Itävallan, Saksan ja Portugalin tietosuojaviranomaiset ovat jo määränneet ensimmäiset sakot tietosuoja-asetuksen nojalla. Nyt myös Ranskan tietosuojaviranomainen (CNIL) on liittynyt mukaan kerhoon – läimäisemällä Google LLC:lle 50 miljoonan euronsakot (21.1.2019). Vaikka sakkosumma kuulostaa jättimäiseltä, sakot olisivat Googlen miljardeissa mitattava vuotuinen kokonaisliikevaihto ja tietosuoja-asetuksen sallima sakkomaksimi huomioon ottaen voineet olla huomattavasti isommatkin.
Ensimmäiset kotimaiset GDPR-sakot antavat vielä odottaa itseään. Muissa EU-maissa määrättyjä sakkoja ei silti tule sivuuttaa, sillä EU-asetuksena tietosuoja-asetusta sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Sen rikkominen on – tai ainakin sen tulisi paneurooppalaisen tietosuojaihanteen mukaisesti olla – toimivaltaisesta kansallisesta tietosuojaviranomaisesta riippumatta yhtä moitittavaa ja yhtä vakaviin sanktioihin johtavaa. Mikä tärkeintä, määrätyt sakot kielivät viranomaisten vakavasta suhtautumisesta tietosuoja-asioihin. Toivonrippeet siitä, että tietosuoja-asioihin voisi edelleen suhtautua yhtä laiskasti kuin henkilötietodirektiivin aikakaudella, karisivat viimeistään nyt.
CNIL katsoi Googlen syyllistyneen Google-tunnuksiin liittyvän henkilötietojen käsittelyn yhteydessä kahteenbrikkeeseen. Ensimmäinen näistä koski puutteita käsittelyn läpinäkyvyydessä ja rekisteröityjen informoinnissa. Toinen rike oli henkilötietojen käsittelyn perustaminen pätemättömään rekisteröidyn suostumukseen, ja syyllistyminen sitä kautta ilman lainmukaista oikeusperustetta harjoitettuun henkilötietojen käsittelyyn. Hyvän varoittavan esimerkin tapauksesta tekee se, että Google oli tarjonnut rekisteröidyille informaatiota ja myös kerännyt suostumuksia – se vain teki nämä asiat väärin.
Googlen syntilista oli rankasti tiivistettynä seuraavanlainen:
- Koska henkilötietojen käsittelyä koskevien tietojen löytäminen edellytti käyttäjältä useiden linkkien ja painikkeiden klikkailua, tietosuoja-asetuksen vaatimus läpinäkyvyydestä ja rekisteröidyille suunnatun tiedon helposta saatavuudesta ei toteutunut
- Rekisteröidyille suunnatut tiedot eivät myöskään olleet niin selkeässä tai helposti ymmärrettävässä muodossa, että rekisteröity olisi pystynyt niiden avulla hahmottamaan, miten laajaa Googlen harjoittama henkilötietojen käsittely ja yhdistely tosiasiassa oli
- Kieli, jota Google käytti informoidessaan käyttäjiä esimerkiksi käsiteltävistä henkilötiedoista ja niiden käyttötarkoituksista, oli liian ylimalkaista käsittelyn moniulotteisuuteen nähden
- Yllä mainittujen informaation läpinäkyvyyteen, saatavuuteen, selkeyteen ja ymmärrettävyyteen liittyvien puutteiden takia rekisteröityjen suostumukset eivät olleet tietoisesti annettuja
- Mainosten räätälöintiin annetut suostumukset eivät olleet yksiselitteisiä, koska ne perustuivat valmiiksi rastitettuun ruutuun, joka oli kaiken lisäksi kätketty lisäasetusten taakse
- Koska käyttäjän ainoa mahdollisuus Google-tunnusta luodessaan oli antaa kerralla suostumus kaikkia henkilötietojen käsittelyn tarkoituksia (mainosten räätälöinti, puheentunnistus jne.) varten, myös tietosuoja-asetuksen vaatimus suostumuksen yksilöitävyydestä jäi täyttymättä
Googlen virheisiin on helppo sortua erityisesti rekisteröityjen informoinnin osalta. Moni suomalainenkin rekisterinpitäjä astuu harhaan samoissa kohdissa. On melko vaivatonta käydä läpi rekisteröidyille annettavat tiedot ja tarkistaa, että kaikista tietosuoja-asetuksessa listatuista asioista kerrotaan. Sen sijaan sen varmistaminen, että informaatio tarjotaan ”tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä”, vaatii huomattavasti tarkempaa pohdintaa ja rekisteröidyn saappaisiin astumista.
Mitä tapauksesta olisi sitten syytä ottaa opiksi? Tietosuoja-asetuksen näennäinen noudattaminen ei ole sama asia kuin noudattaminen. Nyt kannattaakin käydä omat tietosuojakäytännöt läpi ja varmistaa, että Googlen erheitä ei turhaan toisteta. Pystyisikö yrityksenne ulkopuolinen henkilö löytämään ja ymmärtämään henkilötietojen käsittelyä koskevan informaation? Entä onko käsittelyn tarkoitukset ilmaistu riittävän tarkasti, eli esimerkiksi nimeämällä tarkoitukseksi uutiskirjeen lähettämisen pelkän markkinoinnin sijaista? Jos henkilötietojen käsittelyn oikeusperusteena käytetään suostumusta, pätevän suostumuksen kriteerien (vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen) toteutuminen on myös syytä tarkistaa. Käsittelemme näitä asioita säännöllisesti webinareissamme, joten jos käytännön toteutus askarruttaa, kannattaa tulla linjoille kuuntelemaan!