Tulostusversio

4/2009

Sähköiset palvelut: Sertifioitua tietosuojaa EU:ssa

Teksti: Jarno Vanto

Eurooppalaisella tietosuojasertifioinnilla yritys voi näyttää, että sen tuote täyttää EU:n tietosuojasäännösten vaatimukset.

Sähköisten palvelujen lisääntyminen on herättänyt huolta siitä, miten henkilötietojen suoja otetaan niissä huomioon. Kuluttajat ovat kaivanneet ohjausta luotettavien tuotteiden ja palvelujen valitsemiseen.

IT-tuotteita ja IT-pohjaisia palveluja tarjoava yritys voi osoittaa esimerkiksi EuroPrise-tietosuojasertifikaatilla, että sen tuotteet ovat tietosuojasäännösten mukaisia. Myönnettyä laatuleimaa voidaan hyödyntää sekä kuluttajamarkkinoinnissa että julkisyhteisöihin kohdistuvassa viestinnässä.

Perustuu direktiiveihin

EuroPrisen sertifiointikriteerit perustuvat henkilötietodirektiiviin, sähköisen viestinnän tietosuojadirektiiviin sekä EU:n jäsenvaltioiden tietosuojavaltuutetuista koostuvan artiklan 29 mukaisen työryhmän kannanottoihin. Lisäksi IT-pohjaisissa palveluissa huomioidaan niiden maiden henkilötietolait, joissa palvelua tarjotaan. Kriteerit ovat saatavilla EuroPrisen verkkosivuilla.

Sertifiointiviranomaisena toimii saksalaisen Schleswig-Holsteinin osavaltion tietosuojavaltuutettu ULD (Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein). Sen yhteistyökumppaneita ovat Ranskan ja Madridin kaupungin tietosuojavaltuutetut.

ULD:n EuroPrise-johtaja Kirsten Bockin mukaan tietosuojadirektiivit ja artiklan 29 mukaisen työryhmän kannanotot tarjoavat parhaan mahdollisen oikeudellisen pohjan sertifioinnille. Kriteerien täyttäminen osoittaa, että tuote tai palvelu toimii EU:n tietosuoja- ja tietoturvaäännösten mukaisesti.

Bock korostaa, että EuroPrise on ainoa tietosuojan laatuleima, joka pohjautuu EU:n tietosuojadirektiiveihin ja jonka myöntää viranomainen.

Ongelmallinen ennakkohyväksyntä

ULD katsoo, että tämänhetkisen lainsäädännöllisen pohjan EuroPrise-sertifioinnille antaa Schleswig-Holsteinin henkilötietolain 43. pykälä. Sen mukaan tietosuojavaltuutetun tehtävänä on antaa tietosuojaa ja tietoturvaa koskevaa ohjausta ja neuvontaa.

Suomen henkilötietolaki on lähes samansisältöinen kuin Schleswig-Holsteinin laki. Suomen tietosuojavaltuutettu on aikaisemmin katsonut, ettei Suomen henkilötietolaki yleensä eikä lain 38. pykälä erikseen anna tietosuojavaltuutetulle oikeutta hyväksyä henkilötietolain mukaisuutta ennakolta.

Kuitenkin Suomen lain 42. pykälä antaa tietosuojavaltuutetulle oikeuden tarkastaa, että toimialakohtaiset käytännesäännöt ovat henkilötietolain ja muiden henkilötietojen käsittelyyn vaikuttavien säännösten mukaisia. Tämän voisi nähdä eräänlaisena ennakkohyväksyntänä. EuroPrise-sertifiointiin tietosuojavaltuutetun toimisto ei kuitenkaan vielä ole ottanut julkisesti kantaa. 

Oikeusvarmuuden lisäämiseksi ja kansallisten sertifiointimenettelyjen sekavuuden välttämiseksi ULD yhteistyökumppaneineen pyrkii saamaan EuroPrisen olennaiseksi osaksi EU:n henkilötietodirektiiviä, kun sitä pian ryhdytään päivittämään.

Voimassa kaksi vuotta

Laatuleimaa varten tuotteen tai palvelun on läpäistävä sertifiointimenettely. Valmistaja tai myyjä valitsee ensiksi valtuutetun oikeudellisen ja teknisen asiantuntijan suorittamaan sertifioitavan tuotteen tai palvelun arvioinnin.

Riippumattomat oikeudelliset ja tekniset asiantuntijat arvioivat tuotteen tai palvelun. Pilottivaiheessa mukana olleiden Alankomaiden, Espanjan, Iso-Britannian, Itävallan, Ranskan, Ruotsin, Saksan ja Slovakian lisäksi valtuutettuja asiantuntijoita on tällä hetkellä Suomessa ja Yhdysvalloissa. Lista valtuutetuista asiantuntijoista on EuroPrisen verkkosivuilla.

Asiantuntijoiden on valtuutuksen saadakseen osallistuttava koulutustilaisuuteen ja läpäistävä IT-pohjaisen palvelun harjoitusarviointi.

Asiantuntijat arvioivat tuotteen tai palvelun kiinnittäen huomiota sen toimintaan, markkina-alueeseen ja tekniseen toteutukseen. Tuotteen tai palvelun ominaisuuksia verrataan virallisiin kriteereihin. Lopuksi laaditaan arviointiraportti.

Sertifiointiviranomainen tarkistaa raportin kiinnittäen erityistä huomiota käytettyyn metodologiaan, johdonmukaisuuteen ja kattavuuteen. Hakemusvaiheessa käydään myös läpi seikat, joihin asiantuntijat eivät mahdollisesti olleet kiinnittäneet huomiota arvioinnissaan.

Jos tuote tai palvelu täyttää vaatimukset, sertifiointiviranomainen myöntää sille EuroPrise-laatuleiman kahdeksi vuodeksi.

Dokumentaatio kuntoon

Sertifiointi maksaa noin 7 000 euroa. Summa ei sisällä asiantuntijoiden palkkioita. Sertifiointiprosessi kestää keskimäärin 3–5 kuukautta. ULD:n lakimies Sebastian Meissnerin mukaan kesto riippuu paljolti oikeudellisesta ja teknisestä arvioinnista. Yritykset voivat omalla toiminnallaan jouduttaa prosessia:

”Yritysten pitäisi keskustella asiantuntijoiden kanssa heti prosessin alkuvaiheessa evaluoinnin kohteen mahdollisimman tarkasta määrittämisestä. Pitää tarkistaa, onko tuotteesta tai palvelusta riittävän kattava ja selkeä dokumentaatio. Nämä seikat voivat nopeuttaa prosessia huomattavasti”, Meissner toteaa.

Useat tuotteen tai palvelun tarjoajat ovat yllättyneet esimerkiksi siitä, että IP-osoitteet ovat henkilötietoja. Siksi esimerkiksi pyyntölokitiedostot pitää ottaa huomioon yhtenä henkilötietojen suojaa koskevana elementtinä.

Tuotteen tai palvelun dokumentaatiota ja lainmukaisuutta saa parantaa sertifiointiprosessin aikana.

---

[KIRJOITTAJA]

Jarno Vanto on New Yorkin asianajajaliiton jäsen ja valtuutettu EuroPrisen oikeudellinen asiantuntija. Hän on myös Thomson Reuters -yhtiön International Privacy Guide -julkaisun päätoimittaja ja on pitänyt tietosuojaan liittyviä kursseja New York City Bar Associationissa, New York County Lawyers Associationissa sekä International Association of Privacy Professionals-järjestössä.

Lue myös

Sähköiset palvelut: Selvityksestä sertifikaattiin »
Sähköiset palvelut: Omat tiedot haltuun »
Sähköiset palvelut: Potilaille pääsy omiin tietoihin »
Sähköiset palvelut: Kaipaako kuluttaja tietosuojaa? »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.