Yksi tulevan tietosuoja-asetuksen keskeisimpiä tavoitteita on tietosuojalainsäädännön tehokkaampi täytäntöönpano. Tämä näkyy muun muassa siinä, että kansallisille valvontaviranomaisille on myönnetty valtuudet langettaa hyvinkin suuria sakkoja lainvastaisesta henkilötietojen käsittelystä.
20.3.2017
Kohti uusia liiketoimintamahdollisuuksia: näin hallitset tietosuojariskejä
Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja. Ne ovat siis rekisterinpitäjiä, joiden täytyy noudattaa henkilötietolainsäädäntöä. Asetus tuokin tässä mielessä tietosuojan aivan uudessa mittakaavassa osaksi kaikkien yritysten riskienhallintaa. Näiden riskien asianmukainen ja tehokas tunnistaminen, hallinta ja minimointi ei kuitenkaan onnistu, jos yritykset lähestyvät asiaa vain omien liiketoimintariskiensä näkökulmasta eivätkä muista, kenen riskeistä todellisuudessa on kyse.
Tietosuojariski on aina yksilön riski
Henkilötietolainsäädäntö on luotu suojelemaan yksilöiden – minun, sinun ja meistä jokaisen – oikeutta tietojensa yksityisyyteen. Myös henkilötietojen asiattomaan käsittelyyn liittyvä riski kohdistuu ensisijaisesti yksilöön. Jos asiaa lähestyy numeroiden valossa, lainsäätäjä on vääntänyt tämän lähes rautalangasta tulevassa asetuksessa: sana ”riski” esiintyy tietosuoja-asetuksessa noin 70 kertaa, mikä on nykyiseen tietosuojadirektiiviin verrattuna peräti kymmenkertainen määrä.
Tietosuoja-asetuksessa korostetaan siis rekisterinpitäjien velvollisuutta arvioida ja suunnitella käsittelytoimensa niin, että niihin liittyvät yksilötason riskit otetaan ennakoivasti huomioon. Ei riitä, että yritykset ottavat tietosuojariskit osaksi olemassa olevia riskienhallintaprosessejaan, vaan riskiajattelun tulee näkyä ja olla läsnä kaikessa rekisterinpitäjän tietosuojatyössä.
Tietosuojalainsäädännön asianmukainen implementointi ei onnistu, ellei lähtökohtana pidetä yksilölle aiheutuvien potentiaalisten vaikutusten arviointia. Miten esimerkiksi voidaan valita oikea lakiperuste (kuten selvittää, onko rekisterinpitäjän oikeutettu etu tasapainoisessa suhteessa yksilön oikeuksiin nähden) tai määrittää käsittelyn asianmukainen tietoturvataso, jos ei tiedetä, millaisten yksilötason riskien parissa työskennellään?
Systemaattisuudella monta riskiä yhdellä iskulla
Sisään rakennetun tietosuojan (privacy by default) periaatteen mukaisesti yritysten tulisi tunnistaa ja huomioida yksilöihin kohdistuvat riskit jo hyvissä ajoin ennen tietojenkäsittelyn aloittamista. Riskien tunnistamiseksi yritysten kannattaa ottaa käyttöön jonkinlainen vaikutustenarviointimalli (privacy impact assessment), jonka avulla tietojenkäsittelyyn liittyviä riskejä voidaan arvioida ja dokumentoida systemaattisesti.
Yksi uuden tietosuoja-asetuksen mukanaan tuomista suurista muutoksista on yritysten osoitusvelvollisuus (accountability). Enää ei riitä, että yrityksen toiminta on lainmukaista, vaan yrityksen on myös kyettävä osoittamaan se. Edellä jo mainittu riskienhallinta on oleellinen osa tämänkin velvollisuuden täyttämistä.
Systemaattinen, yksilön riskit huomioon ottava tietosuoja ei pelkästään suojaa yrityksiä turhilta sakoilta ja muilta seuraamuksilta, vaan ylläpitää lisäksi yksilöiden luottamusta yritystä kohtaan. Se taas toimii pohjana seuraavalle askeleelle, jossa tietosuoja muuttuu riskitekijästä liiketoimintaa edistäväksi ja mahdollistavaksi tekijäksi. Juuri tähän yrityksen tulisikin pelkän riskien välttämisen sijaan pitkällä aikavälillä pyrkiä.
Uusimmat uutiset
Julkaistu 23.4.2025 – Vero ja strukturointi
KHO: Suomen talousvyöhykkeellä sijaitseva tuulivoimapuisto kuuluu Suomen arvonlisäveroalueeseen
Julkaistu 15.4.2025 – Ulkoistaminen
Miksi ulkoistusten elinkaarisuunnittelu on tärkeää?
Julkaistu 11.4.2025 – Riitojen ratkaiseminen
Unionin tuomioistuimen tuore ratkaisu C‑537/23 valottaa epäsuhtaisten oikeuspaikkalausekkeiden tulkintaa ja pätevyyttä – mitä se tarkoittaa eurooppalaisille yrityksille?
Julkaistu 7.4.2025 – Yritysjärjestelyt
Rajat ylittävät yritysjärjestelyt: Näin viet suuret hankkeet menestyksekkäästi maaliin
Mikko Alakare & Noora Ahonen
Tomi Kemppainen & Topi Lusenius
Robin Ollus & Tuomas Lehtinen
Carola Lindholm & Samuli Tarkiainen
Uusimmat referenssit
Erikoissijoitusrahasto eQ Yhteiskuntakiinteistöt – Kahden hoivakiinteistön myynti
Avustimme Erikoissijoitusrahasto eQ Yhteiskuntakiinteistöjä sen myydessä kaksi hoivakiinteistöä Northern Horizonin edustamalle rahastolle. Myynnin kohteena olevien kiinteistöjen huoneistopinta-ala on noin 3 500 neliömetriä. Kohteet sijaitsevat Espoossa ja Lahdessa. Espoon kohde valmistui vuonna 2018 ja Lahden kohde valmistui vuonna 2023. Molemmissa kohteissa vuokralaisena toimii Attendo, Pohjoismaiden johtava hoivapalveluiden tarjoaja.
Julkaistu 9.5.2025
BMW AG – BMW:n tavaramerkki- ja mallioikeuksien puolustaminen
Avustimme menestyksekkäästi BMW:tä poikkeuksellisen pitkässä riita-asiassa, jossa oli kysymys siitä, loukkasivatko vastaajan myymät tarvikevanteet ja niihin kuuluvat keskimerkit BMW:n tavaramerkki- ja mallioikeuksia. Markkinaoikeus katsoi, että vastaajan käyttämä tunnus aiheutti sekaannusvaaran BMW:n tavaramerkkeihin. Kun vastaaja oli käyttänyt tunnusta vanteidensa keskimerkeissä sekä keskimerkkien ja vanteidensa markkinoinnissa, markkinaoikeus totesi vastaajan loukanneen BMW:n tavaramerkkioikeuksia. Vastaaja myönsi loukanneensa BMW:n yhteisömallia mutta kiisti siihen liittyvän kieltovaatimuksen. Markkinaoikeus kuitenkin katsoi, ettei asiassa ollut ilmennyt erityistä syytä pidättyä kieltomääräyksen antamisesta, ja määräsi kiellon. Markkinaoikeus kielsi vastaajaa jatkamasta BMW:n tavaramerkkien ja yhteisömallin loukkausta ja määräsi vastaajan muuttamaan tai hävittämään BMW:n oikeuksia loukkaavat tuotteet ja markkinointimateriaalit. Lisäksi markkinaoikeus velvoitti vastaajan maksamaan BMW:lle tavaramerkkioikeuksien loukkauksen johdosta kohtuullisena hyvityksenä 70 000 euroa ja vahingonkorvauksena 80 000 euroa sekä mallioikeuden loukkauksen johdosta kohtuullisena korvauksena 7 000 euroa ja vahingonkorvauksena 8 000 euroa. Määriä voidaan pitää poikkeuksellisen korkeina Suomessa. Lisäksi markkinaoikeus velvoitti vastaajan maksamaan merkittävän osan BMW:n oikeudenkäyntikuluista viivästyskorkoineen. Korkein oikeus päätti 11.3.2025, että vastaajalle ei myönnetä valituslupaa eikä asiassa ole tarvetta pyytää ennakkoratkaisua Euroopan unionin tuomioistuimelta. Markkinaoikeuden asiassa antamat tuomiot (MAO:494/18 ja 517/2023) ovat siten lainvoimaisia. Varsinaisen riita-asian lisäksi BMW vaati erillisessä väiteprosessissa, että vastaajan eräs tavaramerkkirekisteröinti kumotaan. Kumoamisesta käytiin markkinaoikeudessa kaiken kaikkiaan kolme erillistä oikeusprosessia. Vastaajan tavaramerkkirekisteröinti lopulta kumottiin.
Julkaistu 9.5.2025
Foodiq – Saneerausmenettely
Castrén & Snellmanin asianajaja Christer Svartström toimi selvittäjänä 11.3.2024 alkaneessa Foodiq Oy:n yrityssaneerausmenettelyssä. Foodiq on uniikki tulevaisuuden ruokatuotantoon keskittynyt yhtiö, joka tarjoaa kasvi- ja maitopohjaisten tuotteiden tuotantoa ja tuotekehitystä elintarviketoimialalla sekä yksityiselle että julkiselle sektorille. Yhtiön suurin osakkeenomistaja on elintarviketeknologiaan sijoittava ruotsalainen sijoitusyhtiö Nicoya AB. Velkojien enemmistö hyväksyi saneerausohjelman nopeutetussa menettelyssä hieman alle vuoden kestäneen saneerausmenettelyn päätteeksi. Helsingin käräjäoikeus vahvisti saneerausohjelman ja siihen sisältyvän yksipäiväisen maksuohjelman 10.3.2025 sekä nimitti Christer Svartströmin saneerausohjelman valvojaksi. Yhtiölle löydettiin yhteistyössä osapuolten kesken toimiva ja nopea saneerausratkaisu, jolla vältettiin pitkäkestoinen ohjelma ja mahdollistettiin yhtiön täysipainoinen liiketoimintaan keskittyminen. Saneerausohjelma rahoitettiin yhtiön rahoittajien tekemin sijoituksin. Samalla yhden päivän ohjelma tuotti velkojille paremman lopputuloksen verrattuna pidempään saneerausohjelmaan. Saneerausohjelman toteuttaminen päättyi onnistuneesti 28.3.2025.
Julkaistu 6.5.2025
PwC – Kelan Eepos-hankinnan kilpailutus
Toimimme PwC:n oikeudellisena neuvonantajana Kelan etuusjärjestelmien uudistushankkeen kilpailutuksessa, jonka PwC voitti. Kyseessä on merkittävä Suomen sosiaaliturvainfrastruktuurin modernisointia koskeva hanke. Kela on valinnut PwC:n strategiseksi kumppanikseen toteuttamaan etuusjärjestelmiensä laajan uudistuksen, joka käsittää etuuskäsittelyn tietojärjestelmien, digitaalisen asioinnin, asiakkuudenhallinnan ja tiedonvälityksen alustat. Hankkeen tavoitteena on vastata tulevaisuuden digitaalisen toimintaympäristön ja asiakkaiden vaatimuksiin. Teknologiaksi on valittu Salesforce. Uusien järjestelmien odotetaan sujuvoittavan etuuskäsittelyä ja parantavan asiakkaiden, työntekijöiden ja muiden sidosryhmien käyttäjäkokemusta. Lisäksi niiden avulla pystytään varautumaan aiempaa paremmin lainsäädäntömuutoksiin. Castrén & Snellman toimi PwC:n strategisena oikeudellisena neuvonantajana tarjouskilpailun alusta loppuun saakka. Kilpailutus toteutettiin kilpailullisena neuvottelumenettelynä. Onnittelemme lämpimästi PwC:tä tarjouskilpailun voittamisesta ja jäämme mielenkiinnolla seuraamaan, millaisia positiivisia vaikutuksia hankkeella on Suomen sosiaaliturvajärjestelmään.
Julkaistu 24.4.2025