25 elo Käytätkö pilvipalveluja USA:sta – lue miksi viranomainen on sinusta nyt kiinnostunut
Tietosuojavaltuutettu tiedottaa
Tietosuojavaltuutetun toimisto tiedottaa 13.8.2021, että se tehostaa ETA-maiden ulkopuolelle tehtävien henkilötietojen siirtojen valvontaa. Mistä tiedotteessa on kysymys ja mitä jokaisen yrityksen tulisi viimeistään nyt tehdä?
Mistä on kysymys?
EU:n yleisen tietosuoja-asetuksen (GDPR) mukaan henkilötietoja ei saa “siirtää” ETA-maiden ulkopuolelle tai kansainvälisille järjestöille, ellei henkilötiedoille voida taata yhtä hyvää suojaa, kuin mitä ne saavat EU:ssa.
Aihe tuli erityisen ajankohtaiseksi kesällä 2020, kun EU:n tuomioistuin kumosi EU:n ja Yhdysvaltojen välisen Privacy Shield -sopimuksen, jonka avulla yritykset saivat aikaisemmin siirtää henkilötietoja Yhdysvaltoihin. Nyt järjestely on kumottu ja Euroopan tietosuojaneuvosto on julkaissut uudet ohjeet, miten muuttuneessa tilanteessa on jatkossa toimittava.
Henkilötietojen “siirtämistä” ovat kaikki tilanteet, joissa henkilötietoja tallennetaan tai niitä voidaan tarkastella ETA-maiden ulkopuolelta. Siirtoja koskevat säännöt vaikuttavat käytännössä kaikkiin suomalaisiin yrityksiin: jos yritys käyttää mitään ostettuja ohjelmistoja, on todennäköistä, että yritys tekee siirtoja ETA-maiden ulkopuolelle. Jos henkilötietoja siirretään ETA-maiden ulkopuolelle ilman tietosuojaneuvoston ohjeiden noudattamista, voi tietosuojaviranomainen määrätä tästä hallinnollisen sakon tai määrätä siirron keskeytettäväksi ja kieltää yrityksen liiketoiminnalle kriittisen ohjelmiston käyttämisen. Nyt tietosuojavaltuutettu on ilmoittanut aloittavansa näiden sääntöjen tehokkaan valvonnan. Tämä tarkoittaa sitä, että yritysten tulisi viimeistään nyt tunnistaa omat siirtonsa ETA-maiden ulkopuolelle ja varmistaa niiden lainmukaisuus.
Mitä yrityksen pitää käytännössä tehdä?
Yrityksen täytyy seurata Euroopan tietosuojaneuvoston kansainvälisiä siirtoja koskevia ohjeita. Ohjeissa esitellään step-by-step -vaiheet, joiden avulla yritys voi määrittää, onko siirto ETA-maiden ulkopuolelle riittävän turvallinen ja sitä kautta lainmukainen. Vaiheiden läpikäynti on monimutkainen harjoitus, mutta tukea löytyy – esimerkiksi tietosuojavaltuutettu on julkaissut ohjeistusta ja aina voi kääntyä myös asiantuntijan puoleen.
1. Vaihe.
Siirtojen kartoitus. Työ alkaa kartoittamalla siirrot ETA-maiden ulkopuolelle, eli tunnistamalla ne tilanteet, jolloin henkilötietoja siirretään ETA-maiden ulkopuolelle. Tunnistamisessa huomioidaan yrityksen ”omat” siirrot, mutta myös alihankkijoiden tekemät siirrot.
Siirto ei aina ole täysin itsestään selvä, joten kartoitus täytyy tehdä huolellisesti. Esimerkiksi alihankkijan palvelimet voivat sijaita Suomessa, mutta tiedot varmuuskopioidaan kolmannessa maassa oleville palvelimille tai huoltoyhteys henkilötietoa sisältäviin järjestelmiin on järjestetty niin, että ETA-maiden ulkopuolelta on pääsy henkilötietoihin etäyhteyksin. Huolellisessa kartoituksessa nämäkin siirtotilanteet tunnistetaan.
- Jos siirtoja ei tehdä, riittää, että listataan käsittelyn sijainnit selosteelle käsittelytoimista (tai muuten kirjallisesti osoitetaan, ettei siirtoja tehdä).
- Jos siirtoja tehdään, listataan käsittelyn sijainnit selosteelle käsittelytoimista ja siirrytään vaiheeseen 2.
2. Vaihe.
Siirron edellytykset. Siirron saa tehdä vain tietosuoja-asetuksessa listatuilla tavoilla. Yleisin tapa on käyttää Euroopan komission julkaisemia vakiosopimuslausekkeita, jossa siirron tekijä ja vastaanottaja tekevät vakioidun sopimuksen henkilötietojen suojauksesta. Sopimukset tulevat yleensä hyväksytyksi pilvipalvelua käyttöönotettaessa, mutta sopimuksilta täytyy tarkistaa, että vakiosopimuslausekkeet on liitetty mukaan sopimukseen. Palvelun ostaja on vastuussa riittävien sopimusten tekemisestä.
Euroopan komissio voi myös hyväksyä tietyn maan turvalliseksi vastaanottamaan henkilötietoja, jolloin siirron voi katsoa riittävän turvalliseksi sellaisenaan (esim. Iso-Britannia ja Sveitsi).
- Jos siirto tehdään komission päätöksen perusteella, riittää tästä merkintä dokumentaatioon ja siirto voidaan tehdä.
- Jos siirto tehdään muulla perusteella, kuten yllä mainituilla sopimuksilla, siirrytään vaiheeseen 3.
3. Vaihe.
Arvio. Arvioidaan henkilötietojen suojan riittävyys. Arvion tekeminen on haastavaa ja apuna kannattaa käyttää siirron vastaanottajan apua sekä tarvittaessa asiantuntijaa.
Arviossa on tarkoitus selvittää, voiko vastaanottajamaan lainsäädäntö tai käytännöt heikentää henkilötietojen suojaa vastaanottajamaassa.
- Jos vastaanottajamaan lainsäädäntö tai käytännöt ei heikennä suojaa, kirjataan ylös arvion tulokset ja lähteet. Siirto voidaan tämän jälkeen tehdä.
- Jos lainsäädäntö tai käytännöt johtavat heikompaan suojaan, asia kirjataan ylös ja siirrytään vaiheeseen 4.
4. Vaihe.
Lisäsuojakeinot. Jos arviossa todetaan, ettei henkilötiedoille voida taata riittävää suojaa, voi siirtovälinettä pyrkiä tehostamaan lisäsuojakeinoilla. Nämä määritetään aina tapauskohtaisesti kullekin siirrolle ja voivat käytännössä olla teknisiä ratkaisuja tai sopimuspohjaisia keinoja.
- Jos voidaan asettaa riittävät suojan takaavat lisäsuojakeinot, niiden kuvaus dokumentoidaan ja siirto voidaan tehdä.
- Jos riittäviä lisäsuojakeinoja ei löydy, siirtoa ei saa tehdä tai se täytyy keskeyttää.
5. Vaihe.
Seuranta. Siirtoja ja niiden suojauksen tehokkuutta on seurattava säännöllisesti, jotta siirto myös pysyy lainmukaisena jatkossa. Tähän voi vaikuttaa sekä siirrossa tapahtuvat muutokset että kohdemaan lainsäädännössä tapahtuvat muutokset.
Edellä kuvattujen vaiheiden toteuttaminen täytyy dokumentoida kirjallisesti, jotta siirtojen lainmukaisuuden voi tarvittaessa osoittaa tietosuojavaltuutetulle.
Lisätietoa
Mikäli tarvitset apua siirtojen arvioinnissa tai lisätietoa siirtoihin liittyen, Opsec Oy:n tietosuojatiimi auttaa mielellään.
Yhteystiedot ja yhteydenottolomake:
Puhelin: 020 198 6690
Sähköposti: info@opsec.fi
Verkkosivu: https://www.opsec.fi/fi/yhteydenottopyynto