Kai Erlund, Partner, Dittmar & Indrenius

Transkriptio

1 itsmf Finland Conference 2016 Focus Kai Erlund, Partner, Dittmar & Indrenius ICT- sopimusten viimeaikaista sopimuskäytäntöä EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin

2 ICT- sopimusten viimeaikaista sopimuskäytäntöä EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin

3 Agenda Toimintaympäristön muutos Tietosuoja- asetus tietojen siirtämisen näkökulma Henkilötietojen siirtäminen Schrems vs. Safe Harbor tuomion seuraukset Privacy Shield ja käytännön havaintoja kansainvälisistä markkinakäytännöistä Sopimukset ja riskienhallinta 3 väitettä

4 EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin TOIMINTAYMPÄRISTÖN MUUTOS

5 Yleisiä havaintoja 1. Tietosuojasta tullut yrityksille osa vastuullista liiketoimintaa ja keskeinen osa riskinhallintaa 2. Tietosuojalla usein liittymä yrityksen kaikkiin toimintoihin 3. Suomalaisyrityksissä tietosuojavelvoitteet olleet tyypillisesti huonosti hoidettuja ja vastuut epäselviä 4. Tietosuojalla on mahdollisuus luoda lisäarvoa sekä kilpailuetua

6 Esimerkki sopimus- järjestelyistä: vähittäiskaupan kanta- asiakas- järjestelmät ja data- analytiikka (Lähde: Peter Leonard/ Gilbert + Tobin, IAPP Global Privacy Summit, Washington DC maaliskuu 2013)

7 GDPR?

8 Muutoksen syitä EU:n tietosuojauudistus Kehittyvä liiketoiminta Digitalisaatio Teollinen internet Big data Uudenlaiset riskit ja kyberturvallisuusuhat Vakoiluskandaalit ja yksilöiden tietoisuuden kasvu oikeuksistaan

9 EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin EU:N TIETOSUOJA- ASETUS

10 Tietosuoja- asetuksen tausta Komission ehdotus tammikuu 2012 Neuvoston versio kesäkuu 2015 Virallinen hyväksyminen OM:n työryhmän tulokset arv EU:n tietosuoja- neuvosto Kevät Parlamentin versio maaliskuu 2014 Suomen HaV:n lausunto joulukuu 2015 Trilogi- neuvotteluiden ratkaisu joulukuu 2015 Voimaantulo

11 Tietosuoja- asetuksen voimaantulo ja kansallinen voimaansaattaminen Kahden vuoden siirtymäaika Tietosuoja- asetuksen voimaantuloaika Siirtymäaikana muun kansallisen tietosuojalainsäädännön uudelleenarviointi ja sovittaminen asetuksen sisältöön Oikeusministeriön työryhmä asetettiin Kansallisten lainsäädäntötoimenpiteiden tarpeen selvittäminen Kansallista tietosuojaviranomaista koskevan sääntelyn uudelleenarvioiminen Kansallisen liikkumavaran arvioiminen Kansallisen erityislainsäädännön tarkistamisen koordinoiminen

12 Tietojen siirtäminen tietosuoja- asetuksen mukaan (1/2) Tietojen siirtäminen kuuluu rekisterinpitäjän jatkuvan informointivelvollisuuden piiriin (30 art.) Tietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille käsitelty asetuksen V luvussa Varsin vähän tosiasiallisia muutoksia nykyiseen asetelmaan Laiminlyöntien sanktiointi ankarimman mukaan Sanktioriski 4 % globaalista liikevaihdosta tai euroa

13 Tietojen siirtäminen tietosuoja- asetuksen mukaan (2/2) Tietosuoja- asetuksen V luvun keskeinen sisältö Siirrot tietosuojan riittävyyttä koskevan päätöksen perusteella (45 art.) Komissio tekee uudet arviot hyväksyttyjen kolmansien maiden tietosuojan riittävyydestä Siirto asianmukaisia suojatoimia soveltaen (46 art.) Yritystä koskevat sitovat säännöt (47 art.) Kolmannen maan disclosure- vaatimusten pätemättömyys (48 art.) Erityistilanteita koskevat poikkeukset (49 art.) Komission ja valvontaviranomaisten kansainvälinen yhteistyö henkilötietojen suojaamiseksi (50 art.)

14 EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin HENKILÖTIETOJEN SIIRTÄMISEN MEKANISMIT

15 Datan liikkeet ja sopimussuhteet SaaS PaaS IaaS Asiakas Oy Rekisteröidyt IT- palvelut EU Palvelun toimittaja Oy

16 Tietojen siirtämisen toteutusvaihtoehdot Sallitut siirtoperusteet määritelty tyhjentävästi laissa Yleinen tietosuojan taso Rekisterinpitäjän arvio Komission päätökset HenkilötietoL 5 luku Yksittäistason riittävä tietosuojan taso Mallisopimuslausekkeet Rekisterinpitäjän riittävät takeet (sis. BCR) Poikkeusperusteet Yksiselitteinen suostumus Siirron välttämättömyys Henkilörekisterin erityispiirteet

17 Data Transfer Agreement käytännössä Huomionarvoista Sopimusosapuolet Data Transfer Agreementin suhde palvelusopimukseen Palvelun- tarjoaja Oy Asiakas Oyj Data exporter Ulkomainen alihankkija Inc. Data importer Konsernisuhde / alihankintasopimus

18 EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin SCHREMS VS. SAFE HARBOUR TUOMION SEURAUKSET

19 Eu- tuomioistuimen ratkaisu asiassa Schrems (C- 362/14) Asian tausta Tuomion keskeinen sisältö Markkinareaktiot EU:n tietosuojaviranomaisten linjaukset Tietosuojavaltuutetun toimintasuositukset yrityksille

20 Tietosuojavaltuutetun toimintaohjeet Useat verkko- ja pilvipalvelut siirtävät henkilötietoja Yhdysvaltoihin tallennettavaksi tai prosessoitavaksi käyttäen ns. Safe Harbor - järjestelyä. Näitä palveluita käyttävät yritykset ja muut asiakkaat joutuvat nyt EU tuomioistuimen päätöksen vuoksi muuttamaan toimintatapojaan. 1. Selvitä siirrätkö toiminnoissasi henkilötietoja Yhdysvaltoihin. 2. Selvitä sopimuksistasi siirrätkö tai siirtävätkö alihankkijasi henkilötietoja Yhdysvaltoihin Safe Harbor - järjestelyn perusteella. 3. Jos henkilötietoja siirretään Yhdysvaltoihin Safe Harborin nojalla, ota yhteyttä palveluntarjoajaan. 4. Selvitä voitko jatkaa henkilötietojen siirtoa tai palvelun käyttöä muiden tietojensiirtoperusteiden nojalla. Selvitä myös Eurooppaan sijoittuneet vaihtoehdot tarvitsemallesi palvelulle. Ks. tietosuojavaltuutetun opas Henkilötietojen siirto ulkomaille henkilötietolain mukaan. 5. Informoi asiakkaitasi ja muita käyttäjiäsi mahdollisista muutoksista.

21 EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin PRIVACY SHIELD - JÄRJESTELY

22 Privacy Shield järjestely: päätösluonnokset Avoimuus ja valvontamekanismien tehokkuus Edelleensiirtojentiukennetut edellytykset ja vastuusäännökset 2. Rajoitukset ja suojatoimet koskien yhdysvaltalaisten viranomaisten pääsyä tietoihin Yhdysvaltalaisten viranomaisten kirjallinen vakuutus sekä EU:n kansalaisille tarkoitettu oikeussuojamekanismi kansalliseen turvallisuuteen liittyviä asioita varten 3. EU- kansalaisten yksityisyydensuojaa koskevien oikeuksien tehokas suojelu ja oikeussuojakeinot EU:n toimivaltaisen tietosuojaviranomaisen päätösten noudattaminen ja valituksiin vastaaminen määräajassa Privacy Shield paneeli viimeisenä riidanratkaisukeinona 4. Yhteinen vuotuinen tarkastelumekanismi Komissio ja Yhdysvaltojen kauppaministeriö yhteistyössä EU:n tietosuojaviranomaisten sekä Yhdysvaltojen kansallisten turvallisuusviranomaisten sekä oikeusasiamiehen kanssa

23 Tietosuojatyöryhmän lausunto Huomattavia parannuksia Safe Harbour - järjestelyyn verrattuna, puutteita kuitenkin useissa kohdissa 1. Epäselvyys Periaatteet ja sitoumukset osittain päätöksessä ja osittain liitteissä vaikea löydettävyys ja epäjohdonmukaisuus sekä kielen epäselvyys 2. Yhdenmukaisuuden vaatimus Soveltamisalan ja terminologian tulisi olla yhdenmukaista EU:n tietosuojasääntelyn kanssa yleisen tietosuoja- asetuksen huomioiminen 3. Määritelmät Data retention periaate ei käy ilmi. Ehdotetaan, että selkeät määritelmät sovitaan EU:n ja Yhdysvaltojen kesken 4. Tiedon edelleen siirto Tiedon edelleensiirron edellytykset määritelty riittämättömällä tavalla etenkin soveltamisalaa, rajoituksia ja sitoumuksia koskien edelleensiirrolla ei tulisi voida kiertää tai madaltaa EU:n tietosuojaperiaatteita 5. Oikeussuojakeinot Monimutkaisuus, vaikeus ja tehottomuus 6. Massiiviset satunnaiset tiedonkeräykset Yhdysvaltojen viranomaisille myönnetyt poikkeukset kerätä EU- maista tulevaa dataa laajasti ja satunnaisesti kansallisen turvallisuuden nimissä valvonnan tarve

24 Sopimukset ja riskienhallinta

25 Vastuut ja vahinkotyypit 1. Lakiin perustuva vahingonkorvausvastuu rekisteröidyille aiheutuvasta taloudellisesta tai muusta vahingosta a) Suomessa nykyisin vain uhkasakko b) EU:n tietosuoja- asetuksen myötä hallinnollinen rikkomuksen vakavuuden perusteella määräytyvä sakko 2. Hallinnollisen velvoitteen rikkomiseen perustuva vastuu 3. Sopimusrikkomukseen perustuva vastuu sopimuskumppanille aiheutuneesta (taloudellisesta) vahingosta a) Vahingonkorvausvastuu b) Indemnity- tyyppinen suoritusvastuu 4. Rikosoikeudellinen vastuu

26 Aiheutuvien vahinkojen oikeudellinen luonne Välittömiä vahinkoja Vahingon selvittämis- ja rajoittamistoimista aiheutuvat ylimääräiset kustannukset (kuten ylityökustannukset Välillisiä vahinkoja Työntekijöiden työajan kuluminen vahinkoon liittyviin toimenpiteisiin Asiakkaiden menettäminen ja liikevaihdon väheneminen Mainevahingot (mediariski olennaisimpia riskejä käytännössä) Kolmansille maksettavien korvauksien ja sakkojen vahinkoluonne? Vaihtelevia tulkintoja viranomaisten langettamien sanktioiden vahinkoluonteesta Angloamerikkalaisessa oikeuskäytännössä tapahtunut siirtymä laajemman korvattavuuden ja vastuunrajoitusten suppean tulkinnan suuntaan

27 Taloudellisen vastuun kohdentuminen Henkilötietolain perustalta kaikki taloudellinen vastuu kohdentuu rekisterinpitäjään eli asiakkaaseen Rekisterinpitäjä on henkilötietolaissa määriteltyjen velvollisuuksien subjekti Käsittelijään kohdistuvat suoraan vain 5 (huolellisuusvelvoite) ja 32 (velvoite antaa rekisterinpitäjälle selvitykset ja sitoumukset tietojen suojaamisesta) Vahvistettu tietosuojaviranomaisten linjauksissa ja käytännöissä Palveluntarjoajan taloudellinen vastuu voidaan perustaa vain sopimuksella Tietosuoja- asetus todennäköisesti muuttaa tämän asetelman

28 Rikosoikeudellinen vastuu Rikoslain 38 luvun 9 (ote) "Joka tahallaan tai törkeästä huolimattomuudesta [ ] käsittelee henkilötietoja vastoin [ ] käyttötarkoitussidonnaisuutta, käsittelyn yleisiä edellytyksiä, henkilötietojen tarpeellisuutta tai virheettömyyttä [ ] koskevia säännöksiä [ ] tai siirtää henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolisiin valtioihin henkilötietolain 5 luvun vastaisesti ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, on tuomittava henkilörekisteririkoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi."

29 Väite 1 Rekisterinpitäjän roolissa oleva yritys ei sopimuksia tehdessään usein osaa ottaa huomioon korostunutta vastuutaan

30 Väite 2 Tietosuoja- asetuksen nykyasetelmaan tuoman muutoksen merkittävyyttä ei ole vielä ymmärretty

31 Väite 3 Sopimuksiin otettavilla tietosuojaehdoilla on suuri merkitys yrityksen riskienhallinnan ja vastuiden kannalta

32 Kiitos!