20.3.2017

Kohti uusia liiketoimintamahdollisuuksia: näin hallitset tietosuojariskejä

Yksi tulevan tietosuoja-asetuksen keskeisimpiä tavoitteita on tietosuojalainsäädännön tehokkaampi täytäntöönpano. Tämä näkyy muun muassa siinä, että kansallisille valvontaviranomaisille on myönnetty valtuudet langettaa hyvinkin suuria sakkoja lainvastaisesta henkilötietojen käsittelystä.

Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja. Ne ovat siis rekisterinpitäjiä, joiden täytyy noudattaa henkilötietolainsäädäntöä. Asetus tuokin tässä mielessä tietosuojan aivan uudessa mittakaavassa osaksi kaikkien yritysten riskienhallintaa. Näiden riskien asianmukainen ja tehokas tunnistaminen, hallinta ja minimointi ei kuitenkaan onnistu, jos yritykset lähestyvät asiaa vain omien liiketoimintariskiensä näkökulmasta eivätkä muista, kenen riskeistä todellisuudessa on kyse.

Tietosuojariski on aina yksilön riski

Henkilötietolainsäädäntö on luotu suojelemaan yksilöiden – minun, sinun ja meistä jokaisen – oikeutta tietojensa yksityisyyteen. Myös henkilötietojen asiattomaan käsittelyyn liittyvä riski kohdistuu ensisijaisesti yksilöön. Jos asiaa lähestyy numeroiden valossa, lainsäätäjä on vääntänyt tämän lähes rautalangasta tulevassa asetuksessa: sana ”riski” esiintyy tietosuoja-asetuksessa noin 70 kertaa, mikä on nykyiseen tietosuojadirektiiviin verrattuna peräti kymmenkertainen määrä.

Tietosuoja-asetuksessa korostetaan siis rekisterinpitäjien velvollisuutta arvioida ja suunnitella käsittelytoimensa niin, että niihin liittyvät yksilötason riskit otetaan ennakoivasti huomioon. Ei riitä, että yritykset ottavat tietosuojariskit osaksi olemassa olevia riskienhallintaprosessejaan, vaan riskiajattelun tulee näkyä ja olla läsnä kaikessa rekisterinpitäjän tietosuojatyössä.

Tietosuojalainsäädännön asianmukainen implementointi ei onnistu, ellei lähtökohtana pidetä yksilölle aiheutuvien potentiaalisten vaikutusten arviointia. Miten esimerkiksi voidaan valita oikea lakiperuste (kuten selvittää, onko rekisterinpitäjän oikeutettu etu tasapainoisessa suhteessa yksilön oikeuksiin nähden) tai määrittää käsittelyn asianmukainen tietoturvataso, jos ei tiedetä, millaisten yksilötason riskien parissa työskennellään?

Systemaattisuudella monta riskiä yhdellä iskulla

Sisään rakennetun tietosuojan (privacy by default) periaatteen mukaisesti yritysten tulisi tunnistaa ja huomioida yksilöihin kohdistuvat riskit jo hyvissä ajoin ennen tietojenkäsittelyn aloittamista. Riskien tunnistamiseksi yritysten kannattaa ottaa käyttöön jonkinlainen vaikutustenarviointimalli (privacy impact assessment), jonka avulla tietojenkäsittelyyn liittyviä riskejä voidaan arvioida ja dokumentoida systemaattisesti.

Yksi uuden tietosuoja-asetuksen mukanaan tuomista suurista muutoksista on yritysten osoitusvelvollisuus (accountability). Enää ei riitä, että yrityksen toiminta on lainmukaista, vaan yrityksen on myös kyettävä osoittamaan se. Edellä jo mainittu riskienhallinta on oleellinen osa tämänkin velvollisuuden täyttämistä.

Systemaattinen, yksilön riskit huomioon ottava tietosuoja ei pelkästään suojaa yrityksiä turhilta sakoilta ja muilta seuraamuksilta, vaan ylläpitää lisäksi yksilöiden luottamusta yritystä kohtaan. Se taas toimii pohjana seuraavalle askeleelle, jossa tietosuoja muuttuu riskitekijästä liiketoimintaa edistäväksi ja mahdollistavaksi tekijäksi. Juuri tähän yrityksen tulisikin pelkän riskien välttämisen sijaan pitkällä aikavälillä pyrkiä.

Uusimmat referenssit

Neuvoimme Nrepiä asuinrakennushankkeessa, joka toteutetaan Helsingin Arabianrannassa sijaitsevan Kauppakeskus Arabian yhteyteen. Avustimme asuinrakennushankkeen rahoitusjärjestelyssä sekä hankkeeseen liittyvissä yhtiö- ja kiinteistöoikeudellisissa järjestelyissä. Näihin kuului osakekaupan ja jakautumisen kautta tapahtunut omistusrakenteen uudelleenjärjestely, asemakaavan ja tonttijaon muutokset, yhteisjärjestelysopimus sekä hallinnanjakosopimus. Rakennukseen tulee 16 kerrosta ja yhteensä 188 Juli Living -vuokra-asuntoa. Lisäksi katutasoon tulee liiketiloja. Valmistuttuaan rakennus kuuluu Suomen energiatehokkaimpien asuinrakennuksen joukkoon. Rahoitusjärjestelyssä on huomioitu Nrepin vastuullisuustavoitteet. Hankkeelle haetaan LEED Platinum-sertifikaattia. Nrepille on aikaisemmin myönnetty asuinrakennuksen LEED Platinum-sertifikaatit yhtiön Herttoniemen ja Friisilän kohteille.
Julkaistu 28.10.2024
Toimimme Pernod Ricardin suomalaisena neuvonantajana, kun se myi Turussa valmistettavat tuotemerkkinsä ja niiden tuotannon Oy Hartwall Ab:lle. Tunnetuin Hartwallille kaupan jälkeen siirtyvä tuotemerkki on Minttu-likööri. Hartwall on osa tanskalaista Royal Unibrew -konsernia. Pernod Ricard on yksi maailman suurimpia alkoholiyhtiöitä. Kaupan toteutuminen edellyttää tavanomaisten ehtojen täyttymistä.
Julkaistu 21.10.2024
Avustimme WithSecure Oyj:tä sen myydessä avointen lähteiden tiedonkeruuseen liittyvän tuotteen ja liiketoiminnan Patria Oyj:lle. Myyty ohjelmistoja ja palveluita yhdistävä liiketoiminta ei kuulu WithSecuren nykyisen strategian piiriin. Myynnin myötä WithSecure terävöittää keskittymistään Elements-portfolioon. WithSecure on globaali kyberturvallisuusyritys (listattu NASDAQ OMX Helsingin pörssissä), jolla on yli 35 vuoden kokemus alalta. WithSecure tarjoaa kumppaneilleen joustavia kaupallisia malleja, jotka varmistavat molemminpuolisen menestyksen dynaamisessa tietoturvan maailmassa. Patria on kansainvälinen puolustus- ja turvallisuusalan yritys, joka tarjoaa puolustus-, turvallisuus- ja ilmailualan elinkaaren tukipalveluita sekä teknologiaratkaisuja. Kaupan myötä Patria avaa toimipisteen Oulussa ja 10 nyt liiketoiminta-alueella työskentelevää WithSecuren asiantuntijaa siirtyy Patrian palvelukseen. 
Julkaistu 30.9.2024
Toimimme A. Ahlströmin neuvonantajana yritysvastuuseen liittyvän huolellisuusvelvoiteprosessin suunnittelussa, jossa hyödynnetään toimialatuntemukseemme perustuvia parhaita käytäntöjä ja räätälöityjä ratkaisuja. Kattava ESG-neuvonantomme sisälsi myös sijoitustiimin ja johtoryhmän jäsenille sekä useiden portfolioyhtiöiden hallituksille räätälöityjä koulutuksia. ”Saimme Castrén & Snellmanin asiantuntijoilta ESG-sääntelytsunamiin liittyviä oikeudellisia ja käytännön neuvoja, jotka meidän tulee ottaa käyttöön omassa ESG-työssämme”, kommentoi Camilla Sågbom, Director, Sustainability and Communications, A. Ahlström Oy. Perheyhtiö A. Ahlström on teollinen omistaja, joka kehittää yritysomistuksistaan maailman johtavia metsä- ja kuitusektorin sekä ympäristöteknologian erikoisosaajia.
Julkaistu 5.9.2024