Tulostusversio

1/2008

Tietosuoja: Kansainväliset tietojensiirrot vaativat tarkkuutta

Teksti: Kirsi Castrén

Yritykset ja organisaatiot tallettavat toimintaansa varten runsaasti tietoja työntekijöistään, asiakkaistaan ja yhteyshenkilöistään. Kansainvälistymisen myötä tietoja käytetään yhä kauempana. Henkilötietojen siirrossa ulkomaille muhii monenlaisia tietosuojariskejä.

Kun kolmannesta maasta otetaan yhteys suomalaiseen tietokantaan, on jo kyse henkilötietojen siirrosta.

"Näin tapahtuu esimerkiksi soitettaessa Suomesta kansainvälisen yrityksen asiakaspalvelukeskukseen, joka sijaitsee Intiassa ja jolla on pääsy Suomessa toimivan yhtiön tietokantaan”, tietosuojavaltuutettu Reijo Aarnio sanoo.

Tietotekniset järjestelmät kehittyvät nopeasti ja mahdollistavat jo nyt varsin laajamittaisen henkilötietojen säilyttämisen ja siirtämisen. Tietojenkäsittely on yrityksissä usein ulkoistettu alihankkijoille. Tietosuojan turvaaminen on uudella tavalla haasteellista, kun mittakaava on maailmanlaajuinen.

Kansainväliset konsernit joustavoittavat toimintaansa keskittämällä muun muassa asiakasrekistereitään ja henkilöstöhallintoaan. Henkilötiedot siirtyvät maasta toiseen yksittäisinä tietueina ja suurina tietomassoina.

”Yritysten etu on huolehtia mahdollisimman hyvin asiakkaiden ja työntekijöiden yksityisyyden säilymisestä, niin siirtojen yhteydessä kuin niiden jälkeenkin”, tietosuojavaltuutettu toteaa. 

”Rekisteröitävät ja rekisterinpitäjät ovat nähdäkseni samassa veneessä tietosuojakysymyksissä. Yrityksen asiakassuhteille ei tee hyvää, jos ei voida luottaa yksityisyyden suojaan.”

Kaikki yritykset eivät ole selvillä henkilötietojen siirtoihin liittyvistä tietosuojavelvoitteistaan. Tähän viittaavat Tietosuojavaltuutetun toimiston vuonna 2004 sadalle suomalaisyritykselle lähettämän kyselyn tulokset. Aarnion mukaan tilanne on kuitenkin menossa parempaan suuntaan.

”Yhä useammin etenkin suuryrityksillä on asiantuntevaa henkilökuntaa palkattuna nimenomaan tietosuojakysymysten hallintaan.”

Siirrosta kolmanteen maahan ilmoitettava

Henkilötietojen ulkomaille luovutusta säännellään henkilötietolaissa ja EU:n henkilötietodirektiivissä. Direktiivin eräänä tavoitteena on henkilötietojen vapaa liikkuvuus EU:n sisällä.

”Me Euroopan tietosuojaviranomaiset olemme tiivistämässä yhteistyötämme näissäkin kysymyksissä. Tulevaisuuden haasteita on muun muassa EU-alueen laajeneminen, joka kasvattaa niiden maiden joukkoa, joihin tietoja mahdollisesti voidaan luovuttaa”, Aarnio sanoo. 

EU:n ja Euroopan talousalueen sisällä henkilötietoja saa henkilötietolain mukaan siirtää toiseen maahan samoin perustein kuin Suomessakin. Tästä ei tarvitse ilmoittaa tietosuojavaltuutetulle. EU:n tai ETA:n ulkopuolelle henkilötietoja voi siirtää vain, jos kyseisessä maassa taataan riittävä tietosuojan taso. Tietosuojan tason arvioi tietosuojavaltuutettu, jolle rekisterinpitäjän on ilmoitettava tietojen siirrosta. 

Siirrettäessä tietoja maahan, jossa ei voida todeta vallitsevan riittävää tietosuojan tasoa, voidaan siirto suorittaa käyttäen apuna EU:n komission hyväksymiä mallisopimuslausekkeita. Sopimuslausekkein rekisterinpitäjä antaa riittävät takeet henkilön yksityisyyden ja oikeuksien suojasta. Sopimuksen tarkoitus on turvata rekisteröidylle vähintään samat oikeudet kuin hänellä on ennen luovutusta.

Sopimukseen perustuvan siirron edellytyksenä on luonnollisesti, että tietoja on ennen siirtoa käsitelty kansallisen lainsäädännön mukaisesti. Jos tietojen luovutus kyseiseen tarkoitukseen ei olisi laillista Suomessa, ei luovutusta oikeuta se, että vastaanottaja sijaitsee kolmannessa maassa.

Konsernin sisäiset sitovat tietosuojasäännöt (BCR, Binding Corporate Rules) antavat mahdollisuuden lailliseen henkilötietojen siirtoon maasta toiseen konsernin sisällä. Niitä tarvitaan esimerkiksi silloin, kun konsernin rakenne muuttuu uuden yhtiön perustamisen myötä ja rekisterit on päivitettävä.

BCR-sääntöjen sisältövaatimuksista valmistellaan paraikaa tarkempaa ohjeistusta EU:n kansallisista tietosuojavaltuutetuista koostuvassa työryhmässä, joka jo 2003 on hyväksynyt näitä periaatteita koskevan asiakirjan.

Yrityksistä on aika ajoin kantautunut tietosuojavaltuutetun toimistoon toivomuksia BCR-sääntöjen selkiyttämisestä.

”Tarkoituksenamme on pyrkiä rakentamaan BCR-säännöistä toimiva ja joustava, yksilön oikeudet turvaava työkalu kansainvälisiin tiedonsiirtoihin”, Aarnio vakuuttaa.

Etukäteissuunnittelu estää laiminlyönnit

EU:n tietosuojadirektiivi sääntelee henkilötietojen minimisuojan Euroopan laajuisesti. Kansalliset säännökset ja niiden täytäntöönpanotoimet kuitenkin vaihtelevat eri maissa. Mekanismit, joilla esimerkiksi USA:laisen emoyhtiön eurooppalaiset tytäryhtiöt siirtävät henkilötietoja yhteisiin tietokantoihin vaihtelevat huomattavasti, kertoo lakimies Eija Warma Asianajotoimisto Castrén & Snellman Oy:stä.

Warma näkee tärkeänä, että yritykset suunnittelisivat huolellisesti tietosuojaratkaisunsa ja henkilötietojen käyttötarpeensa jo tietojärjestelmiä laatiessaan.

”Huolellisella suunnittelulla voidaan minimoida tietosuojasäännösten laiminlyönnit.”

Yrityksissä ilmenee toisinaan, muun muassa yritysjärjestelytilanteissa, ettei tietosuojavelvoitteita ole täysimääräisesti noudatettu. Syyksi Warma arvelee lakitekstin vaikeaselkoisuuden sekä epätietoisuuden siitä, soveltuuko tietosuojasääntely kyseessä olevaan tilanteeseen. Warman kokemuksen mukaan erityisesti isoissa yhtiöissä tietosuoja-asiat ovat luonnollisesti enemmän arkipäivää ja tästä syystä useimmiten asianmukaisesti hoidettu.

Euroopan maiden vaihtelevat kansalliset lainsäädännöt tuottavat usein pulmatilanteita henkilötietojen siirrossa, ja Yhdysvaltojen tilanne poikkeaa monin tavoin Euroopasta. Yleisen tietosuojalainsäädännön sijaan siellä on käytössä alakohtainen lähestymistapa, jossa yhdistyvät lainsäädäntö, sääntely ja itsesääntely. USA:n ja EU:n neuvottelujen tuloksena on syntynyt Safe Harbor -järjestelmä, johon yritykset voivat vapaaehtoisesti liittyä. EU:n komissio on todennut järjestelmän varmistavan riittävän tietosuojan tason siirrettäessä henkilötietoja Yhdysvaltoihin.

Suuri osa yhdysvaltalaisista yrityksistä ei kuitenkaan kuulu Safe Harbor -järjestelmään. Tällöin siirto voidaan toteuttaa komission hyväksymien mallisopimuslausekkeiden avulla.

Kulttuuri kuvastuu tiedonkeruussa

EU:n henkilötietodirektiivin yhtenä tarkoituksena oli yhtenäistää käytäntöjä, mutta monissa tiedonsiirtotehtävissä mukana ollut asianajaja Sakari Aalto asianajotoimisto Roschierilta toteaa, että esimerkiksi tiedonkeruulomakkeet eri maissa ovat kirjavia. Laki säätää tietosuojavelvoitteet, mutta kulttuuri vaikuttaa siihen, mitä tietoja kerätään ja pidetään tärkeinä. 

Amerikkalaislähtöisissä yritysten tiedonkeruulomakkeissa kysytään lähes poikkeuksetta esimerkiksi työntekijän rotua – tieto, jota Suomessa ei saa tallentaa edes työntekijän suostumuksella.

"Käytäntö koetaan siellä positiivisena ja tasa-arvoa edistävänä: Yhtiöt saattavat jopa nettisivullaan kehuskella, kuinka monta prosenttia heidän työntekijöistään edustaa mitäkin etnistä vähemmistöä. Suomessa kyseinen kohta lomakkeesta jätetään tyhjäksi. Tämä saattaa joissakin tilanteissa olla työnantajalle ongelmallista, esimerkiksi laadittaessa tilastollisia yhteenvetoja”, Aalto kuvaa. 

”Keskieurooppalaiset yritykset taas joutuvat verotuslainsäädännön vuoksi kokoamaan tietoja työntekijöidensä perhesuhteista, kuten esimerkiksi puolison ja lasten nimet. Suomessa näitä tietoja kootaan vain tarveperusteisesti.”

Joitakin ulkomaalaisia hämmästyttää Suomessa kaikista henkilörekistereistä vaadittava rekisteriseloste. Esimerkiksi Isossa-Britanniassa seloste on laadittava vain silloin, kun rekisteristä on ilmoitettava tietosuojavaltuutetulle.

”Suomen tietosuojajärjestelmät eivät kansainvälisessä vertailussa kuitenkaan ole erityisen hankalia. Perustelut kuultuaan monet ulkomaalaiset pitävät niitä toimivina ja ymmärrettävinä”, Aalto kertoo. 

Lisää tietojenluovutuksista tietosuojavaltuutetun toimiston nettisivuilta >>

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.