itsmf Finland Conference 2016 Focus Kai Erlund, Partner, Dittmar & Indrenius ICT- sopimusten viimeaikaista sopimuskäytäntöä EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin
ICT- sopimusten viimeaikaista sopimuskäytäntöä EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin
Agenda Toimintaympäristön muutos Tietosuoja- asetus tietojen siirtämisen näkökulma Henkilötietojen siirtäminen Schrems vs. Safe Harbor tuomion seuraukset Privacy Shield ja käytännön havaintoja kansainvälisistä markkinakäytännöistä Sopimukset ja riskienhallinta 3 väitettä
EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin TOIMINTAYMPÄRISTÖN MUUTOS
Yleisiä havaintoja 1. Tietosuojasta tullut yrityksille osa vastuullista liiketoimintaa ja keskeinen osa riskinhallintaa 2. Tietosuojalla usein liittymä yrityksen kaikkiin toimintoihin 3. Suomalaisyrityksissä tietosuojavelvoitteet olleet tyypillisesti huonosti hoidettuja ja vastuut epäselviä 4. Tietosuojalla on mahdollisuus luoda lisäarvoa sekä kilpailuetua
Esimerkki sopimus- järjestelyistä: vähittäiskaupan kanta- asiakas- järjestelmät ja data- analytiikka (Lähde: Peter Leonard/ Gilbert + Tobin, IAPP Global Privacy Summit, Washington DC maaliskuu 2013)
GDPR?
Muutoksen syitä EU:n tietosuojauudistus Kehittyvä liiketoiminta Digitalisaatio Teollinen internet Big data Uudenlaiset riskit ja kyberturvallisuusuhat Vakoiluskandaalit ja yksilöiden tietoisuuden kasvu oikeuksistaan
EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin EU:N TIETOSUOJA- ASETUS
Tietosuoja- asetuksen tausta Komission ehdotus tammikuu 2012 Neuvoston versio kesäkuu 2015 Virallinen hyväksyminen 15.4.2016 OM:n työryhmän tulokset arv. 2017 EU:n tietosuoja- neuvosto Kevät 2018 2012 2013 2014 2015 2016 2017 2018 Parlamentin versio maaliskuu 2014 Suomen HaV:n lausunto joulukuu 2015 Trilogi- neuvotteluiden ratkaisu joulukuu 2015 Voimaantulo 25.5.2018
Tietosuoja- asetuksen voimaantulo ja kansallinen voimaansaattaminen Kahden vuoden siirtymäaika Tietosuoja- asetuksen voimaantuloaika 25.5.2018 Siirtymäaikana muun kansallisen tietosuojalainsäädännön uudelleenarviointi ja sovittaminen asetuksen sisältöön Oikeusministeriön työryhmä asetettiin 17.2.2016 Kansallisten lainsäädäntötoimenpiteiden tarpeen selvittäminen Kansallista tietosuojaviranomaista koskevan sääntelyn uudelleenarvioiminen Kansallisen liikkumavaran arvioiminen Kansallisen erityislainsäädännön tarkistamisen koordinoiminen
Tietojen siirtäminen tietosuoja- asetuksen mukaan (1/2) Tietojen siirtäminen kuuluu rekisterinpitäjän jatkuvan informointivelvollisuuden piiriin (30 art.) Tietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille käsitelty asetuksen V luvussa Varsin vähän tosiasiallisia muutoksia nykyiseen asetelmaan Laiminlyöntien sanktiointi ankarimman mukaan Sanktioriski 4 % globaalista liikevaihdosta tai 20.000.000 euroa
Tietojen siirtäminen tietosuoja- asetuksen mukaan (2/2) Tietosuoja- asetuksen V luvun keskeinen sisältö Siirrot tietosuojan riittävyyttä koskevan päätöksen perusteella (45 art.) Komissio tekee uudet arviot hyväksyttyjen kolmansien maiden tietosuojan riittävyydestä Siirto asianmukaisia suojatoimia soveltaen (46 art.) Yritystä koskevat sitovat säännöt (47 art.) Kolmannen maan disclosure- vaatimusten pätemättömyys (48 art.) Erityistilanteita koskevat poikkeukset (49 art.) Komission ja valvontaviranomaisten kansainvälinen yhteistyö henkilötietojen suojaamiseksi (50 art.)
EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin HENKILÖTIETOJEN SIIRTÄMISEN MEKANISMIT
Datan liikkeet ja sopimussuhteet SaaS PaaS IaaS Asiakas Oy Rekisteröidyt IT- palvelut EU Palvelun toimittaja Oy
Tietojen siirtämisen toteutusvaihtoehdot Sallitut siirtoperusteet määritelty tyhjentävästi laissa Yleinen tietosuojan taso Rekisterinpitäjän arvio Komission päätökset HenkilötietoL 5 luku Yksittäistason riittävä tietosuojan taso Mallisopimuslausekkeet Rekisterinpitäjän riittävät takeet (sis. BCR) Poikkeusperusteet Yksiselitteinen suostumus Siirron välttämättömyys Henkilörekisterin erityispiirteet
Data Transfer Agreement käytännössä Huomionarvoista Sopimusosapuolet Data Transfer Agreementin suhde palvelusopimukseen Palvelun- tarjoaja Oy Asiakas Oyj Data exporter Ulkomainen alihankkija Inc. Data importer Konsernisuhde / alihankintasopimus
EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin SCHREMS VS. SAFE HARBOUR TUOMION SEURAUKSET
Eu- tuomioistuimen ratkaisu asiassa Schrems (C- 362/14) 6.10.2015 Asian tausta Tuomion keskeinen sisältö Markkinareaktiot EU:n tietosuojaviranomaisten linjaukset Tietosuojavaltuutetun toimintasuositukset yrityksille
Tietosuojavaltuutetun toimintaohjeet 20.10.2015 Useat verkko- ja pilvipalvelut siirtävät henkilötietoja Yhdysvaltoihin tallennettavaksi tai prosessoitavaksi käyttäen ns. Safe Harbor - järjestelyä. Näitä palveluita käyttävät yritykset ja muut asiakkaat joutuvat nyt EU tuomioistuimen päätöksen vuoksi muuttamaan toimintatapojaan. 1. Selvitä siirrätkö toiminnoissasi henkilötietoja Yhdysvaltoihin. 2. Selvitä sopimuksistasi siirrätkö tai siirtävätkö alihankkijasi henkilötietoja Yhdysvaltoihin Safe Harbor - järjestelyn perusteella. 3. Jos henkilötietoja siirretään Yhdysvaltoihin Safe Harborin nojalla, ota yhteyttä palveluntarjoajaan. 4. Selvitä voitko jatkaa henkilötietojen siirtoa tai palvelun käyttöä muiden tietojensiirtoperusteiden nojalla. Selvitä myös Eurooppaan sijoittuneet vaihtoehdot tarvitsemallesi palvelulle. Ks. tietosuojavaltuutetun opas Henkilötietojen siirto ulkomaille henkilötietolain mukaan. 5. Informoi asiakkaitasi ja muita käyttäjiäsi mahdollisista muutoksista.
EU:n tietosuoja- asetuksen vaikutukset IT- palveluihin ja sopimuksiin PRIVACY SHIELD - JÄRJESTELY
Privacy Shield järjestely: päätösluonnokset 29.2.2016 1. Avoimuus ja valvontamekanismien tehokkuus Edelleensiirtojentiukennetut edellytykset ja vastuusäännökset 2. Rajoitukset ja suojatoimet koskien yhdysvaltalaisten viranomaisten pääsyä tietoihin Yhdysvaltalaisten viranomaisten kirjallinen vakuutus sekä EU:n kansalaisille tarkoitettu oikeussuojamekanismi kansalliseen turvallisuuteen liittyviä asioita varten 3. EU- kansalaisten yksityisyydensuojaa koskevien oikeuksien tehokas suojelu ja oikeussuojakeinot EU:n toimivaltaisen tietosuojaviranomaisen päätösten noudattaminen ja valituksiin vastaaminen määräajassa Privacy Shield paneeli viimeisenä riidanratkaisukeinona 4. Yhteinen vuotuinen tarkastelumekanismi Komissio ja Yhdysvaltojen kauppaministeriö yhteistyössä EU:n tietosuojaviranomaisten sekä Yhdysvaltojen kansallisten turvallisuusviranomaisten sekä oikeusasiamiehen kanssa
Tietosuojatyöryhmän lausunto 13.4.2016 Huomattavia parannuksia Safe Harbour - järjestelyyn verrattuna, puutteita kuitenkin useissa kohdissa 1. Epäselvyys Periaatteet ja sitoumukset osittain päätöksessä ja osittain liitteissä vaikea löydettävyys ja epäjohdonmukaisuus sekä kielen epäselvyys 2. Yhdenmukaisuuden vaatimus Soveltamisalan ja terminologian tulisi olla yhdenmukaista EU:n tietosuojasääntelyn kanssa yleisen tietosuoja- asetuksen huomioiminen 3. Määritelmät Data retention periaate ei käy ilmi. Ehdotetaan, että selkeät määritelmät sovitaan EU:n ja Yhdysvaltojen kesken 4. Tiedon edelleen siirto Tiedon edelleensiirron edellytykset määritelty riittämättömällä tavalla etenkin soveltamisalaa, rajoituksia ja sitoumuksia koskien edelleensiirrolla ei tulisi voida kiertää tai madaltaa EU:n tietosuojaperiaatteita 5. Oikeussuojakeinot Monimutkaisuus, vaikeus ja tehottomuus 6. Massiiviset satunnaiset tiedonkeräykset Yhdysvaltojen viranomaisille myönnetyt poikkeukset kerätä EU- maista tulevaa dataa laajasti ja satunnaisesti kansallisen turvallisuuden nimissä valvonnan tarve
Sopimukset ja riskienhallinta
Vastuut ja vahinkotyypit 1. Lakiin perustuva vahingonkorvausvastuu rekisteröidyille aiheutuvasta taloudellisesta tai muusta vahingosta a) Suomessa nykyisin vain uhkasakko b) EU:n tietosuoja- asetuksen myötä hallinnollinen rikkomuksen vakavuuden perusteella määräytyvä sakko 2. Hallinnollisen velvoitteen rikkomiseen perustuva vastuu 3. Sopimusrikkomukseen perustuva vastuu sopimuskumppanille aiheutuneesta (taloudellisesta) vahingosta a) Vahingonkorvausvastuu b) Indemnity- tyyppinen suoritusvastuu 4. Rikosoikeudellinen vastuu
Aiheutuvien vahinkojen oikeudellinen luonne Välittömiä vahinkoja Vahingon selvittämis- ja rajoittamistoimista aiheutuvat ylimääräiset kustannukset (kuten ylityökustannukset Välillisiä vahinkoja Työntekijöiden työajan kuluminen vahinkoon liittyviin toimenpiteisiin Asiakkaiden menettäminen ja liikevaihdon väheneminen Mainevahingot (mediariski olennaisimpia riskejä käytännössä) Kolmansille maksettavien korvauksien ja sakkojen vahinkoluonne? Vaihtelevia tulkintoja viranomaisten langettamien sanktioiden vahinkoluonteesta Angloamerikkalaisessa oikeuskäytännössä tapahtunut siirtymä laajemman korvattavuuden ja vastuunrajoitusten suppean tulkinnan suuntaan
Taloudellisen vastuun kohdentuminen Henkilötietolain perustalta kaikki taloudellinen vastuu kohdentuu rekisterinpitäjään eli asiakkaaseen Rekisterinpitäjä on henkilötietolaissa määriteltyjen velvollisuuksien subjekti Käsittelijään kohdistuvat suoraan vain 5 (huolellisuusvelvoite) ja 32 (velvoite antaa rekisterinpitäjälle selvitykset ja sitoumukset tietojen suojaamisesta) Vahvistettu tietosuojaviranomaisten linjauksissa ja käytännöissä Palveluntarjoajan taloudellinen vastuu voidaan perustaa vain sopimuksella Tietosuoja- asetus todennäköisesti muuttaa tämän asetelman
Rikosoikeudellinen vastuu Rikoslain 38 luvun 9 (ote) "Joka tahallaan tai törkeästä huolimattomuudesta [ ] käsittelee henkilötietoja vastoin [ ] käyttötarkoitussidonnaisuutta, käsittelyn yleisiä edellytyksiä, henkilötietojen tarpeellisuutta tai virheettömyyttä [ ] koskevia säännöksiä [ ] tai siirtää henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolisiin valtioihin henkilötietolain 5 luvun vastaisesti ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, on tuomittava henkilörekisteririkoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi."
Väite 1 Rekisterinpitäjän roolissa oleva yritys ei sopimuksia tehdessään usein osaa ottaa huomioon korostunutta vastuutaan
Väite 2 Tietosuoja- asetuksen nykyasetelmaan tuoman muutoksen merkittävyyttä ei ole vielä ymmärretty
Väite 3 Sopimuksiin otettavilla tietosuojaehdoilla on suuri merkitys yrityksen riskienhallinnan ja vastuiden kannalta
Kiitos! kai.erlund@dittmar.fi