Hankinnat osa II – Henkilötietojen siirrot kolmansiin maihin

Siirto ETA-alueen ulkopuolelle tulee arvioitavaksi yleensä vähän yllätyksenä ja vasta siinä vaiheessa, kun pitäisi tehdä jo sopimuksia. Jos ollaan ulkoistamassa asiakaspalvelutehtäviä, markkinointia tai hankkimassa pilvipalveluita, on hyvin tavallista, että toimittajat toimivat globaalisti. Mahdollinen kansainvälinen siirto voi tulla kyseeseen esim. seuraavien osalta:

• Palvelussa käytetyt järjestelmät, rakenne ja järjestelmien sijainti
• Verkkoyhteydet järjestelmien välillä kulkevat kolmannen maan läpi
• Tietokannat tai datavarastot ja niiden sijainti
• Tekninen ylläpito voidaan tuottaa muualta maailmasta
• Monitorointi-, vianhallinta- ja huoltoyhteydet muualta maailmasta
• Varmuuskopiot (erityisesti hajautetut järjestelmät)
• Sovelluskehityksen tuotantomaa
• Asiakaspalvelun tuotantomaa
• Tietoturvan valvontaan liittyvät palvelut ja järjestelmät
• Palvelun tai järjestelmän analytiikan tuottamismaa

Kansanväliset siirrot tulee arvioida oikeastaan kahdessa vaiheessa. Ensimmäinen vaihe on ihan prosessin alussa, jossa organisaatio vasta suunnittelee hankintaa. Siinä yhteydessä olisi jo kuvattava henkilötietojen käsittely, käsiteltävät henkilötiedot ja rekisteröityjen ryhmät, jossa henkilötietoja käsitellään. Usein organisaatiot tuottavat jo tässä kohtaa yleistasoisen kuvauksen käsittelystä ja toimittajan mahdollisesta roolista henkilötietojen käsittelystä – vaikkei toimittajaa olisi vielä valittu. Tämä kuvaus on pakollinen siksikin, että tietosuojaperiaatteiden toteutumisen tai ihmisten oikeuksien ja vapauksien suojan arviointi ei muuten ole mahdollista. Jos toimittajaa ei ole vielä valittu, ei tietenkään voida vielä varmuudella nimetä henkilötietojen siirtoja, mutta kuvauksen laatimisen jälkeen, tulisi esittää kaksi kysymystä:

1. Halutaanko käsittelylle asettaa erityisiä tietoturvavaatimuksia tai asettavatko omat sopimukset muihin sidosryhmiin sellaisia vaatimuksia?
2. Onko käsittely sen luontoista, että tietosuojalainsäädäntö ja esimerkiksi siirrot ETA-alueelta ulos on erityisesti huomioitava?

Kohdan 2 yhteydessä tulee arvioida myös se, että voimmeko ylipäätään siirtää henkilötietoja ETA-alueen ulkopuolelle. Tai onko käsittely sellaista, että tietyillä lisäsuojakeinoilla (pseudonymisointi, salaus, hajauttaminen, ym.) siirto voitaisiin tehdä.

Toisen kerran kansainvälisiä siirtoja tulee arvioida, kun arvioidaan toimittajia (tai toimittajaa, jos kyse on jo valmiiksi valitusta toimittajasta). Koska jokainen toimittaja toimii usein omalla tavallaan, tulee toimittajaa pyytää avaamaan käsittelyketju ja käytetyt alihankkijat, sekä sopimukset, joilla käsittelyä ohjataan. Tässä kohtaa tarkastetaan myös tietoturva eri toimittajilla ja miten he sopimuksilla siihen sitoutuvat. Toimittajat usein julkaisevat omia alihankkijalistojaan, käytettyjä alikäsittelijöitä ja erilaisia tietoturva- tai tietosuojakuvauksia palveluistaan, joista nämä asiat myös voivat selvitä. Myös sopimuksilla niitä on nykyään pääsääntöisesti hyvin avattu. Ja ellei asia selviä edellisiltä, tulee toimittajan kanssa käydä riittävä vuoropuhelu asian osalta.

Toimittajan valinnan jälkeen siirrot varmistuvat ja jos siirto ETA-alueen ulkopuolelle tapahtuu, hankintaosasto tarvitsee tietosuojatiimiltään:

1. Maakohtaisen lainsäädäntöarvion ETA-alueen ulkopuolisten kohdemaiden tietosuojalainsäädännön riittävyydestä
2. Arvion kansainvälisen siirron vaikutuksista ja siinä käytettävistä lisäsuojakeinoista (ns. ”TIA”, Transfer Impact Assessment)

Sopimuksia ei kannata allekirjoittaa ennen edellisiä, sillä kokemusten perusteella toimittajien yhteistyöhalu laantuu merkittävästi, kun nimet on saatu paperiin ja laskutus juoksemaan. Täydennän siis edellisen blogini muistilistan hankinnoista seuraavanlaiseksi:

1. Laadi kuvaus siitä, miten henkilötietoja hankinnan jälkeen käsitellään ja määrittele millaisia tietoturva- ja tietosuojavaatimuksia käsittelylle tulee asettaa huomioiden esim. siirtoihin kohdistuvat rajoitukset ETA-alueen ulkopuolelle
2. Tietosuojaperiaatteiden toteutumisen varmistaminen
3. Rekisteröityjen oikeuksien ja vapauksien suoja ja oikeuksien toteuttaminen
4. Toimittajavalidointi ja toimittajan käyttämien alihankkijoiden ja käsittelijöiden selvitys
5. Kohdemaiden lainsäädäntöarvio ja siirtoja koskevat arviot, jos tietoja siirtyy käsittelyketjussa kolmansiin maihin
6. Henkilötietojen käsittelysopimukset
7. Rekisterinpitäjän ohjeet
8. Yleinen riskiarvio tai tietosuojaa koskeva vaikutustenarviointi (aloitetaan jo kohdassa 1, mutta viimeistellään tässä)
9. Käsittelytoimien selosteiden päivitykset
10. Informointi

Lopuksi vielä tärkeä huomio! Joskus hankinnan alussa yritetään säästää työaikaa ja tehdä hankinnasta mahdollisimman nopea prosessi. Todellisuudessa alkuvaiheen asioihin tullaan törmäämään viimeistään silloin, kun tietosuojatiimi alkaa tekemään arvioita vaikutustenarvioinnin tarpeesta ja alkavat laatimaan käsittelytoimien kuvausta ja informointia. Jos siinä vaiheessa havaitaan ongelmia, voidaan olla tilanteessa, jossa organisaatio on tehnyt hankinnan, jota se ei voi hyödyntää.

Selkeällä prosessilla ja mallilla joka tapauksessa lain vaatima työ vaan sijoittuu hankintaprosessin alkupäähän loppuvaiheen sijaan ja antaa organisaatiolle enemmän mahdollisuuksia hallita tietoturvan ja tietosuojan toteutumista tehokkaammin.

*** Päivitys 08 / 2023 ***

10.7.2023 Euroopan komissio antoi tietosuojaa koskevan riittävyyspäätöksen Euroopan ja Yhdysvaltojen tietosuojakehykselle (DPF, Data Privacy Framework). Tämä vapautti ainoastaan lisäsuojakeinojen määrittämiseltä, joita tarvittiin vielä vakiomuotoisten sopimuslausekkeiden ollessa siirtomekanismina. Joka tapauksessa kaikki muu tulee edelleen tehdä, joten kannattaa varmistua, että jatkossakin tunnet siirrettävät tiedot, määrittelet siirtomekanismit ja tunnet toimitusketjut. Ja historiasta kannattaa oppia. Tämä on jo kolmas siirtomekanismi kahden aiemman kaaduttua EU oikeudessa. Kannattaa ehkä ainakin vähän varautua siihen, että maailma voi jälleen muuttua.