update on privacy, cyber risks and director's liability

18.10.2011 1

TRUST.

Mitä jokaisen tulisi tietää tietosuojasta ja tietoturvasta juuri nyt?

Ajankohtaiskatsaus

ICT-EXPO 8.5.2014

Kiira Lehtonen, associate

TRUST Asianajotoimisto Oy

18.10.2011 218.10.2011 2 2

TRUST.

Attorneys-at-Law Trust

TAUSTA

18.10.2011 318.10.2011 3 3

TRUST.


• Digitaalisten palveluiden ja internetin käyttö ovat kasvaneet

räjähdysmäisesti muutamassa vuosikymmenessä

– Henkilötietojen luovuttaminen ja saatavuus lisääntyneet

• Samanaikaisesti myös mahdollisuudet henkilötietojen keräämiseksi ja

analysoimiseksi ovat kasvaneet.

– Henkilötietojen hyödyntämismahdollisuudet lisääntyneet

• Henkilötiedot saattavat olla yrityksen arvokkain aineeton omaisuus

• Henkilötiedot toimivat usein kuluttajan maksuvälineenä “ilmaisten”

palveluiden saamiseksi.

– Harva kuluttaja tiedostaa asiaa tai siihen liittyviä riskejä.

• Tietosuoja ja sen turvaaminen ovat kasvattaneen merkitystään.

– Tietosuoja “järjestäytyy”

• Useita tietosuojaan liittyviä lainsäändäntöhankkeita vireillä

TAUSTA

18.10.2011 418.10.2011 4 4

TRUST.


Tietosuojaan liitetään “yhteiskunnallinen vastuu” ja jatkossa se on yhä

keskeisempi osa corporate governancea

"17 years ago less than 1% of Europeans used the internet. Today, vast

amounts of personal data are transferred and exchanged, across continents

and around the globe in fractions of seconds.

"The protection of personal data is a fundamental right for all Europeans, but

citizens do not always feel in full control of their personal data. My proposals

will help build trust in online services because people will be better informed

about their rights and in more control of their information.

The reform will accomplish this while making life easier and less costly for

businesses. A strong, clear and uniform legal framework at EU level will help to

unleash the potential of the Digital Single Market and foster economic growth,

innovation and job creation” (EU Justice Comissioner Viviane Reding)

TIETOSUOJAUUDISTUKSESTA

18.10.2011 518.10.2011 5 5

TRUST.


• EU:n tietosuojauudistus: tarkoitus on yhdenmukaistaa ja uudistaa jäsenvaltioiden tietosuojalainsäädäntöä.

• Olennaisimmat muutokset:– Soveltamisala: EU-alueella palveluita tarjoavat yritykset / henkilötietoja monitoroivat

yritykset (riippumaton käsittelypaikasta); henkilötiedon määritelmä

– Oikeus tulla unohdetuksi (right to be forgotten) vahvistuu

– Nimenomainen suostumus

– Tietosuojavastaava (mm. jos yli 5000 henkilön henkilötietoja käsitellään 12 kk:n aikana)

– Ilmoitusvelvollisuus tietosuojaloukkauksista viivytyksettä

– Sanktiot: varoitus / tietosuojatarkastukset / 100 miljoonaa euroa tai 5 % kansainvälisestä vuosittaisesta liikevaihdosta

• Voimaantulo – Euroopan parlamentti äänestänyt ehdotuksen puolesta 12.3.2014.

– Seuraavaksi parlamentin ja neuvoston yhteispäätösmenettely (neuvoston kanta odotettavissa kesäkuussa)

– Tavoitteena voimaantulo vuoden 2014 loppuun mennessä, jolloin velvoittavuus 2 vuoden siirtymäajan jälkeen 2016–2017

UUDISTUSTEN SUUNTA

18.10.2011 618.10.2011 6 6

TRUST.


• Henkilötietojen käsittelijöiden vastuu lisääntyy

– Nykyisellään vastuu pääosin rekisterinpitäjien kanssa tehtyjen sopimusten nojalla

• Uusia vastuita mm:

– Velvollisuus käsitellä henkilötietoja vain rekisterinpitäjän ohjeiden mukaisesti sekä

dokumentointivelvollisuus vastuiden ja ohjeiden osalta

– Yhteistyö valvontaviranomaisten kanssa

– Tietoturvan taso

– Ilmoitusvelvollisuus tietosuojaloukkauksista rekisterinpitäjälle

• Lisäksi tarkennetaan rekisterinpitäjän ja käsittelijän välisen sopimuksen

sisältöä

– Esim. salassapitovelvoitteet työntekijöille, tulosten toimittaminen käsittelyn

päättyessä, yhteistyö rekisterinpitäjän kanssa rekisterinpitäjän velvoitteiden

täyttymisessä (esim. ilmoitusvelvollisuus)

UUDISTUSTEN SUUNTA

18.10.2011 718.10.2011 7 7

TRUST.


1) Johdon vastuu osakeyhtiölain nojalla

– Toimitusjohtaja, hallituksen tai hallintoneuvoston jäsen

– Esim. huolellisuusvelvoite ja vahingonkorvausvastuu

2) Vastuu työsopimuksen nojalla

– Vahingonkorvausvastuu

3) Rikosoikeudellinen vastuu

– Rikosoikeudellisen ratkaisukäytännön muutokset korostavat

vastuuta myös tietoturvakysymyksissä: tapaus Fujitsu

VASTUUKYSYMYKSISTÄ

18.10.2011 818.10.2011 8 8

TRUST.


VASTUU OYL:N NOJALLA: HUOLELLISUUSVELVOITE

OYL 8:1: HUOLELLISUUSVELVOITE

OYL 22:1

…korvattava vahinko: tehtävässään 1

luvun 8 §:ssä säädetyn

huolellisuusvelvoitteen vastaisesti

tahallaan tai huolimattomuudesta

aiheuttanut yhtiölle.

…Vastuu poikkeuksellista.

OY

Osakas

teko /

laiminlyönti

vahinko

syy-yhteys

tuottamus

näyttö

huolellisesta

toiminnasta- valvonta

- dokumentointi

- valmistelu

- vaihtoehdot

- etujen punninta

- tarkoitus, jne.

Tietoturvan ja yksityisyyden suojan korostuminen osana hyvän hallinnon periaatteita

18.10.2011 918.10.2011 9 9

TRUST.


• Vastuu voi syntyä myös työoikeuden ja työsopimusten sekä niiden

liitännäissopimusten kautta.

– Normaalimpi tilanne

• Lain näkökulmasta tietohallinnon johtohenkilöt ovat pääsääntöisesti

työntekijöitä.

• Velvoitteiden laiminlyönti velvoitteiden määrittely

• Yleinen vahingonkorvausvelvollisuus

• Tietosuojarikkomus myös mahdollinen työsopimuksen päättämisperuste

– Esim. potilastietojen luvaton katselu / Kangasniemen kunta

VASTUU TYÖSOPIMUKSEN NOJALLA

18.10.2011 1018.10.2011 1010

TRUST.


RIKOSOIKEUDELLINEN VASTUU:

FUJITSU

18.10.2011 1118.10.2011 1111

TRUST.


• Kyberrikollisuus: muun muassa henkilötietojen väärinkäyttö

(identiteettivarkaudet), tietokonevirukset, internet-petokset,

tekijänoikeusrikokset ja palvelunestohyökkäykset.

• Erityisesti välilliset vahingot merkittäviä (mm. tietokoneiden puhdistuskulut,

verkkoliiketoiminnan keskeytyskulut)

• Nopeasti kehittyvä rikollisuuden ala

– tutkiminen ja ennalta-ehkäisy kallista

• Vakuutusala myy jo kybervakuutuksia

– Yhdysvalloissa jo noin kolmasosa yrityksistä hankkinut kybervakuutuksen

(Euroopassa noin 5 %)

– Kasvava ala

KYBERRISKEISTÄ

18.10.2011 1218.10.2011 1212

TRUST.


• Komission ehdotus uudeksi verkko- ja tietoturvallisuusdirektiiviksi (NIS-

direktiivi)

• Huomioita:

– Velvollisuus laatia kansallisesti verkko- ja tietoturvallisuusstrategia sekä nimetä

valvontaviranomainen (Viestintävirasto)

– Jäsenvaltioiden viranomaisten ja komission välinen yhteistyömekanismi

• mm. ennakkovaroitukset riskeistä

– Keskeisten alojen (rahoituspalvelut, liikenne, energia, terveys) kriittisten

infrastruktuurien ylläpitäjille sekä keskeisimmille tietoyhteiskunnan

palveluntarjoajille ja julkishallinnolle raportointivelvollisuus merkittävistä

tietoturvapoikkeamista.

• Mahdollisia taloudellisia vaikutuksia näillä aloilla toimiville yrityksille

• Suomessa implementoidaan todennäköisesti LVM:ssä jo vireillä olevan

tietoyhteiskuntakaaren säätämisen yhteydessä (tai sen muutoksena)

• Parlamentti hyväksynyt 13.3, lopullinen sisältö tavoitteena kesällä 2014

– Vähimmäisdirektiivi, voimaan tultuaan implementointiaika 18 kk

KYBERTURVALLISUUSUUDISTUKSET

18.10.2011 1318.10.2011 1313

TRUST.


• Tietosuojalainsäädännön odotetaan kehittyvän myös tulevaisuudessa.

• Muun muassa Euroopan tietosuojavaltuutettu on lausunnossaan 26.3.2014

katsonut, että tietosuoja-, kilpailu-, ja kuluttajalainsäädäntöjen tulisi olla

vahvasti sidoksissa toisiinsa. Lisäksi henkilötietojen taloudellinen arvo tulisi

tunnustaa.

– Henkilötiedot osaksi mm. määräävän markkina-aseman väärinkäytön arviointia?

– Hinnan ilmoittaminen?

– Kirjanpitoarvo?

• Odotettavissa on nopeaa ja merkittävää kehitystä.

TULEVA KEHITYS

18.10.2011 1418.10.2011 1414

TRUST.


KIITOS! We know

M&A

IP&Technology

Banking & Finance

TRUST.