Asiantuntija-artikkelit eJäsenkirje 24.11.2020
Artikkeli 1
Miten toimia, kun tietomurto yrityksessä kohdistui henkilötietoihin?
Artikkeli 2
Advisory Boardin jäsenen vastuusta
Artikkeli 1
Miten toimia, kun tietomurto yrityksessä kohdistui henkilötietoihin?
Henkilötietojen käsittelystä säädellään useassa eri säädöksessä. Tärkeimpiä näistä ovat esimerkinomaisesti EU:n yleinen tietosuoja-asetus (GDPR), tietosuojalaki ja laki yksityisyyden suojasta työelämässä.
GDPR sisältää yksityiskohtaisia määräyksiä mm. siitä, miten rekisterinpitäjän tulee informoida rekisteröityjä, kun kysymyksessä on henkilötietojen tietoturvaloukkaus. Yritys saattaa joutua esimerkiksi tietomurron kohteeksi, mistä saattaa koitua toiminnalle erityistä haittaa monella eri osa-alueella ja tietomurron yhteydessä voidaan saada esimerkiksi rekisteröityjen henkilötietoja.
Suomessa GDPR:n valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.
Milloin on kyseessä tietoturvaloukkaus?
Tietoturvaloukkauksesta on tietomurron lisäksi kyse esimerkiksi tilanteissa, joissa on varastettu tietokone tai tiedonsiirtoväline tai henkilötietoja siirretään vahingossa väärälle vastaanottajalle. Myös hakkeroinnit ja haittaohjelmatartunnat sekä fyysiset vahingot, kuten tulipalo, saattavat olla tietoturvaloukkauksia.
Tietomurtoa voidaan arvioida myös rikosoikeudelliselta kannalta, ja tietomurto onkin usein rikostunnusmerkistön täyttävä teko.
Tietoturvaloukkausten dokumentointi
Tietoturvaloukkaukset tulee dokumentoida. Dokumentointivelvollisuus koskee sekä rekisterinpitäjää että henkilötietojen käsittelijää. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että GDPR:ää on noudatettu.
Ilmoittaminen viranomaiselle
Rekisterinpitäjän tulee ilmoittaa tietoturvaloukkauksesta ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.
Ilmoittaminen rekisteröidylle
Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta on aiheutunut vuodon kohteena olevalle henkilölle.
Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä. Ilmoituksella on suuri merkitys rekisteröidylle, jotta tämä voi ryhtyä suojaaviin toimenpiteisiin esimerkiksi varautumalla osoitteenmuutoksiin tai luottokortin väärinkäyttöön.
Ilmoituksen tulee sisältää selkeä kuvaus henkilötietojen tietoturvaloukkauksesta, tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa, henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset, toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut, sekä tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Ilmoitusta ei vaadita, jos
- rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja niitä on sovellettu henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin (erityisesti niitä, joiden avulla henkilötiedot muutetaan ulkopuolisille mahdottomiksi ymmärtää, kuten salausta)
- rekisterinpitäjä on tehnyt jatkotoimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu
- ilmoituksen tekeminen vaatisi kohtuutonta vaivaa, koska ei esimerkiksi tiedetä, keitä rekisteröidyt ovat. Asiaa arvioidaan riskien mukaan. Jos rekisteröityihin ei voida ottaa yhteyttä henkilökohtaisesti, on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröityjä informoidaan yhtä tehokkaalla tavalla.
Valvontaviranomainen voi myös vaatia ilmoituksen tekemistä rekisteröidyille, jos ilmoitusta ei ole vielä tehty.
Tietoturvasta
Tietosuojan toteutumisen kannalta tietoturvasta huolehtiminen on ensiarvoisen tärkeää. GDPR:n mukaan ”[o]ttaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.” Näin ollen GDPR asettaa vaatimuksia myös tietosuojalle, ja henkilötietojen käsittelyn turvallisuudesta on nimenomaisesti säädetty GDPR:n 32 artiklassa.
Rekisterinpitäjän vastuulla on huolehtia mm. seuraavista:
- henkilötietojen pseudonymisointi ja salaus
- kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus
- kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa
- menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei Euroopan unionin oikeudessa tai kansallisessa lainsäädännössä toisin vaadita.
Lakimies Mika Lahtinen
Helsingin seudun kauppakamari
Artikkeli 2
Advisory Boardin jäsenen vastuusta
Mikä on Advisory Board?
Osakeyhtiön hallitus on osakeyhtiölain mukainen toimielin, jonka jäsenet ovat myös vastuussa yhtiön toiminnasta. Vastuu voi huonossa tapauksessa realisoitua vahingonkorvauksena yhtiölle, sen osakkeenomistajalle tai ulkopuoliselle. Sitä vastaan on syytä varautua vastuuvakuutuksella (jonka yhtiö ottaa) ja esimerkiksi startup-yritysten kohdalla yhtiöjärjestykseen otetulla vastuuvapauslausekkeella.
Vaihtoehto osakeyhtiön ulkopuolisille hallituksen jäsenille voi olla Advisory Boardin kokoaminen. Advisory Board ei ole osakeyhtiölain mukainen toimielin. Se toimii yhtiön johdon ja hallituksen neuvonantajana eikä sillä ole siinä roolissa osakeyhtiölaista tulevaa vastuuta. Se voi olla esimerkiksi välivaihe kehitettäessä kasvuyritystä kohti perinteistä hallitustyöskentelyä. Advisory Boardiin voidaan myös joustavasti koota yhtiössä kulloinkin tarvittavaa ulkopuolista sparrausta.
Advisory Boardin jäsenet eivät kuitenkaan ole kokonaan vastuukysymysten ulottumattomissa. Seuraavassa käsitellään muutamia näkökulmia Advisory Boardin jäsenen vastuusta.
Liikesalaisuuksia suojataan laeilla
Työskentelyn aikana Advisory Boardin jäsenet saavat usein tietoonsa yrityksen liikesalaisuuksiksi katsottavia tietoja. Liikesalaisuuslain 4 §:n voisi katsoa koskevan myös Advisory Boardin toimintaa. Siinä kielletään ilmaisemasta tietoja, jotka on saatu ”luottamuksellisessa liikesuhteessa”. Rikoslain 30 luvun 5 ja 6 § säätävät rangaistuksen yrityssalaisuuden rikkomisesta ja väärinkäytöstä. Boardin jäsenten kohdalla kannattaa joka tapauksessa tehdä salassapitosopimus liikesalaisuuksista, joita suojaa myös liikesalaisuuslaki.
Vahingonkorvaus sopimussuhteessa
Työskentelystä Advisory Boardissa on syytä tehdä sopimus Boardin jäsenen ja yhtiön välillä. Huomattava on, että sopimussuhde voi syntyä (ainakin aikaa myöten) myös ilman kirjallista sopimusta, kun vain aloitetaan yhteistyö tietyssä tarkoituksessa. Tämä artikkelin lopussa on muistilista sopimuksessa sovittavissa asioista.
Sopimussuhteessa syntyy aina kummallekin osapuolelle vastuu noudattaa sopimusta. Voidaan puhua huolellisuusvelvoitteesta. Jos Boardin jäsen esimerkiksi laiminlyö sopimuksessa sovitun työskentelyvelvoitteen, syntyy hänelle korvausvelvollisuus yhtiötä kohtaan. Vastaavalla tavalla Boardin jäsenelle syntyy korvausvelvollisuus minkä tahansa muunkin selkeästi sovitun tehtävän laiminlyömisestä. Korvausvelvollisuus voi tietysti syntyä myös yhtiölle sen laiminlyödessä sitoumuksiaan jäsentä kohtaan.
Onko Boardin jäsenellä sitten asiantuntijan vastuuta antamistaan neuvoista? Sopimuksen Advisory Boardiin osallistumisesta voisi katsoa olevan asiantuntijapalvelusta tehdyn toimeksiantosopimuksen. Jos asiantuntija toimii tietyssä konkreettisessa asiassa huolimattomasti ja aiheuttaa toimeksiantajalleen vahinkoa, voi korvausvastuu realisoitua. Korvausvastuu edellyttää, että toimeksiantaja pystyy näyttämään toteen syntyneen vahingon. Asiantuntijan taas pitää lähtökohtaisesti pystyä näyttämään työskennelleensä huolellisesti, jotta korvausvastuuta ei synny. Advisory Boardin jäsenten ei voi katsoa olevan ns. tulosvastuussa esimerkiksi siitä, että yhtiö saavuttaa tietyn tulostason tai jonkun muun tavoitteen.
Sopimussuhteessa vastuuta voidaan rajoittaa vastuunrajoitusehdoilla. Koska on mahdollista, että Advisory Boardin jäsenelle voi syntyä vastuu esimerkiksi huolimattoman menettelyn seurauksena, vaikka se olisi tahatontakin, kannattaa jäsenten harkita vastuunrajoitusehtojen ottamista sopimukseensa. Tyypillistä on esimerkiksi konsulttisopimuksissa rajoittaa vastuu kaikissa vahinkotapauksissa (vahinkolajeissa) enintään saadun palkkion määrään. Tärkeätä on myös selkeästi muotoilla sopimuksessa, mikä on Advisory Boardin ja sen jäsenen tehtävä, ja korostaa boardin neuvovaa/avustavaa roolia.
Advisory Boardin jäsen kanssa solmittavassa sopimuksessa on hyvä sopia esimerkiksi seuraavista asioista:
- Advisory Boardin roolista ja tehtävistä yhtiössä
- Advisory Boardin jäsenen vastuun rajoittamisesta
- työskentelyyn käytettävästä ajasta
- työskentelystä maksettavasta palkkiosta ja kulujen korvauksesta
- työskentelystä mahdollisesti saatavien osakkeiden ja optioiden ehdoista
- työskentelyn aikana tietoon saatujen liikesalaisuuksien salassapidosta
- kilpailukiellosta yrityksen kanssa
- sopimuksen kestosta ja päättämisestä.
Johtaja Marko Silen
Helsingin seudun kauppakamari