Tulostusversio

4/2012

Riskienhallinta: Tietosuojan laiminlyönti voi käydä kalliiksi

Teksti: Eija Warma ja Otto Markkanen

Mitä tietosuojasäännösten noudattamatta jättäminen maksaa?

Tietoyhteiskunta ja tiedon käsittely on edennyt pisteeseen, jossa tietosuojan merkitys korostuu lähes kaikilla liiketoiminnan alueilla. Yhtiöt ja organisaatiot ovat tänä päivänä enenevässä määrin riippuvaisia tiedon saatavuudesta, käyttömahdollisuuksista ja hyödyntämisestä.

Oman haasteensa tuovat henkilötiedot ja niiden sääntely. Henkilötietojen käsittelyyn liittyy paitsi mahdollisuuksia, myös riskejä. Riskiin puolestaan liittyy taloudellinen vahinko.

Tietosuojasäännösten noudattamatta jättämiseen liittyvät taloudelliset riskit voidaan jakaa kolmeen ryhmään:

  1. lakiin perustuva vahingonkorvausvastuu
  2. maineriski ja tästä seuraavat taloudelliset menetykset sekä
  3. sopimusperusteinen korvausvastuu.

Lisäksi on syytä huomata, että henkilötietojen sääntelyn rikkomisesta ja laiminlyönnistä voi seurata myös rikosoikeudellinen vastuu muun muassa henkilörekisteririkkomuksen tai henkilörekisteririkoksen muodossa. Niistä voidaan rangaistuksena tuomita sakkoja tai enintään yksi vuosi vankeutta. Nämä seuraamukset ovat luonteeltaan henkilökohtaisia ja kohdistuvat siten aina yksittäiseen henkilöön, kuten yrityksen johtohenkilöön tai yksittäiseen työntekijään.

Huolellisuus ei vapauta vahingonkorvausvastuusta

Henkilötietolain mukaan rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle lain vastaisesta henkilötietojen käsittelystä. Rekisterinpitäjän vastuu on luonteeltaan ankaraa, eli rekisterinpitäjä ei voi vapautua vastuusta edes silloin, kun tämä osoittaa toimineensa kaikin puolin huolellisesti.

Henkilötietolain säännösten noudattamatta jättämisestä seuraava vahinko on lähes poikkeuksetta muuta kuin henkilö- tai esinevahinkoa. Vahingonkorvauslaista johtuvien sääntöjen mukaan vahingonaiheuttajan on korvattava tällainen vahinko vain laissa luetelluissa poikkeustapauksissa. Sen sijaan henkilötietolaissa tällaista rajoitusta ei ole, vaan rekisterinpitäjä on ilman eri perusteita velvollinen korvaamaan kaiken taloudellisen vahingon, jonka vahingon kärsijä on voinut näyttää aiheutuneen henkilötietolain noudattamatta jättämisestä.

Suomessa henkilötietolain mukaista vahingonkorvausvastuuta ei ole sovellettu merkittävissä määrin. On siten epäselvää, missä määrin tällainen vahingonkorvausvastuu voisi toteutua käytännössä. Lainsäännös on kuitenkin sovellettavissa, eikä tällaista riskiä voi sulkea pois.

Vahingon toteennäyttämisen haasteellisuutta havainnollistaa Helsingin käräjäoikeuden ratkaisu vuodelta 2011. Työnantaja oli vaatinut työntekijältä vahingonkorvausta väittäen, että työntekijän sosiaalisessa mediassa työnantajastaan esittämät negatiiviset ilmaukset olivat aiheuttaneet vahinkoa työnantajan toiminnalle. Käräjäoikeus totesi, ettei työnantaja kyennyt näyttämään toteen aiheutunutta vahinkoa, eikä korvausta tuomittu maksettavaksi. Vaikka tapaus sinänsä ei liity henkilötietolain soveltamiseen, on se omiaan osoittamaan vahingon toteennäyttämisen haasteita tilanteessa, jossa vahingollinen teko on liittynyt vain tiedon käsittelyyn.

Huono maine karkottaa asiakkaat

Suomessa toistaiseksi merkittävin ja konkreettisin liiketoimintaan liittyvä riski henkilötietojen käsittelyssä on julkisuuteen tulevien tapahtumien, kuten tietomurtojen, aiheuttama maineriski sekä tästä aiheutuvat taloudelliset menetykset.

Äkillisten tilanteiden, kuten erityisesti tietomurtojen, selvittäminen voi vaatia yritykseltä merkittäviä taloudellisia panostuksia. Niin ikään huono julkisuus voi vaikuttaa kielteisesti liikevaihtoon vaikkapa silloin, kun asiakkaat siirtyvät käyttämään kilpailijayrityksen palveluita tai lopettavat palvelun käytön.

Pahimmillaan suurella julkisuudella voi olla vahingollisia vaikutuksia jopa yksittäisen yhtiön pörssikursseihin ja markkina-arvoon. Esimerkkinä voidaan mainita peliyhtiö Sonyyn kohdistuneet tietomurtotapaukset vuonna 2011, joissa yhtiön asiakastietoja varastettiin tietomurron seurauksena. Tapauksen hintalapuksi on arvioitu jopa 171 miljoonaa dollaria.

Sonyn kärsimiin taloudellisiin tappioihin sisältyvät esimerkiksi korvausten maksaminen niille, joiden henkilötietoja on viety, yksittäiset markkinointi- ja asiakaskampanjat vanhojen asiakkuuksien säilyttämiseksi, asiakaspalvelukustannukset, tietoverkon turvallisuuden kehittäminen sekä erinäiset palkkiot asianajajille ja tietotekniikan asiantuntijoille. Lisäksi tietomurron yhteydessä Sonyn osakkeen hinta laski pörssissä kokonaisuudessaan 12 prosenttia, mikä vastaa noin 3,6 miljardin dollarin arvonmenetystä.

Vaikka tapaus Sony ei ole suomalainen esimerkki, eivätkä kustannukset välttämättä Suomessa nousisi vastaaviin lukemiin, on julkisuudella myös Suomessa merkittävä vaikutus yhtiöiden liiketoimintaan. Viime aikoina on muun muassa havaittu esimerkkejä tilanteista, joissa asiakkaat lopettavat palvelun käytön tai vaihtavat palveluntarjoajaa, mikäli palveluntarjoajan tietosuojassa on epäilty olevan puutteita. Tällaisissa tilanteissa tietosuojasäännösten noudattamisella ja tietosuojaan panostamisella onkin havaittu olevan merkittävää vaikutusta asiakkaan ja palveluntarjoajan väliseen luottamussuhteeseen.

Toimeksisaaja voi joutua korvausvastuuseen

Yritykset sopivat tietojenkäsittelypalveluita hankkiessaan yhä enenevässä määrin nimenomaisesti myös tietosuojaan liittyvistä kysymyksistä. Pelkästään sovellettavan lain ei katsota tarjoavan riittävää suojaa taloudellisia riskejä vastaan. Kuten yllä mainitusta Sonyn tapauksesta käy ilmi, henkilötietojen käsittelyyn ja erityisesti tietovuotoihin liittyvät vahingot voivat olla taloudellisesti huomattavia.

Erityisenä esimerkkinä voidaan mainita henkilötietojen käsittelyn ulkoistamiseen liittyvät palvelusopimukset, kuten pilvipalvelut. Henkilötietolain mukaan rekisterinpitäjä ei voi ulkoistaa lainmukaista vastuutaan kolmannelle osapuolelle. Vaikka vahinko aiheutuisi toimeksisaajan toiminnassa, vastaa rekisterinpitäjä silti rekisteröidylle tai muille kolmansille tahoille aiheutuneista vahingoista.

Käytännössä kuitenkin henkilötietojen käsittelyn ulkoistaminen tarkoittaa tosiasiallisen kontrollin osittaista luovuttamista pois rekisterinpitäjän omista käsistä. Tämän vuoksi osapuolet sopivat sopimuksin yhä enenevässä määrin siitä, miten ja missä tilanteissa toimeksisaaja sitoutuu hyvittämään rekisterinpitäjälle tämän kärsimän vahingon. Sopimuksilla on siten yhä merkittävämpi rooli myös tietosuojasäännösten riskienhallintamekanismina.

Tulevaisuudessa kovemmat sanktiot?

Suomessa henkilötietojen käsittelyn sääntöjen noudattaminen on toistaiseksi perustunut suuressa määrin yleiseen lainkuuliaisuuteen eikä niinkään kustannusriskien välttämiseen. Toistaiseksi tällaiset kustannusriskit liittyvät suurelta osin kielteisestä julkisuudesta koituvaan taloudelliseen vahinkoon.

Varsinaiset henkilötietolain nojalla tuomittavat vahingonkorvaukset puolestaan ovat suhteellisen harvinaisia. Toisaalta sopimusperusteiset korvausvastuut ja niihin liittyvät riskit ovat yleistymässä, ja sopimuksia käytetään riskienhallinnan keinona myös henkilötietojen käsittelyssä.

Tulevaisuudessa tilanne saattaa kuitenkin muuttua. Euroopan komissio on tammikuussa 2012 antanut ehdotuksensa uudeksi henkilötietojen sääntelyä koskevaksi asetukseksi. Nykymuodossaan se toisi rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuuden maksaa hallinnollisia sanktiomaksuja säännösten noudattamatta jättämisestä. Enimmillään nämä sanktiomaksut olisivat nykyisen ehdotuksen mukaan jopa 2 prosenttia yrityksen maailmanlaajuisesta liikevaihdosta. Mikäli ehdotus tulee voimaan tämän sisältöisenä, voi tietosuojasäännösten noudattamatta jättäminen käydä hyvinkin kalliiksi.

---

[KIRJOITTAJAT]

Kirjoittajat työskentelevät Asianajotoimisto Castrén & Snellman Oy:ssä. Asianajaja, LL.M. Eija Warma on erikoistunut yksityisyydensuojaan ja henkilötietojen käsittelyyn liittyviin kysymyksiin. OTM, Otto Markkanen on erikoistunut teknologiaan ja tietosuojaan liittyviin kysymyksiin.

Lue myös

Riskienhallinta: Tietoturvaloukkaus on riski myös maineelle »
Riskienhallinta: Viisas varautuu verkkohyökkäykseen »
Riskienhallinta: Hataran tietoturvan kavalat seuraukset »
Riskienhallinta: Varaudu hyvin »
Riskienhallinta: Peruspilarit »
Riskienhallinta: Oma laite ei käy kaikkeen »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.