Muista henkilötietojen suoja ulkoistamistilanteissa | Yrittajat.fi
Yrittäjät > Yrittajan Abc > Yritystoiminnan Abc > Henkilotietojen Kasittely Ja Eun Tietosuojauudistus

Etsi

Muista henkilötietojen suoja ulkoistamistilanteissa

 
Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja. Kyse voi olla esimerkiksi asiakkaiden, työntekijöiden tai yrityskontaktien henkilötiedoista, kuten nimestä, osoitteesta, puhelinnumerosta tai mistä tahansa muusta yksilöön liitettävissä olevasta tiedosta. Henkilötietoja käsittelevät yritykset ovat rekisterinpitäjiä, joiden tulee noudattaa tietosuojalainsäädäntöä.

On mahdollista, että rekisterinpitäjä huolehtii kaikista henkilötietojen käsittelytoimista itsenäisesti. Toisaalta on hyvin yleistä, että rekisterinpitäjä ulkoistaa henkilötietojen käsittelytoimia. Tällaisesta tilanteesta on kysymys esimerkiksi silloin, kun yritys ottaa käyttöön pilvipalvelun, jossa se ylläpitää asiakastietokantaansa, antaa ulkoiselle IT-tuelle pääsyn HR-järjestelmäänsä tai siirtää työntekijätietoja palkanmaksusta vastaavalle palveluntarjoajalle. Näissä tilanteissa henkilötietojen katsotaan siirtyvän niin sanotulle henkilötietojen käsittelijälle eli sille palveluntarjoajalle, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.

Toisaalta on syytä muistaa, että vaikka itse henkilötietojen käsittely olisikin ulkoistettu, vastuu henkilötietojen käsittelystä säilyy rekisterinpitäjällä: rekisterinpitäjän lakisääteistä vastuuta ei siis voi ulkoistaa.

Euroopan unionin yleinen tietosuoja-asetus

Tietosuojalainsäädäntö asettaa ulkoistamistilanteille nimenomaisia vaatimuksia, jotka jokaisen rekisterinpitäjän tulisi huomioida. Kun EU:n yleinen tietosuojaasetus astuu voimaan 25. toukokuuta 2018, ulkoistamistilanteet tulevat nyt sovellettavaan henkilötietolakiin verrattuna tarkemman sääntelyn kohteeksi. Asetuksen nojalla velvoitteiden laiminlyönnistä voi myös aiheutua tuntuvia seuraamuksia: sakot saattavat olla jopa 4 prosenttia rekisterinpitäjän vuotuisesta liikevaihdosta.

Henkilötietojen käsittelyn ulkoistamisen lainmukaisuutta arvioitaessa keskeistä on se, miten rekisterinpitäjä on ohjeistanut henkilötietojen käsittelijänä toimivaa palveluntarjoajaa. Ohjeet tulisi antaa kirjallisina, ja ne ovatkin useimmiten osa niin sanottua tietojenkäsittelysopimusta, jossa määritetään sekä rekisterinpitäjän että henkilötietojen käsittelijän oikeudet ja velvollisuudet suhteessa käsiteltäviin henkilötietoihin. 

Tietojenkäsittelysopimukset

Henkilötietojen käsittelijän suorittamasta käsittelystä on sovittava kirjallisella sopimuksella. Tietosuoja-asetus määrittää tietojenkäsittelysopimuksille vähimmäissisällön eli tuo esiin ne asiat, joista sopimuksessa tulisi vähintäänkin sopia. Keskeisimpiä sovittavia asioita ovat:

  • tietojenkäsittelyn yksilöinti — Sopimuksessa on yksilöitävä, mitä tietojenkäsittelyä ollaan ulkoistamassa (esimerkiksi palkanmaksu), mukaan luettuna se, keitä yksilöitä (esimerkiksi työntekijät) ja mitä tietoluokkia (esimerkiksi työntekijöiden yhteystiedot) ulkoistus koskee. Lisäksi on sovittava käsittelyn kestosta eli siitä, milloin henkilötietojen käsittelijän oikeus tietojenkäsittelyyn alkaa ja päättyy.
     
  • sitoutuminen rekisterinpitäjän ohjeisiin — Henkilötietojen käsittelijän tulee sitoutua käsittelemään henkilötietoja ainoastaan rekisterinpitäjän ohjeiden ja sopimusehtojen mukaisesti.
     
  • salassapito — Sopimuksessa tulee varmistaa, että henkilötietojen käsittelyyn oikeutetut henkilöt, kuten henkilötietojen käsittelijän työntekijät, ovat sitoutuneet noudattamaan salassapitovelvollisuutta.
     
  • tietoturva — Henkilötietojen käsittelijän on sitouduttava sopimuksessa toteuttamaan riittävät turvatoimet henkilötietojen suojaamiseksi. Kyse voi olla teknisistä toimista, kuten tietokoneiden virustorjunnasta ja palomuureista tai toimitilojen kulunvalvonnasta, tai organisatorisista toimista, kuten riittävistä ja asiantuntevista resursseista.
     
  • käsittelijän omat alihankkijat — Sopimuksessa tulee sopia, tarvitseeko henkilötietojen käsittelijä rekisterinpitäjältä suostumuksen toisen käsittelijän, eli palveluntarjoajan oman alihankkijan, ottamiseksi osaksi tietojenkäsittelyä vai riittääkö jälkikäteinen ilmoitus ja rekisterinpitäjän vastustamismahdollisuus.
     
  • avustamisvelvollisuus — Sopimuksessa tulee sopia, että käsittelijän on autettava rekisterinpitäjää täyttämään tämän yksilöiden oikeuksiin liittyvät velvollisuudet. Yksilöillä on asetuksen nojalla lukuisia oikeuksia, kuten oikeus saada pääsy itseään koskeviin henkilötietoihin ja saada virheelliset tiedot oikaistuiksi. 
     
  • tiedonantovelvollisuus — Käsittelijän on saatettava rekisterinpitäjän saataville kaikki sellaiset tiedot, jotka ovat tarpeen rekisterinpitäjän velvollisuuksien noudattamisen osoittamista varten.
     
  • auditointioikeus — Käsittelijän on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.
     
  • tietojen poistaminen — Kun käsittelyyn liittyvien palveluiden tarjoaminen on päättynyt, tulee henkilötietojen käsittelijän poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle, jollei käsittelijällä ole lakisääteistä velvollisuutta säilyttää henkilötietoja.

Käytännön kokemuksia tietosuojasopimuksista

Tietosuoja-asetuksen edellyttämän sopimisen voi käytännössä toteuttaa joko sisällyttämällä asiaa koskevan kappaleen tai osion rekisterinpitäjän ja henkilötietojen käsittelijän väliseen varsinaiseen palvelusopimukseen tai laatimalla erillisen henkilötietojen käsittelyä koskevan liitteen. Erillinen liite on helppo lisätä myös jo olemassa oleviin sopimuksiin, ja sellaisen käyttäminen on käytännössä osoittautunut toimivaksi sopimustekniikaksi.

Edellä mainittujen tietosuoja-asetuksen edellyttämien asioiden lisäksi sopimuksessa on suositeltavaa sopia myös enimmäisajasta, jonka kuluessa käsittelijän on ilmoitettava henkilötietojen tietovuodosta rekisterinpitäjälle. Vaikka asetus ei edellytäkään konkreettisesta aikarajasta sopimista, sopiminen on suositeltavaa lain hengen noudattamiseksi ja rekisterinpitäjän maineriskien pienentämiseksi.

Tietosuojasopimuksia neuvoteltaessa pinnalle nousee usein myös kysymys osapuolten vahingonkorvausvelvollisuudesta ja mahdollisista vastuunrajoituksista. Näiden asioiden ratkaisemiseen kannattaakin varata riittävästi aikaa varsinkin, kun jo olemassa oleviin palvelusopimuksiin ollaan lisäämässä erillistä tietosuojaliitettä. Muita neuvotteluissa usein esille nousseita ehtoja ovat olleet esimerkiksi käsittelijän oikeus käyttää alihankkijoita tietojen käsittelyssä, mahdolliset tietojen siirrot EU:n ulkopuolelle sekä käsittelijälle avustamisesta koituvien kustannusten korvaaminen.

Palveluntarjoajan valinta

Vaikka tietojenkäsittelysopimukset ovat keskeisessä roolissa henkilötietojen käsittelyä ulkoistettaessa, rekisterinpitäjän on huomioitava tietosuoja jo palveluntarjoajan valintavaiheessa. Tietosuoja-asetuksen nojalla rekisterinpitäjän tulee arvioida esimerkiksi palveluntarjoajan asiantuntemusta ja käyttää ainoastaan sellaisia palveluntarjoajia, joka antavat riittävät takeet henkilötietojen asianmukaisesta suojaamisesta. Nämä seikat tulisi ottaa huomioon jo palveluntarjoajia kartoitettaessa, esimerkiksi tarjouspyyntövaiheessa.

Mitä enemmän henkilötietojen käsittelyyn liittyy yksilön näkökulmasta riskejä, sitä korostuneempi velvollisuus rekisterinpitäjällä on huolehtia siitä, että palveluntarjoajalla on riittävät edellytykset käsitellä henkilötietoja asianmukaisesti. Jos kyse on esimerkiksi terveystietojen tai muiden arkaluonteisten tietojen käsittelystä, tämä tulisi ottaa huomioon palveluntarjoajan kelpoisuutta arvioitaessa.

Seuraavat askeleet

Tietosuoja-asetuksen uusien vaatimusten ja merkittävän sanktioriskin vuoksi on tärkeää, että rekisterinpitäjinä toimivat yritykset ensinnäkin kartoittavat ne tilanteet, joissa ne siirtävät henkilötietoja palveluntarjoajille. Näiden henkilötietojen käsittelijöinä toimivien kumppaneiden tunnistaminen on edellytys riittävien sopimusehtojen olemassaolon varmistamiseksi. Tämä koskee yhtä lailla niin olemassa olevia kuin tuleviakin alihankintasuhteita.

Koska tietosuoja-asetus asettaa uusia vaatimuksia tietojenkäsittelysopimusten sisällölle, on hyvin todennäköistä, etteivät voimassa olevat tietojenkäsittelysopimukset täytä kaikkia asetuksen vaatimuksia. Näin kaikkien henkilötietojen käsittelyä ulkoistaneiden yritysten tulisi varautua siihen, että voimassa olevia sopimuksia on tarpeen muuttaa. Koska tietosuoja-asetuksen voimaan tuloon on enää alle vuosi, tulisi työ sopimusten päivittämiseksi aloittaa mahdollisimman pian. Tämän lisäksi tietosuoja-asetuksen vaatimukset tulisi luonnollisesti ottaa jo nyt huomioon uusia sopimuksia solmittaessa. 

 

Lauri Leppänen ja Mikko-Pekka Partanen
Asianajotoimisto Castren & Snellman