Etätyöskentely on jäänyt koronarajoitusten jälkeen vakiintuneeksi osaksi monen organisaation arkea. Yleinen tietosuoja-asetus asettaa vaatimuksia henkilötietojen käsittelylle riippumatta siitä, tapahtuuko käsittely työpaikalla vai etätöissä. Etätyöhön liittyy erikseen huomioitavia tietosuoja- ja tietoturvariskejä. Jos etätyötä tehdään ulkomailla – erityisesti ETA-alueen ulkopuolella, riskit usein lisääntyvät. Jäljempänä käydään lyhyesti läpi sitä, miten sääntely suhtautuu näihin lisääntyneisiin riskeihin.

Sääntelyn soveltumisen kannalta keskeinen kysymys on, seuraako etätyöstä tietosuoja-asetuksen V luvun tarkoittama kansainvälinen henkilötietojen siirto. Lähes poikkeuksetta myös ETA-alueen ulkopuolella ollessaan työntekijällä on etätyössä tietokoneellaan pääsy yrityksen järjestelmiin ja niissä oleviin henkilötietoihin, joita yritys käsittelee joko rekisterinpitäjänä tai käsittelijänä. Etätyöstä seuraa tästä syystä se, että yrityksen käsittelemiin henkilötietoihin on pääsy EU:n ulkopuolelta.

Tietosuoja-asetuksen käsite ”henkilötietojen siirrot kolmansiin maihin” ei ole kaikissa tilanteissa yksiselitteinen. Tästä syystä Euroopan tietosuojaneuvosto (”EDPB”) on katsonut tarpeelliseksi selventää kyseisen käsitteen tulkintaa. EDPB määrittää ohjeessaan kolme edellytystä, jotka auttavat tunnistamaan tilanteet, joissa on kyse kansainvälisestä tietojen siirrosta. Jos kaikki jäljempänä listatut edellytykset täyttyvät, kyseessä on ohjeen mukaan siirto ja tietosuoja-asetuksen kansainvälisiä siirtoja koskevat vaatimukset tulevat sovellettaviksi:

• Rekisterinpitäjään tai henkilötietojen käsittelijään (”tietojen viejä”) sovelletaan tietosuoja-asetusta kyseisen käsittelyn osalta.
• Tietojen viejä lähettää henkilötietoja edelleen tai muutoin asettaa käsittelyn kohteena olevat henkilötiedot toisen rekisterinpitäjän, yhteisrekisterinpitäjän tai käsittelijän (”tietojen tuoja”) saataville.
• Tietojen tuoja sijaitsee kolmannessa maassa.

Esitetyt edellytykset ja esimerkit ovat EDPB:n mukaan ohjeellisia. EDPB toteaa, että siirtosäännösten soveltuminen tulee yksittäistapauksessa ratkaista osapuolten roolien, kyseessä olevan käsittelytilanteen ja muiden relevanttien seikkojen kokonaisarvioinnin perusteella.

EDPB:n ohjeesta löytyy runsaasti esimerkkejä edellytysten soveltamisesta käytännössä. Etätyön yhteydessä tapahtuvan käsittelyn kannalta relevantilta näyttää esimerkki, jossa EU:ssa sijaitsevan rekisterinpitäjän työntekijä matkustaa työmatkalle Intiaan, josta hänellä on tietokoneellaan pääsy yrityksen tietokannoissa oleviin henkilötietoihin. EDPB:n mukaan tämä kannettavan tietokoneen käyttö kolmannesta maasta ei ole henkilötietojen siirto, koska työntekijä ei ole toinen rekisterinpitäjä, vaan työntekijän roolissa hän on erottamaton osa rekisterinpitäjää. Tilanteessa työnantajana toimivat rekisterinpitäjä tai henkilötietojen käsittelijä on edelleen vastuussa käsittelystä, eivätkä EDPB:n asettamat edellytykset siirrolle täyty.

EDPB:n esimerkki viittaa nimenomaisesti työmatkaan. Ohje ei erikseen ota kantaa tilanteeseen, jossa työntekijä työskentelee etänä ETA-alueen ulkopuolella pitkäaikaisesti tai pysyvästi. Sanamuodon mukaan työskentelyn kesto ei näyttäisi vaikuttavan edellytysten täyttymiseen, mutta koska tapauskohtainen harkinta on EDPB:n mukaan ratkaiseva, nimenomaisen ohjauksen puuttuessa tilanne on epäselvä.

Ohjeen esimerkki eroaa tilanteesta, jossa saman konsernin toisen yrityksen työntekijä pääsee käsiksi sisar- tai tytäryhtiön henkilötietoihin ETA-alueen ulkopuolelta. Ohjeessa korostetaan, että samaan konserniin kuuluvat yksiköt voivat olla erillisiä rekisterinpitäjiä tai käsittelijöitä. EDPB:n ohjeen edellytysten sanamuodon mukaisesti konserniyhtiöiden väliseen henkilötietojen siirtoon sovelletaan tietosuoja-asetuksen V luvun säännöksiä.

EDPB vahvistaa myös ohjeessaan, että pelkkä pääsy henkilötietoihin etäyhteyden kautta katsotaan siirroksi edellyttäen, että ohjeessa esitetyt kolme kriteeriä täyttyvät. Esimerkkinä tästä tilanteestä EDPB mainitse tietojen näkymisen näytöllä ETA-alueen ulkopuolella.  

Vaikka tietosuoja-asetuksen V luvun tarkoittamaa siirtoa ei katsota tapahtuneen, etätyöskentelyyn kolmannessa maassa liittyy usein lisääntyneitä tietosuojariskejä. Esimerkkeinä tällaisista riskeistä voidaan mainita puutteellinen kansallisten lakien henkilötietojen käsittelyä koskeva suoja tai viranomaisten pääsyn tietoihin EU-säännöstöstä poikkeavien edellytysten perusteella.

Rekisterinpitäjän on joka tapauksessa edelleen noudatettava tietosuoja-asetusta. Etätyöhön ETA-alueen ulkopuolella liittyvät lisääntyneet riskit on otettava huomioon esimerkiksi rekisteröityjen informoinnissa sekä arvioitaessa tarvittavia teknisiä ja organisatorisia toimenpiteitä. EDPB on ilmoittanut arvioivansa, tarvitaanko lisäohjeistusta tarvittavista suojatoimista, kun henkilötietoja käsitellään kolmannessa maassa.

Tietosuoja-asetuksen asettamien vaatimusten valossa rekisterinpitäjä saattaa joutua toteamaan, että etätyöskentely vaatii merkittäviä turvatoimia. Mahdollisesti henkilötietojen käsittely tietyssä kolmannessa maassa ei ole mahdollista toteuttaa tietosuoja-asetuksen vaatimusten mukaisesti. Mikäli tietosuoja-asetuksen asettamaa suojan tasoa ei voida taata tietyssä maassa, työnantaja voi esimerkiksi rajata työntekijän pääsyä organisaation tietoihin joistakin maista. Tästä saattaa seurata, että etätyö kyseisestä maasta ei ole mahdollista.

Riippumatta siitä, tapahtuuko etätyö Suomessa, ETA-alueen sisällä tai kolmannessa maassa, henkilötietojen tosiasiallinen käsittelypaikka ei saa vaarantaa tietosuojan edellyttämän tietoturvan tasoa. Työnantaja vastaa käsittelypaikasta riippumatta riittävästä tietoturvallisuudesta ja asianmukaisista etätyökäytännöistä.

Tietoturvan tasoa voidaan parantaa ulkomaanmatkojen osalta saattamalla työntekijät tietoisiksi erityisistä riskeistä ja kehittämällä selkeät ohjeet ulkomailla tapahtuvalle etätyölle. Organisaatiossa olisi arvioitava, mikäli yleiset suojatoimenpidet, kuten julkisten WLAN-verkkojen käytön välttäminen ja näyttösuojan käyttäminen, riittää tietyssä tapauksessa, vai edellyttääkö tietokoneen vieminen tiettyyn maahan esimerkiksi työntekijän käyttöoikeuksien rajoittamista. Tarvittavien turvatoimenpiteiden laajuus riippuu luonnollisesti kohdemaasta ja toimenpiteitä voidaan lisätä, jos halutaan työskennellä maissa, joissa tietoturvariskit ovat korkeammat.

EDPB:n ohje antaa yrityksille tukea etätöihin ETA-alueen ulkopuolella liittyvien tietosuojakysymysten arvioimiseen. Koska ohje viittaa nimenomaisesti kussakin tilanteessa tehtävään tapauskohtaiseen harkintaan, työnantajan tulee arvioida kukin etätyötilanne ja siihen liittyvät riskit ja vaatimukset erikseen. Suomalaisten työnantajien työntekijöiden osalta autamme mielellämme tarvittavien arvioiden tekemisessä.

Lue lisää:

• ‍Huoltovarmuusorganisaatio: Ohjeita turvalliseen etätyöhön (Ulkomaanmatkat)