Pilvipalvelut Lainsäädäntö ja sopimukset Tomi Järvinen 30.5.2011 Aalto yliopiston IT Lähteinä käytetty: Erkko Korhonen, SFS ry esitys 18.11.2010 Arto Linnervuo ja Eija Warma, IDC s Security Conference 21.9.2010
PILVIPALVELUT YLEISTÄ Pilvipalvelut ovat paikasta riippumattomia verkon kautta käytettäviä palveluja, joissa organisaation tai yksityisen henkilön tarvitsemat sovellukset sijaitsevat pilvessä eli esim. palveluntarjoajan palvelimilla. Yliopiston käytössä tärkeimmät pilvipalveluiden ominaisuudet ovat dynaamisuus, nopea resurssien allokointi ja kustannusten muodostuminen todellisen käytön mukaan. Tyypillisimpiä palveluita ovat vuokratut ohjelmistot, ohjelmistoihin kuuluvat sovelluspalvelut ja alustat sekä dynaamiset palvelininstanssit. Yksityishenkilöille tyypillisimpiä pilvipalveluita ovat sosiaalisen median palvelut kuten Facebook, Twitter tai Gmail. 2
PILVIPALVELUT MIKÄ PILVI? "Pilvipalvelu" terminä on käsite tai kielikuva, jolla tarkoitetaan verkon kautta käytettäviä palveluita. Toimintamalli, jolla yhdistetään uusia ja vanhoja palveluita Yliopiston kannalta palveluiden ominaisuuksista ja myyntitavoista aiheutuu uusia haasteita liittyen lainsäädäntöön ja sopimuksiin. Tyypillinen pilvipalvelu on: dynaaminen (hinnoittelu sekä tekninen) käyttö paikasta riippumatonta palvelulähtöinen toimintamalli maantieteellisesti hajautettu Accenture: Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä. Ubuntusta tunnettu Simon Wardley löysi 67 erilaista määritelmää pilvipalveluille. 3
PILVIPALVELUIDEN HAASTEET Pilvipalveluiden merkittävimmät haasteet asiakkaalle suuret tekniset riskit tietoturvakysymykset toimittajien luotettavuus uusi teknologia Päätös pilvipalvelun käyttöönotosta Aalto-yliopistossa tulee perustua riskienhallintaprosessiin ja periaatteisiin, jotka pohjautuvat tiedon luokitteluun luottamuksellisuuden ja eheyden sekä viranomaisvaatimusten perusteella PowerPointin aihe, lainsäädäntö ja sopimukset 4
LAINSÄÄDÄNTÖ Pilvipalveluiden käyttöön liittyvät haasteet juridisesta näkökulmasta 1. ei ole ennakkotapauksia 2. muutoksia lainsäädäntöön on vasta valmisteilla 3. nykyinen lainsäädäntö on vaikeasti sovellettavissa pilvipalveluihin: tietosuoja: henkilötietojen käsittelyä ja siirtoa koskevat kysymykset, palvelun tietoturva sopimusoikeudelliset vastuu- ja muut kysymykset kirjanpito-/vero-oikeudelliset kysymykset open source asiat immateriaalioikeuksien loukkaustilanteet liikesalaisuuksien suoja ja toimittajan oikeus hyödyntää palvelun dataa 5
LAINSÄÄDÄNTÖ Soveltuva tietosuojalainsäädäntö Henkilötietolaki (523/1999) soveltuu, kun: rekisterinpitäjän toimipaikka on Suomen alueella tai muutoin Suomen oikeudenkäytön piirissä jos sama rekisterinpitäjä on sijoittautunut myös muun EU/ETA:n jäsenvaltion kuin Suomen alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta rekisterinpitäjällä ei ole toimipaikkaa Euroopan unionin jäsenvaltioiden alueella, mutta rekisterinpitäjä käyttää henkilötietojen käsittelyssä Suomessa sijaitsevia laitteita muuhunkin tarkoitukseen kuin vain tietojen siirtoon tämän alueen kautta. Rekisterinpitäjän on tällöin nimettävä Suomessa oleva edustaja. sovellettuna pilvipalveluihin: Suomalaiseen rekisterinpitäjään sovelletaan Suomen tietosuojalainsäädäntöä huolimatta käsittelijän (=palveluntarjoajan) kotipaikasta käytettäessä Suomen alueella sijaitsevaa tietokeskusta (käsittelijää) -> Suomen tietosuojalainsäädäntö soveltuu myös käsittelijään käytettäessä EU/ETA:n alueella sijaitsevaa tietokeskusta (käsittelijää) -> kyseisen jäsenvaltion tietosuojalainsäädäntö soveltuu 6
LAINSÄÄDÄNTÖ Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009): palvelun käyttäjän on voitava luottaa siihen, että palveluntarjoaja on palveluansa rakentaessaan ottanut huomioon tietoturvan ja yksityisyyden suojan vaatimukset palveluntarjoajan on puolestaan voitava luottaa siihen, että etäyhteyden päässä oleva palvelunkäyttäjä on se, joka väittää olevansa 7
LAINSÄÄDÄNTÖ Sovellettava laki mikäli sopimuksessa ei ole määritelty sovellettavaa lakia pätee usein Rooma 1 asetus (EY) No 593/2008 palvelun suorittamista koskevaan sopimukseen sovelletaan sen maan lakia, jossa palvelunsuorittajan asuinpaikka on (4 (1) (b) artikla) sopimus laitteiston tai ohjelmiston online-käytöstä jos sopimus ei kuulu 1 kohdan piiriin tai jos sopimuksen osiot kuuluisivat useamman kuin yhden 1 kohdan a h alakohdan piiriin, sopimukseen sovelletaan sen maan lakia, jossa on sen osapuolen asuinpaikka, joka vastaa sopimuksen luonteenomaisesta suorituksesta (4 (2) artikla) palveluntarjoajan valtion lakia sovelletaan 8
REKISTERINPITÄJÄ Keitä ovat Rekisterinpitäjä tai Henkilötietojen käsittelijä Lainsäädäntö tekee perustavanlaatuisen erottelun: rekisterinpitäjä: osapuoli, joka määrittelee materiaalin käsittelyn tarkoituksen ja keinot henkilötietojen käsittelijä, ainoastaan sopimukseen perustuva vastuu palveluntarjoaja Erottelu on tärkeä pilvipalvelun vastuunjaon kannalta! Henkilötietolain mukaan rekisterinpitäjä on vastuussa, mutta voi ulkoistaa henkilötietojen käsittelyn, jolloin kolmas osapuoli käsittelee henkilötietoja rekisterinpitäjän lukuun. rekisterinpitäjän tulee turvata rekisteröityjen oikeudet sopimusteitse rekisterinpitäjällä on ilmoitusvelvollisuus henkilötietojen käsittelyn ulkoistamisesta Tietosuojavaltuutetulle. (toimintailmoitus) 9
TIETOSUOJA Merkittävät tietosuojariskit molemmat, asiakas ja erityisesti palveluntarjoaja, määrittelevät henkilötietojen käsittelyn perusteet lakisääteinen olettama on, että rekisterinpitäjä yksin vastaa henkilötietojen käsittelystä pilvipalveluiden tarkoituksena on vähentää suoraa kontrollia, kun taas lainsäädäntö edellyttää, että rekisterinpitäjä kontrolloi henkilötietojen käsittelyä tietojen siirtämiseen liittyvät kysymykset, rekisterinpitäjän tulee tietää, missä tiedot sijaitsevat. Henkilötietoja saa siirtää EU:n ulkopuolelle, mikäli riittävä tietosuojan taso pystytään takaamaan adequate level of protection (mm. Argentiina, Canada, Sveitsi, pian Israel) 10
MATERIAALIN SIIRTO Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle Periaate: Henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan riittävä tietosuojan taso Näitä maita ei käytännössä ole montaa, mm. Kanada, Sveitsi (2001/497/EC) Poikkeukset: rekisteröity on antanut yksiselitteisen suostumuksensa siirtoon; siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; siirto on tarpeen rekisterinpitäjän ja sivullisen välisen rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöön panemiseksi; siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi; Siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; siirto tehdään rekisteristä, josta yleinen tai erityisin perustein tapahtuva tiedonsaanti on nimenomaisesti säädetty; rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta; siirto tapahtuu Euroopan komission hyväksymiä mallisopimuslausekkeita käyttäen 11
MATERIAALIN SIIRTO Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle käytä silti pilvipalveluntarjoajaa, jonka tietokeskus on sijoitettu EU/ETA:n alueelle, tai sopimuksessa pilvipalveluntarjoajan kanssa on käytettävä komission hyväksymiä mallilausekkeita tietojen edelleen luovutus ns. viimeinen käsittelymaa ratkaisee. suojamekanismeja: USA Safe Harbor sertifiointi, (lista Safe Harbor yrityksistä) komission mallisopimuslausekkeet muista myös alihankinta! 12
SOPIMUKSET Sopimuskysymykset sopimukset ovat yhtä tärkeitä kuin missä tahansa muussa IT-ratkaisussa ohjelmistolisenssi / ohjelmiston vuokraus ulkoistussopimus palvelusopimus yhdessä palvelutasosopimuksen (SLA) kanssa 13
SOPIMUSTEN LUOKITTELU Sopimusten oikeudellinen luokittelu. Pilvipalveluissa voidaan käyttää lukuisia eri sopimustyyppejä, sen takia niihin voidaan soveltaa useata eri pakottavaa lakia Vuokrasopimus soveltuu: ohjelmistojen online käyttö Saksan liittovaltion tuomioistuimessa käytetty nimitystä: application service providing (ASP) -> vuokrasopimus verkkosovellukset pilvipalveluna samaistettavissa ASP:iin laitteiston online-käyttö (esim. Palvelininstanssi) varastotilan online-käyttö (esim. tallennustilaa) 14
PALVELUSOPIMUS Palvelusopimus soveltuu, jos kyseessä : materiaalin arkistointipalvelu materiaalin varastointipalvelu sovelluksien hallintapalvelu tiedon varastointipalvelu tukipalvelu ylläpitopalvelut 15
SOPIMUKSET JATKOA Pohdittavaa useat pilvipalvelut tarjoavat matalan kynnyksen sisäänpääsyyn sekä helpottavat palvelun mitoittamismahdollisuuksia useimmat tarjolla olevat pilvipalvelusopimukset rajoittavat palveluntarjoajan vastuuta niin, ettei se ole missään suhteessa mahdolliseen riskiin pilvipalvelusopimukset vastaavat tyypillisesti ohjelmistolisenssejä, vaikka mahdolliset riskit ovatkin paljon suurempia 16
LOCK-IN? Vendor lock-in, toimittajariippuvuus myyjällä ei ole lakiin perustuvaa velvollisuutta tarjota tiedonsiirtopalvelua, jos halutaan vaikka siirtää palvelu -> Huomioitava sopimuksessa Yksipuoliset purkamismahdollisuudet pilvipalveluiden tarjoaja varaa usein yksipuolisen oikeuden palvelusopimuksen irtisanomiseen 17
SOPIMUKSIIN MUKAAN Sopimuksiin tulee sisällyttää tarkastus- / auditointioikeus* monet sopimukset säätävät tarkastuksesta, joka pitää sisällään fyysisen tarkastuksen miten säädöksiä sovelletaan kun pilvipalvelut maantieteellisesti hajautettuja? kirjanpitolaki ja aineiston säilyttäminen sovellettava laki ja toimivaltainen tuomioistuin mikäli oikeudenkäynti tapahtuu kotivaltion ulkopuolella voi oikeudenkäynti tulla kohtuuttoman kalliiksi huomioitava palveluntarjoajan mahdollinen konkurssi Pilvipalveluiden tarjoajien kanssa tulee sopimuksiin sisällyttää asioita, jotka eivät useinkaan sisälly standardisopimusehtoihin. Niin ikään on tärkeää motivoida sopimuskumppani täyttämään velvollisuutensa. *Tarkistetaan palvelun turvallisuus ja toiminta, usein ulkopuolinen puolueeton taho. 18
ASIAKAS VS TOIMITTAJA Toimittaja haluaa tarjota: yhtenäistetyt palvelut mahdollisimman pitkä sopimus dynaaminen nopea hinnantarkistus pakettiratkaisu ilman asiakaskohtaisia räätälöintejä ja SLA-tasoja Asiakas toivoo räätälöitävät, helposti muokattavat ratkaisut varmuus mutta joustavuus ja irtisanomismahdollisuus. Helppo palveluntarjoajan vaihto, jotta voidaan varmistaa hyvä palvelu. vakaa hinnoittelu, palvelutasosopimuksen (SLA) turvaama käyttö ja sovittu palvelutaso 19
HUOMIOI! Aallon sopimuksissa huomioitava tapauskohtaisesti roolit ja vastuut aina lakimieskonsultaatio selkeä palvelukuvaus (SLA) palvelutaso kirjallisesti ja tarkat sanktiot. rajapintojen määritelmät Materiaalin erottelu pilvessä muiden asiakkaiden materiaalista auditointi- ja tarkastusoikeus alueelliset rajoitukset vaatimusmäärittely, ydinkohdat esim. tiedon palauttaminen, omistajuus tietojen siirto/palautus vendor lock-in välttämiseksi neuvottele riittävä siirtymäaika sovellettavat lait ja lainkohdat hinnoittelu sopimustyyppi, varo takuuehtojen poikkeuksia, hinnan muutokset 20
SUMMA SUMMARUM MUISTA VIELÄ SLA ylläpitotaso auditointi, tarkistetaan palvelun turvallisuus ja toiminta. vastuu henkilötietojen käsittelystä on AINA rekisterinpitäjällä voidaanko soveltaa standardeja (turvallisuus-, laatu- tai teknisiä) kenellä pääsy/omistus -> huomioi myös alihankinta materiaalin maantieteellinen sijainti Force majeure määrittely palvelun lopetus- tai siirtomahdollisuus hinnantarkistus kesken sopimuskauden 21
PILVIPALVELUT Linkkejä Julkisuuslaki(JulkL, 621/1999) Henkilötietolaki (HetiL, 523/1999) Sähköisen viestinnän tietosuojalaki (SVTSL, 516/2004) Tekijänoikeuslaki (404/1961) (EY) No 593/2008 Sopimusvelvoitteisiin soveltuva asetus Henkilötietolain mukainen ilmoitusvelvollisuus EU:n päätös henkilötietojen siirto kolmansiin maihin, Asiaa tietosuojasta 1/2005 Luonnos valtion ICT-hankintojen tietoturvaohjeeksi U.S.-EU & U.S.-Swiss Safe Harbor Frameworks 22
PILVIPALVELUT Yhteystietoja IT-asiakkuuspäälliköt http://www.aalto.fi/fi/about/contact/services/#it Hankinta https://inside.aalto.fi/display/talouspalvelut/hankintojen+ohjeistus Tietoturva tietoturvapaallikko@aalto.fi IT https://servicedesk.aalto.fi Pilvipalveluiden Wiki-sivut 23
24 Kiitos!