EPrivacy & GDPR - HPP asianajotoimisto - Terho Nevasalo

Transcript

1. HPP Asianajotoimisto Oy Osoite Bulevardi 1 A, 00100 Helsinki Puhelin

   +358 9 474 21 Terho Nevasalo Asianajaja, LL.M. [email protected] +358 40 5587581 EPRIVACY & GDPR

2. HUOM: Jäsenmaiden pysyvien edustajien eli EU-suurlähettiläiden komitea (COREPER) hylkäsi viimeisimmän

   esityksen 22.11.2019 → asetusluonnoksen tulevaisuus avoin (9.12.2019) ▪ Kumoaa vuodesta 2002 voimassa olleen sähköisen viestinnän tietosuojadirektiivin (2002/58/EY) ▪ Suomessa sähköisen viestinnän tietosuojadirektiivi implementoitu tietoyhteiskuntakaareen (917/2014) → nykyinen laki sähköisen viestinnän palveluista (917/2014) ▪ Erityissäädös (lex specialis) suhteessa yleisen tietosuoja-asetukseen (2016/679/EU) ▪ ePrivacy täsmentää ja täydentää tietosuoja-asetusta viestintäpalveluiden osalta ▪ Viestintäpalvelujen käyttäjien yksityisyyden suojan turvaaminen vs. palvelujen kehittäminen ” ePrivacy is a complex piece of legislation broadening the scope of another complex piece of legislation, GDPR.” 2 Yleisesti ePrivacy-asetusehdotuksesta

3. 3 ePrivacy-asetusehdotuksen valmistelusta ▪ Komissio antanut asetusehdotuksen 10.1.2017 ▪ Käsittely

   edelleen kesken – asetusteksti ei valmistu enää Suomen EU-puheenjohtajakaudella, vaan siirtyy jatkokäsittelyyn Kroatian puheenjohtajakaudelle vuodelle 2020 ▪ Uusin ehdotus annettu 8.11.2019 (10 ehdotusta annettu Suomen puheenjohtajuuskaudella) ▪ Jäsenmaiden pysyvien edustajien eli EU-suurlähettiläiden komitea (COREPER) hylkäsi esityksen 22.11.2019 → asetusluonnoksen tulevaisuus avoin, aloitetaan työ puhtaalta pöydältä?

4. 4 Ehdotetun asetuksen soveltamisalan laajentaminen (2 ja 3 artiklat) HUOM:

   esityksen teksti ei ole virallista käännöstekstiä ▪ Uuden sääntelyn tarpeellisuus perinteisten viestintäpalveluiden rinnalle syntyneiden internetin kautta välitettävien viestintäpalveluiden (Over-The-Top, OTT) tarjoajiin (esim. WhatsApp, Facebook Messenger, Skype, Gmail) ▪ Tavoitteena asetuksen teknologianeutraali soveltaminen ▪ Ehdotetun asetuksen soveltamisalaan kuuluu: ▪ Sähköisten viestintäpalvelujen (esim. internet-yhteys, VoIP, puhelinliittymä jne → signaalien siirtäminen sähköisissä viestintäverkoissa) tarjoamisen yhteydessä toteutettu sähköisen viestinnän sisällön ja sähköisen viestinnän metadatan käsittely ▪ Loppukäyttäjien päätelaitteita koskevat tiedot (evästeet); ▪ Yleisesti saatavilla olevan sähköisten viestintäpalvelujen loppukäyttäjiä koskevan hakemiston tarjoaminen; ja ▪ Suoramarkkinointiviestinnän lähettäminen loppukäyttäjille (sähköinen suoramarkkinointi sekä puhelinmarkkinointi). ▪ Alueellinen soveltamisala: kaikki unionin alueella olevat loppukäyttäjät, joille tarjotaan sähköisiä viestintäpalveluja

5. 5 Esimerkkejä asetusehdotuksen määritelmistä (4 artikla) ▪ Asetuksessa tarkoitetaan (sisältöä

   lyhennetty): ▪ ’sähköisen viestinnän tiedoilla’ sähköisen viestinnän sisältöä ja sähköisen viestinnän metadataa; ▪ ’sähköisen viestinnän sisällöllä’ sähköisten viestintäpalvelujen välityksellä vaihdettua sisältöä, kuten tekstiä, puhetta, videota, kuvia ja ääntä; → muutakin kuin henkilötietoa ▪ ’sähköisen viestinnän metadatalla’ tietoja, jotka käsitellään viestintäverkon avulla sähköisen viestinnän sisällön siirtoa, jakelua tai vaihtoa varten, laitteen sijaintitiedot sekä viestinnän päivämäärä, ajankohta, kesto ja tyyppi; ▪ ’suoramarkkinoinnilla’ mitä tahansa joko kirjallista tai suullista mainontaa, joka lähetetään yhdelle tai useammalle loppukäyttäjälle, mukaan lukien puhelut, joissa ei käytetä automatisoituja soitto- ja viestintäjärjestelmiä (voice-to-voice calls), automatisoitujen soitto- ja viestintäjärjestelmien käyttö asiakaspalvelijan tai automaatin välityksellä, sähköposti ja tekstiviestit ▪ Lisäksi lukuisia viittauksia sovellettaviin määritelmiin, jotka sisältyvät muihin EU:n säädöksiin, kuten yleiseen tietosuoja-asetukseen

6. 6 Sähköisen viestinnän luottamuksellisuus (5 artikla) ▪ Lähtökohta: sähköisen viestinnän

   tiedot (viestin sisältö ja viestinnän metatiedot) ovat luottamuksellisia ▪ Kaikenlainen joko suoraan ihmisen toimesta tai laitteiden suorittaman automaattisen käsittelyn välityksellä tapahtuva puuttuminen sähköisen viestinnän tietoihin ilman viestinnän osapuolten suostumusta on kiellettyä ▪ Laitteiden välinen viestintä (machine-to-machine (M2M) communication), kun se toteutetaan julkisesti saatavilla olevan sähköisen viestintäpalvelun välityksellä ▪ Julkisissa ja osittain yksityisissä tiloissa yleisön saatavilla olevat viestintäverkot (pl. esimerkiksi suljettujen loppukäyttäjien ryhmät, kuten yritysverkot, joihin on pääsy vain yrityksen jäsenillä)

7. 7 Sähköisen viestinnän tietojen sallittu käsittely (6 – 6d artiklat)

   1/3 ▪ Useita muutoksia viimeisimmässä asetusluonnoksessa ▪ Sähköisen viestinnän tietojen sallittu käsittely (6 artikla) ▪ Käsittely on sallittua ainoastaan kun, se on tarpeen: ▪ sähköisen viestintäpalvelun tarjoamiseksi; ▪ viestintäverkkojen ja -palvelujen turvallisuuden ylläpitämiseksi tai palauttamiseksi tai teknisten vikojen ja/tai virheiden ja/tai turvallisuus-riskien tai tietoturvaloukkausten havaitsemiseksi sähköisen viestinnän välittämisessä; ▪ loppukäyttäjien päätelaitteisiin kohdistuvien turvallisuusriskien tai tietoturvaloukkausten havaitsemiseksi tai estämiseksi; tai ▪ palveluntarjoajaan kohdistuvan lakisääteisen velvoitteen noudattamiseksi ▪ Käsittelyn rajoittaminen kyseiseen tarkoitukseen tarvittavaan kestoon

8. 8 Sähköisen viestinnän tietojen sallittu käsittely (6 – 6d artiklat)

   2/3 ▪ Sähköisen viestinnän sisällön sallittu käsittely (6a artikla) ▪ Käsittely on sallittua ainoastaan, kun: 1) tarjotaan loppukäyttäjän pyytämää yksityiseen käyttöön tarkoitettua palvelua; ja pyytävä loppukäyttäjä on antanut sähköisen viestinnän sisällön käsittelyyn suostumuksensa; eikä käsittely vaaranna viestinnän toisen osapuolen perustavanlaatuisia oikeuksia ja etuja; tai 2) kun kaikki loppukäyttäjät ovat antaneet suostumuksensa heidän sähköisen viestinnän sisällön käsittelyyn yhteen tai useampaan tarkoitukseen. ▪ Ennen käsittelyn aloittamista suoritettava vaikutustenarviointi sekä kuultava valvontaviranomaista, mikäli tietosuoja-asetuksen 36 artikla niin edellyttää ▪ Vastaa lähtökohtaisesti tietosuoja-asetuksen mukaista vaikutustenarviointia (DPIA)

9. 9 Sähköisen viestinnän tietojen sallittu käsittely (6 – 6d artiklat)

   3/3 ▪ Sähköisen viestinnän metadatan sallittu käsittely (6b artikla) ▪ Käsittely on sallittu ainoastaan, kun: ▪ Loppukäyttäjä on antanut käsittelyyn suostumuksensa sähköisen viestinnän metadatan käsittelemiseen yhteen tai useampaan tarkoitukseen; tai ▪ Se on tarpeen: ▪ verkon hallinnointiin tai optimointiin liittyviin tarkoituksiin tai palvelun laatua koskevien teknisten vaatimusten täyttämiseksi; ▪ yhdysliikennemaksujen laskemiseksi ja laskuttamiseksi tai sähköistä viestintäpalvelua koskevan sopimuksen toteuttamiseksi, tai jos se on tarpeen petoksen tai loukkaavan sähköisen viestinnän palvelun käytön tai tilauksen estämiseksi tai lopettamiseksi; ▪ luonnollisen henkilön elintärkeiden etujen suojaamiseksi hätätilanteessa, julkisen viranomaisen pyynnöstä; tai ▪ tilastollisten tai tieteellisten käsittelytarkoitusten toteuttamiseksi sekä lapsipornon levittämisen estämiseksi

10. 10 Evästeet (8 artikla) ▪ Lähtökohta: Evästeiden ja vastaavien tekniikoiden

    tallentaminen käyttäjän päätelaitteelle on kielletty paitsi seuraavin perustein: ▪ loppukäyttäjä on antanut suostumuksensa; ▪ se on tarpeen yksinomaan sähköisen viestinnän välittämiseen sähköisessä viestintäverkossa; ▪ se on tarpeen loppukäyttäjän pyytämän palvelun tarjoamiseksi; ▪ se on tarpeen yleisömittausta (ns. käyttöanalytiikkaa) varten, edellyttäen että mittauksen suorittaa loppukäyttäjälle palvelun tarjoava tietoyhteiskunnan palvelun tarjoaja tai kolmas tämän lukuun toimiva; ▪ se on tarpeen tietoyhteiskunnan palvelujen tai loppukäyttäjän päätelaitteen turvallisuuden ylläpitämiseksi tai palauttamiseksi, petosten estämiseksi tai teknisten puutteiden havaitsemiseksi kyseiseen tarkoitukseen tarvittavan keston ajan; ▪ se on tarpeen ohjelmiston päivittämiseksi (tietyin edellytyksin); tai ▪ se on tarpeen päätelaitteen paikantamiseksi, kun loppukäyttäjä antaa hätäviestin joko eurooppalaiseen hätänumeroon ’112’ tai kansalliseen hätänumeroon artiklan 13(3) mukaisesti.

11. 11 Milloin suostumus evästeisiin tarvitaan? ▪ Suostumuksen määritelmä tietosuoja-asetuksesta: yksilöity,

    tietoinen, aidosti vapaaehtoinen ja yksiselitteinen tahdonilmaisu ▪ Loppukäyttäjän suostumus evästeen tai vastaavan tunnuksen tallentamiseen voi sisältää myös suostumuksen evästeen myöhemmälle lukemiselle tilanteessa, jossa loppukäyttäjä palaa uudelleen samalle verkkosivulle ▪ Palveluntarjoajalla (tai tämän lukuun toimivalla) on velvollisuus hankkia evästeiden käyttöä koskeva suostumus evästeiden ja vastaavien teknologioiden tallentamiseksi käyttäjän päätelaitteelle ▪ Evästeiden ja vastaavien tekniikoiden tallentaminen ilman loppukäyttäjän suostumusta tulisi rajoittaa tilanteisiin, joissa yksityisyyden loukkausta ei tapahdu tai se jää hyvin vähäiseksi ▪ Suostumus tarvitaan esimerkiksi aina, kun: ▪ Tietoja kerätään muihin tarkoituksiin kuin mikä on tarpeen sähköisen viestin välittämiseksi sähköisessä viestintäverkossa tai pyydetyn palvelun toimittamiseksi ▪ Käytetään evästeitä tai muita vastaavia tunnisteita, joiden avulla määritetään, kuka sivua käyttää

12. 12 Miten suostumus evästeisiin annetaan? ▪ Asetusehdotuksen mukaan suostumus voitaisiin

    antaa ohjelmiston asianmukaisissa teknisissä asetuksissa, kun se on teknisesti mahdollista ▪ Asetusehdotuksessa kannustetaan ohjelmistojen tarjoajia implementoimaan läpinäkyvät ja käyttäjäystävälliset asetukset, joiden avulla loppukäyttäjät voivat antaa yksilöidyn ja informoidun suostumuksensa evästeiden tallentamiselle ▪ Suostumuksen peruuttamista koskevasta oikeudesta muistuttaminen säännöllisin väliajoin (ei harvemmin kuin kerran 12 kuukaudessa) niin kauan kuin käsittely jatkuu, ellei loppukäyttäjä ole kieltänyt tällaisia muistutuksia ▪ EU-tuomioistuimen 1.10.2019 antama tuomio C-673/17 (Planet49) ▪ ”Evästeiden asettaminen edellyttää internetkäyttäjän aktiivista suostumusta” vs asetuksen teksti?

13. 13 Milloin suostumusta evästeisiin ei tarvita? ▪ Suostumusta ei sen

    sijaan tarvita esimerkiksi, kun: ▪ Kyseessä on sellainen tekninen tallentaminen tai käyttö, joka on välttämätöntä ja oikeassa suhteessa tarkoitukseen tarjota tietty yksittäinen palvelu, jota loppukäyttäjä on nimenomaisesti pyytänyt ▪ IoT-palvelut, jotka ovat riippuvaisia niihin yhdistetyistä laitteista, kuten esimerkiksi älykkäät mittarit tai automaattiset ajoneuvot, mikäli tällainen käyttö tai pääsy on välttämätöntä loppukäyttäjän pyytämän palvelun tarjoamiseksi ▪ Evästeiden tallentaminen on tarpeen loppukäyttäjän pyytämän palvelun, kuten verkkolehden toteuttamiseksi, kun julkaisu rahoitetaan kokonaan tai pääosin mainostuloilla. → loppukäyttäjälle tulee tarjota selkeät, tarkat ja käyttäjäystävälliset tiedot evästeiden tai vastaavien tekniikoiden tarkoituksista ja että loppukäyttäjä on hyväksynyt evästeiden tällaisen käytön. ▪ Teknisten haavoittuvaisuuksien tai muiden virheiden korjaaminen, sillä edellytyksellä että tällaiset päivitykset eivät millään tavalla muuta laitteiston tai ohjelmiston toiminnallisuuksia tai loppukäyttäjän valitsemia yksityisyysasetuksia ja että loppukäyttäjällä on mahdollisuus lykätä tai kytkeä tällaisten päivitysten automaattinen asentaminen pois

14. 14 ”Cookie-walls” ▪ ”Cookie-walls” eli evästeiden hyväksymisen asettamisen sivustolle pääsyn

    ehdoksi ▪ Sallittu, jos loppukäyttäjällä on mahdollisuus valita evästeiden käytöstä annettujen selkeiden, tarkkojen ja käyttäjäystävällisten tietojen perusteella, samanarvoisten tarjousten väliltä, joista toinen edellyttää suostumista evästeiden tallentamiseen ”ylimääräisiin tarkoituksiin” ”Cookie-or-Pay Walls” ▪ Kielletty, jos palveluntarjoajan ja loppukäyttäjän välillä selkeä epäsuhta, joka heikentää loppukäyttäjän mahdollisuutta aitoon valintatilanteeseen (esim. julkiset palvelut) tai jos loppukäyttäjällä on ainoastaan muutama tai ei yhtään vaihtoehtoja palvelulle ja näin ollen ei todellista mahdollisuutta päättää evästeiden tallentamisesta (esim. määräävässä markkina-asemassa olevat yritykset) ▪ Jos toteutuu → ns. maksumuurien yleistyminen jatkossa?

15. 15 Yleisesti saatavilla olevat luettelot ▪ Loppukäyttäjinä olevien luonnollisten henkilöiden

    suostumus on edellytyksenä luetteloon sisällyttämiselle henkilötietoluokittain ▪ Yleisesti saatavilla oleva luettelo – kansallisesti voidaan säätää, että em. sisällyttäminen luetteloon voidaan tehdä mutta luonnolliselle henkilölle on jätettävä mahdollisuus vastustaa tällaista sisällyttämistä (kansallinen sääntelyvara) ▪ Loppukäyttäjinä olevien luonnollisten henkilöiden informointi muuhun kuin nimeen perustuvasta hakutoiminnosta sekä erillisen suostumuksen pyytäminen ennen tällaisten hakutoimintojen mahdollistamista heidän muiden henkilötietojensa osalta ▪ Loppukäyttäjille tarjottava maksutta keinot tarkastaa, oikaista ja poistaa henkilötietoja yleisesti saatavilla olevasta luettelosta ▪ Loppukäyttäjänä olevalle oikeushenkilölle tarjottava mahdollisuus vastustaa tietojensa sisällyttämistä luetteloon

16. 16 Ei-toivottu viestintä ja suoramarkkinointi (16 artikla) 1/3 ▪ Sähköinen

    suoramarkkinointiviestintä luonnolliselle henkilölle ▪ Edellyttää suostumusta (opt-in) ▪ Poikkeuksena saman palveluntarjoajan omien vastaavien tuotteiden ja palvelujen suoramarkkinointi, jos sähköisen viestinnän yhteystiedot on saatu tuotteen tai palvelun hankkimisen yhteydessä ▪ Tarjottava opt-out-mahdollisuus selkeästi ja sanatarkasti veloituksetta loppukäyttäjän tällaisten yhteystietojen keräämisen yhteydessä sekä tämän jälkeen jokaisen suoramarkkinointiviestin yhteydessä, mikäli loppukäyttäjä ei ole tätä alun perin kieltänyt ▪ Kansallinen liikkumavara sen määrittämiseksi, kuinka kauan em. sähköpostiyhteystietoja saadaan säilyttää tavaran myynnistä tai palvelun suorittamisesta

17. 17 Ei-toivottu viestintä ja suoramarkkinointi (16 artikla) 2/3 ▪ Suoramarkkinointipuhelut

    luonnolliselle henkilölle ▪ Kansallista liikkumavaraa ▪ sellaisen kansallisen järjestelmän luomiseksi tai säilyttämiseksi, jossa luonnolliselle henkilölle osoitetut suoramarkkinointipuhelut, joissa ei käytetä automatisoituja soitto- ja viestintäjärjestelmiä (voice-to-voice direct marketing calls), olisivat sallittuja, mikäli loppukäyttäjänä oleva luonnollinen henkilö ei ole tätä vastustanut ▪ Suomessa kuluttaja-asiamies on jo useamman vuoden ajan vaatinut, että puhelinmyyntiä ei voisi tehdä kuluttajan ennakkosuostumusta ▪ sen edellyttämiseksi, että sähköisen viestintäpalveluntarjoajan olisi esitettävä linjan tunnistus tai erityinen tunnus tai prefiksi, josta käy ilmi, että kyse on suoramarkkinointipuhelusta

18. 18 Ei-toivottu viestintä ja suoramarkkinointi (16 artikla) 3/3 ▪ Suoramarkkinointi

    oikeushenkilöille ▪ Jäsenvaltioiden on varmistettava, että loppukäyttäjien, jotka ovat oikeushenkilöitä, suoramarkkinointiin liittyvät oikeutetut edut suojataan riittävällä tavalla ▪ Epäselvää, mitä vaikutuksia tällä sanamuodon muutoksella on ▪ Jokaisen suoramarkkinointiviestin lähettämisen yhteydessä on annettava tiedot: ▪ Lähettäjän identiteetistä sekä yhteystiedoista; ▪ Markkinointiviestinnän luonteesta sekä sen luonnollisen tai oikeushenkilön identiteetistä, jonka lukuun suoramarkkinointia lähetetään; ▪ Loppukäyttäjänä olevan luonnollisen henkilön keinoista veloituksetta vastustaa suoramarkkinointia tai peruuttaa suostumuksensa vastaanottaa jatkossa suoramarkkinointiviestintää

19. 19 Riippumattomat valvontaviranomaiset ja täytäntöönpanon valvonta (18–20 artiklat) ▪ Jokaisella

    jäsenvaltiolla yksi tai useampi riippumaton julkinen valvontaviranomainen, joka täyttää tietosuoja- asetuksen 51–54 säädetyt vaatimukset ▪ Eräiden säännösten osalta ePrivacy-asetuksen soveltamisen valvonta voidaan järjestää jäsenvaltioissa muilla tavoin (valvontaviranomaiset, jotka vastaavat tietosuoja-asetuksen soveltamisen seuraamisesta tai muut viranomaiset, joilla on vastaava asiantuntemus) ▪ Euroopan tietosuojaneuvosto (EDPB) ▪ Velvollisuus kuulla valvontaviranomaista ennen, kuin voi toteuttaa artiklassa säädettyjä tehtäviään ▪ Rajat ylittävä yhteistyö

20. 20 Oikeussuojakeinot, vastuu ja seuraamukset (21–23 artiklat) ▪ Hyvin pitkälti

    vastaavasti kuin tietosuoja-asetuksessa ▪ Uusi säännös, ei aikaisemmassa direktiivissä

21. 21 GDPR ja sakkokäytäntö?

22. ▪ Saksassa Baden-Württembergin tietosuojaviranomainen määräsi marraskuussa 2018 20.000 euron suuruisen

    sakon sosiaalisen median alan yritykselle, jonka nettisivujen käyttäjien henkilötietoja, kuten sähköpostiosoitteet ja salasanat, paljastuivat hakkerihyökkäyksen vuoksi ulkopuolisille. ▪ Loukkaus kosketti noin 330 000 käyttäjää. ▪ Yritys ei ollut säilyttänyt käyttäjien salasanoja salatussa muodossa, mikä oli tehnyt tietoturvaloukkauksen helpommaksi. Säilyttämällä salasanoja normaalissa tekstimuodossa yhtiö oli rikkonut GDPR:n 32 artiklaa. ”Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten a) henkilötietojen pseudonymisointi ja salaus; b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.” 22 Millaisia sakkoja GDPR:n rikkomisesta on annettu

23. ▪ Tanskan tietosuojaviranomainen määräsi maaliskuussa 2019 1.2 miljoonan kruunun (n.

    160.000 euron) suuruisen sakon maksettavaksi taksiyhtiölle. ▪ Yhtiö oli poistanut rekisteristä käytänteidensä mukaisesti kahden vuoden jälkeen asiakkaan nimen ja osoitteen mutta ei puhelinnumeroa, jonka poistamiselle yhtiö oli asettanut aikarajaksi viisi vuotta. Viranomaisen mukaan puhelinnumeron säilyttämiselle kolmea vuotta pidempään ei ollut perusteita. ▪ Taksiyhtiö oli rikkonut GDPR:n säännöksiä tietojen minimoinnista (5 artikla). ▪ Tietosuojaviranomaisen mukaan myös taksiyhtiön pyrkimykset tietojen anonymisoimiseen olivat riittämättömät, kun nimien poistamisesta huolimatta tietojärjestelmän sisältämät tiedot asiakkaasta olivat yhdistettävissä kyseiseen asiakkaaseen puhelinnumeroiden kautta. 23 Millaisia sakkoja GDPR:n rikkomisesta on annettu

24. ▪ Norjan tietosuojaviranomainen määräsi maaliskuussa 2019 Bergenin kunnalle 1.6 miljoonan

    kruunun (noin 170.000 euron) sakon. Puutteellinen tietoturva mahdollisti pääsyn alakoulujen oppilaiden ja työntekijöiden henkilötietoihin. Loukkaus kosketti noin 35 000 rekisteröityä, joista suurin osa oli lapsia. ▪ Tietosuojaviranomaisen mukaan mukaan koulu ei ollut noudattanut GDPR:n yleistä periaatetta eheyden ja luottamuksellisuuden turvaamisesta (5 artikla) tai ▪ säännöstä asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta (32 artikla). 24 Millaisia sakkoja GDPR:n rikkomisesta on annettu

25. ▪ Huhtikuussa 2019 Puolan tietosuojaviranomainen määräsi 220.000 euron suuruisen sakon

    digitaalisen markkinoinnin alalla toimivalle yritykselle GDPR:n 14 artiklaan perustuvan tiedonantovelvoitteen laiminlyönnistä. Lisäksi tietosuojaviranomainen määräsi, että yhtiön on täytettävä tiedonantovelvollisuutensa lähes kuutta miljoonaa rekisteröityä kohtaan kolmen kuukauden kuluessa. ▪ Yritys oli kerännyt julkisista tietolähteistä yrittäjien ja yritysten omistajien nimiä, sähköpostiosoitteita, kansallisia henkilötunnuksia ja muita erilaisia tietoja liittyen yritysten toimintaan. Yritys informoi henkilötietojen käsittelystä asianmukaisesti kaikkia niitä henkilöitä, joiden henkilökohtaiset sähköpostiosoitteet se oli saanut kerättyä. Enemmistöltä (noin 5.7 miljoonalta henkilöltä) ▪ Yritys ei kuitenkaan ollut kerännyt sähköpostiosoitetta tai myöskään informoinut näitä ihmisiä heidän henkilötietojensa käyttämisestä kaupallisiin ja markkinointitarkoituksiin. 25 Millaisia sakkoja GDPR:n rikkomisesta on annettu

26. ▪ Huhtikuussa 2019 Italian tietosuojaviranomainen määräsi 50.000 euron suuruisen sakon

    alustantarjoajalle (Rousseau), joka toimiessaan henkilötietojen käsittelijänä ei ollut toteuttanut GDPR 32 artiklan mukaisia toimenpiteitä henkilötietojen käsittelyn turvallisuuden varmistamiseksi. ▪ Sakkoa ei siis määrätty rekisterinpitäjänä toimineelle puolueelle. ▪ Rousseau oli erään italialaisen poliittisen puoleen (5 Star Movement) käyttämä alusta, jota hyödynnettiin äänestäjien neuvonannossa. ▪ Rousseau ei ollut asianmukaisesti anonymisoinut äänestäjien neuvonannosta kerättyä dataa (e-voting data) tai estänyt pääsyä alustan henkilötietoihin. ▪ Pienellä ryhmällä Rousseau Associationin ja 5 Star Movementin jäsenistä oli mahdollisuus päästä jälkiä jättämättä käsiksi alustan henkilötietoihin, jotka sisälsivät myös arkaluonteisia henkilötietoja, kuten tietoja henkilöiden poliittisesta suuntautumisesta. 26 Millaisia sakkoja GDPR:n rikkomisesta on annettu

27. ▪ Unkarin tietosuojaviranomainen määräsi niin ikään huhtikuussa 2019 unkarilaiselle rekisteröitymättömälle

    puolueelle 110.000.000 unkarin forintin (noin 34.375 euron) suuruisen sakon, koska se ei ollut raportoinut tietoturvaloukkauksesta valvontaviranomaiselle (GDPR 33 artikla) tai niille rekisteröidyille, joiden oikeuksille ja vapauksille loukkaus todennäköisesti aiheutti korkean riskin (GDPR 34 artikla). ▪ Puolue oli rikkonut myös GDPR 33 artiklan 5 kohtaa, kun se ei ollut asianmukaisesti dokumentoinut henkilötietoihin kohdistunutta tietoturvaloukkausta. 27 Millaisia sakkoja GDPR:n rikkomisesta on annettu

28. ▪ Romaniassa paikallinen tietosuojaviranomainen antoi heinäkuussa 2019 seuraavat sakot: ▪

    15.000 euron suuruinen sakko määrättiin hotellille, jonka aamupala-asiakkaiden tietoja oli vuotanut yrityksen ulkopuolelle. Hotelli käytti aamiaisjärjestelyissään paperista listaa aamupalalle tulevista asiakkaista. Yrityksen ulkopuolinen henkilö oli onnistunut ottamaan 46 aamiaisasiakkaan henkilötietoja sisältävästä listasta valokuvan. Valokuva oltiin julkaistu verkossa ja tämän seurauksena osan asiakkaista henkilötietoja oli paljastunut. ▪ Yritys oli rikkonut GDPR:n 24 artiklaa (rekisterinpitäjän vastuut ja velvollisuudet henkilötietojen suojaamiseksi). ▪ 3.000 euron suuruinen sakko määrättiin yritykselle, jonka nettisivuilla olleiden linkkien kautta oli yleinen pääsy – riittämättömistä tietoturvatoimenpiteistä johtuen – yrityksen yrityskontaktilistaan. Yritys oli rikkonut GDPR:n 32 artiklaa. 28 Millaisia sakkoja GDPR:n rikkomisesta on annettu

29. ▪ Toukokuussa 2019 Ranskan valvontaviranomainen CNIL langetti SERGIG-nimiselle kiinteistövälitysyhtiölle 400.000

    euron suuruisen sakon. ▪ Yritys oli rikkonut GDPR:n 32 artiklaa, kun sen käyttäjien henkilökohtaiset asiakirjat (tietoja käyttäjien henkilöllisyyskorteista, tiliotteista ja avioeroista) olivat olleet julkisesti saatavilla. ▪ Yritys ei myöskään ollut ollut tehnyt korjaustoimia kuin vasta syyskuussa 2018, vaikka yrityksen osoitettiin olleen tietoinen rikkomuksesta jo maaliskuussa 2018. ▪ Yritys käsitteli henkilötietoja myös GDPR:n 5 artiklan (säilytyksen rajoittaminen, osoitusvelvollisuus) vastaisesti, kun se ei ollut määritellyt käyttäjien henkilötietojen säilytysaikoja. 29 Millaisia sakkoja GDPR:n rikkomisesta on annettu

30. ▪ Ison-Britannian tietosuojaviranomainen ICO ilmoitti heinäkuussa 2019 määräävänsä British Airwaysille

    noin 183 miljoonan punnan (noin 200 miljoonan euron) suuruisen sakon. British Airwaysin verkkosivuston käyttäjäliikenne ohjautui sivuston tietoturvapuutteiden vuoksi väärennetylle sivustolle, jonka kautta asiakastietoja vuosi hakkereille. Yli 500 000 asiakkaan henkilötiedot olivat vaarantuneet. ▪ Vuodetut tiedot sisälsivät esimerkiksi asiakkaiden sisäänkirjautumistietoja, maksukorttitietoja, matkavaraustietoja, nimiä ja osoitteita. ▪ ICO:n mukaan British Airwaysin turvatoimet asiakkaiden henkilötietojen suojaamiseksi olivat puutteelliset. ▪ Muun muassa puutteita artikla 32 noudattamisessa 30 Millaisia sakkoja GDPR:n rikkomisesta on annettu

31. ▪ Toinen suuri (noin 99 miljoonan Englannin punnan eli noin

    113 miljoonan euron) sakko, jonka ICO ilmoitti antavansa, tulisi hotelliketjuyhtiölle Marriot Internationalille. Sakko liittyy tietovuotoon, jonka Marriot ilmoitti ICO:lle marraskuussa 2018. ▪ Tietovuodon seurauksena noin 339 miljoonan hotellivieraan henkilötietoja (mm. luottokorttitietoja, passinumeroita ja syntymäpäiviä) paljastuivat maailmanlaajuisesti. ▪ ICO:n mukaan yritys ei ollut tehnyt tarpeeksi huolellisesti due diligence –tarkastusta yrityskaupassa, kun se osti vuonna 2016 Starwood-nimisen hotelliyhtiön. ▪ Huom: sakot eivät ole vielä lopullisia, sakosta valitettu 31 Millaisia sakkoja GDPR:n rikkomisesta on annettu

32. ▪ Puolassa määrättiin syyskuussa 2019 noin 645.000 euron suuruinen sakko

    Morele.net –nimiselle verkkokaupalle, kun sen toteuttamat tekniset ja organisatoriset toimenpiteet katsottiin riittämättömiksi suhteessa henkilötietojen käsittelyyn kohdistuneisiin riskeihin. Tietoturvapuutteiden seurauksena 2.2 miljoonan henkilön tiedot olivat vuotaneet. ▪ Yritys ei ollut toteuttanut asianmukaisia toimenpiteitä sen varmistamiseksi, että henkilötietojen suoja säilyy myös tilanteessa, jossa yrityksen käyttämä tietoverkko ruuhkautuu (lack of appropriate response procedures to deal with the emergence of unusual network traffic). ▪ Yritys oli rikkonut muun muassa GDPR:n 5 artiklan periaatetta henkilötietojen käsittelyn eheydestä ja luottamuksellisuudesta. 32 Millaisia sakkoja GDPR:n rikkomisesta on annettu

33. ▪ Saksassa Berliinin tietosuojaviranomainen määräsi 14.5 miljoonan euron sakon kiinteistöyhtiö

    Deutsche Wohnen SE:lle, koska sillä oli käytössä arkistointijärjestelmä, joka ei mahdollistanut henkilötietojen poistamista, kun niiden käsittely ei ollut enää tarpeellista. ▪ Vuokralaisten henkilötietoja (kuten palkkakuitteja, otteita työsopimuksista, tiliotteita sekä vero-, sosiaaliturva- ja sairausvakuutustietoja) säilytettiin, vaikka yritys ei ollut varmistanut, onko henkilötietojen säilyttäminen sallittua tai edes tarpeellista alkuperäisten käyttötarkoitusten toteuttamiseksi. ▪ Viranomainen määräsi yritykselle sakon GDPR 5 artiklan (säilytyksen rajoittaminen) ja 25 artiklan (sisäänrakennettu ja oletusarvoinen tietosuoja) rikkomisesta. 33 Millaisia sakkoja GDPR:n rikkomisesta on annettu

34. Erikoistunut olennaiseen HPP Asianajotoimisto Oy Osoite Bulevardi 1 A, 00100

    Helsinki Puhelin +358 9 474 21