Akatemia

/

Koulutus

/

Tietosuojasakkoihin johtaneet sudenkuopat ja toimintatavat niiden välttämiseksi

Katsaus tietosuojasääntelyn nykytilaan vuonna 2022

Nykyään EU:n yleinen tietosuoja-asetus (GDPR) ei ole enää yksin, vaan henkilötietojen käsittelystä säätävää lainsäädäntöä syntyy eri puolilla maailmaa. Ihmiset ovat enenevissä määrin kiinnostuneita omien henkilötietojensa käsittelystä ja viranomaiset haluavat ohjata organisaatioita fiksuun toimintaan - samalla kun datan määrä ja digitalisaation aste kasvaa.

GDPR:n mukaisia sakkoja on saatu ennenkin seuraavista syistä:

  • Ei laillista oikeusperustetta käsittelylle - joko käsittelylle ei ole määriteltävissä mitään sopivaa oikeusperustetta tai oikeusperusteella (esim. suostumus, oikeutettu etu) määritellyt edellytykset eivät täyty
  • Tietosuojaperiaatteet (kuten tietojen minimointi, käyttötarkoitussidonnaisuus, säilytyksen rajoittaminen) eivät täyty
  • Tietoturva pettää - tapahtuu syystä tai toisesta henkilötietojen tietoturvaloukkaus
  • Puuttellinen informointi - rekisteröidylle ei toimiteta riittävän tarkkoja tietoja suoritetusta käsittelystä oikea-aikaisesti
  • Muut perusteet - esimerkiksi puutteelliset käsittelysopimukset kumppanien kanssa
Täysi listaus GDPR:n varjolla annetuista sakoista löytyy osoitteesta enforcementtracker.com

Suomessa viranomaiset ovat sakottamisen näkökulmasta vielä toimineet varovasti, kun taas monissa Etelä-Euroopan maissa sakkoja on jaettu huomattavasti enemmän.