Seitsemän myyttiä tietosuojasta – BUSTED

Hankintaturisti sen aloitti hankintamyyttien murtamisella, joten otetaanpa käsittelyyn muutama tietosuojaan liittyvä myytti murrettavaksi. Alla seitsemän maagista tietosuojaan  liitttyvää myyttiä, joihin tietosuojan parissa työskentelevät törmäävät hyvin usein.

1. Henkilötietolaki kieltää tietojen siirtämisen alihankkijalle tai toiseen valtioon

TARUA! Mikään säännös ei kiellä toimittajaa tai palvelun tarjoajaa siirtämästä henkilötietoja kolmanne osapuolelle. Mikään säännös ei myöskään estä esimerkiksi täysin ulkoistamasta tietojen käsittelyä kolmannelle osapuolelle. Tietosuojasäännökset (eli Suomessa esimerkiksi henkilötietolaki ja EU:n uusi tietosuoja-asetus) kuitenkin sääntelevät tarkasti tällaisia siirtoja ja ulkoistuksia. Ja vaikka itse toiminnan voisi ulkoistaa, vastuuta ei voi: se, joka kerää ja päättää miten tietoja käyttää on vastuussa siitä, miten tietoja käytetään ja vastaa myös väärinkäytöksistä ja lain noudattamisesta.

2. Amerikkaan ei saa siirtää henkilötietoja, koska NSA

TARUA! Vaikea asia, mutta yksinkertaistaen: tietosuojasäännöstö ei estä tietojen siirtämistä Yhdysvaltoihin. Henkilötietoja voidaan siirtää tämänhetkisten sääntöjen mukaan myös Yhdysvaltoihin, kunhan huolehditaan riittävästä suojasta: tähän on olemassa muutama käytännöllinen mekanismi: ns. Privacy Shield -järjestely tai EU:n hyväksymät mallilausekkeet. Mutta: koska Yhdysvalloissa on todettu tiettyjen tahojen, kuten esimerkiksi NSA:n. harjoittavan massavalvontaa, EU:n tuomioistuin on todennut tämän olevan ongelmallista. Siksi on mahdollista, että tämä myytti muuttuu jossakin vaiheessa todeksi.

3. Intiaan ei saa siirtää henkilötietoja, koska ne on EU:n ulkopuolella

TARUA! Henkilötietoja saa ja voi käsitellä EU:n ulkopuolella, mutta rekisterinpitäjän on huolehdittava, että käsittely hoituu EU:n tietosuojavaatimusten mukaisesti. Muualle kuin Yhdysvaltoihin tämä hoituu esimerkiksi EU:n mallilausekkeiden avulla. Yhtiö voi siis ulkoistaa asiakastietojen käsittelyn Intiaan tai esimerkiksi puhelintukensa Indonesiaan, kunhan vain sopimuksissa huolehditaan tietosuojasta riittävästi.

4. Meidän henkilötiedot on tallennettu suomalaiselle serverille ja alihankkijoilla on ainoastaan pääsy tietoihin, ei latausmahdollisuutta, joten ei ongelmia

TARUA! Vaikka henkilötiedot olisivat tallennettuna johonkin tiettyyn EU:n jäsenvaltioon, kysymys voi silti olla henkilötietolain mukaisesta tietojen siirrosta EU:n ulkopuolelle. Jo pelkkä pääsyoikeuden antaminen tai jopa pelkkä mahdollisuus pääsyyn katsotaan tietojen siirroksi EU:n ulkopuolelle. Jos esimerkiksi intialaiselle alihankkijalle annetaan pääsy suomalaisella serverillä sijaitsevaan tietokantaan, kysymys on henkilötietolain mukaisesta henkilötietojen siirrosta EU:n ulkopuolelle ja osapuolten on esimerkiksi allekirjoitetava EU:n mallilausekesopimus.

5. Ei meillä mitään henkilötietoja ole, ei meidän tarvitse tätä noudattaa

TARUA! En ole keksinyt vielä yritystä, joka ei käsittelisi henkilötietoja. Jos totta puhutaan, ei sellaista ole olemassakaan. Jos yhtiö toimittaa tuotteita tai palveluita jollekin yritykselle, tarvitaan aina yhteystietoja, sähköpostiosoitteita, puhelinnumeroja jne. Henkilötietolaki koskee kaikkia, tasapuolisesti. Sen lisäksi tietosuojalainsäädäntö tulee muuttamaan jokaisen yrityksen liiketoimintaa merkittävästi seuraavan kahden vuoden aikana. Be prepared!

6.Ok, meillä on asiakasrekisteri, mutta ei meillä muuten mitään henkilötietoja käsitellä

TARUA! Henkilötiedon käsite on laaja: mikä tahansa tieto, minkä perusteella henkilö voidaan tunnistaa on henkilötieto. Se voi olla yksi yksittäinen tieto, tai tietojen yhdistelmä. Se voi olla kuva tai IP-osoite. Tähän taruun törmään kaikkein eniten: hyvin harva vielä käsittää miten monella tapaa tietosuojalainsäädäntö koskettaa yrityksiä.

7. No problem! Asiakkaat ovat antaneet suostumuksen yleisten sopimusehtojen 7.12 ii) – kohdassa

TARUA! Suostumus on yksi keino käsitellä henkilötietoja. Ongelmana on kuitenkin se, että vaatimukset suostumuksen osalta kiristyvät koko ajan. Vielä suurempi ongelma on se, että suostumus voidaan peruttaa minä hetkenä hyvänsä.

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s