Euroopan tietosuojaviranomaiset määräsivät 2,92 miljardia euroa sakkoja GDPR-rikkomuksista – 168 % enemmän edellisvuoteen verrattuna
DLA Piper on julkaissut vuotuisen GDPR- ja Data Breach -selvityksensä, joka paljastaa GDPR-rikkomuksista määrättyjen sakkojen kokonaismäärän sekä maakohtaisen taulukon sakoista, joita on annettu 28. tammikuuta 2022 alkaen. Mukana tutkimuksessa ovat kaikki 27 Euroopan unionin jäsenvaltiota, Yhdistynyt kuningaskunta, Norja, Islanti ja Liechtenstein.
- DLA Piperin tuoreen General Data Protection Regulation (GDPR) fines and data breach survey -selvityksen mukaan 28. tammikuuta 2022 lähtien Euroopan tietosuojaviranomaiset ovat määränneet 2,92 miljardia euroa sakkoja, mikä on 168 % enemmän kuin edellisenä vuonna.
- Irlannin tietosuojaviranomaisen Meta Platforms Ireland Ltd.:tä (Meta) vastaan määräämät merkittävät seuraamukset nostavat valokeilaan kuluttajien ja verkkopalveluntarjoajien välisen "grand bargain" -periaatteen: "ilmaisten" palveluiden vastineeksi kuluttajat maksavat henkilötiedoillaan, joita palveluntarjoajat käyttävät tuottavien mainosprofiilien luomiseen. Metalle asetetut sakot hyökkäävät nimenomaan tätä palveluperiaatetta vastaan.
- Tämän vuoden korkeimman sakon, 405 miljoonaa euroa, määräsi Irlannin tietosuojaviranomainen Meta Platforms Ireland Limitedille liittyen Instagramin useisiin väitettyihin laiminlyönteihin lasten henkilötietojen suojaamisessa.
- Suomessa tämän vuoden korkeimman sakon, 750 000 euroa, määrättiin perintäyhtiö Alektumille vakavista tietosuojarikkomuksista. Alektum muun muassa ei vastannut yksityishenkilöiden pyyntöihin tarkastaa omat tietonsa.
- Ilmoitettujen tietoturvaloukkausten keskimääräinen määrä päivässä laski hieman 328 ilmoituksesta päivässä 300 ilmoitukseen**, mikä viittaa siihen, että organisaatiot saattavat olla varovaisempia ilmoittamaan tietoturvaloukkauksista viranomaistutkintojen, sakkojen ja korvausvaatimusten pelossa.
- Tietoturvaloukkauksia koskevien asukaslukuun suhteutettujen ilmoitusten määrässä taulukon kärjessä on edelleen Alankomaat.
- Korkeimmalla 746 miljoonan euron sakkosummalla 25. toukokuuta 2018 lähtien on edelleen Luxemburg, mutta seuraavana oleva Irlanti sijoittuu 2., 3., 4., 5. ja 6. sijalle maan sakkojen taulukossa Irlannin tietosuojaviranomaisen erittäin kiireisen vuoden jälkeen.
- DLA Piper arvioi Irlannin ja Luxemburgin pysyvän taulukon kärjessä tulevinakin vuosina, sillä useat teknologiayritykset ovat sijoittautuneet näihin maihin. Lisäksi eurooppalaisten tietosuojaviranomaisten resurssit keskittyvät erityisesti teknologiayritysten valvontaan.
Suurimpien sakkojen joukossa olivat Meta Platforms Ireland Ltd.:tä (Meta) koskevat sakot, jotka osoittivat, että sosiaalinen media ja sen riippuvuus laajasta henkilötietojen käsittelystä ovat erityisesti viranomaistoimien kohteena. Pääosa Irlannin tietosuojaviranomaisen Metalle määräämistä sakoista liittyvät Facebookin ja Instagramin käyttäjien käyttäytymiseen perustuvaan profilointiin sekä siihen, voidaanko "sopimuksellista välttämättömyyttä" soveltaa henkilötietojen massakeräyksen laillisena perusteena. Vaikka Irlannin tietosuojaviranomainen oli alun perin todennut tämän olevan mahdollista, Euroopan tietosuojaneuvosto oli asiasta eri mieltä. Seurauksena olevat sakot nostavat esiin merkittäviä kysymyksiä mm. siitä, kuinka ”ilmaiset” verkkopalvelut tullaan rahoittamaan jatkossa. DLA Piper ennakoi, että näistä päätöksistä valitetaan ja että niitä seuraa vuosia jatkuvia oikeudenkäyntejä.
DLA Piperin selvityksen mukaan tietosuojaviranomaisille ilmoitettujen tietoturvaloukkausten määrä väheni hieman edellisvuoteen verrattuna. Keskimääräinen päivittäinen kokonaismäärä putosi 328 ilmoituksesta päivässä 300 ilmoitukseen päivässä. Tämä saattaa olla osittain merkki siitä, että organisaatiot ovat yhä varovaisempia ilmoittamaan tapahtuneista tietoturvaloukkauksista viranomaisille viranomaistutkintojen, sakkojen ja korvausvaatimusten pelossa.
Vaikka mainontaan ja sosiaaliseen mediaan liittyvät tietosuojaongelmat ovat dominoineet otsikoita tänä vuonna, huomio kääntyy jatkossa yhä enemmän tekoälyyn ja erityisesti henkilötietojen rooliin osana tekoälyjärjestelmien koulutusmateriaaleja. Digitaalisten oikeuksien järjestöjen, mukaan lukien Max Schremsin organisaation My Privacy is None of your Business (NOYB), valitusten seurauksena sakkoihin johtaneita tutkintoja tehtiin näkyvimmin kasvojentunnistusyritys Clearview AI:ta kohtaan. Tekoälyn ja koneoppimisalustojen yleistyessä edelleen DLA Piper arvioi, että tulevana vuonna tiedossa on lisää viranomaistutkintoja ja täytäntöönpanotoimia, jotka keskittyvät sekä tekoälyn kehittäjiin ja tarjoajiin että sen käyttäjiin.
DLA Piperin selvitys nostaa esiin myös joitakin merkittäviä tietosuojaviranomaisten tekemiä päätöksiä, jotka koskevat Schrems II -tuomion ja tietosuoja-asetuksen V luvun vaatimusten soveltamista tiettyjä henkilötietojen kansainvälisiä siirtoja koskien. Tietosuojaviranomaiset ovat esittäneet, että riskiperusteisen lähestymistavan soveltaminen henkilötietojen kansainvälisten siirtojen lainmukaisuuden arvioimisessa ei ole mahdollista. Tietosuojaviranomaiset vaikuttavat siis katsovan, että tiedon siirrot olisivat kiellettyjä jo pelkästään silloin, jos on olemassa edes teoreettinen riski kolmannen maan tiedusteluviranomaisten pääsystä henkilötietoihin (huolimatta riskin triviaaliudesta ja todennäköisyydestä).
DLA Piperin Suomen tietosuojatiimin osakas Sami Rintala kommentoi:
"Riskiin perustuva lähestymistapa tulkita GDPR:n rajoituksia henkilötietojen kansainväliselle siirrolle ei ole vain sallittua, vaan näkemyksemme mukaan myös lain edellyttämä. Liian tiukaksi vedetty linja ja "absolutistisen" lähestymistavan omaksuminen siirtorajoitusten suhteen ja henkilötietojen siirron tosiasiallinen kieltäminen riippumatta siitä, kuinka vähäpätöinen vahinkoriski on, uhkaa siirtymää pilvipalveluihin ja aiheuttaa todellista haittaa sekä yrityksille että kuluttajille.”
Yhdistyneen kuningaskunnan tietosuoja- ja kyberturvallisuusryhmän puheenjohtaja Ross McKean lisää:
"Irlannin tietosuojavaltuutetun sakkojen tulvalla, joka kohdistuu sosiaalisen median alustojen käyttäytymismainonnan käytäntöihin tänä vuonna, voi olla yhtä perustavanlaatuisia vaikutuksia ”grand bargainin” tulevaisuuteen "ilmaisen" internetin ytimessä, kuten Schrems II on ollut kansainvälisessä tiedonsiirrossa. Ottaen huomioon, mikä on vaakalaudalla, voimme odottaa vuosien valituksia ja oikeudenkäyntejä. Laki on hyvin kaukana ratkaisusta näissä asioissa."
Lisätietoja:
Sami Rintala
Partner
050 487 2031
sami.rintala@fi.dlapiper.com