MyFondia VirtuaaliLakimies
25. marraskuuta, 2019

Sakkoja, sakkoja!

Tietosuoja-asetuksen soveltaminen alkoi puolitoista vuotta sitten. Asetuksen myötä Suomellekin tuli toimivalta sakottaa tahoja, jotka käsittelevät henkilötietoja lainvastaisesti. Suomi ei kuitenkaan toistaiseksi ole antanut ainoatakaan sakkoa. Miksi?

Lainvastaista käsittelyä ja tietosuojaloukkauksia tapahtuu Suomessakin jatkuvasti. Tietosuojavaltuutettu tiedotti lokakuun puolivälissä, että tietosuojavaltuutetun hallinnollisista sakoista päättävä seuraamuskollegio aloitti työnsä. Tietosuojavaltuutettu, Reijo Aarnio, painottaa rekisterinpitäjien ohjaamista tietosuoja-asioissa sakkojen sijaan. Onkin tärkeää, että tietosuojaviranomaisten ohjaukset ja kannanotot olisivat helposti saatavilla esim. netissä.

Lähes kaikki EU/ETA -maat ovat jo kuitenkin aktivoituneet ja sakottaneet erinäisiä tahoja. Sakkoja on annettu yhteensä jo yli sata kertaa. Tiedot sakkojen lukumäärästä kuitenkin hieman vaihtelevat sivustoittain. Joidenkin lähteiden mukaan pelkästään Saksassa, jossa jokaisessa osavaltiossa on oma tietosuojaviranomaisensa, on sakotettu yli sata kertaa. Seuraavaksi aktiivisin on Tšekki, joka on sakottanut 17 kertaa ja kolmantena Espanja 16 sakolla. Naapurimaamme Ruotsi antoi loppukesästä ensimmäisen sakkonsa, ja Norja ja Tanska sakottivat jo keväällä pariin otteeseen. Tietosuoja-asetuksen päämääränä on ollut yhtenäistää tietosuojakäytännöt EU:n alueella. Näin ollen myös sakkoja koskevan käytännön pitäisi olla sama jokaisessa maassa.

Millaisia sakkoja on jo nähty?

Asetuksen mukaan sakko voi olla suuruudeltaan enintään 20 miljoonaa euroa, tai jos kyseessä on yritys, neljä prosenttia edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Suurin osa sakoista on ollut reilusti tätä pienempiä, mutta suuriakin on nähty. Toistaiseksi suurin on Iso-Britannian valvontaviranomaisen ICO:n British Airwaysille lätkäisemä reilun 204 miljoonan euron sakko. Seuraavaksi suurin on ICO:n seuraavana päivänä hotelliketju Marriott Internationalille antama yli 110 miljoonan euron sakko.

Sakot ovat tyypillisesti koskeneet tapahtuneita tietoturvaloukkauksia. Esimerkiksi British Airwaysin tapauksessa noin puolen miljoonan asiakkaan henkilötiedot hakkeroitiin. Myös Marriottin tapauksessa oli kyse tietoturvaloukkauksesta, jonka seurauksena 339 miljoonan asiakkaan tiedot paljastuivat. Sakkoja on annettu myös esim. myyntipuheluista ilman suostumusta, rekisteröityjen pyyntöihin vastaamatta jättämisestä, sähköisen suoramarkkinoinnin lähettämisestä asiakkaalle kiellosta huolimatta ja sähköpostin lähettämisestä siten, että vastaanottajat näkevät toistensa osoitteet. Myös yksittäisiä henkilöitä on sakotettu; Saksassa eräs poliisi sai sakot, kun hän käytti poliisin järjestelmää omiin tarkoituksiinsa ja Puolassa sakotettiin kaupungin pormestaria. Kaikissa tapauksissa ei ole kerrottu julkisuuteen tahoa, jota on sakotettu.

Mitä sakoista voi päätellä?

Vaikka sakot ovatkin vasta viimeinen keino puuttua jo tapahtuneeseen lainvastaiseen henkilötietojen käsittelyyn, on niillä varmasti herättelevä vaikutus. Ei ole enää ihan yhdentekevää, miten tietoja käsitellään ja hyvä niin. Vaikka muualla on jaeltu sakkoja, moni suomalainen yritys saattaa edelleen ajatella, että ”ei tämä meitä koske, ei täällä Suomessa mitään sakkoja anneta”. Ja jatkaa siksi laitonta käsittelyä. Nyt kun seuraamuskollegio on aloittanut työnsä, lainvastaiseen toimintaan varmasti puututaan järeämmillä aseilla, kuin mitä aiemmin on ollut käytössä. Kummelin sanoin: ”sakkoja, sakkoja, isoja sakkoja!"