Seuraamukset tiukentuvat

Suuri muutos on tietosuoja-asetuksen säätämät hallinnolliset seuraamukset. Niitä voivat olla hallinnollinen seuraamusmaksu tai toiminnalliset seuraamukset. Hallinnollisen seuraamusmaksun määrä voi olla rekisterinpitäjälle jopa kohtuuton. Sitä määritettäessä on huomioitava tapahtuneen teon luonne ja laajuus. Teon merkittävyydellä on suuri vaikutus hallinnollisten seuraamusten määrittämisessä.

Tietosuoja-asetuksen mukaan jokainen valtio voi säätää itse, voidaanko julkiselle viranomaiselle määrätä seuraamusmaksuja. Suomessa on valittu linja, että

seuraamus-maksuja ei voi kohdentaa julkista valtaa käyttäville tahoille vaan ainoastaan yrityksille ja yhteisöille. Seuraamusmaksut ovat luonteeltaan jälkikäteisiä sanktioita ja saattavat aiheuttaa oikeustapauksia.

Kansallinen tietosuojalaki on tarkentanut seuraamusmaksujen määräaikoja ja seuraamus-maksun vanhentumisaikaa. Tämä tukee tehokasta seuraamuksien toteutumista ja on yhteneväinen Suomessa finanssimarkkinoiden valvonnan sekä rahanpesun ja terrorismin estämistämistä koskevien vanhentumisaikasäännösten kanssa. Vanhentumisajan pituus ja yhteneväisyys muun lainsäädännön kanssa vahvistaa tietosuoja-asetuksen merkittävyyttä ja tehokkuutta. Tällä hetkellä on avoinna, millaiselle tasolle hallinnolliset seuraamusmaksut asettuvat. Hallinnollisten seuraamusmaksujen vaikuttavuus ja merkittävyys niin taloudel-lisesti kuin toiminnaltaloudel-lisesti jää nähtäväksi.

Hallinnollinen seuraamusmaksu on toiminut jonkinlaisena pelotteena yrityksille ja edesauttanut tietosuoja-asetukseen perehtymistä sekä tietosuojan saattamista osaksi yrityksen toimintaa. Suomessa on säädetty, että hallinnollista seuraamusmaksun määrittää tietosuojavaltuutetun toimiston seuraamuskollegio. Tämä on selkeästi luottamusta lisäävä toimintatapa. Yksittäisellä virkamiehellä ei ole liian suurta vastuuta tai valtaa.

Hallinnollisen seuraamusmaksun vaihtoehtona voi olla toiminnallinen seuraamus.

Toiminnallinen seuraamus voi olla rikkomuksen vähäisyyden vuoksi huomautus tai henkilötietojen käsittelyn rajoitus tai jopa niiden käsittelykielto. Epäselväksi jää se, miten toiminnallisia seuraamuksia toteutetaan, koska tietosuoja-asetus ei tarkemmin määrittele henkilötietojen käsittelyn rajoittamista eikä kansallinen tietosuojalaki määrittele toiminnallisten seuraamusten tasoja. Asia jää valvontaviranomaisen tulkittavaksi ja ohjeistettavaksi.

Uhkasakko ennakoivana seuraamuksena toimii ainakin jonkinasteisena pakotteena rekisterinpitäjälle noudattaa tietosuoja-asetusta ja kansallista tietosuojalakia. Uhkasakko tullee olemaan hallinnollista seuraamusmaksua huomattavasti pienempi. Tämä perustunee siihen, että rekisterinpitäjällä on mahdollisuus korjata laiminlyöntinsä. Tulevina vuosina

selviää uhkasakkojen suuruus verrattuna muihin uhkasakkoihin, joita viranomaiset ovat toiminnassaan jo antaneet.

Suomessa on perinteenä, että viranomaisvalvonta tietosuoja-asioissa kohdistuu julkiseen toimintaan kuten terveydenhuolto, sosiaalitoimi, opetus jne. Yritykset ovat tietosuoja-asetuksen mukana tullut uusi kohderyhmä, jolle valvonta saattaa olla vierasta ja vaikeasti ymmärrettävissä.

Tietosuojavaltuutettu valvontaviranomaisena joutunee resurssitehokkuuden vuoksi keskittymään korkean riskin tietoturvaloukkaustapauksiin. Tämä on luontevaa ja ymmärrettävää, mutta toisaalta se saattaa aiheuttaa sen, että useat matalan riskin loukkaukset muuttuvat hyväksytyiksi toimintatavoiksi, kun vakiintuneesta toimintamallista on vaikea luopua. Tämä voi merkitä sitä, että henkilötietojen suoja eli luottamus, käytettävyys ja eheys eivät kuitenkaan ole asetuksen ja lain vaatimalla tasolla. Voiko tämä luoda erilaisia organisaatiokulttuureita, jotka muotoutuessaan tulevat saamaan hiljaisen hyväksynnän?

Tietosuojavaltuutettu valvontaviranomaisena on käyttänyt ohjeissaan esimerkkinä kunta-alaa, sairaaloita ja vartiointia. Yksityissektorilta ei ole ohjeistuksissa esimerkkejä tietoturvaloukkauksista. Olisi ollut eduksi, että fiktiivisiä esimerkkejä yritystoimijoille olisi ollut saatavilla, jotta asia olisi tullut helpommin ymmärrettäväksi. Tämä olisi lisännyt uusien vastuiden ja velvollisuuksien sisäistämistä. Toimijoiden olisi ollut helpompaa omassa toimintaympäristössä ja omalla terminologiallaan saattaa tietosuoja-asetus ja kansallinen tietosuojalaki osaksi organisaatiokulttuuriaan.

Yritysten osalta rekisterinpitäjälle ja henkilötietojen käsittelijälle rikosoikeudellisten seuraamusten toteutuminen jää nähtäväksi, kun tietoturvaloukkausten vakavuudet selviävät ja mahdollisesti menevät syytehankinnassa oikeuskäsittelyyn.

Aiemmat oikeustapaukset koskettavat viranomaistoiminnassa tapahtuneita henkilötieto-rekisterikkomuksia ja -rikoksia sekä virkavelvollisuuden rikkomista. Tapahtuneesta seuraamuksena on ollut pääsääntöisesti sakkotuomio. Keskimääräinen päiväsakkojen

lukumäärä henkilörekisteririkoksissa on ollut varsin alhainen 11,5 päiväsakkoa. Nähtäväksi jää oikeuden päätösten linjaeroavaisuus tekojen arvioinnin ja rangaistusasteikon osalta tietosuojarikoksia (RL 38:9) käsiteltäessä.¹⁷⁹

Kansallinen tietosuojasääntely olisi voitu toteuttaa niin, että hallinnolliset seuraamusmaksut ja rikosoikeudellinen järjestelmä olisivat olleet rinnakkaisia asetuksen mahdollistamissa rajoissa. Kansallisia sääntöjä voidaan asetuksen mukaan vahvistaa tarvittaessa silloin, kun kyseessä on asetuksen mukainen vakava rikkominen (tietosuoja-asetuksen johdanto-osan 152 kohta), mutta se ei kuitenkaan saa johtaa ne bis in idem¹⁸⁰ -periaatteen rikkomiseen (tietosuoja-asetuksen johdanto-osan 14 kohta). Henkilötietojen turvallisuutta loukkaavat teot ovat sekä asetuksen tarkoittamien hallinnollisten sakkojen että rikosoikeudellisten seuraamusten piirissä monimutkaista sääntelyä, mikä vaikeuttaa säännösten soveltamista.

Suomessa hallinnollisia seuraamuksia koskeva sääntely on epäyhtenäistä eikä sitä ole johdonmukaisesti kehitetty sanktioiden sen paremmin kuin niiden määräämismenettelyn osalta.¹⁸¹

Vahingonkorvausvelvollisuus voi kohdistua niin rekisterinpitäjään (työnantaja), rekisterinpitäjän lukuun työskentelevään henkilöön (työntekijä) kuin henkilötietojen käsittelijään (ulkoistettu palveluntuottaja). Nämä eivät välttämättä ole hahmottaneet, että lainvastainen henkilötietojen käsittely saattaa johtaa vahingonkorvausvelvollisuuteen.

Näyttötaakka syntyneestä vahingosta on rekisteröidyllä ja voi olla, että yksittäisen rekisteröidyn on haasteellista viedä asiansa eteenpäin oikeudenkäyntiin asti.

Henkilötietojen käsittelijän ja rekisterinpitäjän lukuun työskentelevän työntekijän velvollisuus on käsitellä tietoja rekisterinpitäjän antamien ohjeiden mukaan. Ei ole selvää, mikä on riittävä ohjeistus molempien toimiessa rekisterinpitäjän lukuun. Millä asiakirjalla (sopimus, tehtävänkuva, perehdytysohjelma) rekisterinpitäjä näyttää toteen sen, että

179 Voutilainen 2016, s. 524–526.

180 Ne bis in idem on oikeusperiaate, joka tarkoittaa ”ei kahdesti samassa (asiassa)”. Prosessioikeudessa tämä tarkoittaa sitä, että samasta asiasta ei voida antaa kahta tuomiota. Tuomioistuin ei voi ottaa käsiteltäväksi seikkaa, joka on jo lainvoimaisella päätöksellä ratkaistu.

181 LaVL 5/2018 vp., s. 6–7; Koillinen 2016, s. 572.

henkilötietojen käsittelijä tai rekisterinpitäjän lukuun työskentelevä työntekijä on riittävästi perehdytetty tietosuoja-asetuksen vastuisiin.

Tietosuoja-asetus lisää siis henkilötietojen käsittelijän ja rekisterinpitäjän lukuun käsittelevän työntekijän vastuuta. Käsittelijän on aiempaa tarkemmin tunnistettava riskit ja reagoitava mahdollisiin virheisiin henkilötietojen käsittelyssä. Heidän on toimittava sovitun asiakirjan tai työsopimuksen velvoittamalla tavalla välttääkseen rikos- tai työsopimuslain mukaiset seuraamukset. Työsopimuslain mukaiset seuraamukset tulevat usein läpinäkyviksi vasta, kun ne riitautetaan ja niistä seuraa oikeudenkäynti.

Yritykset rekisterinpitäjinä eivät välttämättä osallistu ilman lain velvoitetta kyselyihin, joissa pyritään selvittämään työoikeudellisten sanktioiden määriä tai syitä sanktioille.