Mitä kansainvälisesti toimivan yhtiön hallituksen ja johdon tulee tietää tietosuojasääntelyn muutoksista? Henkilökohtainen vastuu? Partner Jarno Vanto 2 Jarno Vanto
TIETOSUOJASÄÄNTELYN LÄHTÖKOHTIA Henkilötiedot (esim. nimi, osoite, IP-osoite, puhelinnumero, sosiaaliturvatunnus, HR-arviot) ovat yritykselle tärkeä omaisuuserä Henkilötietojen käsittelyä (kerääminen, käyttö, luovutus, tietojen siirto maan rajojen ulkopuolelle jne.) koskevia lakeja yli 90 maassa Tietosuojadirektiivi ( Direktiivi ) on implementoitu kaikissa EU:n jäsenmaissa (Suomessa henkilötietolaissa) Direktiivi kieltää henkilötietojen siirrot EU-maista EU:n ulkopuolelle sellaisiin maihin, kuten esimerkiksi Intiaan tai Yhdysvaltoihin, jotka eivät tarjoa riittävää suojaa henkilötiedoille (esim. Suomessa sijaitsevalla serverillä olevaan henkilöstötietokantaan pääsy Intiasta käsin on Direktiivin ja henkilötietolain mukainen siirto) Rekisterinpitäjä, esim. mikä tahansa yritys, ja viime kädessä yrityksen johto, on vastuussa soveltuvien tietosuojalakien noudattamisesta Direktiivin nojalla säädettyjen kansallisten lakien noudattamatta jättämisellä voi olla vakavat seuraukset (joissakin EU-maissa satojen tuhansien eurojen sakot, sekä vakavissa tapauksissa vankeus). Tuleva Tietosuoja-asetus ( Asetus ) (odotettu voimaantulo vuonna 2015), kasvattaa sakkoja 5% yrityksen maailmanlaajuisesta liikevaihdosta tai 100 miljoonaan euroon, kumpi vain on suurempi Asetus harmonisoi henkilötietojen käsittelyn sääntelyn EU:ssa 3 Jarno Vanto
MIKSI YRITYKSEN JOHDON TULISI VÄLITTÄÄ TIETOSUOJASTA? Hallituksen ja johdon vastuu on todellinen: 4 Jarno Vanto
MIKSI YRITYKSEN JOHDON TULISI VÄLITTÄÄ TIETOSUOJASTA? Hallituksen ja johdon vastuu on todellinen: MPR News (US National Public Radio 8.12.2014): The Target breach was the first in a series that one cyber security report called "a rampage of attacks on U.S retailers," and made data security a top-of-mind issue for many. The PwC Information Security Survey says protecting data is no longer an issue that concerns only IT professionals; the impact has extended to the boardroom. Target has put the total cost of its data breach at around $235 million, with insurance covering about 40 percent of that. Company officials declined to comment for this story, but are rolling out new card readers and payment cards that are more secure. Target has also hired a new chief information officer and a new chief information security officer. 5 Jarno Vanto
MIKSI YRITYKSEN JOHDON TULISI VÄLITTÄÄ TIETOSUOJASTA? Hallituksen ja johdon vastuu on todellinen: Suomi: Suomen tietosuojavaltuutetun ohjeet korostavat, että yhtiön johto on vastuussa tietosuojasäännösten noudattamisesta. Osakeyhtiölain 1 luvun 8 :n mukaan yhtiön johdon pääasiallinen tehtävä on huolellisesti toimien edustaa yhtiön etua. Osakeyhtiölain mukaisten yleisten tehtävien ohella yhtiön johdon täytyy varmistaa, että yhtiö noudattaa myös muuta yhtiöön soveltuvaa lainsäädäntöä; esimerkiksi henkilötietolakia, työntekijän turvallisuuteen liittyviä säännöksiä, sekä ympäristölainsäädäntöä. Osakeyhtiölain 22 luvun 1.1 :n mukaan yhtiön johtohenkilön on korvattava vahinko, jonka hän on tehtävässään 1 luvun 8 :ssä säädetyn huolellisuusvelvoitteen vastaisesti tahallaan tai huolimattomuudesta yhtiölle aiheuttanut. UK: Hallituksen jäsen on henkilökohtaisesti vastuussa kaikista Data Protection Act:in loukkauksista, joihin hän antoi suostumuksensa, joihin hän kannusti, tai jotka tapahtuivat hänen laiminlyöntinsä seurauksena. Irlanti: Jos on yhtiön johdon toimesta on tapahtunut Data Protection Act:in mukainen rikkomus, joka on todistettavasti aiheutunut yrityksen johtoon kuuluvan henkilön tai tällaisena esiintyvän henkilön suostumuksen tai laiminlyönnin seurauksena, kyseinen henkilö on rangaistusvastuussa kyseisestä rikkomuksesta. Muut seuraamukset: Epäsuotuisa julkisuus, joka voi johtaa maineen vahingoittumiseen sekä tulonmenetykseen. Menetetyt mahdollisuudet ja tuhlatut resurssit. Viranomaisten aiempaa tarkempi valvonta tulevaisuudessa. 6 Jarno Vanto
MITÄ ON EDESSÄ TIETOSUOJA-ASETUS ASETUKSEN PÄÄKOHDAT: Tietosuojavastaava: Vaaditaan yrityksiltä jotka (i) käsittelevät yli 5000 rekisteröidyn tietoja yhtämittaisen 12 kk jakson aikana; tai (ii) joiden keskeisiin tehtäviin kuuluu erityisiä tietoryhmiä (esim. terveystiedot), paikkatietoja, lapsia tai työntekijöitä koskevien tietojen käsittely suurissa rekisteröintijärjestelmissä; tai (iii) jonka keskeiset tehtävät muodostuvat sellaisesta tietojen käsittelystä, joka edellyttää luonteensa, laajuutensa tai tarkoituksensa vuoksi rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Raportoi suoraan johdolle. Ilmoitusvelvollisuus tietoturvaloukkauksista: Valvontaviranomaiselle ilman aiheetonta viivytystä. Jos tietoturvaloukkaus todennäköisesti vaikuttaa haitallisesti rekisteröidyn, kuten työntekijän, henkilötietojen suojaan, yksityisyyteen, oikeuksiin tai perusteltuihin etuihin, tulee rekisteröityä koskevasta tietoturvaloukkauksesta ilmoittaa tälle ilman aiheetonta viivytystä. Data protection by design and by default (sisäänrakennettu ja oletusarvoinen tietosuoja) = IT-systeemejä suunnitellessa henkilötietojen suojan tulisi olla built in Riskianalyysi kattaa yrityksen vuosittaiset tietojenkäsittelyoperaatiot Tietosuojavaikutusten arviointi, kun toteutetaan uusia menetelmiä Dawn raids : Ilman varoitusta, tietosuojavaltuutettulla pääsy kaikkiin henkilötietoihin ja kaikkiin tehtävän suorittamiseksi tarvittaviin dokumentteihin ja tietoon; pääsy kaikkiin toimitiloihin, mukaan lukien tietojenkäsittelyvälineisiin ja -keinoihin. Johtava valvontaviranomainen/ One Stop Shop : Pääkonttorin sijaintimaan tietosuojaviranomainen toimii johtavana valvontaviranomaisena, joka on vastuussa koko yrityksen tietojenkäsittelyn valvonnasta kaikissa EU:n jäsenmaissa Rangaistukset: a) kirjallinen varoitus ensimmäisestä ja tahattomasta noudattamatta jättämisestä; b) säännölliset, kausittaiset tietosuoja-auditoinnit; c) sakko, joka voi olla jopa 100 000 000 EUR tai 5% vuosittaisesta maailmanlaajuisesta liikevaihdosta (kumpi on korkeampi), kun kyseessä on yritys 7 Jarno Vanto
MITÄ ON EDESSÄ TIETOSUOJA-ASETUS Yrityksen sisäiset sitovat tietosuojasäännöt ( BCR ): Henkilötietoja ei voi siirtää (esim. antaa pääsyä henkilöstöhallinnon tarkoituksiin) EU:n ulkopuolelle maihin, joiden ei katsota tarjoavan riittävää tietosuojan tasoa. Esim. Yhdysvallat ja Intia ovat tällaisia maita. BCR:t ovat tietosuojaviranomaisen hyväksymät konsernin toimintasäännöt siitä, miten konserni käsittelee ja siirtää henkilötietoja konsernin sisäisesti maailmanlaajuisesti. BCR:t mahdollistavat henkilötietojen maailmanlaajuisen siirron ja saatavuuden konsernin sisällä. BCR:t ovat jo käytettävissä oleva instrumentti tietosuojaviranomaisten yhteistyömekanismin kautta, mutta Asetus tuo ne lain tasolle suurempien monikansallisten yhtiöiden osalta. BCR:n elementit: Laajuus: datakategoriat, käsittelyn tarkoitukset, BCR:n piiriin kuuluvat yhtiöt ja rekisteröityjen ryhmät, maat Oikeudellisesti sitova luonne Yleiset tietosuojaperiaatteet Rekisteröityjen oikeudet ja keinot oikeuksien toteuttamiseksi EU:n alueella olevan rekisterinpitäjän vastuu koskien BCR:n liittyvää rikkomusta EU:n ulkopuolella (paitsi milloin ko. rekisterinpitäjä todistettavasti ei ole vastuussa rikkomukseen johtaneesta tapahtumasta) Miten BCR:istä ilmenevä tieto välitetään rekisteröidylle Tietosuojavastaavan tehtävät (sisältäen mm. konsernin sisäisen valvonnan, BCR:n noudattamisen varmistamisen, kouluttamisen sekä valitusten käsittelyn) Konsernin sisäiset mekanismit BCR:n noudattamisen varmistamiseksi (säännölliset auditoinnit) Mekanismit BCR:n muutosten raportointiin, tallentamiseen, ja näiden muutosten raportoimiseen valvontaviranomaiselle Yhteistyömekanismit valvontaviranomaisen kanssa BCR:n noudattamisen varmistamiseksi (verifiointitietojen antaminen viranomaiselle) 8 Jarno Vanto
TIETOSUOJAVASTAAVA Edellytykset: Tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus Teknisen osaamisen hallinta koskien sisäänrakennettua ja oletusarvoista tietosuojaa sekä tietoturvaa Toimialakohtainen tieto yrityksen koon sekä käsiteltävän tiedon arkaluonteisuuden mukaisesti Kyky suorittaa auditointeja, konsultaatioita, dokumentointia ja lokitiedostojen analysointia Valmiudet työskennellä työntekijöiden edustajien kanssa Rekisterinpitäjän tulee mahdollistaa tietosuojavastaavan osallistuminen syventävään koulutukseen velvollisuuksien suorittamiseen vaadittavan erityisosaamisen ylläpitämiseksi Raportoi C-tason johdolle sekä hallitukselle 9 Jarno Vanto
TIETOSUOJAVASTAAVA Päätehtävät: Tiedottaa, informoida ja opastaa yritystä Asetuksen sille asettamista velvollisuuksista Valvoa yrityksen käytäntöjen toteuttamista henkilötietojen suojan näkökulmasta, mukaan lukien velvollisuuksien määrittämien, mukana olevan henkilöstön kouluttaminen tietojenkäsittelyoperaatioihin, sekä asiaan liittyvät auditoinnit Valvoa Asetuksen toteuttamista sekä varmistaa, että rekisteröityjä informoidaan, ja että he voivat harjoittaa Asetuksen heille suomia oikeuksia Varmistaa Asetuksen vaatiman dokumentaation ylläpito Henkilötietojen käsittelyä koskevien loukkausten dokumentoinnin, tiedoksiannon ja kommunikoinnin valvonta Tietosuojavaikutusten arvioinnin suorittaminen Monitoroida vastauksia tietosuojaviranomaisen pyyntöihin, ja omien valtuuksiensa rajoissa tehdä yhteistyötä tietosuojaviranomaisen kanssa tämän pyynnöstä tai tietosuojavastaavan omasta aloitteesta Toimia kontaktina tietosuojaviranomaiseen nähden sekä konsultoida omasta aloitteestaan tietosuojaviranomaista, jos tämä on tarkoituksenmukaista Informoida työntekijöiden edustajia työntekijöiden henkilötietojen käsittelystä 10 Jarno Vanto
MITÄ TEIDÄN YRITYKSESSÄNNE PITÄISI TEHDÄ? To Do List: Selvittäkää millaista dataa ja minne (i) yhtiön sisällä liikkuu ja (ii) yhtiön palveluntarjoajille liikkuu Auditoikaa yhtiön tietosuoja- ja tietoturvakäytännöt Miettikää mihin tietosuoja voidaan organisatorisesti yhtiössänne sijoittaa Asetuksen tasolla keskeiset rangaistuksen arvioinnissa huomioonotettavat seikat liittyvät siihen, onko yhtiö ryhtynyt riittäviin compliance-toimenpiteisiin Katsokaa onko D&O vakuutuksenne piiriin otettu tietosuojaa koskevat kysymykset ja onko yrityksenne vakuutettu tällaisten riskien osalta Luokaa yritykseenne prosessi henkilötietovuotojen hallintaan muistakaa US discovery jos yrityksenne toimii siellä Huolehtikaa että työntekijänne ovat saaneet asemansa edellyttämän koulutuksen tietosuoja-asioista Tavoitteena data protection compliance program 11 Jarno Vanto
YHTEYSTIEDOT Jarno Vanto Attorney at law, Partner, New York Direct +1 212 535 2556 Mobile +1 917 767 5058 Email jarno.vanto@borenius.com Attorneys-At-Law Borenius LLP 65 Broadway Suite 503, New York, NY 10006 Tel. +1 212 535 2556 Fax +1 347 269 3269 www.borenius.com/newyork 12 Jarno Vanto
13 Jarno Vanto