EU:N TIETOSUOJA-ASETUSTA ALETTIIN SOVELTAA TÄYSIMÄÄRÄISENÄ 25.5.2018

Jos yritys käsittelee toisen yrityksen henkilötietoja tai jos se luovuttaa toiselle yrityksenne henkilötietoja palveluiden tuottamista varten, kannattaa olla hereillä ja ottaa selvää EU:n uudesta tietosuoja-asetuksesta. Aiemmin näistä asioista oli voitu sopia melko vapaasti ja lyhyin ehdoin, mutta 25.5.2018 alkaen tilanne muuttui, organisaation täytyy sopia tietyistä velvollisuuksista rekisteriä pitävän yrityksen kanssa kirjallisesti.

Olennaista: sopimuksissa syytä määritellä tarkasti, mistä kumpikin osapuoli käytännössä vastaa; lisäksi huolehdittava siitä, että sopimukset kattavat kaikki ”pakolliset” lausekkeet. Eli määriteltävä mm. miten rekisteröityjen oikeudet käytännössä toteutetaan, siis mm. rekisteröidyn oikeus tarkastaa sekä saada oikaistuksi ja poistetuksi tietoja.

 

REKISTERINPITÄJÄ JA HENKILÖTIETOJEN KÄSITTELIJÄ

Tietosuoja-asetuksen mukaan rekisterinpitäjä (= se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan) on yritys tai muu yhteisö, joka pitää listaa henkilöistä ja rekisteröi heidän tietojaan ja joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Käytännössä lähes kaikki yritykset ovat siis rekisterinpitäjiä jo pelkästään sillä perusteella, että heillä on omaa henkilökuntaa.

Jos yritys tarjoaa vaikkapa palkkahallinnon palveluja yrityksille tai yrityksen pilvipalvelussa säilytetään ja käsitellään toisen yrityksen asiakastietoja, yritys on asetuksen mukaan henkilötietojen käsittelijä (= se todellinen tietoja tallentava, kokoava ja säilyttävä, esim. palveluntarjoaja).

 

PÄIVITÄ KAIKKI HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVAT SOPIMUKSET

Aiempi normisto, tietosuojadirektiivi ja henkilötietolaki, asettivat henkilötietojen käsittelyä koskevia velvoitteita lähinnä rekisterinpitäjälle: rekisterinpitäjä on perinteisesti vastannut siitä, että se käsittelee henkilötietoja lain vaatimalla tavalla.

Rekisterinpitäjä ja käsittelijä ovat puolestaan voineet vaikkapa palvelusopimuksessa sopia keskinäiset vastuunsa henkilötietojen käsittelystä. Osapuolet ovat saattaneet sopia esimerkiksi siitä, mitä tietoturvatoimia he noudattavat henkilötietojen käsittelyn suhteen ja onko käsittelijällä oikeus siirtää henkilötietoja EU/ETA-alueen ulkopuolelle.

Nykyisin asetus tuo vaatimuksia myös henkilötietojen käsittelijälle ja ne täytyy kirjata mukaan sopimukseen, elleivät ne siellä jo ennestään ole. Käytännössä tämä tarkoittaa sitä, että edustipa yritys sitten rekisterinpitäjää tai henkilötietojen käsittelijää, kaikki yrityksien väliset henkilötietojen käsittelyä koskevat sopimukset täytyy päivittää, mikäli ne ovat voimassa asetuksen voimaantulon jälkeen.

SOVI VÄHINTÄÄN NÄISTÄ ASIOISTA

Mikäli edustaa henkilötietojen käsittelijää, tietosuoja-asetus velvoittaa yritystä sopimaan siitä, että:

  • varmistetaan henkilötietojen käsittelyn turvallisuustaso
  • käsittelijä tekee ilmoitukset tietoturvaloukkauksista rekisterinpitäjälle
  • tarvittaessa yritykseen nimitetään tietosuojavastaava tiettyjen kriteereiden täyttyessä
  • käytetään alihankkijaa vain rekisterinpitäjän suostumuksella

Ulkoistaessa henkilötietojen käsittelyä, rekisterinpitäjän ja käsittelijän on sovittava siitä kirjallisesti. Seuraavat neljä kohtaa ovat oltava ainakin rekisterinpitäjän ja kolmannen osapuolen välisessä sopimuksessa käsiteltyinä:

  • henkilötietojen käsittelyn kohde ja kesto,
  • luonne ja tarkoitus,
  • henkilötietojen tyyppi ja
  • rekisteröityjen ryhmät (esimerkiksi loppuasiakkaat) sekä
  • rekisterinpitäjän oikeudet ja velvollisuudet

 

SOPIMUKSEEN SISÄLLYTETTÄVÄT ASIAT

Käsittelijän eli ulkoistuspalveluita tarjoavan velvollisuudet on mainittava sopimuksessa nimenomaisesti (artikla 28) joita ovat:

  • velvollisuus noudattaa rekisterinpitäjän dokumentoituja ohjeita käsittelyssä ja mm. siirrossa kolmansiin maihin
  • huolehtia salassapitovelvollisuudesta
  • toteuttaa kaikki artikloissa 32–36 säädetyt velvollisuudet;
    • tietoturvasta huolehtiminen ja pseudonymisointi
    • tietoturvaloukkauksesta ilmoittaminen viranomaisille
    • tietoturvaloukkauksesta ilmoittaminen rekisteröidyille
    • vaikutustenarviointi
    • ennakkokuuleminen
  • palautetaanko vai poistetaanko henkilötiedot käsittelyn päättyessä (mainittava myös, jos tiedot lainsäädännön mukaan säilytettävä)
  • antaa rekisterinpitäjälle kaikki tiedot, jotka ovat tarpeen säädettyjen velvollisuuksien noudattamista osoittamista varten

Käsittelijän on myös ylläpidettävä kirjallista selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista, ja selosteessa on oltava seuraavat tiedot (asiat tulisi todentaa tai pyytää kirjallinen seloste käsittelijältä):

  • henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
  • kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät
  • tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä sekä asianmukaisia suojatoimia koskevat asiakirjat
  • mahdollisuuksien mukaan yleinen kuvaus teknisistä ja organisatorisista turvatoimista (artikla 32, kohta 1)

 

SOPIMUKSESSA HUOMIOITAVAT ASIAT

  • käsittelyn tulee tapahtua rekisterinpitäjän ohjeiden mukaisesti
  • kummankin osapuolen salassapitovelvoitteet on yksilöitävä
  • käsittelijän tulee sitoutua noudattamaan asianmukaisia toimenpiteitä käsittelyn riskiä vastaavan turvallisuustason varmistamiseksi
  • alihankinta on mahdollista vain rekisterinpitäjän luvalla ja käsittelijällä on vastuu alihankkijastaan
  • käsittelijän on sitouduttava avustamaan rekisterinpitäjää tämän vastatessa rekisteröityjen pyyntöihin esimerkiksi tilanteissa, joissa rekisteröidyt haluavat pääsyn omiin tietoihinsa
  • käsittelijällä on vastuu auttaa rekisterinpitäjää varmistamaan tiettyjen rekisterinpitäjän velvoitteiden, kuten tietojen poistopyynnön, noudattaminen
  • henkilötietojen poistosta tai palautuksesta käsittelyyn liittyvien palveluiden päättyessä on syytä sopia (jollei muu lainsäädäntö edellytä tietojen säilyttämistä)

Henkilötietojen käsittelyä koskevien sopimusehtojen painoarvo kasvaa entisestään ja osapuolet sopivat jatkossa yksityiskohtaisempia ehtoja. Vastaavasti sopimuksen osapuolet antavat henkilötietojen käsittelyä koskeville asioille suurempaa painoarvoa myös muissa sopimusehdoissa, kuten takuu- ja vastuunrajoitusehdoissa. Lisääntyneet vastuut näkyvät usein myös palveluiden hinnoittelussa.

VASTUU VAHINGOISTA GDPR:N MUKAAN

Vastuunjako:

1) rekisterinpitäjä vastuussa vahingosta, joka on aiheutunut käsittelystä, joka ei ole GDPR:n mukainen;

2) henkilötietojen käsittelijä vastuussa ainoastaan, jos se ei ole noudattanut käsittelijöille osoitettuja GDPR:n velvoitteita tai se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti.

  • Todistustaakka rekisterinpitäjällä tai käsittelijällä: Osoitettava, ettei ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.
  • Yhteisvastuu: Jos useampi osallistuja tietojenkäsittelyssä, ja ne ovat vastuussa aiheutuneesta vahingosta, kukin rekisterinpitäjä tai käsittelijä vastuussa koko vahingosta (takautumisoikeus muita vahingonaiheuttajia kohtaan).
  • Sopimuksen osapuolilla mahdollisuus sopia korvausvastuun jakamisesta keskinäisessä suhteessaan → sopimusehdot kannattaa laatia huolellisesti.

 

KAUTTAMME ON SAATAVISSA MYÖS SOPIMUSJURIDIIKKAAN ERIKOISTUNEITA LAKIMIESPALVELUITA