6.9.2016

Uusi tietosuoja-asetus: sopimustekstit pidentyvät

Jos yrityksesi käsittelee toisen yrityksen henkilötietoja tai jos luovutat toiselle yrityksenne henkilötietoja palveluiden tuottamista varten, sinun kannattaa olla nyt hereillä ja ottaa selvää EU:n uudesta tietosuoja-asetuksesta. Tähän saakka näistä asioista on voitu sopia melko vapaasti ja lyhyin ehdoin, mutta 25.5.2018 alkaen tilanne muuttuu. Tuolloin yrityksesi täytyy sopia tietyistä velvollisuuksista rekisteriä pitävän yrityksen kanssa kirjallisesti.

Rekisterinpitäjä ja henkilötietojen käsittelijä

Tietosuoja-asetuksen mukaan rekisterinpitäjä on yritys tai muu yhteisö, joka pitää listaa henkilöistä ja rekisteröi heidän tietojaan. Käytännössä lähes kaikki yritykset ovat siis rekisterinpitäjiä jo pelkästään sillä perusteella, että heillä on omaa henkilökuntaa. 

Jos yrityksesi tarjoaa vaikkapa palkkahallinnon palveluja yrityksille tai yrityksesi pilvipalvelussa säilytetään ja käsitellään toisen yrityksen asiakastietoja, yrityksesi on asetuksen mukaan henkilötietojen käsittelijä.

Päivitä kaikki henkilötietojen käsittelyä koskevat sopimuksesi

Nykyinen normisto, tietosuojadirektiivi ja henkilötietolaki, asettavat henkilötietojen käsittelyä koskevia velvoitteita lähinnä rekisterinpitäjälle: rekisterinpitäjä on vastannut siitä, että se käsittelee henkilötietoja lain vaatimalla tavalla.  

Rekisterinpitäjä ja käsittelijä ovat puolestaan voineet vaikkapa palvelusopimuksessa sopia keskinäiset vastuunsa henkilötietojen käsittelystä. Osapuolet ovat saattaneet sopia esimerkiksi siitä, mitä tietoturvatoimia he noudattavat henkilötietojen käsittelyn suhteen ja onko käsittelijällä oikeus siirtää henkilötietoja EU/ETA-alueen ulkopuolelle.

Jatkossa asetus tuo vaatimuksia myös henkilötietojen käsittelijälle ja ne täytyy kirjata mukaan sopimukseen, elleivät ne siellä jo ennestään ole. Käytännössä tämä tarkoittaa sitä, että edustitpa sitten rekisterinpitäjää tai henkilötietojen käsittelijää, kaikki yrityksienne väliset henkilötietojen käsittelyä koskevat sopimukset täytyy päivittää, mikäli ne ovat voimassa asetuksen voimaantulon jälkeen.

Sovi vähintään näistä asioista

Mikäli edustat henkilötietojen käsittelijää, tietosuoja-asetus velvoittaa yritystäsi sopimaan siitä, että

  • varmistatte henkilötietojen käsittelyn turvallisuustason
  • teette ilmoitukset tietoturvaloukkauksista rekisterinpitäjälle
  • nimitätte yritykseenne tietosuojavastaavan tiettyjen kriteereiden täyttyessä
  • käytätte alihankkijaa vain rekisterinpitäjän suostumuksella.

Riippumatta siitä, teetkö sopimusta rekisterinpitäjän vai käsittelijän roolissa, kirjaa sopimukseen henkilötietojen käsittelyn kohde, kesto, luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät (esimerkiksi loppuasiakkaat) sekä rekisterinpitäjän oikeudet ja velvollisuudet. Sopimuksessa on syytä huomioida myös seuraavat asiat:

  • käsittelyn tulee tapahtua rekisterinpitäjän ohjeiden mukaisesti
  • kummankin osapuolen salassapitovelvoitteet on yksilöitävä
  • käsittelijän tulee sitoutua noudattamaan asianmukaisia toimenpiteitä käsittelyn riskiä vastaavan turvallisuustason varmistamiseksi
  • alihankinta on mahdollista vain rekisterinpitäjän luvalla ja käsittelijällä on vastuu alihankkijastaan
  • käsittelijän on sitouduttava avustamaan rekisterinpitäjää tämän vastatessa rekisteröityjen pyyntöihin esimerkiksi tilanteissa, joissa rekisteröidyt haluavat pääsyn omiin tietoihinsa
  • käsittelijällä on vastuu auttaa rekisterinpitäjää varmistamaan tiettyjen rekisterinpitäjän velvoitteiden, kuten tietojen poistopyynnön, noudattaminen
  • henkilötietojen poistosta tai palautuksesta käsittelyyn liittyvien palveluiden päättyessä on syytä sopia (jollei muu lainsäädäntö edellytä tietojen säilyttämistä).

Uskon, että henkilötietojen käsittelyä koskevien sopimusehtojen painoarvo kasvaa entisestään ja osapuolet sopivat jatkossa yksityiskohtaisempia ehtoja. Vastaavasti sopimuksen osapuolet antavat henkilötietojen käsittelyä koskeville asioille suurempaa painoarvoa myös muissa sopimusehdoissa, kuten takuu- ja vastuunrajoitusehdoissa. Lisääntyneet vastuut näkyvät usein myös palveluiden hinnoittelussa.