Suuri määrä tietosuojasakkoja EU-alueella – Keskuskauppakamari kehottaa yrityksiä kiinnittämään huomiota tietosuojakäytäntöihin  

Keskuskauppakamarin lakimies Erkko Meri.

Euroopan unionin alueella annetaan viikoittain sakkoja tietosuojaloukkauksista. Vaikka yleinen tietosuoja-asetus on ollut voimassa jo puolitoista vuotta, tietosuojakysymykset aiheuttavat monissa yrityksissä yhä haasteita. Keskuskauppakamarin lakimies Erkko Meri pitää tärkeänä, että varsinkin pienet ja keskisuuret yritykset saavat tarvittavaa viranomaisneuvontaa mahdollisimman helposti.

Euroopan unionin yleinen tietosuoja-asetus, GDPR, tuli voimaan puolitoista vuotta sitten. Oikeusministeriön syyskuussa 2019 keräämän palautteen perusteella tietosuojakysymykset ovat aiheuttaneet haasteita varsinkin pienissä ja keskisuurissa yrityksissä.

Tietosuoja-asetusta voidaan pitää varsin monimutkaisena sääntelykokonaisuutena, eikä pk-sektorin yrityksissä ole aina riittävästi osaamista ja resursseja GDPR:n asettamien vaatimusten täyttämiseen.

”EU-alueella annetut tietosuojasakot osoittavat, että monissa suurissakin yrityksissä on ollut ongelmia asetuksen velvoitteiden täyttämisessä. Myös Suomen tietosuojaviranomaisen antamien huomautusten perusteella voidaan todeta, kuinka tärkeää yritysten on kiinnittää huomioita niihin toimintatapoihin, jotka liittyvät henkilötietojen käsittelyyn”, Keskuskauppakamarin lakimies Erkko Meri sanoo.

”Suomessa apulaistietosuojavaltuutettu on määrännyt yritystä muuttamaan tietosuojakäytäntöjä muun muassa sillä perusteella, että rekisteröidyllä ei ole ollut mahdollisuutta vastustaa suoramarkkinointia jo silloin, kun hänen henkilötietojaan on kerätty. Lisäksi puutteita on ollut siinä, että yrityksen asiakkaita ei ole informoitu asiakaspuheluiden nauhoittamisesta”, Meri jatkaa.

Euroopan unionin alueella on annettu jo yli 100 sakkoa tietosuojaloukkauksista. Sakkoja on määrätty esimerkiksi siitä, että yritys ei ole toistuvista pyynnöistä huolimatta nimittänyt organisaatioon tietosuojavastaavaa sekä siitä, että yritys ei ole poistanut henkilötietoja asetuksen edellyttämällä tavalla.

”On vain ajan kysymys, milloin myös Suomessa määrätään ensimmäiset GDPR-sakot. Moni yritys käsittelee suurta määrää henkilötietoja. Sellaiset kokonaisuudet, kuten riittävä tietoturvan taso, rekisteröityjen informointi ja oikeuksien toteuttaminen sekä henkilökunnan kouluttaminen, on syytä ottaa vakavasti jokaisessa yrityksessä, joka jollain tavalla käsittelee henkilötietoja”, Meri sanoo.

Meren mukaan on tärkeää, että kansallisella tietosuojaviranomaisella on riittävät resurssit toteuttaa yhteistyötä eri toimialojen edustajien kanssa sekä tarjota neuvontaa asetuksen tulkintaan liittyen.

”Oikeusministeriön keräämä palaute GDPR:n kansallisesta soveltamisesta osoittaa esimerkiksi sen, että yritysten tavat ilmoittaa tietosuojaloukkauksista on hyvin poikkeavat. Jotkut toimijat ilmoittavat varmuuden vuoksi kaikista mahdollisista poikkeamista, kun taas osa yrityksistä ei välttämättä ilmoita loukkauksista lainkaan. Tältä osin on tärkeää, että viranomainen panostaisi erityisesti ennakolliseen ohjeistukseen”, Meri sanoo.

Meri arvioi, että tietosuojavaltuutetun toimiston pitkät käsittelyajat ovat aiheuttaneet jossain määrin ongelmia. Viranomaisen asiamäärät ovat kasvaneet asetuksen voimaantulon myötä ja rekisteröidyt ovat aikaisempaa tietoisempia omista oikeuksistaan.

”Varsinkin sellaisten pienempien toimijoiden, joilla ei ole laajaa tietosuojaosaamista, kannalta on olennaista, että viranomaisen neuvonta on helposti saavutettavissa. Valvontaviranomaiselle tietosuoja-asetuksessa määrättyjen tehtävien hoitaminen voi vaarantua, jos käytettävissä ei ole riittäviä resursseja”, Meri sanoo.

Kategoriat:IPR, EU, Digitalisaatio, Erkko Meri