Tietosuoja-asetuksen velvoitteet huomioitava ulkoistetuissa palveluissa

Tietosuoja-asetus astuu voimaan pian

EU:n tietosuoja-asetus on tietosuojalainsäädännön suurin uudistus 20 vuoteen. EU:n uutta tietosuoja-asetusta aletaan soveltamaan jo vajaan 9 kuukauden kuluttua eli 25.5.2018 lukien. Oikeusministeriön asettama työryhmä on mietinnössään 21.6.2017 ehdottanut, että nykyinen henkilötietolaki kumottaisiin ja sen tilalle säädettäisiin uusi henkilötietojen suojaa koskeva yleislaki, tietosuojalaki, jolla täsmennettäisiin ja täydennettäisiin asetusta.

Uusia velvollisuuksia

Pian voimaan astuvasta asetuksesta seuraa rekisterinpitäjille ja henkilötietoja käsitteleville tahoille uusia velvollisuuksia ja vastuita. Asetus tulee koskettamaan käytännössä kaikkia organisaatioita ja sen tuomia uudistuksia ovat muun muassa rekisteröityjen oikeuksien vahvistuminen, suostumus tai asetuksessa määritelty oikeus tietojen keräämiseen ja rekisteröidyn oikeus tulla unohdetuksi, riskiperusteinen lähestymistapa, tietoturvaloukkauksista ilmoittaminen ja rekisterinpitäjälle eli organisaatioille asetettu tilivelvollisuus. Lisäksi asetus velvoittaa tiettyjä organisaatioita nimittämään tietosuojavastaavan.

Jatkossa ei enää riitä, että asetusta noudatetaan, vaan on myös pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan rekisterinpitäjän toiminnassa. Rekisterinpitäjän tulee myös muistaa, että asetuksen mukaan rekisterinpitäjä saa oletusarvoisesti käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.

Velvoitteiden noudattamatta jättämisellä tulee puolestaan olemaan merkittävät seuraamukset, sillä laiminlyönneistä voi nimittäin seurata hallinnollisia sakkoja, joiden määrä voi olla jopa 20 miljoonaa euroa taikka 4 % organisaation globaalista liikevaihdosta.

Tietosuoja-asetuksen velvoitteet huomioitava ulkoistettuja palveluja koskevissa sopimuksissa

Tietosuoja-asetus on huomioitava myös palvelujen ulkoistamisen yhteydessä. Rekisterinpitäjänä toimivan organisaation on henkilötietojen käsittelytehtäviä sopimuskumppaneille ulkoistaessaan huomioitava tietosuoja-asetuksen velvoitteet ulkoistettavaa palvelua koskevassa sopimuksessa, nimittäin ulkoistamisen myötä sopimuskumppanit ovat lähtökohtaisesti rekisterinpitäjän lukuun henkilötietoja käsitteleviä tahoja. Eli tilanteessa, jossa sopimuskumppanilla ei ole itsenäistä päätösvaltaa henkilötietojen käsittelyn ja luovutusten suhteen, se toimii henkilötietojen käsittelijänä rekisterinpitäjän eli palvelun ulkoistaneen organisaation lukuun. Tällöin palveluita ulkoistavan organisaation on huolehdittava siitä, että sen sopimuskumppani, jolle henkilötietojen käsittelyä koskevia tehtäviä on ulkoistettu, täyttää tietosuoja-asetuksen mukaiset velvoitteet. Vastuusta ei siten vapaudu pelkästään ulkoistamalla tällaiset käsittelytehtävät ulkopuoliselle taholle.

Käytännössä tällaisissa tilanteissa tietosuojavelvoitteisiin ja niiden täyttämiseen ja seurantaan tulee ottaa kantaa palvelua koskevassa sopimuksessa, jossa voidaan sopia keskinäisestä vastuunjaosta ja käytänteistä, joilla velvoitteista huolehditaan.