GDPR-sakkoja määrättiin 1,2 miljardin euron arvosta vuonna 2024
- Eurooppalaiset tietosuojaviranomaiset ovat määränneet yhteensä 1,2 miljardin euron GDPR-sakot 28.1.2024 alkaneella tarkastelujaksolla.
- Irlannin tietosuojaviranomainen on edelleen Euroopan eniten GDPR-sakkoja määrännyt lainvalvontaviranomainen, sillä se on määrännyt yhteensä 3,5 miljardin euron sakot toukokuun 2018 jälkeen.
- Yhtiön johdon henkilökohtainen vastuu korostuu jatkossa entistä enemmän GDPR-valvonnassa.
DLA Piper on julkaissut seitsemännen kerran vuotuisen tutkimuksensa EU:n yleisen tietosuoja-asetuksen (GDPR) rikkomisesta annetuista sakoista ja tietosuojaloukkauksista. Raportin mukaan tietosuojavalvonta jatkui vahvana myös vuonna 2024, ja Euroopassa määrättiin GDPR-sakkoja yhteensä 1,2 miljardin euron arvosta. Irlanti johtaa edelleen tilastoa GDPR-sakkojen määrääjänä, sillä se on toukokuusta 2018 lähtien langettanut sakkoja yhteensä 3,5 miljardin euron arvosta. Summa on yli nelinkertainen toiseksi eniten sakkoja määränneen Luxemburgin lukemaan verrattuna, joka on 746,38 miljoonaa euroa. GDPR tuli voimaan vuonna 2018. Tämän jälkeen ilmoitettujen sakkojen kokonaismäärä on noussut 5,88 miljardiin euroon. Suurin yksittäinen GDPR:n nojalla määrätty sanktio on edelleen 1,2 miljardin euron sakko, jonka Irlannin tietosuojaviranomainen langetti Meta Platforms Ireland Limitedille vuonna 2023.
Trendejä
28.1.2024 alkaneella tarkastelujaksolla GDPR-sakkoja määrättiin yhteensä 1,2 miljardin euron arvosta, mikä on 33 prosenttia vähemmän kuin edellisenä vuonna. Tämä merkitsee poikkeusta seitsemän vuotta jatkuneeseen kasvuun, vaikka pitkän aikavälin suuntaus on edelleen nouseva. Vuoden 2024 lasku johtuu lähes yksinomaan Meta-yhtiölle vuonna 2023 määrätyn ennätyksellisen 1,2 miljardin euron sakon vaikutuksesta.
Suurten teknologiayritysten ja sosiaalisen median jättiläisten hallitseva asema sakkojen kohteena jatkuu, sillä lähes kaikki kymmenen suurinta GDPR-sakkoa vuodesta 2018 lähtien ovat kohdistuneet tälle sektorille. Vuonna 2024 Irlannin tietosuojaviranomainen määräsi LinkedInille 310 miljoonan euron ja Metalle 251 miljoonan euron sakot. Lisäksi Alankomaiden tietosuojaviranomainen langetti elokuussa 2024 tunnetulle kyytipalvelusovellukselle 290 miljoonan euron sakon henkilötietojen siirrosta kolmanteen maahan. Vuonna 2024 täytäntöönpano laajeni erityisesti muille aloille, kuten rahoituspalveluihin ja energia-alalle. Esimerkiksi Espanjan tietosuojaviranomainen määräsi suurelle pankille kaksi sakkoa, yhteensä 6,2 miljoonaa euroa, riittämättömistä tietoturvatoimista. Italiassa tietosuojaviranomainen langetti eräälle yleishyödylliselle palveluntarjoajalle 5 miljoonan euron sakon vanhentuneiden asiakastietojen käytöstä.
Yhdistynyt kuningaskunta oli vuoden 2024 poikkeus, sillä siellä määrättiin vain vähän sakkoja. Maan tietosuojavaltuutettu John Edwards kommentoi marraskuussa 2024, ettei usko sakkojen olevan tehokkain keino vaikuttaa tietosuojakäytäntöihin, ja huomautti niiden sitovan viraston resursseja vuosikausiksi kestäviin oikeudenkäynteihin.
Henkilökohtaisen vastuun alku?
Kenties merkittävintä on, että hallintoon ja valvontaan keskittyminen on johtanut useisiin täytäntöönpanopäätöksiin, joissa osoitetaan erityisesti yhtiöiden toimielinten virheitä. Alankomaiden tietosuojaviranomainen ilmoitti tutkivansa, voiko se asettaa Clearview AI:n johtajat henkilökohtaiseen vastuuseen lukuisista tietosuoja-asetuksen rikkomisista sen jälkeen, kun yhtiölle oli langetettu 30,5 miljoonan euron sakko. Se, että arvioitavana on mahdollisuus asettaa Clearview AI:n johto henkilökohtaiseen vastuuseen yrityksen jatkuvista laiminlyönneistä, on merkki mahdollisesti merkittävästä siirtymästä. Sääntelyviranomaiset tunnistavat henkilökohtaisen vastuun merkityksen tietosuoja-asetuksen noudattamisen edistämisessä.
Tietosuojaloukkauksia koskevat ilmoitukset
Tietosuojaloukkauksia koskevia ilmoituksia tehtiin keskimäärin 363 päivässä, hieman enemmän edellisen vuoden 335 ilmoitukseen nähden. Tietoturvaloukkauksia koskevien ilmoitusten kokonaismäärässä tilaston kärjessä ei ole tapahtunut juurikaan muutoksia sen jälkeen, kun tietosuoja-asetus tuli voimaan 25.5.2018. Viimeisimmän täyden vuoden tarkastelujakson aikana 28.1.2024 – 27.1.2025 eniten tietoturvaloukkauksia ilmoitettiin jälleen eniten Alankomaissa (33 471), Saksassa (27 829) ja Puolassa (14 286). Suomessa tietoturvaloukkauksia ilmoitettiin viidenneksi eniten 7 719 kappaletta.
DLA Piper Finlandin tietosuojatiimin osakas Sami Rintala kommentoi: "Vuoden 2024 GDPR-sakkojen kokonaissumma, 1,2 miljardia euroa, osoittaa, että tietosuojavalvonta jatkuu vahvana Euroopassa. On tärkeää huomata, että tietosuojaviranomaiset ovat laajentaneet valvontaansa teknologiajättien ja sosiaalisen median ohella myös tietyille toimialoille, kuten rahoituspalveluihin ja energiaan. Tämä osoittaa, että GDPR:n täytäntöönpano on edelleen dynaaminen ja kehittyvä alue, jolla tulee olemaan merkitystä myös, kun yrityksissä siirrytään laajemmin tekoälyä hyödyntäviin ratkaisuihin. Vuonna 2025 voimme lisäksi odottaa, että sääntelyviranomaiset keskittyvät entistä enemmän yhtiöiden johdon henkilökohtaiseen vastuuseen tietosuoja-asetuksen noudattamisen edistämiseksi.”
Seitsemättä kertaa julkaistussa vuosittaisessa tutkimuksessamme tarkastellaan GDPR:n keskeisiä tunnuslukuja ETA:ssa ja Yhdistyneessä kuningaskunnassa siitä lähtien, kun GDPR:ää alettiin soveltaa, ja kuluvan vuoden osalta 27. tammikuuta 2025 asti. ETA-alueeseen kuuluvat kaikki Euroopan unionin 27 jäsenvaltiota sekä Norja, Islanti ja Liechtenstein.
Kaikki tässä lehdistötiedotteessa ja DLA Piper GDPR Fines and Data Breach Survey -raportissa olevat viittaukset GDPR:n rikkomuksiin ja määrättyihin sakkoihin viittaavat asianomaisten tietosuojaviranomaisten tekemiin havaintoihin. Useissa tapauksissa sakon kohteena oleva yhteisö on kiistänyt nämä havainnot, ja havainnot ja määrätyt seuraamukset ovat parhaillaan muutoksenhakumenettelyjen kohteena. DLA Piper ei anna mitään lausuntoa asianomaisten valvontaviranomaisten tekemien havaintojen pätevyydestä tai tarkkuudesta.
