Täyttävätkö yrityksesi palvelusopimukset tietosuoja-asetuksen vaatimukset?

EU:n yleisen tietosuoja-asetuksen (englanniksi usein GDPR) soveltaminen alkaa 25.5.2018. Siitä lähtien henkilötietojen käsittelyn ulkoistamista säännellään tarkemmin kuin Suomen nykyisessä henkilötietolaissa. Nyt jos koskaan jokaisen henkilötietojen käsittelyä ulkoistavan yrityksen onkin aika tarkistaa omat palvelusopimuksensa asetuksen mukaisiksi.

Vaikka henkilötietojen käsittely olisikin ulkoistettu, vastuu henkilötietojen käsittelystä säilyy rekisterinpitäjällä: rekisterinpitäjän lakisääteistä vastuuta ei siis voi ulkoistaa. Vastuun laiminlyönnistä voi aiheutua tuntuvia seuraamuksia.

Keskeistä on se, miten ulkoistava yritys eli tietosuojakielellä rekisterinpitäjä on ohjeistanut palveluntarjoajaa eli henkilötietojen käsittelijää. Ohjeiden tulee olla dokumentoituja, ja ne ovatkin usein osa niin sanottua tietojenkäsittelysopimusta, jossa määritetään sekä rekisterinpitäjän että henkilötietojen käsittelijän oikeudet ja velvollisuudet henkilötietojen käsittelyssä.

Henkilötietojen käsittelystä on tehtävä sopimus

Tietosuoja-asetus edellyttää, että henkilötietojen käsittelyn ulkoistamisesta on sovittava kirjallisella sopimuksella. Asetus myös määrää, mistä asioista tietojenkäsittelysopimuksessa tulisi vähintäänkin sopia. Niistä tärkeimpiä ovat seuraavat:

  • Tietojenkäsittelyn yksilöinti – Osapuolet sopivat tietojenkäsittelyn tarkemmin. Sovittavia asioita ovat esimerkiksi, mitä tietojenkäsittelyä ulkoistetaan (esimerkiksi palkanmaksu), keitä henkilöitä ulkoistus koskee (esimerkiksi työntekijät) ja mitä tietoluokkia käsitellään (esimerkiksi työntekijöiden yhteystiedot).
  • Sitoutuminen rekisterinpitäjän ohjeisiin – Palveluntarjoaja sitoutuu käsittelemään henkilötietoja ainoastaan asiakkaansa ohjeiden ja sopimusehtojen mukaisesti.
  • Salassapito – Henkilötietojen käsittelyyn oikeutetut henkilöt, kuten palveluntarjoajan työntekijät, sitoutuvat noudattamaan salassapitovelvollisuutta.
  • Tietoturva – Palveluntarjoaja sitoutuu toteuttamaan riittävät turvatoimet henkilötietojen suojaamiseksi. Kyse voi olla teknisistä toimista, kuten tietokoneiden virustorjunnasta ja palomuureista tai toimitilojen kulunvalvonnasta, tai organisatorisista toimista, kuten käyttöoikeuksien rajaamisesta tai riittävistä resursseista ja asiantuntemuksesta.
  • Käsittelijän omat alihankkijat – Sopimuksessa osapuolet sopivat, tarvitseeko palveluntarjoaja asiakkaalta erillisen suostumuksen toisen käsittelijän eli palveluntarjoajan oman alihankkijan käyttämiseksi vai riittääkö jälkikäteinen ilmoitus ja asiakkaan vastustamismahdollisuus.
  • Avustamisvelvollisuus – Palveluntarjoaja auttaa asiakasta täyttämään tietyt rekisterinpitäjän velvollisuudet.
  • Tiedonantovelvollisuus – Palveluntarjoaja saattaa asiakkaan saataville riittävät tiedot, jotta asiakas voi osoittaa noudattavansa rekisterinpitäjän velvollisuuksiaan.
  • Auditointioikeus – Palveluntarjoaja antaa asiakkaan tai sen valtuuttaman auditoijan tehdä auditointeja ja osallistuu niihin.
  • Tietojen poistaminen – Kun ulkoistaminen päättyy, palveluntarjoaja poistaa kaikki henkilötiedot tai palauttaa ne asiakkaalle, jollei palveluntarjoajalla ole lakisääteistä velvollisuutta säilyttää henkilötietoja.

Tietosuojasopimuksia on monenlaisia

Tietosuojasopimuksen voi käytännössä tehdä joko sisällyttämällä henkilötietojen käsittelyä koskevan kappaleen tai osion varsinaiseen palvelusopimukseen tai laatimalla henkilötietojen käsittelystä erillisen liitteen tai sopimuksen. Erillinen liite on usein toimiva, koska se on helppo lisätä myös aikaisempiin sopimuksiin.

Vaikka tietosuoja-asetus edellyttää kirjallista tietojenkäsittelysopimusta, eivät EU:n tai Suomen tietosuojaviranomaiset ole toistaiseksi julkaisseet sopimusmalleja. Tämän takia monet rekisterinpitäjät ja käsittelijät ovat laatineet omat tietojenkäsittelysopimusmallinsa, joiden avulla ne pyrkivät täyttämään asetuksen vaatimukset. Koska yritysten roolit, käsiteltävät henkilötiedot ja ulkoistettavat toiminnot vaihtelevat, myös tietojenkäsittelysopimukset ovat hyvin erilaisia.

Tietosuoja-asetus asettaa tietojenkäsittelysopimukselle vähimmäisvaatimukset, mutta usein voi olla perusteltua sopia myös muista asioista. Sopimuksessa voidaan sopia esimerkiksi siitä, miten nopeasti henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle tietovuodosta.

Sopimusneuvotteluissa pinnalle nousee usein kysymys osapuolten vahingonkorvausvelvollisuudesta ja mahdollisista vastuunrajoituksista. Sen ratkaisemiseen kannattaa varata aikaa varsinkin, kun jo tehtyihin palvelusopimuksiin lisätään erillistä tietosuojaliitettä. Muita neuvotteluissa monesti esiin tulevia ehtoja ovat käsittelijän oikeus käyttää alihankkijoita, tiedonsiirrot EU:n ulkopuolelle, varmuuskopioiden säilyttäminen palvelusopimuksen päättyessä sekä käsittelijälle rekisterinpitäjän avustamisesta koituvien kustannusten korvaaminen.

Tarkkana palveluntarjoajaa valitessa

Vaikka tietojenkäsittelysopimus on tärkeä, tietosuoja on huomioitava jo palveluntarjoajaa valitessa. Tietosuoja-asetuksen nojalla rekisterinpitäjän tulee arvioida palveluntarjoajan asiantuntemusta ja käyttää ainoastaan sellaisia palveluntarjoajia, jotka antavat riittävät takeet henkilötietojen asianmukaisesta suojaamisesta.

Mitä enemmän henkilötietojen käsittelyyn liittyy rekisteröityjen näkökulmasta riskejä – jos esimerkiksi ulkoistetaan terveystietojen käsittelyä – sitä vahvempi on rekisterinpitäjän velvollisuus huolehtia, että palveluntarjoaja pystyy käsittelemään henkilötietoja turvallisesti.

Miten eteenpäin?

Tietosuoja-asetuksen vaatimuksia tehostaa merkittävä sanktioriski. Siksi rekisterinpitäjinä toimivien yritysten on ensi töikseen selvitettävä, missä tilanteissa ne siirtävät henkilötietoja palveluntarjoajille. Muuten yritysten on vaikeaa varmistaa, vastaavatko niiden sopimusehdot asetuksen vaatimuksia. Tämä koskee yhtä lailla nykyisiä ja tulevia alihankintasuhteita.

Koska asetuksen vaatimukset ovat uusia, on hyvin tavallista, etteivät yritysten voimassa olevat palvelusopimukset täytä niitä kaikkia. Jokaisen henkilötietojen käsittelyä ulkoistaneen yrityksen tulisi varautua siihen, että vanhoja sopimuksia on tarpeen muuttaa. Lisäksi tietosuoja-asetuksen vaatimukset tulisi luonnollisesti ottaa huomioon uusia sopimuksia solmittaessa.

Kirjoitus on alun perin julkaistu Castrén & Snellmanin blogissa 1.3.2018.

Jätä kommentti

avatar
  Tilaa ilmoitukset  
Ilmoita kun