Päivitetty: 6. kesäk. 2023
Heinäkuun 12. päivästä alkaen verkon välityspalveluiden ja hakukoneiden on täytynyt soveltaa uutta asetusta, jolla pyritään luomaan avoimuutta ja oikeudenmukaisuutta verkon välityspalveluiden yrityskäyttäjille. Liiketoiminnan painottuessa yhä useammin verkkoon, yritysten oikeuksien turvaaminen suhteessa verkon välityspalveluihin ja hakukoneisiin on nähty tarpeelliseksi, sillä välityspalvelut ja hakukoneet voivat usein määrittää palveluidensa ehdot lähes yksipuolisesti.
Ketä asetus koskee?
Verkossa toimivia välityspalveluita esim. verkkokaupan markkinapaikkoja ja sovelluskauppoja; ja
Hakukoneita.
Asetus koskee yrityskäyttäjien sopimussuhdetta verkon välityspalveluihin ja hakukoneisiin eikä asetuksella puututa loppukäyttäjien eli kuluttajien ja elinkeinonharjoittajien välisiin velvoitteisiin.
Käytännössä asetus koskee esimerkiksi sivustoja, jotka tarjoavat hotellialan yrittäjille mahdollisuuden tarjota hotellipalveluitaan kuluttajille.
Mitä asetus velvoittaa?
Välityspalveluiden ja hakukoneiden sopimussuhdetta yrityskäyttäjiin koskevien ehtojen tulee olla asetuksen mukaisia, sillä asetuksen vastaiset ehdot ovat mitättömiä. Käytännössä tämä tarkoittaa, että esimerkiksi sivustojen yleiset ehdot, joihin sopimuksissa yrityskäyttäjien kanssa viitataan, voivat olla sopimussuhteessa mitättömiä. Ehdot tulee laatia selkeällä ja ymmärrettävällä kielellä ja ne on oltava helposti saatavilla.
Yrityskäyttäjien kanssa solmitun sopimussuhteen ehdoista tulee käydä ilmi mm.:
Perusteet päätöksille lopettaa tai keskeyttää palveluiden tarjoaminen yrityskäyttäjille;
Ehtojen vaikutus yrityskäyttäjien immateriaalioikeuksiin;
Keskeiset muuttujat, jotka määrittävät sivustolla esitettävien palveluiden järjestyksen sekä eri muuttujien keskinäisen järjestyksen; ja
Voiko palveluiden esittämisjärjestykseen vaikuttaa esimerkiksi rahallista korvausta vastaan.
Sopimussuhdetta säänteleviä ehtojen muuttamisesta tulee ilmoittaa yrityskäyttäjille vähintään 15 päivän määräajassa.
Välityspalveluiden ja hakukoneiden on myös huolehdittava siitä, että heillä on sisäinen valituksenkäsittelyjärjestelmä yrityskäyttäjien valituksia varten sekä nimetyt sovittelijat mahdollisia riitoja varten. Tämä vaatimus ei kuitenkaan koske pieniä välityspalveluita, joille valituksenkäsittelyjärjestelmä on vapaaehtoinen.
Toimivaltainen viranomainen
Suomessa markkinaoikeus on säädetty toimivaltaiseksi tahoksi kieltämään asetuksen vastaisen toiminnan. Kiellon tehosteeksi voidaan antaa uhkasakko.
Komissiolta on tulossa tarkempia ohjeita asetuksen soveltamiseen liittyen erityisesti koskien palveluiden muuttujien määrittelyä.
Lisätietoja asiasta antaa:
Jediitta Tiainen
Counsel
+358 44 23 52 115
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7. kesäk. 2023
EU:n whistleblower-direktiivi tulee osaksi kansallista lainsäädäntöä joulukuussa 2021. Direktiivi velvoittaa yli 50 henkilöä työllistäviä tai yli 10 MEUR liikevaihdon ylittäviä yrityksiä ja julkisen sektorin organisaatioita perustamaan epäiltyjen väärinkäytösten ilmiantokanavan ("ilmoituskanava", "eettinen kanava"). Lainsäädännön on tarkoitus antaa suojaa työnantajan kostotoimilta, kuten erottamiselta, alentamiselta tai pelottelulta. Ilmoittajaan kohdistuvista vastatoimista tulee kiellettyjä ja rangaistavia.
Direktiivin mukaan organisaatioiden on perustettava tietoturvallinen ilmiantokanava, jolla mahdollistetaan ilmoitukset väärinkäytöksistä. Organisaation tulee lähettää vastaanottoilmoitus seitsemän päivän sisällä ilmoituksesta sekä käsitellä ja tutkia asia kolmen kuukauden kuluessa ilmoituksen vastaanottamisesta. Ilmiantokanavan toiminnasta vastaavalla henkilöillä – olivat ne sitten organisaation sisäisesti nimettyjä henkilöitä tai organisaation ulkopuolisia asiantuntijoita – on oltava riittävä ammattitaito ilmoitusten vastaanottoon, käsittelyyn ja tutkintaan. Ilmoittajan identiteettiä on suojeltava ja raportit on säilytettävä tietoturvallisesti. Direktiivi lähtee siitä, että ilmoitus olisi ensin tehtävä työnantajalle sisäistä ilmiantokanavaa käyttäen, toisessa vaiheessa ulkoista ilmiantokanavaa käyttäen toimivaltaiselle viranomaiselle ja kolmantena vaiheena voisi olla tietojen julkistaminen. Tämä hierarkia mahdollistaa sen, että organisaatiot voivat pyrkiä selvittämään paljastuvat ongelmat oma-aloitteisesti.
Ilmiantokanavien käytössä työpaikoilla on otettava huomioon tietosuoja-asetuksesta ja työelämän tietosuojalaista johtuvat velvoitteet. Ennen kuin ilmiantokanava voidaan ottaa yrityksessä käyttöön, tulee asianmukaiset yhteistoimintamenettelyt henkilöstön kanssa käydä läpi. Tietosuojavaltuutetun ohjeistuksen mukaan ilmiantokanavan käyttöönotto edellyttää myös tietosuojaa koskevan vaikutustenarvioinnin (DPIA) toteuttamista.
Kun siis valmistaudut tulevaan lainsäädäntöön:
kartoita eri vaihtoehtoja ilmiantokanavan tekniselle toteuttamiselle
laadi yhteistyössä henkilöstön kanssa organisaation eettiset periaatteet (Code of Conduct) ja jalkauta se organisaatioon
laadi tietosuojaa koskeva vaikutustenarviointi sekä muu dokumentaatio, kuten tietosuojaseloste ja ilmiantokanavaa koskeva Q&A
kouluta avainhenkilöstö ilmiantokanavan tarkoituksesta ja käytöstä
käsittele asia yhteistoimintaneuvotteluissa
Tärkeää – ellei tärkeintä – on kuitenkin se, että vastuullisuus, eettinen toiminta ja läpinäkyvyys rakennetaan osaksi organisaation DNA:ta, eikä asia jää vain lainsäädännön pakolliseksi, tekniseksi toteuttamiseksi. Parhaimmillaan tätä lainsäädäntömuutosta voi käyttää ajurina rakentamaan yrityskulttuuria, jossa kaikilla on oikeus tuoda esiin epäkohdat ilman pelkoa ikävistä seuraamuksista, ja jossa epäkohdat käsitellään avoimesti perimmäisiä syitä tutkien. Vastuulliset yritykset saavat tutkitusti liiketoimintahyötyjä mm. sitouttamalla asiakkaita, nostamalla yrityksen arvoa sijoittajien silmissä ja houkuttelemalla parhaita osaajia.
Lisätietoja asiasta antaa:
Anna Paimela
Osakas
+358 40 164 8626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7. kesäk. 2023
Käärmeöljykauppiaan eliksiiriä?
Tietosuoja nähdään monessa yrityksessä ainoastaan kustannuksena. GDPR-huuman käärmeenöljykauppiaat lupailivat eliksiirinsä hoitavan yritysten GDPR-kolotuksen – ”100 % GDPR vaatimustenmukaisuus helposti ja vaivattomasti!” Jopa tietosuojavaltuutettu moitti GDPR-konsultteja rahastamisesta ja harhaanjohtamisesta. Jos halusit päästä helpolla – ostaa dokumentin tai analyysin, joka laskun maksamisen jälkeen unohtui pöytälaatikkoon tai nettisivun footeriin – koet epäilemättä GDPR:n hyödyttäneen vain konsulttia.
Tietosuoja tuo investoinnit takaisin keskimäärin 2,7-kertaisena
Tuoreen Ciscon tutkimuksen mukaan yli 40 % yrityksistä saa yli kaksinkertaisesti takaisin sen, minkä ne ovat tietosuojaan investoineet. Hyödyt tulevat mm. siitä, että tietosuojaprosesseilla saadaan tehostettua myyntiä, minimoitua tietoturvaloukkausten seuraamuksia, mahdollistettua ketteryyttä ja innovointia, parannettua yrityksen asemia sijoittajien silmissä sekä rakennettua luottamusta kuluttajien suuntaan. Tutkimuksen mukaan yritykset saavat sijoittamaansa yhtä dollaria vasten keskimäärin 2,7 dollaria hyötyä. Vain 8 prosenttia vastaajista kertoi investointien ylittävän tietosuojatyön hyödyt.
Investointien kokoluokasta antaa osviittaa Ciscon tutkimuksen lisäksi IAPP:n ja EY:n Annual Privacy Governance Report 2019 -tutkimus, jonka mukaan amerikkalaiset yritykset käyttivät vuodessa keskimäärin 952.000 dollaria tietosuojatyöhön verrattuna eurooppalaisten 387.000 dollariin. Työntekijää kohden yritykset käyttivät 11-207 dollaria kustannuksen ollessa suurin alle 5000 työntekijää työllistävillä yrityksillä. Tutkimuksen mukaan 62 prosenttia vastaajista piti heille allokoitua budjettia liian alhaisena velvoitteidensa hoitamiseen.
Tietosuojamaturiteetin kasvattaminen tuo eniten hyötyjä
Mielenkiintoista Ciscon tutkimuksessa oli se, että mitä kehittyneempi tietosuojan taso organisaatiossa oli, sitä enemmän ROI (return on investment) kasvoi. Tutkimus siis osoittaa, että saadakseen kasvatettua tietosuojan kypsyystasoa, yrityksen tulee investoida, mutta nämä investoinnit tulevat takaisin suhteellisesti suurempina.
Iconics (nyk. Folks) on avustanut useita yrityksiä tietosuojamaturiteetin kasvattamisessa. Käytämme työssämme American Institute of Certified Public Accountants (AICPA) ja Canadian Institute of Chartered Accountants (CICA) -järjestöjen luomaa standardoitua mallia. Pyrimme luomaan yhdessä asiakkaan kanssa keinoja, joilla voidaan tulipalojen sammuttelun sijaan (ad hoc -taso) rakentaa toistuvia ja määriteltyjä prosesseja (repeatable ja defined -tasot) sekä lopulta hallita ja optimoida prosesseja koko organisaation parhaaksi (managed ja optimized -tasot).
Tietosuojan kypsyysaste kulkee usein käsikädessä organisaation muiden bisnesprosessien kypsyysasteen kanssa. Erityisesti sen tulisi seurata digitalisaatioon ja datan hyödyntämiseen liittyvien prosessien kehitystä – yhteen kanavaan pohjautuva asiakasnäkymä vaatii varsin erilaisia tietosuojapanostuksia kuin 360-asteen omnichannel -strategian toteuttaminen. Jos yhteyttä näiden välillä ei nähdä, organisaatiolla voi olla dataa ja tekoälyä, mutta ei lainsäädännön sallimia keinoja niiden hyödyntämiseksi. Siinä jos missä, valuu investoinnit hukkaan tai otetaan tarpeeton compliance-riski, joka voi johtaa maineen/luottamuksen vahingoittumiseen, hallinnollisiin sanktioihin, vahingonkorvausvaatimuksiin taikka taloudellisiin menetyksiin datan käytön rajoittamisen ja/tai palveluihin liittyvien muutostöiden johdosta. Vastaavasti on selvää, että tietosuojapanostukset perinteisemmällä yrityksellä voivat olla maltillisempia.
Tee itse vai hanki apua?
Jos organisaation oma aika menee tulipalojen sammutteluun, voi olla paikallaan hankkia ulkopuolista apua muutoksen vauhtiin saamiseen. Asiantunteva konsultti voi tarjota näkemyksiä parhaimmista käytännöistä ja saada muutoksen kehikon luotua tehokkaammin kuin organisaation sisäinen tietosuoja-asiantuntija.
Kypsyystason kasvaessa oletettavasti myös työn painopiste siirtyy takaisin organisaation sisälle. Ohjelmallisen mainonnan kieltä lainatakseni kyse on osaamisen ”in-housaamisesta” kyvykkyyksien ja tietosuojan merkityksellisyyden kasvaessa. Kuten ohjelmallisessa mainonnassa, myös tietosuojan in-housaaminen voi kuitenkin merkitä useiden kuukausien valmisteluja, ja edellyttää mm. sitä, että organisaatiolla on tarvittava sisäinen osaaminen ja vahva johdon tuki jatkotyölle ja osaajien sitouttamiselle.
Vaikka työn painopiste siirtyisi takaisin organisaation sisälle, voi useille dataohjautuville, kypsyystasoaan jo nostaneille organisaatioille olla hyödyksi jatkossakin sparrata kumppanin kanssa ja saada näkemyksistä siivitystä omaan työhön. Konsultti voi tässä vaiheessa haastaa ajattelua ja hahmottaa mahdollisesti kokonaisuuden ja eri toimintojen väliset riippuvuudet sisäistä asiantuntijaa kirkkaammin. Konsultti voi myös mahdollistaa sen, että sisäiset resurssit kohdistetaan tehokkaammin ja säästetään siten aikaa ja kustannuksia.
Konkreettisia hyötyjä
Uskomme siihen, että erityisesti dataohjautuvien yritysten suhteen:
selvät prosessit ja ohjeistukset mahdollistavat sen, että data on laadukasta ja liiketoiminta tietää, millä säännöin sitä voidaan optimaalisesti hyödyntää
yhtenäisten toimintatapojen myötä toiminta tehostuu ja kustannukset laskevat
kuluttajille luodut vaikutusmahdollisuudet parantavat kuluttajien luottamusta yritystä kohtaan, vahvistavat yrityksen brändiä ja parantavat asiakaskokemusta
laadukkaalla tietosuoja- ja tietoturvatyöllä voidaan minimoida tietoturvaloukkausten seuraamuksia ja todennäköisesti myös niiden realisoitumista
riskien hallinnan myötä liiketoimintaa voidaan rakentaa kestävälle pohjalle parantaen yrityksen arvoa sijoittajien silmissä
tietosuoja on osa yritys- ja yhteiskuntavastuuta, ja vastuulliset yritykset saavat tutkituksi liiketoimintahyötyjä mm. houkuttelemalla parhaita osaajia
Tietosuoja voi siis parhaimmillaan olla liiketoiminnan mahdollistaja ja näkyä viivan alla – näkemys, joka saa tukea nyt myös Ciscon tutkimuksesta.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.