Tieto on valtaa. Kun Sir Francis Bacon reilut 400 vuotta sitten kirjoitti nämä kuuluisat sanat, hän tarkoitti tiedon valtaa luonnosta. Bacon nimittäin piti luonnon hallitsemista tieteen tavoitteena. Me voimme hallita luontoa, koska meillä on tietoa, oli Baconin päätelmä.
Kuten me alamme pikkuhiljaa ymmärtää, yritys hallita luontoa ei välttämättä ole niin yksinkertainen juttu. Luonto on osoittanut meille, että vaikka tieto antaisi meille valtaa, niin valta ja vastuu kävelevät käsi kädessä. Enää emme ole niinkään huolissamme tiedosta kuin sen meille aiheuttamasta vastuusta.
Euroopan unionin tietosuoja-asetus eli GDPR avasi varsinaisen Pandoran lippaan tietosuojaa koskevissa vastuukysymyksissä. Unionin laajuisesti kansallisille tietosuojaviranomaisille annettiin oikeus määrätä sanktioita tietosuojarikkomuksista. Sanktioita voivat olla huomautus tai seuraamusmaksu, joka voi olla jopa 4 % yhtiön globaalista liikevaihdosta. Tätä on pidetty eurooppalaisten lainsäätäjien reaktiona dataa hallitsevien yritysten kasvavaa valtaa kohtaan.
On selvää, että kyse on järeästä toimivallasta. Tämän jälkeen Eurooppa onkin hiljalleen alkanut täyttyä erinäisistä tietosuojarikkomuksista annetuista sanktioista, joista suurimmat ovat olleet satoja miljoonia euroja ja pienimpien päässä Suomen tietosuojaviranomaisen Postille antama noin 100.000 euron seuraamusmaksu asiassa, jonka käsittely on edelleen kesken valitusprosessissa.
Vielä ei ole tiedossamme, miten laaja taistelutanner tietosuojaliitännäisistä erimielisyyksistä kansantaloudellemme aiheutuu. Kilpailuoikeudellisissa kartellioikeudenkäynneissä, joita maamme on viimeisen vuosikymmenen aikana todistanut viljalti, normaali käsittelyaika on ollut toistakymmentä vuotta, sillä tyypillisesti näissä asioissa ensin käydään läpi vuosia kestävä hallinnollinen prosessi ja sen jälkeen yhtä pitkä yksityisoikeudellinen prosessi.
Asfalttikartellin tutkinta kilpailuvirastossa alkoi vuonna 2002, minkä jälkeen seuraamusmaksuesitys markkinaoikeudelle annettiin vuonna 2004 ja korkeimman hallinto-oikeuden lainvoimainen päätös kartellin olemassaolosta saatiin vuonna 2009. Tämän jälkeen ryhdyttiin käsittelemään kartellin johdosta nostettuja vahingonkorvauskanteita käräjäoikeudessa, yhteisvaatimuksiltaan yli 200 miljoonaa euroa, ja asiat saatiin osin tuomioiden ja osin osapuolten välisten sovintojen kautta käytännössä päätökseen vuonna 2019. Kokonaiskestoltaan asfalttikartelliasian käsittely kesti siis hurjat 17 vuotta.
Nyt jokaisesta epäillystä tietosuojaa koskevasta rikkomuksesta voi tehdä ilmoituksen tietosuojavaltuutetulle, jonka tehtävänä on tutkia asia. Tietosuojavaltuutetun annettua päätöksensä siitä voidaan valittaa hallinto-oikeuteen ja siitä edelleen korkeimpaan hallinto-oikeuteen. Näin ollen prosessi tulee joka tapauksessa kestämään useita vuosia.
Tämän jälkeen ei ole poissuljettua, että loukatut tahot nostavat vahingonkorvauskanteita käräjäoikeuksissa tai välimiesmenettelyssä, jos kokevat kärsineensä tietosuojarikkomuksen johdosta vahinkoa. On vaikeaa nähdä, että vahinkojen rahalliset intressit voisivat koskaan kohota samoihin suuruusluokkiin kuin kartellin johdosta aiheutuneet vahingot, mutta se ei poista sitä tosiasiaa, että yhden tahon päätettyä käyttää tätä mahdollisuutta hyväkseen oikeudenkäynnissä ollaan helposti kiinni uudet 5-7 vuotta, jos käydään koko tie käräjäoikeudesta korkeimman oikeuden peräseinään asti. Ja toki voi olla, että välissä käydään neuvoa-antavalla Luxemburgissa, mikä pidentää kestoa helposti puolitoista vuotta.
Tietoni mukaan EU:n tuomioistuimella Luxemburgissa on tällä hetkellä käsiteltävänään jo noin 50 ennakkoratkaisupyyntöä jäsenmaiden tietosuojaviranomaisten antamien sanktioiden johdosta. Veikkaukseni on, että me emme ole nähneet vielä mitään.
Miten tämä kaikki voidaan sitten estää yksittäisessä yhtiössä? Tämä voidaan estää huolehtimalla siitä, että tietosuoja-asiat yhtiössä ja organisaatiossa ovat kunnossa. Sen parempaa keinoa ei ole olemassa.
Paitsi että on vielä toinenkin. Nimittäin näissä asioissa ei yksin riitä se, että asiat ovat kunnossa, vaan niiden pitää lisäksi myös näyttää siltä. Sillä pienikin lipsahdus, joka saa yhtiön näyttämään siltä, ettei se asianmukaisesti huolehdi tietosuojasta, antaa helposti aiheen epäilyille, ja tunnetusti tällaiset epäilyt ruokkivat itse itseään. Tämän jälkeen jokainen risahdus pusikossa saatetaan tulkita vaaran merkiksi ja yksittäisen kansalaisen tekemä ilmoitus tietosuojaviranomaiselle on lähempänä kuin uskommekaan. Sen jälkeen tie on pitkä ja kivinen.
Tietosuojaan (ja historiaan) intohimoisesti suhtautuva kollegani Jukka Lång jaksaa usein muistuttaa, että jälkiteollisen yhteiskuntamme vauhdilla digitalisoituvien organisaatioiden prosessit datapääomiensa huolehtimisessa vertautuvat vielä tänä päivänä teollistumisen alkuaikojen yritysten kömpelöön hapuiluun. Tuolloin, 1800-luvun lopulla vasta alettiin tunnistaa teollistumisen haittavaikutuksia ja riskitekijöitä, joita nykypäivänä osataan jo ympäristön suojelemiseksi ymmärtää ja hallita merkittävästi tehokkaammin ja huolellisemmin kuin aikanaan. Matkamme datalähtöiseen talouteen on vasta aluillaan.
Siksi elämme vielä ajassa, jolloin tieto lisää tuskaa. Tieto on nykyään rahanarvoista tavaraa. Se on monessakin tapauksessa kilpailuetu ja yhtiön menestyksen perusta. Tieto on halutuinta pääomaa ja siksi se myös aiheuttaa kateutta ja kiistoja. Digitaalisessa maailmassa ja nykyisen sääntelyn voimassa ollessa tietoa on kyettävä suojelemaan tehokkaammin kuin koskaan. Tietoturvan ja prosessien on oltava sellaisessa kunnossa, etteivät osaavimmatkaan tiedonkalastelijat asiattomasti pääse käsiksi tietoon, joka meillä on vastuullamme.
Ja tämän lisäksi yhtiölle on onnistuttava luomaan niin luotettava imago tietojenkäsittelijänä, että sen käsiin kuka tahansa uskaltaa antaa tietonsa, eikä mikään toiminnassa herätä epäilyksiä tietojen huolettomasta käsittelystä. Tässä kun onnistutaan, niin ollaan päästy tietoyhteiskunnan tarvehierarkian huipulle – asemaan, jossa tieto ei ainoastaan lisää tuskaa, vaan tieto on myös valtaa.
Disputes for Breakfast -webinaarisarja
Disputes for Breakfast on Dittmar & Indreniuksen webinaarisarja, jossa uppoudutaan erimielisyyksiin ja niiden trendeihin eri oikeudenaloilla keskittyen erityisesti liikejuridisten riitojen sovinnolliseen ratkaisuun ja ennaltaehkäisyyn.
Lue lisää sarjan webinaareista täältä: Disputes for Breakfast
Lue muut sarjassa ilmestyneet blogikirjoitukset:
Asiathan tässä vain riitelevät – mutta mistä liikejuridiset riidat sitten syntyvät?
