Kuka vastaa yrityksen tietosuojasta? Tutustu johdon tietosuojavastuisiin.
Mikä on hallituksen ja toimitusjohtajan vastuu tietosuojasta?
Johdon vastuu tietosuojasta on yleisluonteista. Yrityksen ollessa rekisterinpitäjä, vastuu henkilöityy ylimpään johtoon, toimitusjohtajaan ja hallitukseen. Tietosuoja-asetuksen mukaan johdon tehtävänä on järjestää tietosuojan vaatimat tekniset ja organisatoriset resurssit.
Teknisillä resursseilla tarkoitetaan tietoturvallisia tiloja, koulutusresursseja, palvelimia, ohjelmistoja ja ylipäätänsä riittävää budjetointia, jonka tietosuojan menestyksekäs hoitaminen edellyttää. Organisatorisilla resursseilla tarkoitetaan sopivan henkilökunnan palkkaamista, kouluttamista sekä ohjeistusta, valvomista ja osaamisen kehittämistä. Tietoturvajohtaminen on kaikkea tätä.
Taloudellinen vastuu loukkauksista
Vastuu jakautuu taloudelliseen ja rikosvastuuseen. Taloudellisia korvauksia voivat vaatia ne rekisteröidyt, joiden oikeuksia laiminlyönnit ovat loukanneet. Johdon vastuu on kuitenkin tässä toissijaista. Yhtiö vastaa esimerkiksi seuraamusmaksuista, joita tietosuojaviranomaiset voivat määrätä yritykselle ja korvauksista, joita yritys joutuu maksamaan loukatuille.
Tietosuojarikos
Pahimmillaan johto voi joutua myös henkilökohtaiseen vastuuseen.
Rikoslain 38 luvun 9 §:n 1 momentin mukaan joka muutoin kuin rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin henkilötietoja suojaavaa sääntelyä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, on tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
Säännöksen 2 momentin mukaan tietosuojarikoksesta tuomitaan myös se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä 1 momentissa luetelluisssa henkilötietoja suojaavissa säädöksissä säädetään henkilötietojen käsittelyn turvallisuudesta.
EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi annetussa hallituksen esityksessä todetaan hallinnollisten seuraamusmaksujen ja rikosoikeudellisen vastuun suhteesta:
“ … rikosoikeudellinen vastuu tulisi kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei olisi asetuksen nojalla hallinnollisten seuraamusmaksujen piirissä.” (HE 9/2018, 38 lukua käsittelevä kohta)
Johdon erityisvastuu
Turvallisuutta koskevan toisen momentin osalta huomionarvoista on se, että se edellyttää toimimista. Toinen momentti ei kriminaisoi laiminlyöntiä. Näin ollen rikoslain 3 luvun 3 §:n mukainen varsinainen laiminlyöntirikos ei tule kyseeseen. Saman säännöksen mukainen epävarsinainen laiminlyöntirikos edellyttää, että tekijä on jättänyt estämättä tunnusmerkistön mukaisen seurauksen syntymisen, vaikka hänellä on ollut erityinen asemaan perustuva oikeudellinen velvollisuus estää seurauksen syntyminen.
Varsinaisen ja epävarsinaisen laiminlyöntirikoksen struktuuri poikkeaa toimintarikoksen rakenteesta. Joka on toimimalla toteuttanut rikoksen, on osoittanut mitä selvimmin, että hänellä on ollut sekä tilaisuus että kyky toimia. Laiminlyönnin kohdalla on tutkinnan kohteena, olisiko epäilty voinut toimia vaaditulla tavalla seurauksen ehkäisemiseksi. On huomioitava, että epävarsinainen laiminlyöntirikos edellyttää paitsi asemaa, niin myös kykyä estää seuraus. Dan Frände käyttää esimerkkiä: “Perheen piirissä tulee huolehtia toisista, mistä muun muassa seuraa että isä, joka jättää lapsensa hukkumaan, vaikka olisi kyennyt tämän pelastamaan, tuomitaan taposta.” Tekijällä tulee olla kyky ja tilaisuus havaita riskit. Tämän lisäksi edellytetään, että tekijällä oli kyky ja tilaisuus toteuttaa se, mikä olisi estänyt seurauksen.
Johdon rikosvastuu edellyttää tahallisuutta tai törkeää huolimattomuutta. Hallituksen jäsenet, jotka ovat pyrkineet toimimaan huolellisesti, mutta joilta asioiden oikea tila on pimitetty voivat suojautua rikosvastuulta. Toisaalta hallituksen tulee osoittaa, että se on toiminut huolellisesti. Tällöin esimerkiksi ulkopuolisten ammattilaisten ajoittaiset tarkastukset, koulutus, päivitetty ohjeistus ja hallituksen tehtävään myöntämät riittävät resurssit voivat auttaa. Myös tietosuoja-asioiden kehittäminen, seuraaminen ja valvonta kuuluvat hallituksen toimenkuvaan. Kuten muutkaan tehtävät, eivät hallituksen tehtävä ole operatiivisella tasolla valvoa tietosuojaa. Riittää, että hallitus antaa vastuun ja siihen liittyvät resurssit sekä kerää vastuuhenkilöltä seurantatietoa. Hallituksen on vaikea olla tietoinen tosiasiallisesta päivittäisestä toiminnasta.
Muistilista hallitukselle
Muistilista hallitukselle:
- Määrää johtoryhmästä henkilö, joka vastaa tietosuojan kehittämisestä.
- Pidä huoli, että tehtävän hoitamiseksi on riittävät resurssit.
- Huolehdi, että tehtävää hoidetaan suunnitelmallisesti.
- Jos tilanteen arvioimiseksi ei löydy hallituksesta tai yrityksestä omia resursseja, hanki asiantuntemusta ulkopuolelta. Tietoturvayritykset auttavat teknisen infran tilan selvittämisessä ja kehittämisessä. Juristit auttavat lakisääteisten velvollisuuksien ja prosessien rakentamisessa.
- Vaadi toimintatapojen dokumentoimista ja dokumenttien ajoittaista läpikäymistä.
- Palkkaa tehtävään asiansa osaava henkilö ja pidä huoli, että hän kouluttaa itseään tehtävään myös jatkossa. Huolehdi, että työsopimuksissa on sovittu heidän tehtäväkseen tietosuoja- tai tietoturva-asiat.
- Valmistaudu kriiseihin. Ohjeista ja simuloi miten yritys toimii erilaisten tietoturvapoikkeuksen tullessa ilmi. Simuloi myös pahinta mahdollista tilannetta.
- Haasta kerättävän henkilötiedon tarpeellisuus. Jos yritys ei kerää tietoa, niin sen käsittely ei tuota päänvaivaa.
- Varaa tietosuojan kehittämiseen aikaa ja resursseja. Tietosuoja ei ole projekti vaan prosessi.
- Mieti onko yrityksen mahdollista suojautua lisäksi tietoturvavakuutuksella. Usein vakuutuksen saaminen edellyttää, että yllämainitut kohdat on jo hoidettu. Vakuutusyhtiöt tietävät, että asiansa hyvin hoitaville yrityksille vahingot ovat pienemmät.