Pilvipalvelut


Voiko pilvipalvelua käyttää?

Pilvipalvelut eli tietotekniikan resurssipalvelut tarkoittavat verkkoyhteyden välityksellä tarjottavia tietojenkäsittely- ja tallennuspalveluita sekä tietoliikennepalveluita. Pilvipalvelussa usean käyttäjän kesken jaettuja tietoteknisiä resursseja tarjotaan tietoverkon yli.

Jos pilveen tallennetaan henkilötietoja, tulee huomioida henkilötietojen käsittelyyn liittyvät säännökset.

Pilvipalveluita käsitellään laajemmin henkilötietodirektiivin Artiklan 29 mukaisen työryhmän julkaisemassa ohjauksessa "Lausunto 5/2012 tietotekniikan resurssipalveluista".

Opinions and recommendations

Henkilötietojen käsittelyn ulkoistaminen

Henkilötietojen käsittelyn näkökulmasta pilvipalvelujen käyttö on ulkoistamista. Rekisterinpitäjä voi käyttää alihankkijoita suorittamaan toimenpiteitä, joita se on itse oikeutettu tekemään. Ulkoistamisella ei voi laajentaa rekisterinpitäjän oikeuksia tai sivuuttaa rekisterinpitäjälle asetettuja velvoitteita. Rekisterinpitäjän tulee sopimusteitse määritellä ulkoiselta palveluntarjoajalta hankittavat toimenpiteet ja valvottava tämän sopimuksen noudattamista. Tietosuojavaltuutetun toimiston opas "Henkilötietojen käsittelyn ulkoistaminen, yhteiset tietojärjestelmät, verkottuminen ja niihin liittyvät sopimukset" ohjeistaa henkilötietojen käsittelytoimintojen ulkoistamista.

Ks. oppaat

Henkilötietojen siirto EU:n ulkopuolelle

Pilvipalvelujen osalta haasteet liittyvät usein säännöksiin henkilötietojen siirrosta Euroopan talousalueen ulkopuolelle sekä henkilötietojen käsittelyn tietoturvallisuudesta huolehtimiseen. Esimerkiksi Euroopan komission ja Yhdysvaltojen välisen Safe Harbor -sopimuksen nojalla henkilötietojen siirto Yhdysvaltoihin on mahdollista suomalaisen rekisterinpitäjän ja Safe Harbor -järjestelyyn ilmoittautuneen yhdysvaltalaisen yrityksen välillä. Lisätietoja saa tietosuojavaltuutetun toimiston oppaasta "Henkilötietojen käsittelyn siirto EU:n ulkopuolelle".

Ks. oppaat

Henkilötietojen suojaaminen ja riskien arvioiminen

Rekisterinpitäjän vastuu henkilötietojen suojaamisesta kattaa myös alihankintana hankitut toimet. Rekisterinpitäjän tulee ennen tietojenkäsittelyn ulkoistamista varmistua siitä, että käytettävä palvelu on tietoturvallinen, tämä edellyttää mm. ulkoistamiseen liittyvien riskien arvioimista. Kysymys on aina tapauskohtaisesta harkinnasta, kun arvioidaan onko pilvipalvelun käyttäminen mahdollista vai ei. Lisätietoja pilvipalveluiden turvallisuudesta saa viestintäviraston kyberturvallisuuskeskuksen julkaisemasta raportista "Pilvipalveluiden turvallisuus".


 
Julkaistu 21.8.2015