Browsing by Author "Lappalainen, Satu"

IT-ulkoistukset ovat tavanomainen osa liiketoiminnan kehittämistä. Parhaimmillaan IT-ulkoistus karsii kustannuksia ja mahdollistaa keskittymisen yrityksen ydinosaamiseen. IT-ulkoistukset ovat saaneet uuden muodon pilvipalveluissa, jotka ovat tuoneet merkittäviä tehokkuusetuja sekä palveluntarjoajille että palveluiden käyttäjille. Pilvipalveluissa käytetty teknologia on kuitenkin edelleen kehitysvaiheessa, eikä tarvittavaa avoimuutta ole pystytty saavuttamaan. Tietojenkäsittelyn entistä verkottuneempi ympäristö luo haasteita tietosuojasääntelyn täytäntöönpanoon. Verkottumisen myötä myös kansainväliset tiedonsiirrot ovat yleistyneet. IT-ulkoistuksiin liittyy lähes poikkeuksetta henkilötietojen käsittelyä. Suomessa henkilötietolaki 22.4.1999/523 on henkilötietojen käsittelyä koskeva yleislaki. Henkilötietolaki perustuu rekisterinpitäjän vastuulle henkilötietojen käsittelystä. Lähtökohtaisesti IT-palvelun ostaja on ulkoistuksen kohteena olevien henkilötietojen rekisterinpitäjä ja ITpalveluntarjoaja henkilötietojen käsittelijä. Rekisterinpitäjän korostunut vastuuasema huomioiden on ensisijaisen tärkeää, että molemmat osapuolet tiedostavat omat tietosuojavelvoitteensa ulkoistushankkeen aikana. Rekisterinpitäjän ja henkilötietojen käsittelijän roolit eivät kuitenkaan ole automaattisesti sopimustekstiin sidotut, jos sopimusteksti ei vastaa tosiasiallisia olosuhteita. IT-ulkoistuksen kannalta tärkeimmät henkilötietolain asettamat vastuut liittyvät rekisteröityjen oikeuksiin, osapuolten ilmoitusvelvollisuuksiin, henkilötietojen siirtoihin Euroopan talousalueen ulkopuolelle sekä tietoturvakysymyksiin. Rekisterinpitäjänä toimivan IT-palvelun ostajan on tärkeää tuntea henkilötietojen käsittelyyn liittyvät velvoitteet, jotta se voi pyrkiä varmistumaan niiden toteutumisesta myös käsittelyä ulkoistettaessa. Vastuu henkilötietojen käsittelyn lainmukaisuudesta jää rekisterinpitäjän kannettavaksi ex parte, vaikka sen kontrolli tietojenkäsittelyyn heikkenee väistämättä ulkoistushankkeen aikana. Henkilötietolain seuraamusjärjestelmä voidaan jakaa kolmeen osa-alueeseen: tietosuojavaltuutetun ja tietosuojalautakunnan määräämiin hallinnollisiin seuraamuksiin, rekisterinpitäjän vahingonkorvausvastuuseen sekä rikosoikeudellisiin seuraamuksiin. Rekisterinpitäjän vastuu on ankaraa vastuuta. Henkilötietolain seuraamusjärjestelmän rinnalla vaikuttaa henkilötietojen käsittelyyn osallistuvien toimijoiden sopimusperusteiset seuraamukset inter partes. Hyvin laadittu IT-ulkoistussopimus on apuväline rekisterinpitäjän sopimusperusteiseen riskinhallintaan. Rekisterinpitäjään kohdistuvan pakottavan lainsäädännön vuoksi IT-palvelun ostajan näkökulmasta on tärkeää, että vastuuta jaetaan sopimusperusteisesti osapuolten kesken. Hankintasopimuksen huolellinen laadinta on yksi avain onnistuneeseen ulkoistushankkeeseen. EU:ssa on tällä hetkellä käynnissä tietosuojasääntelyn kokonaisvaltainen uudistus, jossa tavoitteena on lainsäädännön yhtenäistäminen jäsenvaltioissa suoraan sovellettavalla asetuksella. IT-ulkoistuksen näkökulmasta keskeisin muutos nykytilaan olisi asetusehdotuksessa henkilötietojen käsittelijälle asetetut itsenäiset velvoitteet ja vastuut, joiden noudattaminen on myös sanktioitu. Toteutuessaan uudistus muuttaisi merkittävästi IT-ulkoistuksen osapuolten dynamiikkaa.