EU:n tietosuoja-asetuksen liiketoimintavaikutukset yrityksille itsmf Aamiaisseminaari Jukka Lång, asianajaja, CIPP/E (Twitter: @JukkaLang)
Sisältö EU:n tietosuojauudistus osana digitalisaation murrosta GDPR = General Data Protection Regulation Uudistuksen keskeisin sisältö Kasvavista velvoitteista huolehtiminen käytännössä Näkemyksiä ja suosituksia tietohallinnolle ja riskienhallintaan
DIGITALISAATION MURROS
Data on kaiken keskiössä Cloud Computing, Big Data, IoT, Connected Home, AI Datan määrä kasvaa räjähdysmäisesti Innovaatiot perustuvat yhä useammin henkilötietojen hyödyntämismahdollisuudelle Tiedosta on tullut tuotannontekijä
Maailman arvokkaimmat brändit 2008 ja 2016 2008 2016 Brändi Arvo (MUSD) Brändi Arvo (MUSD) 1 Google 86.057 1 Google 229.198 2 General Electric 71.379 2 Apple 228.460 3 Microsoft 70.887 3 Microsoft 121.284 4 Coca-Cola 58.208 4 AT&T 107.387 5 China Mobile 57.225 5 Facebook 102.551 6 IBM 55.335 6 VISA 100.800 7 Apple 55.206 7 Amazon 98.988 8 McDonald's 49.499 8 Verizon 93.220 9 Nokia 43.975 9 McDonald's 88.654 10 Marlboro 37.324 10 IBM 86.206 Lähde: Kantar Millward Brown
Dataa hallinnoivat organisaatiot paljon vartijana Yksilön digitaalinen jalanjälki uhkien lähde Data muodostuu useissa tilanteissa henkilötiedoista Verkottunut tietojen käsittely heikentänyt toimijoiden kontrollia ja hämmentänyt vastuita Kyberturvallisuusuhat todellisia Yksityisyys on perusoikeus Itsemääräämisoikeus omista tiedoista Oikeus tietää omien tietojen käsittelystä
DIGITALISAATION JURIDINEN DISRUPTIO
Datan vallankumouksen komplikaatiot Yksityisyyden suojan kyseenalaistuminen Omistusoikeuden käsitteen särkyminen Aseettomuus kyberuhkien edessä Vastuiden hämärtyminen Riski fokuksen katoamisesta
GDPR
EU ja kiristyvä tietosuojalainsäädäntö EU ottanut hyvin kunnianhimoisen asenteen datan sääntelyyn Tulossa merkittäviä rajoituksia digitaaliselle liiketoiminnalle esimerkkejä GDPR:n soveltamisalasta: käsittelyn ulkoistaminen ja pilviratkaisujen käyttö datan kerääminen, käyttö ja jakaminen asiakkaiden profilointi Big Data analytiikan hyödyntäminen tietojärjestelmien lokien hallinta
Tietosuojan uusi rooli GDPR pakottaa organisaatiot muuttamaan suhtautumistaan dataan Laajat velvoitteet datan käsittelyssä Rajoitetut datan hyödyntämisoikeudet Käyttötarkoitussidonnaisuuden orjuus Kasvavat vastuut ja sakkouhka
Henkilötiedon käsite Henkilötiedolla tarkoitetaan: kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröity, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella (GDPR 4 art. kohta 1)
EU:N TIETOSUOJAUUDISTUS
Tietosuojauudistuksen vaiheet Komission ehdotus tammikuu 2012 Neuvoston versio kesäkuu 2015 Virallinen hyväksyminen 15.4.2016 OM:n työryhmän mietintö 31.5.2017 EU:n tietosuojaneuvosto Kevät 2018 2012 2013 2014 2015 2016 2017 2018 Parlamentin versio maaliskuu 2014 Suomen HaV:n lausunto joulukuu 2015 Trilogineuvotteluiden ratkaisu joulukuu 2015 Voimaantulo 25.5.2018
EU:n tietosuojauudistuksen ydin Sääntely harmonisoituu EU:n digitaaliset sisämarkkinat Yksilöiden oikeudet laajentuvat Kontrolli omaan dataan Yritysten velvollisuudet lisääntyvät Riskit kasvavat Valvonta voimistuu Sanktiot ja laaja soveltamisala
Tietosuojaviranomaisten toimivaltaan kuuluvat hallinnolliset sanktiot tulevat tilkitsemään tietosuojan seuraamusjärjestelmässä olevan ammottavan aukon. [ ] Lainvastaisesta toiminnasta, joskaan ei tässä yhteydessä varsinaisesti rikoksesta, hyötyvä rekisterinpitäjäorganisaatio on päässyt kuin koira veräjästä. Tietosuojavaltuutettu Reijo Aarnio blogi 1.3.2017, Totuus hallinnollisista sanktioista
Uusi sanktiouhka Asetuksen rikkomisesta voi seurata rikkomuksen vakavuuden perusteella määräytyvä hallinnollinen sakko Ylempi sakkoluokka 20.000.000 euroa tai 4 % liikevaihdosta Lasketaan yrityksen (konsernin) edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta Kansallisella tietosuojaviranomaisella merkittävä harkinnanvara sakon määrästä
Asetuksen ensisijaisena tavoitteena on edistää digitaalisten sisämarkkinoiden kehittymistä, kilpailukykyä ja talouskasvua. Siksi olen huolestuneena seurannut tietosuoja-aiheista viestintää, jonka kärkenä on suoranaisesti pelotella toimijoita sanktioilla. Se on mielestäni erinäisiltä kouluttajilta ja konsulteilta lyhytnäköistä kerman kuorintaa, joka kääntyy itseään vastaan. Tietosuojavaltuutettu Reijo Aarnio blogi 1.3.2017, Totuus hallinnollisista sanktioista
10.3.2017
Uudet vastuusuhteet Vastuu henkilötiedoista suhteessa rekisteröityihin ja viranomaisiin ollut nykylain alla rekisterinpitäjän roolissa olevalla yrityksellä Käsittelijän roolissa olevien palveluntarjoajien vastuuasema ja riskit muuttuvat GDPR:n myötä olennaisesti Taustalla käsittelijöiden roolin ja merkityksen kasvu henkilötietojen käsittelyssä
Käsittelijän roolin ja palveluntarjoajien juridisen aseman merkittävä muutos Lisää tehtäviä ja vastuita Kirjallinen sopimus pakolliseksi Sopimuksen vähimmäissisältö määritelty Suorien sanktioiden ja vastuun mahdollisuus Käsittelijän riskien merkittävä kasvu
UUSIA VAATIMUKSIA JA UUDISTUMISEN TARVE
GDPR edellyttää organisaatiolta investointeja uudenlaiseen tekemiseen 1. Data-assettien haltuunottaminen 2. Uusien toimintatapojen omaksuminen 3. Vaatimustenmukaisuuden hallinta 4. Kyvykkyyksien luominen 5. Organisoituminen ja tietosuojafunktion perustaminen
Compliancesta accountabilityyn Compliance Vaatimustenmukaisuus Lainsäädännön noudattamisen varmistaminen Do it Accountability Osoittamisvelvollisuus Lainsäädännön noudattamisen osoittaminen Prove it
GDPR:stä seuraavia käytännön vaatimuksia 1(2) Suunnitteleminen Data Protection by Design and Default Data Protection Impact Assessments Sertifiointimahdollisuuksien arvioiminen Varautuminen Valmiuden luominen tietoturvaloukkauksista ilmoittamiselle Riskiarvioinnit Toimittajien ja alihankintaketjujen hallinta (sopimukset)
GDPR:stä seuraavia käytännön vaatimuksia 2(2) Kehittäminen Tietosuojavaatimusten implementoiminen järjestelmiin (Subject Access, Data Portability, Right to be Forgotten) Datan poistopolitiikka Dokumentoiminen Osoittamisvelvollisuuden toteuttaminen ( paper trail ) Järjestelmien lokit Selosteiden päivittäminen/ tietotilinpäätös
Organisaatiolle tietosuojavastaava? Velvollisuus nimittää tietosuojavastaava vain: 1) julkisella sektorilla; 2) jos organisaation ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa; tai 3) jos organisaation keskeiset tehtävät muodostuvat arkaluonteisten henkilötietojen käsittelystä
Asetuksen kustannusvaikutukset = välittömät kustannukset = välilliset kustannukset
LIIKETOIMINTAVAIKUTUKSET JOHTOPÄÄTÖKSIÄ
Yritysjärjestelytilanteet konkretisoivat datan arvon ja tietosuojan merkityksen Havaittujen riskien hintavaikutus yrityskauppatilanteissa Tietosuoja-asetus muuttaa nykytilannetta potentiaalisille riskeille asetettavissa olevan hintalapun seurauksena Datan arvo voidaan maksimoida konsernin rakennejärjestelyn kautta keskittämällä ja monistamalla dataan kohdistuvia oikeuksia Mahdollisuus jakaa dataa konserniyhtiöiden kesken
GDPR:n liiketoimintavaikutukset First thoughts - uusia compliance-kustannuksia ja ylimääräistä työtä - tietoturvan juridisoituminen - tuotteiden ja palveluiden toteutuksen sääntely - abstrakteja ja epäselviksi jääviä velvollisuuksia - suomalaisille vierasta ajattelua - pakottaa tietosuojan osaksi muita toimintoja Second thoughts + konkreettisia työkaluja käytännön ongelmien ratkaisemiseksi + boostia hallinnolliseen tietoturvaan + Laadullisesti paremmat tuotteet ja palvelut + joustavaa sääntelyä ja mahdollisuus parhaiden käytäntöjen etsimiseen + globaalien markkinoiden avautuminen + tuo tietosuojan osaksi muita toimintoja
Kiitos! Jukka Lång Head of Data Protection, Marketing & Consumers Osakas, OTM, FM, CIPP/E Puh. +358 40 719 4317 Sähköposti: jukka.lang@dittmar.fi Twitter: @JukkaLang