€ 2 622 800. Näin paljon GDPR-sakkoja eli hallinnollisia seuraamusmaksuja on Suomen tietosuojaviranomainen määrännyt tähän mennessä.
EU:n tietosuoja-asetus eli General Data Protection Regulation (”GDPR”) täytti keväällä 5 vuotta. On hyvä hetki katsastaa sen eniten otsikoituun teemaan eli rahallisiin sanktioihin.
Viralliselta nimeltään ne ovat hallinnollisia seuraamusmaksuja, mutta käytän tässä yleiskielisempää ilmausta ”sakot”, kun kyseessä on seuraamuksen kohteelle valtion kassaan maksettavaksi määrättävä sakonluonteinen maksu.
Ensimmäiset sakot Suomessa annettiin 18.5.2020 ja siitä alkaen niitä on määrätty tähän mennessä yhteensä 18 taholle. Suurimmat yksittäiset sakot Suomessa ovat suuruudeltaan € 750 000.
Sakkoja voidaan määrätä henkilötietojen käsittelystä nk. päävastuussa olevalle rekisterinpitäjälle eli henkilötietojen ”omistajalle” ja/tai henkilötietojen käsittelyä rekisterinpitäjän lukuun suorittavalle käsittelijälle eli ”toimeksisaajalle”.
***HUOM! Tässä blogikirjoituksessa käsittelen sakkojen määriä Suomen tietosuojaviranomaisen määräämässä suuruudessa ja ilmoittamin perusteluin. Osa sakkojen määristä on muuttunut tai jopa poistunut kokonaan valitusasteissa, eli listauksen lopputulos ei ole kaikkien tapausten osalta lopullinen. Teen jatkokirjoituksen myöhemmin siitä, miten nämä sakot ovat muuttuneet hallinto-oikeudessa tai korkeimmassa hallinto-oikeudessa. Varmistuaksesi jatkojutun näkemisestä, tilaa tämän sivun alalaidasta sähköpostiisi ilmoitus uusista blogikirjoituksistani.
Tietosuojavaltuutetun toimiston vuosittaisessa toimintakertomuksessa listataan määrätyt sakot, seuraavassa niistä laatimani kooste (kaikkien osalta TSV ei julkaise sanktion saaneen organisaation nimeä):
VUOSI 2020 (5 kpl)
Posti Oy:lle määrättiin 100 000 euron suuruinen seuraamusmaksu puutteista muuttoilmoituksen tehneiden informoinnissa. Yrityksen olisi pitänyt kertoa muuttoilmoituksen tekemisen yhteydessä selkeästi, että asiakkailla on oikeus vastustaa henkilötietojensa käsittelyä ja tietojensa luovuttamista suoramarkkinointitarkoituksiin.
Kymen Vesi Oy:lle määrättiin 16 000 euron suuruinen seuraamusmaksu työntekijöiden sijaintitietojen käsittelyä koskevan vaikutustenarvioinnin tekemättä jättämisestä. Vaikutustenarviointi olisi tullut tehdä ennen kuin yritys alkoi käsitellä sijaintitietoja, joita se keräsi paikantamalla ajoneuvoja ajotietojärjestelmän avulla.
12 500 euron suuruinen seuraamusmaksu määrättiin yritykselle, joka keräsi työnhakijoiden henkilötietoja tarpeettoman laajasti. Yritys oli kysynyt työnhakijoilta työsuhteen kannalta tarpeettomia tietoja esimerkiksi terveydentilasta ja perhesuhteista.
Taksi Helsingille määrättiin 72 000 euron suuruinen seuraamusmaksu useista puutteista henkilötietojen käsittelyssä. Yritys ei muun muassa ollut arvioinut kameravalvontajärjestelmäänsä liittyvän henkilötietojen käsittelyn lainmukaisuutta tai informoinut asiakkaita äänen tallennuksesta yleisen tietosuoja-asetuksen edellyttämällä tavalla.
ACC Consulting Varsinais-Suomelle määrättiin 7 000 euron suuruinen seuraamusmaksu sähköisten suoramarkkinointiviestien lähettämisestä ilman ennalta annettua suostumusta ja rekisteröidyn oikeuksien noudattamatta jättämisestä. Yritys ei ollut vastannut rekisteröityjen oikeuksia koskeviin pyyntöihin tai toteuttanut niitä, eikä se pystynyt osoittamaan käsitelleensä henkilötietoja lainmukaisesti.
VUOSI 2021 (7 kpl)
ParkkiPate Oy:lle määrättiin 75 000 euron seuraamusmaksu tietosuojarikkomuksista pysäköinninvalvontamaksujen yhteydessä. Rikkomukset koskivat muun muassa rekisteröidyn oikeuksien toteuttamatta jättämistä ja puutteita tietojen säilytysajan rajoittamisessa. Yritys myös käsitteli henkilötietoja tunnistamista varten säännönmukaisesti laajemmin kuin olisi ollut tarpeen.
Aikakauslehtikustantamolle määrättiin 8 500 euron seuraamusmaksu ilman suostumusta harjoitetusta suoramarkkinoinnista. Robottipuheluissa ei ollut varmistuttu siitä, että rekisteröity pystyy käyttämään tietosuojaoikeuksiaan. Rekisterinpitäjä ja sen lukuun suoramarkkinointipuheluita toteuttanut alihankkijayritys eivät myöskään olleet laatineet käsittelysopimusta suoramarkkinoinnin toteuttamiselle.
Korkeakoululle määrättiin 25 000 euron seuraamusmaksu tietosuojarikkomuksista työajanseurannassa kertyneiden sijaintitietojen käsittelyssä. Työnantaja käsitteli työntekijöiden sijaintitietoja tarpeettomasti ja ilman lainmukaista perustetta työajan leimaamiseen tarkoitetulla mobiilisovelluksella.
Seuraamuskollegio määräsi joulukuussa 2021 Psykoterapiakeskus Vastaamo Oy:lle 608 000 euron seuraamusmaksun tietosuojarikkomuksista. Vastaamo oli laiminlyönyt henkilötietojen turvallisen käsittelyn perustoimenpiteitä ja tietoturvaloukkauksesta ilmoittamiseen liittyviä velvollisuuksiaan. Vastaamon olisi tullut ilmoittaa tietoturvaloukkauksesta sekä tietosuojavaltuutetulle että asiakkailleen viivytyksettä, sillä tietomurto aiheutti kohteeksi joutuneille henkilöille korkean riskin. Puutteita havaittiin myös osoitusvelvollisuuden mukaisen dokumentaation laatimisessa.
Seuraamuskollegio määräsi lääkäriklinikalle 5 000 euron seuraamusmaksun rekisteröidyn oikeuksien laiminlyönneistä. Lääkäriklinikka ei ollut toteuttanut asiakkaan tarkastusoikeutta potilastietoihinsa asianmukaisesti, ja sen toimintatapa oikeuksien toteutuksessa oli puutteellinen. Klinikka ei myöskään kertonut selkeästi, minkä tietojen osalta se toimii rekisterinpitäjänä.
Matkatoimistolle määrättiin 6 500 euron seuraamusmaksu puutteista tietojen turvallisessa käsittelyssä ja rekisteröidyn oikeuksien toteutuksessa. Matkatoimisto oli muun muassa käyttänyt viisuminhakulomakkeessa salaamatonta verkkoyhteyttä ja säilyttänyt henkilötietoja sisältäviä lomakkeita avoimella verkkopalvelimella.
Liikennevakuutuskeskukselle määrättiin 52 000 euron seuraamusmaksu tarpeettoman laajasta potilastietojen keräämisestä. Tietosuojavaltuutetun toimisto selvitti Liikennevakuutuskeskuksen toimintatapaa potilastietojen pyytämisessä terveydenhuollolta korvausasioiden käsittelyä varten. Liikennevakuutuskeskus oli järjestelmällisesti pyytänyt korvauksenhakijoiden potilastietoja rajaamatta tietoja ainoastaan tarvittaviin.
VUOSI 2022 (5 kpl)
Seuraamuskollegio määräsi 750 000 euron seuraamusmaksun Alektum Oy:lle vakavista tietosuojarikkomuksista. Yritys oli säännönmukaisesti jättänyt vastaamatta rekisteröityjen tietosuojaoikeuksia koskeviin pyyntöihin. Yritys ei myöskään noudattanut velvollisuuttaan tehdä yhteistyötä valvontaviranomaisen kanssa.
Telemarkkinointiyritykselle määrättiin 8 300 euron suuruinen seuraamusmaksu, sillä yritys ei ollut noudattanut tietosuojavaltuutetun aikaisempaa määräystä rekisteröidyn tarkastusoikeuden toteuttamisesta Tietosuojavaltuutettu oli määrännyt yrityksen toteuttamaan asiakkaan pyynnön saada pääsy hänelle soitetun myyntipuhelun tallenteeseen. Kyseessä oli ensimmäinen tietosuojavaltuutetun toimiston määräyksen noudattamatta jättämisestä määrätty seuraamusmaksu.
Kustannusyhtiölle määrättiin 85 000 euron seuraamusmaksu puutteista tietosuojaoikeuksien toteutuksessa sähköpostikanavan kautta. Osa rekisteröityjen tarkastus- ja poistopyynnöistä oli jäänyt toteuttamatta sähköpostiohjauksen teknisen ongelman vuoksi. Yhtiön olisi tullut huolehtia sähköpostilaatikon testaamisesta, sillä kyseessä oli pääasiallinen sähköinen yhteydenottokanava tietosuoja-asioissa.
Seuraamuskollegio määräsi Viking Linelle 230 000 euron seuraamusmaksun työntekijöiden terveystietojen lainvastaisesta käsittelystä. Yhtiö muun muassa tallensi työntekijöiden terveystietoja lainvastaisesti henkilöstöhallinnon järjestelmään. Osa tallennetuista diagnoositiedoista oli lisäksi virheellisiä, ja tietoja on säilytetty huomattavan pitkään. Puutteita havaittiin myös tavoissa, joilla yritys informoi työntekijöitään henkilötietojen käsittelystä.
Terveystietoja ilman asianmukaista suostumusta käsitelleelle yritykselle määrättiin 122 000 euron seuraamusmaksu. Yritys ei ollut pyytänyt palvelunsa käyttäjiltä yksilöityä suostumusta terveyteen liittyvien henkilötietotyyppien käsittelyyn. Rikkomuksista määrättiin seuraamusmaksu, sillä terveystietojen käsittely kuuluu yrityksen ydinliiketoimintaan.
VUOSI 2023 (1 kpl)
Seuraamuskollegio määräsi Suomen Asiakastieto Oy:lle 440 000 euron hallinnollisen seuraamusmaksun, sillä yhtiö ei ollut poistanut luottotietorekisteristä puutteellisen menettelytavan vuoksi tallennettuja perusteettomia maksuhäiriömerkintöjä. Seuraamuskollegio korosti, että maksuhäiriötietojen käsittelyllä on merkittäviä vaikutuksia ihmisten oikeuksille ja vapauksille.
***
Suomessa määrätyt reilun 2,6 miljoonan suuruiset sakot jäävät vielä kauas EU-alueen huippusakoista. Toukokuussa 2023 Irlannin tietosuojaviranomainen määräsi Meta Platforms Ireland Limitedille 1,2 miljardin euron hallinnollisen seuraamusmaksun lainvastaisista henkilötietojen siirroista Yhdysvaltoihin Facebook-palvelussa. Seuraamusmaksu määrättiin Euroopan tietosuojaneuvoston ns. sitovan kiistanratkaisupäätöksen perusteella. Meta on valittanut päätöksestä.
***
Tässä kirjoituksessa käsittelin viranomaisten valvontatoimintaa henkilötietojen käsittelyyn liittyvissä teemoissa. Tietosuojaan liittyy runsaasti juridisia näkökohtia, mitkä on huomioitava tarkasti mm. markkinointi- ja myyntitoimenpiteissä sekä asiakassuhteiden hoidossa. Mikäli liiketoiminnassanne arkikielinen ja erittäin kokenut juridiikan tuki on hyödyksi, olen mielelläni apunanne (elina@elinakoivumaki.com / +358 40 555 35 79).
Olethan huomannut 4.10.2023 käynnistyvän kuluttajaliiketoiminnan juridiikan valmennusohjelman, jossa valmennan osallistujia ottamaan haltuun kaikki kuluttajamyynnin ja -markkinoinnin keskeiset juridiikan pelisäännöt neljässä tehokkaassa aamupäivässä? Perjantaihin 8.9.2023 mennessä ilmoittautuneille arvokas lisäetu kaupan päälle!
Lisäksi sinulla on mahdollisuus saada arkikielistä juridiikan apua työpöydällesi tilaamalla täältä 425-sivuisen, viime vuodenvaihteessa julkaistun ja täysin päivitetyn MARKKINOINTIJURIDIIKKA-teokseni.
