No, muutama viikko on ollut tapahtumarikas. Kun GDPR:n täytäntöönpanosta tuli kuluneeksi 1 vuosi, näytti siltä, että monet organisaatiot olivat pysyneet suhteellisen koskemattomina uuden asetuksen noudattamatta jättämisestä aiheutuvien taloudellisten seuraamusten uhasta.
Euroopan tietosuojaneuvoston mukaan 11 maan sääntelyviranomaiset antoivat yhteensä 55,96 miljoonan euron sakot tietosuoja-asetuksen rikkomisesta. Suurin osa tästä luvusta liittyi kuitenkin Ranskan tietosuojalautakunnan (CNIL) Googlelle määräämään 50 miljoonan euron sakkoon. Yritys oli joutunut vastuuseen henkilötietojen käsittelystä mainostarkoituksiin ilman GDPR:n edellyttämää lupaa.
Organisaatiot huokaisivat kollektiivisesti helpotuksesta, että sakot eivät olleet niin laajoja kuin alun perin odotettiin, mutta kahden päivän aikana tietosuojavaltuutetun toimisto (ICO ) päästi voimansa valloilleen.
British Airwaysille määrättiin 183 miljoonan punnan sakko tietoturvaloukkauksesta, joka paljasti yli 565 000 asiakkaan henkilötiedot. Vain päivää myöhemmin kansainvälistä hotellikonsernia Marriottia sakotettiin 99,2 miljoonaa puntaa valtavasta tietomurrosta, joka paljasti 339 miljoonan asiakkaan henkilötiedot eri puolilla maailmaa. ICO vahvisti, että noin 30 miljoonaa hakkeroitua tietuetta koski 31 Euroopan talousalueen maan asukkaita.
On syytä huomata, että molemmissa tapauksissa ICO ei määrännyt sakkoa, jonka enimmäismäärä on 4 prosenttia vuotuisesta liikevaihdosta. Sakot riippuvat rikkomuksen vakavuudesta ja yhteistyön tasosta. British Airways teki täyttä yhteistyötä ICO:n kanssa, ja sille määrättiin sakko, joka oli 1,5 prosenttia sen vuotuisesta liikevaihdosta. Jos ICO olisi vaatinut maksimissaan 4 prosenttia yhtiön kokonaisliikevaihdosta, sakko olisi voinut olla huikeat 489 miljoonaa puntaa.
On selvää, että molemmat sakot ovat GDPR:n kannalta käänteentekeviä, ja ne ovat tasoittaneet tietä vielä suuremmille sakoille, joita voidaan määrätä tulevaisuudessa. ICO on osoittanut, miten vakavasti se aikoo suhtautua asetuksen rikkomiseen, ja organisaatiot ovat tulleet hyvin tietoisiksi noudattamatta jättämisen seurauksista.
GDPR vuonna 2019 - mitä viimeiset 12 kuukautta ovat opettaneet meille?
Viimeiset 12 kuukautta ovat olleet jyrkkä oppimiskäyrä monille organisaatioille. GDPR-asetuksen noudattaminen ei koskaan ollut helppo prosessi, mutta joillekin organisaatioille, erityisesti suuremmille monikansallisille yrityksille, se on osoittautunut vaikeaksi tehtäväksi. Valtavat tietomäärät, jotka ovat levinneet monille eri alustoille, loputtomat käyttömahdollisuudet ja tietopyyntöjen lisääntyminen ovat tehneet vaatimusten noudattamisesta vaikeampaa kuin monet olisivat voineet kuvitella.
Yleinen tietosuoja-asetus on varmasti jättänyt jälkensä maailmaan, ja vuoden aikana se on johtanut seuraaviin asioihin:
Lisääntynyt raportointi
Tietosuoja-asetus näyttää rohkaisevan tietoturvaloukkauksia koskevien ilmoitusten tekemiseen, sillä lähes 60 000 ilmoitusta on tehty sen jälkeen, kun tietosuojalaki tuli voimaan 25. toukokuuta 2018. Tietosuojaloukkausten vakavuus vaihteli vähäisistä loukkauksista suuriin verkkohyökkäyksiin, jotka koskivat miljoonia ihmisiä.
Myös kuluttajat ovat tulleet tietoisemmiksi yksityisyydensuojaa koskevista oikeuksistaan. Yleisen tietosuoja-asetuksen voimaantulon jälkeen ICO raportoi valitusten määrän kasvaneen 160 prosenttia, ja Irlannin tietosuojakomissio kirjasi 6 000 valitusta samalla ajanjaksolla.
Tarve turvata toimitusketju
British Airwaysia ja Marriottia vastaan tehdyt hyökkäykset korostavat jälleen kerran yrityksen toimitusketjun turvaamiseen liittyviä jatkuvia vaikeuksia. BA:n tietoturvaloukkauksessa on kaikki Magecart-hyökkäyksen tunnusmerkit. Uhkaryhmä on tunnettu siitä, että se syöttää korttien huijausskriptejä haavoittuviin verkkokaupan verkkotunnuksiin. Päästäkseen käsiksi BA:n arvokkaisiin asiakastietoihin ryhmän uskotaan hyödyntäneen haavoittuvuutta yrityksen käyttämän Magento-verkkokauppa-alustan vanhemmassa versiossa.
Marriottin tapauksessa tietomurron on raportoitu saaneen alkunsa Starwoodin vierasvaraustietokannasta ennen yhtiön sulautumista Marriottin kanssa. Tietoverkkorikolliset näyttävät muuttaneen strategiaansa, ja sen sijaan, että he kohdistaisivat hyökkäyksen suoraan yritykseen, he pyrkivät aiheuttamaan vahinkoa hyödyntämällä sen toimitusketjun verkoston haavoittuvuuksia.
Välttääkseen lainsäädännön rikkomisen organisaatioiden on tehtävä yksityiskohtaisia riskinarviointeja toimittajista ja valvottava, että nämä noudattavat tietosuoja-asetusta.
Henkilöstön koulutustarve
GDPR:n mukaan työntekijöiden on saatava säännöllisesti tietoturvatietoisuutta koskevaa koulutusta. Koulutus on avainasemassa sen varmistamisessa, että henkilöstö on perillä yrityksen toimintatavoista, asetuksista ja oikeudellisista vaatimuksista, joita sovelletaan heidän päivittäiseen tehtäväänsä.
ICO kysyykin nimenomaan henkilötietojen tietoturvaloukkauksia koskevassa ilmoituslomakkeessa, onko tietoturvaloukkaukseen osallistunut henkilöstö saanut tietosuojakoulutusta viimeisten kahden vuoden aikana. Jos organisaatiot eivät pysty osoittamaan tätä, asiasta tehdään lisäselvityksiä.
Organisaatioiden on osoitettava, että henkilöstö on lukenut ja ymmärtänyt GDPR-periaatteet. Kun organisaatiot pystyvät todistamaan tämän, niillä on hyvät mahdollisuudet osoittaa, että tietosuojasta on tullut olennainen osa niiden päivittäistä liiketoimintaa.
Tietosuojavastaavien merkitys (DPO)
IAPP:n mukaan arviolta yli 500 000 organisaatiota on rekisteröinyt tietosuojavastaavat GDPR:n voimaantulon jälkeen. Tietosuojavastaavilla on tärkeä rooli yksityisyyden suojaamisessa, ja ne ovat keskeisessä asemassa tehokkaan vastuuvelvollisuuden kannalta. Tietosuojavastaavan nimeäminen on pakollista organisaatioille, jotka suorittavat tietyntyyppisiä käsittelytoimia.
Tietosuojavaltuutettu on nimitettävä, jos:
- Olet julkinen viranomainen
- ydintoimintanne edellyttää laajamittaista, säännöllistä ja järjestelmällistä yksilöiden seurantaa.
- ydintoimintasi koostuu erityisten tietoryhmien tai rikostuomioihin ja rikoksiin liittyvien tietojen laajamittaisesta käsittelystä.
Tietosuojavastaavan tulisi olla GDPR:n ja tietosuojakäytäntöjen asiantuntija, sillä hän vastaa GDPR:n noudattamisen seurannasta ja raportoinnista. TVH:n odotetaan auttavan rekisterinpitäjiä ja henkilötietojen käsittelijöitä opastamaan tarkastamalla sisäistä vaatimustenmukaisuutta ja ehdottamalla tarvittaessa sopivia korjaavia suosituksia.
Mitä GDPR:n osalta tapahtuu seuraavaksi?
Yleinen tietosuoja-asetus on vuoden sisällä muokannut merkittävästi maailmanlaajuista yksityisyyden suojaa. Asetus on saanut monet muut maat ympäri maailmaa tarkastelemaan tarkemmin omia tietoturva- ja tietosuojalakejaan.
Argentiina ja Japani ovat jo aloittaneet kansallisen tietosuojalainsäädäntönsä yhdenmukaistamisen yleisen tietosuoja-asetuksen kanssa, ja Brasilia on pannut täytäntöön vastaavanlaisen lainsäädännön nimeltä yleinen tietosuojalaki, joka tulee voimaan 15. elokuuta 2020.
Yhdysvalloissa Kalifornian, New Yorkin ja Coloradon osavaltiot ovat hyväksyneet paikallisia tietosuojalakeja, ja Yhdysvaltain kongressi harkitsee liittovaltion tietosuojalakia, kun paine tiukempaan tietosuojaan koko maassa kasvaa.
Yleinen tietosuoja-asetus on epäilemättä vaikuttanut myönteisesti ja saanut organisaatiot suhtautumaan yksityisyyden suojaan vakavammin. Jos GDPR:ää noudatetaan oikein, se antaa organisaatioille mahdollisuuden lisätä tietoturvaa, tehokkuutta ja kilpailukykyä markkinoilla.
Osoittamalla noudattavansa GDPR-asetusta yritykset todennäköisesti hyötyvät pienemmistä organisatorisista riskeistä ja rakentavat suurempaa luottamusta asiakkaisiinsa. Avoimuus puolestaan parantaa brändin mainetta ja johtaa merkityksellisempien suhteiden kehittymiseen.
Tietoverkkorikollisuuden kehittyessä ja rikollisten hyökkäysmenetelmien muuttuessa petollisemmiksi organisaatioiden on kuitenkin jatkuvasti käsiteltävä yksityisyyden suojaan ja turvallisuuteen liittyviä riskejä varmistaakseen, että ne ovat vastuussa hallussaan olevista henkilötiedoista ja noudattavat lainsäädäntöä.
MetaPrivacy on suunniteltu tarjoamaan parhaita käytäntöjä yksityisyydensuojan noudattamiseen. Ota meihin yhteyttä, jos haluat lisätietoja siitä, miten voimme auttaa organisaatiotasi parantamaan vaatimustenmukaisuusrakennettaan.
VASTUUVAPAUTUS: Tämän blogin sisältö ja mielipiteet on tarkoitettu vain tiedoksi. Niitä ei ole tarkoitettu oikeudelliseksi tai muuksi ammatilliseksi neuvonnaksi, eikä niihin pidä luottaa eikä niitä pidä käsitellä yksittäisiin olosuhteisiin, tietosuojalakiin tai muuhun nykyiseen tai tulevaan lainsäädäntöön liittyvien erityisneuvojen korvikkeena. MetaCompliance ei ota vastuuta mistään virheistä, laiminlyönneistä tai harhaanjohtavista lausunnoista eikä mistään tappioista, jotka voivat aiheutua tämän blogin sisältämän aineiston käyttämisestä.