Tietoturvaloukkauksia koskevia ilmoituksia tehtiin yli 130[nbsp]000 28.1.2021 alkaneella vuoden seurantajaksolla. Tämä on kahdeksan prosenttia enemmän kuin edellisenä vuonna, kertoo kansainvälinen lakiasiaintoimisto DLA Piper.
Suurimmat yksittäiset GDPR-sakot määrättiin Luxemburgissa (746 miljoonaa euroa), Irlannissa (225 MEUR) ja Ranskassa (50 MEUR).
Sakkosummien kertymät olivat suurimmat Luxemburgissa, Irlannissa ja Italiassa. GDPR-sakkojen summa kasvoi lähes seitsenkertaiseksi edelliseen vuoteen verrattuna.
Monille organisaatioille tietosuojasääntelyn noudattamisen suurin haaste ovat kuitenkin yhä Schrems II -tuomiosta seuranneet rajoitteet kansainvälisiin tiedonsiirtoihin.
Pohjoismaissa tietoturvaloukkauksia koskevia ilmoituksia tehtiin eniten Tanskassa (7[nbsp]696) ja Ruotsissa (5[nbsp]627). Suomessa ilmoitusten lukumäärä oli 4[nbsp]782. Suomessa raportoitujen tapausten lukumäärä jatkaa kasvuaan, sillä edellisellä 27.1.2021 päättyneellä seurantajaksolla tietoturvaloukkauksia raportoitiin 4[nbsp]001 kappaletta.
GDPR:n soveltamisen alkamisen jälkeen sakkoja on Pohjoismaissamäärätty eniten Ruotsissa, yhteensä 18 miljoonaa euroa, ja Norjassa, yli 7,8 miljoonaa euroa.
Suomessa on tuoreen raportin mukaan annettu GDPR-sakkoja kaikkiaan yhteensä 824[nbsp]000 euron edestä.
Monille organisaatioille tietosuojasääntelyn noudattamisen suurin haaste ovat kuitenkin yhä EU:n tuomioistuimen Schrems II -tuomion rajoitteet kansainvälisiin tiedonsiirtoihin. Tuomio ja GDPR:n V luku asettavat tiukat rajoitukset Euroopasta ja Britanniasta “kolmansiin” maihin tehtäville tiedonsiirroille.
Tiedonsiirrot “kolmansiin” maihin edellyttävät nyt kattavaa riskiarviointia ja mahdollisia lisätoimia. Tietojen viejiä uhkaavat käsittelykiellot, sakot ja korvausvaatimukset uusien ehtojen täyttämättä jättämisestä. Uhka palvelun keskeytymisestä vaarantaa liiketoiminnan jatkuvuutta.
– Schrems II edellyttää, että organisaatiot arvioivat ja perustelevat tiedonsiirrot. Usein kysymys on, joudutaanko jostain jo laajassa käytössä olevasta esimerkiksi SaaS-ratkaisusta luopumaan tai millä edellytyksin sen käyttöä voidaan jatkaa. Moni suomalainen organisaatio on jo havahtunut siihen, että arvioiden tekeminen edellyttää sellaista juridista ja teknistä osaamista sekä tietoturvaratkaisujen ymmärtämistä, mitä organisaatiossa ei ole. Monissa organisaatioissa ei ole vielä tiedostettu, mistä oikein on kyse, mitä tulisi tehdä tai mistä kannattaa lähteä liikkeelle, DLA Piperin Suomen tietosuojatiimin osakas Sami Rintala sanoo.
