IT-ulkoistukset ovat tavanomainen osa liiketoiminnan kehittämistä. Parhaimmillaan IT-ulkoistus karsii kustannuksia
ja mahdollistaa keskittymisen yrityksen ydinosaamiseen. IT-ulkoistukset ovat saaneet uuden muodon pilvipalveluissa,
jotka ovat tuoneet merkittäviä tehokkuusetuja sekä palveluntarjoajille että palveluiden käyttäjille. Pilvipalveluissa
käytetty teknologia on kuitenkin edelleen kehitysvaiheessa, eikä tarvittavaa avoimuutta ole pystytty saavuttamaan.
Tietojenkäsittelyn entistä verkottuneempi ympäristö luo haasteita tietosuojasääntelyn täytäntöönpanoon. Verkottumisen
myötä myös kansainväliset tiedonsiirrot ovat yleistyneet.
IT-ulkoistuksiin liittyy lähes poikkeuksetta henkilötietojen käsittelyä. Suomessa henkilötietolaki 22.4.1999/523 on
henkilötietojen käsittelyä koskeva yleislaki. Henkilötietolaki perustuu rekisterinpitäjän vastuulle henkilötietojen käsittelystä.
Lähtökohtaisesti IT-palvelun ostaja on ulkoistuksen kohteena olevien henkilötietojen rekisterinpitäjä ja ITpalveluntarjoaja
henkilötietojen käsittelijä. Rekisterinpitäjän korostunut vastuuasema huomioiden on ensisijaisen
tärkeää, että molemmat osapuolet tiedostavat omat tietosuojavelvoitteensa ulkoistushankkeen aikana. Rekisterinpitäjän
ja henkilötietojen käsittelijän roolit eivät kuitenkaan ole automaattisesti sopimustekstiin sidotut, jos sopimusteksti
ei vastaa tosiasiallisia olosuhteita.
IT-ulkoistuksen kannalta tärkeimmät henkilötietolain asettamat vastuut liittyvät rekisteröityjen oikeuksiin, osapuolten
ilmoitusvelvollisuuksiin, henkilötietojen siirtoihin Euroopan talousalueen ulkopuolelle sekä tietoturvakysymyksiin.
Rekisterinpitäjänä toimivan IT-palvelun ostajan on tärkeää tuntea henkilötietojen käsittelyyn liittyvät velvoitteet, jotta
se voi pyrkiä varmistumaan niiden toteutumisesta myös käsittelyä ulkoistettaessa. Vastuu henkilötietojen käsittelyn
lainmukaisuudesta jää rekisterinpitäjän kannettavaksi ex parte, vaikka sen kontrolli tietojenkäsittelyyn heikkenee
väistämättä ulkoistushankkeen aikana.
Henkilötietolain seuraamusjärjestelmä voidaan jakaa kolmeen osa-alueeseen: tietosuojavaltuutetun ja tietosuojalautakunnan
määräämiin hallinnollisiin seuraamuksiin, rekisterinpitäjän vahingonkorvausvastuuseen sekä rikosoikeudellisiin
seuraamuksiin. Rekisterinpitäjän vastuu on ankaraa vastuuta.
Henkilötietolain seuraamusjärjestelmän rinnalla vaikuttaa henkilötietojen käsittelyyn osallistuvien toimijoiden sopimusperusteiset
seuraamukset inter partes. Hyvin laadittu IT-ulkoistussopimus on apuväline rekisterinpitäjän sopimusperusteiseen
riskinhallintaan. Rekisterinpitäjään kohdistuvan pakottavan lainsäädännön vuoksi IT-palvelun
ostajan näkökulmasta on tärkeää, että vastuuta jaetaan sopimusperusteisesti osapuolten kesken. Hankintasopimuksen
huolellinen laadinta on yksi avain onnistuneeseen ulkoistushankkeeseen.
EU:ssa on tällä hetkellä käynnissä tietosuojasääntelyn kokonaisvaltainen uudistus, jossa tavoitteena on lainsäädännön
yhtenäistäminen jäsenvaltioissa suoraan sovellettavalla asetuksella. IT-ulkoistuksen näkökulmasta keskeisin
muutos nykytilaan olisi asetusehdotuksessa henkilötietojen käsittelijälle asetetut itsenäiset velvoitteet ja vastuut,
joiden noudattaminen on myös sanktioitu. Toteutuessaan uudistus muuttaisi merkittävästi IT-ulkoistuksen osapuolten
dynamiikkaa.
