Tietosuoja ja pilvipalvelut henkilötietolain näkökulmasta

Transkriptio

1 Muistio Ida Staffans Tietosuoja ja pilvipalvelut henkilötietolain näkökulmasta Pilvipalvelun määritelmä Muistiossa tarkastetaan pilvipalveluita ja viranomaisten pilvipalveluiden käyttöä henkilötietolain näkökulmasta. Muistiossa ei käsitellä muiden tietojen kuin henkilötietojen luovuttamista pilvipalveluun. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Esimerkiksi henkilön nimi, ikä, sukupuoli, ammatti ja kuva ovat henkilötietoja. Henkilötietojen käsittely tarkoittaa henkilötietojen keräämistä, tallettamista, järjestämistä, käyttämistä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä. Henkilörekisteriä voidaan lyhyesti luonnehtia listaukseksi, joka sisältää kahta tai useampaa henkilöä koskevia henkilötietoja. Henkilötietolaissa esitetyn määritelmän mukaan henkilörekisteri on käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuva henkilötietoja sisältävä tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta (ns. looginen henkilörekisteri). Pilvipalvelu on palvelu, jossa tarjotaan paikasta riippumattomia tietoverkon yli käytettäviä ITpalveluita. Kyseisiä palveluita käytetään, kun kyse on pilvipalvelusta, riippumatta päätelaitteesta. Pilvipalveluita on kolmenlaisia a. SaaS (Software as a Service) - Sopimuksen kohteena valmisohjelmisto. b. PaaS (Platsform as a Service) - Sopimuksen kohteena toimittajan palvelimilla toimiva käyttöjärjestelmä. c. IaaS (Infrastructure as a Service) - Sopimuksen kohteena toimittajan tarjoamaa palvelintilaa, laskentatehoa, muistikapasiteettia ja tietoverkkoyhteyttä. Esimerkkejä kansainvälisistä pilvipalvelusta ovat Google+ (Gmail), Google AppEngine (Google Apps for Education), Google Maps, Google Latitude, Google Translate, Amazon Web Services (Elastic Computer Cloud, Elastic Block Store, Simple Storage Service), Microsoft Azure (AppFabric, Hotmail, Messenger, Live Mail), Savvis, Terremark, NetSuite. Kotimaisia pilvipalveluita tarjoavat mm. Nebula, Datacenter, Tieto, UpCloud. Myös Opetushallitus on vuonna 2013 kertonut valmistelevansa pilvipalvelua Suomen kouluille. Lainsäädännön reunaehdot Henkilötietolakia sovelletaan aina henkilötietojen automaattiseen käsittelyyn. Kun viranomainen siirtää henkilötietoja pilvipalveluun, vastuu käsittelyn lainmukaisuudesta henkilötietolain näkökulmasta säilyy viranomaisella. Kun pilvipalveluun siirretään useita henkilötietoja, pilvipalvelun käyttäjä on kyseisen henkilörekisterin rekisterinpitäjä ja hän käsittelee pilvipalveluun siirrettyjä tietoja kun hän näitä muokkaa, tallettaa, siirtää tai muutoin käsittelee. Pilvipalvelun käyttäjä on siten myös tietojen siirron jälkeen vastuussa rekisterinpitäjänä ja henkilötietojen käsittelijänä käsittelyn ja rekisterin lainmukaisuudesta. Suomen Kuntaliitto Toinen linja 14,00530 Helsinki PL 200, Helsinki Puh ,faksi etunimi.sukunimi@kuntaliitto.fi I Finlands Kommunförbund Andra linjen 14,00530 Helsingfors PB 200, Helsingfors Tfn , fax fornamn.efternamn@kommunforbundet.fi

2 2 Kotimainen pilvipalvelu Pilvipalvelun tarjoaja ei lähtökohtaisesti käsittele henkilötietoja. Jos pilvipalvelun tarjoaja tallettaa tietoja ainoastaan väliaikaisesti, eikä käsittele tietoja muulla tavalla, pilvipalvelun tarjoaja ei ole henkilötietojen käsittelijä. Jos henkilötietoja tallennetaan pysyvästi pilvipalveluun, tai jos pilvipalvelusopimukseen kuuluu muuta tietojen prosessointi, myös pilvipalvelun tarjoa on kyseisten henkilötietojen käsittelijä. Pilvipalvelun tarjoaja ei kuitenkaan ole rekisterinpitäjä edes tässä tapauksessa, vaan rekisterinpitäjän vastuut säilyvät palvelun käyttäjällä. Kaikessa henkilötietojen käsittelyssä, myös luovutuksessa pilvipalveluun ja käsittelyssä pilvipalvelussa, rekisterinpitäjä on sidottu henkilötietolain henkilötietojen käsittelyn yleisiin edellytyksiin: huolellisuusvelvoitteeseen, suunnitteluvelvoitteeseen, vaatimukseen käyttötarkoitussidonnaisuudesta, tarpeellisuusvaatimukseen sekä rekisteriselosteen laatimisja saatavillapitovelvoitteeseen. Lisäksi henkilötietolain 32.1 :n mukaan rekisterinpitäjän on toteuttava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin. Nämä tekniset vaatimukset on otettava huomioon pilvipalvelun käyttöä suunnitellessa ja sopimuksessa pilvipalvelun käytöstä. Myös arkistolainsäädäntö ja kirjanpidolliset näkökulmat asettavat vaatimuksia rekisterinpitäjälle pilvipalvelun käyttäjänä. Rekisteripitäjän velvollisuuksiin kuuluu lisäksi huolehtia henkilötietojen turvallisesta hävittämisestä palvelusopimuksen umpeuduttua. Hankintanäkökulmasta pilvipalveluiden hankinnassa on lähtökohtaisesti kyse käyttöoikeuden hankkimisesta tietoverkon yli käytettävään ohjelmaan tai käyttöjärjestelmään. Tällainen hankinta täyttää tavarahankinnan kriteerit eikä ole palveluhankinta hankintalain tarkoittamalla tavalla. Toisaalta, jos hankintaan sisältyy merkittävässä määrin tuki- ja ylläpitotehtäviä tai muita tähän verrattavissa olevia tukitoimintoja ja nämä ovat kustannuksiltaan suuremmat kuin ohjelmiston käyttömaksut, kyse on todennäköisesti palveluhankinnasta. (MAO 351/11, ) Kotimainen pilvipalvelu tarkoittaa, että palvelin sijaitsee Suomessa ja että tiedot pysyvät fyysisesti Suomessa. Viranomaisen on henkilötietojen siirrossa kotimaiseen pilvipalveluun rekisterinpitäjänä huolehdittava tavanomaisista henkilötietojen käsittelyyn liittyvistä velvollisuuksistaan. Käsittely on suunniteltava ja rekisteriselosteeseen on otettava maininta tietojen siirrosta pilvipalveluun sekä pilvipalvelun tarjoajasta. Turhia tai ylimääräisiä tietoja ei saa siirtää tai muulla tavalla käsitellä. Viranomainen on myös tarkistettava, että itse sopimus pilvipalvelun tarjoajan kanssa on lainmukainen henkilötietolain näkökulmasta: Henkilötietoja ei saa turhaan kerätä tai käsitellä ja käsittely on sidottu ennalta rekisteriselosteessa määrättyyn tarkoitukseen. Henkilötietolain käyttösidonnaisuusvaatimus tarkoittaa myös, että palvelusopimukseen rekisterinpitäjän ja pilvipalvelun tarjoajan välillä ei voida ottaa ehtoja, joiden mukaan palvelun tarjoaja saisi käyttää tallennettuja tietoja omia tarkoituksia varten (markkinointi, profilointi jne). Lisäksi viranomaisen on huolehdittava luovutuksen tietosuojasta ja lainmukaisuudesta tietoja siirrettäessä pilvipalveluun. Julkisuuslain 16 :n mukaan viranomainen ei saa luovuttaa rekisteritietoja ilman, että luovutuksensaajalla on oikeus käsitellä vastaavanlaisia tietoja. Tämä estää rekisteritietojen luovuttamisen avoimeen verkkoon tai sen kautta. Viranomainen ei siten voi käyttää pilvipalveluita, jotka edellyttävät luovuttamista verkon kautta ilman varmennusta tai jotka tallentavat tietoa avoimeen verkkoon. Kansainvälinen pilvipalvelu Henkilötietolain 5 luku sisältää säännöksiä henkilötietojen siirrosta kansainvälisesti, joita sovelletaan kun henkilötietoja siirretään EU:n ja ETA:n alueen ulkopuolelle. Henkilötietojen siirtoihin EU:n ja ETA:n sisällä sovelletaan henkilötietodirektiivin sääntöjä ja EU:n vapaan liikkuvuuden periaatetta, ja henkilötietoja saa siten siirtää EU:n ja ETA:n sisällä samoilla ehdoilla kuin kansallisesti.

3 3 EU- tai ETA-alueen palvelun käyttö Jos rekisterinpitäjä luovuttaa tietoja pilvipalveluun, jonka palvelin sijaitsee EU:n tai ETA:n sisällä ja josta tietoja ei siirretä tämän alueen ulkopuolelle, rekisterinpitäjä on vastuussa tavanomaisista henkilötietojen käsittelyyn liittyvistä velvollisuuksista henkilötietolain mukaan. Rekisterinpitäjän tulisi tässä tilanteessa varmistaa, että tietoja ei pilvipalvelun tarjoajan toimesta käytetä muihin tarkoituksiin kuin rekisteriselosteesta ilmeneviin tarkoituksiin, ja että tietoja ei esimerkiksi vakiosopimuksen nojalla luovuteta EU:n tai ETA-alueen ulkopuolelle. Viranomainen ei tässäkään tapauksessa voi käyttää palveluita, jotka joko tallettavat tai siirtävät tietoja avoimen verkon avulla. (Yleisistä edellytyksistä, ks. yllä Kotimainen pilvipalvelu ) Muun muassa Ruotsin ja Tanskan tietosuojaviranomaiset ovat ottaneet kielteiset kannat viranomaisen mahdollisuuksiin käyttää EU:n tai ETA-alueella toimivan pilvipalvelun tarjoajan palveluita vakiosopimusten ehdoilla. Vakiosopimuksia käyttäen rekisterinpitäjä ei voi varmuudella tietää miten tietoja luovutetaan palvelimesta toiseen ja tällöin syntyy riski, että tietoja luovutetaan lainvastaisesti EU:n tai ETA-alueen ulkopuolelle. Tanskan tietosuojaviranomainen vs. Google Apps for Education (2011) Ruotsin tietosuojaviranomainen vs. Google Apps (2011) Pilvipalvelu EU- ja ETA- alueen ulkopuolella Yhdysvaltojen poikkeus Henkilötietolain 5. luvun erityissäännöksiä sovelletaan kun henkilötietoja siirretään suoraan pilvipalveluun EU:n ja ETA-alueen ulkopuolella tai jos henkilötietoja siirretään kotimaiseen tai EU:n / ETA-alueella olevaan pilvipalveluun, josta tietojen edelleenluovutus tämän alueen ulkopuolelle on mahdollista. Henkilötietolain 22 :n mukaan henkilötietoja voidaan siirtää EU:n ja ETA-alueen ulkopuolelle ainoastaan, jos kyseissä maassa taataan riittävä tietosuojan taso. Tietosuojan tason riittävyyden arviointi on erityiskysymys, jossa lain mukaan tulee huomioida tietojen luonne, suunnitellun käsittelyn tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt sekä käytännesäännöt ja noudatettavat turvatoimet. Tietosuojan tason riittävyyden asianomaisessa kolmannessa maassa arvioi kussakin tapauksessa rekisterinpitäjä ja tietosuojavaltuutettu. Rekisteripitäjälle on asetettu velvollisuus ilmoittaa tietosuojavaltuutetulle henkilötietojen siirrosta EU:n ja ETA -alueen ulkopuolelle. Poikkeuksesta rekisterinpitäjän arviointi- ja ilmoitusvelvollisuuteen säädetään henkilötietolain 22 a :ssä, jonka mukaan henkilötietoja voidaan siirtää EU:n ja ETA:n ulkopuolelle jos komissio on erillispäätöksellä todennut, että kyseisessä maassa taataan tietosuojan riittävä taso. Komission päätöksiin perustuvista henkilötietojen siirroista ei ole velvollisuutta ilmoittaa tietosuojavaltuutetulle. Vaikka henkilötietojen siirto pilvipalveluun tapahtuisi komission päätöksen perustella ilman erillistä ilmoitusvelvollisuutta, siirron edellytyksenä on kuitenkin, että henkilötietolain yleisiä säännöksiä henkilötietojen käsittelystä noudatetaan. Tietosuojalautakunta voi henkilötietolain 44 :n nojalla kieltää henkilötietojen siirron ellei siirrettävien henkilötietojen käsittelyssä ole noudatettu kansallisia säännöksiä. Rekisterinpitäjän on mm. varmistettava, että tietoja ei pilvipalvelun tarjoajan toimesta käytetä muihin tarkoituksiin kuin rekisteriselosteesta ilmeneviin tarkoituksiin. (Yleisistä edellytyksistä, ks. yllä Kotimainen pilvipalvelu ) Komissio voi myös tehdä ns. kolmannen maan tietosuojan tasosta negatiivisen päätöksen. Henkilötietolain 22 a :n 2 momentin mukaan henkilötietoja ei voida siirtää EU:n jäsenvaltioiden alueen tai ETA:n ulkopuolelle siltä osin kuin komissio on jäsenvaltion tekemän ilmoituksen johdosta henkilötietodirektiivin mukaisesti todennut, että kyseisessä maassa ei taata tietosuojan riittävää tasoa. Linkki ajantasaiseen luetteloon komission päätöksistä maista, joissa taataan riittävä tietosuojataso Yhdysvaltoja ei ole otettu kokonaisuudessaan komission listaan hyväksytyistä maista. Sen sijaan komissio on todennut, että ne yhdysvaltalaiset organisaatiot ja yhtiöt, jotka sitoutuvat

4 4 erikseen noudattamaan ns. Safe Harbor -järjestelmän periaatteita, ovat turvallisia tietosuojan näkökulmasta. Siirto yhdysvaltalaiseen pilvipalveluun taikka pilvipalveluun, josta tietoja voidaan luovuttaa eteenpäin Yhdysvaltoihin, on siten mahdollista ainoastaan jos pilvipalvelun tarjoaja tai vastaanottava yritys on sitoutunut Safe Harbor -järjestelmän periaatteisiin. Yhdysvaltojen kauppaministeriö ylläpitää yleisesti saatavilla olevaa luetteloa organisaatioista, jotka ilmoittavat noudattavansa Safe harbor -periaatteita Jos luovutus tapahtuu komission hyväksymään Safe Harbor -yritykseen, rekisterinpitäjä ei tarvitse erikseen ilmoittaa tietojen luovutuksesta tai siirrosta tietosuojavaltuutetulle. Rekisterinpitäjä ei kuitenkaan ole vapautettu henkilötietolain yleisistä henkilötietojen käsittelyyn liittyvistä velvoitteista. (Yleisistä edellytyksistä, ks. yllä Kotimainen pilvipalvelu ) EU:n tai ETA:n ulkopuolella sijaitsevan pilvipalvelun käytettäessä on kiinnitettävä erityistä huomiota palvelun sopimusehtoihin. Pilvipalveluiden tarjoajien vakiosopimuksia käyttäen rekisterinpitäjä ei useimmiten voi varmuudella tietää miten tietoja luovutetaan palvelimesta toiseen ja tällöin syntyy riski, että tietoja luovutetaan lainvastaisesti turvallisen tietosuojatason alueen ulkopuolelle. (ks. yllä: Tanskan tietosuojaviranomainen vs. Google Apps for Education (2011) ja Ruotsin tietosuojaviranomainen vs. Google Apps (2011)) Siirto riittävän tietosuojan ulkopuolelle Tietoja voidaan henkilötietolain 23 :n nojalla siirtää sellaiseen kolmanteen maahan, jonka tietosuojan taso ei komission päätöksen nojalla ole katsottu olevan riittävä jos 1. rekisteröity on antanut yksiselitteisen suostumuksensa siirtoon; 2. siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; (ks. Tietosuojavaltuutetun kannanotto : monikansallisen yhtiön työntekijöiden tietoja voitiin siirtää yhtiön intranetiin) 3. siirto on tarpeen rekisterinpitäjän ja sivullisen välisen rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi; (esim. tietojen siirto tehtäessä sopimusta ulkomailla työskentelevän työntekijän vakuutuksista tai terveyspalveluista) 4. siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi; 5. siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; 6. siirto tehdään rekisteristä, josta yleinen tai erityisin perustein tapahtuva tiedonsaanti on nimenomaisesti säädetty; (esim. kiinteistörekisteri tai kaupparekisteri) 7. rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta, eikä komissio ole henkilötietodirektiivin 3 artiklan ja 26 artiklan 3 kohdan mukaisesti todennut takeita riittämättömiksi; (ks. alla) 8. siirto tapahtuu henkilötietodirektiivin 26 artiklan 4 kohdassa tarkoitettuja komission hyväksymiä mallisopimuslausekkeita käyttäen (ks. mallisopimuslausekkeet) Sopimus riittävän turvan varmistamiseksi Henkilötietolain 23 :n 1 mom. 7 kohdan mukaan sopimusta voidaan käyttää tietojen siirrossa riittävän turvan varmistamiseksi, kun rekisterinpitäjä siirtää tietoja EU:n tai ETA:n ulkopuolelle sellaiseen kolmanteen maahan, jossa yleinen suoja on riittämätön. Vastaavasti, sopimusta tulisi käyttää jos rekisterinpitäjä siirtää tietoja sellaiseen pilvipalveluun, josta edelleenluovutus riittävän tietosuojatason maiden ulkopuolelle on mahdollista. Henkilötietolain mukaan rekisterinpitäjän on tässä tapauksessa sopimuslausekkein tai muulla tavoin annettava riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta. Sopimuksessa on otettava huomioon juuri kyseessä oleva tietosiirto ja siihen vaikuttavat tietosuojaan liittyvät seikat. Sopimukseen on otettava riittävän yksityiskohtaisia määräyksiä tietosuojasta. Sopimusta laadittaessa voidaan käyttää Henkilötietodirektiivin tietosuojatyöryhmän listaukset tietosuojan sisällön keskeisistä periaatteista sekä menettelyä ja täytäntöönpanoa koskevista edellytyksistä.

5 5 Lähteet Tietosuojavaltuutetun ohje: Henkilötietojen siirto ulkomaille henkilötietolain mukaan, Asiaa tietosuojasta 1/2005 ( ) Petteri Heino: Pilvipalvelut (Talentum 2010) Janne Jääskeläinen: Verkkopalvelun ostajan opas (Talentum 2010) W.Kuan Hon, Christopher Millard, Ian Walden: Who is responsible for personal data in cloud computing? - The cloud of unknowing, Part 2 (Internatl Data Privacy Law No 1 vol 2) Tomi Voutilainen, Denis Galkin: Tietosuoja Hankintasopimuksissa julkisessa hallinnossa (Defensor Legis 3/2013)