VASTAAMO -TAPAUKSEN OPIT YRITYSJOHDOLLE
Vastaamoon kohdistunut tietomurto on herättänyt julkista keskustelua yritysjohdon vastuusta tietoturvaloukkaustilanteessa. Kirjoituksessa arvioidaan, miten tietovuodoilta tulisi suojautua, miten tietosuoja-asetuksen mukaisen rekisterinpitäjänä toimivan yrityksen tulee toimia tietomurtotilanteessa ja mitä voi seurata vääränlaisesta menettelystä. Ohjeita tietomurron uhreille on kotisivuillamme olevassa artikkelissa.
Muita kuin oikeudellisia seuraamuksia ovat mm. mainehaitta yritykselle. Yrittäjä ja yrityksen johtohenkilöt voivat arvioida, mitä taloudellisia seurauksia on siitä omaa yritystä ja sen tietoturvallisuuden pettämistä käsitellään iltapäivälehdissä ja internetin keskustelupalstoilla.
Kirjoituksessa ei käsitellä teknistä suojautumista, mutta suosittelemme, että yritykset, jotka käsittelevät vähänkään arkaluonteisia tietoja, käyttäisivät tietosuojauksen ja tietoturvatoimenpiteiden suunnittelussa, teknisessä toteutuksessa ja ylläpidossa tunnettuja ja hyvämaineisia toimijoita apunaan. Vastaamon asiakasrekisteri ja tietosuojaus oli tehty itse.
YRITYKSEN JOHDON VASTUUSTA
Yhtiön johdolla on velvollisuus edistää yhtiön etua. Käytännössä velvollisuus pitää sisällään niin huolellisuusvelvoitteen kuin lojaliteettivelvoitteen. Huolellisuusvelvoitteen täyttääkseen johdon on oltava aktiivinen tehtävissään. Mikäli yhtiön etu niin edellyttää, hallituksen on yksinkertaisesti tartuttava toimeen. Johdon on myös ymmärrettävä, että päätöksen liittyvän riskin kasvaessa myös johdolta vaadittava huolellisuus korostuu.
Osakeyhtiön toimitusjohtaja ja hallitus (jatkossa ”johto”) vastaa tietosuojanäkökulmien huomioimisesta yrityksessä. Siten vastuu siitä, että yritys rekisterinpitäjänä toimiessaan toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet tietosuoja-asetuksen vaatimusten mukaisesti, on viime kädessä yrityksen johdolla. Sen toimet ovat ratkaisevassa asemassa, kun yritys luo tietosuojaohjeistuksen ja käytännöt yrityksessä sekä huolehtii, että tekniset järjestelmät, joissa säilytetään tai käsitellään henkilötietoja ovat teknisesti tarkoituksenmukaisesti ja riittävän korkeatasoisesti suojattuina.
Esim. ympäristörikoksissa on katsottu, hallituksen jäsenen vastuuta ei vähennä tietämättömyys tai passiivisuus ongelman ratkaisemisessa. Yrityksen johdon vastuuta tietosuojarikoksissa ja niiden aiheuttamista vahingonkorvausvelvollisuudesta hallituksen jäsenille tai toimitusjohtajalle ei tietääkseni vielä ole oikeuskäytäntöä.
Tietosuojalainsäädännössä on yrityksille rekisterinpitäjänä ja tietojenkäsittelijänä säädetty merkittäviä seuraamusmaksuja. Toisaalta, kuten olemme nähneet, myös loukatuilla on oikeus vaatia vahingonkorvauksia. Näitäkin seuraamuksia ajatellen johdon tulee olla hyvin huolellinen sen suhteen, miten tietoturva on yrityksessä hoidettu.
Hallituksen jäsenen vastuuta, joka on hyvin samanlainen kuin toimitusjohtajan vastuu, käsitellään laajemmin kotisivuiltamme löytyvässä artikkelissa hallituksen jäsenen vastuusta.
TIETOVUOTO JA SILTÄ SUOJAUTUMINEN
Tietomurrossa henkilötietoihin pääsee käsiksi taho, jolla ei ole niihin käsittelyoikeutta. Tietovuodon myötä henkilötiedot päätyvät siis vääriin käsiin, ja sen seurauksena rekisteröity voi joutua alttiiksi petokselle tai identiteettivarkaudelle. Hänelle voi aiheutua myös taloudellista tai sosiaalista vahinkoa sekä kärsimystä. Tietomurtoon liittyy myös riski salassapitovelvollisuuden alaisten henkilötietojen paljastumisesta.
Tietoturvaloukkauksessa organisaation vastuulla olevien tietojen salassapito, saatavuus tai eheys vaarantuu.
Miten tietovuodoilta suojaudutaan? Rekisterinpitäjänä toimivan yrityksen on arvioitava henkilötietojen käsittelyyn liittyviä riskejä nimenomaan rekisteröidyn näkökulmasta jo ennen kuin se alkaa käsitellä niitä. Huomiota on kiinnitettävä rekisteröidyn tietojen käsittelystä aiheutuviin vapauksien ja oikeuksien vaarantumisriskeihin sekä siihen, mitä vahinkoja rekisteröidylle mahdollisesti aiheutuu henkilötietojen käsittelystä. Korkea riski liittyy esimerkiksi yksilön terveystietojen käsittelyyn. Loukkauksen tai haitan vakavuus sekä todennäköisyys on arvioitava – lisäksi riskien arvioinnin tulisi olla jatkuvaa toimintaa. Rekisterinpitäjän onkin arvioitava riskejä, tietosuoja- ja tietoturvaohjeistusta sekä henkilötietojen teknisiä suojauksia.
Rekisterinpitäjän (sekä henkilötietojen käsittelijän) on suojattava henkilötietoja siten, että suojaustoimenpiteet vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Rekisterinpitäjällä on myös oltava toimintaohjeet tietoturvaloukkaustilanteita varten. Jos loukkaus tapahtuu, siihen on reagoitava mahdollisimman nopeasti. Tietosuoja-asetuksessa edellytetään, että rekisterinpitäjä toteuttaa kaikki tekniset ja organisatoriset toimenpiteet varmistaakseen, että tietoturvaloukkaukset paljastuvat välittömästi.
MITÄ TEHDÄ, JOS TAPAHTUU TIETOMURTO TAI TIETOTURVALOUKKAUS?
Tietoturvaloukkauksia tapahtuu ja rekisterinpitäjältä edellytetyt toimet vaihtelevat sen mukaan, kuinka vakavasta loukkauksesta on kyse. Kaikki henkilötietojen tietoturvaloukkaukset, kuten tietovuoto, on dokumentoitava. Dokumentointivelvollisuuteen kuuluu myös vaikutusten ja korjaavien toimenpiteiden dokumentointi. Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta aiheutuu rekisteröidylle. Jatkotoimenpiteet riippuvat arvioinnin lopputuloksesta.
Mitä arvioinnissa sitten huomioidaan? Ensinnäkin huomioidaan tietoturvarikkomuksen tyyppi. Vastaamon tapauksessa tietoa vuosi tahoille, joille ei ollut siihen oikeuksia. Tietovuoto onkin merkittävä tietoturvaloukkaus. Myös henkilötietojen luonne, arkaluonteisuus ja määrä sekä tunnistamisen helppous on otettava huomioon. Thor-verkkoon vuodetun tiedon luonne, paljous ja arkaluonteisuus viittaavat korkeaan riskiin, kohdistuuhan vuoto potilastietoihin.
Myös rekisteröidyn ominaisuudet huomioidaan. Vastaamon tapauksessa tiedot ovat koskeneet myös alaikäisten tietoja ja lisäksi potilassuhteissa on ollut kyse psykoterapiapalveluiden käyttäjistä. Tietovuodosta aiheutuvan riskin laatuun vaikuttavat myös rekisterinpitäjän ominaisuudet. Koska Vastaamo on psykoterapiakeskus ja vuoto koskee sen potilastietojärjestelmää, on uhka rekisteröidylle ymmärrettävästi suurempi kuin, jos kyseessä olisi ollut kuntosalin uutiskirjeen tilaajarekisteri.
Kaiken muun lisäksi on kiinnitettävä huomiota tietovuodon seurauksien vakavuuteen. Tietoturvaloukkauksen seuraukset voivat olla erityisen vakavia, kun seurauksena voi olla identiteettivarkaus, petos, psyykkinen ahdistus, nöyryytys tai maineen menetys. Vastaamon tapauksessa uhreille tiedetään jo nyt aiheutuneen edellä mainittuja seurauksia. Vakavuutta lisää myös se, että tiedot ovat päätyneet sellaisten häikäilemättömästi toimivien rikollisten käsiin, jotka ovat valmiita kiristämään ihmisiä heidän arkaluonteisilla ja yksityisillä tiedoillaan.
Yhteenvetona voidaan todeta, että pelkkä tietoturvaloukkauksen dokumentointi on riittävää ainoastaan lievempien tietoturvaloukkausten kohdalla eli silloin, kun riskiä rekisteröidyn oikeuksille ja velvollisuuksille ei todennäköisesti aiheudu. Tietovuodon kohdalla kyseeseen voisi tulla tilanne, jossa vuodetut henkilötiedot ovat jo julkisesti saatavilla.
Lähtökohtaisesti tietoturvaloukkauksesta ilmoitettava Tietosuojavaltuutetulle ilman aiheetonta viivästystä, yleensä 72 tunnin kuluessa tietoturvaloukkauksen ilmenemisestä.
Jos henkilötietojen tietoturvaloukkauksesta aiheutuu todennäköisesti korkea riski rekisteröidylle, on hänelle ilmoitettava henkilökohtaisesti ilman aiheetonta viivästystä, jotta rekisteröidyllä on mahdollisuus suojautua loukkauksesta aiheutuvilta uhkilta. Rekisteröidylle on tällöin, muun ohella, ilmoitettava selkeä kuvaus tietoturvaloukkauksesta sekä sen todennäköiset seuraukset ja rekisterinpitäjän toteuttamat toimenpiteet.
Edes ”pelkkä” ilmoitusvelvollisuuden laiminlyönti ei ole leikin asia, ja siitä voi seurata hallinnollinen seuraamusmaksu, jonka Tietosuojavaltuutettu määrää tapauksen olosuhteiden perusteella. Se on enintään joko 10 000 000 euroa tai kaksi prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. Sakkojen määräämisellä pyritään varoittavaan ja ennaltaehkäisevään vaikutukseen, mikä puhuu suurisummaisen seuraamuksen puolesta.
Suositukseni on, että jokaiseen tietoturvarikkomukseen suhtaudutaan äärimmäisen vakavasti ja asia selvitetään perusteellisesti sekä tehdään asianmukainen ilmoitus Tietosuojavaltuutetulle. Tämän lisäksi tulee tehdä tarpeelliset muutokset tietosuojaohjeistuksiin ja teknisiin järjestelmiin.
TIETOMURRON SEURAUKSET YRITYKSELLE
Hallinnollista seuraamusmaksua on käsitelty edellä jo ilmoitusvelvollisuuden osalta. Koska tietosuojalainsäädännöllä tavoitellaan henkilötietojen suojan sekä tietosuojaoikeuksien edistämistä, rekisterinpitäjälle voidaan asettaa seuraamusmaksu erilaisten tietosuoja-asetuksen mukaisten velvollisuuksien rikkomisesta. Käytännössä lähes mikä tahansa tahallinen tai tuottamuksellinen rekisterinpitäjän toimi voi johtaa rekisterinpitäjän vastuuseen. Enimmillään rikkominen voi johtaa seuraamusmaksuun, joka on 20 000 000 euroa tai neljä prosenttia yrityksen kokonaisliikevaihdosta.
Rekisterinpitäjällä on ensisijainen vahingonkorvausvastuu tietosuojavelvoitteiden rikkomisesta. rekisterinpitäjä-yrityksen onkin pystyttävä osoittamaan toimineensa sääntelyn edellyttämällä tavalla (osoitusvelvollisuus). Siten yrityksen on osoitettava, että se on aktiivisesti pyrkinyt tunnistamaan riskit ja ottanut käyttöön riskiasteen edellyttämät (tekniset, hallinnolliset ja organisatoriset) toimenpiteet henkilötietojen suojaamiseksi. Mikäli tietojenkäsittelyyn on liittynyt korkea riski, on tietomurtotapauksessa näytettävä, että tekniset toimenpiteet ovat olleet sen mukaisia. Korvausvelvollisuus on laaja, se koskee niin aineellista kuin aineetonta vahinkoa. Korvattavaksi voikin tulla varallisuusvahingon lisäksi myös rekisteröidylle aiheutunut kärsimys.
Rikosoikeudellinen vastuu. Rikossäännökset eivät osu suoraan rekisterinpitäjänä toimivaan yritykseen. Esimerkiksi tietosuojarikoksessa tekijänä on muu henkilö kuin rekisterinpitäjä tai henkilötietojen käsittelijä, esimerkiksi kyseisen yrityksen työntekijä, joka urkkii henkilötietoja niiden käyttötarkoituksen vastaisesti. Rikosnimike soveltuu vain, jos tietosuoja-asetuksen hallinnollinen seuraamusmaksu ei sovellu tilanteeseen.
Tietomurrossa tekijänä on puolestaan hakkeri, joka tunkeutuu tietojärjestelmään tai saa selon siellä olevasta tiedosta vilpillisesti, mutta järjestelmään tunkeutumatta. Rikosoikeudellista vastuuta ei rekisterinpitäjälle oikeushenkilönä (esim. osakeyhtiö) seuranne siitä, että rekisterinpitäjänä toimiva yritys laiminlyö tietosuojalainsäädännön edellyttämät tekniset turvallisuuskysymykset, minkä seurauksena tietomurto on helppo toteuttaa.
Mielenkiintoista on kuitenkin se, voisiko tietosuojarikoksen (Rikoslaki 8 luku 9 §) toinen momentti koskea esimerkiksi yrityksen johtohenkilöä, johon ei voida kohdistaa hallinnollista seuraamusmaksua. Toinen momentti on henkilöpiiriltään laajempi eikä se edellytä henkilötietojen hankkimista, luovuttamista tai siirtämistä. Se soveltuu henkilöihin, jotka tahallaan tai törkeästä huolimattomuudesta toimivat vastoin tietosuojasäädöksien säännöksiä henkilötietojen käsittelyn turvallisuudesta.