Etusivu > Yrittajan Abc > Yritystoiminnan Abc > Yrittajan Tietosuojaopas

Etsi

Tietojenkäsittelyn ulkoistaminen

Rekisterinpitäjä voi ulkoistaa henkilötietojen käsittelyn. Ulkoistettuja palveluita ovat esimerkiksi

  • tilitoimisto, joka maksaa työntekijöiden palkat
  • IT-tuki, jolla on pääsy henkilötietoihin.

Näissä tilanteissa henkilötietojen katsotaan siirtyvän niin sanotulle henkilötietojen käsittelijälle eli sille palveluntarjoajalle, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.

Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka huolehtivat asianmukaisista suojatoimista ja varmistavat, että käsittely täyttää tietosuoja-asetuksen vaatimukset. Näin varmistetaan rekisteröidyn oikeuksien suojelu.

Tietojen käsittelijän on kerrottava rekisterinpitäjälle, jos se suunnittelee esimerkiksi henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

Yrittäjän tulisi ohjeistaa henkilötietojen käsittelijänä toimivaa palveluntarjoajaa. Ohjeet tulisi antaa kirjallisina. Ne ovat useimmiten osa niin sanottua tietojenkäsittelysopimusta, jossa määritetään sekä rekisterinpitäjän että henkilötietojen käsittelijän oikeudet ja velvollisuudet suhteessa käsiteltäviin henkilötietoihin.

Tietojenkäsittelysopimuksessa tulisi sopia vähintään seuraavista asioista

  • Tietojenkäsittelyn yksilöinti — Sopimukseen tulisi yksilöidä,
    • keitä yksilöitä (työntekijät)
    • millaisia tietoja (palkanmaksutiedot) ulkoistus koskee.
       
  • Sitoutuminen rekisterinpitäjän ohjeisiin — Henkilötietojen käsittelijän tulee sitoutua käsittelemään henkilötietoja ainoastaan rekisterinpitäjän ohjeiden ja sopimusehtojen mukaisesti.
     
  • Salassapito — Sopimuksessa tulee varmistaa, että henkilötietojen käsittelyyn oikeutetut henkilöt, kuten henkilötietojen käsittelijän työntekijät, ovat sitoutuneet noudattamaan salassapitovelvollisuutta.
     
  • Tietoturva — Henkilötietojen käsittelijän on sitouduttava sopimuksessa toteuttamaan riittävät turvatoimet henkilötietojen suojaamiseksi. Kyse voi olla teknisistä toimista, kuten tietokoneiden virustorjunnasta ja palomuureista, toimitilojen kulunvalvonnasta tai organisatorisista toimista, kuten riittävistä ja asiantuntevista resursseista.
     
  • Käsittelijän omat alihankkijat — Sopimuksessa tulee sopia, tarvitseeko henkilötietojen käsittelijä rekisterinpitäjältä suostumuksen toisen käsittelijän, eli palveluntarjoajan oman alihankkijan, ottamiseksi osaksi tietojenkäsittelyä vai riittääkö jälkikäteinen ilmoitus ja rekisterinpitäjän vastustamismahdollisuus.
     
  • Avustamisvelvollisuus — Sopimuksessa tulee sopia, että käsittelijän on autettava rekisterinpitäjää täyttämään tämän yksilöiden oikeuksiin liittyvät velvollisuudet. Yksilöillä on lukuisia oikeuksia, kuten oikeus saada pääsy itseään koskeviin henkilötietoihin ja saada virheelliset tiedot oikaistuiksi.
     
  • Tiedonantovelvollisuus — Käsittelijän on saatettava rekisterinpitäjän saataville kaikki sellaiset tiedot, jotka ovat tarpeen, jotta voidaan osoittaa rekisterinpitäjän toimineen oikein.
     
  • Auditointioikeus — Käsittelijän on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.
     
  • Tietojen poistaminen  — Kun käsittelyyn liittyvien palveluiden tarjoaminen on päättynyt, tulee henkilötietojen käsittelijän poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle, jollei käsittelijällä ole lakisääteistä velvollisuutta säilyttää henkilötietoja.
     
  • Vahingonkorvausvastuu — Rekisterinpitäjä on viimekädessä vastuussa, että henkilötietoja käsitellään lainmukaisesti, joten rekisterinpitäjä vastaa myös yhteistyökumppaninsa toimista. Tämän takia keskinäisistä vahingonkorvausvelvollissopia. uuksista olisi tärkeä

 

» Katso tietosuoja-asetuksen artiklat 28 ja 29.

» Takaisin Yrittäjän tietosuojaopas -etusivulle