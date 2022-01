Euroopan yleisen tietosuoja-asetuksen (EU General Data Protection Regulation, GDPR) rikkomuksista on langetettu yhteensä lähes 1,1 miljardin euron edestä sakkoja. Kansainvälisen asianajotoimiston DLA Piperin mukaan 28.1.2021 alkaneella vuoden seurantajaksolla langetettujen sakkojen summa on lähes seitsenkertainen edellisen tarkastelujakson 158,5 miljoonan euron kokonaissummaan nähden. Luvut on julkaistu DLA Piperin tuoreessa General Data Protection Regulation (GDPR) fines and data breach survey -selvityksessä, joka kattaa Euroopan Unionin 27 jäsenmaata ja lisäksi Yhdistyneet Kuningaskunnat, Norjan, Islannin ja Liechtensteinin.

Suurimmat yksittäiset sakot määrättiin Luxemburgissa (746MEUR), Irlannissa (225MEUR) ja Ranskassa (50MEUR). Luxemburgissa ja Irlannissa langetettiin edellisestä vuodesta poiketen ennätyssuuret sakot, jotka veivät maat tämän tilaston kärkeen.

Tietoturvaloukkauksia koskevien ilmoitusten määrä jatkoi kasvuaan, ja ilmoituksia tehtiin 8 % enemmän kuin edellisenä vuonna. Ilmoituksia tehtiin keskimäärin 356 päivässä. Edellisen seurantajakson päiväkohtainen keskiarvo oli 331 ilmoitusta päivässä. 28.1.2021 alkaneella vuoden seurantajaksolla ilmoituksia tehtiin yhteensä yli 130 000.

Pohjoismaissa tietoturvaloukkauksia koskevia ilmoituksia tehtiin eniten Tanskassa (7 696) ja Ruotsissa (5 627). Asukaslukuun suhteutettuna Tanskassa on raportoitu kaikkein eniten tapauksia (130,6 ilmoitusta 100 000 asukasta kohden). Suomessa ilmoitusten lukumäärä oli 4 782. Asukaslukuun suhteutettuna tämä tarkoittaa 85,59 ilmoitusta 100 000 asukasta kohden. Suomessa raportoitujen tapausten lukumäärä jatkaa kasvuaan, sillä edellisellä 27.1.2021 päättyneellä seurantajaksolla tietoturvaloukkauksia raportoitiin 4 001 kappaletta.

GDPR:n soveltamisen alkamisen jälkeensakkoja on Pohjoismaissamäärätty eniten Ruotsissa, yhteensä 18 miljoonaa euroa, ja Norjassa, yli 7,8 miljoonaa euroa. Suomessa on tuoreen raportin mukaan annettu GDPR-sakkoja kaikkiaan yhteensä 824 000 euron edestä.

Edelliseen seurantajaksoon verrattuna seitsenkertaiset sakkosummat herättävät huomiota. Monille organisaatioille tietosuojasääntelyn noudattamisen suurin haaste ovat kuitenkin yhä EU:n tuomioistuimen Schrems II (Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems) -tuomion rajoitteet kansainvälisiin tiedonsiirtoihin. Tuomio ja GDPR:n V luku asettavat tiukat rajoitukset Euroopasta ja UK:sta “kolmansiin” maihin tehtäville tiedonsiirroille. Tiedonsiirrot “kolmansiin” maihin edellyttävät nyt kattavaa riskiarviointia ja mahdollisia lisätoimia. Tietojen viejiä uhkaavat käsittelykiellot, sakot ja korvausvaatimukset uusien ehtojen täyttämättä jättämisestä. Uhka palvelun keskeytymisestä vaarantaa liiketoiminnan jatkuvuutta.

DLA Piperin Suomen tietosuojatiimin osakas Sami Rintala kommentoi:

”Schrems II edellyttää, että organisaatiot arvioivat ja perustelevat tiedonsiirrot. Usein kysymys on, joudutaanko jostain jo laajassa käytössä olevasta esim. SaaS-ratkaisusta luopumaan, tai millä edellytyksin sen käyttöä voidaan jatkaa. Moni suomalainen organisaatio on jo havahtunut siihen, että arvioiden tekeminen edellyttää sellaista juridista ja teknistä osaamista sekä tietoturvaratkaisujen ymmärtämistä, mitä organisaatiossa ei ole. Monissa organisaatioissa ei ole vielä tiedostettu, mistä oikein on kyse, mitä tulisi tehdä, tai mistä kannattaa lähteä liikkeelle.”

“Tiedonsiirtojen lykkääntyminen voi olla huomattavasti vahingollisempaa ja tulla kalliimmaksi kuin sakkojen ja korvausvaatimusten uhka. Tiedonsiirrot sitovat nyt resursseja, joita organisaatio muuten käyttäisi muiden yksityisyydensuojaan liittyvien riskien hallintaan” kommentoi DLA Piperin Ross McKean, Chair of UK Data Protection and Security Group.

“Schrems II -tuomion myötä ristiriitaisten säännösten tulkinnan vaivaa ja vastuuta on siirretty instituutioilta tiedonsiirtoja tekeville organisaatioille. Schrems II:n vaatimusten täyttäminen on haastavaa niillekin organisaatioille, joilla resurssit ja tiedot ovat hyvät. Monet keskisuuret ja pienet yritykset eivät siitä selviydy” toteaa DLA Piperin Ewa Kurowska-Tober, Global Co-Chair of Data Protection & Security Group.

Huom. Kaikki Euroopan talousalueen jäsenvaltiot eivät julkista yksityiskohtia ilmoitustilastoista. Useat maat ovat toimittaneet puutteellisia tilastoja tai tilastoja vain osasta tämän raportin kattamasta ajanjaksosta, joten luvut on pyöristetty ylöspäin ja joissakin tapauksissa päätelty parhaan mahdollisen arvion saamiseksi. Vastaavasti kaikkia GDPR-sakkoja ei ilmoiteta julkisuuteen, ja jotkut tiedot kattavat vain osan tämän raportin kattamasta ajanjaksosta.

General Data Protection Regulation (GDPR) fines and data breach survey -raportin voi ladata DLA Piperin verkkosivuilta.