Loading...

Keskeiset juridiset riskit – mitä ne voivat olla?

Riskit ovat kiinteä osa yritystoimintaa. Usein riskit otetaan tietoisesti, mutta liiketoimintaan liittyy myös paljon juridisia riskejä, jotka huonoimmassa tapauksessa aiheuttavat valtavia vaikeuksia yritykselle. Juridiset riskit ovat monesti vaikea havaita ja näin myös niiden hallitseminen vaikeutuu. Riskienhallinnan ensimmäinen askel on aina riskien tunnistaminen, joten on siis ymmärrettävä, millaisia juridisia riskejä liiketoimintaan voi liittyä.

Mitä juridiset riskit voivat olla?

Sopimuksien muodostamiseen liittyy aina riskejä. Pitkäkestoisissa sopimuksissa riskejä muodostuu olosuhteiden vaihtumisesta. Tilanteet muuttuvat, ja jos sopimus on voimassa useita vuosia, voi sopimus kääntyä toiselle osapuolelle taakaksi. Jos sopimusehdoissa ei ole erikseen sovittu menettelystä olosuhteiden muuttuessa, niitä tuskin voi jälkikäteen enää muuttaa.

Monet yritykset käyttävät toiminnassaan ulkopuolisia tahoja, kuten alihankkijoita. Tällöin yrityksen ja asiakkaan välisen sopimuksen toteutumiseen vaikuttaa myös yrityksen muodostamat muut sopimukset. Yritys on aina vastuussa sopimuskumppaneistaan asiakkaalle; esimerkiksi kumppanin tekemästä virheestä kannetaan sama vastuu kuin omasta. Usein kannattaa siis pyrkiä saamaan sopimukseen vastuunrajoituslauseke, jolla voi pienentää omaa vastuutaan ja näin ollen myös riskiään.

Osakeyhtiöissä enemmistö- ja vähemmistöosakkaiden välinen erimielisyys saattaa vaikeuttaa koko yhtiön toimintaa. Erimielisyyksissä piileekin osakeyhtiöiden yleisin juridinen riski, jota voidaan kuitenkin hallita tekemällä osakassopimus huolella jo yhtiötä perustettaessa.

Lainsäädännön tulkitseminen ja sen muuttuminen on sisältää jokaista yritystä koskettavia riskejä. Riskien hallitsemiseksi kannattaa aina olla valmis perustelemaan kaikki tekemäsi toimenpiteet ja säilyttää niistä todisteena dokumentit. Lisäksi lakien muuttuminen saattaa aiheuttaa liiketoiminnan olosuhteiden muuttumisen ja näin luoda yritykselle uusia, vaikeasti hallittavia ja ennakoitavia riskejä.

Riskien hallitseminen riskikartoituksen avulla

Juridiset riskit eivät tuo yritykselle etua, kuten tietoisesti otetut riskit voivat tehdä. Nämä riskit ovat siis ”turhia” riskejä, joiden hallitseminen on elintärkeää vaikeuksien ja jopa konkurssin välttämiseksi. Riskienhallinta alkaa aina asiantuntijan tekemällä riskikartoituksella. Kartoituksessa käydään läpi tarkoin yrityksen toiminta ja toiminnan viitekehys ja tunnistetaan yrityksen juridiset riskit. Tämän jälkeen on arvioitava, kuinka vakavia riskit ovat, mihin riskeihin voidaan vaikuttaa ja mitä niille voidaan tehdä.

Riskin vakavuus vaikuttaa siihen kohdistuviin toimenpiteisiin. Joihinkin riskeihin voidaan vaikuttaa tai poistaa kokonaan esimerkiksi vain yrityksen käytäntöjä muuttamalla, toiset taas vaativat laajempia toimenpiteitä. Kaikkia riskejä ei voida koskaan täysin poistaa, mutta niiden vaikutusta voidaan usein merkittävästi pienentää. Jotkut riskit taas ovat niin pieniä tai epätodennäköisiä, että niihin ei ole kannattavaa laittaa resursseja, mutta ovat silti yhtä tärkeitä tunnistaa ja tietää niiden mahdolliset vaikutukset.

Juridisia riskejä voidaan hallita, kunhan ne tunnistetaan ajoissa ja tarkasti. Lakiasioiden läpivalaisu -palvelumme antaa selkeän kokonaiskuvan yrityksesi juridisista riskeistä ja mahdollisesta hyödyntämättömästä potentiaalista sekä sisältää aina toimenpide-ehdotukset. Ota yhteyttä, ja mietitään yhdessä lisää yrityksesi riskikartoituksen laajuutta.

2018-07-04T06:21:49+00:00 04.07.2018|Juridiikka|

Työoikeus ja sen keskeiset osa-alueet

Työoikeus koskettaa melkein jokaista yhteiskuntamme jäsentä, sillä suurin osa on elämänsä aikana työntekijän tai työnantajan roolissa. Työoikeudessa määritetään siis työsuhteisiin liittyviä oikeuksia ja velvollisuuksia. Työnteon muutoksessa ja kansainvälistymisen ilmapiirissä työoikeus on myös jatkuvasti tarkastelun alla ja tuo haasteita lainsäätäjille oikeudenmukaisten säädösten varmistamiseksi.

Työoikeus kattaa kaikki työsuhteeseen liittyvät kysymykset

Työoikeuden katsotaan kuuluvan läheisesti yksityisoikeuteen, sillä se suojelee erityisesti työntekijän oikeusturvaa. Tämä johtuu siitä, että työntekijän katsotaan olevan heikommassa asemassa työnantajaan nähden. Tilannetta voi verrata kuluttajan ja yrityksen väliseen tilanteeseen, jossa heikommassa asemassa olevaa kuluttajaa on suojeltu lakien avulla. Työoikeus kuitenkin rajoittaa paljon yksityisoikeuteen kuuluvaa sopimusvapautta, joten se on lähellä myös julkisoikeudellista puolta.

Työoikeuden piiriin kuuluvat kaikki työsuhteen eri osa alueet, kuten työajat, vuosilomat sekä työsuhteen aloittaminen ja päättäminen. Esimerkiksi siis vuosiloman kertymisen ehdot on lailla määritelty työoikeudessa, eivätkä ole työnantajan päätettävissä. Se kattaa myös työntekijöiden sosiaaliturvan säädökset, kuten työeläkkeet ja työttömyysturvan. Työoikeudessa säädetyt lait ovat joko pakottavia tai tahdonvaltaisia.

Työoikeus jaetaan yksilölliseen työoikeuteen ja kollektiiviseen työoikeuteen. Yksilöllinen työoikeus käsittelee työntekijän ja -antajan välisiä asioita, kun taas kollektiivinen työoikeus kattaa työehtosopimuksiin, virkaehtosopimuksiin ja työriitoihin liittyvät asiat.

Työoikeuden keskeiset säädökset

Työoikeuden keskeisin säädös on työsopimuslaki. Työsopimuslaki määrittelee työsopimuksen laatimiseen ja työsuhteen kestoon ja päättämiseen liittyviä ehtoja sekä muita tärkeitä ehtoja. Työsopimuslaki on vähimmäispakottava, eli siis työsopimuksessa voidaan toki sopia työntekijälle lain määräyksiä paremmat edut. Työsopimuksen kohdat, jotka rajoittavat työsopimuslaissa määriteltyjä etuja, ovat mitättömiä.

Työturvallisuuslaki on laadittu työntekijöiden työkyvyn ylläpitämiseksi ja turvaamiseksi. Siinä määritellään työympäristöön ja työolosuhteisiin liittyviä seikkoja, joitta voitaisiin mahdollisimman hyvin ehkäistä ja torjua työn fyysisiä ja henkisiä haittavaikutuksia, työtapaturmia sekä ammattitauteja.

Työmarkkinajärjestöihin ja niiden välisiä neuvotteluita säädellään työehtosopimuslaissa. Työehtosopimuslaki on kuitenkin melko yleisluontoinen, sillä se on niin sanottu puitelaki.

Suomalaista työoikeuteen vaikuttaa myös Euroopan Unionin työoikeudellinen normisto sekä kansainvälisen työjärjestö ILO:n (International Labour Organization) yleissopimukset ja suositukset.

Etkö ole varma, mitä oikeuksia tai velvollisuuksia sinulla on työoikeuden puitteissa? Oli pulmasi pieni tai suuri, kerron mielelläni lisää työoikeudesta ja sen merkitystä sinulle.

2018-05-22T10:07:29+00:00 22.05.2018|Työoikeus|

Keskeiset sopimusoikeudelliset kysymykset

Sopimusoikeudelliset kysymykset mietityttävät monia, mutta ovat perusasioita, jotka jokaisen olisi hyvä tuntea. Jokainen meistä on laatinut ja tulee laatimaan elämässään erilaisia sopimuksia, joten vaikka et solmisikaan laajoja liike-elämän sopimuksia, on sopimusoikeuden pääpiirteet hyvä tuntea. Jotta keskeiset sopimusoikeudelliset kysymykset saadaan kirkastettua, laadin tähän kirjoitukseen selvennyksiä sopimusoikeuden peruskäsitteistä.

Sopimusvapaus

Sinulla on yksinkertaisesti esitettynä oikeus valita sopimuskumppanisi, sisällyttää sopimukseen haluamasi asiat ja tehdä se haluamassasi muodossa sekä käyttää halutessasi edustajaa – sinulla on siis sopimusvapaus. Tämä ei kuitenkaan tarkoita, että kohtuuttomat sopimukset olisivat lainmukaisia ja laki voi asettaa sopimuksen sisällölle ja muodolle rajoituksia tietyissä tilanteissa. Ylipäätään sopimukset ovat syytä laatia kirjallisena, sillä vaikka suullinen sopimus on yhtä pitävä kuin kirjallinen, siinä sovittuja asioita on vaikea todistaa, jos erimielisyyksiä syntyy.

Sopimuksen syntyminen

Sopimus syntyy, kun tarjoukseen annetaan myöntävä vastaus. Jos siis annettua tarjousta ei oteta sellaiseen vastaan kohtuullisen ajan puitteissa, ei tarjoaja ole enää sitoutunut tekemään sopimusta. Suulliseen tarjoukseen voidaan olettaa annettavan vastaus heti, ja kirjallisesti esitettyihin tarjouksiin kohtuullisessa ajassa. On olemassa myös tilanteita, joissa sopimus syntyy ilman selkeää tahdonilmaisua.

Sopimuksen kesto, päättyminen ja sitovuus

Sopimus voi olla määräaikainen tai toistaiseksi voimassa oleva. Määräaikainen sopimus sitoo osapuolia sovittuun päättymisajankohtaan asti, mutta yhteisellä päätöksellä se voi päättyä myös aikaisemmin. Toistaiseksi voimassa oleva sopimus päättyy, kun toinen osapuolista päättää irtisanoa sen ja irtisanomisaika on kulunut. Periaate on, että tehtyä sopimusta tulee noudattaa ja osapuolet voivat luottaa tähän.

Pätemättömyys ja kohtuuttomuus

Solmittu sopimus voidaan todeta pätemättömäksi tai kohtuuttomaksi, jos esimerkiksi sopimuksen osapuoli on pakotettu tekemään sopimus, tai jos sopimuksen asettelun arvioidaan olevan kokonaisuutena kohtuuton toista osapuolta kohtaan.

Edustusvalta

Sopimuksen solmiminen ja muut sopimusasiat voidaan lähtökohtaisesti valtuuttaa edustajalle, jolloin sopijapuolen ei itse tarvitse hoitaa asiaa. Toinen osapuoli voi kuitenkin kieltäytyä tekemästä sopimusta edustajan kanssa, jolloin kaikkien osapuolten on edustettava itse itseään sopimuksen toteutumiseksi. Valtuutettu edustaja pystyy tekemään sopimustoimia vain edustusvaltansa rajoissa; toimivallan ylittävät toimet eivät sido valtuuttajaa.

Mietityttääkö sopimusoikeudelliset kysymykset edelleen? Autan mielelläni kaikissa sopimusoikeudellisissa sekä muissa liikejuridiikan asioissa. Muistithan myös lukea edellisen kirjoitukseni osakassopimuksen laatimisesta, jos aihe on sinulle ajankohtainen.

2018-04-20T07:46:29+00:00 20.04.2018|Sopimusasiat|

Osakassopimus – mitä siinä täytyy huomioida?

Yhtiöjärjestyksessä ei monesti ole tarkoituksenmukaista tai edes mahdollista sopia jokaisesta seikasta, joka liittyy yrityksen toimintaan. Myöskään osakeyhtiölaki ei ole riittävä säätelemään osakkeenomistajien suhdetta toisiinsa sekä yhtiöön, ja siksi usein tehdäänkin osakassopimus osakkeenomistajien välille, jossa pelisäännöt määritellään. Sopimus on sitova ja sitä rikkoessa voi seurata vahingonkorvausvastuu sopimusoikeudellisen vahingonkorvausvelvollisuuden tai osakassopimukseen kirjatun sopimussakon perusteella. Rikkomus ei kuitenkaan voi tehdä yritykseen liittyvistä päätöksistä pätemättömiä elleivät ne ole yhtiöjärjestyksen tai osakeyhtiölain vastaisia.

Mitä asioita sopimusta laatiessa täytyy miettiä?

  • Osakassopimus tulee laatia tilanteen ja tarpeen mukaiseksi. Esimerkiksi perheyhtiön osakassopimuksen sisältö poikkeaa yrittäjäkumppaneiden välisestä, ja osakkaiden omistajuuden jakautuminen vaikuttaa sopimuksen tavoitteeseen. Valmis mallipohja on siis harvoin käyttökelpoinen, vaan on mietittävä sopimuksen sisältö räätälöidysti. On turha sisällyttää sopimukseen kohtia, joiden noudattaminen on todellisuudessa mahdotonta tai eivät vain sovellu kyseiseen yhtiöön.
  • Rahoituksesta ja yhtiön varojen käytöstä kannattaa sopia osakkaiden kesken. On mietittävä esimerkiksi, ovatko osakkaat velvollisia rahoittamaan yhtiötä tai olla lainan takaajina, ja kuinka osingonjako suoritetaan.
  • Jos osakkaista joku haluaa poistua yhtiöstä, on sen varalta mietittävä, onko muilla osakkailla velvollisuus tai oikeus ostaa tämän osakkeet. Halutaanko siis rajoittaa ulkopuolisten osto-oikeutta? Osakassopimukseen voidaan sisällyttää tätä varten lunastus-, suostumus- ja kieltolausekkeet ja mahdollisesti myös perusteet hinnan määräytymiselle. Kannattaa myös pohtia, onko lunastusvelvollisuudesta tarpeellinen silloin, jos erimielisyydet vaikuttavat liiketoimintaan. Tärkeää on löytää ratkaisu liiketoiminnan jatkuvuuden varmistamiseksi myös kiistatilanteissa.
  • Osakkaiden etuosto-oikeus tai myötämyyntioikeus tai -velvollisuus voivat varmistaa esimerkiksi yrityskaupan toteutumisen tilanteessa, jossa kauppa on saanut enemmistön kannatuksen, mutta kaikki osakkeenomistajat eivät halua myydä osakkeitaan.
  • Kilpailu- ja rekrytointikiellolla pyritään yleensä suojaamaan yhtiön liiketoimintaa tilanteessa, jossa osakas jättää yhtiön harjoittaakseen kilpailevaa toimintaa tai siirtyessään kilpailevan yhtiön riveihin. Osakassopimuksessa sovittu kilpailukielto on sidottu osakkuuteen, eli on voimassa työsuhteen päätyttyä, jos osakkeita ei myydä.
  • Kenellä on tiedonsaantioikeus ja millainen salassapitolauseke laaditaan?
  • Yleensä osakassopimus määrittelee maksettavaksi sopimussakon sopimusrikkotilanteissa. Seuraamuksina voi olla myös lunastusmääräykset tai hallintaoikeuden menetys.

Jos osakassopimus tehdään, se on tehtävä huolella

Osakassopimus kannattaa tehdä jokaista kohtaa tarkasti harkiten ja miettien sen vaikutusta eri näkökulmista. Mikä tilanne on ilman sopimusta tai tiettyä ehtoa, ja miten se muuttuisi sopimuksen myötä? Jos asiasta halutaan sopia osakassopimuksessa, on pohdittava, millaisin ehdoin päästään haluttuun asetelmaan.

Huonosti tehty osakassopimus voi aiheuttaa erimielisyyksiä tulkinnassa ja johtaa asioiden ratkaisemiseen oikeudellisin keinoin. Sopimus voi olla jopa pätemätön, jos sitä ei ole laadittu oikein. Osakassopimuksen laatimisessa kannattaa siis konsultoida asiantuntijaa, jotta varmistetaan sen oikeudellisuus ja vältytään turhilta ongelmilta.

2018-04-06T09:55:20+00:00 06.04.2018|Sopimusasiat|

Tietosuojakartoitus – miksi se kannattaa tehdä?

Uudesta tietosuoja-asetuksesta (GDPR) puhutaan nyt jatkuvasti ja joka puolella, kun sen soveltamisen aloittamiseen on enää kaksi kuukautta aikaa. Asetus koskee kaikkia organisaatioita, joissa käsitellään jossain muodossa henkilötietoja. Monet yritykset ovat vielä kaukana asetuksen määräysten noudattamisesta, eivätkä 25.5. mennessä tule saamaan toimintaansa GDPR:n mukaiseksi. Jos yritykseltäsi puuttuu vielä tietosuojakartoitus, on sen aika nyt.

Miksi tietosuojakartoitus tehdään?

Asetus velvoittaa yrityksiä todistamaan pyydettäessä, että tietosuojavaatimuksia noudatetaan. Laiminlyönnistä seuraavat sakot voivat olla jopa 20 miljoonaa euroa tai neljä prosenttia liikevaihdosta, kumpi näistä onkaan korkeampi summa. Taloudellisia tappioita suurempikin haitta voi olla kolhut yrityksen maineelle, joita laiminlyönnistä aiheutuu, joten tietosuojan saattaminen vähintään vaadittavalle tasolle on erittäin tärkeää. Asiantuntijan suorittama tietosuojakartoitus auttaa tietosuojatilanteesi selvittämisessä ja on ensimmäinen askel tietosuojasi saattamisessa ajan tasalle.

Tietosuojakartoitus on perusta henkilötietojen käsittelyllesi. Sen avulla saat selkeän arvion siitä, kuinka hyvin tällä hetkellä noudatat tietosuojavelvoitteita ja mitä dokumentaatiossasi ja prosesseissasi täytyy muuttaa. Tarkoituksena on hahmottaa tietosuojasi nykytilanne, ja laatia sen pohjalta toimenpide-ehdotukset, jotka toteuttamalla henkilötietojesi käsittely noudattaa varmasti kaikkia tietosuoja-asetuksen velvoitteita. Kartoituksella täytät myös jo osan asetuksen osoitusvelvollisuudesta.

GDPR:n myötä yritysten on suunniteltava henkilötietojen käsittely ja tiedettävä, miksi ja mitä tietoja kerätään, ja tämä on pystyttävä viranomaisille pyydettäessä osoittamaan. Tietosuojakartoitus selvittää, miten yrityksessäsi käsitellään tietoja ja kenellä on mahdollisuus päästä niihin käsiksi. Asiantuntijan kanssa toteutettu tietosuojakartoitus antaa varmasti todenmukaisen kuvan tietosuojastasi ja kaikki olennaiset asiat on otettu huomioon.

Tietosuojakartoituksen jälkeen

Kun olet selvittänyt tietosuojasi lähtötilanteen ja mahdolliset puutteet, alkaa henkilötietojen käsittelyn muuttaminen asetuksen tasalle. Esimerkiksi sopimukset asiakkaiden ja alihankkijoiden kanssa on laadittava uudelleen GDPR:n mukaisiksi. Henkilötietojen käsittely on dokumentoitava ja sille on tehtävä suunnitelma. Tietosuoja-asetukseen ei kuitenkaan kannata suhtautua ikävänä pakkona, vaan nähdä sen mahdollisuudet parempaan asiakaspalveluun, kilpailuetuun sekä myös omien tietojesi turvallisempaan käsittelyyn.

Jos tietosuojakartoitus osoittaa, että toimintasi ei ole vielä asetuksen tasalla, Tietosuojavastaasi™-palvelun avulla päivitämme toimintasi ja sopimuksesi asianmukaisiksi. Kysy lisää tietosuojakartoituksesta ja Tietosuojavastaasi™-palvelusta – kerron mielelläni lisää, miten voin auttaa yritystäsi.

2018-03-26T08:58:55+00:00 26.03.2018|GDPR, Tietosuojakartoitus|

Yrityksen tietosuoja – mitkä ovat keskeisiä velvollisuuksiasi rekisterinpitäjänä?

Yrityksen tietosuoja nousee entistä tärkeämpään asemaan, kun uusi tietosuoja-asetus GDPR tulee sovellettavaksi 25.5.2018 alkaen. Kirjoitin jo aikaisemmin GDPR:n mukanaan tuomista muutoksista ja millaisia toimenpiteitä se yrityksiltä vaatii. Nyt kerron laajemmin, mitä yrityksen on huomioitava tietosuoja-asioissaan, ja mitkä ovat sen velvollisuuksia rekisterinpitäjänä.

Osoitusvelvollisuus

Yrityksen on kyettävä osoittamaan, että asetuksen mukaista henkilötietojen käsittelyä noudatetaan. Asian todistamiseksi tietojen käsittelyn tulee olla suunnitelmallista ja dokumentoitua ja yrityksen tulee todentaa, miten tietosuoja-asetuksen periaatteiden noudattaminen sekä rekisteröityjen oikeuksien ja heidän tiedottamisensa toteutuminen varmistetaan.

Käsittelyyn liittyvien riskien arviointi

Henkilötietoihin kohdistuvat toimenpiteet ja suojatoimet riippuvat siitä, kuinka paljon käsittelystä arvioidaan aiheutuvan riskiä rekisteröidyn oikeuksille ja vapauksille. Esimerkiksi käsittelyn riskinä voi olla, että rekisteröity joutuu identiteettivarkauden kohteeksi tai kärsii taloudellisia menetyksiä tietosuojaloukkauksen johdosta. Riskin todennäköisyys ja vakavuus riippuvat muuan muassa käsittelyn luonteesta ja laajuudesta, ja toimenpiteet on suhteutettava sen mukaan.

Seloste käsittelytoimista

Yrityksen on ylläpidettävä selostetta henkilötietojen käsittelystään, mikäli sen palveluksessa on vähintään 250 henkilöä, tai sen toteuttamaan henkilötietojen käsittelyyn liittyy todennäköisiä riskejä rekisteröityjen oikeuksien ja vapauksien kannalta, käsittely ei ole satunnaista tai käsittely kohdistuu arkaluonteisiin tai rikosoikeudellisiin seuraamuksiin liittyviin henkilötietoihin. Selosteesta on selvittävä muun muassa rekisterinpitäjän tiedot ja kenelle henkilötietoja on luovutettu tai luovutetaan, sekä mitä tarkoitusta tai tarkoituksia varten tietoja kerätään ja käsitellään. Seloste on pätevä keino osoittaa henkilötietojen käsittelyn asianmukaisuus.

Tietosuojaa koskeva vaikutuksenarviointi ja ennakkokuuleminen

Jos käsittelystä aiheutuva riski rekisteröityjen oikeuksille ja vapauksille arvioidaan suureksi, täytyy tietosuojalle tehdä vaikutuksenarviointi. Vaikutusten arvioinnissa on tarkasteltava erityisesti sellaisia toimenpiteitä, joilla voidaan pienentää käsittelystä aiheutuvaa riskiä ja varmistaa asianmukainen tietojen käsittely rekisterinpitäjän toiminnassa. Jos riski arvioidaan korkeaksi, eikä rekisterinpitäjä pysty sitä pienentämään, ei käsittelyä saa aloittaa ennen valvontaviranomaisen ennakkokuulemista.

Käsittelyn turvallisuus

Yrityksen tietosuoja on oltava asetuksen mukaista kaikissa käsittelyn vaiheissa, aina tietojen keräämisestä niiden tuhoamiseen. Yrityksen on pidettävä huolta, että yrityksen tietoturva on vahva ja suojaa tietomurroilta.  Rekisterinpitäjän on pidettävä huoli, että kaikki, joilla on pääsy henkilötietoihin, käsittelevät niitä ohjeistuksen mukaisesti: niin oma henkilöstö kuin henkilötietojen käsittelijöinä toimivat yhteistyökumppanitkin. Yrityksellä on myös oltava suunnitelma siltä varalta, että tietoturvaloukkaus tapahtuu. On hyvä varmistaa, että palveluntarjoaja on myös sitoutunut tietosuoja ja tietoturvaprosesseihin.

Tietoturvaloukkauksista ilmoittaminen

Tietoturvaloukkauksesta on ilmoitettava sekä valvontaviranomaisille että loukkauksen kohteiksi joutuneille. Ilmoitus viranomaisille on tehtävä 72 tunnin kuluessa loukkauksen selviämisestä sekä rekisteröidyille ilman aiheetonta viivytystä, jos loukkaus saattaa aiheuttaa rekisteröityjen oikeuksiin ja vapauksiin kohdistuvan riskin. Yrityksen on syytä varautua mahdollisiin loukkauksiin muun muassa laatimalla asianmukainen viestintäsuunnitelma loukkauksen varalle sekä prosessiohjeistus tietoturvaloukkauksien havaitsemiseksi, eskaloimiseksi sekä tietoturvaloukkauksesta ilmoittamista varten.

Tietosuojavastaavan nimeäminen

Yrityksen on nimettävä tietosuojavastaava, mikäli sen ydintehtävät edellyttävät laajaa ja järjestelmällistä henkilötietojen, erityisten henkilötietoryhmien tai rikosseuraamuksia koskevien tietojen käsittelyä. Tietosuojavastaavaa nimettäessä on otettava huomioon tämän ammattipätevyys ja asiantuntemus tietosuojalainsäädännöstä. Ulkoisen tietosuojavastaavan nimeäminen voi olla yrityksen kannalta edullisin ratkaisu, sillä tällöin vältetään mahdolliset yrityksen sisäiset eturistiriitatilanteet ja varmistetaan muun muassa, että yrityksen käytössä on jatkuvasti tuorein ja asianmukaisin tieto tietosuojasääntelystä. Lisäksi käyttämällä ulkopuolista asiantuntijaa tietosuojavastaavana voidaan muun ohella vapauttaa yrityksen sisäistä potentiaalia, kun yhtiön sisäisen tietosuojavastaava voi käyttää aikansa muihin tehtäviin. Tietosuojavastaavan nimeämisestä voit lukea lisää aikaisemmasta kirjoituksestani.

Henkilötietojen käsittelyn ulkoistaminen

Yrityksen tietosuoja on huomioitava myös henkilötietojen käsittelyn ulkoistamisessa. Ulkoistamista on, jos ostaa toiselta yritykseltä esimerkiksi palkkahallinnon palveluita. Rekisterinpitäjän on saatava ulkoiselta taholta riittävät takeet siitä, että henkilötietojen käsittely tapahtuu asetuksen mukaisesti. Ulkoistettavasta käsittelystä on laadittava kirjallinen ja yksityiskohtainen sopimus henkilötietojen käsittelyä koskien sekä asianmukainen ohjeistus näissä tilanteissa henkilötietojen käsittelijänä toimivalle.

Velvollisuuksia siis riittää rekisterinpitäjällä ja niiden noudattaminen vaatii työtä ja tarkkaa suunnittelua. Tuntuuko monimutkaiselta? Concludentian Tietosuojavastaavasi™ -palvelu on apunasi kaikissa tietosuojaan liittyvissä asioissa, ja sen avulla saat selkeän kuvan GDPR:n vaatimuksista ja yrityksesi valmiudesta toteuttaa GDPR:n mukaiset velvollisuudet asianmukaisesti. Ota yhteyttä – esiselvitämme tilanteesi ja tarpeesi veloituksetta!

2018-03-06T09:31:12+00:00 06.03.2018|GDPR|

Ulkoistettu tietosuojavastaava yrityksellesi

Uusi EU:n laajuinen tietosuoja-asetus eli GDPR astuu voimaan toukokuussa. Viime kirjoituksessani selvitin, mitä tämä uusi asetus käytännössä tarkoittaa ja miten yritysten täytyy siihen reagoida. Tällä kertaa perehdyn tietosuojavastaavan tehtäviin ja vastuualueisiin sekä kerron, miksi ulkoistettu tietosuojavastaava on harkinnan arvoinen vaihtoehto.

Milloin tietosuojavastaava on nimettävä?

Tietosuojavastaava on nimettävä yrityksiin, joiden ydintehtävät edellyttävät laajaa ja järjestelmällistä henkilötietojen, erityisten henkilötietoryhmien tai rikosseuraamuksia koskevien tietojen käsittelyä. Edellä mainittuja toimijoita ovat mm. sote-palveluiden tuottajat, joilla on jo ennestään lakisääteinen velvollisuus asettaa tietosuojavastaava, käyttäjien sijaintitietoja laajasti käyttävien sovellusten tuottajat tai näitä tietoja analysoivat toimijat sekä käyttäjien profilointiin liittyvien palveluiden tarjoajat. Tietosuojavastaavan nimeäminen koskee myös viranomaisia, tuomioistuinta lukuun ottamatta. Täysin tarkkaa jaottelua tietosuojavastaavan asettamisesta ei voida kuitenkaan GDPR:n perusteella tehdä, mutta täsmennyksiä ja suuntaviivoja voidaan etsiä lainsäädännön valmistelutöistä sekä viranomaistulkinnoista ja -ohjeistuksista, kun niitä saadaan.

Tietosuojavastaava voi olla joko yrityksen sisältä tai ulkopuolelta hankittu asiantuntija. Tietosuojavastaava voidaan asettaa myös vapaaehtoisesti, mikä onkin usein suositeltavaa ottaen huomioon tietosuojavastaavan roolin ja merkityksen GDPR:n tuomien velvollisuuksien täyttämisen tukemisessa.

Mitä tietosuojavastaava tekee?

Tietosuojavastaavan tehtävänä on olla organisaatiossa tietosuojan asiantuntija. Hän neuvoo ja tiedottaa organisaation koko henkilöstöä asetukseen liittyvistä velvollisuuksista ja seuraa tietosuojasääntelyn noudattamista sekä henkilötietojen suojaamisen asianmukaisuutta. Tietosuojavastaava toimii myös tarvittaessa neuvonantajana tietosuojan vaikutuksenarvioinnissa, valvoen sen toteutusta. Yritysten sisäisten tehtävien lisäksi tietosuojavastaava toimii linkkinä yrityksen ulkopuolelle: hän tekee yhteistyötä valvontaviranomaisten kanssa sekä on rekisteröityjen, kuten asiakkaiden ja henkilöstön, yhteyshenkilö kaikissa heidän henkilötietojensa käsittelyyn liittyvissä oikeuksissa ja asioissa.

Miksi valita ulkoistettu tietosuojavastaava?

Kuten edeltä selvisi, tietosuojavastaavan tehtävä on laaja-alainen ja vastuullinen, jolloin on erityisen tärkeää huomioida nimittämistä miettiessä henkilön pätevyys tehtävään ja asiantuntemus tietosuojalainsäädännöstä. Nimetyn henkilön on myös kyettävä suoriutumaan kaikista tietosuojavastaavan tehtävistä.

Ulkoistettu tietosuojavastaava on viisas päätös, kun yrityksestäsi ei löydy vaadittavaa osaamista tehtävään tai olet epävarma, onko osaaminen riittävä. Ammattitaitoinen ulkoistettu tietosuojavastaava on tietosuojan asiantuntija, joten voit olla varma, että yrityksesi on asetuksen tasalla ja täyttää kaikki lainsäädännön vaatimukset eivätkä tietosuojavastaavan muut tehtävät organisaatiossasi aiheuta eturistiriitatilannetta. Lisäksi ulkoistettu tietosuojavastaava on perehtynyt syvällisesti useamman toimijan henkilötietojen käsittelyyn liittyviin haasteisiin ja osaa antaa täsmällisempiä ja perustellumpia vastauksia ja ohjeita kuin tietosuojavastaava, jolle tilanteet tulevat uusina. Sinä, henkilöstösi ja asiakkaasi saatte tarvittavaa neuvontaa ja apua kaikissa asetukseen liittyvissä asioissa ja viranomaisten sekä rekisteröityjen yhteyshenkilönä toimii puolueeton ja riippumaton taho.

Concludentian Tietosuojavastaavasi™-palvelun avulla käytössäsi on ulkoistettu tietosuojavastaava, joka ymmärtää liiketoimintaa ja on perehtynyt kaikkiin tietosuojajuridiikan koukeroihin. Voit olla levollisin mielin tietäessäsi, että asiakkaidesi, yhteistyökumppaneidesi ja työntekijöidesi henkilötiedot ovat asianmukaisesti suojattu ja valvottu, ja he saavat tarvittaessa ammattilaisen neuvontaa henkilötietojen käsittelyyn liittyen. Tutustu lisää Tietosuojavastaavasi-palveluun täältä, tai ota suoraan yhteyttä, niin keskustellaan yrityksesi tilanteesta ja tarpeesta.

2018-02-14T11:35:16+00:00 14.02.2018|GDPR|

GDPR – mikä se on ja miten siihen tulee varautua?

GDPR eli General Data Protection Regulation on EU:n laajuinen tietosuoja-asetus, joka koskee kaikkea henkilötietojen käsittelyä Euroopan unionin jäsenvaltioissa ja täten velvoittaa yritykset tekemään suuria muutoksia rekisterin pitoonsa. Asetus tuli voimaan jo keväällä 2016, mutta kahden vuoden siirtymäajan myötä soveltaminen alkaa 25.5.2018, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista. Yrityksillä on siis vielä neljä kuukautta aikaa saada henkilötietojensa käsittely vaaditulle tasolle – velvoitteen laiminlyönnistä seuraavat hallinnolliset sakot voivat olla jopa 4 prosenttia liikevaihdosta tai 20 miljoonaa euroa riippuen siitä, kumpi näistä on suurempi, minkä lähes jokainen sanahirvityksen GDPR tunteva osaa ulkomuististaan kertoa. Vaikken henkilökohtaisesti usko, että kansallisella tasolla hallinnolliset sakot edellä mainitulle tasolle nousisivat, tulee sakkojen olla kuitenkin tehokkaita, oikeasuhteisia ja varoittavia. Lisäksi valvontaviranomainen voi määrätä muita seuraamuksia, kuten määrätä henkilötietojen käsittely keskeytettäväksi tai rajoittaa käsittelyä, joten uuteen asetukseen on syytä suhtautua sen vaatimalla vakavuudella.

Henkilötietoihin kuuluu kaikki henkilöä yksilöivä tieto kuten nimi, kotiosoite, pankkitunnukset, ostokset ja sosiaalisen median päivitykset. Henkilötietojen käsittelylle on oltava aina syy ja tarve sekä oikeutus eli rekisteröidyn henkilön suostumus tai muu yksilöity oikeusperuste.

Miksi GDPR eli tietosuoja-asetus laadittiin?

Asetuksen taustalla on teknologian kehityksen ja globalisaation tuoma henkilötietojen merkittävyyden lisääntyminen sekä tähän liittyvät henkilötietojen käsittelyn tietosuojahaasteet, joihin pyritään nyt vastaamaan yhtenäistämällä henkilötietojen käsittelyä ja vapaata liikkuvuutta koskevat säännöt EU-tasolla. Asetuksella halutaan lisätä kuluttajien henkilötietoturvaa: asetuksen ansioista henkilötietoja on käsiteltävä kaikissa yrityksissä asianmukaisesti, tietoturvalle on asetettu vaatimukset, eikä henkilötietoja saa luovuttaa EU:n ulkopuolelle ilman kuluttajan lupaa tai säädettyä oikeusperustetta. Kuluttajalla on myös oikeus mm. saada rekisterin tiedot itselleen, vaatia tietojen oikaisua ja saada ne kokonaan pyyhityiksi (”oikeus tulla unohdetuksi”), jos tämä ei ole ristiriidassa muun lainsäädännön kanssa.

Asetuksen tavoitteena on kuluttajan oikeuksien vahvistamisen lisäksi parantaa luottamusta verkossa asiointiin ja yhtenäistää EU-alueen tietosuojalainsäädäntöä. Vaikka asetuksen velvoitteet vaativat työläitä muutoksia yrityksiltä, yhdenmukainen sääntely helpottaa yritystoimintaa unionin sisällä ja edistää digitaalisten markkinoiden kehittymistä jäsenmaiden välillä.

Mitä uudistus vaatii yrityksiltä?

Muutokseen valmistautuessa täytyy ensin hahmottaa kokonaiskuva yrityksen nykyisestä henkilötietojen käsittelystä, mikä tarkoittaa kaikkien käsittelyn vaiheiden kartoittamista aina tietojen keräämisestä niiden hävittämiseen, ottaen huomioon myös henkilötietojen käsittelyn ulkoistukset. Tämän jälkeen pystytään selvittämään, mitä toimenpiteitä yritykseltä vaaditaan, jotta henkilötietojen käsittely vastaa uutta tietosuoja-asetusta. On tärkeää varmistaa, että kaikki yrityksen sopimukset – esimerkiksi asiakkaiden ja alihankkijoiden kanssa -vastaavat asetuksen ehtoja ja henkilötietojen käyttöä koskeva sisältö on ajan tasalla. Yrityksen on myös nimettävä itselleen tietosuojavastaava joko organisaation sisältä tai hankkia vastuuhenkilö ulkopuolelta.

Aikaisemmin riitti lain passiivinen noudattaminen, mutta uuden asetuksen myötä rekisterinpitäjän on pyydettäessä pystyttävä osoittamaan tietosuojasäädösten asianmukainen huomioiminen yrityksen toiminnassa. Tämä vaatii yrityksiltä henkilötietojen käsittelyn suunnittelemista ja dokumentoimista. Lisäksi henkilötietojen käsittelemisestä ja rekisteröityjen oikeuksista tulee informoida rekisteröityjä aiempaa kattavammin ja tietoturvaloukkauksista täytyy lähtökohtaisesti ilmoittaa 72 tunnin kuluessa viranomaisille. Jokainen yritys on itse vastuussa, että tietosuoja-asetus toteutuu yrityksen henkilötietojen käsittelyssä – vastuuta ei voi sysätä muille sopimuksin ja mahdollinen maineen menetys kohdistuu aina rekisterinpitäjään, olipa syy hänen tai kumppaninsa.

Olennaisinta on kuitenkin yrityksen oma asennoituminen asetukseen ja tietosuojaan yleisesti ottaen. Sen sijaan, että yritys täyttää tietosuojavaatimukset ”pakon edessä ja sakon uhalla” tulisi yrityksen ajatella, mitä arvoa henkilötiedot yritykselle antavat ja miten näiden tietojen suojaaminen voi olla sekä erinomaista asiakaspalvelua että mainio kilpailutekijä, sillä hyvin hoidettu tietosuoja on erinomainen valttikortti sekä asiakasuskollisuuden että yrityksen maineen kannalta.

2018-02-05T11:54:32+00:00 30.01.2018|GDPR|

Tarina alkaa

Concludentian tarina alkaa todenteolla näiden verkkosivujen valmistumisen myötä. Vaikka olen toiminut vaativissa lakimiehen ja johtajan tehtävissä niin pörssiyhtiössä, pääomasijoittajan omistamassa suuryrityksessä kuin nopeasti kasvavassa start upissa ja toteuttanut erittäin vaativia toimeksiantoja, en olisi ikinä uskonut kuinka paljon työtä yksinyrittämiseen liittyy, kun haluaa tehdä asiat hyvin ja huolella. En voi muuta kuin hattua nostaa yrittäjä-kollegoilleni, jotka ovat saman polun läpi tarponeet. Vaikka olen – ainakin toistaiseksi – yksin yrittäjä, ei minun tarvitse yrittää yksin vaan voin kiittää erinomaisia yhteistyökumppaneita, kuten Kupli Oy:tä ja läheisiäni, jotka ovat osaltaan mahdollistaneet yrittäjyyteni.

2018-01-02T10:30:58+00:00 01.01.2018|Yleinen|