Seuraamusmaksua koskevassa päätöksessä korostuivat mm. seuraavat seikat:

• Tietoturvaloukkauksesta on ilmoitettava viivytyksettä paitsi seuraamuskollegiolle myös rekisteröidyille, mikäli loukkauksesta aiheutuu rekisteröidyille korkea riski.
• Ilmoitusvelvollisuuden kannalta ratkaisevaa ei ole, missä asemassa työskennelleet henkilöt ovat tienneet tietoturvaloukkauksesta. Rekisterinpitäjä vastaa ilmoitusvelvollisuutta koskevien toimintatapojen olemassaolosta ja noudattamisesta.
• Rekisterinpitäjän velvollisuutena on huolehtia riittävästä dokumentoinnista kattaen myös riittävien sisäisten toimintaohjeiden laatimisen, jotta tietoturvaloukkauksen jälkeen noudatettava prosessi (mm. ilmoitus seuraamuskollegiolle sekä tietoturvapoikkeaman leviämisen estäminen, hallinta, tietojen palautus, riskien arviointi) on organisaatiossa selvää.
• Tietosuojaa koskeva vaikutustenarviointi tulee toteuttaa siten, että siinä arvioidaan ja otetaan riittävällä tavalla huomioon suunniteltuja käsittelytoimia koskien henkilötietojen käsittelyyn liittyvät riskit, niistä aiheutuvat vaikutukset rekisteröidyille sekä riskien pienentäminen.
• Rekisterinpitäjän vastuulla on mitoittaa tietoturvatoimenpiteet ja niiden kustannukset suhteutettuina potentiaaliseen riskiin.
• Tapauksessa rekisterinpitäjä ei ollut seuraamuskollegiolle mukaan toteuttanut henkilötietojen turvallisen käsittelyn perustoimenpiteitä, vaikka asianmukaisesta turvallisuudesta huolehtiminen ei olisi vaatinut kohtuuttomia toimenpiteitä tietojen käsittelyn luonteen, laajuuden ja asiakkaille aiheutuvat riskit huomioiden.
• TSVT arvioi seuraamusmaksun määrää perustaen arvion GDPR:n vaatimukseen tehokkuudesta, oikeasuhteisuudesta ja varoittavuudesta. Sakon määrään vaikutti mm. se, että Vastaamo on asetettu konkurssiin eikä harjoita enää taloudellista toimintaa, minkä lisäksi sakon määrän arvioinnissa huomioitiin rikkomisten vakavuus ja kesto sekä se, että rikottujen säännösten tarkoituksena on suojella luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. TSVT mainitsi myös nimenomaisesti varoittavan vaikutuksen varmistamisen GDPR:n säännösten vastaisuudessa tapahtuvan rikkomisen ehkäisemiseksi.
• Tapauksen seuraamusmaksua koskien on kuitenkin muistettava, että konkurssioikeudellisesti hallinnollinen seuraamusmaksu on viimesijainen saatava, eikä se siten käytännössä pienennä muihin konkurssisaataviin käytettävissä olevia varoja.

Linkki päätökseen (ei vielä lainvoimainen): https://finlex.fi/fi/viranomaiset/tsv/2021/20211183

‍

‍

Lue myös:

Entisen työntekijän sähköpostin seuranta johti tuomioon viestintäsalaisuuden loukkaamisesta

Ensimmäiset tietosuojasakot Suomessa määrätty

EU-tuomioistuin totesi Privacy Shield -järjestelmän riittämättömäksi (Schrems II -asiassa)

Whistleblowing-direktiivin kansallinen voimaanpano myöhästymässä