Kesän alkua leimasivat ennätykselliset pakotteet ja uudet tukitoimet.

Legal Watch – heinä-elokuu 2019.

Kesän alku tuo mukanaan nousevia lämpötiloja, mutta myös yksityisyyden suojaa koskevien sääntöjen rikkomisesta määrättävien sakkojen määrän kasvua.

Erityisesti Britannian valvontaviranomainen ICO ilmoitti aikomuksestaan määrätä kaksi seuraamusta (”ilmoitus aikomuksesta määrätä sakko”), joiden yhteissumma on yli 280 miljoonaa puntaa, Marriot International -hotelliryhmälle 111 miljoonaa euroa vastaavalla summalla ja British Airwaysille yli 200 miljoonaa euroa.

Molemmissa tapauksissa GDPR-rikkomukset liittyivät tietoturvaongelmien mahdollisiin hakkerointiin, jotka paljastivat satojen tuhansien asiakkaiden tiedot.

ICO sakotti myös lontoolaista kiinteistönvälittäjää 80 miljoonalla punnalla 19. heinäkuuta, koska se ei ollut varmistanut yli 18 000 asiakastietueen turvallisuutta kahden vuoden aikana.

On huomattava, että useimmat viimeaikaiset pakotteet keskittyvät tietoturvaloukkauksiin ja laittomaan pääsyyn yritysten sisä- ja ulkopuolelle.

Atlantin toisella puolella Yhdysvaltain liittovaltion kauppakomissio on neuvotellut Facebookin kanssa viiden miljardin dollarin korvauksen internetin käyttäjien yksityisyyden loukkaamisesta.

Tämä sakko on ennennäkemätön FTC:n historiassa ja on edelleen yksi Yhdysvaltojen osavaltion koskaan määräämistä korkeimmista.

Se on kuitenkin edelleen suhteellista verrattuna Facebookin 55,8 miljardin dollarin vuotuiseen liikevaihtoon. Liittovaltion kauppakomissio (FTC) tarkentaa 24. heinäkuuta antamassaan lehdistötiedotteessa toimiensa syitä, jotka liittyvät vuoden 2012 tietosuojamääräysten noudattamatta jättämiseen.

Tämän sakon lisäksi yhtiö joutuu uudistamaan tietosuojamalliaan, mukaan lukien toimitusjohtajasta riippumattomamman valvontakomitean ja tiukemmat säännöt kolmansien osapuolten sovellusten ja käyttäjätietojen hallintaan, erityisesti kasvojentunnistuksen, salasanan hallinnan ja tietojen salauksen osalta.

Samalla kun valvontaviranomaiset käyttävät yhä enemmän valvontavaltuuksiaan, ne varmistavat myös, että yritysten käytäntöjä ohjaa lainsäädäntökehys.

CNIL tiedotti 18. heinäkuuta evästeisiin sovellettavista säännöistä. Evästeet ovat käyttäjien päätelaitteille asennettuja jäljittimiä, jotka mahdollistavat erityisesti mainonnan kohdentamisen.

CNIL päivittää internetin käyttäjien suostumuksen saamiseksi tarvittavia vaatimuksia: tämä suostumus ei voi enää olla implisiittinen, vaan sen on johdettava yksilön selkeästä toiminnasta.

Evästeseinät, jotka estävät pääsyn sivustolle, jos et hyväksy evästeitä, ovat kiellettyjä.

Euroopan tietosuojakomitea oli jo selventänyt tätä suostumuksen pätevyyden tulkintaa toukokuussa 2018 julkaistussa lehdistötiedotteessa.

Tämä vahvistetaan yleisen tietosuoja-asetuksen sanamuodossa, ja sitä olisi selitettävä tarkemmin tulevassa sähköisen viestinnän tietosuoja-asetuksessa, joka korvaa sähköisen viestinnän tietosuojadirektiivin 2002/58/EY.

CNIL:n uusi suositus selventää suostumuksen hankkimisen käytännön järjestelyjä, ja yrityksille annetaan kuuden kuukauden sopeutumisaika lain noudattamiseen.

Ja myös:

Euroopassa:

Euroopan komissio julkaisi 24. heinäkuuta raportin, jossa tarkasteltiin GDPR:n täytäntöönpanoa vuotta myöhemmin.

Siinä yksilöidään valvontaviranomaisten toteuttamat toimet, niiden yhteistyön vahvistaminen sekä yksityisen sektorin pyrkimykset säännösten noudattamiseen.

Komissio ilmoittaa aikomuksestaan tukea näitä toimia erilaisilla välineillä, kuten vakiosopimuslausekkeilla, käytännesäännöillä ja sertifiointimekanismeilla, kiinnittäen erityistä huomiota pk-yrityksiin.

Kansainvälisestä näkökulmasta Etelä-Korea voisi olla seuraava maa, joka hyötyisi riittävästä tietosuojan tasosta, joka helpottaa tiedonsiirtoja. Komissio harkitsee muunlaisia monenvälisiä sopimuksia kansainvälisen tiedonvaihdon helpottamiseksi.

Maailmassa:

• YHDYSVALLAT:

Yhdysvaltain senaatissa on vaadittu liittovaltion tietosuojalain säätämistä.

Senaattori Ron Wyden esitteli tätä koskevaa lainsäädäntöä marraskuussa 2018.

Osavaltiotasolla Kalifornia on edelläkävijä: CCPA eli Kalifornian kuluttajien yksityisyyden suojaa koskeva laki (California Consumer Privacy Act) tulee voimaan 1. tammikuuta 2020, mutta Yhdysvaltain senaatti on parhaillaan muuttamassa sitä. Usein verrattuna GDPR:ään, erityisesti rekisteröityjen tiedonsaanti- ja vastustusoikeuksien osalta, se eroaa erityisesti soveltamisalaltaan, joka keskittyy kuluttajansuojaan.

Aasia:

Singaporessa järjestettiin heinäkuun alkupuoliskolla useita henkilötietojen suojaan liittyviä tapahtumia, jotka kokosivat yhteen alan ammattilaisia eri paikoissa.

 IAPP tiivisti Aasian ja Tyynenmeren foorumin keskustelut.

Ne korostavat yritysten vastuullisuutta ja sääntelyviranomaisten valvontaa.