Vuonna 2018 voimaan tulleen EU:n yleisen tietosuoja-asetuksen tarkoituksen on estää EU:n kansalaisten tietojen urkkimisen ja väärinkäytön sekä antaa näille hallinta omien tietojensa säilyttämisestä. Tämä asetus mahdollistaa mm. omien tietojen tarkistamisen ja monissa tapauksissa myös poistamisen sähköisistä palveluista.
EU:n alueella annetuista sakoista pidetään kirjaa sivustolla : https://enforcementtracker.com/. Suomessa tietosuoja-asetuksen toteutumista valvoo tietosuojavaltuutetun toimiston seuraamuskollegio. Sakkojen suuruus voi olla 2-4% yrityksen liikevaihdosta.
Suomessa on viime vuosien aikana tehty vuosittain noin 11 000 ilmoitusta tietosuojarikkomuksista. Ilmoituksen on voinut tehdä vaikkapa yrityksen työntekijät/entiset työntekijät tai asiakkaat, jotka ovat kokeneet jotakin vääryyttä henkilötietojen käsittelyn suhteen tai epäilevät rikettä.
Viimeisimpien sakkojen joukossa on ollut mm. VikingLine Oy Abp, jolle tietosuojavaltuutettu näpäytti 230 000€ sakot sekä huomautuksen useasta tietosuojarikkomuksesta. Tapauksessa yrityksen entinen työntekijä oli laittanut vireille kantelun, jossa kertoi ettei Viking Line ollut toimittanut tämän pyytämiä diagnoositietoja vaikka tiedot olivat yrityksen hallussa. Yhtiö on myös muun muassa tallentanut työntekijöiden terveystietoja lainvastaisesti henkilöstöhallinnon tietojärjestelmään ja säilyttänyt jopa 20 vuoden ajan vanhoja diagnoositietoja. Yritys ei myöskään ollut kertonut työntekijöilleen asianmukaisesti henkilötietojen käsittelystä.
Mitä voimme oppia Viking Line Oy annetusta seuraamusmaksusta?
Tietosuojavaltuutettu toteaa, että yrityksen henkilötietojen käsittelyssä on ollut useita vakavia puutteita. Lain mukaan työnantajan on säilytettävä työntekijän terveydentilaa koskevat tiedot erillään muista työntekijän henkilötiedoista. Diagnoositietojen tallentaminen muiden työsuhteeseen liittyvien tietojen yhteyteen on lainvastaista, jopa virheellisiä diagnoositietoja oli säilytetty turhaan. Terveystiedot olisi pitänyt poistaa heti kun niille ei enää ollut tarvetta. Seuraamuskollegio piti yhtiön toimintaa tältä osin erityisen moitittavana.
Henkilötietojen käsittelystä tulee kertoa läpinäkyvästi – informointivelvollisuus
Yritys ei ollut kertonut asianmukaisesti henkilötietojen käsittelystä. Tietosuoja-asetuksessa on määritelty kuinka henkilötietojen käsittelystä tulee kertoa.
Henkilöllä, jonka henkilötietoja kerätään tulee olla selkeä käsitys siitä, mihin kaikkeen tarkoituksiin hänen henkilötietojaan käsitellään. Julkaise käsittelyä koskevat tiedot niin, että ne ovat helposti saatavilla ja ymmärrettävässä muodossa.
Käsittelyperusteet kuntoon
Henkilötietoja saa käsitellä vain erikseen säädetyillä käsittelyperusteilla. Yrityksen tulee pohtia huolellisesti eri rekisteröityjen ryhmiä, tietojen käyttötarkoituksia ja määritellä käsittelyiden oikeusperusteet kuntoon.
Riittävien toimenpiteiden toteuttaminen ja niiden dokumentointi
Toteuta ainakin seuraavat toimenpiteet: henkilötietorekistereiden kartoitus, seloste käsittelytoimista, tietovirtakuvaukset, tietosuojaselosteet sekä jatkuvan toteutuksen suunnitelma.
Osoitusvelvollisuus keskeinen periaate tietosuoja-asetuksessa
Rekisterinpitäjän tulee pystyä osoittamaan, että he noudattavat tietosuoja-asetuksen velvoitteita. Osoitusvelvollisuuden tarkoituksena ei olekaan pelkästään lakisääteisten vaatimusten toteuttamisen arviointi, vaan myös näyttää miten rekisterinpitäjä kunnioittaa henkilötietojen käsittelyn kohteena olevien tietosuojaa. Toki osoitusvelvollisuus tarkoittaa myös tiettyjen toimenpiteiden tekemistä ja kirjaamista.
Sakkojen lisäksi tietosuoja-asetuksen laiminlyönnistä voi aiheutua yrityksellesi mittavia mainehaittoja, joiden korjaaminen ottaa aikaa.
Haluatko oppia lisää Suomessa annetuista GDPR sakoista?
Lataa Suomessa annetut GDPR sakot-dokumentti tästä!
Lähteet
https://d-fence.fi
https://yle.fi/a/3-12043017/64-3-128069
https://yle.fi/a/74-20008619
