Turvallisuuskäytännöt liikesalaisuuksien suojaamisen ytimessä

EU:n liikesalaisuusdirektiivi (EU 2016/943) astui voimaan viime kesäkuussa ja kansallinen liikesalaisuuslaki (549/2018) Suomessa vastaavasti sen jälkeen 15.8.2018.

Uutta liikesalaisuuslakia on aikaisemmin käsitelty useasti eri yhteyksissä, mm. Turvallisuus- ja Riskienhallintalehdessä (numero 5/2018, s.18-22), jossa Johanna Lähde Asianajotoimisto Castrén & Snellmanilta korosti, että ”yrityksen on selkeästi ilmaistava salassapitotahtonsa”. Tässä artikkelissa haluamme pureutua vielä syvällisemmin liikesalaisuuslain 2§:n kohtiin a) ja c) sekä niistä kumpuaviin käytännön toimenpidevaatimuksiin. Lain 2§:ssä mainitaan että:

”a) joka ei ole kokonaisuutena tai osiensa täsmällisenä kokoonpanona ja yhdistelmänä tällaisia tietoja tavanomaisesti käsitteleville henkilöille yleisesti tunnettua tai helposti selville saatavissa;

  1. c) jonka laillinen haltija on ryhtynyt kohtuullisiin toimenpiteisiin sen suojaamiseksi.” 

MITÄ NÄMÄ ”KOHTUULLISET TOIMENPITEET” TARKOITTAVAT KÄYTÄNNÖSSÄ LIIKETOIMINNAN JOHTAJAN NÄKÖKULMASTA?

Heidi Lautjärvi käsitteli tätä asiaa keväällä 2018 Editan julkaisemassa ”Business Crime – yritysjohdon Miinakenttä” kirjassaan. Tärkein tilanne, jolloin liikesalaisuuslaki joutuu käytännön happotestiin, on kun avainhenkilö siirtyy kilpailijan palvelukseen. Kirjassaan Lautjärvi käsittelee paljon työntekijöiden ymmärtämisen lisäämisen tärkeyttä: organisaation on tiedostettava mikä on heillä suojattavaa salaista tietoa. Tämän lisäksi kirjassa korostetaan järkevän, yrityksen toimintaan jalkautetun tietoturvapolitiikan luomisen merkitystä – se ei saa olla vain dokumentti IT-osaston serverillä.

”Kohtuulliset toimenpiteet” tarkoittavat käytännössä sitä, että organisaatiossa sovelletaan hyviä yritysturvallisuuskäytäntöjä, kuten esimerkiksi:

  • Riskin tunnistus & arviointi: mikä on suojattava tieto / liikesalaisuus?
  • Suojattavan tiedon luokittelu ja merkintä salaiseksi
  • Suojattavaksi päätetyn tiedon osalta (mikäli sähköisessä muodossa tietojärjestelmässä):
    –  Salassapito- ja alihankintasopimukset kuntoon
    –  Henkilökunnan / avainhenkilöiden koulutus (ja ymmärryksen testaaminen)
    –  Pääsyoikeuksien hallinta (tietojärjestelmät ja tilat)
    –  Tietojärjestelmän päivitykset ajan tasalle (tarvittaessa auditoiden myös alihankkijoita)
    –  Tiedon riittävän vahva salaus.

Suomessa viimeisin liikesalaisuuksia käsittelevä ohjelma esitettiin YLE:n MOT -ohjelmassa 11. maaliskuuta (https://yle.fi/aihe/artikkeli/2019/03/11/katkeruuden- tunteelle-ei-oikeastaan-anna-valtaa-tyontekija-vei-mukanaan): Ohjelmassa käsiteltiin tapausta, jossa Pneuplan Oy:n yrityssalaisuuksia oli vuotanut entisen suunnittelupäällikön kautta kilpailijan (Raumaster Oy) käsiin. Tietämättä enempää ko. tapauksen yksityiskohdista voimme ainoastaan väittää että kohtuullisin yritysturvallisuusjärjestelyin myös Pneuplan Oy olisi voinut ennaltaehkäistä liikesalaisuuksiensa (aka teknisiä piirustuksia) valtuuttamaton kopiointi ja käyttö.

Riskiä olisi voitu ennaltaehkäistä ja pienentää esimerkiksi seuraavasti:

  • Salassa pidettävän tiedon käsittely olisi voitu rajoittaa sallituksi, esimerkiksi, ainoastaan tietyn (pöytä)tietokoneen kautta, jota tietenkin säilytettäisiin fyysisesti turvallisessa toimitilassa.
  • tietokoneen tietoteknisiä toiminnallisuuksia olisi voitu koventaa niin, että sähköinen kopiointi olisi sallittu vain nimetylle turvahenkilölle (eri henkilö kuin käyttäjä) ja että liikesalaisuuksia sisältävän turvaprintin vapautus vaatisi aina johtotason avainhenkilön sähköisen hyväksynnän.
  • Liikesalaisuuksia sisältävä tieto (tietojärjestelmässä) pitäisi olla aina vahvasti salattua. Tällöin myös mahdollinen (laiton) kopiokin olisi kryptattu.
  • Suunnittelupäällikkö kuului avainhenkilöihin: yrityksen johdon olisi pitänyt tiedostaa ko. henkilöriskit mikäli henkilö lähtee suutuspäissään yrityksestä pois.
  • Henkilöstöhallinnon sopimusten päivittäminen sellaisiksi, että avainhenkilöille asetetaan määräajan mittainen kilpailukielto sekä turvataan eri dokumentaatioissa eri merkinnöin luottamusaste ”strictly company confidential”.

Summa summarum: Sopivin yritysturvallisuusjärjestelyin myös liikesalaisuusriskejä voidaan hallita ennen kuin ne laukeavat. Kaikki lähtee laadukkaasta riskienarvioinnista ja hallintatoimenpiteiden valinnasta.

 

Artikkelin kirjoittajat

Kari Rönkkö ja Heidi Lautjärvi

 

KTM Kari Rönkkö työskenteli pitkään globaalissa kuluttajatuoteyrityksessä laittoman kaupan riskien torjunnan parissa. Hän tuntee hyvin myös yritysturvallisuuden käytäntöjä.

KTM Heidi Lautjärvi on työskennellyt eri pörssiyrityksissä ja on suorittanut lisäksi oikeustieteellisen opintoja. Lautjärven kirja Business Crime Yritysjohdon miinakenttä (Edita) julkaistiin keväällä 2018.