Vastaamolle Suomen suurin hallinnollinen seuraamusmaksu

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi nyt joulun alla Psykoterapiakeskus Vastaamolle Suomen tähän asti suurimman hallinnollisen seuraamusmaksun (608.000 euroa) EU:n yleisen tietosuoja-asetuksen (GDPR) säännösten rikkomisesta. Seuraamusmaksun suuruuteen vaikutti mm. se, että Vastaamo on asetettu konkurssiin alkuvuodesta 2021.

Seuraamusmaksua koskevassa päätöksessä korostuivat mm. seuraavat seikat:

  • Tietoturvaloukkauksesta on ilmoitettava viivytyksettä paitsi seuraamuskollegiolle myös rekisteröidyille, mikäli loukkauksesta aiheutuu rekisteröidyille korkea riski.
    • Ilmoitusvelvollisuuden kannalta ratkaisevaa ei ole, missä asemassa työskennelleet henkilöt ovat tienneet tietoturvaloukkauksesta. Rekisterinpitäjä vastaa ilmoitusvelvollisuutta koskevien toimintatapojen olemassaolosta ja noudattamisesta.
  • Rekisterinpitäjän velvollisuutena on huolehtia riittävästä dokumentoinnista kattaen myös riittävien sisäisten toimintaohjeiden laatimisen, jotta tietoturvaloukkauksen jälkeen noudatettava prosessi (mm. ilmoitus seuraamuskollegiolle sekä tietoturvapoikkeaman leviämisen estäminen, hallinta, tietojen palautus, riskien arviointi) on organisaatiossa selvää.
  • Tietosuojaa koskeva vaikutustenarviointi tulee toteuttaa siten, että siinä arvioidaan ja otetaan riittävällä tavalla huomioon suunniteltuja käsittelytoimia koskien henkilötietojen käsittelyyn liittyvät riskit, niistä aiheutuvat vaikutukset rekisteröidyille sekä riskien pienentäminen.
  • Rekisterinpitäjän vastuulla on mitoittaa tietoturvatoimenpiteet ja niiden kustannukset suhteutettuina potentiaaliseen riskiin.
    • Tapauksessa rekisterinpitäjä ei ollut seuraamuskollegiolle mukaan toteuttanut henkilötietojen turvallisen käsittelyn perustoimenpiteitä, vaikka asianmukaisesta turvallisuudesta huolehtiminen ei olisi vaatinut kohtuuttomia toimenpiteitä tietojen käsittelyn luonteen, laajuuden ja asiakkaille aiheutuvat riskit huomioiden.
  • TSVT arvioi seuraamusmaksun määrää perustaen arvion GDPR:n vaatimukseen tehokkuudesta, oikeasuhteisuudesta ja varoittavuudesta. Sakon määrään vaikutti mm. se, että Vastaamo on asetettu konkurssiin eikä harjoita enää taloudellista toimintaa, minkä lisäksi sakon määrän arvioinnissa huomioitiin rikkomisten vakavuus ja kesto sekä se, että rikottujen säännösten tarkoituksena on suojella luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. TSVT mainitsi myös nimenomaisesti varoittavan vaikutuksen varmistamisen GDPR:n säännösten vastaisuudessa tapahtuvan rikkomisen ehkäisemiseksi.
  • Tapauksen seuraamusmaksua koskien on kuitenkin muistettava, että konkurssioikeudellisesti hallinnollinen seuraamusmaksu on viimesijainen saatava, eikä se siten käytännössä pienennä muihin konkurssisaataviin käytettävissä olevia varoja.

Linkki päätökseen (ei vielä lainvoimainen): https://finlex.fi/fi/viranomaiset/tsv/2021/20211183

Teknologia, IT ja tietosuoja

Teknologia- ja IT-oikeuteen perehtyneellä ryhmällämme on laaja kokemus teknologiaan ja IT:hen liittyvien kysymysten laadukkaasta hoitamisesta. Avustamme asiakkaitamme jatkuvasti erilaisissa teknologian hyödyntämiseen ja jakelemiseen liittyvissä sopimusjärjestelyissä, kuten lisenssi- ja jakelusopimuksissa. Niin ikään ryhmämme avustaa asiakkaitamme jatkuvasti ohjelmistojen ja IT-palveluiden kehittämiseen, myyntiin, lisensointiin, jakeluun ja ylläpitoon liittyvissä toimeksiannoissa. Näihin kuuluvat myös avoimeen lähdekoodiin ja tietosuojaan liittyvät kysymykset.

Asiantuntijamme neuvovat yrityksiä erilaisissa tietosuoja-asioissa sekä henkilötietojen hankintaan, käyttöön ja suojelemiseen liittyvissä kysymyksissä.

Lue lisää

Lisätietoa