update on privacy, cyber risks and director's liability
DESCRIPTION
Slides (in Finnish) from ICT Expo 2014 event by our lawyer Kiira Lehtonen specializing in employment and competition law matters and privacy. Check out also points on cyber risks, Fujitsu - decision and directors' liability in general.TRANSCRIPT
18.10.2011 1
TRUST.
Mitä jokaisen tulisi tietää tietosuojasta ja tietoturvasta juuri nyt?
Ajankohtaiskatsaus
ICT-EXPO 8.5.2014
Kiira Lehtonen, associate
TRUST Asianajotoimisto Oy
18.10.2011 218.10.2011 2 2
TRUST.
Attorneys-at-Law Trust
TAUSTA
18.10.2011 318.10.2011 3 3
TRUST.
Attorneys-at-Law Trust
• Digitaalisten palveluiden ja internetin käyttö ovat kasvaneet
räjähdysmäisesti muutamassa vuosikymmenessä
– Henkilötietojen luovuttaminen ja saatavuus lisääntyneet
• Samanaikaisesti myös mahdollisuudet henkilötietojen keräämiseksi ja
analysoimiseksi ovat kasvaneet.
– Henkilötietojen hyödyntämismahdollisuudet lisääntyneet
• Henkilötiedot saattavat olla yrityksen arvokkain aineeton omaisuus
• Henkilötiedot toimivat usein kuluttajan maksuvälineenä “ilmaisten”
palveluiden saamiseksi.
– Harva kuluttaja tiedostaa asiaa tai siihen liittyviä riskejä.
• Tietosuoja ja sen turvaaminen ovat kasvattaneen merkitystään.
– Tietosuoja “järjestäytyy”
• Useita tietosuojaan liittyviä lainsäändäntöhankkeita vireillä
TAUSTA
18.10.2011 418.10.2011 4 4
TRUST.
Attorneys-at-Law Trust
Tietosuojaan liitetään “yhteiskunnallinen vastuu” ja jatkossa se on yhä
keskeisempi osa corporate governancea
"17 years ago less than 1% of Europeans used the internet. Today, vast
amounts of personal data are transferred and exchanged, across continents
and around the globe in fractions of seconds.
"The protection of personal data is a fundamental right for all Europeans, but
citizens do not always feel in full control of their personal data. My proposals
will help build trust in online services because people will be better informed
about their rights and in more control of their information.
The reform will accomplish this while making life easier and less costly for
businesses. A strong, clear and uniform legal framework at EU level will help to
unleash the potential of the Digital Single Market and foster economic growth,
innovation and job creation” (EU Justice Comissioner Viviane Reding)
TIETOSUOJAUUDISTUKSESTA
18.10.2011 518.10.2011 5 5
TRUST.
Attorneys-at-Law Trust
• EU:n tietosuojauudistus: tarkoitus on yhdenmukaistaa ja uudistaa jäsenvaltioiden tietosuojalainsäädäntöä.
• Olennaisimmat muutokset:– Soveltamisala: EU-alueella palveluita tarjoavat yritykset / henkilötietoja monitoroivat
yritykset (riippumaton käsittelypaikasta); henkilötiedon määritelmä
– Oikeus tulla unohdetuksi (right to be forgotten) vahvistuu
– Nimenomainen suostumus
– Tietosuojavastaava (mm. jos yli 5000 henkilön henkilötietoja käsitellään 12 kk:n aikana)
– Ilmoitusvelvollisuus tietosuojaloukkauksista viivytyksettä
– Sanktiot: varoitus / tietosuojatarkastukset / 100 miljoonaa euroa tai 5 % kansainvälisestä vuosittaisesta liikevaihdosta
• Voimaantulo – Euroopan parlamentti äänestänyt ehdotuksen puolesta 12.3.2014.
– Seuraavaksi parlamentin ja neuvoston yhteispäätösmenettely (neuvoston kanta odotettavissa kesäkuussa)
– Tavoitteena voimaantulo vuoden 2014 loppuun mennessä, jolloin velvoittavuus 2 vuoden siirtymäajan jälkeen 2016–2017
UUDISTUSTEN SUUNTA
18.10.2011 618.10.2011 6 6
TRUST.
Attorneys-at-Law Trust
• Henkilötietojen käsittelijöiden vastuu lisääntyy
– Nykyisellään vastuu pääosin rekisterinpitäjien kanssa tehtyjen sopimusten nojalla
• Uusia vastuita mm:
– Velvollisuus käsitellä henkilötietoja vain rekisterinpitäjän ohjeiden mukaisesti sekä
dokumentointivelvollisuus vastuiden ja ohjeiden osalta
– Yhteistyö valvontaviranomaisten kanssa
– Tietoturvan taso
– Ilmoitusvelvollisuus tietosuojaloukkauksista rekisterinpitäjälle
• Lisäksi tarkennetaan rekisterinpitäjän ja käsittelijän välisen sopimuksen
sisältöä
– Esim. salassapitovelvoitteet työntekijöille, tulosten toimittaminen käsittelyn
päättyessä, yhteistyö rekisterinpitäjän kanssa rekisterinpitäjän velvoitteiden
täyttymisessä (esim. ilmoitusvelvollisuus)
UUDISTUSTEN SUUNTA
18.10.2011 718.10.2011 7 7
TRUST.
Attorneys-at-Law Trust
1) Johdon vastuu osakeyhtiölain nojalla
– Toimitusjohtaja, hallituksen tai hallintoneuvoston jäsen
– Esim. huolellisuusvelvoite ja vahingonkorvausvastuu
2) Vastuu työsopimuksen nojalla
– Vahingonkorvausvastuu
3) Rikosoikeudellinen vastuu
– Rikosoikeudellisen ratkaisukäytännön muutokset korostavat
vastuuta myös tietoturvakysymyksissä: tapaus Fujitsu
VASTUUKYSYMYKSISTÄ
18.10.2011 818.10.2011 8 8
TRUST.
Attorneys-at-Law Trust
VASTUU OYL:N NOJALLA: HUOLELLISUUSVELVOITE
OYL 8:1: HUOLELLISUUSVELVOITE
OYL 22:1
…korvattava vahinko: tehtävässään 1
luvun 8 §:ssä säädetyn
huolellisuusvelvoitteen vastaisesti
tahallaan tai huolimattomuudesta
aiheuttanut yhtiölle.
…Vastuu poikkeuksellista.
OY
Osakas
teko /
laiminlyönti
vahinko
syy-yhteys
tuottamus
näyttö
huolellisesta
toiminnasta- valvonta
- dokumentointi
- valmistelu
- vaihtoehdot
- etujen punninta
- tarkoitus, jne.
Tietoturvan ja yksityisyyden suojan korostuminen osana hyvän hallinnon periaatteita
18.10.2011 918.10.2011 9 9
TRUST.
Attorneys-at-Law Trust
• Vastuu voi syntyä myös työoikeuden ja työsopimusten sekä niiden
liitännäissopimusten kautta.
– Normaalimpi tilanne
• Lain näkökulmasta tietohallinnon johtohenkilöt ovat pääsääntöisesti
työntekijöitä.
• Velvoitteiden laiminlyönti velvoitteiden määrittely
• Yleinen vahingonkorvausvelvollisuus
• Tietosuojarikkomus myös mahdollinen työsopimuksen päättämisperuste
– Esim. potilastietojen luvaton katselu / Kangasniemen kunta
VASTUU TYÖSOPIMUKSEN NOJALLA
18.10.2011 1018.10.2011 1010
TRUST.
Attorneys-at-Law Trust
RIKOSOIKEUDELLINEN VASTUU:
FUJITSU
18.10.2011 1118.10.2011 1111
TRUST.
Attorneys-at-Law Trust
• Kyberrikollisuus: muun muassa henkilötietojen väärinkäyttö
(identiteettivarkaudet), tietokonevirukset, internet-petokset,
tekijänoikeusrikokset ja palvelunestohyökkäykset.
• Erityisesti välilliset vahingot merkittäviä (mm. tietokoneiden puhdistuskulut,
verkkoliiketoiminnan keskeytyskulut)
• Nopeasti kehittyvä rikollisuuden ala
– tutkiminen ja ennalta-ehkäisy kallista
• Vakuutusala myy jo kybervakuutuksia
– Yhdysvalloissa jo noin kolmasosa yrityksistä hankkinut kybervakuutuksen
(Euroopassa noin 5 %)
– Kasvava ala
KYBERRISKEISTÄ
18.10.2011 1218.10.2011 1212
TRUST.
Attorneys-at-Law Trust
• Komission ehdotus uudeksi verkko- ja tietoturvallisuusdirektiiviksi (NIS-
direktiivi)
• Huomioita:
– Velvollisuus laatia kansallisesti verkko- ja tietoturvallisuusstrategia sekä nimetä
valvontaviranomainen (Viestintävirasto)
– Jäsenvaltioiden viranomaisten ja komission välinen yhteistyömekanismi
• mm. ennakkovaroitukset riskeistä
– Keskeisten alojen (rahoituspalvelut, liikenne, energia, terveys) kriittisten
infrastruktuurien ylläpitäjille sekä keskeisimmille tietoyhteiskunnan
palveluntarjoajille ja julkishallinnolle raportointivelvollisuus merkittävistä
tietoturvapoikkeamista.
• Mahdollisia taloudellisia vaikutuksia näillä aloilla toimiville yrityksille
• Suomessa implementoidaan todennäköisesti LVM:ssä jo vireillä olevan
tietoyhteiskuntakaaren säätämisen yhteydessä (tai sen muutoksena)
• Parlamentti hyväksynyt 13.3, lopullinen sisältö tavoitteena kesällä 2014
– Vähimmäisdirektiivi, voimaan tultuaan implementointiaika 18 kk
KYBERTURVALLISUUSUUDISTUKSET
18.10.2011 1318.10.2011 1313
TRUST.
Attorneys-at-Law Trust
• Tietosuojalainsäädännön odotetaan kehittyvän myös tulevaisuudessa.
• Muun muassa Euroopan tietosuojavaltuutettu on lausunnossaan 26.3.2014
katsonut, että tietosuoja-, kilpailu-, ja kuluttajalainsäädäntöjen tulisi olla
vahvasti sidoksissa toisiinsa. Lisäksi henkilötietojen taloudellinen arvo tulisi
tunnustaa.
– Henkilötiedot osaksi mm. määräävän markkina-aseman väärinkäytön arviointia?
– Hinnan ilmoittaminen?
– Kirjanpitoarvo?
• Odotettavissa on nopeaa ja merkittävää kehitystä.
TULEVA KEHITYS
18.10.2011 1418.10.2011 1414
TRUST.
Attorneys-at-Law Trust
KIITOS! We know
M&A
IP&Technology
Banking & Finance
TRUST.