Tietojärjestelmien hankinnat ja tietosuoja Erkko Korhonen, Managing Associate, asianajaja 17.6.2019
Agenda > Tietojärjestelmien hankinasta eristyistesti standardijärjestelmät ja pilvipalvelut > Hankinnan suunnittelusta tietosuojanäkökulmasta > Käsittelysopimus > Henkilötietojen siirroista EU:n ulkopuolelle ja mallisopimuslausekkeiden käyttö
Hankinnan suunnittelu > Mitä ollaan hankkimassa? Valmisohjelmisto + implementointi Valmisohjelmisto + räätälöinnit + implementointi Pilvipalvelu + implementointi Räätälöity järjestelmä Asiakkaalle kehitetty järjestelmä ( from the scratch ) -> Vaikuttaa siihen millaisia asiakaskohtaisia tietosuojavaatimuksia voi asettaa ja edellyttää.
Hankinnan suunnittelu tietosuoja näkökulmasta > Relevanttien henkilötietojen ja käsittelyroolien tunnistaminen Mitä henkilötietoja on tarkoitus käsitellä? Missä roolissa kukin taho käsittelyyn osallistuu (rekisterinpitäjä, käsittelijä)? Toimittaja ei aina ainoastaan käsittelijän roolissa -> ei syytä sitoa tarjouspyynnön vaatimuksia tähän olettamaan Voidaan edellyttää tarjoajaa kuvaamaan suorittamansa käsittely ja siihen liittyvät toimijat tarjouksessaan Erityissääntelyn huomioiminen (mm. onko kyse esim. potilastiedoista) Vaikuttaa muun muassa siihen, mitkä ovat riittävät tekniset ja organisatoriset tietoturvatoimenpiteet > Tarvittaessa markkinavuoropuhelua potentiaalisten toimittajien kanssa (ei hankinnan aikana) > Mahdollisuus esittää kysymyksiä tarjouspyyntöön liittyen
Pitkälle vakioituja palveluja > Pilvipalvelut perustuvat suuruuden ekonomiaan / skaalautuvuuteen > Sama palvelu/järjestelmä tarjotaan sadoille / tuhansille käyttäjille samanaikaisesti Usein yhdestä yhteisestä infrastruktuurista Jaetun organisaation toimesta Soveltaen yhteisiä (globaaleja) Prosesseja Toimitusmalleja Teknisiä ja organisatorisia suojatoimenpiteitä Vakioehdoin > Pilvipalvelut ovat palvelun hankintaa, ei hyödykkeen hankintaa > Vakioitu palvelu asettaa rajoituksia asiakaskohtaisille vaatimuksille ja ehdoille
Asiakkaan vaatimukset (1/2) > Mitä asiakas voi vaatia / tulee vaatia? > Läpinäkyvä tuotantoketju Missä tietojenkäsittely tapahtuu (EU/ETA-alueella, muualla?) Tieto alihankkijoista Tieto tuotantoresursseista > Varautuminen häiriöihin ja tietoturvariskeihin Rajoituksin > Palvelutasot > Auditointioikeus Rajoituksin
Asiakkaan vaatimukset (2/2) > Lakien ja määräysten noudattaminen Mahdollistavatko soveltuvat lait pilvipalvelun hankinnan? Sertifikaatteja / standardeja? > Hinnoittelumallit > Kontrolli dataan ja oikeus saada asiakkaan data palvelusta Milloin tahansa Ilman korvausta > Vastuunrajoitukset > Sovellettava laki ja riidanratkaisu
Yhteenveto > Varsinkin pilvipalveluiden hankinnassa hyväksyttävä vakiomuotoisuus Rajallinen mahdollisuus saada yksilöllisiä ehtoja > Onnistunut järjestelmähankinta edellyttää markkinoiden tuntemista Markkinakartoitus / -vuoropuhelu! > Varmista soveltuvatko markkinoilla olevat ratkaisut aiottuun käyttötarkoitukseen > Aseta vaatimuksia, mutta ymmärrä onko toimittajan mahdollista täyttää vaatimukset vakioidussa palvelussa
Käsittelysopimus > Tietosuoja-asetus edellyttää käsittelysopimuksen (Data processing agreement) laatimista käsittelijän ja rekisterinpitäjän välille. > Sopimuksessa vahvistettava Käsittelyn kohde ja kesto Käsittelyn luonne ja tarkoitus Henkilötietojen tyyppi ja rekisteröityjen ryhmät Rekisterinpitäjän velvollisuudet ja oikeudet > Sopimuksen oltava kirjallinen
Käsittelysopimuksen sisältövaatimukset (1/2) 1. Käsittely ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, Ml. myös koskien henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle; 2. Käsittelyyn osallistuvat henkilöt sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus; 3. Tietoturvatoimenpiteet; 4. Alikäsittelijöiden käyttöä koskevat ehdot; 5. Käsittelytoimen luonne huomioiden auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuudet koskien rekisteröidyn oikeuksien käyttämistä;
Käsittelysopimuksen sisältövaatimukset (2/2) 6. Käsittelijä auttaa rekisterinpitäjää varmistamaan, että tietoturvaa, DPIA:ta, tietoturvaloukkauksia koskevia velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot; 7. Rekisterinpitäjän valinnan mukaan käsittelijä poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot; 8. Käsittelijä saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten; ja 9. Käsittelijä sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.
Havaintoja tarjouspyynnöistä > Ehdottomana vaatimuksena ollut hankintayksikön oman käsittelysopimuksen käyttäminen tilanteessa, jossa kyse vakiomuotoisesta, useille asiakkaille tarjottavasta palvelusta Tällöin olisi suositeltavampaa, edellyttää tietosuoja-asetuksen mukaisen sopimuksen solmimista ja mahdollistaa tarjoaja toimittamaan oma käsittelysopimuspohjansa osana tarjousta > Käsittelysopimuksen edellyttäminen tarjoajan ja hankintayksikön välille vaikka tarjoaja itse ei osallistu lainkaan henkilötietojen käsittelyyn Tulisi tunnistaa käsittelyroolit ja mahdollistaa se, että DPA solmittaisiin suoraan hankintayksikön ja käsittelijän välille > Rajoitetaan käsittely EU:n alueelle tilanteessa, jossa sille ei ole tarvetta Sen sijaan tulisi mahdollistaa tietojen siirrot, kunhan siirrot toteutetaan tietosuoja-asetuksen mukaisesti ja siirrosta on huolehdittu
Kansainvälisiä siirtoja koskevat säännöt tietosuoja-asetuksessa > EU:n yleistä tietosuoja-asetusta (679/2016) sovelletaan Euroopan unionin (EU) lisäksi Euroopan talousalueella (ETA) ETA-alueella henkilötiedot liikkuvat vapaasti > Jos henkilötietoja siirretään ETA-alueen ulkopuolelle, tulee siirto toteuttaa tietosuoja-asetuksen edellytykset huomioiden > Tietosuoja-asetus tarjoaa erilaisia mekanismeja, joiden avulla tietojen siirto voidaan toteuttaa Esim. tietosuojan riittävyyttä koskevat päätökset, vakiosopimuslausekkeet, yritystä koskevat sitovat säännöt, käytännesäännöt, sertifiointimekanismit ja poikkeukset erityistilanteissa
Mitä siirto tarkoittaa? > Ei määritelty GDPR:ssä > Käytännössä pelkkä pääsy tietoihin ETA:n ulkopuolelta voidaan katsoa siirroksi > ICO: Transfer transit GDPR Art 46: Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country
Tietosuojan tason riittävyyttä koskevat päätökset > Komissio voi päättää, että EU:n ulkopuolinen maa tai kansainvälinen järjestö tarjoaa riittävän tietosuojan tason Jotta tietosuojan taso voidaan todeta riittäväksi, kolmannen maan tietosuojasääntöjen on oltava verrattavissa EU:n sääntöihin > Päätöksen myötä henkilötietoja voidaan siirtää kyseiseen maahan tai järjestölle ilman erityistä lupaa > Päätös tarkastetaan vähintään joka neljäs vuosi, jolloin päätöstä voidaan tarvittaessa muuttaa tai se voidaan kumota
Komission päätöksellä riittävän tietosuojan tason tarjoavat: 1 Sveitsi 2 Andorra 3 Färsaaret 4 Guernsey 5 Jersey 6 Mansaari 7 Uusi-Seelanti 8 Uruguay 9 Argentiina 10 Kanada (kaupalliset organisaatiot) 11 Israel 12 Yhdysvallat (Privacy Shield järjestelyn puitteissa) 13 Japani Etelä-Korean tietosuojan tasosta keskustellaan.
Käytännesäännöt ja sertifiointimekanismi > Rekisterinpitäjä tai henkilötietojen käsittelijä voi osoittaa, että se käyttää asianmukaisia suojatoimia suojatakseen siirrettyjä henkilötietoja sitoutumalla käytännesääntöihin tai sertifiointimekanismin avulla Käytännesääntöjä voivat laatia yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä Sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä voidaan ottaa käyttöön erityisesti unionin tasolla > Toimivaltainen valvontaviranomainen hyväksyy käytännesäännöt ja myöntää sertifioinnit. Myös erityiset sertifiointielimet voivat myöntää sertifiointeja > Vielä yksikään viranomainen ei ole hyväksynyt käytännesääntöjä tai sertifiointimekanismeja
Yritystä koskevat sitovat säännöt > Yritystä koskevia sitovia sääntöjä (binding corporate rules) voidaan käyttää siirtoperusteena silloin, kun monikansallinen konserni tai yritysryhmä, joka harjoittaa yhteistä taloudellista toimintaa, siirtää tietoja sisäisesti konsernin sisällä ETA-alueen ulkopuolelle Toimivaltainen valvontaviranomainen vahvistaa säännöt Säännöt ovat oikeudellisesti sitovat > Säännöillä varmistetaan mm. tietosuojaperiaatteiden noudattaminen; asianmukainen tietosuojakoulutus henkilöstölle; valitusmenettelyt; ja mekanismit, joiden avulla sääntöjen noudattaminen varmistetaan. > Hyväksytetty yhteensä 125-130 konsernissa
Vakiolausekkeet sopimuksissa > Komissio voi vahvistaa tietosuojaa koskevat vakiolausekkeet, joiden käyttäminen sopimusjärjestelyssä tarjoaa asianmukaisen henkilötietojen suojan silloin, kun henkilötietoja siirretään EU- tai ETA-alueen ulkopuolelle > Myös tietosuojaviranomainen voi vahvistaa riittävän suojan tarjoavat vakiolausekkeet, jotka komissio hyväksyy > Tähän mennessä mallisopimuslausekkeita on kolmet: Kahdet näistä soveltuvat tietojen siirroissa rekisterinpitäjältä rekisterinpitäjälle (ns. Controller-to-Controller ) Yhdet soveltuvat tietojen siirroissa rekisterinpitäjältä henkilötietojen käsittelijälle (ns. Controller-to-Processor )
Vakiolausekkeet käytännössä: Käsitteet > Tietojen viejä (engl. data exporter) tarkoittaa rekisterinpitäjää, joka siirtää henkilötietoja > Tietojen tuoja (engl. data importer) tarkoittaa kolmanteen maahan (EU/ETA-alueen ulkopuolelle) sijoittunutta henkilötietojen käsittelijää tai rekisterinpitäjää, joka vastaanottaa henkilötietoja tietojen viejältä käsitelläkseen niitä
Vakiolausekkeet käytännössä > Voidaanko vakiolausekkeita käyttää kahden ETA-alueella toimivan tahon välillä? > Ei. ETA-alueella toimiva käsittelijä ei voi toimia tietojen tuojana komission päätöksen tarkoittamalla tavalla, koska päätös edellyttää että tietojen tuoja on sijoittunut ETA-alueen ulkopuolelle.
Vakiolausekkeet käytännössä > Voidaanko vakiolausekkeita käyttää silloin, kun henkilötietoja siirretään ETA-alueella toimivalta henkilötietojen käsittelijältä ETAalueen ulkopuolella toimivalle alikäsittelijälle? > Ei. ETA-alueella toimiva henkilötietojen käsittelijä ei voi toimia komission päätöksen tarkoittamana tietojen viejänä, koska tietojen viejän tulee olla rekisterinpitäjä.
Vakiolausekkeet käytännössä > Kuinka henkilötietojen siirto ETA-alueella toimivalta henkilötietojen käsittelijältä ETA-alueen ulkopuolella toimivalle alikäsittelijälle tulisi toteuttaa? > Vakiolausekkeita ei voida soveltaa tilanteessa, jossa ETA-alueelle sijoittunut henkilötietojen käsittelijä käsittelee henkilötietoja ETA-alueella toimivan rekisterinpitäjän puolesta ja siirtää käsittelyn kolmannessa maassa toimivalle alikäsittelijälle.
Vakiolausekkeet käytännössä > Vaihtoehto 1: Suora sopimus ETA-alueella toimivan rekisterinpitäjän ja ETA-alueen ulkopuolella toimivan alikäsittelijän välillä
Vakiolausekkeet käytännössä > Vaihtoehto 2: Valtuutus ETA-alueella toimivalta rekisterinpitäjältä ETA-alueen ulkopuolella toimivalle henkilötietojen käsittelijälle
Vakiolausekkeet käytännössä > Vaihtoehto 3: Valtuutus ETA-alueen ulkopuolella sijaitsevalta alikäsittelijältä ETA-alueella sijaitsevalle henkilötietojen käsittelijälle
Erityistilanne Rekisterinpitäjä ei EU:n alueella > Soveltuvatko siirtorajoitukset tilanteessa, jossa rekisterinpitäjä ei ole EU:ssa, mutta käyttää EU:ssa olevaa käsittelijää, joka puolestaan käyttää EU:n ulkopuolista alikäisttelijää? > Voi soveltua ainakin jos rekisterinpitäjä GDPR:n piirissä.
Erityistilanteita koskevat poikkeukset > Jos tietosuojan riittävyydestä ei ole tehty komission päätöstä, eikä asianmukaisia suojatoimia ole myöskään toteutettu, voi siirto perustua useisiin erityistapauksia koskeviin poikkeuksiin > Siirtoperusteita erityistilanteissa ovat esimerkiksi: Rekisteröidyn nimenomainen suostumus, hänen saatuaan kaikki tarvittavat tiedot siirtämiseen liittyvistä riskeistä Rekisteröidyn ja rekisterinpitäjän välinen sopimus, jonka täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi siirtäminen on tarpeen Rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välinen sopimus, joka on rekisteröidyn edun mukainen ja jonka tekemiseksi tai täytäntöön panemiseksi siirtäminen on tarpeen Oikeusvaateen laatiminen, esittäminen tai puolustaminen, jonka vuoksi siirtäminen on tarpeen
Mikä organisaatiossanne on tavanomaisin siirtoperuste? a) Vakiosopimuslausekkeet b) Rekisteröidyn suostumus c) Jokin muu d) Tietojamme ei käsitellä EU:n/ETA:n ulkopuolella e) En tiedä
Ota yhteyttä Managing Associate Tel: +358 40 483 5763 erkko.korhonen@hannessnellman.com
Helsinki Hannes Snellman Attorneys Ltd Eteläesplanadi 20 P.O. Box 333 00130 00131 Helsinki, Finland Tel: +358 9 228 841 Fax: +358 9 177 393 riikka.rannikko@hannessnellman.com Stockholm Hannes Snellman Attorneys Ltd Kungsträdgårdsgatan 20 P.O. Box 7801 111 47 103 96 Stockholm, Sweden Tel: +46 760 000 000 Fax: +46 8 679 85 11 paula.rottorp@hannessnellman.com www.hannessnellman.com