Browsing by Subject "tietoturva"

Viestintä- ja informaatioteknologian murros muuttaa jatkuvasti tapoja, joilla luonnollisia henkilöitä koskevia tietoja kerätään, säilytetään ja käytetään. Kehityksen seurauksena Euroopan unioni on pyrkinyt yhdenmukaistamaan tietosuojasääntelyä unionin alueella vuonna 2018 sovellettavaksi tulleen yleisen tietosuoja-asetuksen muodossa. Asetuksen säännösten rikkominen voi johtaa hallinnollisiin seuraamuksiin, vahingonkorvausvastuuseen, henkilötietojen käyttökieltoon sekä mahdollisesti rikosoikeudelliseen vastuuseen. Yrityksen liiketoiminnan kannalta merkityksellisen riskin muodostavat myös tietosuojarikkomusten mahdolliset muut seuraukset, kuten maineen ja luottamuksen menetys kuluttajien silmissä. Tutkimuksen keskiössä on sopimus yrityskauppaan liittyvien tietosuojariskien hallinnan välineenä yrityskaupan osapuolten välisessä suhteessa sekä osapuolten ja muiden kauppaprosessiin osallistuvien tahojen välisissä suhteissa. Pyrkimyksenä on hahmottaa systemaattisesti niin soveltuvien tietosuojasäännösten kuin sopimusoikeuden periaatteiden asettamat rajat ja edellytykset tietosuojariskien tehokkaalle hallinnalle yrityskauppatilanteissa. Tutkimuksessa tarkastellaan sopimusoikeudellisia keinoja hallita yrityskauppaan liittyviä tietosuojariskejä mahdollisimman tehokkaalla tavalla ostajan edun mukaisesti. Toisin kuin monet muut yrityskauppoihin liittyvät oikeudelliset vastuuriskit henkilötietojen käsittely muodostaa ostajan kannalta merkityksellisen riskin useammalla tasolla. Ostajan on ensinnäkin otettava tietosuojasääntelyn vaatimukset huomioon arvioidessaan kaupan kohteen ominaisuuksia ja siihen liittyviä riskejä. Ostaja saattaa joutua oikeudelliseen vastuuseen tai kärsiä taloudellisia vahinkoja esimerkiksi tilanteessa, jossa kohdeyhtiön ennen kaupan solmimista tekemä tietosuojarikkomus ilmenee vasta kaupan täytäntöönpanon jälkeen. Mahdollisessa kaupan jälkeisessä sopimusriitatilanteessa arvioitavaksi saattaa nousta kysymys siitä, miten ostaja on täyttänyt velvollisuutensa tarkastaa kaupan kohde. Kaupan osapuolten väliseen sopimussuhteeseen liittyvien mahdollisten riitojen lisäksi ostajan due diligence -toimien huolellisuus voi tulla arvioitavaksi tietosuojaviranomaisen tai tuomioistuimen toimesta ratkaistaessa mahdollista tietosuojasääntelyn rikkomista ja siihen liittyviä vastuukysymyksiä. Ennen sitoutumista kauppaan ostajan on näin ollen tärkeää saada kokonaisvaltainen käsitys siitä, miten kohdeyhtiö käsittelee toiminnassaan henkilötietoja. Kauppaprosessin aikaisiin henkilötietojen siirtoihin ja muuhun käsittelyyn liittyy riski siitä, että tietoja käsitellään kaupan toteuttamisen kannalta oikeutetun tahon toimesta mutta soveltuvien tietosuojasäännösten vastaisesti. Toisaalta henkilötietojen käsittelyyn osallistuvan tahon puutteelliset tietoturvatoimet voivat johtaa tietovuotoihin sekä henkilötietojen päätymiseen oikeudettomille tahoille. Myyjän ja ostajan välisen tietojenvaihdon lisäksi kauppaprosessin eri vaiheissa kaupan osapuolet käyttävät pääsääntöisesti apunaan ulkopuolisia asiantuntijoita kaupan toteuttamiseksi. Ostajan on osaltaan toimeksiantokohtaisesti varmistettava tällaisten järjestelyjen aikaisten henkilötietojen käsittelyjen lainmukaisuus. Tutkimus on rakenteeltaan jaettavissa neljään eri vaiheeseen, ja tutkimus etenee johdonmukaisesti läpi yrityskauppaprosessin kaupan esivaiheesta kaupan jälkihoitoon. Tutkimuksen ensimmäisessä vaiheessa (2 luku) tarkastellaan yleisen tietosuoja-asetuksen vastuujärjestelmää ja vastuiden kohdentumista yrityskauppatilanteissa. Vaiheen tarkoituksena on jäsentää tietosuojariskit hallittavana riskinä yrityskauppatilanteissa. Tutkimuksen toisessa vaiheessa (3 luku) tarkastellaan sitä, miten yrityskaupan toteuttamisen kannalta välttämättömään tietojenvaihtoon liittyviä tietosuojariskejä voidaan hallita sopimuksin sekä, miksi ja miten ostajan tulee ottaa kohdeyhtiöön liittyvät tietosuojariskit huomioon due diligence -tarkastuksessa. Toisen vaiheen tarkoituksena on jäsentää tarve ja keinot hallita kauppaprosessin aikaiseen tietojenvaihtoon liittyvät tietosuojariskit sekä ostajan tietosuojariskejä koskevan ennakkoselvityksen merkitys ja sisältö. Tutkimuksen kolmannessa vaiheessa (4 luku) käsitellään keinoja, joilla ostaja voi hallita kohdeyhtiöön liittyviä tietosuojariskejä kauppakirjan ehdoissa. Kolmannen vaiheen tarkoituksena on selvittää, millä tavoin ostajan on otettava tietosuojariskien erityispiirteet huomioon tietosuojariskien hallintaa koskevien sopimusehtojen muotoilussa. Tutkimuksen neljännessä vaiheessa (5 luku) tarkastelu kohdistuu yrityskaupan jälkihoitoon. Neljännen vaiheen tarkoituksena on jäsentää ostajan kaupan jälkeisten toimien merkitys kaupan kohteeseen ja kaupan jälkeiseen tietojenvaihtoon liittyvien tietosuojariskien hallinnassa.

Yhä useammat toimialat ovat riippuvaisia digitaalisista palveluista, minkä takia myös tietomurrot ja muut tietoturvahaasteet tulevat yleistymään. Tietomurto voi aiheuttaa yksilölle merkittäviä taloudellisia ja sosiaalisia vahinkoja, joista henkilöllä on oikeus saada korvaus EU:n yleisen tietosuoja-asetuksen mukaisesti. Tässä lainopillisessa tutkielmassa selvitetään tietosuoja-asetuksen mukaista rekisterinpitäjän vahingonkorvausvastuuta rekisteröityä kohtaan tietomurtotapauksissa. Tutkielmassa käsitellään rekisterinpitäjän tietoturvavelvoitteita ja vahingonkorvausvastuun edellytyksiä sekä sitä, miten toteutetut tietoturvatoimenpiteet vaikuttavat rekisterinpitäjän korvausvastuuseen. Tietosuoja-asetuksen 82 artiklan mukaan yksilöllä on oikeus saada rekisterinpitäjältä ja henkilötietojen käsittelijältä korvaus vahingosta, joka on aiheutunut tietosuoja-asetuksen rikkomisesta. Tietomurroissa tietosuoja-asetuksen rikkominen merkitsee usein tietoturvatoimenpiteiden, eritoten tietosuoja-asetuksen 32 artiklan mukaisten asianmukaisten teknisten ja organisatoristen toimenpiteiden laiminlyömistä, joten vahingonkorvausvastuun syntymisen kannalta tulee harkita sitä, onko tietoturva ollut asianmukaista. Asianmukainen tietoturvan taso vaatii rekisterinpitäjältä tapauskohtaista arviointia, jossa huomioidaan kunkin käsittelytilanteen erikoispiirteet. Tutkielmassa on tuotu esiin, että rekisterinpitäjän vahingonkorvausvastuuseen tietomurtotapauksissa liittyy useita monitulkintaisia kysymyksiä. On esimerkiksi epäselvää, mikä on tietosuoja-asetuksen mukaisen vahingonkorvausvastuun vastuumuoto ja millä perusteilla vastuusta voi vapautua. Toisaalta epäselvää on, mitä tarkoitetaan teknisten ja organisatoristen toimenpiteiden asianmukaisuudella. Koska EU-tuomioistuin ei ole vielä antanut oikeustilaa selkeyttäviä ratkaisuja aiheesta, tulkinnanvaraisiin kysymyksiin on haettu vastauksia oikeuskirjallisuudesta sekä EU-jäsenvaltioiden tuomioistuinten ja tietosuojaviranomaisten ratkaisukäytännöstä. Selvää on, että tietosuoja-asetus asettaa rekisterinpitäjälle korkeatasoiset tietoturvavelvoitteet, sillä rekisterinpitäjä on viimesijaisesti vastuussa käsittelyn lainmukaisuudesta. Tutkielmassa on tultu siihen lopputulokseen, että rekisterinpitäjä ei pysty varmuudella estämään vahingonkorvausvastuun syntymistä tietomurtotilanteissa. Koska tietomurrot johtuvat usein yleisistä haavoittuvuuksista tietoturvajärjestelmissä, organisaatioiden toteuttamilla tietoturvatoimenpiteillä on kuitenkin suuri merkitys vahingonkorvausvastuun kannalta, sillä tietoturvatoimenpiteet ehkäisevät tietomurtoja ja pienentävät tietomurrosta aiheutuvaa vahinkoa.