Taklaa GDPR-sakkojen uhka tietoturvan avulla

EU:n yleinen tietosuoja-asetus (GDPR) tuli sovellettavaksi reilut puolitoista vuotta sitten. Vaikka asetuksen täytäntöönpano alkoi kohmeisesti, on tilanne nyt muuttunut: Euroopan tietosuojaviranomaiset ovat aloittaneet aktiivisen sakottamisen GDPR:n noudattamatta jättämisestä. Tuoreessa seminaarissamme totesimme tietoturvan olevan selkeästi yksi tietosuojaviranomaisten keskeisimmistä painopistealueista, minkä vuoksi jokaisen yrityksen tulisi kiinnittää siihen erityistä huomiota.

Mistä syystä sakot rapsahtavat?

Bird & Bird järjesti yhdessä suunnittelu- ja ohjelmistoyritys Exoven kanssa 26. marraskuuta GDPR-sakkoja koskevan seminaarin. Seminaarimme teema ''Taklaa GDPR-sakkojen uhka tietoturvan avulla'' houkutteli paikalle runsaasti osallistujia ja herätti yleisössä paljon erinomaisia kysymyksiä. Seminaarissa havaittiin, että tietosuojaviranomaiset antavat sakkoja lähinnä läpinäkyvyyden tai lainmukaisten oikeusperusteiden puuttumisen taikka tietoturvapuutteiden vuoksi. Bird & Birdin Senior Counsel Tobias Bräutigam esitteli aiheen oikeudellista taustaa ja Euroopan tietosuojaviranomaisten antamia ohjeistuksia hallinnollisista sakoista. Ohjeistusten avulla tietosuojaviranomaiset määrittävät sakon suuruutta. Tobiaksen osuutta seurasi Exoven teknologiajohtajan Kalle Varisvirran esitys tietoturvaan liittyvistä teknisistä ratkaisuista. Molemmat asiantuntijat hyödynsivät viimeaikaisia sakkotapauksia kuvaillakseen tietoturvapuutteiden johtamista sakkoihin eri aloilla, kuten esimerkiksi pankki-, vakuutus-, terveydenhuolto- ja kiinteistöalalla.

Viisi asiaa, jotka kannattaa laittaa korvan taakse:

Olemme tiivistäneet alle seminaarimme keskeisimpiä havaintoja.
1. Tietoturva on yksi tietosuojaviranomaisten painopisteistä ja annetut sakot ovat suhteellisen suuria.
2. Yhteistyö tietosuojaviranomaisen kanssa voi pienentää sakon määrää – Jos epäilet tietoturvaloukkausta, tee aina ilmoitus tietosuojaviranomaiselle!
3. Osa Euroopan tietosuojaviranomaisista on julkaissut sakottamiseen liittyviä ohjeita, joihin on suositeltavaa tutustua.
4. Tietoturvaloukkaukset toimivat usein herätteenä tietosuojaviranomaisen tutkinnan aloittamiselle.
5. Sakkoihin ovat johtaneet muun muassa rajoittamattomat henkilötietojen säilytysajat, tietojen poistamisen laiminlyönti kun niiden käsittelylle ei ole enää lainmukaista perustetta, puutteelliset tekniset ja organisatoriset toimenpiteet, riittämätön käyttöoikeuksien hallinta ja tietojen vuotaminen työntekijöiden tai nettisivujen kautta.

Tietoturvaongelmien estämiseen löytyy useita teknisiä ja menettelyllisiä ratkaisuja, joista monet ovat helposti toteutettavissa. Kuten Tobias neuvoi: Aloita pienesti, mutta aloita jo tänään! Esimerkiksi Bird & Bird tarjoaa tietoturvaloukkauksia simuloivia koulutuksia, jotka voivat auttaa tunnistamaan heikkouksia yritysten tietoturvassa.

Mitä on odotettavissa Suomessa?

Suomessa tietosuojavaltuutettu ei ole antanut GDPR-sakkoja – vielä. Tämä johtuu pitkälti siitä, että Suomessa hallinnollisista sakoista päättävään elimeen eli seuraamuskollegioon tarvittavat apulaistietosuojavaltuutetut Anu Talus ja Jari Råman ovat aloittaneet toimensa vasta syyskuussa 2019. Kollegion kolmas jäsen on tietosuojavaltuutettu Reijo Aarnio. Aarnion mukaan tietosuojaviranomaisilla on sakotuksen lisäksi käytettävissään laaja arsenaali korjaavia toimivaltuuksia varoituksesta määräykseen ja toimenpidekieltoon asti. On siis syytä pysyä kuulolla!

Haluamme kiittää kaikkia osallistujia aktiivisesta osallistumisesta seminaariin ja jatkamme mielellämme keskustelua tästä ajankohtaisesta aiheesta.