Ajankohtaista
 / 
Vastaamolle Suomen suurin hallinnollinen seuraamusmaksu

Vastaamolle Suomen suurin hallinnollinen seuraamusmaksu

Tietosuoja
22.12.2021
Henkilö kävelee Keskuskadulla Helsingissä salkku kädessä
No items found.
Liittyvät palvelut

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi nyt joulun alla Psykoterapiakeskus Vastaamolle Suomen tähän asti suurimman hallinnollisen seuraamusmaksun (608.000 euroa) EU:n yleisen tietosuoja-asetuksen (GDPR) säännösten rikkomisesta. Seuraamusmaksun suuruuteen vaikutti mm. se, että Vastaamo on asetettu konkurssiin alkuvuodesta 2021.

Seuraamusmaksua koskevassa päätöksessä korostuivat mm. seuraavat seikat:

  • Tietoturvaloukkauksesta on ilmoitettava viivytyksettä paitsi seuraamuskollegiolle myös rekisteröidyille, mikäli loukkauksesta aiheutuu rekisteröidyille korkea riski.
  • Ilmoitusvelvollisuuden kannalta ratkaisevaa ei ole, missä asemassa työskennelleet henkilöt ovat tienneet tietoturvaloukkauksesta. Rekisterinpitäjä vastaa ilmoitusvelvollisuutta koskevien toimintatapojen olemassaolosta ja noudattamisesta.
  • Rekisterinpitäjän velvollisuutena on huolehtia riittävästä dokumentoinnista kattaen myös riittävien sisäisten toimintaohjeiden laatimisen, jotta tietoturvaloukkauksen jälkeen noudatettava prosessi (mm. ilmoitus seuraamuskollegiolle sekä tietoturvapoikkeaman leviämisen estäminen, hallinta, tietojen palautus, riskien arviointi) on organisaatiossa selvää.
  • Tietosuojaa koskeva vaikutustenarviointi tulee toteuttaa siten, että siinä arvioidaan ja otetaan riittävällä tavalla huomioon suunniteltuja käsittelytoimia koskien henkilötietojen käsittelyyn liittyvät riskit, niistä aiheutuvat vaikutukset rekisteröidyille sekä riskien pienentäminen.
  • Rekisterinpitäjän vastuulla on mitoittaa tietoturvatoimenpiteet ja niiden kustannukset suhteutettuina potentiaaliseen riskiin.
  • Tapauksessa rekisterinpitäjä ei ollut seuraamuskollegiolle mukaan toteuttanut henkilötietojen turvallisen käsittelyn perustoimenpiteitä, vaikka asianmukaisesta turvallisuudesta huolehtiminen ei olisi vaatinut kohtuuttomia toimenpiteitä tietojen käsittelyn luonteen, laajuuden ja asiakkaille aiheutuvat riskit huomioiden.
  • TSVT arvioi seuraamusmaksun määrää perustaen arvion GDPR:n vaatimukseen tehokkuudesta, oikeasuhteisuudesta ja varoittavuudesta. Sakon määrään vaikutti mm. se, että Vastaamo on asetettu konkurssiin eikä harjoita enää taloudellista toimintaa, minkä lisäksi sakon määrän arvioinnissa huomioitiin rikkomisten vakavuus ja kesto sekä se, että rikottujen säännösten tarkoituksena on suojella luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. TSVT mainitsi myös nimenomaisesti varoittavan vaikutuksen varmistamisen GDPR:n säännösten vastaisuudessa tapahtuvan rikkomisen ehkäisemiseksi.
  • Tapauksen seuraamusmaksua koskien on kuitenkin muistettava, että konkurssioikeudellisesti hallinnollinen seuraamusmaksu on viimesijainen saatava, eikä se siten käytännössä pienennä muihin konkurssisaataviin käytettävissä olevia varoja.

Linkki päätökseen (ei vielä lainvoimainen): https://finlex.fi/fi/viranomaiset/tsv/2021/20211183

Lue myös:

Entisen työntekijän sähköpostin seuranta johti tuomioon viestintäsalaisuuden loukkaamisesta

Ensimmäiset tietosuojasakot Suomessa määrätty

EU-tuomioistuin totesi Privacy Shield -järjestelmän riittämättömäksi (Schrems II -asiassa)

Whistleblowing-direktiivin kansallinen voimaanpano myöhästymässä

Kysy lisää

No items found.

Tilaa uutiskirje

Kirjoitamme ja koulutamme säännöllisesti osaamisalueitamme koskevista ajankohtaisista aiheista. Ilmoittamalla sähköpostisi alla olevalla lomakkeella saat jatkossa Merilammen uutiskirjeitä ja tapahtumakutsuja suoraan sähköpostiisi.

Kiitos! Tilauksesi on vastaanotettu.
Jotain meni vikaan. Halutessasi, ota yhteyttä [email protected].