Päivitetty: 7. kesäk. 2023
Brexit-kaislikossa suhisee jälleen kiivaasti, kun Iso-Britannia (UK) ja Euroopan unioni (EU) kipuilevat Brexit-järjestelyjen kanssa. Tässä vaiheessa näyttäisi siltä, että enemmän tai vähemmän kaoottinen Brexit tulisi toteutumaan lokakuun 2019 lopussa. Jos UK ja EU eivät pääse sopuun irtautumisen ehdoista, niin kutsuttu ”Hard Brexit” on villeimpien brittipoliitikkojen mukaan myös vaihtoehto. Hard Brexitiä voisi suoraan verrata vastasyntyneen napanuoran leikkaamiseen. Siinä tapauksessa tilanne eron hetkellä UK:lle olisi, kuten kätilö puolivitsikkäästi totesi ko. tilanteessa tyttäreni syntyessä, ”onneksi olkoon, olet nyt omillasi”.
Muiden vaikutusten ohella Hard Brexitillä olisi olennaisia vaikutuksia myös EU:n laajuisiin immateriaalioikeuksiin (kuten tavaramerkit ja desiginit) sekä henkilötietojen käsittelyyn.
EU-tavaramerkit ja yhteisömallit
EU-tavaramerkkien ja yhteisömallien osalta lähtökohtana on, että ne ovat voimassa yhtenäisenä koko EU:n alueella, eli yksinoikeus kattaa aina kaikki EU-maat. UK:n erotessa EU:sta se ei enää luonnollisestikaan ole EU-maa, jolloin kyseisten EU:n laajuisten oikeuksien voimassaolo UK:ssa lakkaa, ja näitä koskevat hakemuksetkin supistuvat koskemaan vain EU:hun jääviä jäsenvaltioita. Samoin sellaiset Madridin järjestelmän mukaiset kansainväliset rekisteröinnit, joissa suoja on haettu kattamaan koko EU:n alueen, eivät enää koske UK:ta. EU:n komissiokin on valveutuneena antanut aiheesta tiedonannon.
Lienee selvää, että tämä voi aiheuttaa harmaita hiuksia niille suomalaisille(kin) yrityksille, joilla on liiketoimintaa UK:ssa, sillä niiden EU:n laajuinen yksinoikeus ei olisi enää voimassa UK:n alueella. Tilanne voisi pahimmillaan johtaa merkittävään kilpailuedun menetykseen, jos paikallinen UK:ssa operoiva kilpailija saisi hankittua yksinoikeuden vaikkapa toisen aiemmin UK:ssa EU-tavaramerkillä suojattuun tavaramerkkiin.
UK:n hallinto on kuitenkin tiedostanut ongelman ja ohjeistanut, että Brexit-hetkellä voimassa oleville rekisteröidyille EU-tavaramerkeille ja EU-designeille annetaan vastaava UK:n kansallinen rekisteröinti ”minimaalisella hallinnollisella taakalla”. Oikeudet olisivat siis voimassa edelleen saman laajuisina myös UK:ssa, mutta EU-oikeudesta itsenäisenä. Tämä tarkoittaa sitä, että esim. uusimiseen ja valvontaan liittyvät seikat toteutetaan UK:n asianomaisten lakien mukaisesti ja UK:n viranomaisvalvonnassa. Toisaalta oikeudet olisivat myös siirrettävissä ja muuten hyödynnettävissä itsenäisesti. Yrityksen on näin ollen pidettävä tarkempaa kirjaa IPR-portfoliostaan ja portfolion hallinnointi jonkin verran monimutkaistuu.
Jos oikeus sen sijaan on hakemusvaiheessa, edellytetään uuden UK-hakemuksen tekemistä, jos UK halutaan sisällyttää yksinoikeuden kattamaan alueeseen. Tällekin hakemukselle annetaan tosin samat hakemus-, etuoikeus- ym. päivämäärät kuin mitä EU-hakemuksessa, mutta kuten edellä, oikeus olisi sen myöntämisen jälkeen UK:n lainsäädännön alainen.
Vaikka UK:n EU-napanuora katkaistaisiinkin, säilyy UK tavaramerkkien osalta edelleen normaalisti Madridin järjestelmän mukaisessa kansainvälisessä rekisteröintijärjestelmässä. Jos siis yrityksesi liiketoiminnan kansainvälistyessä haluat esim. laajentaa Suomessa rekisteröimäsi tavaramerkin kattamaan muita maita, UK:n osalta on Brexitin jälkeen huomioitava, että rekisteröinti täytyy tehdä EU:lle ja UK:lle erikseen.
Vaikutukset henkilötietojen käsittelyyn
UK:laiset yritykset valmistautuivat varmasti vähintäänkin yhtä suurella pieteetillä lempilapsemme GDPR:n implementointiin kuin EU:hun jäävät valtiot. Oletettavaa on, että sana ”kiitollisuus” kuvaa hyvin sitä tunnetta, joka näiden yritysten johtoportaissa vallitsee, kun tietosuojarumba on aloitettava osittain uudestaan, mikäli EU:n kansalaisten henkilötietoja mielitään vielä Brexitin jälkeen käsitellä.
Henkilötietojen siirto EU-maiden välillä voi tapahtua vapaasti, mutta kun EU-napanuora katkeaa, poistuu myös tämä mahdollisuus. Brexitin myötä UK:sta tulee nimittäin tietosuojamielessä ns. kolmas maa, mikä tarkoittaa sitä, että henkilötietojen siirtoon UK:n alueelle tulee vastaisuudessa olla erityinen, GDPR:n V luvun mukainen peruste. Näistä voi tässä yhteydessä mainita esim. EU-komission päätöksen tietosuojan tason riittävyydestä tai erityisten suojatoimien implementoinnin, kuten komission mallilausekkeet (Standard Contractual Clauses, SCC) tai konserneissa yritystä sitovat säännöt (Binding Corporate Rules, BCR). Näistä ensiksi mainittu, eli komission päätös, ei tosin tule kyseeseen, sillä sellaista ei ole tehty. On vähän jopa huvittavaa, ettei komissio ole tässä parin vuoden aikana saanut aikaiseksi em. päätöstä (esim. pöytälaatikkoon), vaikka UK:n tietosuojaviranomaiset ovat moneen otteeseen toitottaneet, että he jatkavat GDPR:n periaatteiden noudattamista ja heidän kansallinen täydentävä lainsäädäntönsä vastaa tällä hetkellä GDPR:n vaatimuksia (ja osin on vastannut jo aiemmin).
Jos siis yrityksesi käyttää vaikkapa UK:ssa sijaitsevaa palvelinkapasiteettia tai hankkii muita henkilötietojen käsittelyä sisältäviä palveluita, Brexitin toteuduttua pelkkä tietojenkäsittelysopimus (data processing agreement, DPA) palveluntarjoajan kanssa ei enää riitä, vaan ko. palveluntarjoajan kanssa on tehtävä esim. komission mallilausekkeiden mukainen sopimus tietojen siirrosta (jos muita suojatoimia ei ole käytettävissä).
Ei liene kovin kaukaa haettua, että Brexitin toteutuessa UK menettänee vetovoimaansa henkilötietojen käsittelyä sisältävien palveluiden hankintamaana lisääntyneen byrokratian ansiosta. Tällä taas on myös suoria taloudellisia vaikutuksia sekä rekisterinpitäjille (palveluntarjoajan vaihtoon liittyvät kustannukset) että UK:ssa toimiville käsittelijöille (no money, no honey).
Jos yritys kuitenkin haluaa edelleen hankkia henkilötietojen käsittelyä sisältäviä palveluita UK:laiselta toimijalta (ja miksi ei haluaisi, asiantuntemusta ja käyttökelpoista teknologiaa siellä edelleen kuitenkin on), on syytä huomioida, että GDPR:n mukaisten siirrot kolmansiin maihin mahdollistavien suojatoimien tulee olla paikoillaan heti Brexitin hetkellä. Muuten siirto on GDPR:n vastainen ja voi johtaa sanktioihin.
Tietosuojaliitännäisten vaikutusten huomiointi edellyttää toki myös yrityksen sisäisten dokumenttien päivitystä, tarkoittaen esim. tietosuojalausekkeiden päivittämistä siltä osin kuin tietoja siirretään edelleen UK:n alueelle, eli Brexitin jälkeen EU:n ulkopuolelle. Euroopan tietosuojaneuvoston ohjeistus aiheesta on luettavissa täältä.
Brexit-kaislikon suhina todennäköisesti jatkuu lähiaikoina entistä kovempana, joten myös me seuraamme mielenkiinnolla, mitä pusikosta loppujen lopuksi paljastuu.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7. kesäk. 2023
Rekrytointiin ja työsuhteen solmimiseen liittyy suuria tunteita – innostusta uudesta työpaikasta tai kollegasta taikka pettymystä siitä, että jälleen kerran saa viestin ”valitettavasti valintamme ei tällä kertaa kohdistunut sinuun”. Tunteet ja juridiikka nivoutuvat usein yhteen: mitä paremmin hakija tuntee tulevansa kohdelluksi, niin sitä harvemmin rekrytointi johtaa riitaan. Hyvä hakijakokemus on siis myös juridisten riskien minimointia!
Alla muutamia keskeisiä asioita, joita rekrytointiprosessissa tulee juridisesti huomioida.
Työpaikkailmoitus
Yhdenvertaisuuslain mukaan ketään ei saa syrjiä iän, etnisen tai kansallisen alkuperän, kansalaisuuden, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden, sukupuolisen suuntautumisen tai muun henkilöön liittyvän syyn perusteella. Tasa-arvolain mukaan työpaikkaa ei saa ilmoittaa vain joko naisten tai miesten haettavaksi, jollei tähän ole työn tai tehtävän laadusta johtuvaa painavaa ja hyväksyttävää syytä. Kiellettyä olisi hakea IT-tukihenkilöksi miestä tai edellyttää siivoojalta täydellistä suomen kielen suullista ja kirjallista hallintaa. Sallittua sen sijaan olisi edellyttää mallin työtä hakevalta valokuvaa sekä edellyttää uutistenlukijalta täydellistä suomen kielen suullista ja kirjallista hallintaa.
Työpaikkailmoituksen sanamuotoja valittaessa ja erityisesti hyperkohdennettua digitaalista työpaikkamainontaa käytettäessä olisi hyvä kriittisesti tarkastella sitä, johtaako sanamuodot tai kohdentaminen olemassa olevien stereotypioiden vahvistumiseen vai monimuotoisuuden lisääntymiseen.
Hakulomakkeet
Hakulomakkeita laadittaessa tulisi pyrkiä ohjaamaan työnhakijaa antamaan vain avoimen työtehtävän kannalta tarpeellisia tietoja. Lisäksi tulee huolehtia tietosuoja-asetuksen mukaisesta läpinäkyvästä informoinnista eli esimerkiksi linkittää hakulomakkeessa rekrytointia koskevaan tietosuojaselosteeseen. Tietosuojaselosteessa tulee kuvata mm. rekisterinpitäjän identiteetti, käsiteltävät tietoryhmät ja tietolähteet, tietojen käsittelytarkoitukset, perusteet ja säilytysaika sekä rekisteröidyn oikeudet.
Tiedonhaku
Tietosuoja-asetus ei aseta rajoitteita eri tietolähteiden käytölle edellyttäen, että henkilötietojen käsittelyn yleisiä periaatteita, kuten tarpeellisuus- ja minimointiperiaatteita sekä informointivelvoitteita, noudatetaan. Suomalaisen työelämän tietosuojalain mukaan henkilötietoja saa kuitenkin kerätä ensi sijassa vain työnhakijalta itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työnhakijalta itseltään, työnhakijalta on hankittava suostumus tietojen keräämiseen. Tietosuojavaltuutettu on esimerkiksi suhtautunut kielteisesti työnhakijan googlaamiseen.
Työhaastattelu
Työnhakijalta voidaan kysyä vain haettavan työn kannalta tarpeellisia tietoja. Haastattelussa tulisi keskittyä selvittämään hakijan ammatillisia edellytyksiä työkokemuksen, koulutuksen ja ydinosaamisen osalta. Kysymysten esittäminen perhetilanteesta, poliittisesta vakaumuksesta, sukupuolisesta suuntautumisesta tai vastaavista arkaluonteisista aiheista voi johtaa syrjintäepäilyyn. Ole siis tarkkana kysymysten muotoilun kanssa: esimerkiksi sen sijaan, että kysyisit, onko hakijalla lapsia voit tiedustella sitä, pystyykö hakija työtehtävien edellyttämin tavoin matkustamaan ulkomaille säännöllisesti.
Valintapäätös
Työnantajalla on oikeus valita tehtävään parhaaksi katsomansa henkilö. Hakijaa ei saa kuitenkaan syrjäyttää esimerkiksi raskauden tai seksuaalisen suuntautumisen tai muulla epäasiallisella perusteella. Kun työnhakijoina on sekä naisia että miehiä, työnantajan on tehtävä ansiovertailu. Soveltuvuus tai sopivuus voi olla hyväksyttävä syy valita tehtävään vähemmän ansioitunut hakija, mutta tärkeää on, että työnantaja osoittaa tosiasiallisesti punninneensa valituksi tulleen ja valitsematta jääneen kykyjä ja ominaisuuksia keskenään. Määrittele siis etukäteen valintakriteerit, joita voi käyttää ansiovertailun ja soveltuvuuden arvioinnin pohjana, ja mm. kirjaa testeihin tai haastatteluihin liittyvät huomiot hakijan ominaisuuksista. Muista, että ominaisuuksien, joihin valinnassa vedotaan, tulee olla merkityksellisiä haettavana olevan tehtävän hoitamisen kannalta.
Blogi toteutettu yhteistyössä Rekrytointiakatemian kanssa, https://www.rekrytointiakatemia.fi/juridiikka/rekrytoinnin-juridiset-sudenkuopat/
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7. kesäk. 2023
Saksalainen verkkokauppa, Fashion ID, integroi verkkosivustolleen Facebookin tykkäysnapin. Käytännössä verkkosivun kävijän tietoja, kuten tietoa selaimesta ja IP-osoitteesta, välitetään Facebookille, vaikka nappia ei painaisi. Kun dataa käsiteltiin ilman, että Fashion ID:n verkkosivun käyttäjä asiasta tiesi tai siihen suostui, asia päätyi Euroopan unionin tuomioistuimen käsiteltäväksi.
Tuomioistuimen heinäkuun lopulla antaman ratkaisun mukaan Fashion ID on tietosuoja-asetuksen tarkoittama yhteisrekisterinpitäjä Facebookin kanssa siltä osin kuin dataa kerätään ja välitetään Facebookille sen verkkosivuston kautta. Sen ei kuitenkaan tarvitse ottaa vastuuta datan myöhemmästä käsittelystä Facebookin osalta – siitä vastaa yksin Facebook.
Tuomioistuin edellyttää, että Fashion ID informoi sen sivuston käyttäjiä datan keruusta ja välittämisestä Facebookille sillä hetkellä, kun dataa kerätään eli käytännössä välittömästi verkkosivuston avaamisen yhteydessä.
Tuomioistuin jätti avoimeksi sen, vaatiiko verkkosivustolle integroitujen liitännäisten käyttö käyttäjän suostumuksen vai voisiko se perustua muuhun tietosuoja-asetuksen mahdollistamaan käsittelyperusteeseen, kuten oikeutettuun etuun. Tämä merkittävä kysymys jäi saksalaisen tuomioistuimen pohdittavaksi. Tuomioistuin kuitenkin totesi, että jos käsittely perustuu suostumukseen, tulee verkkosivuston pyytää etukäteinen suostumus siltä osin kuin se on yhteisrekisterinpitäjä (datan keruu ja välittäminen Facebookille). Jos taas käsittely perustuisi oikeutettuun etuun, tulisi sekä Fashion ID:n että Facebookin täyttää edellytykset eli käsittelyn tulee olla tarpeen oikeutetun edun saavuttamiseksi ja ns. tasapainotestillä tulee varmistaa, etteivät rekisteröidyn edut ja oikeudet syrjäytä ko. oikeutettua etua. Tämä voi käytännössä olla hyvin vaikea tehtävä.
On harmillista, ettei tuomioistuin ottanut tarkemmin kantaa käsittelyperusteeseen, mutta joka tapauksessa mielenkiintoista on nähdä, miten käsittelyperustetta koskeva arviointi tehdään. Käytännössähän tykkäysnapin toimintalogiikka on pitkälti sama kuin evästeillä ja, kuten kerroin edellisessä blogitekstissäni, esimerkiksi UK:n tietosuojaviranomaisen ICO:n kanta on, että evästeiden avulla kerättyjen tietojen myöhempi käyttö olisi perustettava suostumukseen, eikä oikeutettu etu olisi tähän soveltuva käsittelyperuste. Tällainen rinnastus vaikuttaisi loogiselta, mutta jää nyt vastaisen tuomioistuinkäytännön varaan.
Mielenkiintoista ratkaisussa on myös se, voiko tulkintaa jaetusta yhteisrekisterinpitäjän vastuusta laajentaa koskemaan myös adtech-toimialaa yleisesti. Tällä hetkellä useat adtech-palveluntarjoajat nimeävät itsensä itsenäisiksi rekisterinpitäjiksi julkaisijan ohella (”co-controller”, ei lainsäädännön viittaama yhteisrekisterinpitäjä, ”joint controller”), vaikka eittämättä osa käsittelystä tapahtuu siten, että sekä verkkosivuston julkaisija että adtech-firma määrittävät datan käsittelyn tarkoitukset ja keinot. Ratkaisulla voi siis olla merkittäviä vaikutuksia sopimussuhteisiin yhteisöliitännäisten käytön ohella.
Verkkosivuston julkaisijana tee ainakin nämä:
Päivitä verkkosivustosi tietosuojaseloste, ja kuvaa siellä yhteisöliitännäisten, kuten Facebookin tykkäysnapin datankeruu ja siihen liittyvä datan välittäminen kolmannelle osapuolelle, kuten Facebookille. Kerro, että olet yhteisrekisterinpitäjä Facebookin kanssa. Muista, että jo aiemmin on katsottu, että julkaisija on yhteisrekisterinpitäjä Facebookissa olevan fanisivunsa osalta.
Valmistaudu tekemään ”keskinäinen järjestely” Facebookin kanssa yhteisrekisterinpitäjyydestä. Tästä järjestelystä – joka on useimmiten sopimus yhteisrekisterinpitäjyydestä – on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla. Oletettavaa on, että Facebook julkaisee tämän järjestelyn tekstit pian sivustollaan.
Seuraa markkinakäytäntöä ja mahdollisia viranomaissuosituksia tai -ratkaisuja muiden yhteisöliitännäisten, kuten Twitterin, LinkedInin tai Pinterestin, osalta. On mahdollista, että käyttäjän tulisi kirjautua sisään sosiaalisen median tililleen tai tehdä jokin muu aktiviinen toimenpide, jolla hän hyväksyy datan keruun ja välittämisen julkaisijan sivuston kautta sosiaalisen median yritykselle.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.