Mitä pitää ottaa huomioon tietosuojan suhteen ulkoistuksissa?
EU tietosuoja-asetus toi mukanaan vaatimuksia, jotka säätelevät Tilaaja – Toimittaja -välistä suhdetta aina, jos jommalla kummalla osapuolella on pääsy toisen hallitsemiin henkilötietoihin.
Näissä Tilaaja on yleisimmin ”rekisterinpitäjä” ja Toimittaja ”henkilötietojen käsittelijä”. Päävastuussa asioiden toteutumisesta on kuitenkin rekisterinpitäjä.
Henkilötietojen käsittelijänä voi olla esimerkiksi yritys, yksityinen elinkeinonharjoittaja, viranomainen tai yhdistys. Erittäin laaja palveluntarjoajien joukko toimii henkilötietojen käsittelijöinä.
Henkilötietojen käsittelijä voi käsitellä henkilötietoja vain rekisterinpitäjän määrittelemiin tarkoituksiin.
Henkilötietojen käsittelijää koskeva sääntely koskee esimerkiksi seuraavia palveluntarjoajia:
- Taloushallintopalveluita tarjoavat toimijat.
- IT-palveluntarjoajat, ohjelmistojen integroijat, kyberturvallisuusyritykset ja IT-konsulttiyritykset, joilla on pääsy rekisterinpitäjän henkilötietoihin.
- Markkinointi- ja viestintätoimistot, jotka käsittelevät henkilötietoja asiakkaidensa puolesta.
- Terveydenhuollon laboratorio, joka käsittelee näytteitä rekisterinpitäjän lukuun.
Rekisterinpitäjä(tilaaja) saa käyttää ainoastaan GDPR-kelpoisia toimittajia
Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.
Osapuolten välillä on tehtävä sopimus henkilötietojen käsittelystä
Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet.
Käsittelijälle on annettava kirjalliset ohjeet
Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti.
Salassapitovaatimus
Henkilötietojen käsittelijän on varmistettava, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
Toimittajakelpoisuuden tarkistus
Toimittajan tietosuojakelpoisuuden tarkistaminen on osa tilaavan yrityksen riskienhallintaa. Tietosuojalaissa rekisterinpitäjä vastaa henkilötietojen käsittelystä ja varsinkin ulkoitustapauksissa vastuuasiat nostavat rooliaan.
Kuten yllä on avattukin, osapuolten kesken on mm. tehtävä kirjallinen sopimus ja rekisterinpitäjän on myös etukäteen varmistuttava siitä, että henkilötietojen käsittelijällä on riittävät tiedot ja taidot selviytyä lain vaatimuksista.
Ennakkotarkistus on omalta osaltaan vastaavankaltainen toimenpide kuin esimerkiksi ennakkoperintärekisteritarkistus (työ- tai käyttö-korvausta maksavalla työn teettäjällä tai palvelun ostajalla on velvollisuus tarkistaa, kuuluuko suorituksen saaja ennakko-perintärekisteriin).
Oman tietosuojakelpoisuuden julkaisemiseksi ja toisaalta ennakkotarkistuksen tekemiseen löytyy valmis palvelu; tietosuojavastuu.fi.