On jossakin määrin kyseenalaista, voidaanko kirjanpitoaineistoa yleensäkään pitää henkilörekisterinä, olisin taipuvainen sanomaan että ei välttämättä. Mutta vaikka se sitä olisikin, niin tuo pilvipalvelujen käyttö ei kyllä ole oikeudellinen ongelma. Tuota mainittua henkilötietolain 22 §:ää nimittäin seuraa 22 a §, jonka mukaan (varoitus, byrokraattista EU-jargonia)
Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin Euroopan yhteisöjen komissio on yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY, jäljempänä henkilötietodirektiivi, 3 artiklan ja 25 artiklan 6 kohdan mukaisesti todennut, että kyseisessä maassa taataan tietosuojan riittävä taso.
Lyhyesti: jos EU:n komissio on hyväksynyt maan tietoturvatason, niin sinne saa siirtää mitä tahansa henkilötietoa ihan samalla lailla kuin toiseen EU-maahankin. USA:n osalta EU on tehnyt ns. Safe Harbor järjestelyt, jossa USA:n kauppaministeriö ylläpitää listaa orgaaneista, jotka ovat sitoutuneet tähän järjestelyyn ja joihin siirtäminen on siis OK. Ja tuolta listalta löytyvät niin Google, Microsoft kuin Dropbox inc.
Tietosuojavaltuutetulla on sivuillaan selostus asiasta, josta löytyy myös linkki listaukseen niistä Safe Harbor yrityksistä.
http://www.tietosuoja.fi/25914.htm
Eli joka tapauksessa tällaista estettä pilvipalvelujen käytölle ei ole.
