Taloussanomat

Tulevan tietosuojalain rikkomisesta voi tulla kymmenien miljoonien sakot: "Tarkoitus ei ole kerätä rahaa"

Kuva: © Gleb Garanich / Reuters

15.3.2016 15:08 Loppusuoralla oleva uusi tietosuojalaki voi lisätä kuluttajien turvaa. Yrityksille uusi laki tuo uusia mahdollisuuksia – sekä uhan rajuista sakoista.

Yritystä voi uhata useiden kymmenien miljoonien sakot, jos se rikkoo EU-maissa tänä keväänä voimaan astuvaa uutta tietosuoja-asetusta. Rangaistukset yritykselle voivat olla 10–20 miljoonan euron luokkaa, tai neljä prosenttia kansainvälisen yrityksen liikevaihdosta, riippuen siitä, kumpi summa on suurempi.

– Tällä ei ole tarkoitus kerätä rahaa, sanoo tietosuojavaltuutettu Reijo Aarnio.

Rangaistusten uhan toivotaan vaikuttavan esimerkiksi siten, että käyttäjien tietojen turvallisuuden merkitys nousee yrityksissä it-osastolta yritysjohdon huoleksi.

– Jos jostain joudutaan määräämään rangaistuksia, se on merkki siitä, että valvonta on mennyt poskelleen, Aarnio sanoo.

Verkkokauppojen, yhteisösivustojen ja muiden verkkopalvelujen käyttäjille lakiuudistus tuo uudenlaisia oikeuksia. Verkkopalvelujen pitää entistä selkeämmin kertoa käyttäjille, mitä tietoja heistä kerätään ja miten niitä käytetään.

Jos käyttäjän tiedot jostain syystä vuotavat yrityksen järjestelmistä, on yrityksen ilmoitettava käyttäjälle vuodosta viimeistään 72 tunnin kuluessa.

Uusi mahdollisuus on myös saada ja siirtää omat tietonsa yrityksen järjestelmistä. Jos käyttäjä haluaa esimerkiksi siirtää yrityksen järjestelmistä itseään koskevat tiedot muualle, on yrityksen toimitettava tiedot sähköisesti koneluettavassa muodossa, jotta käyttäjä voi esimerkiksi siirtää tietonsa toisen yrityksen palveluun. Tämän ansiosta käyttäjä voi kilpailuttaa ja vaihtaa sähköisiä palveluita.

Teoriassa Facebook-käyttäjä voisi esimerkiksi pyytää palvelusta kaikki tietonsa ja siirtää kaikki päivityksensä uuteen kilpailevaan palveluun.

Suomalaisten palvelujen turvallisuus heikossa jamassa

Vaikka tietosuoja-asetus tulee voimaan jo tänä keväänä, käytännössä sitä aletaan soveltaa vasta keväällä 2018. Yrityksillä ja palveluilla on siis pari vuotta aikaa muuttaa järjestelmänsä lain mukaisiksi.

Aarnion puheista päätellen suomalaisilla yrityksillä riittää paljon tehtävää.

– Olemme huomanneet, että suomalaisten yritysten tietoturvassa on parantamisen varaa, Aarnio sanoo.

Aarnio kertoo esimerkin tietosuojavaltuutetun toimiston ja Viestintäviraston muutama vuosi sitten tekemästä kyselystä tietomurron kohteeksi joutuneille suomalaisyrityksille.

– Noin kolmasosa oli parantanut tietoturvaansa murron jälkeen. Noin kolmasosa oli ajanut palvelunsa alas, koska pitivät toimintaympäristöä liian vaikeana, Aarnio kertoo.

– Noin kolmasosa taas arveli, ettei salama iske kahta kertaa samaan paikkaan, eli eivät olleet tehneet mitään.

EU:n tietosuoja-asetusta Suomen lainsäädäntöön sovittavaa työryhmää johtava Pekka Nurmi ei silti usko, että parin vuoden kuluttua olisi edessä lakia koskevien oikeusjuttujen suma.

– Rajat sanktioiden määräämiseen ovat aika korkealla, Nurmi arvioi.

– Nytkin jo pärjätään ilman niitä, joten rangaistukset eivät ole ensimmäinen käyttöön otettava keino. Kahden vuoden opetteluajan ansiosta palveluja voidaan tehdä siten, että valvontaviranomaiset ovat monin tavoin suunnitteluvaiheessa mukana.

Aarnion mukaan uuden tietosuojalain tärkeimpiä uudistuksia onkin ennakkosuunnittelun merkityksen kasvaminen. Jatkossa esimerkiksi henkilötietoja keräävien verkkopalveluiden perustajien on jo etukäteen osoitettava viranomaisille, että uusi palvelu säilyttää ja käsittelee käyttäjien tietoja turvallisesti ja muutenkin lain vaatimalla tavalla.

Aarnio arvelee, että alalle kehittyy pian valmiita lakien vaatimukset täyttäviä henkilörekisterituotteita, jotka helpottavat uusien palvelujen perustamista.

Kuluttajille ja yrityksille ovet auki Eurooppaan

Uuden tietosuoja-asetuksen yhtenä tarkoituksena on yhtenäistää Euroopan digitaalisia sisämarkkinoita.

– Arvioiden mukaan digitaaliset sisämarkkinat eivät ole lähteneet Euroopassa kunnolla käyntiin, koska kuluttajat eivät ole uskaltaneet antaa henkilötietojaan ulkomaisiin palveluihin, Aarnio sanoo.

– Mietitään vaikka, että onko turvallista ostaa bulgarialaisesta verkkokaupasta, ja kenen puoleen käännytään, jos tulee ongelma.

Jatkossa kuluttaja voi EU-alueen palveluita koskevissa asioissa pyytää apua oman maansa tietosuojavaltuutetulta, joka hoitaa asian yhdessä yhteistyössä toisen EU-maan viranomaisten kanssa.

Uusi asetus voi helpottaa myös suomalaisten verkkokauppojen ja muiden -palvelujen kansainvälistymistä, sillä niiden ei tarvitse perehtyä EU-maiden erilaisiin tietosuojalakeihin, koska sama asetus on voimassa koko EU-alueella.

Jutun kirjoitti: Perttu Pitkänen

Perttu Pitkänen

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (18)

Sivut: 1 2
EdellinenSeuraava

Anonyymi
10–20 miljoonan euron sakko olisi vielä kohtuuden rajoissa, tai mutta neljä prosenttia liikevaihdosta on jo törkeää rahastusta, nyt kun on muutenkin vaikeaa.
Anonyymi: Micros0ft 15.3.2016 15:32

Anonyymi
10–20 miljoonan euron sakko olisi vielä kohtuuden rajoissa, tai mutta neljä prosenttia liikevaihdosta on jo törkeää rahastusta, nyt kun on muutenkin vaikeaa.


Kymmeniä miljardeja vuodessa henkilötietojen kauppaamisesta tienaaavat amerikkalaiset jättiläiset eivät tästä paljon hätkähdä.
Anonyymi: mpney_talks_and_BS_ 15.3.2016 16:55

Anonyymi
Liikevaihtoon perustuva sakko on loistava ja reilu tapa rangaista yrityksiä.

Se kun satuttaa osakkeenomistajia varmasti ja kun he älähtävät, niin seuraava kalikka osuu yhtiön hallitukseen ja toimitusjohtajaan. Sieltä ruoska heilahtaa eri portaiden kautta taatusti sinne, missä moka on aiheutettu ja tilanne varmasti korjataan.

Tämä pitää ottaa käyttöön kaikessa. Lisäksi sakoista voisi tehdä monivuotisia esimerkiksi 10% liikevaihdosta seuraavan 10 vuoden aikana kuitenkin vähintään se ja se summa.
Anonyymi: SakkojaSakkojaIhanaa 15.3.2016 17:03

Anonyymi
Ai että esimerkiksi Facebookiin tehdyt tilapäivitykset saisi pyydettyä ja siirrettyä kilpailevaan palveluun? Hölynpölyä. Vaikka kaikki tilapäivitykset ja kommentit jne saisikin sellaisessa muodossa, että ne olisi helposti parseroitavissa, niin silti on erittäin epätodennäköstä, että niitä tietoja saisi yhtään mitenkään siirrettyä johonkin toiseen palveluun, ja miksi kukaan edes haluaisi siirtää facebookissa oleville tutuille kirjotettuja juttuja toiseen palveluun? Jotta siirto edes olisi mahdollinen, niin uuden palvelun pitäisi pystyä jotenkin lukemaan toisesta palvelusta pyydettyjä tietoja. Tuo on täysin epärealistinen vaatimus. Lisäksi eiköhän moisesta aiheutuisi itsestään tietosuojaongelmia, kun facebookin tutuille sanottuja asioita työnnettäisiin toisiin palveluihin, joissa kyseiset tutut ei edes ole käyttäjinä.
Anonyymi: PöpönHöpön 15.3.2016 17:22

Anonyymi
"Tarkoitus ei ole kerätä rahaa"
mutta ei panna pahaksi, vaikka sitä jokunen miljuuna tuliskin.
Anonyymi: RahastajaJussi 15.3.2016 17:25

Anonyymi
Ai että esimerkiksi Facebookiin tehdyt tilapäivitykset saisi pyydettyä ja siirrettyä kilpailevaan palveluun? Hölynpölyä. Vaikka kaikki tilapäivitykset ja kommentit jne saisikin sellaisessa muodossa, että ne olisi helposti parseroitavissa, niin silti on erittäin epätodennäköstä, että niitä tietoja saisi yhtään mitenkään siirrettyä johonkin toiseen palveluun, ja miksi kukaan edes haluaisi siirtää facebookissa oleville tutuille kirjotettuja juttuja toiseen palveluun? Jotta siirto edes olisi mahdollinen, niin uuden palvelun pitäisi pystyä jotenkin lukemaan toisesta palvelusta pyydettyjä tietoja. Tuo on täysin epärealistinen vaatimus. Lisäksi eiköhän moisesta aiheutuisi itsestään tietosuojaongelmia, kun facebookin tutuille sanottuja asioita työnnettäisiin toisiin palveluihin, joissa kyseiset tutut ei edes ole käyttäjinä.


Tuskin tämän säännöksen tarkoituksena on ensisijaisesti toimia hömpänsiirtotyökaluna, vaan esim. siten, että luottohistorian pankissa tms. omiiin etuihin vaikuttavan tiedon voi siirtää palvelusta toiseen, vaikka tiedon kerääjä/säilyttäjä onkin yksityinen taho.

Jo nykyisen lain perusteella jokaisella on oikeus pyytää henkilötietojen käsittelijältä, että mitä tietoja se hänestä tallettanut ja kenelle näitä tietoja on luovutettu (tarkastusoikeuden kääyttäminen henkilötietolaissa).
Anonyymi: hömppää_ei_siirretä 15.3.2016 18:15

Anonyymi
Asiakkaat tuon maksaa, ei yritys. Vai mistä raha yritykselle ilmestyisi, tyhjästä vai? Sakon jälkeen ei olekaan sitten rahaa korjata mitään.
Anonyymi: juippo 15.3.2016 18:19

Anonyymi
Kuulostaa siltä, että lainlaatijoina on ollut ihmiset, jotka eivät ymmärrä asioista mitään.

Yritysten järjestelmät eivät ole niin yhteensopivia, että tiedot olisi siirrettävissä heittämällä. Myös asetus on selkeä kuolinisku pienyrittäjille ja pienyrityksille, joilla saattaisi olla jokin tuote, mutta nyt se pelataan pois markkinoilta. Alalle taitaa sitten syntyä rahastusta ja maksullisia sertifiointeja, joihin ei pienyrittäjillä ole varaa. Tämähän saattaa jopa estää kilpailua.

Kammottavaa. Toki tietoturva on tärkeä asia, mutta kun kaikki on noin ympäripyöreää, niin tulevaisuudesta ei tiedä tuleeko tästä esim. pienyrittäjien ja aloittavien yritysten toimintaa haittaava tekijä.
Anonyymi: hmmmn 15.3.2016 19:52

Anonyymi
Byrokratiankarsimistalkoot

- muistaako joku vielä sellaista?
Anonyymi: justjust 15.3.2016 19:53

Anonyymi
Asiakkaat tuon maksaa, ei yritys.
Minä ainakin maksan mielelläni Microsoftin mahdollisesti saamia sakkoja, kunhan raha menee hyvään tarkoitukseen, kuten tekijänoikeuksien valvontaan.
Anonyymi: Win10-Ylivoimainen 15.3.2016 19:56
Sivut: 1 2
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Suomi-peli selvisi läpi homeen ja rahahuolien

28.09.2011 Recoil Games kertoo yllättävän suoraan, millaisen ponnistuksen takana myöhästynyt Rochard-peli oikein oli.


2013

Kolme vuotta sitten

Ei, Martha Stewart: Apple ei hae rikkinäistä iPadiasi

28.09.2013 Kotirouvien maailmankuulu esitaistelija Martha Stewart teki itsestään naurunalaisen Twitterissä ja näyttää lisäksi saaneen Applen vihat niskoihinsa.

.