Yleisen tietosuoja-asetuksen mukaisten sakkojen määrä kasvaa edelleen, kun eurooppalaiset sääntelyviranomaiset tiukennetaan toimiaan tietoturvaloukkausten varalta. GDPR:n täytäntöönpanon seurantatyökalun mukaan yrityksille määrättiin yli 330 sakkoa vuonna 2025. Lakitoimisto DLA Piperin mukaan sakkojen määrä oli yhteensä 1.2 miljardia euroa.
Sosiaalisen median yritys TikTok sai vuoden 2025 suurimman GDPR-sakon. Irlannissa määrätty 530 miljoonan euron sakko koski sen eurooppalaisten käyttäjien tietojen jakamista Kiinassa työskentelevälle henkilöstölle. Viime vuonna Luxemburgin tietosuojaviranomainen vahvisti myös Amazonille vuonna 2021 määrätyn 746 miljoonan euron GDPR-sakon, koska se oli kerännyt käyttäjätietoja mainostarkoituksiin ilman käyttäjän suostumusta. Amazonin valitus hylättiin, mikä viittaa siihen, että eurooppalaiset tietosuojavalvojat suhtautuvat GDPR:n täytäntöönpanoon vakavasti.
GDPR-sakkojen jatkuva yleisyys voidaan selittää tietomurtoilmoitusten ennätyksellisellä kasvulla. Yritysten on tehtävä ilmoituksia 72 tunnin kuluessa tietomurrosta. DLA Piper havaitsi, että vuonna 2025 näiden ilmoitusten määrä nousi 400:aan päivässä ensimmäistä kertaa GDPR:n vuoden 2018 voimaantulon jälkeen. Tammikuun 2024 ja tammikuun 2026 välisenä aikana määrä nousi 443:een – 22 % enemmän kuin aiemmin, kun vuonna 2024 määrä oli 363. DLA Piper selittää tämän globaalin geopoliittisen epävakauden aiheuttamalla hakkeroinnilla, kyberrikollisuuden lisääntyneellä mediahuomiolla sekä tietomurtolakien ja -sääntöjen syntymisellä, jotka edellyttävät tietomurtoilmoituksia.
Tietosuojaviranomaiset eivät selvästikään ole valmiita jättämään huomiotta GDPR-rikkomuksia nyt, kun laki on ollut voimassa kahdeksan vuotta. Mutta kun data on nykyaikaisten organisaatioiden elinehto ja GDPR-sakot eivät aiheuta vain taloudellista riskiä, vaan laajempaa haittaa yrityksille, mitä ne voivat tehdä noudattaakseen lakia?
Sääntelyviranomaiset kiristävät toimenpiteitä
Yksi tärkeimmistä syistä viimeaikaisten GDPR-sakkojen taustalla on se, että sääntelyviranomaiset uskovat yrityksillä olleen enemmän kuin tarpeeksi aikaa ymmärtää laki ja soveltaa sitä käytäntöön, sanoo Lucas von Stockhausen, sovellustietoturvayritys Black Duckin tietoturvatekniikan johtaja.
Hän kertoo IO:lle, että tietosuojaviranomaiset ovat kyllästyneet sääntöjä rikkovien yritysten käyttämiin tekosyihin ja keskittyvät nyt pitämään heidät vastuullisina. Tämän huomiotta jättäminen voi johtaa "merkittäviin seuraamuksiin" yrityksille, ja sääntelyviranomaiset voivat määrätä jopa 20 miljoonan euron tai 4 prosentin sakot maailmanlaajuisista vuosittaisista tuloista pahimmista rikkomuksista.
Vaikka sääntelyviranomaiset jatkavat GDPR-rikkomusten tiukentamista määräämällä sakkoja, monet yritykset ovat edelleen tietämättömiä tästä. Jake Moore, virustorjuntaohjelmistoja valmistavan ESETin globaali kyberturvallisuusneuvoja, sanoo, että tietosuoja on monille organisaatioille pelkkä "rasti ruutuun" -harjoitus – vaikka se itse asiassa pitäisi olla integroitu nykyaikaisen liiketoiminnan jokaiseen osa-alueeseen.
Hän sanoo tämän johtavan "heikkoihin käyttöoikeuksien hallintaan" ja arkaluonteisten tietojen sijainnin muistamatta jättämiseen. Tämän seurauksena tiedot voivat helposti joutua luvattomien tahojen käsiin, ja jos yritykset eivät ole varmoja siitä, mihin ne ovat tallentaneet tietyn tiedon, niillä on vaikeuksia täyttää tietojen poistopyyntöjä. Nämä ongelmat asettavat yritykset alttiiksi GDPR-sakoille.
Mutta GDPR-vaatimusten noudattamatta jättäminen ei ainoastaan altista yrityksiä kalliille sakoille – se voi vahingoittaa kaikkia yrityksen toiminnan osa-alueita. Tietosuoja-asiantuntija Jo Brianti sanoo, että puhdistustoimet voivat johtaa "toiminnallisiin häiriöihin", kun johtajien on käytettävä jo ennestään tiukkoja aikatauluja puhdistustoimiin. Hän lisää, että johtajat voivat jopa itse joutua maksamaan sakkoja, jos he tiesivät GDPR-puutteista eivätkä puuttuneet asiaan.
Hän sanoo, että GDPR:n laiminlyönti voi myös vahingoittaa yritysten mainetta, altistaa ne kalliille oikeusjutuille asiakkaiden nostamien asioiden vuoksi, vaikeuttaa yritysten toimintaa eri markkinoilla häiritsemällä "alustojen velvoitteita ja rajat ylittäviä tiedonkulkuja" ja näkyä due diligence -raporteissa, mikä johtaa myynnin ja muiden liiketoimintamahdollisuuksien menetykseen.
Tekoäly muuttaa pelikenttää
Myös tekoälyteknologian kasvava käyttöönotto yrityksissä myötävaikuttaa GDPR-sakkojen nousuun. Koska tekoälyä koulutetaan toimimaan ja kehittymään ajan myötä suurilla tietojoukoilla, tietovuotojen ja niitä seuraavien sääntelytoimien riski on merkittävä.
Ja koska monet yritykset käyttävät kolmannen osapuolen teknologiatoimittajien kehittämiä tekoälyjärjestelmiä, niillä ei aina ole määräysvaltaa siihen, miten heidän näihin sovelluksiin syöttämänsä tiedot tallennetaan ja suojataan. Black Duckin von Stockhausenin mukaan tämä tarkoittaa, että tahattomaan datan paljastumiseen ja sitä seuraavaan GDPR-valvonnan valvontaan on olemassa todellinen riski.
Hän kertoo IO:lle: ”Tehokkuusedut voivat olla valtavia, mutta GDPR:n näkökulmasta keskeinen riski on selvä: organisaatioiden on kyettävä takaamaan, että tekoälyn tuotokset eivät paljasta henkilötietoja.”
Tekoälyjärjestelmien ja niiden käyttämien tietojen suojaamisen suhteen yritysten ei odoteta noudattavan pelkästään GDPR-ohjeita. Myös tekoälyyn keskittyvä lainsäädäntö kasvaa. Yritysten on helppo käsitellä GDPR:ää ja tekoälyn noudattamista erillisinä kokonaisuuksina, mutta tämä voi olla epäloogista.
ESETin Moore selittää, että koska tietosuoja ja tekoälyn hallinta käyttävät identtisiä tietojoukkoja, yritysten on parempi "käsitellä niitä yhtenäisenä asiana, jolla on selkeät omistajuusperiaatteet". Tämä voi yksinkertaistaa työkuormia ja estää päällekkäisen työn, mikä vähentää työntekijöiden todennäköisyyttä laiminlyödä tietojen käsittelyä. Mooren mukaan se voi johtaa yritysten sakkojen vähenemiseen.
Brianti uskoo myös vahvasti data- ja IT-hallinnan yhtenäiseen lähestymistapaan ja selittää, että sääntelyviranomaiset ovat nyt "yhdentämään GDPR:n laajempaan digitaaliseen pakettiin". Hän käyttää esimerkkeinä EU:n digitaalisten palvelujen ja digitaalisten markkinoiden säädöstä sekä olemassa olevien data- ja tekoälylakien päivityksiä.
Briantin mukaan jonkin näistä laeista noudattamatta jättäminen voi aiheuttaa "kerroinvaikutuksia useisiin sääntelykehyksiin". Hän kertoo IO:lle: "Tämä muuttaa GDPR:n oikeudellisesta siilosta strategiseksi riskiksi, joka vaikuttaa yritysjohtamiseen, sijoittajien riskiprofiileihin, yritysostojen due diligence -tarkastuksiin ja maineenhallintaan."
Vaatimustenmukaisuuden varmistaminen
Sääntelyviranomaisten jatkaessa GDPR:n täytäntöönpanoa Black Duckin von Stockhausen sanoo, että heidän ensisijainen odotuksensa on, että yritykset ovat ottaneet käyttöön "selkeän" tietosuojastrategian, joka selittää henkilötietojen keräämisen syyt, onko tietoja todella tarpeen, sekä heidän tietojen tallennus- ja suojausmenetelmänsä.
”Sääntelyviranomaiset etsivät yrityksiä, jotka käsittelevät henkilötietoja harkitusti, vastuullisesti ja ymmärtävät riskit selkeästi”, hän sanoo. ”Ne, jotka eivät tee niin, joutuvat yhä useammin tarkastelun kohteeksi.”
Mutta hän sanoo, että tärkein tapa pysyä GDPR:n vaatimusten mukaisena on olla jatkuvasti valppaana tietosuoja- ja tietoturvariskien suhteen. Tätä varten yritysten on hänen mukaansa pantava täytäntöön "osoitettavat suojatoimet", seurattava jatkuvasti uusien teknologioiden aiheuttamia uhkia ja mukautettava olemassa olevia tietosuojastrategioita vastaavasti.
Yrityksille, jotka eivät ole varmoja mistä aloittaa, Brianti suosittelee ammatillisissa standardeissa ja viitekehyksissä esitettyjen parhaiden käytäntöjen integrointia jokapäiväisiin prosesseihin, jotta voidaan täyttää sääntelyvaatimukset, kuten GDPR. Hän sanoo, että ISO 27001 sopii erinomaisesti tietoturvaan liittyvien ongelmien käsittelyyn ja ISO 27701 yksityisyyden suojaan. Cyber Essentials ja NIST 800-53 ovat kaksi muuta hänen suosikkiaan.
Muita Briantin suosituksia GDPR-vaatimustenmukaisuuden varmistamiseksi ovat: henkilötietojen sijainnin ja käsittelytapojen kirjaaminen inventaarioon; sisäänrakennetun yksityisyyden suojan periaatteiden käyttöönotto, jotta tuotteet ovat aina tietoturvallisia; tietosuojaan liittyvien roolien ja vastuiden määrittely; henkilöstön kouluttaminen tietosuojan tärkeydestä; kaikkien tietosuojaa koskevien päätösten dokumentointi; tietoihin liittyvien riskien määrittäminen vaikutustenarviointien avulla; näiden arviointien ja kaiken dataan liittyvän pitäminen yhdessä ympäristössä; ja kaikkien tietoturvaloukkauksiin reagointitoimien yhdenmukaisuuden varmistaminen.
On helppo ajatella GDPR-vaatimusten noudattamatta jättämistä vain sakon maksamisena ja eteenpäin siirtymisenä. Mutta se on vain toiveajattelua. GDPR:n täytäntöönpano voi olla valtava isku liiketoiminnan ja kasvun kannalta. Siksi sitä tulisi pitää strategisena prioriteettina eikä vain byrokraattien miellyttämiseen tarkoitettuna rasti-ruudun täyttämisenä. Ja kun GDPR:n noudattaminen on linjassa muiden IT-alan hallintotoimien kanssa, yritykset voivat olla varmoja siitä, että ne pitävät sääntelyviranomaiset tyytyväisinä ja suojaavat itseään nopeasti muuttuvalta kyberuhkamaisemalta.
