Lisää sivuja sopimuksiin?

Säilyttääkö joku muu tietojanne? Onko laskutus ulkoistettu? Tai onko henkilötietojen käsittelyänne muuten ulkoistettu?  Entä, käsitteleekö yrityksesi henkilötietoja jonkun kumppanin puolesta? Jos näin on, olisi syytä käydä sopimukset läpi kiinnittäen erityistä huomioita tietosuojaa koskeviin sopimuskohtiin. Keväällä 2018 voimaantuleva tietosuoja-asetus tuo mukanaan senkin muutoksen, että tulevaisuudessa ei ole enää mahdollista sopia henkilötietojen suojaamisesta niin vapaamuotoisesti kuin ennen. Viimeaikainen trendi on ollut pyrkimys ketteröittää ja selkeyttää sopimuksia, mutta tietosuoja-asetus tuo kapuloita rattaisiin, vai tuoko?

Palveluiden ulkoistamisissa yleinen haaste on tunnetusti se, että palvelun tuottajan ja tilaajan käsitykset eivät kohtaa. Neuvotteluvaiheessa kuvitellaan, että roolit ja vastuut ovat selkeät mutta käytännön elämässä huomataan, että näin ei ole. Asiat joista ei ole sovittu selkeästi, jäävät lopulta hoitamatta. Tähän ongelmaan varsin oiva apu on se, että sopimuksista tehdään mahdollisimman valmiit pohjat. Sovittavat asiat on mietitty etukäteen ja samankaltaiset sopimukset tehdään jatkossa vain pienillä muokkauksilla. Tietosuoja- ja tietoturva-asioita koskien käytännöllistä on liittää sopimukseen oma tietosuoja- ja/tai tietoturvaliite. Näin on helpompi tehdä muutoksia aiheeseen liittyen jatkossa kun ei tarvitse käydä koko sopimusta läpi ja poimia sieltä täältä yksittäisiä sopimusehtoja. Hyviäkin pohjia on kuitenkin tarkasteltava aika ajoin läpi, tarvitsevatko ne päivitystä mm. lainsäädännön muutosten takia. Tietosuoja-asetus on tällä hetkellä yksi oleellinen muutostekijä.

Rekisterinpitäjän ja käsittelijän suhde selkiytyy?

Tuleva tietosuoja-asetus on monin paikoin tulkinnanvarainen mutta rekisterinpitäjän ja käsittelijän välisen sopimuksen osalta tarkkarajaisempi. Asetuksessa määrätään melko tarkkaan, mitä rekisterinpitäjän ja käsittelijän välillä on sovittava. Vaikka kyseenalaista ehkä on, että lainsäätäjä ottaa kantaa sopimusten sisältöön, tämä osaltaan edesauttaa sitä, että oleellisista asioista muistetaan sopia. Sopimus on lisäksi tehtävä kirjallisesti, joka puolestaan jo itsessään tukee ns. osoitusvelvollisuusperiaatteen toteutumista.

Asetus asettaa aikaisempaan nähden enemmän vastuuta myös käsittelijälle, aikaisemmin vastuu perustui lähinnä sopimukseen. Tämä asettaa rekisterinpitäjän hieman parempaan asemaan mutta pelkkään lainsäännökseen ei kannata turvautua. Sopimus on hyvä tehdä huolella, sillä asetukseen on jätetty liikkumavaraa. Rekisterinpitäjä on lisäksi viime kädessä vastuussa siitä, että alihankkijana toimiva tietojen käsittelijä antaa riittävät takeet siitä, että sen toiminta on tietosuoja-asetuksen mukaista. Sopimusten laadinnassa on hyvä käyttää juristin apua mutta vähintään yhtä tärkeää on, että mukana on myös ainakin kyseessä olevien palveluiden alan asiantuntija sekä tietoturvaosaaja.

Vastaavatko sopimuksenne tietosuoja-asetuksessa säädettyjä ehtoja? Eikun pläräämään!

Mukavia lukuhetkiä toivottaen!

Lotta Ylä-Sulkava
lakimies, CIPP/E
Finnet-liitto Ry

Tiesitkö, että Finnet-liitto järjestää 20.9. Vantaalla koulutuksen, jossa käsitellään tietosuoja-asetusta henkilötietojen käsittelyn ulkoistuksen näkökulmasta. Tule kuuntelemaan ja keskustelemaan! Lue lisää