OVH ja henkilötietojen suojaaminen

Johdanto

Thumbnail

Euroopan parlamentin tietosuoja-asetus on henkilötietojen käsittelyn juridinen viitekehys Euroopassa 25.5.2018 alkaen. Toisin kuin direktiiviä 95/46/CE, jolla tietojenkäsittelyä säänneltiin tähän asti, tietosuoja-asetusta sovelletaan suoraan eikä se vaadi kansallista täytäntöönpanoa. Näin ollen se edistää oikeusjärjestelmien yhdenmukaistamista henkilötietojen käsittelyn osalta Euroopassa. Lisäksi tietosuoja-asetukseen sisältyy ekstraterritoriaalisuuden periaate, joka mahdollistaa asetuksen soveltamisen tietyissä olosuhteissa myös Euroopan unionin rajojen ulkopuolella.

Jos organisaatiossasi käsitellään henkilötietoja, tietosuoja-asetuksen määräykset koskevat teitä erittäin todennäköisesti. Näin ollen organisaatioosi sovelletaan asetukseen liittyviä velvoitteita, joita on noudatettava. Sama koskee myös OVH:ta, jolla on erillisiä velvoitteita suhteessa asemaansa henkilötietojen käsittelijänä ja rekisterinpitäjänä.

Määritelmät

EU:n asetuksen todellisten ja yksityiskohtaisten haasteiden ymmärtäminen ei ole kovin helppoa varsinkaan silloin, kun se käsittää 99 artiklaa, 173 johdanto-osaa sekä lukuisia selittäviä rivejä, joissa tarkennetaan asetuksen tulkintaa. Se on kuitenkin ehdottoman tärkeää, jotta vältetään riskit organisaatiosi lakisääteisten velvoitteiden liian laajasta tai epätarkasta tulkinnasta. On siis erityisen tärkeää ymmärtää selvästi alla olevien termien merkitykset:

  • henkilötiedot: kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan tunnistaa suoraan tai epäsuorasti.
  • käsittely: toiminto tai toiminnot, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, siirtäminen, yhteensovittaminen, säilyttäminen, haku, käyttö, yhdistäminen jne.
  • rekisterinpitäjä: luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
  • henkilötietojen käsittelijä: luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

OVH henkilötietojen käsittelijänä

Thumbnail

Suurimmat odotuksesi kohdistuvat varmasti OVH-yhtiöön tässä ominaisuudessa. OVH luokitellaan “henkilötietojen käsittelijäksi”, kun se käsittelee henkilötietoja rekisterinpitäjän lukuun. Näin on tyypillisesti silloin, kun käytät OVH:n palveluja ja säilöt henkilötietoja OVH:n infrastruktuuriin. Tekniset rajoitukset huomioiden OVH voi käsitellä varastoimiasi tietoja ainoastaan ohjeidesi mukaisesti ja omaa tiliäsi koskien.

OVH:n sitoumukset henkilötietojen käsittelijänä

Henkilötietojen käsittelijänä OVH sitoutuu erityisesti seuraavien toimien toteuttamiseen:

  • henkilötietojen käsittely yksinomaan palveluiden asianmukaista toteuttamista varten. OVH ei käsittele tietojasi koskaan muita tarkoituksia varten (markkinointi jne.).
  • ei tietojen siirtoa EU:n ulkopuolelle tai maihin, joiden tietoturvataso ei Euroopan komission arvion mukaan ole riittävä, edellyttäen, ettei asiakas valitse maantieteellisesti EU:n ulkopuolella sijaitsevaa konesalia.
  • tiedottaminen rajoituksetta kaikista henkilötietojen käsittelijöistä, jotka saattavat käsitellä asiakkaan tietoja. Tähän asti mitään palvelua, joka edellyttäisi pääsyä asiakkaan palvelun puitteissa tallentamiin tietoihin, ei käsitellä OVH-yhtiön ulkopuolella.
  • korkeiden tietoturvastandardien täytäntöönpano korkean tietoturvatason tarjoamiseksi palveluillemme.
  • tietojen väärinkäytöstä ilmoittaminen asiakkaalle mahdollisimman nopeasti.
  • asiakkaan avustaminen omien lakisääteisten velvoitteidensa noudattamisessa tarjoamalla palveluistamme asianmukaista aineistoa.

OVH:n aloitteet Euroopassa

Näiden sitoumusten vahvistamiseksi OVH oli mukana perustamassa CISPE-järjestöä (Cloud Infrastructure Services Providers in Europe). Se on erityisesti laatinut menettelysäännöt, joiden tavoitteena on edistää tietosuoja-asetuksen hyvää soveltamista Infrastructure as a Service (IaaS) -palveluntarjoajilla. Aktiivisen aloitteentekijän roolinsa lisäksi OVH osoittaa halukkuutensa yhdenmukaistaa, korkealla vaatimustasolla, henkilötietojen suojausta Euroopan laajuisesti.

Thumbnail

OVH:n Private Cloud (IaaS) on ensimmäinen OVH:n CISPE-menettelysääntöjen mukainen palvelu.

UKK: OVH henkilötietojen käsittelijänä

Kuka omistaa henkilötiedot, joita asiakas käyttää ja säilöö palveluihin liittyen?

Asiakkaan OVH:n palveluiden puitteissa ylläpitämät tiedot pysyvät asiakkaan omaisuutena.

OVH ei mene tietoihin eikä käytä niitä kuin ainoastaan silloin, jos se on tarpeellista palveluiden toteuttamisen kannalta tekniset rajoitukset huomioiden.

OVH pidättäytyy kaikesta mainittuja tietoja koskevasta jälleenmyynnistä sekä niiden käytöstä henkilökohtaisiin tarkoituksiin (kuten tiedonlouhinta, profilointi tai suoramarkkinointi).

Missä tapauksessa OVH saattaa mennä asiakkaan palveluiden puitteissa säilömiin ja käyttämiin tietoihin?

OVH voi mennä tietoihin ainoastaan kahdessa tapauksessa:

  • palveluiden toteuttamiseen liittyvissä tarpeissa, erityisesti asiakaspalvelun optimoimiseksi, kun asiakkaat ottavat yhteyttä asiakastukeen. Tässä tapauksessa pääsy asiakkaan tietoihin säilyy rajallisena erityisvaltuutuksien sekä erityisten hallinta- ja turvatoimien ansiosta.
  • vastatakseen lakisääteisiin velvoitteisiin oikeudenkäyntejä koskevissa tai hallinnollisissa pyynnöissä. Nämä pyynnöt on rajattu erittäin tiukasti.

Pääsy tietoihin asiakaspalvelun puitteissa:
Kun asiakas ottaa yhteyttä OVH:n asiakaspalveluun, kahden tyyppisiä tietoja saatetaan katsoa tukipyynnön aiheesta riippuen. Toisaalta, jotta asiakkaan pyyntö voidaan käsitellä mahdollisimman hyvin, asiakaspalvelija tutustuu asiakastilin luonnin yhteydessä syötettyihin tietoihin (kuten etunimi, sukunimi, puhelinnumero ja sähköpostiosoite).
Toisaalta ja ainoastaan asiakkaan nimenomaisesta pyynnöstä sekä jokaisen palvelun tekniset rajoitteet huomioon ottaen, asiakaspalvelu voi päästä asiakkaan OVH:n palveluihin säilömiin tietoihin ongelman alkuperän selvittämistä ja ratkaisua varten.

Pääsy tietoihin hallinto- ja/tai oikeusviranomaisten pyynnöstä:
Toimiakseen voimassaolevan lainsäädännön mukaisesti OVH:n on vastattava hallinto- ja oikeusviranomaisten pyyntöihin. Tietoihin pääsyä koskevat pyynnöt ovat tiukan lakisääteisen järjestelmän alaisia. OVH hyväksyy pyynnöt vasta varmistuttuaan, että ne ovat vahvistettuja sekä perusteltuja. Lisäksi heti, kun pyyntö tai laki ei sitä estä, OVH ilmoittaa asiasta mahdollisimman pian kyseessä olevalle asiakkaalle. Kolmansista maista peräisin olevia pyyntöjä käsitellään ainoastaan silloin, jos ne perustuvat kansainväliseen sopimukseen kuten keskinäiseen oikeusapua koskevaan sopimukseen, joka on voimassa pyytäjämaan ja Euroopan unionin tai jäsenvaltion välillä.

Siirretäänkö OVH:n Eurooppalaisten asiakkaiden tietoja Euroopan unionin ulkopuolelle?

Tähän aiheeseen liittyen on erotettava toisistaan kaksi tilannetta. Nämä voivat riippua erityisesti asiakkaan tekemistä valinnoista tietoja säilyttävien konesalien sijaintiin liittyen.

Kun asiakas valitsee palvelun, jonka puitteissa käytetään yhtä tai useampaa Euroopan unionin alueella sijaitsevaa konesalia:
Tässä tapauksessa asiakkaan tietoja ei koskaan siirretä seuraavien alueiden ulkopuolelle:

  • Euroopan unionin jäsenmaat
  • maat, joiden tietosuojan taso on Euroopan komission mukaan riittävä koskien henkilöiden yksityisyyden, perusoikeuksien ja -vapauksien suojausta. Luettelo näistä maista löytyy Euroopan komission verkkosivuilta.

Safe Harbor -sopimuksen kumoamisen jälkeen, ja vaikka Euroopan komissio pitää Privacy Shield -tietosuojajärjestelyssä mukana olevien amerikkalaisten yhtiöiden tietoturvatasoa riittävänä, OVH ei siirrä koskaan asiakkaidensa tietoja, joiden maantieteelliseksi sijainniksi on valittu Euroopan unionin alue, Yhdysvaltoihin.

Tietojen siirtoja maihin, joiden tietoturvataso on Euroopan komission arvion mukaan riittävä, saatetaan tehdä OVH:n asiakaspalvelun toimenpiteiden puitteissa. Kun OVH:n konesalit sijaitsevat Euroopan unionin alueella, OVH:n toimenpiteitä suorittavat tukitiimit ovat Euroopan unionissa sekä Kanadassa. Jälkimmäinen kuuluu lisäksi maihin, joiden henkilötietoihin liittyvä tietosuojan taso on Euroopan komission arvion mukaan riittävä. OVH pidättää lisäksi oikeuden antaa tukipalvelujen tuottaminen, mihin voi sisältyä etäyhteyden ottamista palvelujen puitteissa tallennettuihin asiakkaan tietoihin, toisille OVH:n yksiköille, jotka sijaitsevat niin ikään maissa, joiden tietosuojan tason Euroopan komissio katsoo olevan riittävä (paitsi USA).

OVH:n tarjoamien tiedonsiirtoon liittyvien takuiden ansiosta asiakas voi noudattaa velvoitteitaan. Tietosuoja-asetuksen artiklassa 45, joka määrittää "siirrot tietosuojan riittävyyttä koskevan päätöksen perusteella", säädetään, että henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa.

Kun asiakas valitsee palvelun, jonka yhteydessä käytetään Euroopan unionin ulkopuolella sijaitsevaa konesalia:
Tässä tapauksessa on selvää, että tiedot siirretään Euroopan unionin ulkopuolelle. Palvelun puitteissa käytettyjen konesalien sijaintipaikka tai maantieteellinen alue ilmoitetaan OVH:n verkkosivuilla. Kun useita sijaintipaikkoja on saatavilla, asiakas tekee valinnan. OVH pidättäytyy muokkaamasta ilman asiakkaan suostumusta sekä tiettyjen palvelujen erityisedellytysten mukaisesti tilauksessa sovittua sijaintipaikkaa tai maantieteellistä aluetta.

Tukeakseen henkilötietoja käsitteleviä rakenteita, joita käytetään Euroopan unionin ulkopuolella sijaitsevissa konesaleissa sellaisessa maassa, joka ei pysty varmistamaan riittävää henkilötietojen suojausta, OVH voi pyynnöstä keskustella asianmukaisista suojaustoimista tietosuoja-asetuksen artiklassa 46 "Siirto asianmukaisia suojatoimia soveltaen" kuvatun kaltaisen siirron mahdollistamiseksi.

OVH rekisterinpitäjänä

Thumbnail

OVH luokitellaan "rekisterinpitäjäksi" silloin, kun se määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot.

Näin on tyypillisesti silloin, kun OVH kerää tietoja mm. laskutusta, takaisinperintää, palveluiden laadun ja suorituskyvyn parantamista, kaupallista toimintaa ja kaupallista hallintoa varten. Näin on kuitenkin myös silloin, kun OVH käsittelee omien työntekijöidensä henkilötietoja.

Tällaisessa tilanteessa tiedot eivät koske tietojasi, joita asiakkaana OVH:n palveluihin säilöt. Sitä vastoin se saattaa koskea tiettyjä sinua koskevia tai työntekijöihisi liittyviä tietoja (esimerkiksi OVH:n yhteyshenkilön henkilö- ja yhteystiedot teknisen tukipyynnön yhteydessä). Tästä syystä OVH haluaa antaa tietoa henkilötietojen suojaamisen varmistamiseksi toteutetuista suojatoimista.

  • rajoittaa tiedonkeruu ainoastaan ehdottoman tarpeellisiin tietoihin, tähän liittyen asiakas syöttää palvelua tilatessaan ainoastaan OVH:n laskutusta, asiakaspalvelua tai omien lakisääteisten tiedonsäilytysvelvoitteidensa noudattamista varten tarvittavat tiedot.
  • tietoja ei käytetä muihin tarkoituksiin kuin niihin, joita varten ne kerättiin.
  • henkilötiedoilla on rajallinen ja oikeasuhteinen säilytysaika. Näin esimerkiksi asiakkaan ja OVH:n välistä asiakassuhdetta varten käsitellyt tiedot (etunimi, sukunimi, postiosoite, sähköpostiosoite jne.) säilytetään OVH:lla koko sopimuksen keston ajan sekä seuraavien 36 kuukauden ajan. Tämän jälkeen ne poistetaan kaikista laitteista sekä varmuuskopioista.
  • tietoja ei siirretä kolmansille osapuolille lukuun ottamatta sopimuksen täytäntöönpanoon osallistuville OVH:hon sidoksissa oleville yhtiöille. Yhtiön sisällä tiettyjä tietoja voidaan siirtää Euroopan unionin ulkopuolelle OVH:n käyttöön ottamien yritystä koskevien sitovien sääntöjen perusteella.
  • tarpeellisten teknisten ja organisatoristen toimenpiteiden toteuttaminen korkean tietoturvatason varmistamiseksi.