Mitä yritysten tulisi paljastaa tietovuotojen sattuessa

Kun tietovuoto tapahtuu, joissakin tapauksissa voi olla tarpeen tehdä hallinnollisia toimenpiteitä, kuten ilmoituksia. Hallinnollisten toimenpiteiden lisäksi on myös tarpeen tehdä tietojen julkistaminen sopivalla tavalla, kuten “minkälaista tietoa”, “milloin” ja “miten tieto vuoti”.

Tässä artikkelissa selitämme yritysten oikeudellisten osastojen henkilöstölle, mitä tietojen julkistamista yrityksen tulisi tehdä, kun tietovuoto tapahtuu.

Ylläpidon vastaukset ja tiedonantovelvollisuuden erot

Henkilötietojen vuotamisen tapahtuessa on tarpeen vastata hallinnollisiin sääntöihin, kuten Japanin henkilötietojen suojalakiin. Kuitenkin, pelkkä hallinnollinen vastaus ei välttämättä riitä yrityksen toiminnaksi.

Esimerkiksi, jos yritys aiheuttaa tietovuodon, se voi johtaa yhteiskunnallisiin vaikutuksiin.

Lisäksi, jos yritys on listattu, on tarpeen antaa tietoa nopeasti sidosryhmille, kuten osakkeenomistajille, liikekumppaneille ja asiakkaille.

Ylläpidon vastauksissa on lainsäädännön mukaisen vastauksen näkökulma, mutta yrityksen suorittamassa tiedonantovelvollisuudessa on vahva näkökulma yrityksen yhteiskunnallisesta vastuusta tietojen käsittelijänä.

Liittyvä artikkeli: Mitä tehdä, kun henkilötietojen vuoto tapahtuu? Yrityksen tulisi vastata hallinnollisesti[ja]

Liittyvä artikkeli: Opi 650 000 tietovuodon kriisinhallinnasta ja asianajajan roolista Tokken Corp -tapauksesta[ja]

Pörssiyhtiöiden ajantasaisesta tiedottamisesta

Pörssiyhtiöiden kohdalla, tietovuotojen tapahtuessa vaikutukset voivat ulottua laajalle, minkä vuoksi tiedottamisvelvollisuus on määrätty.

Esimerkiksi, Tokion pörssin julkaisemissa arvopaperilistauksen säännöissä (Japanese 有価証券上場規程) on määritelty seuraavat ajantasaisen tiedottamisen säännökset:

(Yhtiötiedon julkistaminen)
Artikla 402
Pörssiyhtiön on, jos se kuuluu seuraaviin kategorioihin (poikkeuksena ne, jotka kuuluvat täytäntöönpanosääntöjen määrittelemiin kriteereihin tai muut, jotka pörssi katsoo vaikuttavan vähäisesti sijoittajien sijoituspäätöksiin), välittömästi julkistettava tiedot täytäntöönpanosääntöjen mukaisesti.
(Omitted)
x Muut tosiasiat, jotka liittyvät kyseisen pörssiyhtiön toimintaan, liiketoimintaan tai omaisuuteen tai kyseisiin listattuihin osakkeisiin, ja joilla on merkittävä vaikutus sijoittajien sijoituspäätöksiin

Tokion pörssi | Arvopaperilistauksen säännöt[ja]

Tietovuotojen tapahtuessa, niiden katsotaan kuuluvan kategoriaan “muut tosiasiat, jotka liittyvät kyseisen pörssiyhtiön toimintaan, liiketoimintaan tai omaisuuteen tai kyseisiin listattuihin osakkeisiin, ja joilla on merkittävä vaikutus sijoittajien sijoituspäätöksiin”, joten ajantasaisen tiedottamisen toteuttaminen on tarpeellista.

Käytännössä, tietovuodon yksityiskohdat, tietovuodon tapahtumien kulku, sekä tulevaisuuden näkymät tietovuodon johdosta toteutettaviin toimenpiteisiin liittyen tulisi julkistaa.

Yritysten vapaaehtoisesta tiedonantovelvollisuudesta

Kuten yllä mainittiin, on tilanteita, joissa yritykset joutuvat antamaan tietoja noudattaen arvopaperien listautumissääntöjä ja muita määräyksiä. Kuitenkin yritykset voivat myös harkita vapaaehtoista tiedonantovelvollisuutta riskienhallinnan näkökulmasta.

Liittyvä artikkeli: Yrityksen henkilötietovuotojen riski ja vahingonkorvaus[ja]

Milloin tiedonantovelvollisuus tulisi toteuttaa

Vapaaehtoisen tiedonantovelvollisuuden osalta yrityksillä on periaatteessa mahdollisuus valita, antavatko he tietoja vai eivät.

Tästä syystä on tärkeää, että yritykset määrittelevät selkeät kriteerit sille, milloin he päättävät antaa tietoja ja milloin eivät.

Ensimmäinen kriteeri voisi olla, onko todellista riskiä siitä, että tietovuodon seurauksena aiheutuvat vahingot laajenevat.

Jos tietovuoto on todellakin tapahtunut, mutta sen todellinen vaikutus on vähäinen, vapaaehtoisen tiedonantovelvollisuuden tarve on todennäköisesti vähäinen.

Jos tietovuodon seurauksena aiheutuvien vahinkojen laajenemisen riskiä ei todellisuudessa ole, vapaaehtoinen tiedonanto voi aiheuttaa sekaannusta ja pahentaa tilannetta.

Toinen kriteeri voisi olla, voiko tiedonantovelvollisuuden toteuttaminen itse asiassa lisätä tietovuodon aiheuttamien vahinkojen laajenemisen riskiä.

Jos yritys ei ole vielä kyennyt vastaamaan riittävästi tietovuotoon ja julkistaa silti tiedon tietovuodosta, se voi houkutella niitä, jotka haluavat hankkia tietoja laittomasti, mikä voi johtaa lisää tietovuotoja.

Tämän seurauksena vapaaehtoisen tiedonantovelvollisuuden toteuttaminen voi laajentaa tietovuodon aiheuttamia vahinkoja ja lopulta johtaa oikeuksien loukkauksen laajenemiseen.

Kuitenkin, nämä kriteerit eivät välttämättä ole yleistettävissä, ja jokaisessa tapauksessa on tärkeää tarkastella huolellisesti, pitäisikö tiedot antaa vai ei.

Tiedonantovelvollisuuden toteuttamista vaativat seikat

Kun tiedonantovelvollisuus toteutetaan, on tärkeää harkita huolellisesti, mitä tietoja tulisi antaa.

Tiedonantovelvollisuuden toteuttamista vaativat seikat voivat olla esimerkiksi seuraavat:

• Tietovuodon tyyppi
• Päivämäärä, jolloin yritys tunnisti tietovuodon
• Päivämäärä, jolloin tietovuoto tapahtui
• Miten tietovuoto havaittiin
• Tietovuodon syy
• Mahdolliset tietovuodon aiheuttamat vahingot
• Onko riskiä tulevista vahingoista tai toissijaisista vahingoista
• Toimenpiteet, joita yritys on toteuttanut tietovuodon varalta
• Tietovuodon syyn tutkimuksen sisältö
• Onko tietoja ilmoitettu poliisille tai muille viranomaisille

Kuitenkin, myös tiedonantovelvollisuuden toteuttamista vaativat seikat vaihtelevat tapauksesta toiseen, joten on tärkeää tehdä yksilöllinen arviointi jokaisessa tapauksessa.

Tiedonantovelvollisuuden toteuttamistavat

Tiedonantovelvollisuuden toteuttamistapoja voivat olla esimerkiksi seuraavat:

• Tiedon julkaiseminen yrityksen verkkosivuilla
• Tiedon julkistaminen lehdistötilaisuudessa
• Ottaa yhteyttä yksilöllisesti niihin henkilöihin, joiden oikeuksia ja etuja tietovuoto saattaa loukata

Edellä mainitut tiedonantovelvollisuuden toteuttamistavat ovat vain esimerkkejä, ja jokaisessa tapauksessa on tärkeää valita sopiva tapa.

Huomioitavaa lehdistötilaisuuden järjestämisessä

Kun järjestät lehdistötilaisuuden, tiedonantovelvollisuuden sisältö tulee laajasti tunnetuksi. Siksi on tärkeää harkita huolellisesti, onko lehdistötilaisuuden järjestäminen sopiva tapa toteuttaa tiedonantovelvollisuus.

Esimerkiksi, jos yrityksellä ei ole uutta tietoa, jota se ei ole jo julkaissut verkkosivuillaan, lehdistötilaisuuden järjestäminen ei tuo uutta tietoa. Jos järjestät lehdistötilaisuuden ilman uutta tietoa, se voi antaa vaikutelman, että yritys ei ole avoin ja vastuullinen, mikä voi vahingoittaa yrityksen mainetta.

Lisäksi, lehdistötilaisuudessa puhutun sisällön peruminen tai korjaaminen voi olla käytännössä vaikeaa.

Siksi on tärkeää, että lehdistötilaisuuden sisältö valmistellaan huolellisesti etukäteen, mukaan lukien asiantuntijoiden, kuten lakimiesten, kuuleminen.

Huomioitavaa ottaessa yhteyttä yksilöllisesti niihin henkilöihin, joiden oikeuksia ja etuja tietovuoto saattaa loukata

Jos on selvää, että tietovuoto saattaa loukata jonkun oikeuksia ja etuja, on suositeltavaa ottaa yhteyttä tähän henkilöön ennen tietovuodon julkistamista.

Jos julkistat tiedon ennen yhteydenottoa uhriin, uhri saattaa tuntea epäluottamusta yritystä kohtaan ja vahvistaa vihamielistä asennettaan.

Lisäksi, jos yritys julkistaa tiedon ennen yhteydenottoa uhriin, vaikka yhteydenotto olisi ollut mahdollista, se saattaa vahingoittaa yrityksen sosiaalista luottamusta.

Miten yritykset voivat estää tietovuotoja

Olemme tähän asti keskustelleet siitä, mitä yrityksen tulisi tehdä tietojen paljastamiseksi, jos tietovuoto tapahtuu. Kuitenkin, tietovuotojen estäminen on ensisijaisen tärkeää.

Japanin henkilötietojen suojelulain (Japanese Personal Information Protection Act) 23 § määrittelee turvallisuuden hallintatoimenpiteet seuraavasti:

(Turvallisuuden hallintatoimenpiteet)
23 § Henkilötietojen käsittelijän on toteutettava tarvittavat ja asianmukaiset toimenpiteet henkilötietojen vuotamisen, häviämisen tai vahingoittumisen estämiseksi sekä muiden henkilötietojen turvallisuuden hallintatoimenpiteiden toteuttamiseksi.

e-Gov｜Henkilötietojen suojelulaki[ja]

Turvallisuuden hallintatoimenpiteinä voidaan esimerkiksi toteuttaa seuraavia toimia:

• Henkilötietojen käsittelyä koskevan perusperiaatteen laatiminen
• Henkilötietojen käsittelyä koskevien sääntöjen kehittäminen
• Organisaatiorakenteen kehittäminen
• Henkilötietojen käsittelyä koskevien sääntöjen noudattaminen
• Henkilötietojen käsittelyn tilan tarkistamiseen tarkoitettujen keinojen kehittäminen
• Tietovuotojen tapahtuessa toimintavalmiuksien kehittäminen
• Henkilötietojen käsittelyn tilan seuranta ja turvallisuuden hallintatoimenpiteiden tarkistaminen
• Koulutus henkilötietoja käsitteleville työntekijöille
• Fyysisten turvallisuuden hallintatoimenpiteiden toteuttaminen henkilötietojen vuotamisen estämiseksi
• Teknisten turvallisuuden hallintatoimenpiteiden toteuttaminen henkilötietojen vuotamisen estämiseksi

Yrityksen tilanteen mukaan, edellä mainittujen turvallisuuden hallintatoimenpiteiden toteuttaminen voi vähentää tietovuotojen riskiä.

Yhteenveto: Konsultoi asianajajaa tietovuotoihin liittyvistä tiedonantovelvollisuuksista

Tässä artikkelissa selitimme yritysten oikeusosastojen edustajille, mitä tiedonantovelvollisuuksia yrityksillä on, jos tietovuoto tapahtuu.

Parasta olisi, ettei tietovuotoja tapahtuisi lainkaan, mutta 100%:n tietovuotojen estäminen on käytännössä vaikeaa.

Siksi on tärkeää, että yritykset reagoivat asianmukaisesti, jos tietovuoto tapahtuu.

Tietovuotojen käsittely vaatii tapauksesta riippuvaa huolellista harkintaa, joten suosittelemme konsultoimaan asianajajaa, jolla on asiantuntevaa tietoa aiheesta.

Toimenpiteet, joita tarjoamme toimistossamme

Monolis Lakitoimisto on erikoistunut IT- ja erityisesti internet-oikeuteen. Yrityksen sisäisten sääntöjen laatimisessa tarvitaan erikoisosaamista. Toimistossamme käsittelemme erilaisia tapauksia, aina Tokion pörssissä listatuista yrityksistä startup-yrityksiin. Jos tarvitset apua yrityksen sisäisten sääntöjen kanssa, tutustu alla olevaan artikkeliin.