GDPR-sakot 2025: Mitä voimme oppia näistä

Euroopan tietosuojaviranomaiset määräsivät vuonna 2024 yhteensä 1,2 miljardin euron GDPR-sakot. Vaikka summa on pienempi kuin edellisenä vuonna (johtuen Metan ennätyssakosta 2023), valvonta jatkuu vahvana ja kohdistuu yhä laajemmalle. Mitä suomalaisten yritysten tulisi oppia näistä tapauksista?

Vuoden 2024 suurimmat sakot

LinkedIn – 310 miljoonaa euroa (Irlanti)

Irlannin tietosuojaviranomainen langetti LinkedInille sakot käyttäjätietojen käsittelystä mainostarkoituksiin ilman asianmukaista oikeusperustaa.

Uber – 290 miljoonaa euroa (Alankomaat)

Alankomaiden viranomainen sakotti Uberia henkilötietojen siirrosta EU:n ulkopuolelle ilman riittäviä suojatoimia.

Meta – 251 miljoonaa euroa (Irlanti)

Metan tietoturvaloukkaus vuodelta 2018 johti satojen miljoonien sakkoihin. Tapaus osoittaa, että vanhatkin loukkaukset voivat tulla kalliiksi.

Mitä tapauksista voi oppia?

1. Tiedonsiirrot kolmansiin maihin ovat riskialttiita

Uber-tapaus osoittaa, että henkilötietojen siirto EU:n ulkopuolelle vaatii erityistä huolellisuutta. Schrems II -tuomion jälkeen standardisopimuslausekkeet eivät yksin riitä – tarvitaan myös riskiarviointi ja mahdolliset lisäsuojatoimet.

Käytännön vinkit:

  • Kartoita, mihin maihin henkilötietoja siirretään (myös pilvipalveluiden kautta)
  • Tee Transfer Impact Assessment (TIA) jokaiselle siirrolle
  • Harkitse eurooppalaisia palveluntarjoajia

2. Mainonnan oikeusperusta on kriittinen

LinkedIn-tapaus korostaa, että suoramarkkinointiin ja kohdennettuun mainontaan tarvitaan selkeä oikeusperusta – tyypillisesti suostumus. Oikeutetun edun käyttäminen mainostarkoituksiin on yhä riskialttiimpaa.

Käytännön vinkit:

  • Käytä selkeitä suostumusmekanismeja
  • Älä yhdistä suostumusta muihin ehtoihin
  • Dokumentoi suostumukset ja niiden peruuttamiset

3. Tietoturvaloukkaukset voivat tulla kalliiksi

Meta-tapaus muistuttaa, että tietoturvaloukkaus voi johtaa sakkoihin vuosienkin päästä. GDPR:n artikla 32 velvoittaa riittäviin teknisiin ja organisatorisiin suojatoimiin.

Käytännön vinkit:

  • Tee säännöllisiä tietoturvakartoituksia
  • Päivitä järjestelmät ja korjaa haavoittuvuudet viipymättä
  • Kouluta henkilöstö tietoturva-asioissa

Tilanne Suomessa

Suomessa tietoturvaloukkausilmoituksia tehdään aktiivisesti – vuonna 2024 niitä oli 7 719, mikä on viidenneksi eniten Euroopassa. Sakkoja on kuitenkin määrätty maltillisemmin kuin monissa muissa maissa.

Tämä ei kuitenkaan tarkoita, että suomalaiset yritykset olisivat turvassa. Viranomaisvalvonta tiukkenee, ja seuraavat trendit ovat nähtävissä:

  • Valvonta laajenee teknologiajätteistä rahoituspalveluihin ja energia-alalle
  • Johdon henkilökohtainen vastuu korostuu
  • Tekoälyyn liittyvät tietosuojakysymykset nousevat esiin

GDPR-sakkojen laskentaperusteet

EU:n tietosuojaneuvoston ohje sakkojen laskennasta huomioi:

  1. Rikkomuksen luonne, vakavuus ja kesto
  2. Vaikutusten kohteena olevien rekisteröityjen määrä
  3. Tahallisuus vai tuottamus
  4. Toimenpiteet vahingon lieventämiseksi
  5. Aiemmat rikkomukset
  6. Yhteistyö viranomaisten kanssa
  7. Rikkomuksesta saatu taloudellinen hyöty

Sakko voi olla enintään 20 miljoonaa euroa tai 4 % globaalista liikevaihdosta – sen mukaan, kumpi on suurempi.

Miten suojautua GDPR-sakoilta?

1. Tee tietosuojan nykytilan kartoitus

Selvitä, mitä henkilötietoja käsittelet, millä perusteella ja miten ne on suojattu.

2. Päivitä tietosuojaselosteet

Varmista, että selosteet ovat ajantasaiset, ymmärrettävät ja helposti saatavilla.

3. Kouluta henkilöstö

Suurin osa loukkauksista johtuu inhimillisistä virheistä. Säännöllinen koulutus on paras investointi.

4. Rakenna prosessit tietoturvaloukkauksiin

72 tunnin ilmoitusaika tarkoittaa, että prosessien on oltava valmiina ENNEN loukkausta.

5. Dokumentoi kaikki

GDPR:n osoitusvelvollisuus tarkoittaa, että sinun on pystyttävä näyttämään toteen vaatimustenmukaisuutesi.

Yhteenveto

GDPR-sakot eivät ole enää teoreettinen uhka – ne ovat todellisuutta. Vuoden 2024 tapaukset osoittavat, että valvonta kohdistuu yhä laajemmalle ja sanktiot voivat olla merkittäviä.

Hyvä uutinen on, että suurin osa sakoista olisi vältettävissä perusasioiden kuntoon laittamisella: henkilötietojen käsittelyn kartoittamisella, tietoturvan varmistamisella ja prosessien dokumentoinnilla.

Vuonna 2025 viranomaiset keskittyvät erityisesti johdon vastuuseen ja tekoälyyn liittyviin tietosuojakysymyksiin. Nyt on oikea aika tarkistaa, että oman yrityksen perusasiat ovat kunnossa.

Haluatko selvittää yrityksesi GDPR-valmiuden? Tietoturvakartoituksemme sisältää kattavan GDPR-arvioinnin. Lue lisää: tietoturvakartoitus.fi