CTA Paikka

EU:n yleisen tietosuoja-asetuksen mukaiset velvoitteet – mitä vaaditaan?

Tilisanomissa 3/2017 käsittelimme uudistuvan EU:n tietosuoja-asetuksen yleisiä piirteitä ja sitä, mitä pitää ottaa huomioon asetuksen tuloon valmistautumisessa. Tässä jatko-osassa tarkastelemme vastuita ja velvoitteita, jotka tulee ottaa huomioon sekä rekisterinpitäjän ja henkilötietojen käsittelijän sisäisessä liiketoiminnassa että näiden välisissä sopimuksissa.
23.8.2017

Terho Nevasalo, osakas, teknologiaryhmä, HPP Asianajotoimisto Oy
Ella Parviainen, associate, teknologiaryhmä, HPP Asianajotoimisto Oy

EU:n tietosuoja-asetus luo vastuita ja velvoitteita, jotka tulee ottaa huomioon sekä rekisterinpitäjän ja henkilö­tietojen käsittelijän sisäisessä liiketoiminnassa että näiden välisissä sopimuksissa. Koska tilitoimiston ja tämän asiakkaan väliseen liiketoimintaan sisältyy lähtökohtaisesti aina henkilötietojen käsittelyä, tilitoimisto on osapuolten välisessä suhteessa henkilötietojen käsittelijä ja tilitoimiston asiakas on rekisterinpitäjä. Tietosuoja-asetus tuo uusia vaatimuksia henkilötietojen käsittelyä koskeviin palvelusopimuksiin sekä siihen, miten palveluun rekisteröidyn henkilön oikeudet tulee toteuttaa. 

Yleiset velvoitteet henkilötietojen käsittelyssä

Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteen mukaisesti tietosuoja, kuten henkilötietojen käsittelyn minimointi ja läpinäkyvyys, tulee ottaa huomioon alusta alkaen jo henkilötietojen käsittelyä suunniteltaessa esimerkiksi henkilötietojen käsittelyä koskevaa uutta teknologiaa käyttöönottaessa tai palveluita ulkoistaessa. Periaate tulee huomioida esimerkiksi tilitoimiston siirtyessä käyttämään ulkopuolisen yhtiön tarjoamia pilvipalveluita osana palvelutarjontaansa tai hankkiessa yhteistyökumppaneilta henkilötietojen käsittelyyn liittyviä palveluita. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteen lisäksi tulee huolehtia muiden henkilötietojen käsittelyä koskevien periaatteiden toteutumisesta. Näitä periaatteita on käsitelty artikkelisarjamme ensimmäisessä osassa.

Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, joiden henkilötietojen käsittely on asetuksen vaatimusten mukaista. Henkilötietojen käsittelijän ja rekisterinpitäjän on asetuksen mukaisesti lisäksi laadittava tietosuoja-asetuksen vaatimukset täyttävä sopimus. 

Sekä rekisterinpitäjän että henkilötietojen käsittelijän on ylläpidettävä selostetta käsittelytoimista. Rekisterinpitäjän selosteesta tulee käydä ilmi muun muassa rekisterinpitäjän ja mahdollisen tietosuojavastaavan yhteystiedot, henkilötietojen käsittelyn tarkoitukset ja käsiteltävät henkilötiedot, henkilötietojen säilytysajat sekä tieto henkilötietojen siirroista EU-/ETA-alueen ulkopuolisiin maihin. Henkilötietojen käsittelijän selosteeseen tulee sisällyttää muun muassa kunkin rekisterinpitäjän, jonka lukuun käsittelijä toimii, nimi ja yhteystiedot, kunkin rekisterinpitäjän lukuun suoritetut käsittelytoimet sekä tieto henkilötietojen siirroista EU-/ETA-alueen ulkopuolisiin maihin. 

Rekisteröidyn oikeudet ja informointi

Tietosuoja-asetuksen mukaan rekisteröidyllä tulee olla oikeus saada pääsy omiin henkilötietoihinsa sekä näiden tietojen oikaisemiseen ja poistamiseen, oikeus tietojen käsittelyn rajoittamiseen ja vastustamiseen sekä oikeus siirtää tietonsa toisen rekisterinpitäjän järjestelmään. Lisäksi rekisteröidyllä on oikeus tehdä henkilötietojen käsittelystä valitus valvonta­viranomaiselle. Rekisterinpitäjä on velvollinen huolehtimaan näiden oikeuksien toteutumisesta joitakin rajoituksia lukuun ottamatta. Tietoja ei tarvitse esimerkiksi poistaa, jos pakottava lainsäädäntö edellyttää niiden säilyttämistä. Tällaisia säädöksiä on esimerkiksi työlainsäädännössä.

Rekisterinpitäjällä on velvollisuus informoida rekisteröityä paitsi tämän oikeuksista myös henkilötietojen käsittelyä koskevista tiedoista. Tällaisia tietoja ovat muun muassa käsittelyn tarkoitukset ja oikeusperuste, henkilötietojen säilytysaika, tieto henkilötietojen perusteella tehtävästä automaattisesta päätöksenteosta, kuten profiloinnista, sekä tieto henkilötietojen luovutuksista EU-/ETA-alueen ulkopuolelle. Jos henkilötiedot on kerätty muusta lähteestä kuin rekisteröidyltä itseltään, rekisteröidylle tulee ilmoittaa, mitkä henkilötiedot ovat käsittelyn kohteena sekä mistä ne on saatu.

Muut olennaiset velvoitteet

Rekisterinpitäjän ja henkilötietojen käsittelijän velvoitteisiin kuuluu tapauskohtaisesti syntyviä velvoitteita, kuten rekisterinpitäjän velvoite laatia vaikutustenarviointi sekä velvoite kuulla valvontaviranomaista ennen vaikutusten­arvioinnin kohteena olevan käsittelyn aloittamista. Kyseistä velvollisuutta ei ole sellaisenaan nykyisessä henkilötietolaissa. Vaikutustenarviointi tulee laatia sellaisissa tapauksissa, joissa henkilötietojen käsittely aiheuttaa rekisteröidyn oikeuksien kannalta korkean riskin. Tilitoimiston asiakas saattaa rekisterinpitäjänä esimerkiksi olla velvollinen tekemään vaikutusten­arvioinnin ulkoistaessaan palkkahallintonsa tilitoimistolle. 

Tietoturvaloukkauksen tapahtuessa rekisterinpitäjällä on velvoite ilmoittaa tästä ilman aiheetonta viivästystä ja mahdollisuuksien mukaan 72 tunnin kuluessa valvontaviranomaiselle, paitsi jos kyseisestä loukkauksesta ei todennäköisesti aiheudu rekisteröidyn oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos rekisterinpitäjä ei tee ilmoitusta määräajassa, sen tulee kuitenkin toimittaa valvontaviranomaiselle asiasta perusteltu selvitys. Lisäksi tietoturvaloukkauksesta on ilmoitettava rekisteröidylle ilman aiheetonta viivästystä, jos se todennäköisesti aiheuttaa rekisteröidyn oikeuksille ja vapauksille korkean riskin. 

Olennaiset askelmerkit tietosuoja-asetuksen soveltamiseen valmistautumisessa

  • Selvitä, mitä henkilötietoja yhtiössäsi käsitellään sekä missä laajuudessa ja kuinka kauan niitä säilytetään.
  • Arvioi henkilötietojen käsittelyn peruste ja tarve sekä luo käytännöt tietojen ajantasaisuuden varmistamiseksi ja tarpeettomien tietojen poistamiseksi.
  • Laadi käytännöt tietosuojan huomioimiseksi henkilötietojen käsittelyä koskevien uudistusten yhteydessä, kuten uusien teknologioiden ja palveluiden käyttöönotossa.
  • Huolehdi riittävien teknisten ja organisatoristen toimien, kuten pseudonymisoinnin, toteuttamisesta.
  • Varmista, että kaikki tietosuoja-asetuksen mukaiset periaatteet henkilötietojen käsittelystä toteutuvat yhtiösi toiminnassa.
  • Laadi käytännöt rekisteröityjen oikeuksien toteuttamiseksi ja rekisteröityjen informoimiseksi henkilötietojen käsittelystä.
  • Huolehdi, että yhtiösi dokumentaatio on ajantasainen. Varmista, että yhtiösi kykenee osoittamaan toimivansa tietosuoja-asetuksen mukaisesti.
  • Päivitä kaikki sopimukset, joihin liittyy henkilötietojen käsittelyä sekä silloin, kun toimit rekisterinpitäjänä että silloin, kun toimit käsittelijänä. Huolehdi, että henkilötietojen käsittelystä sovitaan uusissa sopimuksissa.
  • Luo prosessi tietoturvaloukkausten tunnistamiseksi ja ilmoittamiseksi rekisteröidyille ja valvontaviranomaiselle.
  • Varmista, että kaikki tietosuoja-asetuksen mukaiset periaatteet henkilötietojen käsittelystä toteutuvat yhtiösi toiminnassa.
  • Nimitä tarvittaessa tietosuojavastaava. 
  • Pyydä tarvittaessa apua ulkopuoliselta konsultilta, kuten asianajotoimistolta.

 

Rekisterinpitäjän ja käsittelijän välillä sovittavat asiat

Yleistä

Sopimuksessa on määriteltävä käsittelyn kohde, kesto, luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän oikeudet ja velvollisuudet. Käsittelijän on sitouduttava käsittelemään henkilötietoja ainoastaan rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti. Erityisesti käsittelijän näkökulmasta nämä ohjeet kannattaa ottaa osaksi sopimusta. Käsittelijän tulee lisäksi sitoutua varmistamaan, että henkilö­tietoja käsittelevät henkilöt ovat sitoutuneet salassapitoon.

Käsittelijän tekniset ja organisatoriset toimenpiteet 

Sopimuksessa tulee sopia käsittelijän velvoitteesta toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi.

Käsittelijän avustamisvelvoite 

Sopimuksessa tulee sopia käsittelijän velvoitteesta avustaa rekisterinpitäjää rekisteröityjen oikeuksien toteuttamisessa sekä tietosuojaa koskevan vaikutustenarvioinnin ja ennakkokuulemisen tekemisessä.

Käsittelijän alihankkijat

Käsittelijä ei saa käyttää toista käsittelijää eli alihankkijaa ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa, joten sopimuksessa kannattaa sopia asiasta.

Henkilötietojen siirtäminen EU-/ETA-alueen ulkopuolelle

Sopimuksessa tulee sopia, saako käsittelijä siirtää henkilötietoja EU-/ETA-alueen ulkopuolelle. Tarvittaessa sopimukseen tulee liittää Euroopan komission mallilausekkeet siirron mahdollistamiseksi.

Toimenpiteet sopimuksen päättyessä

Sopimuksessa on sovittava, että käsittelijä palauttaa henkilö­tiedot rekisterinpitäjälle tai poistaa ne sopimuksen päättyessä, ellei muu lainsäädäntö toisin edellytä. 

Rekisterinpitäjän tarkastusoikeus

Käsittelijän tulee sitoutua antamaan rekisterinpitäjälle tiedot, jotka ovat tarpeen asetuksen mukaisten velvoitteidensa noudattamisen osoittamiseksi sekä sallimaan tietosuojatarkastukset rekisterinpitäjän tai tämän valtuuttaman tahon toimesta. 

Tietoturvaloukkaukset

Käsittelijälle tulee määritellä velvoite ilmoittaa havaitsemistaan tietoturvaloukkauksista rekisterinpitäjälle, jotta rekisterinpitäjä voi täyttää velvoitteensa ilmoittaa ­tietoturvaloukkauksista rekisteröidyille ja viranomaiselle määräajassa.

Vastuu vahingoista

Sopimuksessa kannattaa sopia vastuunjaosta henkilö­tietojen käsittelystä aiheutuneista vahingoista ja mahdollisista vastuunrajoituksista. On huomattava, että käsittelijän ja rekisterinpitäjän välisessä sopimuksessa ei kuitenkaan voida rajoittaa rekisteröidyn oikeuksia saada vahingonkorvauksia.

YritysjuridiikkaUusimmat Artikkelit
Katso kaikki