Suomessa ryhdytään tekemään GDPR-tarkastuksia, kun Ruotsissa annetaan jo ensimmäisiä tuomioita

Ruotsissa tietoturvaan liittyvä kansallinen laki on jo voimassa ja ensimmäisiä GDPR-tuomioita annetaan. Suomessa tietoturvaloukkauksiin liittyviä tarkastuksia ollaan vasta aloittamassa.

Jaana Mattila

Tietosuojavaltuutetun toimisto tutkii jokaisen ilmoituksen, jonka se on saanut EU:n tietosuoja-asetukseen GDPR:ään liittyen.

Asetus tuli voimaan 25. toukokuuta, ja sen jälkeen tietosuojavaltuutetun toimistoon on suorastaan tulvinut yhteydenottoja.

– 1 300 ilmoitusta tietoturvaloukkauksista, 300 ylikansallista tietoturvaloukkausta ja noin 300 kansallista kantelua, laskee tietosuojavaltuutettu Reijo Aarnio Lännen Medialle.

Seuraavana vuorossa ovat tarkastukset.

– Niitäkin ruvetaan tässä pikkuhiljaa tekemään. Tarkastukset tarkoittavat, että menemme esimerkiksi paikan päälle ja teemme 1–2 päivän tutkimuksen. Jonkinlaisen arvioinnin, mitä sinne kuuluu, Aarnio luonnehtii.

Ruotsissa tutkinnat alkoivat heti kesäkuun alussa

Ruotsissa odotetaan jo ensimmäisiä EU:n tietosuoja-asetukseen GDPR:ään liittyviä tuomioita. Viranomaisen on tarkoitus antaa niitä lokakuun alussa, kertoi Kauppalehti.

Ruotsin datavalvontaviranomainen Datainspektionen aloitti useita asetukseen liittyviä tutkintoja heti kesäkuun alussa.

Suomessa datavalvontaviranomaista tulee vastaamaan tietosuojavaltuutettu. Aarnio muistuttaa, että Ruotsissa kansallinen laki on jo voimassa, Suomessa ei.

Ennen kuin kansallinen laki tulee voimaan, suomalaisviranomainen ei voi esimerkiksi antaa hallinnollista sanktiota tietosuoja-asetuksen rikkomisesta.

Ruotsissa tutkittavat yhtiöt ovat tutkinnan kohteina myös Suomessa

Ruotsissa verkkolehti Di Digital sai käsiinsä listan 66 toimijasta Datainspektionenin ensimmäisessä GDPR-tutkinnassa. Listalla on 2 yksityistä terveysyhtiötä, 13 liittojärjestöä, 3 julkisen liikenteen yhtiötä, 5 teleoperaattoria, 5 vakuutusyhtiötä, 3 pankkia ja 35 viranomaista.

Tutkittavien yhtiöiden joukossa ovat muun muassa operaattorit Tele2 ja Telia, valuutanvaihtopankki Forex Bank sekä Suomessakin toimiva kulutusluottoja tarjoava Resurs Bank.

Aarnio arvioi, että mainittuja yhtiöitä on jo syystä tai toisesta tutkinnan kohteena myös Suomessa.

Miljoonasakko on vain yksi keino

Jahka kansallinen laki tulee voimaan, tietosuojavaltuutetun toimivaltuudet paranevat. Tietosuoja-asetuksen sääntörikkomuksesta yhtiöitä voi pahimmillaan uhata sanktio, joka voi nousta kymmeneen miljoonaan euroon tai kahteen prosenttiin maailmanlaajuisesta liikevaihdosta.

Rikkomuksesta voi selvitä myös varoituksella tai ilman seuraamuksia.

Aarnion mukaan jokainen tilanne ja seuraamus arvioidaan tapauskohtaisesti. Hallinnollinen sanktio on vain yksi vaihtoehto.

– Meillä on muitakin keinoja, kuten määrätä muuttamaan asioita. Rahallisen korvauksen käyttö tulee tapahtumaan aikanaan sillä tavalla kuin yhteiset eurooppalaiset säännöt sitä edellyttävät.

Ruotsin Datainspektionenista ei ole kommentoitu, onko jokin tutkinnassa olleista yhtiöistä saamassa miljoonasakot.

Saksassa ensimmäinen langettava päätös

Ensimmäisenä EU-valtiona langettavan päätöksen uuteen tietosuoja-asetukseen liittyen on antanut Saksa.

Rekisteröityjen domain-nimien tietokantaa valvova yhdysvaltalainen ICANN oli vaatinut saksalaista yhteistyökumppaniaan EPAGia hankkimaan domaineja ostavista ihmisistä henkilökohtaista tietoa sekä rekisteröinnin tehneen teknisen ja hallintohenkilön nimet ja yhteystiedot. Yhdysvaltalaisyritys halusi tietoja siltä varalta, jos ongelmia myöhemmin ilmaantuisi.

Saksalaisyritys kieltäytyi. Tiedon kerääminen olisi rikkonut GDPR:n artiklaa viisi: sille ei ollut liiketoiminnan kannalta aitoa tarvetta.

ICANN vaati Bonnin paikallista oikeusistuinta pakottamaan EPAG ruotuun tehdyn sopimuksen perusteella. Bonnin oikeusistuin hylkäsi ICANNin vaateen.

ICANN on valittanut päätöksestä Kölnin korkeampaan oikeuteen.

Fakta

Tietoturvaloukkaus

Rekisterinpitäjillä on lakisääteinen velvollisuus ilmoittaa tietoturvaloukkauksista.

Jos tietoturvaloukkaus asettaa yksilön oikeudet ja vapaudet vaaraan, yrityksellä tai organisaatiolla on 72 tuntia aikaa ilmoittaa asiasta valvontaviranomaiselle. Tyypillisiä tietoturvaloukkauksen muotoja ovat esimerkiksi tietomurto, palvelunestohyökkäys ja haittaohjelmat.

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää tai muuttuu. Tietoturvaloukkaukseksi katsotaan myös tietojen luvaton luovuttaminen sekä luvaton pääsy tietoihin.

Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi hävinnyt tiedonsiirtoväline, kuten USB-tikku, varastettu tietokone, hakkerointi, haittaohjelmatartunta, kyberhyökkäys, tulipalo datakeskuksessa ja tiliotteen postitus väärälle henkilölle.

Tietoturvaloukkauksesta voi seurata esimerkiksi henkilötietojen valvomiskyvyn menettäminen, identiteettivarkaus tai petos, maineen vahingoittuminen, pseudonymisoitujen (henkilötietoja ei voida käsittelyn jälkeen yhdistää enää tiettyyn henkilöön ilman lisätietoja) tai salassapitovelvollisuuden alaisten henkilötietojen paljastuminen.

Kirjoita uusi viesti



Viesti lähetetty!

Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22.
Virhe viestin lähetyksessä.
TS:n verkkokeskustelun säännöt

Turun Sanomien verkkokeskusteluun tulevat viestit tarkastetaan ennakolta. Siksi viestit julkaistaan viiveellä. Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22. Toimitus voi lyhentää ja muokata kirjoituksia.

Kirjoittaja on juridisessa vastuussa viestinsä sisällöstä. Rasistisia, herjaavia tai ihmisten yksityisyyttä loukkaavia viestejä ei julkaista. Muista hyvät tavat, älä huuda!/HUUDA tai kiroile.

Emme julkaise linkkejä tai mainoksia.

Kirjoita napakasti. Emme julkaise yli 1 800 merkin viestejä. Pysy keskusteluketjun aihepiirissä. Älä yritä muuttaa aihetta.

Toimitus voi harkintansa mukaan sulkea keskusteluketjun.

Valvontaa
Kohta on vanhuksien ovilla koputtelemassa viralliset gdpr-tarkastajat.
Kirjoita vastaus viestiin



Viesti lähetetty!

Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22.
Virhe viestin lähetyksessä.
TS:n verkkokeskustelun säännöt

Turun Sanomien verkkokeskusteluun tulevat viestit tarkastetaan ennakolta. Siksi viestit julkaistaan viiveellä. Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22. Toimitus voi lyhentää ja muokata kirjoituksia.

Kirjoittaja on juridisessa vastuussa viestinsä sisällöstä. Rasistisia, herjaavia tai ihmisten yksityisyyttä loukkaavia viestejä ei julkaista. Muista hyvät tavat, älä huuda!/HUUDA tai kiroile.

Emme julkaise linkkejä tai mainoksia.

Kirjoita napakasti. Emme julkaise yli 1 800 merkin viestejä. Pysy keskusteluketjun aihepiirissä. Älä yritä muuttaa aihetta.

Toimitus voi harkintansa mukaan sulkea keskusteluketjun.

Tee ilmoitus sopimattomasta viestistä

Ilmoituksesi on siirtynyt käsittelyyn.
Virhe ilmoituksen lähetyksessä.
Vast: Valvontaa
Vanhusten ? Vanhukset tuskin on noihin syyllistyny, kun osa ei edes ole perillä nykytekniikasta.
Tee ilmoitus sopimattomasta viestistä

Ilmoituksesi on siirtynyt käsittelyyn.
Virhe ilmoituksen lähetyksessä.
Vast: Valvontaa
Nimenomaan vanhukset ei ymmärrä, ovi avautuu näille "tarkastajille" ja lompakot katoavat parempaan talteen.
Tee ilmoitus sopimattomasta viestistä

Ilmoituksesi on siirtynyt käsittelyyn.
Virhe ilmoituksen lähetyksessä.
Miksei Suomessa osata hoitaa asioita?
Itseäni ei niinkään huolestuta firmojen antama yksityisyydensuoja, koska jokainen voi itse vaikuttaa siihen mitä tietoja yrityksille antaa.

Kannattaa varautua siihen, että yrityksissä kaikki on kaupan. Ja erityisesti silloin kun palvelu on ns. ilmainen. Silloin tietää, että palvelun käyttäjä on se tuote jota myydään eteenpäin.

Enemmän huolestuttaa julkisen sektorin tietosuoja, tai siis sen puute. Vähän väliä hakkeroidaan tiedostoja, puhumattakaan uteliaista työntekijöistä, jotka katsovat tietoja jotka eivät heille kuulu. Kuka valvoo terveystietojen yksityisyydensuojaa? Ei kukaan.
Kirjoita vastaus viestiin



Viesti lähetetty!

Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22.
Virhe viestin lähetyksessä.
TS:n verkkokeskustelun säännöt

Turun Sanomien verkkokeskusteluun tulevat viestit tarkastetaan ennakolta. Siksi viestit julkaistaan viiveellä. Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22. Toimitus voi lyhentää ja muokata kirjoituksia.

Kirjoittaja on juridisessa vastuussa viestinsä sisällöstä. Rasistisia, herjaavia tai ihmisten yksityisyyttä loukkaavia viestejä ei julkaista. Muista hyvät tavat, älä huuda!/HUUDA tai kiroile.

Emme julkaise linkkejä tai mainoksia.

Kirjoita napakasti. Emme julkaise yli 1 800 merkin viestejä. Pysy keskusteluketjun aihepiirissä. Älä yritä muuttaa aihetta.

Toimitus voi harkintansa mukaan sulkea keskusteluketjun.

Tee ilmoitus sopimattomasta viestistä

Ilmoituksesi on siirtynyt käsittelyyn.
Virhe ilmoituksen lähetyksessä.
Vast: Miksei Suomessa osata hoitaa asioita?
Suomessa on paljon kaikkea vastustavaa energiaa. Se pelkää ihan tosissaan.
Tee ilmoitus sopimattomasta viestistä

Ilmoituksesi on siirtynyt käsittelyyn.
Virhe ilmoituksen lähetyksessä.
  • «
  • 1
  • /
  • 1
  • »