Tulostusversio

2/2013

Palkkatoimisto muutti pilveen

Teksti: Kirsi Castrén
Kuvat: Olli Häkämies
asianajaja Jukka Lång
Työntekijöiden tiedot eivät välttämättä ole suomalaisen tietosuojan piirissä, jos niiden käsittely on ulkoistettu Suomen ulkopuolelle, muistuttaa asianajaja Jukka Lång.

Henkilöstöhallinnon rutiineista huolehtii yhä useammin ulkopuolinen yritys. Ulkoistaminen tuo säästöjä, mutta jos tietosuojan suhteen ei olla tarkkoina, pahimmillaan työntekijöiden henkilötiedot voivat karata taivaan tuuliin.

Firma Oy päättää keskittyä ydintoimintoihinsa. Palkkahallinto ulkoistetaan yhdessä tietoliikenteen ja IT-tukitoimintojen kanssa suurelle ylikansalliselle palveluntarjoajalle. Pilvipalvelun toteuttaa alihankkijaverkosto, jonka osat ulottuvat Intiaan saakka.

Yritykset ulkoistavat yhä useammin tukitoimintojaan tehokkuuden ja kustannussäästöjen toivossa. Tietosuojavaltuutettu Reijo Aarnion mukaan organisaatiot eivät aina ole riittävän tietoisia ulkoistusten riskeistä eivätkä tietosuojavelvoitteistaan.

“Toivomuksemme on, että kun organisaatiossa valitaan ulkoistuskumppania, edellytettäisiin tarjouskilpailuun osallistuvilta, että nämä kykenevät osoittamaan menettelevänsä sääntöjen ja viranomaismääräysten mukaisesti.”

Ulkoistava organisaatio on henkilötietolain mukainen vastuullinen rekisterinpitäjä, jonka velvollisuus on huolehtia, että henkilötiedot ovat turvassa ulkoistuksen jälkeenkin ja että niitä käsitellään lainmukaisesti.

”Käytämme nyrkkisääntönä, että sen, minkä saa itse tehdä, saa ulkoistaa”, tietosuojavaltuutettu kiteyttää.

“Koskaan et voi ulkoistaa parempaa oikeutta kuin itselläsi on.”

Hankalat tiedonsiirrot

Tietosuoja- ja tietoturvariskejä liittyy etenkin pilvipalveluihin, joissa tiedon tallennuspaikka voi vaihdella maasta toiseen.

Erityistä tarkkuutta edellyttää tietojen käsittely EU:n tai Euroopan talousalueen ulkopuolella. EU:n tietosuojaviranomaisten tulkinnan mukaan kansainväliseksi tiedonsiirroksi (EU:n tai Euroopan talousalueen ulkopuolelle) katsotaan jo esimerkiksi yhteyden ottaminen suomalaiseen tietokantaan ulkomailta. Kyse ei siis tarvitse olla tietojen tallentamisesta ulkomaiselle palvelimelle. Asiaa ei muuta se, että tietoihin pääsyn mahdollistava yhteys on teknisesti salattu.

Tietojen sijaintimaa vaikuttaa sovellettavaan lainsäädäntöön. Vaikka konsernin tai toimeksiantajan kotipaikka olisikin Suomi, ulkomaisen alihankkijan tai ulkomailla sijaitsevan tytäryhtiön toimintaan sovelletaan paikallista lakia, ellei asiasta ole erikseen sovittu.

“Esimerkiksi palkkahallinnossa käsiteltävät suomalaisten työsuhde- ja sairauspoissaolotiedot eivät siis välttämättä ole suomalaisen tietosuojan piirissä, jos niiden käsittely on ulkoistettu Suomen ulkopuolelle”, havainnollistaa asianajaja Jukka Lång asianajotoimisto Dittmar & Indreniukselta. 

Tietosuojan turvaamiseksi kansainvälisissä tietojensiirroissa EU-komissio on laatinut organisaatioiden käyttöön valmiita mallisopimuslausekkeita. Tiedonsiirrossa voi myös tukeutua yhdysvaltalaisten yritysten käytössä olevaan Safe Harbor -järjestelmään. Konsernin sisäiset tietojensiirrot voi toteuttaa myös Binding Corporate Rules -säännöillä.

Osaan EU:n ulkopuolelle tehtävistä henkilötietojen siirroista liittyy henkilötietolain mukainen ilmoitusvelvollisuus tietosuojavaltuutetulle.

Tietojen sijaintimaahan voi usein vaikuttaa

Pilvipalveluiden tarjoajat eivät aina pysty kertomaan asiakkaalle tietojen tosiasiallista sijaintipaikkaa sen vaihdellessa maasta toiseen muun muassa kustannustason mukaan. Palveluntarjoajat ovat usein suuria ylikansallisia yrityksiä, jotka käyttävät omia vakiosopimuksiaan, ja joiden rinnalla suomalaisen yrityksen neuvotteluasema saattaa olla heikko. Onko ulkoistavalla organisaatiolla mahdollisuutta esimerkiksi vaatia sopimukseen ehtoa, että palveluntarjoajan on voitava kertoa tietojen sijaintimaa? Jukka Långin mukaan voi vaatia, ja usein pitäisikin.

“EU:n tietosuojaviranomaiset ovat todenneet viime vuonna suosituksessaan, että palveluntarjoajalle, joka ei kykene vastaamaan tietojen kansainvälisen siirron toteuttamisesta lainmukaisesti, ei voi ulkoistaa palveluja”, Lång kertoo. 

Viime aikoina ovat useat ylikansalliset palveluntarjoajat mukauttaneet toimintaansa siten, että kansainvälisten tiedonsiirtojen tietosuojakysymykset tulevat huomioiduiksi EU:n vaatimalla tavalla.

“Markkinoille on esimerkiksi ilmestynyt palveluntarjoamismalleja, joiden tarkoituksena on taata tietojen pysyminen koko ajan yksinomaan EU:n alueella, vaikka tiedot olisivatkin pilvessä”, Lång kertoo.

Alihankkijat paljon vartijoina

Jossain kohtaa Firma Oy:n alihankkijaketjussa on heikko lenkki: ylimääräistä käteistä kaipaava ylläpitotyöntekijä, joka päättää myydä hallussaan olevat tiedot. Työntekijöiden henkilötunnukset, pankkitilinumerot ja sähköpostiosoitteet ovat kuumaa valuuttaa internetin nopeilla valtateillä kaahaaville rikollisille.

On yhä tavallisempaa, että organisaatio ulkoistaa samalle palveluntarjoajalle useita toimintoja, kuten IT-ylläpitoa, talouspalveluja ja palkkahallintoa. Yritykseen saattaa jäädä vain pieni IT-ammattilaisten ydinjoukko, jonka tehtävänä on hallinnoida ulkoistuksia. Ulkoistuskumppanille kertyy mittavia tietovarantoja, ja samalla kasvavat riskit henkilötietojen joutumisesta vääriin käsiin.

Tietosuojavaltuutettu Reijo Aarnio kehottaakin ulkoistajia huolehtimaan jo sopimusvaiheessa käyttöoikeuksien hallinnasta ja varmistamaan siten, ettei esimerkiksi sähköpostiliikennettä ylläpitävillä henkilöillä ole pääsyä työntekijöiden palkka- tai terveystietoihin.

 

Lue myös

Ulkoistamisen viisi vinkkiä »
Ulkoistus: Tietosuoja kuntoon ennen neuvotteluja »
Ulkoistus: Ainakin voi auditoida »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.