Vastaus
Yleinen tietosuoja-asetus sisältää tietosuojaviranomaisille erilaisia mahdollisuuksia, jos tietosuojasääntöjä ei noudateta:
- todennäköinen rikkomus: se voi antaa varoituksen
- rikkomus: mahdollisuuksia ovat muun muassa huomautus, väliaikainen tai pysyvä käsittelykielto ja sakko, joka on enintään 20 miljoonaa euroa tai neljä prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta.
On syytä huomata, että rikkomustapauksessa tietosuojaviranomainen voi määrätä sakon huomautuksen tai käsittelykiellon sijaan tai lisäksi.
Viranomaisen on varmistettava, että määrätty sakko on aina tehokas, oikeasuhteinen ja varoittava. Se ottaa seuraamusta määrätessään huomioon eri tekijöitä, kuten muun muassa rikkomuksen luonteen, vakavuuden ja keston, sen tahallisuuden tai tuottamuksellisuuden, toteutetut toimet yksilöille aiheutuneen vahingon lieventämiseksi ja organisaation yhteistyöhalukkuuden.
Esimerkki
Yritys myy verkossa kotitaloustarvikkeita. Kuluttajat voivat ostaa sen verkkosivuston kautta keittiölaitteita, pöytiä, tuoleja sekä muita kodintuotteita antamalla pankkitietonsa. Verkkosivusto joutuu kyberhyökkäyksen kohteeksi, ja henkilötietoja joutuu hakkerin käsiin. Tässä tapauksessa tietovuoto näyttää johtuvan yrityksen asianmukaisten teknisten toimenpiteiden puutteesta.
Valvontaviranomainen ottaa tässä tapauksessa huomioon eri tekijöitä, ennen kuin se päättää seuraamuksesta: Kuinka vakava IT-järjestelmän puutteellisuus on? Kuinka pitkään IT-infrastruktuuri on altistunut kyseiselle riskille? Mitä testejä on aikaisemmin tehty tällaisen hyökkäyksen ehkäisemiseksi? Kuinka monen asiakkaan tiedot on varastettu / ovat vuotaneet? Millaisista henkilötiedoista on kyse – oliko mukana arkaluonteista tietoa? Valvontaviranomainen ottaa päätöksessään huomioon muun muassa nämä seikat.
Viitteet
Example
A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.
In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.