Tulostusversio

2/2009

Henkilötiedot: Globaali konserni tarvitsee tietosuojasäännöt

Teksti: Kirsi Castrén

Konsernin sisäiset sitovat tietosuojasäännöt ovat osoittautuneet oivaksi tavaksi turvata työntekijöiden ja asiakkaiden yksityisyys, kun henkilötietoja siirretään yli EU-rajojen.

Henkilötietojen siirto ulkomaille mielletään helposti sähköpostin tai kirjeen välityksellä tapahtuvaksi lähettämiseksi. Kuitenkin tiedonsiirtoa on jo se, kun kansainvälisen yrityksen tietokoneelta avataan yhteys konsernin yhteiseen tietokantaan, joka sisältää yksilöityjä tietoja toisessa maassa sijaitsevan toimipisteen työntekijöistä tai asiakkaista.

Tietosuojan ja -turvan taso vaihtelee huomattavasti eri maissa. Suomen kansalainen on oikeutettu saamaan henkilötiedoilleen yhtä hyvän suojan ulkomailla kuin Suomessakin. 

Maasta toiseen suuntautuvia tiedonsiirtoja säätelevät henkilötietolaki ja EU:n henkilötietodirektiivi. Direktiivin eräänä tarkoituksena on henkilötietojen vapaa liikkuvuus EU:n sisällä. Henkilötietoja saa siirtää EU:n ja ETA:n alueella samoin perustein kuin Suomessakin, eikä siirroista tarvitse ilmoittaa tietosuojavaltuutetulle.

Ns. kolmansiin maihin siirrettäessä pätevät kuitenkin toiset säännöt.

Lupa tai menettely tarvitaan

Henkilötietoja on lain mukaan luvallista siirtää EU:n ja ETA:n ulkopuolelle ilman ilmoitusta tietosuojavaltuutetulle ainoastaan, jos EU-komissio on todennut ko. maassa vallitsevan riittävän tietosuojan tason. Tällaisia maita on komission julkaisemassa listassa vain muutama, eikä niihin ilman erityisjärjestelyjä kuulu esimerkiksi Yhdysvallat.

Yhdysvaltojen ja EU:n välisten tiedonsiirtojen mahdollistamiseksi on luotu nk. turvasatamajärjestelmä (Safe Harbor), johon yhdysvaltalainen yritys voi vapaaehtoisesti liittyä sitoutumalla noudattamaan USA:n kauppaministeriön ja EU:n määrittelemiä yksityisyyden suojaa koskevia periaatteita.

Muita tapoja siirtää henkilötietoja laillisesti EU:n ulkopuolelle ovat esimerkiksi komission laatimat valmiit mallisopimuslausekkeet ja rekisteröidyn suostumus.

Konsernien tiedonsiirto helpottuu

Konsernin sisäiset sitovat tietosuojasäännöt (Binding Corporate Rules, BCR) ovat suhteellisen uusi menettely, joka helpottaa erityisesti suurten organisaatioiden tiedonsiirtoja.

"Isoissa konserneissa tiedonsiirrot eivät useinkaan ole yksittäisiä vaan siirtojen sarjoja. Liiketoiminta on varsin monimuotoista, ja myös henkilöstöhallinnon muuttujat ovat moninaisia. BCR-säännöt soveltuvat näihin paremmin kuin mallisopimuslausekkeet, jotka on luotu tiettyihin tyyppitilanteisiin ja jotka saattavat olla hiukan hankalia monikotimaiselle konsernille," tietosuojavaltuutettu Reijo Aarnio arvioi.

Tietosuojavaltuutetun toimisto antaa ohjausta ja neuvontaa niin BCR-sääntöjen käytössä kuin muissakin henkilötietojen siirtoon liittyvissä kysymyksissä. Tietosuojavaltuutettu on mukana EU-komission alatyöryhmässä, jonka tavoitteena on kehittää BCR-menettelyä vastaamaan entistä paremmin organisaatioiden tarpeisiin.

Räätälöity kokonaisuus

Konsernin sisäiset sitovat tietosuojasäännöt ovat yrityksen tarpeisiin varta vasten suunniteltava toimintamalli, jolla henkilötietoja voidaan siirtää maasta toiseen konsernin sisällä joustavasti ja silti turvallisesti.

Säännöt laaditaan keräämällä nk. leading authorityksi valitun maan johdolla tietoa eri maiden tietosuojalainsäädännöistä ja -käytännöistä ja sovittamalla nämä yhteen konsernin yhteiseksi tietosuojasäännöstöksi.

Prosessi on monivaiheinen, kertoo Sakari Aalto asianajotoimisto Roschierilta.

"Konsernin sisällä kerätään aluksi eri maista sellaiset tietosuojaohjeet, joiden puitteissa konsernin eri yhtiöt voivat toimia. Tämän jälkeen tavallisesti kootaan lista toimista, joita konsernin tietosuojakäytännöissä pitää kussakin maassa muuttaa, jotta ohjeita voidaan noudattaa yhtenäisellä tavalla. Samaan aikaan käydään keskusteluja tietosuojaviranomaisten kanssa", Aalto kuvailee.

Monien yritysten BCR-sääntöjen käyttöönottoon osallistuneen Aallon kokemusten mukaan yritykset ovat pääsääntöisesti olleet tyytyväisiä menettelyn lopputulokseen, vaikka prosessi onkin vaativa. Aikaa tiedonkeruuseen, toiminnallisiin täsmennyksiin ja BCR-sääntöjen laadintaan ja hyväksymiseen saattaa vierähtää yli vuosi.

"Konsernin sisäiset sitovat tietosuojasäännöt ovat hyvä tapa siirtää tietoa isoissa organisaatioissa, joilla on paljon yhtiöitä eri maissa. Konserneille, joiden yhtiöiden määrä pysyy rajallisempana, suosittelemme pääsääntöisesti mallilausekkeiden käyttöä," Aalto summaa. 

Kevyempään kaavaan

BCR-sääntöjen kokoamisvaiheen työläys saattaa osaltaan selittää sitä, ettei niitä ole toistaiseksi käytetty kovin yleisesti. Aalto arvioi Suomessa vasta parinkymmenen suuryrityksen laatineen sisäiset sitovat tietosuojasäännöt.

EU:n komission alatyöryhmä pyrkiikin kehittämään prosessista keveämpää. Eräät jäsenmaat, mm. Hollanti ja Ranska, ovat ehdottaneet ratkaisuksi nk. mutual recognition -menettelyä, jossa sääntöjen laadintaa koordinoiva leading authority -maa saisi nykyistä suuremman päätäntävallan. Muutos vähentäisi neuvottelukierroksia, kun yksi maa hyväksyisi osan tietosuojaratkaisuista toistenkin puolesta. Suomi on Ruotsin rinnalla ottanut ehdotukseen kielteisen kannan.

"Olen katsonut, ettei Suomen tietosuojalainsäädäntö mahdollista nykymuodossaan tämänkaltaista toimivallan siirtoa toisille viranomaisille," tietosuojavaltuutettu Aarnio toteaa.

Asiantuntija voi auttaa

Konsernin sisäiset sitovat tietosuojasäännöt saattavat tulevaisuudessa olla nykyistä käyttökelpoisempi työkalu myös pienten ja keskisuurten yritysten tietosuojan varmistamiseen. Nykymuodossaan BCR:n kaltaisten toimintamallien luominen edellyttää organisaatiolta valmiutta paitsi ajankäytölliseen satsaukseen, myös taloudelliseen panostukseen mm. asianajokuluina. Kaikissa yrityksissä ei ole tähän riittäviä resursseja.

"Riippuu paljon yrityksestä, tarvitaanko BCR-sääntöjen laatimisessa asianajajia. Tiedän, että useimpien kansainvälisten toimijoiden Suomessa tekemät BCR:t on tehty osin sisäisin voimin. Yleensä konserneista ei löydy riittävää osaamista tai resursseja ainakaan kaikista maista talon sisältä," Sakari Aalto arvelee.

Tietoturvassa tarkkana

BCR-säännöt määrittelevät periaatteellisella ja mahdollisuuksien mukaan käytännönkin tasolla monenlaisia yksityisyydensuojaan liittyviä seikkoja tietojensiirrossa.

Eräs keskeinen elementti on tietoturva. Yrityksen käyttämistä teknologiaratkaisuista riippuen huomiota saatetaan kiinnittää esimerkiksi palvelinten suojaukseen tai toiminnoista jääviin käyttöjälkiin.

Konsernin sisäisten sitovien tietosuojasääntöjen, kuten muidenkin kansainvälisiin tiedonsiirtoihin tarkoitettujen menettelyjen tarkoitus on turvata kansalaiselle samat oikeudet yksityisyyteen tietojensiirron tapahduttua kuin hänellä on ennen sitä. Säännöt käsittelevät siksi pitkälti samoja kysymyksiä kuin henkilötietolain pykälätkin. Rekisteröidyn tulee esimerkiksi saada tietää, mihin tarkoitukseen hänestä kerätään tietoja. Hänellä tulee myös olla mahdollisuus tarkistaa ja oikaista omat tietonsa riippumatta siitä, missä tietoja käsitellään.

 

Lisätietoa henkilötietojen siirrosta ulkomaille saa tietosuojavaltuutetun toimiston oppaasta Henkilötietojen siirto ulkomaille henkilötietolain mukaan >>

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.