DLA Piper Finland

Eurooppalaisten viranomaisten GDPR-sanktioissa keskeisenä kohteena henkilötietojen siirrot kolmansiin maihin

Jaa

Globaalin asianajotoimiston DLA Piperin vuotuinen GDPR and Data Breach Survey -tutkimus paljastaa EU:n yleisen tietosuoja-asetuksen (EU General Data Protection Regulation, GDPR) rikkomisesta annettujen sakkojen kokonaismäärän sekä 28. tammikuuta 2023 jälkeen annettujen sakkojen määrät maittain.

Sosiaalinen media ja teknologiajätit ovat edelleen ennätyssakkojen ensisijainen kohde kaikissa tutkituissa maissa, ja jokainen kymmenestä suurimmasta GDPR:n toimeenpanon jälkeen annetusta sakosta on määrätty tämän alan yrityksille. Eurooppalaisten viranomaisten GDPR-valvonnassa keskeisenä kohteena ovat henkilötietojen siirrot kolmansiin maihin. Merkittävin esimerkki on Metalle langetettu 1,2 miljardin euron sakko, joka on kaikkien aikojen korkein GDPR-sakko.

Tutkimus kattaa kaikki Euroopan unionin 27 jäsenvaltiota sekä Yhdistyneen kuningaskunnan, Norjan, Islannin ja Liechtensteinin.

Vuosi 2023 oli GDPR:n täytäntöönpanon ennätysvuosi: kokonaissakot kasvoivat edelliseen tarkastelujaksoon nähden yli 14 prosenttia 1,78 miljardiin euroon, ja Metalle määrättiin uusi ennätyssakko, 1,2 miljardia euroa. Tietosuoja-asetuksen täytäntöönpanon monimutkaisuus ja laajuus tuottavatkin edelleen epävarmuutta datataloudessa. Sakkosumman kasvu on kuitenkin huomattavasti vähäisempi kuin viime vuonna raportoitu 50 prosentin kasvu. Tätä selittävät eri lainkäyttöalueilla menestyksekkäästi tehdyt valitukset, joiden seurauksena sakkoja on alennettu, tai joissain tapauksissa kumottu kokonaan, sekä se, että Euroopan tietosuojaviranomaiset ovat antaneet vähemmän sakkoja tietosuoja-asetuksen johdonmukaisuusmekanismin mukaisten Euroopan tietosuojaneuvoston lausuntojen ja sitovien päätösten myötä.

GDPR-sakkkojen kokonaisarvossa Irlanti pysyi tänäkin vuonna tilaston kärjessä. Tämä ei ole yllättävää, sillä Irlannissa sijaitsevat monien teknologiayritysten päätoimipaikat EU:n alueella. Irlannissa 25. toukokuuta 2018 jälkeen määrättyjen GDPR-sakkojen kokonaisarvo on nyt 2,86 miljardia euroa. Kaikkien aikojen suurimpien sakkojen tilastoa johtaa niin ikään Irlanti, sillä Irlannissa sijaitsevalle Metalle määrättiin tänä vuonna 1,2 miljardin euron sakko.

Tietoturvaloukkauksia koskevien ilmoitusten määrän osalta parin edellisen vuoden suuntaus jatkuu. 28. tammikuuta 2023 - 27. tammikuuta 2024 välisenä aikana tehtiin keskimäärin 335 tietoturvaloukkausta koskevaa ilmoitusta päivässä, kun viime vuonna vastaavana aikana ilmoituksia oli 328. Kun otetaan huomioon virhemarginaali, tehtyjen tietoturvaloukkauksia koskevien ilmoitusten määrässä ei ole käytännössä minkäänlaista vuosittaista muutosta. Saksa, Alankomaat ja Puola ovat ilmoittaneet eniten tietoturvaloukkauksista 28. tammikuuta 2023 ja 27. tammikuuta 2024 välisenä aikana: 32 030, 20 235 ja 14 167. Tanska on taulukon kärjessä 100 000 asukasta kohti tehtyjen ilmoitusten määrän osalta (203,82 per capita). Suomessa ilmoituksia tehtiin 5 756 kappaletta (102,53 per capita), saman verran kuin edellisellä tarkastelujaksolla.

Eurooppalaisten viranomaisten GDPR-valvonnassa keskeisiä ovat yleisen tietosuoja-asetuksen rajoitukset, jotka koskevat henkilötietojen siirtoa kolmansiin maihin. Merkittävin esimerkki on Metalle langetettu 1,2 miljardin euron sakko, joka on kaikkien aikojen korkein GDPR-sakko. Tietosuoja-asetuksen keskeisten periaatteiden, laillisuuden, oikeudenmukaisuuden ja avoimuuden, noudattamatta jättäminen on tälläkin tarkastelujaksolla useimmin mainittu peruste sakkojen määräämiselle kaikilla tutkituilla lainkäyttöalueilla. Myös eheys- ja luottamuksellisuusperiaatteen - ja siihen liittyvän 32 artiklan (käsittelyn turvallisuus) - rikkomisesta johtuvat sakot ovat edelleen yleisiä kaikilla tutkituilla lainkäyttöalueilla.

Sosiaalinen media ja teknologiajätit ovat edelleen ennätyssakkojen ensisijainen kohde kaikissa tutkituissa maissa, ja jokainen kymmenestä suurimmasta 25. toukokuuta 2018 jälkeen annetusta sakosta on määrätty näiden alojen yrityksille. Tänä vuonna erimielisyyttä on syntynyt kuluttajien ja verkkopalveluntarjoajien välisestä "grand bargain" -periaatteesta, jonka mukaisesti kuluttajat maksavat "ilmaiset" palvelut henkilötiedoillaan, joita palveluntarjoajat käyttävät tuottavien mainosprofiilien luomiseen. Joidenkin palveluntarjoajien suunnitelmat siirtyä maksulliseen malliin (pay or okay) ovat joutumassa vastakkain sääntelyviranomaisten ja yksityisyydensuojaa puolustavien tahojen kanssa.

DLA Piperin Suomen tietosuojatiimin osakas Sami Rintala kommentoi: "Yritysten kannalta GDPR lisää riskejä erityisesti dataliiketoiminnassa. Ennätyssuuret sakot ja määräykset keskeyttää laiton käsittely ovat jatkuva uhka, kun liiketoimintaa harjoitetaan Euroopassa. Dataa, datan jakamista ja digitaalista maailmaa koskevaa uutta ja vireillä olevaa sääntelyä on runsaasti, enemmän kuin koskaan aiemmin viimeisen 20 vuoden aikana. Hallinnointi ja tehokas riskienhallinta ovat olennaisen tärkeitä organisaatioille, jotta ne pystyvät navigoimaan tässä sääntelyviidakossa, selviytymään säännösten noudattamiseen liittyvistä riskeistä ja varmistamaan liiketoimintansa jatkuvuuden. Tulevalla sääntelyllä on vaikutusta IT-toimittajien liiketoimintaan sekä toimittajien että heidän asiakkaittensa välisiin sopimuksiin."

Tutkimuksen metodologiasta:

Kaikki tämän raportin kattamat maat eivät julkista tietoturvaloukkauksista ilmoittamista koskevia tilastoja, ja monet niistä toimittivat tietoja vain osasta tämän raportin kattamaa ajanjaksoa. Siksi tiedot on ekstrapoloitu kattamaan koko ajanjakso. On myös mahdollista, että osa raportoiduista rikkomuksista liittyy järjestelmään ennen yleistä tietosuoja-asetusta. Koska useat tietosuojavalvontaviranomaiset ovat nyt julkaisseet vuosikertomukset vuodelta 2023, tässä raportissa on päivitetty joitakin viime vuoden kertomuksen lukuja, jotka oli aiemmin ekstrapoloitu.

Tutkimuksessa tarkastellaan GDPR:n keskeisiä tunnuslukuja ETA:ssa ja Yhdistyneessä kuningaskunnassa siitä lähtien, kun GDPR:ää alettiin soveltaa 25. toukokuuta 2018, ja 28. tammikuuta 2023 alkavan vuoden osalta. ETAan kuuluvat kaikki Euroopan unionin 27 jäsenvaltiota sekä Norja, Islanti ja Liechtenstein. Yhdistynyt kuningaskunta erosi EU:sta 31. tammikuuta 2020. Yhdistynyt kuningaskunta on saattanut GDPR:n osaksi lainsäädäntöä jokaisella Yhdistyneen kuningaskunnan lainkäyttöalueella (Englanti, Pohjois-Irlanti, Skotlanti ja Wales). Tämän tutkimuksen päivämääränä Yhdistyneen kuningaskunnan tietosuoja-asetus on kaikilta olennaisilta osiltaan sama kuin EU:n tietosuoja-asetus. Yhdistyneen kuningaskunnan hallitus ehdottaa kuitenkin muutoksia Yhdistyneen kuningaskunnan tietosuojalainsäädäntöön ja on julkaissut tietosuojaa ja digitaalista tietoa koskevan lakiesityksen. Nähtäväksi jää, missä määrin nämä muutokset poikkeavat EU:n tietosuoja-asetuksesta.

Avainsanat

Yhteyshenkilöt

Liitteet

DLA Piper

Asianajotoimisto DLA Piper Finland Oy on osa globaalia DLA Piper -asianajotoimistoa, joka toimii yritysten neuvonantajana kaikkialla maailmassa. DLA Piperilla on toimistot yli 40 maassa Amerikan mantereella, Euroopassa, Lähi-idässä, Afrikassa ja Aasiassa. DLA Piper on myös johtava asianajotoimisto Pohjoismaiden markkinoilla viiden toimiston ja noin 500 juristin voimin. Autamme asiakkaitamme menestymään ja olemme mukana tekemässä liiketoiminnasta parempaa, kannattavampaa ja vastuullisempaa – kaikkialla maailmassa.

www.dlapiper.fi

Tilaa tiedotteet sähköpostiisi

Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.

Lue lisää julkaisijalta DLA Piper Finland

Asianajotoimisto DLA Piperin selvityksen mukaan Euroopan tietosuojaviranomaiset määräsivät 2,92 miljardia euroa sakkoja GDPR-rikkomuksista – 168 % enemmän edellisvuoteen verrattuna18.1.2023 09:12:19 EET | Tiedote

Asianajotoimisto DLA Piper on julkaissut vuotuisen GDPR- ja Data Breach -selvityksensä, joka paljastaa GDPR-rikkomuksista määrättyjen sakkojen kokonaismäärän sekä maakohtaisen taulukon sakoista, joita on annettu 28. tammikuuta 2022 alkaen. Mukana tutkimuksessa ovat kaikki 27 Euroopan unionin jäsenvaltiota, Yhdistynyt kuningaskunta, Norja, Islanti ja Liechtenstein.

Raportti: Teknologia-alan näkymät pysyvät yllättävän optimistisina epävakaista ajoista huolimatta8.11.2022 15:31:56 EET | Tiedote

Ennätyksellinen inflaatio, nopea korkojen nousu ja kasvava taantuman uhka eivät ole horjuttaneet eurooppalaisten teknologiayritysten johtajien luottamusta alan kasvumahdollisuuksiin. Globaalin asianajotoimiston DLA Piperin julkaisema teknologiaindeksi (Technology Index 2022) osoittaa teknologia-alan kestäneen hyvin erilaisia taloudellisia, geopoliittisia ja lainsäädännöllisiä paineita. Yhä useampi vastaaja on huomannut kotimaisen ja eurooppalaisen sääntelyn vaikutuksen liiketoimintaansa.

Kansainväliset investoinnit datakeskuksiin kaksinkertaistuivat vuonna 202117.6.2022 13:43:36 EEST | Tiedote

DLA Piperin tekemän tutkimuksen mukaan kansainvälisten investointien arvo datakeskuksiin yli kaksinkertaistui viime vuonna 59,5 miljardiin dollariin. Datakeskuksiin liittyviä investointeja tehtiin 117 kappaletta, jossa on kasvua 64 prosenttia edelliseen vuoteen verrattuna. Poikkeuksellisen kasvun odotetaan jatkuvan edelleen. Kasvun takana on yritysten siirtyminen käyttämään pilvipalveluita, joka on vauhdittanut hyperskaalaavien yritysten kovaa nousua. Kiina, Intia ja Yhdysvallat ovat investoijien suosikkeja seuraavan kahden vuoden aikana.

Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.

Tutustu uutishuoneeseemme
HiddenA line styled icon from Orion Icon Library.Eye