Henkilötietojen kansainvälisiin siirtoihin liittyvistä riskeistä informointi päätöksenteossa : Case Valtori

Abstract

Pilvipalveluiden käyttö on lisääntynyt valtionhallinnossa, ja sitä myötä palveluissa tapahtuva henkilötietojen käsittely on muuttunut yhä globaalimmaksi. Samalla vaatimukset liittyen henkilötietojen siirtoon EU/ETA-alueen ulkopuolelle ovat kuitenkin muuttuneet ja tiukentuneet jatkuvasti. Jos sääntelyn vaatimuksia ei kyetä täyttämään, aiheuttaa se riskejä henkilöille, joiden tietoja käsitellään, mutta myös organisaatioille, jotka näitä tietoja käsittelevät. Tämä tutkimus paneutuukin kyseisten riskien informointiin Valtion tieto- ja viestintätekniikka Valtorin päätöksentekoprosesseissa. Tutkimuksen tavoitteena oli selvittää, miten henkilötietojen kansainvälisiin siirtoihin liittyvistä riskeistä tulisi informoida Valtorin prosesseissa tehokkaan päätöksenteon mahdollistamiseksi. Tätä varten kartoitettiin ensin tieto-suojavaikutustenarviointidokumentit sellaisista Valtorin palveluista, joihin liittyy henkilötietojen kansainvälisiä siirtoja. Dokumentit analysoitiin laadullisen sisällönanalyysin keinoin, ja tuloksena syntyi neljä riskikategoriaa, jotka kertovat henkilötietojen kansainvälisiin siirtoihin liittyvistä ongelmista Valtorin pal-veluissa. Näitä tuloksia käytettiin pohjana teemahaastatteluille, jotka suunnattiin Valtorin palveluiden riskipäätöksentekoon osallistuville tahoille, tässä tapauksessa kahdelle tuotepäällikölle ja kahdelle riskienhallinnan johtoryhmän jäsenelle. Haastatteluilla selvitettiin ymmärrystä, päätöksentekoa ja tiedontarpeita kansainvälisiin siirtoihin liittyvistä riskeistä, ja tulokset analysoitiin jälleen laadullisen sisällönanalyysin keinoin. Tulosten perusteella Valtorille laadittiin 17 toimenpidesuositusta, joilla henkilötietojen kansainvälisiin siirtoihin liittyvät riskit tulevat huomioiduksi palveluiden päätöksenteossa. Toimenpidesuositukset keskittyvät tietämyksen kasvattamiseen, prosessien muovaamiseen ja lopulta riski-informaation esittämiseen, ja niissä on huomioitu Valtorin olemassa olevat prosessit sekä riski-informaatioon liittyvä teoria ja hyvät käytännöt.

The use of cloud services has increased in central government and therefore the processing activities of personal data have become more global. At the same time the requirements for personal data transfers out of the EEA have been continuously changing and becoming stricter. Non-compliance with the requirements results in risks for the people whose data is being transferred but also for the organizations that transfer the data. Therefore, this study focuses on informing about these risks as part of Government ICT Centre Valtori’s de-cision-making processes. The aim of this study was to examine how the risks concerning personal data transfers out of the EEA should be informed as part of Valtori’s processes to ensure effective decision-making. To achieve this, first the data protection impact assessments of Valtori’s services that include international data transfers were gathered and analyzed by qualitative content analysis. This resulted in four risk categories that describe the problems in Valtori’s services with international data transfers. These results were used as a basis for theme interviews aimed at people who take part in risk decisions in Valtori’s services. In this case this meant two product managers and two members of the risk management executive board. The interviews focused on current understanding, decision-making and information needs on risks caused by international data transfers. The results were once again analyzed by qualitative content analysis. Based on these results, 17 action proposals were formed. The action proposals focus on increasing knowledge, shaping the processes, and finally com-municating the risk information. Valtori’s current processes and good practices of risk information have been considered in the proposals.