data security and director's liability - what every cio or ceo must know?
DESCRIPTION
Slides of my speech at the Finnish Information Processing Association's seminar. My thesis is that in data security matters ordinary directors personal liability threshold is currently too vague. On the basis of the Companies Act, directors' liability could only be towards the company but according to the Supreme Court Decision 1998:115, personal liability may also arise against a company or third parties if there is a criminal offence. Now, in light of the recent Finnish court practise from 2013, it seems that a failure to supervise compliance with a piece of legislation, combined with the very objective of a limited liability company to make money to its shareholders, could be a combination that is easily deemed as a treason or fraud, and therefore open up personal exposure for directors (e.g. Board Members, CEOs). In case of data security it could not necessarily be even CEO, it might be CIO or CISO - criminal liability does not follow the linear organisation structure of a company.TRANSCRIPT
18.10.2011 1
TRUST.
Tietoturva ja johdon vastuu���
Jan Lindberg & Mika J. Lehtimäki���
21.1.2014���
18.10.2011 2 18.10.2011 2 2
TRUST.
Attorneys-at-Law Trust���
• Tietoturvalainsäädännön nykytila���• Vahingonkorvausvastuun rakenne���
– Vastuu yhtiölle���– Vastuu kolmansille���
• Korvausvelvollisuuden syntyminen���• Case Fujitsu���
Esityksen rakenne���
18.10.2011 3 18.10.2011 3 3
TRUST.
Attorneys-at-Law Trust���
Mihin olemme menossa?���
18.10.2011 4 18.10.2011 4 4
TRUST.
Attorneys-at-Law Trust���
Tietosuojaan liitetään “yhteiskunnallinen vastuu” ja jatkossa se on yhä keskeisempi osa corporate governancea���
���
"17 years ago less than 1% of Europeans used the internet. Today, vast amounts of personal data are transferred and exchanged, across continents and around the
globe in fractions of seconds. ���
"The protection of personal data is a fundamental right for all Europeans, but citizens do not always feel in full control of their personal data. My proposals will help build trust in online services because people will be better informed about
their rights and in more control of their information. ���
The reform will accomplish this while making life easier and less costly for businesses. A strong, clear and uniform legal framework at EU level will help to unleash the potential of the Digital Single Market and foster economic growth,
innovation and job creation” (EU Justice Comissioner Viviane Reding)���
Mihin olemme menossa?���
18.10.2011 5 18.10.2011 5 5
TRUST.
Attorneys-at-Law Trust���
Mihin olemme menossa?���
18.10.2011 6 18.10.2011 6 6
TRUST.
Attorneys-at-Law Trust���
Tarkasteltavat tilanteet���
Osakkeen- omistajat
Muut tahot
VahKL, AML, sopimus…
Osakkeen- omistajat
Muut tahot
Yhtiöoikeudellinen peruste
Yhtiö/KP
KKO 1998:115���
”…vastuun syntyminen muulla perusteella voi tulla kysymykseen vain poikkeuksellisesti….. OYL:n säännökset eivät esim. syrjäytä velvollisuutta korvata rikollisella teolla aiheutettu vahinko. ���
OYL 22:1���
…korvattava vahinko: tehtävässään 1 luvun 8 §:ssä säädetyn huolellisuusvelvoitteen vastaisesti tahallaan tai huolimattomuudesta aiheuttanut yhtiölle.���
… tehtävässään muuten tätä lakia tai yhtiöjär-jestystä rikkomalla tahallaan tai huolimat-tomuudesta aiheuttanut yhtiölle, osakkeenomis-tajalle tai muulle...���
18.10.2011 7 18.10.2011 7 7
TRUST.
Attorneys-at-Law Trust���
Yhtiöoikeudellinen peruste
• OYL 1:8 mukaisen huolellisuusvelvollisuuden rikkominen���
• OYL:n rikkominen tai YJ:n rikkominen (tuottamusolettama)���
• ”Jos vahinko on aiheutettu rikkomalla tätä lakia muulla tavalla kuin pelkästään rikkomalla 1 luvussa tarkoitettuja periaatteita tai jos vahinko on aiheutettu rikkomalla yhtiöjärjestyksen määräystä, vahinko katsotaan aiheutetuksi huolimattomuudesta, jollei…”���
• Lähipiirijärjestely (tuottamusolettama)���
Johdon vastuu yhtiölle���
Osakkeen- omistajat
Muut tahot
Yhtiö/KP
18.10.2011 8 18.10.2011 8 8
TRUST.
Attorneys-at-Law Trust���
Johdon vastuu kolmansille���
Osakkeen- omistajat
Muut tahot
Yhtiöoikeudellinen peruste
Yhtiö/KP
§ OYL:n rikkominen tai YJ:n rikkominen (tuottamusolettama)���
§ ”Jos vahinko on aiheutettu rikkomalla tätä lakia muulla tavalla kuin pelkästään rikkomalla 1 luvussa tarkoitettuja periaatteita tai jos vahinko on aiheutettu rikkomalla yhtiöjärjestyksen määräystä, vahinko katsotaan aiheutetuksi huolimattomuudesta, jollei…”���
���
18.10.2011 9 18.10.2011 9 9
TRUST.
Attorneys-at-Law Trust���
Korvausvelvollisuuden syntyminen���
1. Normaalitilanne: yhtiöoikeudellisten periaatteiden rikkominen���
2. Tuottamusolettama: OYL, muu kuin yhtiöoikeudellisten periaatteiden rikkominen���
– Yksityiskohtaisen normin rikkominen���
OY
Osakas
teko / laiminlyönti
vahinko
syy-yhteys
tuottamus
näyttö huolellisesta toiminnasta - valvonta - dokumentointi - valmistelu - vaihtoehdot - etujen punninta - tarkoitus, jne.
18.10.2011 10 18.10.2011 10 10
TRUST.
Attorneys-at-Law Trust���
Fujitsu-ratkaisu���
18.10.2011 11 18.10.2011 11 11
TRUST.
Attorneys-at-Law Trust���
Fujitsu-ratkaisu���
18.10.2011 12 18.10.2011 12 12
TRUST.
Attorneys-at-Law Trust���
• Tietoturvan ja yksityisyyden suojan korostunut osa hyvän hallinnon periaatteita (corporate governance)���
• Pilvipalvelujen sopimuskysymykset���
• Johdon vastuun osakeyhtiölain perusteella (esim. toimitusjohtaja ja hallituksen jäsen) poikkeuksellista tietoturva-asioissa���– CIO ja tietohallinnon vastuu lähtökohtaisesti
vahingonkorvauslain ja työsopimuslain kautta���
• Rikosoikeudellisen ratkaisukäytännön muutokset korostavat vastuuta myös tietoturvakysymyksissä���
• Mitä tulee käymään Fujitsu-ratkaisussa?���
Loppupäätelmiä���
18.10.2011 13
���
Mika J. Lehtimäki���
asianajaja���
Puh: 040-5342273���
���������
���
Jan Lindberg���
asianajaja���
Puh: 040-8236031���
���������