MyFondia VirtuaaliLakimies
7. helmikuuta, 2011

Käsitelläänkö yrityksessäsi henkilötietoja laittomasti?

Nykyinen henkilötietodirektiivi on tullut elinkaarensa päähän. Yli 15 vuotta sitten annettu säädöspaketti ei matkan varrella siihen tehdyistä muutoksista huolimatta kykene enää vastaamaan tarpeeksi hyvin niihin ilmiöihin ja ongelmiin, joita henkilötietojen käsittelyyn tänä päivänä liittyy.

Valtaosa uudistustarpeista johtuu siitä, että yritysten liiketoiminta samoin kuin yksityisten henkilöiden vapaa-ajallaan käyttämät palvelut ovat pitkälti siirtyneet verkkoon. Kansallisten lakien on hitaasti muuttuvina instrumentteina ollut vaikea pysyä mukana tässä kehityksessä. Nykyisen direktiivin myötä kansallisia lakeja ei myöskään EU:n sisällä ole saatu tarpeeksi yhdenmukaisiksi, joten ajatus henkilötietojen sisämarkkinoista ei ole tosiasiassa täysin toteutunut.

Henkilötiedot liikkuvat liukkaasti

Tietosuoja-asiat ovat myös yhä useammin tapetilla, sillä henkilötietoja on nykyisin melkein kaikkialla. Jokainen voi tätä ajatusta vasten itse miettiä, kuinka moneen eri verkkopalveluun keskimääräinen netin käyttäjä on nykyisin rekisteröitynyt. Henkilötietojen, kuten vaikkapa työntekijän palkkatietojen ja puhelinnumeron, liikuttaminen maasta ja maanosasta toiseen on samoin arkipäivää.

Kun yritys hankkii esimerkiksi HR-ohjelman käyttöönsä verkon yli selaimen avulla käytettävänä pilvipalveluna, on tilaajan kantavana ajatuksena usein se, ettei tietojen tarkalla tallennuspaikalla ole oikeastaan merkitystä. Pääasiahan on että tietoihin pääsee käsiksi silloin kun niitä tarvitaan ja että tietoturva on kunnossa?

Vastaus ei kuitenkaan ole näin yksinkertainen. Yksi yleinen hiuksia harmaannuttava ongelma muodostuu eurooppalaisesta näkökulmasta silloin, kun tietoja halutaan siirtää Euroopan talousalueen ulkopuolelle. Edellä mainitun HR-ohjelman osalta kyse on tietojen siirrosta ETA-alueen rajojen yli esimerkiksi silloin, kun palveluntarjoajan palvelimet sijaitsevat Kaliforniassa tai palvelun ylläpito vaikkapa Intiassa.

EU:sta henkilötietoja voidaan nimittäin siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan riittävä tietosuojan taso. Vastuu tietosuojasäännösten noudattamisesta on rekisterinpitäjällä, joka määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. HR-ohjelman hankkimisessa vastuu tietosuojapuolesta on siis palvelun tilaajalla.

Missä palvelimenne sijaitsevat?

Jo pitkän taipaleen kulkeneen vuoden 1995 henkilötietodirektiivin uudistaminen on parhaillaan käynnissä. Vaikka rajojen yli tapahtuvaan tietojen siirtoon liittyvät ongelmat tulevat varmasti jossain määrin säilymään myös tulevan henkilötietodirektiivin antamisen jälkeen, on tilanne vaatimusten noudattamatta jättämisestä langetettavien sanktioiden osalta toinen. Komissio on nimittäin tuoreessa tietosuojastrategiassaan nostanut esille tarpeen tehokkaammasta seuraamusjärjestelmästä sekä kanneoikeuden ulottamisesta tietosuojaviranomaisiin.

Konkreettiset ehdotukset nähdään näillä näkymin vuoden 2011 aikana ja prosessin etenemistä voi seurata komission sivuilla . Uudistuksia odotellessa on kuitenkin jokaisella työpaikalla hyvä uhrata muutama hetki pohtimalla, onko kotikentällä tietosuoja-asiat huomioitu riittävissä määrin. Liikkeelle pääsee jo sillä, että varmistaa palveluntarjoajiensa palvelimien sijainnin. Mikäli palvelimet sijaitsevat Euroopan talousalueen eli EU:n, Islannin, Norjan ja Liechtensteinin ulkopuolella, on yleisimmin käytettyjä vaihtoehtoja karkeasti yksinkertaistettuna kolme.

Siirto voi olla ensinnäkin hyväksyttävä, mikäli komissio on arvioinut että kohdemaassa taataan riittävä tietosuojan taso tai, mikäli kohdeyritys sijaitsee Yhdysvalloissa, se on kyseessä olevien tietotyyppien osalta mukana Safe Harbor –järjestelyssä . Mikäli tietosuojan taso ei muuten ole riittävä, voi riittävät takeet tietosuojan tasosta kolmantena vaihtoehtona antaa käyttämällä komission hyväksymiä mallisopimuslausekkeita. Tarkempaa tietoa käytettävissä olevista vaihtoehdoista sekä muuta tietosuojaan liittyvää ohjeistusta löytyy myös tietosuojavaltuutetun sivuilta .