MyFondia VirtuaaliLakimies
20. syyskuuta, 2016

Oletko tietojen käsittelijä? EU:n tietosuoja-asetus asettaa velvoitteita myös sinulle

EU:n tietosuoja-asetuksen taustalla on henkilötietojen käsittelijöiden roolin ja merkityksen kasvu henkilötietojen käsittelyssä. Käsittelijällä (”Data Processor”) tarkoitetaan tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Tyypillisesti kyse on toimeksianto- tai alihankintasuhteesta, jossa esim. yritys (rekisterinpitäjä) ulkoistaa henkilötietojensa säilytyksen pilvipalveluun. Pilvipalvelussa säilytettäviä henkilötietoja voivat olla esim. yrityksen asiakastiedot ja yrityksen työntekijöiden tiedot. Esimerkissä pilvipalveluntarjoaja toimii henkilötietojen käsittelijänä.

EU:n tietosuoja-asetusta aletaan soveltaa 25.5.2018 lähtien

EU:n tietosuoja-asetus tuli voimaan toukokuussa 2016 ja sitä aletaan soveltaa 25.5.2018 lähtien. EU-asetus täydentää nykyisen lain vaatimuksia ja tuo tullessaan uusia merkittäviä vastuita myös henkilötietojen käsittelijälle. Rekisterinpitäjän lisäksi myös käsittelijän tulee jatkossa osoittaa, että se on noudattanut asetuksen velvoitteita.

EU-asetuksen myötä kirjalliset sopimukset henkilötietojen käsittelystä rekisterinpitäjän ja käsittelijän välille tulevat pakolliseksi. Sopimuksen minimisisältö on määritelty asetuksessa. Tietojenkäsittelysopimuksessa tulee määritellä käsiteltävät henkilötiedot ja niiden käyttötarkoitus sekä sopia mm. siitä, että käsittelijä toteuttaa kaikki asetuksen vaatimat tietoturvatoimenpiteet. Palvelun päättyessä toimittajan velvollisuutena on joko poistaa tai palauttaa kaikki henkilötiedot yritykselle sekä poistaa jäljennökset (poikkeuksena laista seuraava säilyttämisvelvoite). Asetus luettelee lisäksi joukon muita asioita, joista tietojenkäsittelysopimuksessa tulisi sopia. Euroopan komissio antaa jatkossa tarkempaa ohjeistusta ja laatii vakiosopimuslausekkeita edellä mainittuja seikkoja varten.

Mitä tietojenkäsittelijän tulee tietojen siirtämisessä huomioida, jos palvelimet sijaitsevat EU/ETA:n ulkopuolella?

Käsittelijän käyttämien palvelimien sijaitessa EU/ETA:n ulkopuolella, tulee tietojen siirtämisessä huomioida asetuksen mukaiset tiedonsiirtomekanismit, kuten EU:n mallilausekkeet. Käsittelijä voi siirtää henkilötietoja EU/ETA:n ulkopuolelle vain, jos on toteuttanut asianmukaiset suojatoimet ja rekisteröityjen saatavilla on tehokkaita oikeussuojakeinoja.

Käsittelijän tulee varautua EU-asetuksen tuomaan vahingonkorvausvastuuseen ja hallinnollisiin sakkoihin. Nykyisen henkilötietolain perusteella taloudellinen vastuu kohdentuu ainoastaan rekisterinpitäjään. Käsittelijän taloudellinen vastuu voidaan perustaa tällä hetkellä ainoastaan sopimuksella. Asetuksen myötä vahingonkorvauskanne voi kohdistua myös suoraan käsittelijään riippumatta sopimuksessa sovitusta vastuunjaosta.

Jos käsittelijä rikkoo EU-asetuksen velvoitteita, käsittelijään voidaan kohdistaa ns. hallinnollinen sakko. Valvontaviranomaisilla on oikeus määrätä rikkomuksen vakavuuden perusteella määräytyvä sakko, joka voi korkeimmillaan olla jopa 20 miljoonaa euroa tai 4% yrityksen globaalista liikevaihdosta.

Miten yrityksesi voi käsittelijän roolissa valmistautua EU-asetukseen?

  • Selvitä minkälaisia asiakasyrityksen (rekisterinpitäjän) henkilötietoja käsitellään toimeksiantosopimuksen perusteella; tietojen käyttötarkoitus rajoittaa käsittelyä
  • Tee kirjalliset sopimukset henkilötietojen käsittelystä asiakasyrityksesi (rekisterinpitäjän) kanssa
  • Huomio tekniset ja organisatoriset toimet tietojen suojaamiseksi sekä nopea reagointi ongelmatilanteisiin; esim. ilmoitusvelvollisuus henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle
  • Valmistaudu osoittamaan, että olet käsittelijänä noudattanut asetuksen velvoitteita – eli dokumentoi!
  • Seuraa viranomaisten ohjeistusta