Tietosuoja ja pilvipalvelut henkilötietolain näkökulmasta



Samankaltaiset tiedostot
Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Henkilötietolain (523/1999) 10 :n mukainen REKISTERISELOSTE

Henkilötietolain (523/1999) 10 :n mukainen REKISTERISELOSTE

ASIAA TIETOSUOJASTA 1/ HENKILÖTIETOJEN SIIRTO ULKOMAILLE HENKILÖTIETOLAIN MUKAAN

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

HENKILÖTIETOJEN SIIRTO ULKOMAILLE HENKILÖTIETOLAIN MUKAAN

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Biopankkien toimintojen yhdistäminen. Lakiperusta

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

TUTKIMUSLUPAHAKEMUS/PÄÄTÖS

Hakemus tietojen luovuttamisesta Salon Jätehuolto Oy:lle jätehuoltolautakunnan ylläpitämästä jäterekisteristä. Jätehuoltolautakunta

Tietosuojalainsäädäntö uudistuu. Tietosuoja-asetus. Ylitarkastaja Anna Hänninen. VAHTIn kuntien tietoturvajaoston alueseminaarikiertue

Politiikka: Tietosuoja Sivu 1/5

Rekisteri- ja tietosuojaseloste

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Tutkittavan informointi ja suostumus

Valokuva ja yksityisyyden suoja henkilötietolain kannalta

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Tampereen Aikidoseura Nozomi ry

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Henkilötietojesi käsittelyn tarkoituksena on:

HE 137/2000 vp. Hallituksen esitys Eduskunnalle laiksi henkilötietolain muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Pilvipalvelut ja henkilötiedot

Helsingin kaupunki Pöytäkirja 14/ (5) Kaupunginhallitus Kj/

Helsingin kaupunki Pöytäkirja 15/ (5) Kaupunginhallitus Kj/

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Kameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä.

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Nimi Tampereen kaupunki, kiinteistötoimi. Aila Taura p Marjut Malo-Siltanen p ja Jaana Rimpi-Muhonen p.

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24

Siikalatvan kunnan koulutuslautakunta/ Aleksanterin koulu. Yhteystiedot (osoite, puhelin)

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

TIETOSUOJASELOSTEET. Lieksan Kehitys Oy LieKe

Henkilötietolain (523/1999) 36 :ään perustuva biopankin ilmoitusvelvollisuus

TUOTTEISTAMINEN JA TEKIJÄN OIKEUDET HANKETYÖSSÄ

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Tietosuoja Copyright (c) 2005 ACE LAW Offices


Tiedon elinkaaren hallinta Henkilötietojen suoja

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Ulkoistaminen ja henkilötiedot

Henkilötietolain (521/1999) 10 ja 24 :ssä säädetyistä tiedoista koostuva tietosuojaseloste. Tietosuojaseloste on laadittu

alueen turvallisuuden lisääminen; sekä

Tietosuojaseloste Henkilötietolain 10 ja 24, majoitus- ja ravitsemustoiminnasta annetun lain 7

Sivu x/x Laatimispvm: Päivitetty/tarkastettu:

10 Yksityiselämän suoja

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

Mitä rekisteriviranomaisen pitää ottaa huomioon henkilötietoja luovuttaessaan?

REKISTERISELOSTE Henkilötietolaki (523/99) 10

REKISTERISELOSTE Henkilötietolaki (523/99) 10

SOS-LAPSIKYLÄN YRITYS- JA YHTEISTYÖKUMPPANIREKISTERIN TIETOSUOJASELOSTE

THL ja rekisteritutkimusten luvat

Haminan tietosuojapolitiikka

Henkilörekisteriseloste/tietosuojaseloste Henkilötietolaki (523/1999) 10 ja 24 Laatimispvm: , päivitetty

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

OPPILASREKISTERISELOSTE

Salon kaupunki / /2018

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Henkilötietojesi käsittelyn tarkoituksena on:

OUKA/10235/ /2017

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Henkilötietosuoja ja tiekunta. Nina Raitanen 2018

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Tietosuojaseloste. Trimedia Oy

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

OUKA/10235/ / Henkilörekisterin nimi Arava- ja korkotukilainoitettujen vuokra-asuntojen asukasvalinnan ja valvonnan rekisteri

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

2 Tahtoo henkilötietojen käsittelijänä

ASIAKAS- JA MARKKINOINTIREKISTERIN TIETOSUOJASELOSTE

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24 ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste.

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

Sisällönhallinta, esteettämyys, henkilötiedot,

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

YLEISTÄ TÄSTÄ DOKUMENTISTA

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

1. Terveydenhuollon toimintayksikkö. HammasOskari Oy, Liesikuja 4A, Rekisteriasioista vastaava yhteyshenkilö

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:N TIETOSUOJA-ASETUKSET WALMU

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Transkriptio:

Muistio Ida Staffans 4.7.2013 Tietosuoja ja pilvipalvelut henkilötietolain näkökulmasta Pilvipalvelun määritelmä Muistiossa tarkastetaan pilvipalveluita ja viranomaisten pilvipalveluiden käyttöä henkilötietolain näkökulmasta. Muistiossa ei käsitellä muiden tietojen kuin henkilötietojen luovuttamista pilvipalveluun. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Esimerkiksi henkilön nimi, ikä, sukupuoli, ammatti ja kuva ovat henkilötietoja. Henkilötietojen käsittely tarkoittaa henkilötietojen keräämistä, tallettamista, järjestämistä, käyttämistä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä. Henkilörekisteriä voidaan lyhyesti luonnehtia listaukseksi, joka sisältää kahta tai useampaa henkilöä koskevia henkilötietoja. Henkilötietolaissa esitetyn määritelmän mukaan henkilörekisteri on käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuva henkilötietoja sisältävä tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta (ns. looginen henkilörekisteri). Pilvipalvelu on palvelu, jossa tarjotaan paikasta riippumattomia tietoverkon yli käytettäviä ITpalveluita. Kyseisiä palveluita käytetään, kun kyse on pilvipalvelusta, riippumatta päätelaitteesta. Pilvipalveluita on kolmenlaisia a. SaaS (Software as a Service) - Sopimuksen kohteena valmisohjelmisto. b. PaaS (Platsform as a Service) - Sopimuksen kohteena toimittajan palvelimilla toimiva käyttöjärjestelmä. c. IaaS (Infrastructure as a Service) - Sopimuksen kohteena toimittajan tarjoamaa palvelintilaa, laskentatehoa, muistikapasiteettia ja tietoverkkoyhteyttä. Esimerkkejä kansainvälisistä pilvipalvelusta ovat Google+ (Gmail), Google AppEngine (Google Apps for Education), Google Maps, Google Latitude, Google Translate, Amazon Web Services (Elastic Computer Cloud, Elastic Block Store, Simple Storage Service), Microsoft Azure (AppFabric, Hotmail, Messenger, Live Mail), Savvis, Terremark, NetSuite. Kotimaisia pilvipalveluita tarjoavat mm. Nebula, Datacenter, Tieto, UpCloud. Myös Opetushallitus on vuonna 2013 kertonut valmistelevansa pilvipalvelua Suomen kouluille. Lainsäädännön reunaehdot Henkilötietolakia sovelletaan aina henkilötietojen automaattiseen käsittelyyn. Kun viranomainen siirtää henkilötietoja pilvipalveluun, vastuu käsittelyn lainmukaisuudesta henkilötietolain näkökulmasta säilyy viranomaisella. Kun pilvipalveluun siirretään useita henkilötietoja, pilvipalvelun käyttäjä on kyseisen henkilörekisterin rekisterinpitäjä ja hän käsittelee pilvipalveluun siirrettyjä tietoja kun hän näitä muokkaa, tallettaa, siirtää tai muutoin käsittelee. Pilvipalvelun käyttäjä on siten myös tietojen siirron jälkeen vastuussa rekisterinpitäjänä ja henkilötietojen käsittelijänä käsittelyn ja rekisterin lainmukaisuudesta. www.kunnat.net www.kommunerna.net Suomen Kuntaliitto Toinen linja 14,00530 Helsinki PL 200, 00101 Helsinki Puh. 09 7711,faksi 09 771 2291 etunimi.sukunimi@kuntaliitto.fi I Finlands Kommunförbund Andra linjen 14,00530 Helsingfors PB 200, 00101 Helsingfors Tfn 09 7711, fax 09 771 2291 fornamn.efternamn@kommunforbundet.fi

2 Kotimainen pilvipalvelu Pilvipalvelun tarjoaja ei lähtökohtaisesti käsittele henkilötietoja. Jos pilvipalvelun tarjoaja tallettaa tietoja ainoastaan väliaikaisesti, eikä käsittele tietoja muulla tavalla, pilvipalvelun tarjoaja ei ole henkilötietojen käsittelijä. Jos henkilötietoja tallennetaan pysyvästi pilvipalveluun, tai jos pilvipalvelusopimukseen kuuluu muuta tietojen prosessointi, myös pilvipalvelun tarjoa on kyseisten henkilötietojen käsittelijä. Pilvipalvelun tarjoaja ei kuitenkaan ole rekisterinpitäjä edes tässä tapauksessa, vaan rekisterinpitäjän vastuut säilyvät palvelun käyttäjällä. Kaikessa henkilötietojen käsittelyssä, myös luovutuksessa pilvipalveluun ja käsittelyssä pilvipalvelussa, rekisterinpitäjä on sidottu henkilötietolain henkilötietojen käsittelyn yleisiin edellytyksiin: huolellisuusvelvoitteeseen, suunnitteluvelvoitteeseen, vaatimukseen käyttötarkoitussidonnaisuudesta, tarpeellisuusvaatimukseen sekä rekisteriselosteen laatimisja saatavillapitovelvoitteeseen. Lisäksi henkilötietolain 32.1 :n mukaan rekisterinpitäjän on toteuttava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin. Nämä tekniset vaatimukset on otettava huomioon pilvipalvelun käyttöä suunnitellessa ja sopimuksessa pilvipalvelun käytöstä. Myös arkistolainsäädäntö ja kirjanpidolliset näkökulmat asettavat vaatimuksia rekisterinpitäjälle pilvipalvelun käyttäjänä. Rekisteripitäjän velvollisuuksiin kuuluu lisäksi huolehtia henkilötietojen turvallisesta hävittämisestä palvelusopimuksen umpeuduttua. Hankintanäkökulmasta pilvipalveluiden hankinnassa on lähtökohtaisesti kyse käyttöoikeuden hankkimisesta tietoverkon yli käytettävään ohjelmaan tai käyttöjärjestelmään. Tällainen hankinta täyttää tavarahankinnan kriteerit eikä ole palveluhankinta hankintalain tarkoittamalla tavalla. Toisaalta, jos hankintaan sisältyy merkittävässä määrin tuki- ja ylläpitotehtäviä tai muita tähän verrattavissa olevia tukitoimintoja ja nämä ovat kustannuksiltaan suuremmat kuin ohjelmiston käyttömaksut, kyse on todennäköisesti palveluhankinnasta. (MAO 351/11, 29.7.2011.) Kotimainen pilvipalvelu tarkoittaa, että palvelin sijaitsee Suomessa ja että tiedot pysyvät fyysisesti Suomessa. Viranomaisen on henkilötietojen siirrossa kotimaiseen pilvipalveluun rekisterinpitäjänä huolehdittava tavanomaisista henkilötietojen käsittelyyn liittyvistä velvollisuuksistaan. Käsittely on suunniteltava ja rekisteriselosteeseen on otettava maininta tietojen siirrosta pilvipalveluun sekä pilvipalvelun tarjoajasta. Turhia tai ylimääräisiä tietoja ei saa siirtää tai muulla tavalla käsitellä. Viranomainen on myös tarkistettava, että itse sopimus pilvipalvelun tarjoajan kanssa on lainmukainen henkilötietolain näkökulmasta: Henkilötietoja ei saa turhaan kerätä tai käsitellä ja käsittely on sidottu ennalta rekisteriselosteessa määrättyyn tarkoitukseen. Henkilötietolain käyttösidonnaisuusvaatimus tarkoittaa myös, että palvelusopimukseen rekisterinpitäjän ja pilvipalvelun tarjoajan välillä ei voida ottaa ehtoja, joiden mukaan palvelun tarjoaja saisi käyttää tallennettuja tietoja omia tarkoituksia varten (markkinointi, profilointi jne). Lisäksi viranomaisen on huolehdittava luovutuksen tietosuojasta ja lainmukaisuudesta tietoja siirrettäessä pilvipalveluun. Julkisuuslain 16 :n mukaan viranomainen ei saa luovuttaa rekisteritietoja ilman, että luovutuksensaajalla on oikeus käsitellä vastaavanlaisia tietoja. Tämä estää rekisteritietojen luovuttamisen avoimeen verkkoon tai sen kautta. Viranomainen ei siten voi käyttää pilvipalveluita, jotka edellyttävät luovuttamista verkon kautta ilman varmennusta tai jotka tallentavat tietoa avoimeen verkkoon. Kansainvälinen pilvipalvelu Henkilötietolain 5 luku sisältää säännöksiä henkilötietojen siirrosta kansainvälisesti, joita sovelletaan kun henkilötietoja siirretään EU:n ja ETA:n alueen ulkopuolelle. Henkilötietojen siirtoihin EU:n ja ETA:n sisällä sovelletaan henkilötietodirektiivin sääntöjä ja EU:n vapaan liikkuvuuden periaatetta, ja henkilötietoja saa siten siirtää EU:n ja ETA:n sisällä samoilla ehdoilla kuin kansallisesti.

3 EU- tai ETA-alueen palvelun käyttö Jos rekisterinpitäjä luovuttaa tietoja pilvipalveluun, jonka palvelin sijaitsee EU:n tai ETA:n sisällä ja josta tietoja ei siirretä tämän alueen ulkopuolelle, rekisterinpitäjä on vastuussa tavanomaisista henkilötietojen käsittelyyn liittyvistä velvollisuuksista henkilötietolain mukaan. Rekisterinpitäjän tulisi tässä tilanteessa varmistaa, että tietoja ei pilvipalvelun tarjoajan toimesta käytetä muihin tarkoituksiin kuin rekisteriselosteesta ilmeneviin tarkoituksiin, ja että tietoja ei esimerkiksi vakiosopimuksen nojalla luovuteta EU:n tai ETA-alueen ulkopuolelle. Viranomainen ei tässäkään tapauksessa voi käyttää palveluita, jotka joko tallettavat tai siirtävät tietoja avoimen verkon avulla. (Yleisistä edellytyksistä, ks. yllä Kotimainen pilvipalvelu ) Muun muassa Ruotsin ja Tanskan tietosuojaviranomaiset ovat ottaneet kielteiset kannat viranomaisen mahdollisuuksiin käyttää EU:n tai ETA-alueella toimivan pilvipalvelun tarjoajan palveluita vakiosopimusten ehdoilla. Vakiosopimuksia käyttäen rekisterinpitäjä ei voi varmuudella tietää miten tietoja luovutetaan palvelimesta toiseen ja tällöin syntyy riski, että tietoja luovutetaan lainvastaisesti EU:n tai ETA-alueen ulkopuolelle. Tanskan tietosuojaviranomainen vs. Google Apps for Education (2011) Ruotsin tietosuojaviranomainen vs. Google Apps (2011) Pilvipalvelu EU- ja ETA- alueen ulkopuolella Yhdysvaltojen poikkeus Henkilötietolain 5. luvun erityissäännöksiä sovelletaan kun henkilötietoja siirretään suoraan pilvipalveluun EU:n ja ETA-alueen ulkopuolella tai jos henkilötietoja siirretään kotimaiseen tai EU:n / ETA-alueella olevaan pilvipalveluun, josta tietojen edelleenluovutus tämän alueen ulkopuolelle on mahdollista. Henkilötietolain 22 :n mukaan henkilötietoja voidaan siirtää EU:n ja ETA-alueen ulkopuolelle ainoastaan, jos kyseissä maassa taataan riittävä tietosuojan taso. Tietosuojan tason riittävyyden arviointi on erityiskysymys, jossa lain mukaan tulee huomioida tietojen luonne, suunnitellun käsittelyn tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt sekä käytännesäännöt ja noudatettavat turvatoimet. Tietosuojan tason riittävyyden asianomaisessa kolmannessa maassa arvioi kussakin tapauksessa rekisterinpitäjä ja tietosuojavaltuutettu. Rekisteripitäjälle on asetettu velvollisuus ilmoittaa tietosuojavaltuutetulle henkilötietojen siirrosta EU:n ja ETA -alueen ulkopuolelle. Poikkeuksesta rekisterinpitäjän arviointi- ja ilmoitusvelvollisuuteen säädetään henkilötietolain 22 a :ssä, jonka mukaan henkilötietoja voidaan siirtää EU:n ja ETA:n ulkopuolelle jos komissio on erillispäätöksellä todennut, että kyseisessä maassa taataan tietosuojan riittävä taso. Komission päätöksiin perustuvista henkilötietojen siirroista ei ole velvollisuutta ilmoittaa tietosuojavaltuutetulle. Vaikka henkilötietojen siirto pilvipalveluun tapahtuisi komission päätöksen perustella ilman erillistä ilmoitusvelvollisuutta, siirron edellytyksenä on kuitenkin, että henkilötietolain yleisiä säännöksiä henkilötietojen käsittelystä noudatetaan. Tietosuojalautakunta voi henkilötietolain 44 :n nojalla kieltää henkilötietojen siirron ellei siirrettävien henkilötietojen käsittelyssä ole noudatettu kansallisia säännöksiä. Rekisterinpitäjän on mm. varmistettava, että tietoja ei pilvipalvelun tarjoajan toimesta käytetä muihin tarkoituksiin kuin rekisteriselosteesta ilmeneviin tarkoituksiin. (Yleisistä edellytyksistä, ks. yllä Kotimainen pilvipalvelu ) Komissio voi myös tehdä ns. kolmannen maan tietosuojan tasosta negatiivisen päätöksen. Henkilötietolain 22 a :n 2 momentin mukaan henkilötietoja ei voida siirtää EU:n jäsenvaltioiden alueen tai ETA:n ulkopuolelle siltä osin kuin komissio on jäsenvaltion tekemän ilmoituksen johdosta henkilötietodirektiivin mukaisesti todennut, että kyseisessä maassa ei taata tietosuojan riittävää tasoa. Linkki ajantasaiseen luetteloon komission päätöksistä maista, joissa taataan riittävä tietosuojataso Yhdysvaltoja ei ole otettu kokonaisuudessaan komission listaan hyväksytyistä maista. Sen sijaan komissio on todennut, että ne yhdysvaltalaiset organisaatiot ja yhtiöt, jotka sitoutuvat

4 erikseen noudattamaan ns. Safe Harbor -järjestelmän periaatteita, ovat turvallisia tietosuojan näkökulmasta. Siirto yhdysvaltalaiseen pilvipalveluun taikka pilvipalveluun, josta tietoja voidaan luovuttaa eteenpäin Yhdysvaltoihin, on siten mahdollista ainoastaan jos pilvipalvelun tarjoaja tai vastaanottava yritys on sitoutunut Safe Harbor -järjestelmän periaatteisiin. Yhdysvaltojen kauppaministeriö ylläpitää yleisesti saatavilla olevaa luetteloa organisaatioista, jotka ilmoittavat noudattavansa Safe harbor -periaatteita Jos luovutus tapahtuu komission hyväksymään Safe Harbor -yritykseen, rekisterinpitäjä ei tarvitse erikseen ilmoittaa tietojen luovutuksesta tai siirrosta tietosuojavaltuutetulle. Rekisterinpitäjä ei kuitenkaan ole vapautettu henkilötietolain yleisistä henkilötietojen käsittelyyn liittyvistä velvoitteista. (Yleisistä edellytyksistä, ks. yllä Kotimainen pilvipalvelu ) EU:n tai ETA:n ulkopuolella sijaitsevan pilvipalvelun käytettäessä on kiinnitettävä erityistä huomiota palvelun sopimusehtoihin. Pilvipalveluiden tarjoajien vakiosopimuksia käyttäen rekisterinpitäjä ei useimmiten voi varmuudella tietää miten tietoja luovutetaan palvelimesta toiseen ja tällöin syntyy riski, että tietoja luovutetaan lainvastaisesti turvallisen tietosuojatason alueen ulkopuolelle. (ks. yllä: Tanskan tietosuojaviranomainen vs. Google Apps for Education (2011) ja Ruotsin tietosuojaviranomainen vs. Google Apps (2011)) Siirto riittävän tietosuojan ulkopuolelle Tietoja voidaan henkilötietolain 23 :n nojalla siirtää sellaiseen kolmanteen maahan, jonka tietosuojan taso ei komission päätöksen nojalla ole katsottu olevan riittävä jos 1. rekisteröity on antanut yksiselitteisen suostumuksensa siirtoon; 2. siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; (ks. Tietosuojavaltuutetun kannanotto 1.10.2001: monikansallisen yhtiön työntekijöiden tietoja voitiin siirtää yhtiön intranetiin) 3. siirto on tarpeen rekisterinpitäjän ja sivullisen välisen rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi; (esim. tietojen siirto tehtäessä sopimusta ulkomailla työskentelevän työntekijän vakuutuksista tai terveyspalveluista) 4. siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi; 5. siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; 6. siirto tehdään rekisteristä, josta yleinen tai erityisin perustein tapahtuva tiedonsaanti on nimenomaisesti säädetty; (esim. kiinteistörekisteri tai kaupparekisteri) 7. rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta, eikä komissio ole henkilötietodirektiivin 3 artiklan ja 26 artiklan 3 kohdan mukaisesti todennut takeita riittämättömiksi; (ks. alla) 8. siirto tapahtuu henkilötietodirektiivin 26 artiklan 4 kohdassa tarkoitettuja komission hyväksymiä mallisopimuslausekkeita käyttäen (ks. mallisopimuslausekkeet) Sopimus riittävän turvan varmistamiseksi Henkilötietolain 23 :n 1 mom. 7 kohdan mukaan sopimusta voidaan käyttää tietojen siirrossa riittävän turvan varmistamiseksi, kun rekisterinpitäjä siirtää tietoja EU:n tai ETA:n ulkopuolelle sellaiseen kolmanteen maahan, jossa yleinen suoja on riittämätön. Vastaavasti, sopimusta tulisi käyttää jos rekisterinpitäjä siirtää tietoja sellaiseen pilvipalveluun, josta edelleenluovutus riittävän tietosuojatason maiden ulkopuolelle on mahdollista. Henkilötietolain mukaan rekisterinpitäjän on tässä tapauksessa sopimuslausekkein tai muulla tavoin annettava riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta. Sopimuksessa on otettava huomioon juuri kyseessä oleva tietosiirto ja siihen vaikuttavat tietosuojaan liittyvät seikat. Sopimukseen on otettava riittävän yksityiskohtaisia määräyksiä tietosuojasta. Sopimusta laadittaessa voidaan käyttää Henkilötietodirektiivin tietosuojatyöryhmän listaukset tietosuojan sisällön keskeisistä periaatteista sekä menettelyä ja täytäntöönpanoa koskevista edellytyksistä.

5 Lähteet Tietosuojavaltuutetun ohje: Henkilötietojen siirto ulkomaille henkilötietolain mukaan, Asiaa tietosuojasta 1/2005 (15.1.2005) Petteri Heino: Pilvipalvelut (Talentum 2010) Janne Jääskeläinen: Verkkopalvelun ostajan opas (Talentum 2010) W.Kuan Hon, Christopher Millard, Ian Walden: Who is responsible for personal data in cloud computing? - The cloud of unknowing, Part 2 (Internatl Data Privacy Law No 1 vol 2) Tomi Voutilainen, Denis Galkin: Tietosuoja Hankintasopimuksissa julkisessa hallinnossa (Defensor Legis 3/2013)

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute