EU:n tietosuoja-asetukseen liittyvät oikeudenkäynnit ja riidat
7 January 2019
Authors: Antti Järvinen, Erkko Korhonen, Emma Swahne and Jussi Talvitie
Euroopan unionin yleisen tietosuoja-asetuksen (EU) 2016/679 valmistelun ja voimaantulon yhteydessä suurimman mediahuomion ja yleisen mielenkiinnon kohteena ovat olleet hallinnolliset sakot, jotka ovat tuoneet asetukselle laaja-alaista huomiota. Hallinnollisten sakkojen voimakas korostaminen on osin saattanut antaa harhaanjohtavan kuvan ”sanktiokentästä”, sillä sakot ovat vain yksi useista mahdollisista seuraamuksista, joita tietosuojasääntelyn, muun lainsäädännön (kuten rikoslainsäädännön) tai sopimusten vastaisesta toiminnasta voi seurata.
Valtaosa tietosuojasäännösten vastaisen toiminnan seuraamuksista perustuu tietosuoja-asetukseen, joka koskee lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä ja jonka yksi tarkoitus on yhdenmukaistaa sääntelyn rikkomisesta aiheutuvia seuraamuksia EU:n jäsenvaltioiden alueella. Suomen eduskunnan marraskuussa 2018 hyväksymässä, tietosuoja-asetusta täydentävässä tietosuojalaissa (HE 9/2018 vp) puolestaan säännellään muun muassa kansallisesta valvontaviranomaisesta sekä sen toiminnasta ja tehtävistä tietosuoja-asetuksen sallimien toimivaltuuksien puitteissa. Suomessa tietosuoja-asetuksen mukaiset viranomaistehtävät keskitetään tietosuojavaltuutetulle, jonka avuksi tietosuojavaltuutetun toimistoon perustetaan vähintään kaksi apulaistietosuojavaltuutetun virkaa. Tietosuojalaki antaa siis tietosuojavaltuutetulle pääosin tietosuoja-asetuksen mukaiset toimivaltuudet ja tehtävät.
Tietosuojalaki tuli voimaan 1.1.2019, joten nyt on oiva hetki luoda katsaus siihen, millaisia eri seuraamuksia henkilötietojen käsittelyä koskevan sääntelyn rikkomisesta voi seurata ja kuinka niihin voi – lainmukaisen toiminnan lisäksi – varautua.
Olemme tässä kirjoituksessa jakaneet tietosuojarikkomuksiin ja -riitoihin liittyvät seuraamukset viiteen osaan seuraavasti:
- Hallinnolliset sakot
- Muut hallinnolliset seuraamukset
- Vahingonkorvaukset rekisteröidyille ja muille kolmansille osapuolille
- Sopimusriidat
- Rikokset
1. Hallinnolliset sakot
Koko tietosuoja-asetuksen valmisteluajan ja erityisesti sen soveltamisen lähestyessä erityistä huomiota saivat hallinnolliset sakot, joita jokaisella EU:n valvontaviranomaisella on valtuudet määrätä tietosuoja-asetuksen rikkomisesta.
Suomessa hallinnollisen sakon eli hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja kahden apulaistietosuojavaltuutetun yhdessä muodostama kolmijäseninen seuraamuskollegio. Sakon määrä voi olla lievemmissä rikkomuksissa enintään 10 miljoonaa euroa tai 2 % yrityksen maailmanlaajuisesta kokonaisliikevaihdosta ja vakavammissa rikkomuksissa enintään 20 miljoonaa euroa tai 4 % yrityksen maailmanlaajuisesta kokonaisliikevaihdosta. Edellä mainitut määrät ovat kuitenkin enimmäismääriä, joten jää nähtäväksi, mikä tulee olemaan todellinen sakotuskäytäntö.
Rikkomus tai laiminlyönti vanhenee kymmenessä vuodessa sen tapahtumishetkestä, joten hallinnollista sakkoa ei voida enää sen jälkeen määrätä. Hallinnollisen sakon täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Suomessa hallinnollista sakkoa ei kuitenkaan voida määrätä viranomaisille, valtion liikelaitoksille eikä eräille muille tietosuojalaissa määrätyille julkisoikeudellisille yhteisöille ja elimille. Tämä käytännössä rajaakin merkittävän osan lain soveltamisalan piirissä muutoin olevista toimijoista hallinnollisten sakkojen ulkopuolelle. Mielenkiintoisia tilanteita voi syntyä esimerkiksi silloin, kun vain henkilötietojen käsittelijä (mutta ei rekisterinpitäjä) on sakkojen piirissä. Hallinnolliseen sakkopäätökseen voi hakea muutosta hallinto-oikeudelta jäljempänä tarkemmin selostetuin tavoin.
Eräissä Euroopan maissa on jo langetettu ensimmäiset sakot, mutta näiden määrät eivät ole vielä nousseet kovin korkeiksi. Suurin tähän mennessä määrätty ”GDPR-sakko” on ollut 400.000 euroa, jonka määräsi Portugalin viranomainen paikalliselle sairaalalle. On ennakoitu, että vuoden 2019 ensimmäisellä puoliskolla nähtäisiin ensimmäiset taloudellisesti huomattavat sakot, jotka todennäköisimmin tullaan antamaan Keski- ja Etelä-Euroopan suurissa valtioissa. Vaikka Pohjoismaisessa oikeuskulttuurissa niin sanottu sakotuskynnys on perinteisesti ollut eteläisempää Eurooppaa korkeampi, ei Suomessakaan voida jatkossa tuudittautua siihen, että merkittäviä sakkoja ei tulisi määrätyksi; tietosuoja-asetusta on tarkoitus soveltaa kaikkialla EU:ssa yhtäläisesti – myös seuraamusten osalta.
2. Muut hallinnolliset seuraamukset
Hallinnollisten sakkojen lisäksi tietosuoja-asetus tarjoaa tietosuojavaltuutetulle lukuisia muita eri työkaluja rikkomuksiin ja laiminlyönteihin puuttumiseksi. Tällaisia valtuuksia ovat (i) korjaavat toimivaltuudet, (ii) tiedonsaanti- ja tutkintavaltuudet, (iii) hyväksymis- ja neuvontavaltuudet sekä (iv) valtuudet saattaa tietosuoja-asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja panna vireille oikeustoimet.
Erityisesti tietosuojavaltuutetun oikeus asettaa väliaikainen tai pysyvä tietojen käsittelyn rajoitus, kuten käsittelykielto, on syytä huomioida. Henkilötietojen alati kasvava merkitys yritysten liiketoiminnassa merkitsee, että käytännössä valvontaviranomaisen määräämä käsittelyn rajoitus tai kielto seisauttaa yrityksen liiketoiminnan kokonaan tai osittain. Tällainen käsittelyn rajoitus tai kielto voi siten käytännössä olla hallinnollista sakkoakin ankarampi ja yrityksen toiminnalle vahingollisempi seuraamus. Nähtäväksi jää, missä määrin tietosuojavaltuutettu tulee soveltamaan käsittelyn rajoitusta ja kieltoa suhteessa hallinnolliseen sakkoon.
Muina korjaavina toimenpiteinä tietosuojavaltuutettu voi muun muassa antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle (i) huomautuksia ja varoituksia, (ii) määrätä ne noudattamaan rekisteröidyn pyyntöjä, jotka koskevat rekisteröidyn oikeuksien käyttöä, (iii) saattamaan käsittelytoimet lainmukaisiksi tai (iv) ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle. Tietosuojavaltuutettu voi tehostaa määräyksiään uhkasakolla, jonka asettamisesta ja tuomitsemisesta maksettavaksi säädetään uhkasakkolaissa (1113/1990). Tietosuojavaltuutettu voi tuomita uhkasakon maksettavaksi, jos määräystä johon uhkasakko liittyy, ei ole noudatettu eikä noudattamatta jättämiseen ole pätevää syytä. Edellytyksenä uhkasakon tuomitsemiselle maksettavaksi on, että uhkasakon asettamista koskeva päätös on lainvoimainen, jollei päätöstä ole säädetty tai määrätty noudatettavaksi muutoksenhausta huolimatta.
Edellä mainittujen keinojen lisäksi tietosuojavaltuutetulla on lukuisia eri hyväksymis- ja neuvontavaltuuksia, kuten kaikenlaisen ohjeistuksen antaminen tai sertifiointien myöntäminen, sekä tutkintavaltuuksia, jotka muun muassa antavat sille laajat oikeudet saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin henkilötietoihin ja muihin tietoihin (mukaan lukien fyysiset tilat), jotka ovat tarpeen sen tehtävien suorittamista varten.
Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun päätökseen sekä hallinnolliseen sakkopäätökseen saa hakea muutosta valittamalla hallinto-oikeuteen, jonka päätöksestä voi valitusluvan saadessa puolestaan valittaa korkeimpaan hallinto-oikeuteen. Tietosuojavaltuutetun tai apulaistatietosuojavaltuutetun päätöksessä voidaan kuitenkin määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. Esimerkiksi yrityksen suorittamaa henkilötietojen käsittelyä voidaan siis rajoittaa jopa koko muutoksenhakuprosessin ajan, ellei tuomioistuin määrää toisin.
3. Vahingonkorvaukset kolmansille
Hallinnollisten seuraamusten lisäksi rekisterinpitäjä ja käsittelijä ovat velvollisia korvaamaan tietosuoja-asetusta rikkomalla muille henkilöille aiheuttamansa aineelliset ja aineettomat vahingot. Vahingonkorvausvastuu on tuottamuksesta riippumatonta, eli ns. ankaraa vastuuta. Henkilötietojen käsittelyyn osallistunut rekisterinpitäjä on, jäljempänä mainittua poikkeusta lukuun ottamatta, lähtökohtaisesti automaattisesti vastuussa mistä tahansa tietosuoja-asetuksen rikkomisen aiheuttamasta vahingosta. Sen sijaan henkilötietojen käsittelijän vastuu on rajattu tietosuoja-asetuksessa vahinkoihin, jotka ovat aiheutuneet siitä, että (i) käsittelijä ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tietosuoja-asetuksen velvoitteita tai (ii) jos käsittelijä on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti.
Rekisterinpitäjä tai käsittelijä voi vapautua vastuusta vain, jos se voi osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta. Näin ollen yritykselle voi olla merkittävää etua siitä, että se on rekisterinpitäjänä paitsi toiminut, myös kykenee osoittamaan toimineensa lainmukaisesti eli täyttää niin sanotun osoitusvelvollisuutensa. Henkilötietojen käsittelijän tulee puolestaan vastaavalla tavalla pyrkiä dokumentoimaan ja osoittamaan, että se on suorittamassaan käsittelyssä noudattanut omalta osaltaan tietosuoja-asetusta ja toiminut rekisterinpitäjän lainmukaisen ohjeistuksen mukaisesti.
Tietosuoja-asetuksen mukaisen vahingonkorvausvastuun merkittävin erityispiirre ankaran vastuun lisäksi on sen yhteisvastuullisuus. Jos käsittelystä on aiheutunut vahinkoa, kukin käsittelyyn osallistunut ja siitä vastuussa oleva rekisterinpitäjä tai henkilötietojen käsittelijä on suhteessa rekisteröityyn vastuussa koko vahingosta. Tällä varmistetaan rekisteröidyn oikeus saada tosiasiallinen korvaus. Rekisteröity voi siis vaatia aiheutuneen vahingon korvaamista kokonaan keneltä tahansa käsittelyyn osallistuneelta riippumatta näiden tosiasiallisen vastuun laadusta tai määrästä. Jos jokin vahingonkorvausvastuullisista on maksanut täyden korvauksen aiheutuneesta vahingosta, on sillä kuitenkin oikeus periä muilta samaan tietojenkäsittelyyn osallistuneilta rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä se osuus korvauksesta, joka vastaa näiden tietosuoja-asetuksen mukaista vastuuta aiheutuneesta vahingosta.
Vahinkoa kärsinyt voi hakea vahinkoja korvattavaksi vahingonkorvauskanteella tuomioistuimelta kansallisen lainsäädännön mukaisesti.
4. Sopimusriidat
Tietosuoja-asetus velvoittaa rekisterinpitäjän ja henkilötietojen käsittelijän sekä yhteisrekisterinpitäjät sopimaan keskinäisistä suhteistaan ja velvoitteistaan henkilötietojen käsittelyssä tietosuoja-asetuksessa määrätyllä tavalla. Tietosuoja-asetuksessa tai muussa lainsäädännössä ei kuitenkaan millään tapaa rajoiteta näiden osapuolten vapautta sopia haluamallaan tavalla keskinäisestä vastuunjaostaan henkilötietojen käsittelyssä.
Näin ollen käsittelyn osapuolet voivat sopimusvapauden nojalla sopia haluamallaan tavalla myös vahingonkorvausvastuun lopullisesta jakautumisesta keskenään (inter partes) ja periaatteessa myös oikeudesta vaatia toisilta osapuolilta näille yhteisvastuun mukaan kuuluvia osuuksia yhden osapuolen maksamista korvauksista rekisteröidyille. Luonnollisestikaan tällaisella sopimuksella ei voida luoda oikeusvaikutuksia suhteessa sopimuksen ulkopuolisiin tahoihin, eli rekisteröityihin tai viranomaisiin, joiden suhteen ensisijainen vastuu määräytyy aina sääntelyn tai viranomaispäätöksen mukaisesti.
Sopimusriidat ja niihin liittyvät vahingonkorvausvaatimukset syntyvät yleisesti tilanteessa, jossa yhden sopijapuolen sopimuksen- tai lainvastainen toiminta on aiheuttanut vahinkoa toiselle sopijapuolelle. Tällöin huomattava merkitys on sillä, millä tavoin (jos millään) osapuolet ovat sopimuksin rajoittaneet sopimusperusteista vahingonkorvausvastuutaan. Lähtökohtana on ns. täyden korvauksen periaate, ellei korvausvastuuta ole nimenomaisesti rajattu. Tavanomaisesti kaupallisissa sopimuksissa osapuolet kuitenkin pyrkivät rajoittamaan vastuutaan mm. välillisistä vahingoista. Kuitenkin tietosuoja-asetuksen myötä näyttäisi siltä, että tietosuojavelvoitteiden rikkomisen johdosta aiheutuneet vahingot ovat saaneet erityishuomiota sopimuksissa – jopa siten, että tällaiset vahingot on pyritty rajaamaan kaikkien vastuunrajoitusten ulkopuolelle. Tämä voi avata yritykselle hyvinkin merkittävän sopimusriskin, varsinkin jos se on solminut useita tällaisia rajoittamattoman vastuun sisältäviä sopimuksia.
5. Rikokset
Hallinnollisten seuraamusten ja vahingonkorvausvastuun lisäksi henkilötietojen lainvastaisesta käsittelystä ja yksityisyyden loukkaamisesta voi joutua rikosoikeudelliseen vastuuseen.
Suomen rikoslaissa säädetään rangaistavaksi esimerkiksi sellainen menettely, jossa rekisterinpitäjän tai henkilötietojen käsittelijän palveluksessa oleva henkilö ”urkkii” henkilötietoja perusteettomasti tai vastoin niiden käyttötarkoitusta (tämän ei tarvitse olla edes tahallista vaan myös törkeästä huolimattomuudesta tehty luvaton ”urkinta” on rangaistavaa). Tällaisessa tapauksessa on kyse uudesta tietosuojarikoksesta, josta voidaan tuomita sakkoa tai vankeutta enintään yksi vuosi. Tietosuojarikos korvaa rikoslaissa nykyisen henkilörekisteririkosta koskevan hyvin laajan rangaistussäännöksen, jossa valtaosa rangaistaviksi tällä hetkellä säädetyistä teoista tulee tietosuoja-asetuksen myötä rangaistavaksi suoraan asetuksen nojalla.
Nykyistä henkilörekisteririkosta suppeamman uuden tietosuojarikoksen säännöksen osalta on huomioitava myös, että tietosuojarikos tulee kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei ole tietosuoja-asetuksen nojalla hallinnollisten sakkojen piirissä. Hallinnollista sakkoa ja seuraamusta tietosuojarikoksesta ei voida siis määrätä päällekkäin samasta rikoksen tunnusmerkistön täyttävästä toiminnasta. Tietosuojarikos rangaistussäännöksenä on nykyistä henkilörekisteririkosta rajatummasta soveltamisalastaan huolimatta jatkossakin tarpeellinen, sillä esimerkiksi edellä mainituissa urkintatilanteissa tarkoitettuihin henkilöihin ei yleensä voida kohdistaa seuraamuksia suoraan tietosuoja-asetuksen perusteella.
Tietosuojarikosta koskevan uuden säännöksen lisäksi rikoslaissa säädetään jatkossakin rangaistavina tekoina muun muassa viestintäsalaisuuden loukkaus, tietomurto sekä lakisääteisen vaitiolovelvollisuuden ja salassapitovelvollisuuden rikkominen.
Lopuksi
Kuten edellä on kuvattu, voi yritykseen kohdistua moninaisia seuraamuksia, jos henkilötietojen käsittelyssä rikotaan soveltuvaa sääntelyä ja/tai sopimuksia. Vaikka huolellisesti toimimalla näitä riskejä voi merkittävästi pienentää, ei niitä käytännössä voi kokonaan välttää.
Toimistomme riitojenratkaisuryhmällä on vankka kokemus sekä siviiliprosessien että hallinnollisten ja rikosoikeudellisten oikeudenkäyntien hoitamisesta. Vastaavasti teknologiaryhmämme tietosuojajuristeilla on laaja kokemus erityyppisistä tietosuoja-asetusta koskevista toimeksiannoista, muun muassa henkilötietojen käsittelyyn liittyvistä sopimusjärjestelyistä. Voit olla asiantuntijoihimme yhteydessä, jos aiheen tiimoilta heräsi kysymyksiä.