PALVELEMME NYT MYÖS ILMAISEKSI
PALVELEMME NYT MYÖS ILMAISEKSI

Henriikka Hannula

28/1/2019
4
minuuttia luettavaa

Google sai jättisakot – ja sen pitäisi kiinnostaa myös suomalaisia

Itävallan, Saksan ja Portugalin tietosuojaviranomaiset ovat jo määränneet ensimmäiset sakot tietosuoja-asetuksen nojalla. Nyt myös Ranskan tietosuojaviranomainen (CNIL) on liittynyt mukaan kerhoon – läimäisemällä Google LLC:lle 50 miljoonan euronsakot (21.1.2019). Vaikka sakkosumma kuulostaa jättimäiseltä, sakot olisivat Googlen miljardeissa mitattava vuotuinen kokonaisliikevaihto ja tietosuoja-asetuksen sallima sakkomaksimi huomioon ottaen voineet olla huomattavasti isommatkin.

Ensimmäiset kotimaiset GDPR-sakot antavat vielä odottaa itseään. Muissa EU-maissa määrättyjä sakkoja ei silti tule sivuuttaa, sillä EU-asetuksena tietosuoja-asetusta sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Sen rikkominen on – tai ainakin sen tulisi paneurooppalaisen tietosuojaihanteen mukaisesti olla – toimivaltaisesta kansallisesta tietosuojaviranomaisesta riippumatta yhtä moitittavaa ja yhtä vakaviin sanktioihin johtavaa. Mikä tärkeintä, määrätyt sakot kielivät viranomaisten vakavasta suhtautumisesta tietosuoja-asioihin. Toivonrippeet siitä, että tietosuoja-asioihin voisi edelleen suhtautua yhtä laiskasti kuin henkilötietodirektiivin aikakaudella, karisivat viimeistään nyt.

CNIL katsoi Googlen syyllistyneen Google-tunnuksiin liittyvän henkilötietojen käsittelyn yhteydessä kahteenbrikkeeseen. Ensimmäinen näistä koski puutteita käsittelyn läpinäkyvyydessä ja rekisteröityjen informoinnissa. Toinen rike oli henkilötietojen käsittelyn perustaminen pätemättömään rekisteröidyn suostumukseen, ja syyllistyminen sitä kautta ilman lainmukaista oikeusperustetta harjoitettuun henkilötietojen käsittelyyn. Hyvän varoittavan esimerkin tapauksesta tekee se, että Google oli tarjonnut rekisteröidyille informaatiota ja myös kerännyt suostumuksia – se vain teki nämä asiat väärin.

Googlen syntilista oli rankasti tiivistettynä seuraavanlainen:

Googlen virheisiin on helppo sortua erityisesti rekisteröityjen informoinnin osalta. Moni suomalainenkin rekisterinpitäjä astuu harhaan samoissa kohdissa. On melko vaivatonta käydä läpi rekisteröidyille annettavat tiedot ja tarkistaa, että kaikista tietosuoja-asetuksessa listatuista asioista kerrotaan. Sen sijaan sen varmistaminen, että informaatio tarjotaan ”tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä”, vaatii huomattavasti tarkempaa pohdintaa ja rekisteröidyn saappaisiin astumista.

Mitä tapauksesta olisi sitten syytä ottaa opiksi? Tietosuoja-asetuksen näennäinen noudattaminen ei ole sama asia kuin noudattaminen. Nyt kannattaakin käydä omat tietosuojakäytännöt läpi ja varmistaa, että Googlen erheitä ei turhaan toisteta. Pystyisikö yrityksenne ulkopuolinen henkilö löytämään ja ymmärtämään henkilötietojen käsittelyä koskevan informaation? Entä onko käsittelyn tarkoitukset ilmaistu riittävän tarkasti, eli esimerkiksi nimeämällä tarkoitukseksi uutiskirjeen lähettämisen pelkän markkinoinnin sijaista? Jos henkilötietojen käsittelyn oikeusperusteena käytetään suostumusta, pätevän suostumuksen kriteerien (vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen) toteutuminen on myös syytä tarkistaa. Käsittelemme näitä asioita säännöllisesti webinareissamme, joten jos käytännön toteutus askarruttaa, kannattaa tulla linjoille kuuntelemaan!

Voisit olla kiinnostunut myös...

Salasanojen turvallisuus - Vältä yleisimmät virheet

Aleksi Pulkkanen
4
minuuttia luettavaa
Voisit olla kiinnostunut myös...

Tietojärjestelmien fiksu hallinta - lähtökohta digiturvalle

Aleksi Pulkkanen
4
minuuttia luettavaa
Voisit olla kiinnostunut myös...

Microsoft: Älä käytä Internet Exploreria oletusselaimena

Aleksi Pulkkanen
2
minuuttia luettavaa

Keskustelua