Kenen vastuulla tietosuoja on?
Tietosuoja-asetus koskee kaikkia yrityksiä ja yrittäjiä liikevaihtoluokkaan tai toimialaan katsomatta. Yritysten johdolla ja vastuuhenkilöillä on myös Suomessa lakiin perustuva selonottovelvollisuus asioista. Jos siis tietosuojaviranomainen koputtaa olalle, ei voi todeta, että meillä ei ollut tarpeeksi tietoa toteuttaa GDPR-asetusta lain vaatimalla tavalla. Jo annettujen tietosuojasakkojen perusteluissa on myös todettu, että tietämättömyys tai ymmärtämättömyys ei ole alentava peruste sanktioille. Vastuuta tietosuojasta ei myöskään voi ulkoistaa, siirtää tai delegoida.
Mitä sanktioita GDPR-rikkeistä voi seurata?
Jos yritys ei toimi tietosuoja-asetuksen mukaisesti, voi näistä puutteista pahimmillaan seurata viranomaisen selvityspyyntöjä tai jopa sakkoja. Yrityksille kuitenkin vielä suurempia riskejä ovat Suomessa olleet vakavat mainehaitat, jotka pahimmissa tapauksissa ovat johtaneet tärkeiden kauppojen häviämiseen ja kokonaisten liiketoimintojen kaatumiseen, kuten esimerkiksi kävi monelle mediasta tutuksi nousseelle Psykoterapiakeskus Vastaamolle.
Mistä näkee yritykset, jotka ovat saaneet tietosuojasakkoja?
Euroopan Unioni pitää tietosuojasakkoja saaneista yrityksistä julkista rekisteriä. On siis täysin läpinäkyvää, mitkä yritykset Euroopassa ovat saaneet tietosuojasakkoja, millä summalla ja miksi. Meidän muiden on syytä seurata tätä rekisteriä, jotta voimme ensinnäkin oppia GDPR-asetuksen kompastuskivistä sekä seurata yrityksiä, joiden kanssa pitää olla tarkkana palveluita tai tuotteita tilattaessa. Tilaaja kun on vastuussa siitä, että rekisterinpitäjä noudattaa GDPR-asetusta.
www.enforcementtracker.com -sivustolta pääset katsomaan kaikkia EU:n alueella jaettuja GDPR sakkoja sekä niiden syitä. Yrityksen saaman sakon summa näkyy keskellä sivua olevassa listauksessa ”Fine”-kohdan alla. Käydään lisäksi lyhyesti läpi sivun muita toimintoja.
Lajittelu valtion ja rikkeen mukaan
Sivuston vasemmassa laidassa on 31:n valtion lista, josta valitsemalla minkä tahansa pääset tarkastelemaan kaikkia kyseisessä maassa tietosuoja-asetuksen laiminlyönnistä johtuvia sakkoja. Voit myös valita oletusasetuksena olevan EU:n lipun, jolloin lista näyttää koko alueen sakot.
Valtiolistan alla on mahdollisuus suodattaa hakua myös rikotun lakipykälän mukaan. Osa yrityksistä näkyy useammassa listassa, mikä tarkoittaa, että se on laiminlyönyt montaa kohtaa asetuksesta. Kaikki yrityksen rikkeet ovat listattuna ”Quoted art.”-kohdan alla.
Lisätietoja tapauksesta
Klikkaamalla sivun aivan oikeasta laidasta ”Source”-kohdan alta sanaa ”Link”, pääset lukemaan koko päätöksen sanktioon liittyen. Suomalaisissa tapauksissa linkki ohjaa Finlexin sivuille. Tapausten lisätiedot ovat tärkeää luettavaa, koska niistä voimme oppia parhaiten, millaisiin asioihin tietosuojaviranomainen tarttuu.
