Asianajotoimisto DLA Piperin selvityksen mukaan Euroopan tietosuojaviranomaiset määräsivät 2,92 miljardia euroa sakkoja GDPR-rikkomuksista – 168 % enemmän edellisvuoteen verrattuna
- DLA Piperin tuoreen General Data Protection Regulation (GDPR) fines and data breach survey -selvityksen mukaan 28. tammikuuta 2022 lähtien Euroopan tietosuojaviranomaiset ovat määränneet 2,92 miljardia euroa sakkoja, mikä on 168 % enemmän kuin edellisenä vuonna.
- Irlannin tietosuojaviranomaisen Meta Platforms Ireland Ltd.:tä (Meta) vastaan määräämät merkittävät seuraamukset nostavat valokeilaan kuluttajien ja verkkopalveluntarjoajien välisen "grand bargain" -periaatteen: "ilmaisten" palveluiden vastineeksi kuluttajat maksavat henkilötiedoillaan, joita palveluntarjoajat käyttävät tuottavien mainosprofiilien luomiseen. Metalle asetetut sakot hyökkäävät nimenomaan tätä palveluperiaatetta vastaan.
- Tämän vuoden korkeimman sakon, 405 miljoonaa euroa, määräsi Irlannin tietosuojaviranomainen Meta Platforms Ireland Limitedille liittyen Instagramin useisiin väitettyihin laiminlyönteihin lasten henkilötietojen suojaamisessa.
- Suomessa tämän vuoden korkeimman sakon, 750 000 euroa, määrättiin perintäyhtiö Alektumille vakavista tietosuojarikkomuksista. Alektum muun muassa ei vastannut yksityishenkilöiden pyyntöihin tarkastaa omat tietonsa.
- Ilmoitettujen tietoturvaloukkausten keskimääräinen määrä päivässä laski hieman 328 ilmoituksesta päivässä 300 ilmoitukseen**, mikä viittaa siihen, että organisaatiot saattavat olla varovaisempia ilmoittamaan tietoturvaloukkauksista viranomaistutkintojen, sakkojen ja korvausvaatimusten pelossa.
- Tietoturvaloukkauksia koskevien asukaslukuun suhteutettujen ilmoitusten määrässä taulukon kärjessä on edelleen Alankomaat.
- Korkeimmalla 746 miljoonan euron sakkosummalla 25. toukokuuta 2018 lähtien on edelleen Luxemburg, mutta seuraavana oleva Irlanti sijoittuu 2., 3., 4., 5. ja 6. sijalle maan sakkojen taulukossa Irlannin tietosuojaviranomaisen erittäin kiireisen vuoden jälkeen.
- DLA Piper arvioi Irlannin ja Luxemburgin pysyvän taulukon kärjessä tulevinakin vuosina, sillä useat teknologiayritykset ovat sijoittautuneet näihin maihin. Lisäksi eurooppalaisten tietosuojaviranomaisten resurssit keskittyvät erityisesti teknologiayritysten valvontaan.
Suurimpien sakkojen joukossa olivat Meta Platforms Ireland Ltd.:tä (Meta) koskevat sakot, jotka osoittivat, että sosiaalinen media ja sen riippuvuus laajasta henkilötietojen käsittelystä ovat erityisesti viranomaistoimien kohteena. Pääosa Irlannin tietosuojaviranomaisen Metalle määräämistä sakoista liittyvät Facebookin ja Instagramin käyttäjien käyttäytymiseen perustuvaan profilointiin sekä siihen, voidaanko "sopimuksellista välttämättömyyttä" soveltaa henkilötietojen massakeräyksen laillisena perusteena. Vaikka Irlannin tietosuojaviranomainen oli alun perin todennut tämän olevan mahdollista, Euroopan tietosuojaneuvosto oli asiasta eri mieltä. Seurauksena olevat sakot nostavat esiin merkittäviä kysymyksiä mm. siitä, kuinka ”ilmaiset” verkkopalvelut tullaan rahoittamaan jatkossa. DLA Piper ennakoi, että näistä päätöksistä valitetaan ja että niitä seuraa vuosia jatkuvia oikeudenkäyntejä.
DLA Piperin selvityksen mukaan tietosuojaviranomaisille ilmoitettujen tietoturvaloukkausten määrä väheni hieman edellisvuoteen verrattuna. Keskimääräinen päivittäinen kokonaismäärä putosi 328 ilmoituksesta päivässä 300 ilmoitukseen päivässä. Tämä saattaa olla osittain merkki siitä, että organisaatiot ovat yhä varovaisempia ilmoittamaan tapahtuneista tietoturvaloukkauksista viranomaisille viranomaistutkintojen, sakkojen ja korvausvaatimusten pelossa.
Vaikka mainontaan ja sosiaaliseen mediaan liittyvät tietosuojaongelmat ovat dominoineet otsikoita tänä vuonna, huomio kääntyy jatkossa yhä enemmän tekoälyyn ja erityisesti henkilötietojen rooliin osana tekoälyjärjestelmien koulutusmateriaaleja. Digitaalisten oikeuksien järjestöjen, mukaan lukien Max Schremsin organisaation My Privacy is None of your Business (NOYB), valitusten seurauksena sakkoihin johtaneita tutkintoja tehtiin näkyvimmin kasvojentunnistusyritys Clearview AI:ta kohtaan. Tekoälyn ja koneoppimisalustojen yleistyessä edelleen DLA Piper arvioi, että tulevana vuonna tiedossa on lisää viranomaistutkintoja ja täytäntöönpanotoimia, jotka keskittyvät sekä tekoälyn kehittäjiin ja tarjoajiin että sen käyttäjiin.
DLA Piperin selvitys nostaa esiin myös joitakin merkittäviä tietosuojaviranomaisten tekemiä päätöksiä, jotka koskevat Schrems II -tuomion ja tietosuoja-asetuksen V luvun vaatimusten soveltamista tiettyjä henkilötietojen kansainvälisiä siirtoja koskien. Tietosuojaviranomaiset ovat esittäneet, että riskiperusteisen lähestymistavan soveltaminen henkilötietojen kansainvälisten siirtojen lainmukaisuuden arvioimisessa ei ole mahdollista. Tietosuojaviranomaiset vaikuttavat siis katsovan, että tiedon siirrot olisivat kiellettyjä jo pelkästään silloin, jos on olemassa edes teoreettinen riski kolmannen maan tiedusteluviranomaisten pääsystä henkilötietoihin (huolimatta riskin triviaaliudesta ja todennäköisyydestä).
DLA Piperin Suomen tietosuojatiimin osakas Sami Rintala kommentoi:
"Riskiin perustuva lähestymistapa tulkita GDPR:n rajoituksia henkilötietojen kansainväliselle siirrolle ei ole vain sallittua, vaan näkemyksemme mukaan myös lain edellyttämä. Liian tiukaksi vedetty linja ja "absolutistisen" lähestymistavan omaksuminen siirtorajoitusten suhteen ja henkilötietojen siirron tosiasiallinen kieltäminen riippumatta siitä, kuinka vähäpätöinen vahinkoriski on, uhkaa siirtymää pilvipalveluihin ja aiheuttaa todellista haittaa sekä yrityksille että kuluttajille.”
Yhdistyneen kuningaskunnan tietosuoja- ja kyberturvallisuusryhmän puheenjohtaja Ross McKean lisää:
"Irlannin tietosuojavaltuutetun sakkojen tulvalla, joka kohdistuu sosiaalisen median alustojen käyttäytymismainonnan käytäntöihin tänä vuonna, voi olla yhtä perustavanlaatuisia vaikutuksia ”grand bargainin” tulevaisuuteen "ilmaisen" internetin ytimessä, kuten Schrems II on ollut kansainvälisessä tiedonsiirrossa. Ottaen huomioon, mikä on vaakalaudalla, voimme odottaa vuosien valituksia ja oikeudenkäyntejä. Laki on hyvin kaukana ratkaisusta näissä asioissa."
General Data Protection Regulation (GDPR) fines and data breach survey -raportin voi ladata DLA Piperin verkkosivuilta.
Lisätietoja:
Sami Rintala
Partner
Asianajotoimisto DLA Piper Finland Oy
+358 50 487 2031
sami.rintala@fi.dlapiper.com
Avainsanat
Yhteyshenkilöt
Sami Rintala
Partner
Asianajotoimisto DLA Piper Finland Oy
+358 50 487 2031
sami.rintala@fi.dlapiper.com
Nina Lallukka
Head of Business Development and Marketing
Asianajotoimisto DLA Piper Finland Oy
+358 40 575 8565
nina.lallukka@fi.dlapiper.com
Tietoja julkaisijasta
Asianajotoimisto DLA Piper Finland Oy (Y-tunnus 2425412-8) on osa globaalia DLA Piper -asianajotoimistoa, joka toimii yritysten neuvonantajana kaikkialla maailmassa. DLA Piperilla on toimistot yli 40 maassa Amerikan mantereella, Euroopassa, Lähi-idässä, Afrikassa ja Aasiassa. DLA Piper on myös johtava asianajotoimisto Pohjoismaiden markkinoilla viiden toimiston ja noin 450 lakimiehen voimin. Autamme asiakkaitamme menestymään ja olemme mukana tekemässä liiketoiminnasta parempaa, kannattavampaa ja vastuullisempaa – kaikkialla maailmassa.
Tilaa tiedotteet sähköpostiisi
Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.
Lue lisää julkaisijalta DLA Piper Finland
Eurooppalaisten viranomaisten GDPR-sanktioissa keskeisenä kohteena henkilötietojen siirrot kolmansiin maihin18.1.2024 16:49:15 EET | Tiedote
Globaalin asianajotoimiston DLA Piperin vuotuinen GDPR and Data Breach Survey -tutkimus paljastaa EU:n yleisen tietosuoja-asetuksen (EU General Data Protection Regulation, GDPR) rikkomisesta annettujen sakkojen kokonaismäärän sekä 28. tammikuuta 2023 jälkeen annettujen sakkojen määrät maittain. Sosiaalinen media ja teknologiajätit ovat edelleen ennätyssakkojen ensisijainen kohde kaikissa tutkituissa maissa, ja jokainen kymmenestä suurimmasta GDPR:n toimeenpanon jälkeen annetusta sakosta on määrätty tämän alan yrityksille. Eurooppalaisten viranomaisten GDPR-valvonnassa keskeisenä kohteena ovat henkilötietojen siirrot kolmansiin maihin. Merkittävin esimerkki on Metalle langetettu 1,2 miljardin euron sakko, joka on kaikkien aikojen korkein GDPR-sakko. Tutkimus kattaa kaikki Euroopan unionin 27 jäsenvaltiota sekä Yhdistyneen kuningaskunnan, Norjan, Islannin ja Liechtensteinin.
Raportti: Teknologia-alan näkymät pysyvät yllättävän optimistisina epävakaista ajoista huolimatta8.11.2022 15:31:56 EET | Tiedote
Ennätyksellinen inflaatio, nopea korkojen nousu ja kasvava taantuman uhka eivät ole horjuttaneet eurooppalaisten teknologiayritysten johtajien luottamusta alan kasvumahdollisuuksiin. Globaalin asianajotoimiston DLA Piperin julkaisema teknologiaindeksi (Technology Index 2022) osoittaa teknologia-alan kestäneen hyvin erilaisia taloudellisia, geopoliittisia ja lainsäädännöllisiä paineita. Yhä useampi vastaaja on huomannut kotimaisen ja eurooppalaisen sääntelyn vaikutuksen liiketoimintaansa.
Suomen kiinteistöjuridiikkamarkkina muuttuu – Asianajotoimistot DLA Piper ja Project Law yhdistyvät10.10.2022 10:56:32 EEST | Tiedote
Asianajotoimisto DLA Piper Finland Oy kasvattaa kiinteistöjuridiikan praktiikkaansa yhdeksi Suomen suurimmista, kun Asianajotoimisto Project Law Oy:n tiimi liittyy yhtiöön ensi vuoden alussa.
DLA Piper käynnistää globaalin tutkimuksen yritysten hallitustyöskentelyn tulevaisuudesta yhdessä Cambridgen yliopiston kanssa1.9.2022 13:39:13 EEST | Tiedote
DLA Piper ja Cambridgen yliopiston Institute for Sustainability Leadership (CISL) käynnistävät kaksivuotisen, globaalisti toteutettavan Future of Boards -tutkimusyhteistyön, joka tarkastelee yritysten hallitustyöskentelyn tulevaisuutta. Tutkimusaineistoa kerätään myös Suomesta ja muista Pohjoismaista.
Kansainväliset investoinnit datakeskuksiin kaksinkertaistuivat vuonna 202117.6.2022 13:43:36 EEST | Tiedote
DLA Piperin tekemän tutkimuksen mukaan kansainvälisten investointien arvo datakeskuksiin yli kaksinkertaistui viime vuonna 59,5 miljardiin dollariin. Datakeskuksiin liittyviä investointeja tehtiin 117 kappaletta, jossa on kasvua 64 prosenttia edelliseen vuoteen verrattuna. Poikkeuksellisen kasvun odotetaan jatkuvan edelleen. Kasvun takana on yritysten siirtyminen käyttämään pilvipalveluita, joka on vauhdittanut hyperskaalaavien yritysten kovaa nousua. Kiina, Intia ja Yhdysvallat ovat investoijien suosikkeja seuraavan kahden vuoden aikana.
Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.
Tutustu uutishuoneeseemme