REFRRER:path /

Suomessa ryhdytään tekemään GDPR-tarkastuksia, kun Ruotsissa annetaan jo ensimmäisiä tuomioita

Ruotsissa tietoturvaan liittyvä kansallinen laki on jo voimassa ja ensimmäisiä GDPR-tuomioita annetaan. Suomessa tietoturvaloukkauksiin liittyviä tarkastuksia ollaan vasta aloittamassa.

Kun EU:n tietosuoja-asetusta GDPR:ää on alettu soveltaa Suomessa, tietosuojavaltuutetun toimistoon on tulvinut yhteydenottoja.

Jaana Mattila

Tietosuojavaltuutetun toimisto tutkii jokaisen ilmoituksen, jonka se on saanut EU:n tietosuoja-asetukseen GDPR:ään liittyen.

Asetus tuli voimaan 25. toukokuuta, ja sen jälkeen tietosuojavaltuutetun toimistoon on suorastaan tulvinut yhteydenottoja.

– 1 300 ilmoitusta tietoturvaloukkauksista, 300 ylikansallista tietoturvaloukkausta ja noin 300 kansallista kantelua, laskee tietosuojavaltuutettu Reijo Aarnio Lännen Medialle.

Seuraavana vuorossa ovat tarkastukset.

– Niitäkin ruvetaan tässä pikkuhiljaa tekemään. Tarkastukset tarkoittavat, että menemme esimerkiksi paikan päälle ja teemme 1-2 päivän tutkimuksen. Jonkinlaisen arvioinnin, mitä sinne kuuluu, Aarnio luonnehtii.

Ruotsissa tutkinnat alkoivat heti kesäkuun alussa

Ruotsissa odotetaan jo ensimmäisiä EU:n tietosuoja-asetukseen GDPR:ään liittyviä tuomioita. Viranomaisen on tarkoitus antaa niitä lokakuun alussa, kertoi Kauppalehti.

Ruotsin datavalvontaviranomainen Datainspektionen aloitti useita asetukseen liittyviä tutkintoja heti kesäkuun alussa.

Suomessa datavalvontaviranomaista tulee vastaamaan tietosuojavaltuutettu. Aarnio muistuttaa, että Ruotsissa kansallinen laki on jo voimassa, Suomessa ei.

Ennen kuin kansallinen laki tulee voimaan, suomalaisviranomainen ei voi esimerkiksi antaa hallinnollista sanktiota tietosuoja-asetuksen rikkomisesta.

Ruotsissa tutkittavat yhtiöt ovat tutkinnan kohteina myös Suomessa

Ruotsissa verkkolehti Di Digital sai käsiinsä listan 66 toimijasta Datainspektionenin ensimmäisessä GDPR-tutkinnassa. Listalla on 2 yksityistä terveysyhtiötä, 13 liittojärjestöä, 3 julkisen liikenteen yhtiötä, 5 teleoperaattoria, 5 vakuutusyhtiötä, 3 pankkia ja 35 viranomaista.

Tutkittavien yhtiöiden joukossa ovat muun muassa operaattorit Tele2 ja Telia, valuutanvaihtopankki Forex Bank sekä Suomessakin toimiva kulutusluottoja tarjoava Resurs Bank.

Aarnio arvioi, että mainittuja yhtiöitä on jo syystä tai toisesta tutkinnan kohteena myös Suomessa.

Miljoonasakko on vain yksi keino

Jahka kansallinen laki tulee voimaan, tietosuojavaltuutetun toimivaltuudet paranevat. Tietosuoja-asetuksen sääntörikkomuksesta yhtiöitä voi pahimmillaan uhata sanktio, joka voi nousta kymmeneen miljoonaan euroon tai kahteen prosenttiin maailmanlaajuisesta liikevaihdosta.

Rikkomuksesta voi selvitä myös varoituksella tai ilman seuraamuksia.

Aarnion mukaan jokainen tilanne ja seuraamus arvioidaan tapauskohtaisesti. Hallinnollinen sanktio on vain yksi vaihtoehto.

– Meillä on muitakin keinoja, kuten määrätä muuttamaan asioita. Rahallisen korvauksen käyttö tulee tapahtumaan aikanaan sillä tavalla kuin yhteiset eurooppalaiset säännöt sitä edellyttävät.

Ruotsin Datainspektionenista ei ole kommentoitu, onko jokin tutkinnassa olleista yhtiöistä saamassa miljoonasakot.

Saksassa ensimmäinen langettava päätös

Ensimmäisenä EU-valtiona langettavan päätöksen uuteen tietosuoja-asetukseen liittyen on antanut Saksa.

Rekisteröityjen domain-nimien tietokantaa valvova yhdysvaltalainen ICANN oli vaatinut saksalaista yhteistyökumppaniaan EPAGia hankkimaan domaineja ostavista ihmisistä henkilökohtaista tietoa sekä rekisteröinnin tehneen teknisen ja hallintohenkilön nimet ja yhteystiedot. Yhdysvaltalaisyritys halusi tietoja siltä varalta, jos ongelmia myöhemmin ilmaantuisi.

Saksalaisyritys kieltäytyi. Tiedon kerääminen olisi rikkonut GDPR:n artiklaa viisi: sille ei ollut liiketoiminnan kannalta aitoa tarvetta.

ICANN vaati Bonnin paikallista oikeusistuinta pakottamaan EPAG ruotuun tehdyn sopimuksen perusteella. Bonnin oikeusistuin hylkäsi ICANNin vaateen.

ICANN on valittanut päätöksestä Kölnin korkeampaan oikeuteen.

Fakta

Tietoturvaloukkaus

Rekisterinpitäjillä on lakisääteinen velvollisuus ilmoittaa tietoturvaloukkauksista.

Jos tietoturvaloukkaus asettaa yksilön oikeudet ja vapaudet vaaraan, yrityksellä tai organisaatiolla on 72 tuntia aikaa ilmoittaa asiasta valvontaviranomaiselle. Tyypillisiä tietoturvaloukkauksen muotoja ovat esimerkiksi tietomurto, palvelunestohyökkäys ja haittaohjelmat.

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää tai muuttuu. Tietoturvaloukkaukseksi katsotaan myös tietojen luvaton luovuttaminen sekä luvaton pääsy tietoihin.

Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi hävinnyt tiedonsiirtoväline, kuten USB-tikku, varastettu tietokone, hakkerointi, haittaohjelmatartunta, kyberhyökkäys, tulipalo datakeskuksessa ja tiliotteen postitus väärälle henkilölle.

Tietoturvaloukkauksesta voi seurata esimerkiksi henkilötietojen valvomiskyvyn menettäminen, identiteettivarkaus tai petos, maineen vahingoittuminen, pseudonymisoitujen (henkilötietoja ei voida käsittelyn jälkeen yhdistää enää tiettyyn henkilöön ilman lisätietoja) tai salassapitovelvollisuuden alaisten henkilötietojen paljastuminen.

Jätä kommentti