Tietosuoja-asetus tulee voimaan ensi keväänä, onko yrityksesi sopimukset jo kartoitettu?

Tietosuoja-asetuksen voimaantuloon on enää alle vuosi. Yrityksen koko, toiminta ja toimiala määrittävät pitkälti sen, mitä tietosuoja-asioiden kartoittaminen ja tarvittavien toimien tekeminen vaatii, mutta yleisesti voidaan todeta, että aikaa koko prosessille on syytä varata. Paljon asetuksen velvoitteista koskee yrityksen sisäistä toimintaa, jolloin tietosuoja-asioiden saattaminen asianmukaiselle tolalle on yrityksen omissa käsissä. Osa uusista vaatimuksista kuitenkin edellyttää neuvotteluja sopimuskumppaneiden kanssa, sillä osapuolten keskinäiset vastuut tietosuojan suhteen tulee tunnistaa ja saattaa ne asetuksen mukaisiksi. Vielä ehdit kartoittaa yrityksesi sopimukset!


Tietosuojavelvoitteita arvioitaessa yrityksen on ensisijaisen tärkeää tunnistaa kaksi asiaa sopimussuhteissaan:

  1. käsitelläänkö sopimussuhteessa henkilötietoja ja jos käsitellään,
  2. missä roolissa yritys niitä käsittelee.

Henkilötietoja ovat kaikki tiedot, jotka voidaan yhdistää yksittäiseen henkilöön.

Käytännössä lähes kaikki yritykset ovat rekisterinpitäjiä sillä perusteella, että ne keräävät ja käsittelevät työntekijöidensä tai asiakkaidensa henkilötiedoiksi luokiteltavia tietoja. Tavalllisesti monissa yrityksissä on myös markkinoinnin kohteena olevien tahojen yhteystietoja, kuten sähköpostiosoitteita, joihin ehkä aika ajoin lähetetään itse tai palveluntarjoajan toimesta markkinointikirjeitä. Henkilötietoja voi siis löytyä hyvinkin arkisista yhteyksistä osana yrityksen toimintaa.

Yritykset, jotka tarjoavat esimerkiksi palkka- tai henkilöstöhallinnon tai vaikkapa markkinoinnin palveluja asiakasyrityksilleen eli rekisterinpitäjille, ovat puolestaan henkilötietojen käsittelijöitä.

Rekisterinpitäjän vastuut säilyvät ja henkilötietojen käsittelijän vastuut lisääntyvät

Aikaisemmin rekisterinpitäjä on ollut vastuussa henkilötietojen käsittelyn lainmukaisuudesta, mutta asetuksen myötä myös henkilötietojen käsittelijän vastuu kasvaa. Rekisterinpitäjä vastaa tietosuojavelvoitteista edelleen suhteessa rekisteröityyn henkilöön, mutta henkilötietojen käsittelijän tulee omalta osaltaan varmistaa, että rekisteröidyn oikeudet tulevat toteutetuiksi. Valvontaviranomaisilla on jatkossa valtuudet määrätä rekisterinpitäjille ja henkilötietojen käsittelijöille tietosuojavelvoitteiden laiminlyönnistä hallinnollisia seuraamuksia tai sakkoja, jotka voivat nousta jopa kymmeniin miljooniin euroihin.

Tietosuojan hoitaminen asetuksen mukaiseksi on molempien sopimuskumppaneiden etu

Asetuksen voimaantulon myötä ei riitä, että sopimuksen osapuolet keskenään varmistuvat toisen toiminnasta tai luottavat aiempaan, tietosuojankin kannalta hyväksi havaittuun yhteistyöhön, vaan asetus velvoittaa osapuolet laatimaan kirjallisen sopimuksen henkilötietojen käsittelystä. Myös sopimuksen sisällölle on asetuksessa säädetty vähimmäisvaatimukset. Asetus sallii rekisterinpitäjän käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojaustoimenpiteet sekä täyttävät asetuksen vaatimukset. Mikäli henkilötietojen käsittelijä käyttää sopimusvelvoitteidensa täyttämiseksi vielä alihankkijaa, päivitettävä sopimuskanta voi olla hyvinkin laaja.

Osoitusvelvollisuus edellyttää kirjallisia sopimuksia ja dokumentoitua yhteistyötä

Asetuksen myötä ei enää riitä, että yritys näyttää toimineensa lainmukaisesti, vaan jatkossa yrityksen on kyettävä osoittamaan, että se on toiminut asetuksenmukaisesti. Sopimusten kannalta osoitusvelvollisuus tarkoittaa ensinnäkin sitä, että sopimukset ovat kirjallisia ainakin tietosuojan osalta. Toiseksi osoitusvelvollisuus tarkoittaa sitä, että asetuksen asettamat ehdot, kuten esimerkiksi alihankkijan käyttämiseen edellytettävä kirjallinen ennakkolupa rekisterinpitäjältä, on dokumentoitu.

Tietosuojan saattaminen asetuksen mukaiseksi on paitsi osa yrityksen omaa riskinhallintaa, myös tehokas positiivinen viesti asiakkaille ja muille yhteistyökumppaneille sekä henkilöstölle, että yrityksessä halutaan toimia oikein. Avullamme voit saattaa yrityksesi sopimukset vastaamaan tietosuoja-asetuksen velvoitteita.

Terhi Karjala
Jari Piittinen

Lue myös tietosuoja-sarjamme aiemmat kirjoitukset:

Timo Valonen: Miten tikku-ukkopiirustukset auttavat kehittämään tietosuojaa? 24.5.2017

Kirsi Putkonen: EU:n uusi tietosuoja-asetus lisää kansalaisten oikeuksia ja yrityksen velvollisuuksia – miten aloittaa valmistautuminen yrityksessäsi? 27.4.2017


EY - Matti CopelandTerhi Karjala

email

Varatuomari, lakimies Terhi Karjalalla on kymmenen vuoden kokemus yritysjuridiikasta, erityisesti sopimusoikeudesta ja työoikeudesta. Terhi on neuvonut asiakkaita henkilötietoasioissa jo pitkään ja tietosuoja-kysymysten painopiste hänen työssään on kasvanut merkittävästi.


EY - Matti CopelandJari Piittinen

email

Lakiharjoittelija Jari Piittinen on aikaisemmalta koulutukselta insinööri (AMK) ja hänellä on yli 7 vuoden kokemus ICT-alalta. Jari on osallistunut useisiin tietosuojan nykytilan arviointia koskeviin projekteihin kevään 2017 aikana. Juridisen näkökulman lisäksi Jari pystyy arvioimaan asioita teknisestä näkökulmasta.



Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s