja epäilee, että tietosuojaa loukataan, hän voi olla yhteydessä Bulgarian viranomaisiin, jotka välittävät tiedon edelleen meille Suomeen.
Suomen toimisto seuraa myös itse oma-aloitteisesti mahdollisia tapauksia, joihin on tarvetta puuttua.
Aarniolla ei ole tarkkaa käsitystä siitä, mikä on suomalaisyritysten GDPR-valmius tällä hetkellä.
– Viime aikoina asiasta ei ole tehty liiemmin selvityksiä. Niitä tehtiin ennen GDPR:n voimaanastumista. Silloin isot yritykset olivat varautuneet asiaan pieniä paremmin. Luulen, että niin on edelleen. Pääasia on, että suomalaisyritykset näyttävät reagoineen asiaan.
Kuva: Getty Images
Pauli Reinikainen
pauli.reinikainen (at) yrittajat.fi
