Rekisterinpitäjän ja käsittelijän vastuut sekä tiedonsiirto
Organisaatioihin kertyy valtavia tietoaineistoja, joita on käsiteltävä, jaettava ja hyödynnettävä lainmukaisesti ja eettisesti. Pilvipalvelut ovat nousseet keskeiseksi ratkaisuksi näiden aineistojen hallintaan, tarjoten skaalautuvia ja joustavia alustoja datan säilyttämiseen ja käsittelyyn. Samalla ne kuitenkin tuovat mukanaan monimutkaisia haasteita tietosuojan, tietoturvan ja datan hallinnan suhteen.
Tietosuojasääntelyn tarkoituksena on luoda EU:n sisämarkkinoiden alueelle vahva ja johdonmukainen tietosuojakehys, joka luo pohjan digitalouden kasvulle ja innovaatioille. Ihmisten ja yritysten on voitava luottaa siihen, että henkilötietoja käsitellään turvallisesti ja läpinäkyvästi markkinoilla. Kyse on samalla myös kaikille kuuluvien perusoikeuksien toteuttamisesta.
Pilvipalveluiden käyttöön liittyy kuitenkin tietosuojasääntelyn näkökulmalta erityispiirteitä, jotka on syytä tunnistaa varhaisessa vaiheessa. Keskeisiä riskialueita ovat rekisterinpitäjän ja henkilötietojen käsittelijän roolien määrittely, vastuiden jakautuminen, henkilötietojen siirto EU/ETA-alueen ulkopuolelle sekä rekisteröityjen oikeuksien tehokas toteutuminen pilviympäristössä. Erityisaloilla on myös huomioitava erityissääntely, joka asettaa erityisehtoja tietojen käsittelylle (esim. julkiset toimijat).
Tietosuojasääntelyn noudattamatta jättämisestä voi seurata muun muassa taloudellista vastuuta. Esimerkkeinä yleisen tietosuoja-asetuksen 82 artiklan mukainen korvausvastuu, 83 artiklan mukainen hallinnollinen seuraamusmaksu tai 58 artiklan mukainen henkilötietojen käsittelykielto (taloudelliset seuraukset, jos yritys ei pysty käsittelemään henkilötietoja liiketoiminnassaan). Harvinaisemmissa tilanteissa jonkun tahallinen tai huolimaton menettely voi johtaa rikosvastuuseen.
Seuraavaksi käsittelemme lyhyesti keskeisiä aiheeseen liittyviä teemoja, joita organisaatioiden tulee huomioida pilviympäristössään.
Rekisterinpitäjä ja henkilötietojen käsittelijä
Rekisterinpitäjä on luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijä puolestaan on luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
Havainnollistavana esimerkkinä voidaan tarkastella verkkokaupan toimintaa. Verkkokauppa toimii rekisterinpitäjänä käyttäessään pilvipalvelua asiakastietokantansa ylläpitoon. Rekisterinpitäjänä verkkokauppa määrittelee, mitä henkilötietoja kerätään (esimerkiksi asiakkaan nimi, osoite ja ostohistoria) ja mihin tarkoituksiin näitä tietoja käsitellään (kuten markkinointi ja tilausten käsittely).
Tässä asetelmassa pilvipalveluntarjoaja toimii henkilötietojen käsittelijän roolissa. Sen tehtävänä on käsitellä henkilötietoja rekisterinpitäjän antamien ohjeiden mukaisesti. Käsittelijä vastaa siitä, että henkilötiedot ovat asianmukaisesti suojattu ja saatavilla verkkokaupan käyttöön sovitulla tavalla. Tärkeää on huomata, että käsittelijä ei saa käyttää tietoja mihinkään muuhun tarkoitukseen ilman rekisterinpitäjän nimenomaista lupaa tai ohjeistusta.
Rekisterinpitäjän ja käsittelijän vastuujakoa voidaan karkeasti havainnollistaa seuraavasti:
| Rekisterinpitäjän vastuut | Henkilötietojen käsittelijän vastuut |
|---|---|
| Varmistaa, että henkilötietojen käsittely on lainmukaista, kohtuullista ja läpinäkyvää. | Käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti. |
| Määrittelee käsittelyn tarkoitukset ja keinot. | Varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta. |
| Toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet tietosuojan varmistamiseksi. | Toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet tietoturvan varmistamiseksi. |
| Valitsee luotettavan henkilötietojen käsittelijän ja valvoo tämän toimintaa. | Avustaa rekisterinpitäjää tämän velvollisuuksien toteuttamisessa. |
| Ylläpitää selostetta vastuullaan olevista käsittelytoimista. | |
| Toteuttaa ekisteröityjen oikeuksia. |
Joskus voi syntyä tilanteita, kun näiden roolien ja niihin liittyvien velvoitteiden rajat hämärtyvät. Tällöin syntyy riski siitä, että kumpikin osapuoli laiminlyö velvollisuuksiaan olettaen toisen huolehtivan niistä. Tämä voi johtaa tilanteeseen, jossa tietosuojamaturiteetti heikkenee ja rekisteröityjen oikeudet vaarantuvat, mikä puolestaan altistaa molemmat osapuolet mahdollisille sanktioille ja korvausvaatimuksille. Näiden riskien hallitsemiseksi ja velvoitteiden selkeyttämiseksi TSA:n artikla 28 edellyttää rekisterinpitäjän ja henkilötietojen käsittelijän välille kirjallista sopimusta, jota yleisesti kutsutaan tietojenkäsittelysopimukseksi (Data Processing Agreement, DPA).
Ilman asianmukaista tietojenkäsittelysopimusta rekisterinpitäjä menettää kontrollin siihen, miten, missä ja kenen toimesta henkilötietoja käsitellään. Ensinnäkin vaarantuu käsittelyn laillisuus. Rekisterinpitäjä ei voi varmistua siitä, että henkilötietoja käsitellään vain ennalta määriteltyihin ja laillisiin tarkoituksiin. Samalla henkilötietojen käsittelyn läpinäkyvyys heikkenee, kun rekisterinpitäjällä ei ole tosiasiallisia keinoja valvoa tai saada tietoa käsittelytoimista. Tietojen minimoinnin näkökulmasta käsittelijä saattaa kerätä ja säilyttää enemmän tietoja kuin on tarpeellista. Tietoturvan näkökulmasta tilanne on erityisen huolestuttava: ilman sovittuja tietoturvavaatimuksia henkilötiedot altistuvat suuremmalle riskille joutua vääriin käsiin tai tulla väärinkäytetyiksi.
Lisäksi alikäsittelijöiden käyttö ilman rekisterinpitäjän hyväksyntää tai tietoa laajentaa entisestään henkilötietojen käsittelyn hallitsemattomuutta. Tämä johtaa herkästi tilanteeseen, jossa rekisterinpitäjällä ei ole enää minkäänlaista käsitystä siitä, kuka todellisuudessa käsittelee tietoja, missä ja millä tavoin.
Edellä todetun tavoin tietojenkäsittelysopimus on välttämätön työkalu, jolla rekisterinpitäjä voi varmistaa kontrollin säilymisen, määritellä selkeät vastuut ja velvollisuudet käsittelijöiden kanssa. Valitettavasti useat pilvipalveluntarjoajat eivät ole huolehtineet tietosuojalainsäädännön noudattamisesta riittävän vakavasti, minkä johdosta käsittelysopimukset puuttuvat kokonaan tai ovat hyvin puutteellisia. Edellä mainittujen tapausten lisäksi on huomioitava, että joskus asiakkuudet ovat alkaneet kauan aikaa sitten, eikä sopimuksia ole siitä lähtien uudelleentarkasteltu lainkaan vastaamaan uusia säännöksiä.
Näiden asiakassuhteiden osalta on nostettava esiin, että monet pilvipalvelut ovat digitalisoituneet ja automatisoituneet valtavaa vauhtia, ja samalla niiden hinta on laskenut. Havaintojemme mukaan monien vuosituhannen alkupuolella solmittujen asiakassuhteiden osalta asiakkaat ovat maksaneet edelleen samoja hyvin korkeita hintoja ennen digitaalista murrosta.
Meidän tarjoama vakiomuotoinen tietojenkäsittelysopimus on suunniteltu vastaamaan useimpien asiakkaidemme tarpeita ja tietosuoja-asetuksen vaatimuksia. Mikäli haluat laatia omiin tarpeisiin sopivan DPA:n meidän kanssamme, olethan yhteydessä asiakaspalveluun.
Henkilötietojen siirto EU:n ulkopuolelle
EU:n kansalaisten henkilötiedot nauttivat samantasoista suojaa myös EU:n rajojen ulkopuolella. Henkilötietojen siirto Euroopan talousalueen ulkopuolelle edellyttää muiden tietosuojalainsäädännön vaatimusten noudattamisen lisäksi erityistä siirtoperustetta, jotka ovat määritelty asetuksen V luvussa. Näitä siirtoperusteita on useita, mutta tässä yhteydessä emme käsittele niitä yksityiskohtaisesti. Sen sijaan keskitymme yleisimpiin mekanismeihin, joita organisaatiot käyttävät varmistaakseen lainmukaisen tiedonsiirron.
Tässä kontekstissa vakiolausekkeet (Standard Contractual Clauses, SCCs) ovat olleet keskeinen työkalu, joka mahdollistaa tietojen siirron maihin, joiden tietosuojan tasoa EU ei ole todennut riittäväksi. Rinnalle ovat nousseet myös yritystä sitovat säännöt (Binding Corporate Rules, BCRs), jotka tarjoavat joustavan ratkaisun erityisesti monikansallisille yrityksille.
Vuoden 2020 Schrems II -päätös kuitenkin mullisti tämän kentän. Karkeasti päätös korosti, että organisaatioiden on arvioitava kohdemaan lainsäädäntöä ja käytäntöjä sekä tarvittaessa toteutettava lisätoimenpiteitä henkilötietojen suojaamiseksi. Tämä on johtanut tilanteeseen, jossa pelkkä vakiolausekkeiden allekirjoittaminen ei enää riitä, vaan vaaditaan perusteellista riskiarviointia ja mahdollisesti teknisiä lisätoimenpiteitä, kuten vahvaa salausta. Tiivistetysti henkilötietojen siirtämisellä kolmansiin maihin ei saa heikentää tai vesittää niille Euroopan talousalueella myönnettyä suojaa.
