 |
EU:n uusi tietosuoja-asetus (2016/679) asettaa henkilötietojen rekisterinpitäjille uusia velvollisuuksia, jotka ulottuvat myös ulkoistamis- ja palvelusopimuksiin. Käytännössä tietosuoja-asetus aiheuttaa muutostarpeita jokaiseen sellaiseen sopimukseen, jolla yritys on ulkoistanut hallinnoimiensa henkilötietojen käsittelyä.
Tietosuoja-asetusta sovelletaan kaikenlaiseen henkilötietojen käsittelyyn. Henkilötietoja ovat kaikki sellaiset tiedot, jotka ovat kohdennettavissa konkreettiseen henkilöön, kuten nimi, osoite, valokuva, terveystiedot, ostokäyttäytyminen, sijainti ja jopa pelkkä IP-osoite.
Tietosuoja-asetuksessa henkilötietojen käsittelyn ulkoistamisella tarkoitetaan kaikkea sellaista toimintaa, jolla rekisterinpitäjä ulkoistaa henkilötietoihin liittyvää säilyttämistä tai muuta käsittelyä alihankkijoille tai palveluntarjoajille. Henkilötietojen käsittelyn ulkoistamisesta on kyse mm. silloin, kun rekisterinpitäjä säilyttää mitä tahansa henkilötietoja ulkoisen IT-palveluntarjoajan palvelimilla.
Tietosuoja-asetuksen 28 artikla edellyttää, että henkilötietojen rekisterinpitäjän tulee sopia aina henkilötietojen käsittelyn ulkoistamisesta kirjallisella sopimuksella. Edelleen em. artikla asettaa lukuisia byrokraattisia vaatimuksia henkilötietojen käsittelyn ulkoistukseen liittyvän sopimuksen sisällölle. Tietosuoja-asetuksen 28 artiklan 3 kohdan mukaan sopimuksessa tulisi mm. nimenomaisesti vahvistaa ”käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet.” Lisäksi edellytetään nimenomaista kohtaa mm. auditointioikeudesta, dokumentointivelvollisuudesta, sitoumusta käyttää tietoja vain sallittuun käyttötarkoitukseen.
Käytännössä tietosuoja-asetus siis edellyttää, että joka kerta henkilötietojen käsittelyä ulkoistettaessa sopimukseen tai sen liitteeseen otetaan tietosuoja-asetuksen 28 artiklan edellyttämät sopimuskohdat ja yksilöinnit. Pituudeltaan vaadittu tietosuojaliite lienee 2-3 sivun pituinen. Tietosuojasopimukseen vaaditut kohdat ovat sinänsä melko kohtuullisia ja useimmiten kummallekin sopijapuolelle hyväksyttävissä olevia. Näin ollen tietosuojasopimusten/tietosuojaliitteiden neuvottelu ei liene käytännössä mahdotonta.
Tietosuoja-asetuksen rikkomisesta on säädetty huomattavat sanktiot. Tietosuoja-asetuksen 83 artiklan mukaan esim. ulkoistamissopimusvelvollisuuden rikkomisesta voi seurata hallinnollinen sakko, jonka suuruus on enintään 10.000.000 euroa tai kaksi prosenttia liikevaihdosta, kumpi näistä on suurempi.
EU:n uutta tietosuoja-asetusta tulee soveltaa 25. toukokuuta 2018 alkaen. Vaatimusta ulkoistamissopimuksiin otettavista kohdista sovelletaan myös sellaisiin sopimuksiin, jotka on solmittu ennen tietosuoja-asetuksen voimaantuloa.
Yrityksillä on näin ollen vielä hyvin aikaa valmistautua tietosuoja-asetuksen voimaantuloon, mutta tarvittavien muutosten tekeminen on kuitenkin syytä aloittaa viipymättä.
|
|
|
| |
Asianajaja, varatuomari Tommi Härmä
|
|
|
|
|
|
| |
Asianajaja, varatuomari Jussi Lampinen
|
|
|
|
|
|
|
