Ulkoistaminen ja
henkilötiedot
Titta Penttilä
Senior Security Manager, Information Security
Corporate Security, TeliaSonera
28.11.2012, Tietoturva 2013
fi.linkedin.com/in/tpenttila
Sisältö
• Käsitteet tutuiksi
• Millä edellytyksillä henkilötietoja voi
siirtää ulkoistuskumppanille?
• Tietosuojalainsäädännön
huomioiminen ulkoistamisprosessin
eri vaiheissa
• Lukuvinkkejä
2012-11-28 Tietoturva 2013 / Titta Penttilä 2
Käsitteet tutuiksi – hieman yksinkertaistaen
2012-11-28 Tietoturva 2013 / Titta Penttilä 3
Henkilötieto • Tiedot, jotka voidaan yhdistää henkilöön tai hänen perheeseensä
(pidempi määritelmä 26 sivua ks. Working party opinion 4/2007 )
Käsittely • Kaikki mahdolliset toimenpiteet, jotka voivat kohdistua
henkilötietoihin
Henkilörekisteri • Joukko henkilötietoja joita käytetään samaan tarkoitukseen
(huom! Käyttötarkoitus ratkaisee eli tiedot voivat sijaita eri
järjestelmissä)
Rekisterinpitäjä (”controller”) • ”rekisterin omistaja”, jonka käyttöä varten henkilörekisteri
perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä
tai jonka tehtäväksi rekisterinpito on lailla säädetty
Käsittelijä (“processor”) • taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun
Henkilötietojen siirto vai luovutus?
Siirto Luovutus
Rekisterinpitäjä -> Käsittelijä
Kyse on siirrosta, vaikka henkilötiedot eivät
siirry fyysisesti käsittelijälle, jos tiedot ovat
käsittelijän saatavilla (esim. etäyhteys).
Rekisterinpitäjä -> Rekisterinpitäjä
Rekisterinpitäjä säilyy edelleen
rekisterinpitäjänä ja vastuullisena.
Rekisterinpitäjän oikeudet siirtyvät
uudelle rekisterinpitäjälle.
Käsittelijällä ei ole itsenäistä oikeutta
henkilötietojen käsittelyyn, vaan se toimii aina
rekisterinpitäjän toimeksiannosta tämän
lukuun ja tämän ohjeiden mukaan.
Luovutuksen saajalla on
itsenäinen oikeus käsitellä
henkilötietoja.
Lähtökohtaisesti ei edellytä rekisteröidyn
suostumusta.
Vaatii usein rekisteröidyn
suostumuksen.
Esim. alihankinta- ja ulkoistustilanteet Esim. liiketoimintasiirto
2012-11-28 Tietoturva 2013 / Titta Penttilä 4
Henkilötietojen siirtämisen edellytykset
2012-11-28 Tietoturva 2013 / Titta Penttilä 5
HENKILÖTIETOJEN KÄSITTELYN LAILLISUUS • Yleiset edellytykset: esim. asiakkassuhde, työsuhde, suostumus…
• Periaatteet: suunnittelu-/huolellisuusvelvollisuus, tarpeellisuus, virheettömyysja avoimuus,
tietoturvallisuus, luottamuksellisuus…
• Käyttötarkoitussidonnaisuus
Suomi, EU ja ETA-maat
(& Komission hyväksymät maat)
Muut maat
Yhtenäinen säädöstausta (EU
tietosuojadirektiivi) ja henkilötietojen
vapaa liikkuvuus
Tietosuojan taso vaihtelee, joten
vaaditaan erityisiä takeita
“Data transfer agreement” (DTA)
• HtietoL: “annettava asianmukaiset
selvitykset ja sitoumukset”
Etenemisvaihtoehdot:
• Komission vakiosopimuslausekkeet
• Erityiset poikkeusperusteet
• Itsearviointi
RIITTÄVÄ TIETOSUOJAN TASO
JA
Henkilötietojen siirto
2012-11-28 Tietoturva 2013 / Titta Penttilä 6
HENKILÖREKISTERI
käyttötarkoituksensa vuoksi
yhteenkuuluva tietojoukko
REKISTERI-
SELOSTE
Henkilötietoja
Ulkoistaja Oy Kumppani Oy
Rekisterinpitäjä; vastaa viimekädessä käsittelyn
lainmukaisuudesta.
Käsittelijä; käsittelee henkilötietoja
rekisterinpitäjän lukuun ja tämän
ohjeiden mukaan.
fyysinen siirto
Käsittelyn suunnittelu
Henkilötietoja Henkilötietoja
Käsittelyn rajat
SOPIMUS
&
OHJEET
Lähtökohtaisesti sovelletaan rekisterinpitäjän maan lakia.
Ulkoistamisprosessin vaiheet
2012-11-28 Tietoturva 2013 / Titta Penttilä 7
Suunnittelu Toteutus Toiminta Exit
Ulkoistaminen
Kertaluonteinen tapahtuma,
jossa ulkoistamisen kohde
siirretään kumppanille
Ulkoistamisen tapahduttua
jatkuu palveluiden ostaminen
partnerilta.
Regulaatio Sisäiset
ohjeet
Asiakas-
vaateet
Riskinotto-
halukkuus
Palvelun ostaminen
Suunnitteluvaihe osa 1: “Business case”
• Mitä tietoja ollaan siirtämässä kumppanille?
– henkilötiedot, tunnistamistiedot jne.
• Mihin maahan tietoja ollaan siirtämässä?
• Mitä vaatimuksia kyseisten tietojen
siirtämiseen ja käsittelyyn liittyy?
– Lait, rekisteriseloste, sisäiset ohjeet/prosessit ja mahdolliset asiakasvaateet
• Mikä on kyseisten tietojen merkitys yhtiön
kannalta?
– “business impact assessment”
• Mitä uhkia ja riskejä tietojen siirtoon liittyy ja
mitä keinoja on riskien pienentämiseen ?
2012-11-28 Tietoturva 2013 / Titta Penttilä 8
Juridisia esteitä on harvoin - tärkeää onkin miettiä, onko
ulkoistaminen liiketoiminnan kannalta kokonaisuutena järkevää!
Suunnitteluvaihe osa 2: Ulkoistuskumppanin valinta ja sopimus
• Vaatimukset tarjouspyynnön liitteeksi
• Ehdokkaiden tietosuojan tason todentaminen – Itsearviointi esim. ISF Security health check
– Sertifikaatit esim. ISO 27001
– Auditointi
• Henkilötietojen käsittelyä koskevat vaatimukset osaksi
sopimusta mm. – Salassapitolausekkeet
– “Data transfer agreement” (EU/ETA:n sisällä)
– Mm. oikeus käsitellä tietoja vain rekisterinpitäjän ohjeiden mukaan, noudatettava soveltuvaa lainsäädäntöä ja varmistettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi
– Komission vakiosopimuslausekkeet (jos siirto EU/ETA:n ulkopuolelle)
– Yhteiset prosessit / toimintamallit
– Alihankkijoiden käyttäminen
– Sanktiot esim. sopimussakko
– Sopimuksen päättymisen seuraukset
2012-11-28 Tietoturva 2013 / Titta Penttilä 9
Toteutus, toiminta ja exit
• Toteutusvaihe
– Tavoitteena on, että ulkoistettavat toiminnot siirretään saumattomasti kumppanille
– Kumppanin henkilöstön koulutus
– Tietojen turvallinen siirtäminen ja käyttöoikeuksien hallinta
• Toimintavaihe
– Toiminnot on siirretty kumppanille ja kumppani tarjoaa sopimuksenmukaista palvelua ulkoistaneelle yritykselle sopimuksen voimassaoloajan
– Raportointi, auditointi, muutosten huomiointi
• Exit – sopimuksen päättyminen
– Huomioitava jo sopimuksen tekovaiheessa
– Varmistuttava tietojen asianmukaisesta siirtämisestä / tuhoamisesta
2012-11-28 Tietoturva 2013 / Titta Penttilä 10
Onnistumisen ainekset
• Ymmärretään henkilötietojen tärkeys
ja rekisterinpitäjän vastuu – Vastuuta ei voi ulkoistaa
– Tietosuojan merkitys korostuu nyky-yhteiskunnassa ja ihmisten tietoisuus lisääntyy nopeasti
– Juridisia sanktioita suurempi riski on, asiakkaiden luottamuksen menettäminen
• Valmistautumiseen ja selvityksiin
varataan riittävästi aikaa ja
resursseja – Lainsäädännön asettamien vaatimusten
selvittäminen
– Riskien arviointi
– Kumppanin valinta ja kattava sopimus
• Tietosuoja ja –turva varmistetaan
koko ulkoistamisen elinkaaren ajan
2012-11-28 Tietoturva 2013 / Titta Penttilä 11
• Henkilötiedon käsite:
– Data Protection Working party opinion 4/2007 the concept of personal data WP 136 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf)
• Ulkoistaminen ja henkilötiedot
– Data Protection Working party opinion 05/2012 on Cloud Computing (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf)
– Tietosuojavaltuutetun toimisto: Henkilötietojen siirto ulkomaille henkilötietolain mukaan (http://www.tietosuoja.fi/uploads/7nr20lwabx4vu.pdf)
– Tietosuojavaltuutetun toimisto: henkilötietojen käsittelyn ulkoistaminen, yhteiset tietojärjestelmät, verkottuminen ja niihin liittyvät sopimukset
(http://www.tietosuoja.fi/uploads/fqfq98_1.pdf)
2012-11-28 Tietoturva 2013 / Titta Penttilä 12
Lukuvinkkejä
sonera_security
twitter.com/sonera_security
KYSYMYKSIÄ? KOMMENTTEJA?
• Esitys perustuu AaltoPro:n 7. Tietoturvallisuuden koulutusohjelmaan laatimaani tutkielmaan:
“Outsourcing and Transfer of Personal Data”
• Voit ladata sen osoitteessa:
www.slideshare.net/sonera
KIITOS!
2012-11-28 Tietoturva 2013 / Titta Penttilä 13