EU:n yleisen tietosuoja-asetuksen (GDPR 679/2016) soveltaminen alkoi 25.5.2018 ja asetus on sellaisenaan sovellettavaa oikeutta koko EU- ja ETA-alueella. GDPR asettaa henkilötietoja käsitteleville organisaatioille merkittäviä velvollisuuksia mutta toisaalta myös tarkentaa yksityisten rekisteröityjen oikeuksia omiin tietoihinsa. Yksi paljon keskustelua herättänyt uudistus on asetuksessa viranomaisille myönnetty oikeus määrätä hallinnollisia sakkoja asetuksen velvoitteiden tehosteeksi. Sakkojen enimmäismäärä on asetettu korkeaksi: määrä on tietyissä vakavimmissa rikkomistapauksissa enintään 20 miljoonaa euroa tai 4 prosenttia yhtiön edellisen vuoden maailmanlaajuisesta liikevaihdosta. Etenkin monikansallisilla yhtiöillä sakkojen maksimimäärät voivat teoriassa näin ollen nousta hyvinkin suuriksi.
Sakkoriskin vakuuttaminen
Hallinnollisten sakkojen uhka on EU-maissa nostanut esille kysymyksen siitä, onko hallinnollisia sakkoja vastaan mahdollista varautua vakuutuksin. Keväällä Aonin ja DLA Piperin yhteistyössä tekemän selvityksen[1] mukaan suurimmassa osassa EU:n jäsenvaltioita ja ETA-maita hallinnollisia sakkoja varten ei ole mahdollista ottaa vakuutusta, tai kysymys tällaisten vakuutusten tarjoamisesta on ollut epäselvä tai osittain ratkaisematta.
Tähän yleiseen eurooppalaiseen linjaan poikkeuksen ovat kuitenkin tehneet Suomi sekä ETA-alueeseen kuuluva Norja. Suomessa useat vakuutusyhtiöt ovat tarjonneet yrityksille tietoturva- ja kybervakuutuksia, jotka sisältävät myös tietyissä tilanteissa vakuutusturvan asetuksen mukaisia hallinnollisia sakkoja vastaan.
Hyvä vakuutustapa estää vakuuttamisen jatkossa
Vakuutusyhtiölain mukaan Finanssivalvonnan (FIVA) tehtävänä on valvoa, että vakuutusyhtiöt noudattavat vakuutustoimintaa koskevaa lainsäädäntöä ja hyvää vakuutustapaa. Hyvä vakuutustapa on vakuutusyhtiölaissa käytetty käsite, jonka mukaan vakuutusalalla toiminnan on oltava muodollisesti lainmukaista ja lisäksi eettisesti kestävää, kohtuullista sekä oikeudenmukaista.
Finanssivalvonta antoi 16.10.2018 tulkintaohjeistuksen[2] hallinnollisten sakkojen ja seuraamusmaksujen vakuuttamiskelpoisuudesta. Finanssivalvonnan mukaan sellaisen riskin vakuuttaminen, joka saattaisi edistää toimijoiden piittaamattomuutta sääntelyn noudattamista kohtaan, on hyvän vakuutustavan vastaista ja ristiriidassa yhteiskunnassa yleisesti hyväksyttyjen arvojen kanssa. Näin ollen Finanssivalvonta katsoi, että hallinnollisten sakkojen ja seuraamusmaksujen varalta vakuuttaminen ei enää jatkossa ole sallittua. Tulkinta koskee sekä rikosoikeudellisia että hallinnollisia sakkoja ja seuraamusmaksuja ja sekä luonnollisia henkilöitä että oikeushenkilöitä kuten yhtiöitä. Vakuutuskieltoon ei myöskään vaikuta se, ovatko sakot seurausta tahallisesta teosta, laiminlyönnistä tai huolimattomuudesta, vaan näiden sakkojen varalta vakuuttaminen on jatkossa kaikissa tilanteissa kiellettyä.
Vaikutukset käytännössä – vakuutukset ja tietosuojasopimukset
Suomessa usean eri vakuutusyhtiön tietoturva- ja kybervakuutukset ovat aiemmin tarjonneet suojaa lähtökohtaisesti myös hallinnollisia sakkoja vastaan. Jatkossa FIVAn kannanoton mukaisesti hallinnolliset sakot rajautuvat kuitenkin vakuutusturvan ulkopuolelle, mikä heikentää merkittävästi tietoturva- ja kybervakuutusten tarjoamaa suojaa. Tästä huolimatta vakuutukset turvaavat usein kuitenkin myös muita mahdollisia vahinkoja, kuten vahingonkorvausvastuita tai mahdollisia oikeudenkäynti- ja asianosaiskuluja, joten vakuutuksen ottaminen voi joka tapauksessa olla jatkossakin hyvin perusteltua.
Vakuutusten lisäksi tietosuojasopimusneuvotteluissa yksi keskeinen kiistakysymys on mahdollisiin vahinkoihin liittyvän riskin allokointi. Vahingonkorvausvastuun lisäksi myös vastuuta hallinnollisista sakoista pyritään usein vyöryttämään toiselle sopijapuolelle indemnity-ehdoin. On kuitenkin esitetty myös näkemyksiä, että tällaisen ehdon sisällyttäminen mukaan tietosuojasopimukseen voitaisiin tulkita viime kädessä sopimusoikeudellisesti hyvän tavan vastaiseksi ja siten moitteenvaraisesti pätemättömäksi, jolloin ehtoa ei toisen osapuolen niin vaatiessa voitaisi soveltaa. Tähän näkemykseen FIVAn tulkinta voi antaa osaltaan lisätukea.
Lähtökohtana kuitenkin on, että sopimusosapuolet eivät ole toiminnassaan inter partes sidottuja noudattamaan hyvää vakuutustapaa, eikä FIVAn kannanotto niitä suoraan siihen myöskään velvoita. Ilman tulkintakäytäntöä ei saada vastausta siihen, olisiko tällainen ehto myös sopimusoikeudellisesti hyvän tavan vastainen. GDPR:n hallinnollisten sakkojen osalta on kuitenkin pidetty lähtökohtana sitä, että ne määrättäisiin kullekin toimijalle erikseen kunkin omista rikkomuksista, ja tässä kontekstissa sakkovastuun vyöryttäminen toiselle osapuolelle tuntuu jokseenkin vieraalta ajatukselta.
Kun oikeuskäytännöstä ei ole toistaiseksi saatavilla lisäselvitystä tähän asiaan, on tietosuojasopimusten osalta hyvä tiedostaa, että mikäli em. indemnity-ehto sopimukseen halutaan sisällyttää, on se altis pätemättömyysväitteelle. Toisaalta etenkin käsittelijöiden näkökulmasta uuteen FIVAn kannanottoon vetoaminen voi tuoda jatkossa ainakin uuden vastustamisperusteen sopimusneuvotteluihin, jolla pyrkiä torjumaan ko. sopimusehdon sisällyttäminen tietosuojasopimukseen.
Jussi Lampinen
Partner, CFO
Asianajotoimisto Merkurius Oy
Tommi Härmä
Counsel
Asianajotoimisto Merkurius Oy
[1] The price of data security – A guide to the insurability of GDPR fines across Europe, May 2018
[2] http://www.finanssivalvonta.fi/fi/Saantely/Kannanotot/Pages/02_2018.aspx