2016_11_17
Uutiset

Tietosuoja pilvipalveluissa

Keväällä 2018 voimaan astuvaa uutta pakottavaa tietosuojalainsäädäntöä sovelletaan muun muassa pilvipalveluissa käsiteltäviin henkilötietoihin. Monet palveluntarjoajat tuottavat palveluita ehdoin, jotka eivät täytä uusia vaatimuksia ja joista neuvotteleminen voi olla hankalaa. Tämä asettaa pilvipalveluita hyödyntäville yrityksille erityisiä tietosuojan tasoon liittyviä riskejä, jotka tulisi huomioida jo pilvipalveluita hankittaessa.

Valitse palveluntarjoaja huolella

Keskeisenä periaatteena uudessa tietosuoja-asetuksessa on ns. tilivelvollisuus. Tämä edellyttää yrityksiltä ennakoivaa tietosuojan suunnittelua ja varautumista. Koska rekisterinpitäjä ei voi ulkoistaa omaa vastuutaan, yhä tärkeämpää on kyky todistaa, että velvoitteita on noudatettu. Pilvipalveluita hankittaessa tulisikin jatkossa kiinnittää erityistä huomiota palveluntarjoajan valintaan.   

Rekisterinpitäjän kannalta on tärkeää, että pilvipalveluita hankittaessa tiedetään missä pilveen tallennetut tiedot säilytetään ja missä niitä käsitellään. On mahdollista, että pilvipalveluiden tarjoajan palvelimet sijaitsevat EU/ETA-alueen ulkopuolella tai palvelun ylläpitotyötä tehdään EU/ETA-alueen ulkopuolelta. Tällöin tiedon siirtämisen tulee tapahtua asetuksen velvoitteita noudattaen. Tiedon siirtämisen on katsottu täyttyvän jo siinä tapauksessa, että tietokantaan muodostetaan yhteys ulkomailta.    

Tietosuoja-asetus sallii henkilötietojen keräämiseen ainoastaan tiettyä nimenomaista ja täsmällisesti ilmoitettua laillista tarkoitusta varten, eikä salli niiden käsittelyä myöhemminkään näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Pilvipalveluiden tarjoajat varaavat usein mahdollisuuden käyttää saatuja tietoja palveluidensa kehittämiseen, markkinointiin tai muihin alkuperäisen tarkoituksen kanssa yhteensopimattomiin tarkoituksiin. Sopimuksissa tulisikin aina määritellä mihin tarkoituksiin henkilötietoja voidaan käsitellä ja huomioida, että tietosuojavelvoitteet koskevat sekä pilvipalveluiden tarjoajaa että alihankkijoita.

Minkälaisissa tilanteissa tulisi kääntyä asiantuntijan puoleen?

Asiantuntijan käyttöä on syytä harkita ainakin, jos käyttöönottoon liittyvässä sopimuksessa on seuraavia seikkoja:

  • Pilvipalveluiden tarjoaja ei suostu vastaamaan aiheuttamistaan suorista tai välillisistä vahingoista, vaikka ostajalla on usein vastuu näistä seikoista suhteessa muihin. 
  • Pilvipalveluiden tarjoaja haluaa irtisanoutua ostajaa velvoittavan lainsäädännön, kuten suomalaisen tietosuojalainsäädännön, noudattamisesta.
  • Pilvipalveluiden tarjoaja edellyttää käyttö- tai omistusoikeuksia tietosisältöihin.
  • Pilvipalveluiden tarjoaja vetoaa sopimusehdoissaan sellaisiin järjestelyihin, jotka eivät enää mahdollista tietojen siirtämistä EU/ETA-alueen ulkopuolelle (kuten Safe Harbor -järjestely).
  • Pilvipalveluiden tarjoaja ei sitoudu siihen, että ostajan tiedot ovat erotettavissa palveluntarjoajan muiden asiakkaiden tiedoista.
  • Pilvipalveluiden tarjoaja haluaa käyttää data miningia omiin tarkoituksiinsa, vaikka tietosuojan kannalta henkilötietojen käsittelyn tulee olla aina asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta.
  • Pilvipalveluiden tarjoaja ei suostu salassapitoon edes lain edellyttämällä tavalla.
  • Pilvipalveluiden tarjoaja ei sitoudu tietojen hävittämiseen sopimuksen päättyessä.

Pilvipalveluiden hankinnassa ilmeneviin käytännön ongelmatilanteisiin tulisi varautua sopimuksessa. Ammattilaisemme keskustelevat mielellään aiheesta kanssasi lisää.

Lähde: yrityslakimies Teemu Limnell, Accountor

Jäikö joku artikkelissa askarruttamaan mieltäsi? Lähetä sähköpostia asiantuntija@accountor.fi –osoitteeseen, niin jatketaan keskustelua aiheesta.

Ota yhteyttä Lisää ajankohtaisia uutisia Tilaa uutiskirje