Tilaaja - Toimittaja - Vaatimukset

Mitä pitää ottaa huomioon tietosuojan suhteen ulkoistuksissa?

EU tietosuoja-asetus toi mukanaan vaatimuksia, jotka säätelevät Tilaaja - Toimittaja -välistä suhdetta aina, jos jommalla kummalla osapuolella on pääsy toisen hallitsemiin henkilötietoihin.

Näissä Tilaaja on yleisimmin "rekisterinpitäjä" ja Toimittaja "henkilötietojen käsittelijä". Päävastuussa asioiden toteutumisesta on kuitenkin rekisterinpitäjä

Henkilötietojen käsittelijä voi olla esimerkiksi yritys, yksityinen elinkeinonharjoittaja, viranomainen tai yhdistys. Erittäin laaja palveluntarjoajien joukko toimii henkilötietojen käsittelijöinä.

Henkilötietojen käsittelijä voi käsitellä henkilötietoja vain rekisterinpitäjän määrittelemiin tarkoituksiin.

Vaatimuksia on avattu allaolevalla tiivistelmällä ja ne löytyvät kokonaisuudessaan täältä >>

 

Henkilötietojen käsittelijää koskeva sääntely koskee esimerkiksi seuraavia palveluntarjoajia:

  • IT-palveluntarjoajat, ohjelmistojen integroijat, kyberturvallisuusyritykset ja IT-konsulttiyritykset, joilla on pääsy rekisterinpitäjän henkilötietoihin.

  • Markkinointi- ja viestintätoimistot, jotka käsittelevät henkilötietoja asiakkaidensa puolesta.

  • Terveydenhuollon laboratorio, joka käsittelee näytteitä rekisterinpitäjän lukuun.

  • Kaikki organisaatiot, joiden tarjoamiin palveluihin sisältyy henkilötietojen käsittelyä toisen organisaation puolesta.

Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

 

Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet.

Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä... (jatkuu)

 

(jatkoa edellisestä kohdasta) ...käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti.

 

Henkilötietojen käsittelijän on varmistettava, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

 

Toimittajakelpoisuuden tarkistus

Toimittajan tietosuojakelpoisuuden tarkistaminen on osa tilaavan yrityksen riskienhallintaa. Tietosuojalaissa rekisterinpitäjä vastaa henkilötietojen käsittelystä ja varsinkin ulkoitustapauksissa vastuuasiat nostavat rooliaan.

Kuten yllä on avattukin, osapuolten kesken on mm. tehtävä kirjallinen sopimus ja rekisterinpitäjän on myös etukäteen varmistuttava siitä, että henkilötietojen käsittelijällä on riittävät tiedot ja taidot selviytyä lain vaatimuksista.

 

 

Ennakkotarkistus on omalta osaltaan vastaavankaltainen toimenpide kuin esimerkiksi ennakkoperintärekisteritarkistus (työ- tai käyttö-korvausta maksavalla työn teettäjällä tai palvelun ostajalla on velvollisuus tarkistaa, kuuluuko suorituksen saaja ennakko-perintärekisteriin).

Oman tietosuojakelpoisuuden julkaisemiseksi ja toisaalta ennakkotarkistuksen tekemiseen löytyy valmis palvelu; tietosuojavastuu.fi. Pääset siihen allalolevalla painikkeella.

Tietosuojavastuu