Tietojärjestelmien hankinnat ja tietosuojaErkko Korhonen, Managing Associate, asianajaja| 17.6.2019

Agenda> Tietojärjestelmien hankinasta –

eristyistesti standardijärjestelmät ja

pilvipalvelut

> Hankinnan suunnittelusta

tietosuojanäkökulmasta

> Käsittelysopimus

> Henkilötietojen siirroista EU:n

ulkopuolelle ja

mallisopimuslausekkeiden käyttö

Hankinnan suunnittelu> Mitä ollaan hankkimassa?

– Valmisohjelmisto + implementointi

– Valmisohjelmisto + räätälöinnit + implementointi

– Pilvipalvelu + implementointi

– Räätälöity järjestelmä

– Asiakkaalle kehitetty järjestelmä (“from the scratch”)

-> Vaikuttaa siihen millaisia asiakaskohtaisia tietosuojavaatimuksia voi asettaa ja

edellyttää.

Hankinnan suunnittelu tietosuoja näkökulmasta> Relevanttien henkilötietojen ja käsittelyroolien tunnistaminen

– Mitä henkilötietoja on tarkoitus käsitellä?

– Missä roolissa kukin taho käsittelyyn osallistuu (rekisterinpitäjä, käsittelijä)?• Toimittaja ei aina ainoastaan käsittelijän roolissa -> ei syytä sitoa tarjouspyynnön vaatimuksia tähän

olettamaan

• Voidaan edellyttää tarjoajaa kuvaamaan suorittamansa käsittely ja siihen liittyvät toimijat tarjouksessaan

– Erityissääntelyn huomioiminen (mm. onko kyse esim. potilastiedoista)• Vaikuttaa muun muassa siihen, mitkä ovat riittävät “tekniset ja organisatoriset” tietoturvatoimenpiteet

> Tarvittaessa markkinavuoropuhelua potentiaalisten toimittajien kanssa (ei hankinnan aikana)

> Mahdollisuus esittää kysymyksiä tarjouspyyntöön liittyen

Pitkälle vakioituja palveluja> Pilvipalvelut perustuvat suuruuden ekonomiaan / skaalautuvuuteen

> Sama palvelu/järjestelmä tarjotaan sadoille / tuhansille käyttäjille samanaikaisesti– Usein yhdestä yhteisestä infrastruktuurista

– Jaetun organisaation toimesta

– Soveltaen yhteisiä (globaaleja)• Prosesseja

• Toimitusmalleja

• Teknisiä ja organisatorisia suojatoimenpiteitä

– Vakioehdoin

> Pilvipalvelut ovat palvelun hankintaa, ei hyödykkeen hankintaa

> Vakioitu palvelu asettaa rajoituksia asiakaskohtaisille vaatimuksille ja ehdoille

Asiakkaan vaatimukset (1/2)> Mitä asiakas voi vaatia / tulee vaatia?

> Läpinäkyvä tuotantoketju

– Missä tietojenkäsittely tapahtuu (EU/ETA-alueella, muualla?)

– Tieto alihankkijoista

– Tieto tuotantoresursseista

> Varautuminen häiriöihin ja tietoturvariskeihin

– Rajoituksin

> Palvelutasot

> Auditointioikeus

– Rajoituksin

Asiakkaan vaatimukset (2/2)> Lakien ja määräysten noudattaminen

– Mahdollistavatko soveltuvat lait pilvipalvelun

hankinnan?

– Sertifikaatteja / standardeja?

> Hinnoittelumallit

> Kontrolli dataan ja oikeus saada asiakkaan data

palvelusta

– Milloin tahansa

– Ilman korvausta

> Vastuunrajoitukset

> Sovellettava laki ja riidanratkaisu

Yhteenveto> Varsinkin pilvipalveluiden hankinnassa

hyväksyttävä vakiomuotoisuus

– Rajallinen mahdollisuus saada yksilöllisiä ehtoja

> Onnistunut järjestelmähankinta edellyttää

markkinoiden tuntemista

– Markkinakartoitus / -vuoropuhelu!

> Varmista soveltuvatko markkinoilla olevat

ratkaisut aiottuun käyttötarkoitukseen

> Aseta vaatimuksia, mutta ymmärrä onko

toimittajan mahdollista täyttää vaatimukset

vakioidussa palvelussa

Käsittelysopimus> Tietosuoja-asetus edellyttää käsittelysopimuksen (Data processing agreement)

laatimista käsittelijän ja rekisterinpitäjän välille.

> Sopimuksessa vahvistettava

– Käsittelyn kohde ja kesto

– Käsittelyn luonne ja tarkoitus

– Henkilötietojen tyyppi ja rekisteröityjen ryhmät

– Rekisterinpitäjän velvollisuudet ja oikeudet

> Sopimuksen oltava kirjallinen

Käsittelysopimuksen sisältövaatimukset (1/2)

1. Käsittely ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, – Ml. myös koskien henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle;

2. Käsittelyyn osallistuvat henkilöt sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

3. Tietoturvatoimenpiteet;

4. Alikäsittelijöiden käyttöä koskevat ehdot;

5. Käsittelytoimen luonne huomioiden auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuudet koskien rekisteröidyn oikeuksien käyttämistä;

Käsittelysopimuksen sisältövaatimukset (2/2)

6. Käsittelijä auttaa rekisterinpitäjää varmistamaan, että tietoturvaa, DPIA:ta, tietoturvaloukkauksia koskevia velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot;

7. Rekisterinpitäjän valinnan mukaan käsittelijä poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;

8. Käsittelijä saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten; ja

9. Käsittelijä sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Havaintoja tarjouspyynnöistä> Ehdottomana vaatimuksena ollut hankintayksikön oman käsittelysopimuksen

käyttäminen tilanteessa, jossa kyse vakiomuotoisesta, useille asiakkaille tarjottavasta palvelusta– Tällöin olisi suositeltavampaa, edellyttää tietosuoja-asetuksen mukaisen sopimuksen

solmimista ja mahdollistaa tarjoaja toimittamaan oma käsittelysopimuspohjansa osana tarjousta

> Käsittelysopimuksen edellyttäminen tarjoajan ja hankintayksikön välille vaikka tarjoaja itse ei osallistu lainkaan henkilötietojen käsittelyyn– Tulisi tunnistaa käsittelyroolit ja mahdollistaa se, että DPA solmittaisiin suoraan

hankintayksikön ja käsittelijän välille

> Rajoitetaan käsittely EU:n alueelle tilanteessa, jossa sille ei ole tarvetta– Sen sijaan tulisi mahdollistaa tietojen siirrot, kunhan siirrot toteutetaan tietosuoja-asetuksen

mukaisesti ja siirrosta on huolehdittu

Kansainvälisiä siirtoja koskevat säännöt tietosuoja-asetuksessa > EU:n yleistä tietosuoja-asetusta (679/2016) sovelletaan Euroopan unionin

(EU) lisäksi Euroopan talousalueella (ETA)

– ETA-alueella henkilötiedot liikkuvat vapaasti

> Jos henkilötietoja siirretään ETA-alueen ulkopuolelle, tulee siirto toteuttaa

tietosuoja-asetuksen edellytykset huomioiden

> Tietosuoja-asetus tarjoaa erilaisia mekanismeja, joiden avulla tietojen siirto

voidaan toteuttaa

– Esim. tietosuojan riittävyyttä koskevat päätökset, vakiosopimuslausekkeet, yritystä

koskevat sitovat säännöt, käytännesäännöt, sertifiointimekanismit ja poikkeukset

erityistilanteissa

Mitä “siirto” tarkoittaa?> Ei määritelty GDPR:ssä

> Käytännössä pelkkä pääsy tietoihin ETA:n ulkopuolelta voidaan katsoa

siirroksi

> ICO: Transfer ≠ transit

– GDPR Art 46: “Any transfer of personal data which are undergoing processing or are

intended for processing after transfer to a third country…”

Tietosuojan tason riittävyyttä koskevat päätökset> Komissio voi päättää, että EU:n ulkopuolinen maa tai kansainvälinen järjestö

tarjoaa riittävän tietosuojan tason

– Jotta tietosuojan taso voidaan todeta riittäväksi, kolmannen maan tietosuojasääntöjen

on oltava verrattavissa EU:n sääntöihin

> Päätöksen myötä henkilötietoja voidaan siirtää kyseiseen maahan tai järjestölle

ilman erityistä lupaa

> Päätös tarkastetaan vähintään joka neljäs vuosi, jolloin päätöstä voidaan

tarvittaessa muuttaa tai se voidaan kumota

Komission päätöksellä riittävän tietosuojan tason tarjoavat:

1 Sveitsi

2 Andorra

3 Färsaaret

4 Guernsey

5 Jersey

6 Mansaari

7 Uusi-Seelanti

8 Uruguay

9 Argentiina

10 Kanada (kaupalliset organisaatiot)

11 Israel

12 Yhdysvallat(Privacy Shield –

järjestelyn puitteissa)

13 Japani

Etelä-Korean tietosuojan tasosta keskustellaan.

Käytännesäännöt ja sertifiointimekanismi

> Rekisterinpitäjä tai henkilötietojen käsittelijä voi osoittaa, että se käyttää asianmukaisia suojatoimia suojatakseen siirrettyjä henkilötietoja sitoutumalla käytännesääntöihin tai sertifiointimekanismin avulla– Käytännesääntöjä voivat laatia yhdistykset ja muut elimet, jotka edustavat

rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä

– Sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä voidaan ottaa käyttöön erityisesti unionin tasolla

> Toimivaltainen valvontaviranomainen hyväksyy käytännesäännöt ja myöntää sertifioinnit. Myös erityiset sertifiointielimet voivat myöntää sertifiointeja

> Vielä yksikään viranomainen ei ole hyväksynyt käytännesääntöjä tai sertifiointimekanismeja

Yritystä koskevat sitovat säännöt> Yritystä koskevia sitovia sääntöjä (binding corporate rules) voidaan käyttää

siirtoperusteena silloin, kun monikansallinen konserni tai yritysryhmä, joka harjoittaa yhteistä taloudellista toimintaa, siirtää tietoja sisäisesti konsernin sisällä ETA-alueen ulkopuolelle– Toimivaltainen valvontaviranomainen vahvistaa säännöt– Säännöt ovat oikeudellisesti sitovat

> Säännöillä varmistetaan mm.– tietosuojaperiaatteiden noudattaminen;– asianmukainen tietosuojakoulutus henkilöstölle;– valitusmenettelyt; ja – mekanismit, joiden avulla sääntöjen noudattaminen varmistetaan.

> Hyväksytetty yhteensä 125-130 konsernissa

Vakiolausekkeet sopimuksissa> Komissio voi vahvistaa tietosuojaa koskevat vakiolausekkeet, joiden

käyttäminen sopimusjärjestelyssä tarjoaa asianmukaisen henkilötietojen

suojan silloin, kun henkilötietoja siirretään EU- tai ETA-alueen ulkopuolelle

> Myös tietosuojaviranomainen voi vahvistaa riittävän suojan tarjoavat

vakiolausekkeet, jotka komissio hyväksyy

> Tähän mennessä mallisopimuslausekkeita on kolmet:

– Kahdet näistä soveltuvat tietojen siirroissa rekisterinpitäjältä rekisterinpitäjälle (ns.

”Controller-to-Controller”)

– Yhdet soveltuvat tietojen siirroissa rekisterinpitäjältä henkilötietojen käsittelijälle (ns.

”Controller-to-Processor”)

Vakiolausekkeet käytännössä: Käsitteet

> “Tietojen viejä” (engl. data exporter) tarkoittaa rekisterinpitäjää, joka siirtää

henkilötietoja

> “Tietojen tuoja” (engl. data importer) tarkoittaa kolmanteen maahan

(EU/ETA-alueen ulkopuolelle) sijoittunutta henkilötietojen käsittelijää tai

rekisterinpitäjää, joka vastaanottaa henkilötietoja tietojen viejältä

käsitelläkseen niitä

Vakiolausekkeet käytännössä> Voidaanko vakiolausekkeita käyttää kahden ETA-alueella toimivan

tahon välillä?

> Ei. ETA-alueella toimiva käsittelijä ei voi toimia “tietojen tuojana” komission

päätöksen tarkoittamalla tavalla, koska päätös edellyttää että tietojen tuoja on

sijoittunut ETA-alueen ulkopuolelle.

Vakiolausekkeet käytännössä> Voidaanko vakiolausekkeita käyttää silloin, kun henkilötietoja

siirretään ETA-alueella toimivalta henkilötietojen käsittelijältä ETA-

alueen ulkopuolella toimivalle alikäsittelijälle?

> Ei. ETA-alueella toimiva henkilötietojen käsittelijä ei voi toimia komission

päätöksen tarkoittamana “tietojen viejänä”, koska tietojen viejän tulee olla

rekisterinpitäjä.

Vakiolausekkeet käytännössä> Kuinka henkilötietojen siirto ETA-alueella toimivalta

henkilötietojen käsittelijältä ETA-alueen ulkopuolella toimivalle

alikäsittelijälle tulisi toteuttaa?

> Vakiolausekkeita ei voida soveltaa tilanteessa, jossa ETA-alueelle sijoittunut

henkilötietojen käsittelijä käsittelee henkilötietoja ETA-alueella toimivan

rekisterinpitäjän puolesta ja siirtää käsittelyn kolmannessa maassa toimivalle

alikäsittelijälle.

Vakiolausekkeet käytännössä> Vaihtoehto 1: Suora sopimus ETA-alueella toimivan

rekisterinpitäjän ja ETA-alueen ulkopuolella toimivan

alikäsittelijän välillä

Vakiolausekkeet käytännössä> Vaihtoehto 2: Valtuutus ETA-alueella toimivalta rekisterinpitäjältä

ETA-alueen ulkopuolella toimivalle henkilötietojen käsittelijälle

Vakiolausekkeet käytännössä> Vaihtoehto 3: Valtuutus ETA-alueen ulkopuolella sijaitsevalta

alikäsittelijältä ETA-alueella sijaitsevalle henkilötietojen käsittelijälle

Erityistilanne – Rekisterinpitäjä ei EU:n alueella> Soveltuvatko siirtorajoitukset tilanteessa, jossa rekisterinpitäjä ei

ole EU:ssa, mutta käyttää EU:ssa olevaa käsittelijää, joka

puolestaan käyttää EU:n ulkopuolista alikäisttelijää?

> Voi soveltua – ainakin jos rekisterinpitäjä GDPR:n piirissä.

Erityistilanteita koskevat poikkeukset

> Jos tietosuojan riittävyydestä ei ole tehty komission päätöstä, eikä asianmukaisia suojatoimia ole myöskään toteutettu, voi siirto perustua useisiin erityistapauksia koskeviin poikkeuksiin

> Siirtoperusteita erityistilanteissa ovat esimerkiksi: – Rekisteröidyn nimenomainen suostumus, hänen saatuaan kaikki tarvittavat tiedot

siirtämiseen liittyvistä riskeistä– Rekisteröidyn ja rekisterinpitäjän välinen sopimus, jonka täytäntöön panemiseksi tai

sopimusta edeltävien toimenpiteiden toteuttamiseksi siirtäminen on tarpeen– Rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välinen sopimus,

joka on rekisteröidyn edun mukainen ja jonka tekemiseksi tai täytäntöön panemiseksi siirtäminen on tarpeen

– Oikeusvaateen laatiminen, esittäminen tai puolustaminen, jonka vuoksi siirtäminen on tarpeen

Mikä organisaatiossanne on tavanomaisin siirtoperuste?a) Vakiosopimuslausekkeet

b) Rekisteröidyn suostumus

c) Jokin muu

d) Tietojamme ei käsitellä EU:n/ETA:n ulkopuolella

e) En tiedä

Ota yhteyttä

Managing Associate

Tel: +358 40 483 5763

erkko.korhonen@hannessnellman.com

HelsinkiHannes Snellman Attorneys Ltd

Eteläesplanadi 20 | P.O. Box 333

00130 | 00131 Helsinki, Finland

Tel: +358 9 228 841

Fax: +358 9 177 393

riikka.rannikko@hannessnellman.com

StockholmHannes Snellman Attorneys Ltd

Kungsträdgårdsgatan 20 | P.O. Box 7801

111 47 | 103 96 Stockholm, Sweden

Tel: +46 760 000 000

Fax: +46 8 679 85 11

paula.rottorp@hannessnellman.com

www.hannessnellman.com