Euroopan maissa tehty yli 59 000 ilmoitusta henkilötietojen tietoturvaloukkauksista GDPR:n soveltamisen alettua

• Suomessa on tehty 2 500 ilmoitusta henkilötietojen tietoturvaloukkauksista GDPR:n tultua sovellettavaksi toukokuussa 2018. Asukaslukuun suhteutettuna ilmoituksia on Suomessa tehty EU-maista neljänneksi eniten.

• Googlelle langetetut ennätyssakot lienevät esimakua merkittävistä liikevaihtosidonnaisista sakoista.

Euroopan maiden viranomaisille on tehty yritysten ja organisaatioiden toimesta yli 59 000 ilmoitusta henkilötietojen tietoturvaloukkauksesta  GDPR:n soveltamisen alettua. 

Euroopan talousalueen (ETA) 31 jäsenmaasta 26 on julkistanut tietoturvaloukkauksia koskevat ilmoitustilastonsa. DLA Piperin 5.2.2019 julkaiseman GDPR data breach survey -raportin mukaan eniten tietoturvaloukkauksia ilmoitettiin valvoville viranomaisille Alankomaissa (15 400), Saksassa (12 600) ja UK:ssa (10 600). Vähiten ilmoituksia tehtiin Liechtensteinissa (15), Islannissa (25) ja Kyproksella (35). Suhteessa asukaslukuun eniten ilmoituksia tehtiin Alankomaissa (89,8 ilmoitusta 100 000 henkeä kohden), Irlannissa ja Tanskassa. Suhteessa asukaslukuun eniten tietoturvaloukkauksia ilmoitettiin viranomaisille Kreikassa, Italiassa ja Romaniassa. 

Suomessa valvova viranomainen on tietosuojavaltuutetun toimisto. Se on saanut 2 500 ilmoitusta tietoturvaloukkauksista GDPR:n tultua sovellettavaksi 25.5.2018. Suhteessa asukaslukuun ilmoituksia on Suomessa tehty EU-maista neljänneksi eniten. 

”Yritykset kokevat haasteelliseksi tunnistaa tilanteet, joissa ilmoitusvelvollisuus syntyy. Osa ilmoituksista liittyy vähämerkityksisiin tilanteisiin, joissa loukkauksesta ei aiheudu tosisiallista riskiä henkilöiden oikeuksille tai asemaan. Samaan aikaan viranomaiset asettavat organisaatioille yhä tiukempia vaatimuksia tietosuojasääntelyn noudattamista koskevissa asioissa”, sanoo Markus Oksanen, DLA Piperin osakas.

GDPR-sääntelyyn perustuvia sakkoja on tähän mennessä määrätty 91. Kaikki GDPR-rikkomuksiin liittyvät sakot eivät kuitenkaan koske henkilötietojen tietoturvaloukkauksia. Tähän asti suurin, 50 miljoonan euron GDPR-sakko, jonka Ranskan tietosuojaviranomainen langetti Googlelle, perustui henkilötietojen luvattomaan käsittelyyn mainostarkoituksiin pikemmin kuin henkilötietojen tietoturvaloukkaukseen.

"Pidän Googlelle määrättyä sakkoa merkkipaaluna. Tulevana vuonna sakkoja on odotettavissa lisää, kun sääntelyviranomaiset saavat käytyä läpi ilmoitussumansa. GDPR-sääntely on tulkinnallisesti avointa ja on vielä epäselvää, kuinka sakkojen tulisi määräytyä käytännön soveltamistilanteissa. Tulevaisuudessa tietosuojasääntelyyn haetaan ohjeita ja vaikutteita kilpailuoikeudesta”, DLA Piperin kansainvälisen tietosuojapraktiikan johtaja Patrick Van Eecke (Bryssel) kommentoi.