Mitä pitää ottaa huomioon tietosuojan suhteen ulkoistuksissa?

EU tietosuoja-asetus toi mukanaan vaatimuksia, jotka säätelevät Tilaaja – Toimittaja -välistä suhdetta aina, jos jommalla kummalla osapuolella on pääsy toisen hallitsemiin henkilötietoihin.

Näissä Tilaaja on yleisimmin ”rekisterinpitäjä” ja Toimittaja ”henkilötietojen käsittelijä”. Päävastuussa asioiden toteutumisesta on kuitenkin rekisterinpitäjä.

Henkilötietojen käsittelijänä voi olla esimerkiksi yritys, yksityinen elinkeinonharjoittaja, viranomainen tai yhdistys. Erittäin laaja palveluntarjoajien joukko toimii henkilötietojen käsittelijöinä.

Henkilötietojen käsittelijä voi käsitellä henkilötietoja vain rekisterinpitäjän määrittelemiin tarkoituksiin.

Vaatimukset löydät kokonaisuudessaan täältä

Henkilötietojen käsittelijää koskeva sääntely koskee esimerkiksi seuraavia palveluntarjoajia:

  • Taloushallintopalveluita tarjoavat toimijat.
  • IT-palveluntarjoajat, ohjelmistojen integroijat, kyberturvallisuusyritykset ja IT-konsulttiyritykset, joilla on pääsy rekisterinpitäjän henkilötietoihin.
  • Markkinointi- ja viestintätoimistot, jotka käsittelevät henkilötietoja asiakkaidensa puolesta.
  • Terveydenhuollon laboratorio, joka käsittelee näytteitä rekisterinpitäjän lukuun.

Toimittajakelpoisuuden tarkistus

Toimittajan tietosuojakelpoisuuden tarkistaminen on osa tilaavan yrityksen riskienhallintaa. Tietosuojalaissa rekisterinpitäjä vastaa henkilötietojen käsittelystä ja varsinkin ulkoitustapauksissa vastuuasiat nostavat rooliaan.

Kuten yllä on avattukin, osapuolten kesken on mm. tehtävä kirjallinen sopimus ja rekisterinpitäjän on myös etukäteen varmistuttava siitä, että henkilötietojen käsittelijällä on riittävät tiedot ja taidot selviytyä lain vaatimuksista.

Ennakkotarkistus on omalta osaltaan vastaavankaltainen toimenpide kuin esimerkiksi ennakkoperintärekisteritarkistus (työ- tai käyttö-korvausta maksavalla työn teettäjällä tai palvelun ostajalla on velvollisuus tarkistaa, kuuluuko suorituksen saaja ennakko-perintärekisteriin).

Oman tietosuojakelpoisuuden julkaisemiseksi ja toisaalta ennakkotarkistuksen tekemiseen löytyy valmis palvelu; tietosuojavastuu.fi. Pääset siihen allalolevalla painikkeella.