Eurooppalaisten viranomaisten GDPR-sanktioissa keskeisenä kohteena henkilötietojen siirrot kolmansiin maihin

Vuosi 2023 oli GDPR:n täytäntöönpanon ennätysvuosi: kokonaissakot kasvoivat edelliseen tarkastelujaksoon nähden yli 14 prosenttia 1,78 miljardiin euroon, ja Metalle määrättiin uusi ennätyssakko, 1,2 miljardia euroa. Tietosuoja-asetuksen täytäntöönpanon monimutkaisuus ja laajuus tuottavatkin edelleen epävarmuutta datataloudessa. Sakkosumman kasvu on kuitenkin huomattavasti vähäisempi kuin viime vuonna raportoitu 50 prosentin kasvu. Tätä selittävät eri lainkäyttöalueilla menestyksekkäästi tehdyt valitukset, joiden seurauksena sakkoja on alennettu, tai joissain tapauksissa kumottu kokonaan, sekä se, että Euroopan tietosuojaviranomaiset ovat antaneet vähemmän sakkoja tietosuoja-asetuksen johdonmukaisuusmekanismin mukaisten Euroopan tietosuojaneuvoston lausuntojen ja sitovien päätösten myötä.

GDPR-sakkkojen kokonaisarvossa Irlanti pysyi tänäkin vuonna tilaston kärjessä. Tämä ei ole yllättävää, sillä Irlannissa sijaitsevat monien teknologiayritysten päätoimipaikat EU:n alueella. Irlannissa 25. toukokuuta 2018 jälkeen määrättyjen GDPR-sakkojen kokonaisarvo on nyt 2,86 miljardia euroa. Kaikkien aikojen suurimpien sakkojen tilastoa johtaa niin ikään Irlanti, sillä Irlannissa sijaitsevalle Metalle määrättiin tänä vuonna 1,2 miljardin euron sakko.

Tietoturvaloukkauksia koskevien ilmoitusten määrän osalta parin edellisen vuoden suuntaus jatkuu. 28. tammikuuta 2023 - 27. tammikuuta 2024 välisenä aikana tehtiin keskimäärin 335 tietoturvaloukkausta koskevaa ilmoitusta päivässä, kun viime vuonna vastaavana aikana ilmoituksia oli 328. Kun otetaan huomioon virhemarginaali, tehtyjen tietoturvaloukkauksia koskevien ilmoitusten määrässä ei ole käytännössä minkäänlaista vuosittaista muutosta. Saksa, Alankomaat ja Puola ovat ilmoittaneet eniten tietoturvaloukkauksista 28. tammikuuta 2023 ja 27. tammikuuta 2024 välisenä aikana: 32 030, 20 235 ja 14 167. Tanska on taulukon kärjessä 100 000 asukasta kohti tehtyjen ilmoitusten määrän osalta (203,82 per capita). Suomessa ilmoituksia tehtiin 5 756 kappaletta (102,53 per capita), saman verran kuin edellisellä tarkastelujaksolla.

Eurooppalaisten viranomaisten GDPR-valvonnassa keskeisiä ovat yleisen tietosuoja-asetuksen rajoitukset, jotka koskevat henkilötietojen siirtoa kolmansiin maihin. Merkittävin esimerkki on Metalle langetettu 1,2 miljardin euron sakko, joka on kaikkien aikojen korkein GDPR-sakko. Tietosuoja-asetuksen keskeisten periaatteiden, laillisuuden, oikeudenmukaisuuden ja avoimuuden, noudattamatta jättäminen on tälläkin tarkastelujaksolla useimmin mainittu peruste sakkojen määräämiselle kaikilla tutkituilla lainkäyttöalueilla. Myös eheys- ja luottamuksellisuusperiaatteen - ja siihen liittyvän 32 artiklan (käsittelyn turvallisuus) - rikkomisesta johtuvat sakot ovat edelleen yleisiä kaikilla tutkituilla lainkäyttöalueilla.

Sosiaalinen media ja teknologiajätit ovat edelleen ennätyssakkojen ensisijainen kohde kaikissa tutkituissa maissa, ja jokainen kymmenestä suurimmasta 25. toukokuuta 2018 jälkeen annetusta sakosta on määrätty näiden alojen yrityksille. Tänä vuonna erimielisyyttä on syntynyt kuluttajien ja verkkopalveluntarjoajien välisestä "grand bargain" -periaatteesta, jonka mukaisesti kuluttajat maksavat "ilmaiset" palvelut henkilötiedoillaan, joita palveluntarjoajat käyttävät tuottavien mainosprofiilien luomiseen. Joidenkin palveluntarjoajien suunnitelmat siirtyä maksulliseen malliin (pay or okay) ovat joutumassa vastakkain sääntelyviranomaisten ja yksityisyydensuojaa puolustavien tahojen kanssa.

DLA Piperin Suomen tietosuojatiimin osakas Sami Rintala kommentoi: "Yritysten kannalta GDPR lisää riskejä erityisesti dataliiketoiminnassa. Ennätyssuuret sakot ja määräykset keskeyttää laiton käsittely ovat jatkuva uhka, kun liiketoimintaa harjoitetaan Euroopassa. Dataa, datan jakamista ja digitaalista maailmaa koskevaa uutta ja vireillä olevaa sääntelyä on runsaasti, enemmän kuin koskaan aiemmin viimeisen 20 vuoden aikana. Hallinnointi ja tehokas riskienhallinta ovat olennaisen tärkeitä organisaatioille, jotta ne pystyvät navigoimaan tässä sääntelyviidakossa, selviytymään säännösten noudattamiseen liittyvistä riskeistä ja varmistamaan liiketoimintansa jatkuvuuden. Tulevalla sääntelyllä on vaikutusta IT-toimittajien liiketoimintaan sekä toimittajien että heidän asiakkaittensa välisiin sopimuksiin."

Tutkimuksen metodologiasta:

Kaikki tämän raportin kattamat maat eivät julkista tietoturvaloukkauksista ilmoittamista koskevia tilastoja, ja monet niistä toimittivat tietoja vain osasta tämän raportin kattamaa ajanjaksoa. Siksi tiedot on ekstrapoloitu kattamaan koko ajanjakso. On myös mahdollista, että osa raportoiduista rikkomuksista liittyy järjestelmään ennen yleistä tietosuoja-asetusta. Koska useat tietosuojavalvontaviranomaiset ovat nyt julkaisseet vuosikertomukset vuodelta 2023, tässä raportissa on päivitetty joitakin viime vuoden kertomuksen lukuja, jotka oli aiemmin ekstrapoloitu.

Tutkimuksessa tarkastellaan GDPR:n keskeisiä tunnuslukuja ETA:ssa ja Yhdistyneessä kuningaskunnassa siitä lähtien, kun GDPR:ää alettiin soveltaa 25. toukokuuta 2018, ja 28. tammikuuta 2023 alkavan vuoden osalta. ETAan kuuluvat kaikki Euroopan unionin 27 jäsenvaltiota sekä Norja, Islanti ja Liechtenstein. Yhdistynyt kuningaskunta erosi EU:sta 31. tammikuuta 2020. Yhdistynyt kuningaskunta on saattanut GDPR:n osaksi lainsäädäntöä jokaisella Yhdistyneen kuningaskunnan lainkäyttöalueella (Englanti, Pohjois-Irlanti, Skotlanti ja Wales). Tämän tutkimuksen päivämääränä Yhdistyneen kuningaskunnan tietosuoja-asetus on kaikilta olennaisilta osiltaan sama kuin EU:n tietosuoja-asetus. Yhdistyneen kuningaskunnan hallitus ehdottaa kuitenkin muutoksia Yhdistyneen kuningaskunnan tietosuojalainsäädäntöön ja on julkaissut tietosuojaa ja digitaalista tietoa koskevan lakiesityksen. Nähtäväksi jää, missä määrin nämä muutokset poikkeavat EU:n tietosuoja-asetuksesta.