Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 3.Luento Lainsäädännön merkitys yritykselle ja sen turvallisuudelle Turvallisuuteen liittyvää lainsäädäntöä Yhteistoiminta viranomaisten kanssa 1
Luennon painopiste Lainsäädännön merkityksen ymmärtäminen yrityksen toiminnassa Joidenkin keskeisten lakien esittely Insinöörin ei koskaan pidä yrittää tulkita lakia Joka vierasta valtiota hyödyttääkseen tai Suomea vahingoittaakseen hankkii tiedon sellaisesta Suomen maanpuolustusta tai muuta poikkeuksellisiin oloihin varautumista, Suomen ulkomaansuhteita, valtiontaloutta, ulkomaankauppaa tai energiahuoltoa koskevasta taikka muusta niihin rinnastettavasta, Suomen turvallisuuteen vaikuttavasta seikasta, jonka tuleminen vieraan valtion tietoon voi aiheuttaa vahinkoa Suomen maanpuolustukselle, turvallisuudelle, ulkomaansuhteille tai kansantaloudelle, on tuomittava vakoilusta vankeuteen vähintään yhdeksi ja enintään kymmeneksi vuodeksi. (RL, 12 luku 5) Laki edistää omaa toimintaa Toiminta on luvanvaraista Viestintämarkkinalaki (396/1997) Laki suosii omaa yritystä Postitoimintalaki (N:o 907/ 1993 ) Laki jättää tehtäviä yritykselle Laki yksityisistä turvapalveluista (282/2002) 2
Laki asettaa reunaehtoja toiminnalle Yrityksen on noudatettava yhteiskunnan pelisääntöjä Rikoslaki (39/89) Henkilötietolaki (523/1999) Laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta (565/1999) Eri aloja koskevaa lainsäädäntöä Laki antaa valtuuksia Turvallisuuden parantamiseksi voidaan käyttää erilaisia keinoja Laki turvallisuusselvityksistä (177/2002) Rikosten välitön estäminen Hätävarjelu (RL 3 luku 6) Vartijoiden toiminta Laki yksityisistä turvapalveluista (282/2002) 3
Laki pelotteena Rikollisesta toiminnasta seuraa rangaistus Rangaistuksen uhka toimii pelotteena Rikoslaki Rikoslaki 19.12.1889/39 Me Aleksander Kolmas, Jumalan Armosta, koko Venäjänmaan Keisari ja Itsevaltias, Puolanmaan Zsaari, Suomen Suuriruhtinas, y.m., y.m., y.m. Teemme tiettäväksi: Suomenmaan Valtiosäätyjen alamaisesta esityksestä tahdomme Me täten armosta vahvistaa seuraavan rikoslain Suomen Suuriruhtinaanmaalle, jonka voimaanpanemisesta, niinkuin myöskin rangaistusten täytäntöönpanosta erityinen asetus annetaan Päivitetty jatkuvasti Tavallisen kansalaisen olennaisin laki 4
Rikoksia Sodankäyntirikos Ihmisoikeuksien loukkaaminen poikkeuksellisissa oloissa Joukkotuhonta Kemiallisen aseen kiellon rikkominen Kiihottaminen kansanryhmää vastaan Syrjintä Suomen itsemääräämisoikeuden vaarantaminen Sotaan yllyttäminen Maanpetos Vakoilu Yrityssalaisuus Yrityssalaisuudella tarkoitetaan tässä luvussa liike- tai ammattisalaisuutta taikka muuta vastaavaa elinkeinotoimintaa koskevaa tietoa, jonka elinkeinonharjoittaja pitää salassa ja jonka ilmaiseminen olisi omiaan aiheuttamaan taloudellista vahinkoa joko hänelle tai toiselle elinkeinonharjoittajalle, joka on uskonut tiedon hänelle 5
Yritysvakoilu Joka oikeudettomasti hankkii tiedon toiselle kuuluvasta yrityssalaisuudesta tunkeutumalla ulkopuolisilta suljettuun paikkaan taikka ulkopuolisilta suojattuun tietojärjestelmään hankkimalla haltuunsa tai jäljentämällä asiakirjan tai muun tallenteen taikka muulla siihen rinnastettavalla tavalla tai käyttämällä teknistä erikoislaitetta tarkoituksin oikeudettomasti ilmaista tällainen salaisuus tai oikeudettomasti käyttää sitä, on tuomittava, jollei teosta ole muualla laissa säädetty ankarampaa rangaistusta, yritysvakoilusta sakkoon tai vankeuteen enintään kahdeksi vuodeksi. (RL, 30 luku, 4) Yrityssalaisuuden rikkominen Joka hankkiakseen itselleen tai toiselle taloudellista hyötyä tai toista vahingoittaakseen oikeudettomasti ilmaisee toiselle kuuluvan yrityssalaisuuden tai oikeudettomasti käyttää tällaista yrityssalaisuutta, jonka hän on saanut tietoonsa ollessaan toisen palveluksessa toimiessaan yhteisöntai säätiön hallintoneuvoston tai hallituksen jäsenenä,toimitusjohtajana, tilintarkastajana tai selvitysmiehenä taikka niihin rinnastettavassa tehtävässä, suorittaessaan tehtävää toisen puolestatai muuten luottamuksellisessa liikesuhteessa tai yrityksen saneerausmenettelyn yhteydessä, on tuomittava, jollei teosta ole muualla laissa säädetty ankarampaa rangaistusta, yrityssalaisuuden rikkomisesta sakkoon tai vankeuteen enintään kahdeksi vuodeksi. (RL, 30 luku, 5) 6
Pahoinpitely Joka tekee toiselle ruumiillista väkivaltaa taikka tällaista väkivaltaa tekemättä vahingoittaa toisen terveyttä, aiheuttaa toiselle kipua tai saattaa toisen tiedottomaan tai muuhun vastaavaan tilaan, on tuomittava pahoinpitelystä sakkoon tai vankeuteen enintään kahdeksi vuodeksi. (RL, 21 luku, 5) Kuolemantuottamus Joka huolimattomuudellaan aiheuttaa toisen kuoleman, on tuomittava kuolemantuottamuksesta sakkoon tai vankeuteen enintään kahdeksi vuodeksi. (RL, 21 luku, 8) 7
Tappo ja Murha Joka tappaa toisen, on tuomittava taposta vankeuteen määräajaksi, vähintään kahdeksaksi vuodeksi. (RL, 21 luku, 1) Jos tappo tehdään vakaasti harkiten, erityisen raa'alla tai julmalla tavalla, vakavaa yleistä vaaraa aiheuttaen tai tappamalla virkamies hänen ollessaan virkansa puolesta ylläpitämässä järjestystätai turvallisuutta taikka virkatoimen vuoks ja rikos on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava murhasta vankeuteen elinkaudeksi. (RL, 21 luku, 2) Julkisrauhan rikkominen Joka oikeudettomasti tunkeutuu taikka menee salaa tai toista harhauttaen virastoon, liikehuoneistoon, toimistoon, tuotantolaitokseen, kokoustilaan taikka muuhun vastaavaan huoneistoon tai rakennukseen tai sellaisen rakennuksen aidatulle piha-alueelle taikka kasarmialueelle tai muulle puolustusvoimien käytössä olevalle alueelle, jolla liikkuminen on asianomaisen viranomaisen päätöksellä kielletty, taikka kätkeytyy tai jää 1 kohdassa tarkoitettuun paikkaan, on tuomittava julkisrauhan rikkomisesta sakkoon tai vankeuteen enintään kuudeksi kuukaudeksi. (RL, 24 luku, 3) 8
Varkaus ja kavallus Joka anastaa toisen hallusta irtainta omaisuutta, on tuomittava varkaudesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi kuudeksi kuukaudeksi. (RL, 28 luku, 1) Joka anastaa hallussaan olevia varoja tai muuta irtainta omaisuutta, on tuomittava kavalluksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi kuudeksi kuukaudeksi. (RL, 21 luku, 4) Henkilötietolaki 22.4.1999/523 Tämän lain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. (1 luku 1) 9
Henkilötieto henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi; (1 luku 3) Mikä tahansa tieto, joka voidaan yhdistää tiettyyn henkilöön Sähköposti Tietokoneen käyttäjätiedot Valvontavideonauha Henkilötietojen käsittely henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä; (1 luku 3) 10
Käsittelyn edellytykset rekisteröidyn yksiselitteisesti antamalla suostumuksella jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus); (2 luku 8) Käsiteltävät tiedot Käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus). Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle. (2 luku 9) 11
Tietosuoja ja tietoturva Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. (7 luku 32) Yhteenveto henkilötietolaista Tietoja saa kerätä, jos siihen on olemassa hyväksytty syy, esimerkiksi asiakassuhde Sellaisia tietoja saa kerätä, jotka ovat välttämättömiä tehtävän hoitamiseksi Tietojen kerääminen, sisältö ja käyttö on suunniteltava etukäteen Tietojen on oltava oikeita Tiedot on suojattava sivullisilta ja väärinkäytöltä Kun hyväksytty syy poistuu, on tiedot hävitettävä 12
Laki yksityisyyden suojasta työelämässä (477/2001) Työnantaja saa kerätä vain tehtävien kannalta olennaisia tietoja Tiedot on kerättävä lähinnä henkilöltä itseltään Muualta saadut tiedot on kerrottava henkilölle Geenitestejä ei saa tehdä Työnantajan oikeudesta käyttää teknistä valvontaa ja valvoa sähköpostin ja tietoverkon käyttöä säädetään erikseen. Työnantaja ei saa toimenpiteillään vaarantaa työntekijän yksityisluonteisten luottamuksellisten viestien salaisuutta sähköpostin ja tietoverkon käytössä. ( 9) Yritys ja viranomaiset Viranomaiset ovat yritykselle tärkeä yhteistyötaho Lupien myöntäminen Valvonta Neuvonta Rikosten torjunta Rikosten selvittäminen 13
Turvallisuuden kannalta merkittäviä viranomaisia Poliisi Rikosten ehkäisy Turvasuunnitelmat Rikosten selvittäminen Paloviranomaiset Suojelusuunnitelmat Tarkastukset Sammutus Selvittäminen Yhteydenpito Yhteyttä kannattaa pitää, vaikka mitään ei tapahtuisikaan Vakituinen yhteyshenkilö Viranomainen voi olla mukana suunnittelussa Asiantuntemus Varmistetaan todisteiden yms. keräys Epävirallinen yhteydenpito 14
Kun jotain sattuu Selvitä, mitä tapahtuu Estä tilanteen paheneminen Jätä selvittäminen viranomaiselle Korjaa välittömät vahingot Estä vastaava tapahtuma tulevaisuudessa Yhteenveto Lait ovat yrityksen turvallisuudelle reunaehdot, jotka määrittelevät miten voi toimia resurssi, joka antaa valtuuksia toimenpiteille pelote, joka pistää potentiaaliset häiriköt miettimään 15
Turvallisuustiedottaminen Kun jotain tapahtuu, tiedottaminen on osa tapahtuman käsittelyä Suunniteltaessa etukäteen toimenpiteitä on suunniteltava myös tiedotus Kuka tiedottaa Kuinka paljon kerrotaan Mitä pyydetään Tiedottamisen onnistuminen vaikuttaa Maineeseen Toiminnan jatkumiseen Tiedottamisen tavoitteet Osapuolet tietävät mitä on tapahtunut Osapuolet osaavat toimia oikein uudessa tilanteessa Luottamus säilyy 16
Tiedottamisen ongelmat Ei ole päätetty, kuka tiedottaa Useita ristiriitaisia viestejä Ketä uskotaan? Tiedottaja ei tiedä riittävästi Viesti on väärä tai epäuskottava Kerrotaan vääriä asioita Paljastuu huijaukseksi Selittelyä 17