Uutiset 20.08.2019

GDPR – missä mennään?

Yleinen tietosuoja-asetus tuli voimaan hieman yli vuosi sitten. Voimaantulon aikoihin aihe oli esillä kaikkialla. Ylilyöntejä tapahtui, kun uutiskirjeetkin saattoivat lakata tulemasta perille, jos ei nimenomaan antanut suostumusta niiden vastaanottoon. Mutta missä nyt mennään?

Kesän aikana Euroopan komissio julkaisi tiedonannon, jossa tarkastellaan tietosuojasääntöjen vaikutuksia ja sitä, miten sääntöjen täytäntöönpanoa voitaisiin vielä parantaa.

Euroopan tasolla kansalliset säädökset on pääosin annettu ja uusi järjestelmä saatu käyntiin. Yritykset ovat luomassa uutta kulttuuria sääntöjen noudattamiseen ja myös kansalaiset ovat huomattavasti valveutuneempia oikeuksistaan – kiitos laajan uutisoinnin ja tiedotuskampanjoiden.

Yleinen tietosuoja-asetus on myös tuottanut tulosta. Erisuuruisia sakkoja on määrätty, joskin useimpien käsittely on vielä kesken. Perusteet ovat olleet mm. puutteita suostumuksen antamisessa, läpinäkyvyysehtojen täyttämättä jättämisiä nettimainonnassa ja selkeitä puutteita tietojen suojaamisessa. Juttujen vähäinen määrä on saanut aikaan käsityksen, että viranomaiset eivät toimisi tehokkaasti tietosuojaloukkausten käsittelyssä. Taustalla toki toimitaan ja käsittelyssä on tuhansia tehtyjä ilmoituksia suuristakin tietoturvaloukkauksista. Suuria sakkoja on siis odotettavissa.

Tietosuojavaltuutetun toimisto on saanut organisaationsa kuntoon ja elokuun alussa on nimetty kollegio, jolla on jatkossa oikeus määrätä hallinnollisia GDPR-sanktioita. Kollegioon kuuluu tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua.

Myös Suomessa on tutkinnassa kymmeniä tapauksia. Usein kyse on ulkomailla tutkinnassa olevista tapauksista, joissa on kytkentä Suomeen. Kansalaiset ovat myös aktiivisia ottamaan yhteyttä tietosuojavaltuutetun toimistoon ja yli 4.000 tapausta on jo kirjattu tänä vuonna.

Tähän mennessä Suomessa ei ole vielä langetettu sakkoja. Sitä vastoin lievempiä huomautuksia on annettu aktiivisesti. On odotettavissa, että kollegion nimittämisen myötä ensimmäisiä sakkojakin tullaan määräämään.

Suomalaiset yritykset ovat reagoineet tietosuoja-asetukseen, mutta tutkimustietoa siitä, millä tasolla valmiudet ovat, ei ole. Puutteita on vielä monella pienemmällä yrityksellä, joilla ei ole erillistä organisaatiota tietosuoja-asioissa. Tärkeintä on pitää mielessä perusasiat: tietoja käsitellään vain tarvittavassa laajuudessa, menetelmät on kuvattu, rekisteröityjä informoidaan ja tietoturva on kunnossa. 

 

Saattaisit olla kiinnostunut myös näistä kirjoituksistamme:

• Kansallinen tietosuojalaki astui voimaan
• Kemikaalihallinnan kesäterveiset EU:sta ja Suomesta
• Uusi työaikalaki voimaan 2020, mikä muuttuu?