Äskettäin paljastunut psykoterapiakeskuksen asiakasrekisterin tietomurto nosti tietosuojan yritysvastuukeskustelun keskiöön. Henkilötietojen käsittelyn digitalisoituminen vaatii yrityksiltä erityistä huolellisuutta tietosuojan varmistamisessa. Vakava tietomurtotapaus muistuttaa, että on syytä täsmentää millaisia henkilötietoja saa kerätä ja miten tietoja tulee tallentaa.
Tietosuoja on ihmis- ja perusoikeus
Yrityksillä on oikeus kerätä ja tallentaa henkilötietoja esimerkiksi työntekijöistään ja asiakkaistaan. Tietosuoja rajoittaa henkilötietojen käsittelyä. Tietosuoja on osa kaikille ihmisille turvattavaa yksityisyyden suojaa, jota säännellään lukuisissa Suomen hyväksymissä kansainvälisissä ihmisoikeusnormeissa, myös Suomen perustuslain turvaamissa perusoikeuksissa (10§). Siten tietosuoja on meille kaikille kuuluva ihmis- ja perusoikeus.
Henkilötietojen suojan tärkeydestä kertoo sekin, että se on kirjattu EU:n perusoikeuskirjaan (8 artikla) ja tietosuojaa on täsmennetty Suomessakin toukokuussa 2018 voimaan tulleella EU:n tietosuoja-asetuksella (GDPR).
Henkilötietojen käsittelyä ja tietosuojaa säännellään useissa oikeusnormeissa, ja yrityksissä on tunnettava tämä kokonaisuus.
Tietosuoja osa yrityksen ihmisoikeusvastuuta
Ihmisoikeudeksi määrittyvä tietosuoja kuuluu yrityksen sosiaalisen vastuun perustana olevaan ihmisoikeusvastuuseen. Koska yritysvastuu alkaa siitä, mihin lainsäädäntö loppuu, vastuullinen yritys virittää toimintansa lainsäädännön vaatimuksia korkeammalle. Vastuullinen yritys varmistaa kaikissa tilanteissa ihmisoikeuksien kunnioittamisen. Yritysvastuun toteutumista arvioidaan yritykseltä edellytetyn huolellisuusvelvoitteen (due diligence) valossa.
Yrityksissä tietoturva- ja riskienhallinnan asiantuntijat työskentelevät estääkseen yrityksen toimintojen digitalisoitumisesta syntyviä yritystoiminnan ulkoisia liiketoimintariskejä, kuten tietojärjestelmämurtoja. Yrityksissä tulisi osata katsoa digitalisoitumisen riskejä myös yrityksen ihmisoikeusvastuukysymyksenä. Tietosuoja on konkreettinen esimerkki siitä, kuinka liiketoiminta- ja yritysvastuuriskit liittyvät toisiinsa.
Tietosuoja on myös taloudellista vastuuta
Tietosuoja ja ‑turva ovat yritykselle myös taloudellisia ja taloudellisen vastuun kysymyksiä, sillä tietosuojariskien realisoitumisella voi olla merkittäviä taloudellisia seurauksia yhtiön liiketoiminnan jatkuvuudelle. Ongelmat tietosuojassa ja ‑turvassa saattavat aiheuttaa esimerkiksi hitaampia toimituksia tai lukita koko toimitusjärjestelmän aiheuttaen yritykselle taloudellisia vahinkoja. Luonnollisesti taloudellisten vahinkojen suuruus riippuu ongelman laajuudesta. Vaikka liiketoiminnan edellytykset jatkuisivatkin, riittävän suuri mainehaitta voi kuitenkin karkottaa asiakkaat ja yhteistyökumppanit aina rahoittajista tavarantoimittajiin ja näin vaikuttaa negatiivisesti kassavirtaan.
Epäonnistumiset tietosuojan toteuttamisessa voivat johtaa taloudellisiin tappioihin, korvauksiin ja vaikuttaa osakekurssiin. Myös sijoittajat ovat enenevässä määrin kiinnostuneita siitä, miten yritykset suojautuvat näiltä ongelmilta, jotta heidän sijoittamansa pääoman arvo säilyy. Tietosuojan ja ‑turvan arvioiminen onkin osa vastuullisen sijoittajan ESG-analyysia ja riskienhallintaa.
Tietoturvalla varmistetaan tietosuojaa
Suomessa ihmis- ja perusoikeutena määrittyvästä tietosuojasta keskustellaan hieman nurinkurisesti tietoturva edellä. Tietoturva on yksi tietosuojan toteuttamisen keinoista, jolla suojataan tietoaineistoja ja ‑järjestelmiä. Keskustelun lähtökohtana tulisi olla tietosuoja sen henkilötietojen käsittelylle asettamissa reunaehdoissa.
Teknologiaan ja digitalisaatioon uskovassa Suomessa tarvitaan nykyistä laaja-alaisempaa näkemystenvaihtoa siitä, millaisia riskejä jatkuvasti digitalisoituvat toimintamuodot ja palvelut tarkoittavat ihmisiä turvaavalle tietosuojalle ja yrityksen taloudelliselle pärjäämiselle. Parempaa ymmärrystä digituotteiden riskeistä tarvitaan sekä digituotteiden käyttäjien että digituotteita kehittävien ja myyvien yritysten parissa. Yrityksissä on ymmärrettävä mitä tietosuoja tarkoittaa ja edellyttää sekä miten se liittyy yritysvastuuseen. Keskusteluun kuuluvat myös muun muassa datavastuu- ja digitaalinen vastuu ‑teemat. Tietosuojakysymysten tulisi olla näkyvästi sekä yritysjohdon että yritysten riskienhallinnan, tietoturvan ja tuotekehityksen asiantuntijoiden agendalla.
Global Compact Network Finlandin webinaari 26.11.
Global Compact Network Finland järjestää tietosuojakysymyksiä ja yritysvastuuta käsittelevän webinaarin to 26.11., jossa allekirjoittaneet avaavat lisää tässä kirjoituksessa esiin nostettuja näkökulmia. Webinaarissa valotetaan myös näiden kysymysten yhteyksiä YK:n Global Compactin periaatteisiin. Lämpimästi tervetuloa mukaan kuulemaan ja keskustelemaan!
Merja Pentikäinen
OTT, ihmisoikeus- ja yritysvastuuasiantuntija (Opinio Juris)
Hanna Silvola
KTT, apulaisprofessori (Hanken)
