tietojärjestelmien hankinnat ja tietosuoja...2019/06/17 · tietosuoja-asetuksen edellytykset...
TRANSCRIPT
Tietojärjestelmien hankinnat ja tietosuojaErkko Korhonen, Managing Associate, asianajaja| 17.6.2019
Agenda> Tietojärjestelmien hankinasta –
eristyistesti standardijärjestelmät ja
pilvipalvelut
> Hankinnan suunnittelusta
tietosuojanäkökulmasta
> Käsittelysopimus
> Henkilötietojen siirroista EU:n
ulkopuolelle ja
mallisopimuslausekkeiden käyttö
Hankinnan suunnittelu> Mitä ollaan hankkimassa?
– Valmisohjelmisto + implementointi
– Valmisohjelmisto + räätälöinnit + implementointi
– Pilvipalvelu + implementointi
– Räätälöity järjestelmä
– Asiakkaalle kehitetty järjestelmä (“from the scratch”)
-> Vaikuttaa siihen millaisia asiakaskohtaisia tietosuojavaatimuksia voi asettaa ja
edellyttää.
Hankinnan suunnittelu tietosuoja näkökulmasta> Relevanttien henkilötietojen ja käsittelyroolien tunnistaminen
– Mitä henkilötietoja on tarkoitus käsitellä?
– Missä roolissa kukin taho käsittelyyn osallistuu (rekisterinpitäjä, käsittelijä)?• Toimittaja ei aina ainoastaan käsittelijän roolissa -> ei syytä sitoa tarjouspyynnön vaatimuksia tähän
olettamaan
• Voidaan edellyttää tarjoajaa kuvaamaan suorittamansa käsittely ja siihen liittyvät toimijat tarjouksessaan
– Erityissääntelyn huomioiminen (mm. onko kyse esim. potilastiedoista)• Vaikuttaa muun muassa siihen, mitkä ovat riittävät “tekniset ja organisatoriset” tietoturvatoimenpiteet
> Tarvittaessa markkinavuoropuhelua potentiaalisten toimittajien kanssa (ei hankinnan aikana)
> Mahdollisuus esittää kysymyksiä tarjouspyyntöön liittyen
Pitkälle vakioituja palveluja> Pilvipalvelut perustuvat suuruuden ekonomiaan / skaalautuvuuteen
> Sama palvelu/järjestelmä tarjotaan sadoille / tuhansille käyttäjille samanaikaisesti– Usein yhdestä yhteisestä infrastruktuurista
– Jaetun organisaation toimesta
– Soveltaen yhteisiä (globaaleja)• Prosesseja
• Toimitusmalleja
• Teknisiä ja organisatorisia suojatoimenpiteitä
– Vakioehdoin
> Pilvipalvelut ovat palvelun hankintaa, ei hyödykkeen hankintaa
> Vakioitu palvelu asettaa rajoituksia asiakaskohtaisille vaatimuksille ja ehdoille
Asiakkaan vaatimukset (1/2)> Mitä asiakas voi vaatia / tulee vaatia?
> Läpinäkyvä tuotantoketju
– Missä tietojenkäsittely tapahtuu (EU/ETA-alueella, muualla?)
– Tieto alihankkijoista
– Tieto tuotantoresursseista
> Varautuminen häiriöihin ja tietoturvariskeihin
– Rajoituksin
> Palvelutasot
> Auditointioikeus
– Rajoituksin
Asiakkaan vaatimukset (2/2)> Lakien ja määräysten noudattaminen
– Mahdollistavatko soveltuvat lait pilvipalvelun
hankinnan?
– Sertifikaatteja / standardeja?
> Hinnoittelumallit
> Kontrolli dataan ja oikeus saada asiakkaan data
palvelusta
– Milloin tahansa
– Ilman korvausta
> Vastuunrajoitukset
> Sovellettava laki ja riidanratkaisu
Yhteenveto> Varsinkin pilvipalveluiden hankinnassa
hyväksyttävä vakiomuotoisuus
– Rajallinen mahdollisuus saada yksilöllisiä ehtoja
> Onnistunut järjestelmähankinta edellyttää
markkinoiden tuntemista
– Markkinakartoitus / -vuoropuhelu!
> Varmista soveltuvatko markkinoilla olevat
ratkaisut aiottuun käyttötarkoitukseen
> Aseta vaatimuksia, mutta ymmärrä onko
toimittajan mahdollista täyttää vaatimukset
vakioidussa palvelussa
Käsittelysopimus> Tietosuoja-asetus edellyttää käsittelysopimuksen (Data processing agreement)
laatimista käsittelijän ja rekisterinpitäjän välille.
> Sopimuksessa vahvistettava
– Käsittelyn kohde ja kesto
– Käsittelyn luonne ja tarkoitus
– Henkilötietojen tyyppi ja rekisteröityjen ryhmät
– Rekisterinpitäjän velvollisuudet ja oikeudet
> Sopimuksen oltava kirjallinen
Käsittelysopimuksen sisältövaatimukset (1/2)
1. Käsittely ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, – Ml. myös koskien henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle;
2. Käsittelyyn osallistuvat henkilöt sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;
3. Tietoturvatoimenpiteet;
4. Alikäsittelijöiden käyttöä koskevat ehdot;
5. Käsittelytoimen luonne huomioiden auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuudet koskien rekisteröidyn oikeuksien käyttämistä;
Käsittelysopimuksen sisältövaatimukset (2/2)
6. Käsittelijä auttaa rekisterinpitäjää varmistamaan, että tietoturvaa, DPIA:ta, tietoturvaloukkauksia koskevia velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot;
7. Rekisterinpitäjän valinnan mukaan käsittelijä poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;
8. Käsittelijä saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten; ja
9. Käsittelijä sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.
Havaintoja tarjouspyynnöistä> Ehdottomana vaatimuksena ollut hankintayksikön oman käsittelysopimuksen
käyttäminen tilanteessa, jossa kyse vakiomuotoisesta, useille asiakkaille tarjottavasta palvelusta– Tällöin olisi suositeltavampaa, edellyttää tietosuoja-asetuksen mukaisen sopimuksen
solmimista ja mahdollistaa tarjoaja toimittamaan oma käsittelysopimuspohjansa osana tarjousta
> Käsittelysopimuksen edellyttäminen tarjoajan ja hankintayksikön välille vaikka tarjoaja itse ei osallistu lainkaan henkilötietojen käsittelyyn– Tulisi tunnistaa käsittelyroolit ja mahdollistaa se, että DPA solmittaisiin suoraan
hankintayksikön ja käsittelijän välille
> Rajoitetaan käsittely EU:n alueelle tilanteessa, jossa sille ei ole tarvetta– Sen sijaan tulisi mahdollistaa tietojen siirrot, kunhan siirrot toteutetaan tietosuoja-asetuksen
mukaisesti ja siirrosta on huolehdittu
Kansainvälisiä siirtoja koskevat säännöt tietosuoja-asetuksessa > EU:n yleistä tietosuoja-asetusta (679/2016) sovelletaan Euroopan unionin
(EU) lisäksi Euroopan talousalueella (ETA)
– ETA-alueella henkilötiedot liikkuvat vapaasti
> Jos henkilötietoja siirretään ETA-alueen ulkopuolelle, tulee siirto toteuttaa
tietosuoja-asetuksen edellytykset huomioiden
> Tietosuoja-asetus tarjoaa erilaisia mekanismeja, joiden avulla tietojen siirto
voidaan toteuttaa
– Esim. tietosuojan riittävyyttä koskevat päätökset, vakiosopimuslausekkeet, yritystä
koskevat sitovat säännöt, käytännesäännöt, sertifiointimekanismit ja poikkeukset
erityistilanteissa
Mitä “siirto” tarkoittaa?> Ei määritelty GDPR:ssä
> Käytännössä pelkkä pääsy tietoihin ETA:n ulkopuolelta voidaan katsoa
siirroksi
> ICO: Transfer ≠ transit
– GDPR Art 46: “Any transfer of personal data which are undergoing processing or are
intended for processing after transfer to a third country…”
Tietosuojan tason riittävyyttä koskevat päätökset> Komissio voi päättää, että EU:n ulkopuolinen maa tai kansainvälinen järjestö
tarjoaa riittävän tietosuojan tason
– Jotta tietosuojan taso voidaan todeta riittäväksi, kolmannen maan tietosuojasääntöjen
on oltava verrattavissa EU:n sääntöihin
> Päätöksen myötä henkilötietoja voidaan siirtää kyseiseen maahan tai järjestölle
ilman erityistä lupaa
> Päätös tarkastetaan vähintään joka neljäs vuosi, jolloin päätöstä voidaan
tarvittaessa muuttaa tai se voidaan kumota
Komission päätöksellä riittävän tietosuojan tason tarjoavat:
1 Sveitsi
2 Andorra
3 Färsaaret
4 Guernsey
5 Jersey
6 Mansaari
7 Uusi-Seelanti
8 Uruguay
9 Argentiina
10 Kanada (kaupalliset organisaatiot)
11 Israel
12 Yhdysvallat(Privacy Shield –
järjestelyn puitteissa)
13 Japani
Etelä-Korean tietosuojan tasosta keskustellaan.
Käytännesäännöt ja sertifiointimekanismi
> Rekisterinpitäjä tai henkilötietojen käsittelijä voi osoittaa, että se käyttää asianmukaisia suojatoimia suojatakseen siirrettyjä henkilötietoja sitoutumalla käytännesääntöihin tai sertifiointimekanismin avulla– Käytännesääntöjä voivat laatia yhdistykset ja muut elimet, jotka edustavat
rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä
– Sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä voidaan ottaa käyttöön erityisesti unionin tasolla
> Toimivaltainen valvontaviranomainen hyväksyy käytännesäännöt ja myöntää sertifioinnit. Myös erityiset sertifiointielimet voivat myöntää sertifiointeja
> Vielä yksikään viranomainen ei ole hyväksynyt käytännesääntöjä tai sertifiointimekanismeja
Yritystä koskevat sitovat säännöt> Yritystä koskevia sitovia sääntöjä (binding corporate rules) voidaan käyttää
siirtoperusteena silloin, kun monikansallinen konserni tai yritysryhmä, joka harjoittaa yhteistä taloudellista toimintaa, siirtää tietoja sisäisesti konsernin sisällä ETA-alueen ulkopuolelle– Toimivaltainen valvontaviranomainen vahvistaa säännöt– Säännöt ovat oikeudellisesti sitovat
> Säännöillä varmistetaan mm.– tietosuojaperiaatteiden noudattaminen;– asianmukainen tietosuojakoulutus henkilöstölle;– valitusmenettelyt; ja – mekanismit, joiden avulla sääntöjen noudattaminen varmistetaan.
> Hyväksytetty yhteensä 125-130 konsernissa
Vakiolausekkeet sopimuksissa> Komissio voi vahvistaa tietosuojaa koskevat vakiolausekkeet, joiden
käyttäminen sopimusjärjestelyssä tarjoaa asianmukaisen henkilötietojen
suojan silloin, kun henkilötietoja siirretään EU- tai ETA-alueen ulkopuolelle
> Myös tietosuojaviranomainen voi vahvistaa riittävän suojan tarjoavat
vakiolausekkeet, jotka komissio hyväksyy
> Tähän mennessä mallisopimuslausekkeita on kolmet:
– Kahdet näistä soveltuvat tietojen siirroissa rekisterinpitäjältä rekisterinpitäjälle (ns.
”Controller-to-Controller”)
– Yhdet soveltuvat tietojen siirroissa rekisterinpitäjältä henkilötietojen käsittelijälle (ns.
”Controller-to-Processor”)
Vakiolausekkeet käytännössä: Käsitteet
> “Tietojen viejä” (engl. data exporter) tarkoittaa rekisterinpitäjää, joka siirtää
henkilötietoja
> “Tietojen tuoja” (engl. data importer) tarkoittaa kolmanteen maahan
(EU/ETA-alueen ulkopuolelle) sijoittunutta henkilötietojen käsittelijää tai
rekisterinpitäjää, joka vastaanottaa henkilötietoja tietojen viejältä
käsitelläkseen niitä
Vakiolausekkeet käytännössä> Voidaanko vakiolausekkeita käyttää kahden ETA-alueella toimivan
tahon välillä?
> Ei. ETA-alueella toimiva käsittelijä ei voi toimia “tietojen tuojana” komission
päätöksen tarkoittamalla tavalla, koska päätös edellyttää että tietojen tuoja on
sijoittunut ETA-alueen ulkopuolelle.
Vakiolausekkeet käytännössä> Voidaanko vakiolausekkeita käyttää silloin, kun henkilötietoja
siirretään ETA-alueella toimivalta henkilötietojen käsittelijältä ETA-
alueen ulkopuolella toimivalle alikäsittelijälle?
> Ei. ETA-alueella toimiva henkilötietojen käsittelijä ei voi toimia komission
päätöksen tarkoittamana “tietojen viejänä”, koska tietojen viejän tulee olla
rekisterinpitäjä.
Vakiolausekkeet käytännössä> Kuinka henkilötietojen siirto ETA-alueella toimivalta
henkilötietojen käsittelijältä ETA-alueen ulkopuolella toimivalle
alikäsittelijälle tulisi toteuttaa?
> Vakiolausekkeita ei voida soveltaa tilanteessa, jossa ETA-alueelle sijoittunut
henkilötietojen käsittelijä käsittelee henkilötietoja ETA-alueella toimivan
rekisterinpitäjän puolesta ja siirtää käsittelyn kolmannessa maassa toimivalle
alikäsittelijälle.
Vakiolausekkeet käytännössä> Vaihtoehto 1: Suora sopimus ETA-alueella toimivan
rekisterinpitäjän ja ETA-alueen ulkopuolella toimivan
alikäsittelijän välillä
Vakiolausekkeet käytännössä> Vaihtoehto 2: Valtuutus ETA-alueella toimivalta rekisterinpitäjältä
ETA-alueen ulkopuolella toimivalle henkilötietojen käsittelijälle
Vakiolausekkeet käytännössä> Vaihtoehto 3: Valtuutus ETA-alueen ulkopuolella sijaitsevalta
alikäsittelijältä ETA-alueella sijaitsevalle henkilötietojen käsittelijälle
Erityistilanne – Rekisterinpitäjä ei EU:n alueella> Soveltuvatko siirtorajoitukset tilanteessa, jossa rekisterinpitäjä ei
ole EU:ssa, mutta käyttää EU:ssa olevaa käsittelijää, joka
puolestaan käyttää EU:n ulkopuolista alikäisttelijää?
> Voi soveltua – ainakin jos rekisterinpitäjä GDPR:n piirissä.
Erityistilanteita koskevat poikkeukset
> Jos tietosuojan riittävyydestä ei ole tehty komission päätöstä, eikä asianmukaisia suojatoimia ole myöskään toteutettu, voi siirto perustua useisiin erityistapauksia koskeviin poikkeuksiin
> Siirtoperusteita erityistilanteissa ovat esimerkiksi: – Rekisteröidyn nimenomainen suostumus, hänen saatuaan kaikki tarvittavat tiedot
siirtämiseen liittyvistä riskeistä– Rekisteröidyn ja rekisterinpitäjän välinen sopimus, jonka täytäntöön panemiseksi tai
sopimusta edeltävien toimenpiteiden toteuttamiseksi siirtäminen on tarpeen– Rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välinen sopimus,
joka on rekisteröidyn edun mukainen ja jonka tekemiseksi tai täytäntöön panemiseksi siirtäminen on tarpeen
– Oikeusvaateen laatiminen, esittäminen tai puolustaminen, jonka vuoksi siirtäminen on tarpeen
Mikä organisaatiossanne on tavanomaisin siirtoperuste?a) Vakiosopimuslausekkeet
b) Rekisteröidyn suostumus
c) Jokin muu
d) Tietojamme ei käsitellä EU:n/ETA:n ulkopuolella
e) En tiedä
HelsinkiHannes Snellman Attorneys Ltd
Eteläesplanadi 20 | P.O. Box 333
00130 | 00131 Helsinki, Finland
Tel: +358 9 228 841
Fax: +358 9 177 393
StockholmHannes Snellman Attorneys Ltd
Kungsträdgårdsgatan 20 | P.O. Box 7801
111 47 | 103 96 Stockholm, Sweden
Tel: +46 760 000 000
Fax: +46 8 679 85 11
www.hannessnellman.com