Viisi syytä, miksi tietosuoja tulee huomioida yrityksen sopimuksissa
Tietosuojalla tarkoitetaan henkilötietojen keräämisen ja käsittelyn rajoittamista yksityisyyden suojaamiseksi. Yritysten välisissä sopimussuhteissa käsitellään usein henkilötietoja toisen osapuolen lukuun tai yhteiseen tarkoitukseen. Alla on kuvattu, mitä EU:n yleinen tietosuoja-asetus (GDPR) näissä tilanteissa vaatii sekä mitä muita merkityksiä tietosuojasta sopimisella on.
Tietosuojalla tarkoitetaan henkilötietojen keräämisen ja käsittelyn rajoittamista yksityisyyden suojaamiseksi. Yritysten välisissä sopimussuhteissa käsitellään usein henkilötietoja toisen osapuolen lukuun tai yhteiseen tarkoitukseen. Alla on kuvattu, mitä EU:n yleinen tietosuoja-asetus (GDPR) näissä tilanteissa vaatii sekä mitä muita merkityksiä tietosuojasta sopimisella on.
1. Osapuolten roolien ja vastuiden määrittäminen
GDPR määrittelee vastuut ja velvoitteet henkilötietojen käsittelyn suhteen ja ne riippuvat siitä, missä roolissa yrityksesi tietoja käsittelee. Näin ollen osapuolten roolien tunnistaminen ja määritteleminen sopimuksessa on avainasemassa näiden vastuiden ja velvoitteiden täyttämiseksi. Samalla tämä selkeyttää osapuolille itselleen heidän roolinsa ja vastuunsa henkilötietojen käsittelyn osalta.
Yrityksesi toimii rekisterinpitäjänä silloin, kun henkilötiedot on kerätty yrityksen toimintaa varten ja se on määritellyt perusteet niiden keräämiselle. Rekisterinpitäjän rooli voi jakautua myös kahdelle taholle samanaikaisesti, jolloin nämä toimivat käsiteltävien tietojen osalta yhteisrekisterinpitäjinä. Toisaalta yrityksesi voi toimia sopimuksen nojalla henkiötietojen käsittelijänä toisen yrityksen lukuun esimerkiksi silloin, kun kyse on ulkoistettujen palveluiden tarjoamisesta.
Rekisteröidyn mahdollisuudet käyttää tietosuojalainsäädännön mukaisia oikeuksiaan määräytyvät sen perusteella, toimitko rekisterinpitäjänä vai käsittelijänä. Ensisijainen vastuu rekisteröityjä kohtaan on rekisterinpitäjällä, mutta molemmissa rooleissa henkilötietojen käsittelyssä on täytettävä GDPR:n velvoitteet.
2. Henkilötietojen suojaaminen sopimuksin
Yrityksen sopimuksia laadittaessa on muistettava, että kaikesta sopimuksen nojalla tehtävästä henkilötietojen käsittelystä toisen lukuun tai yhteisrekisterinpitäjänä on sovittava osapuolten välillä kirjallisesti. Henkilötietojen käsittelystä on sovittava kirjallisesti riippumatta siitä, onko kyse kahden ulkopuolisen toimijan tai esimerkiksi konserniyhtiöiden välillä tehtävästä sopimuksesta. Myöskään käsiteltävien henkilötietojen määrällä tai organisaation koolla ei ole väliä velvoitteen kannalta.
GDPR määrittelee ne seikat, joista sopimusten nojalla tulee sopia. Huomioimalla tietosuojaa koskevat velvoitteet sopimussuhteissa et ainoastaan noudata voimassa olevaa tietosuojalainsäädäntöä, vaan edesautat samalla henkilötietojen suojan toteutumista yrityksesi toiminnassa. Samalla sopimus osaltaan täyttää GDPR:n edellyttämää osoitusvelvollisuutta henkilötietojen käsittelyn lainmukaisuudesta.
3. Riskienhallinta- ja compliance-toimintojen varmistaminen
Tietosuoja linkittyy vahvasti yrityksen liiketoimintaan erityisesti riskienhallinnan ja compliancen näkökulmasta. Yrityksesi on vastuussa sen hallussa olevien henkilötietojen suojaamisesta ja käsittelyn lainmukaisuudesta.
Henkilötietojen käsittelyä koskevilla sopimusehdoilla varmistat, että henkilötietojen käsittely tapahtuu siinä määrin ja niitä tarkoituksia varten, jotka yrityksesi on määritellyt. Ennen sopimussuhteen alkua kuin sen aikanakin on varmistuttava siitä, että sopimuskumppanilla on luotuna tarvittavat sisäiset prosessit ja toimintatavat tietosuojan ja -turvan näkökulmasta, ja että sopimuskumppanin työntekijöitä sitoo lakimääräinen salassapitovelvoite. GDPR:n velvoitteiden täyttämisen lisäksi minimoit henkilötietojen käsittelyyn liittyviä riskejä ja mahdollisten tietoturvaloukkausten syntyä.
4. Läpinäkyvyyden ja luottamuksen kasvattaminen
Huolehtimalla tarvittavien tietosuojaa koskevien sopimusehtojen sisällyttämisestä sopimuksiin lisäät läpinäkyvyyttä niin sopimuskumppaniasi kuin asiakkaita ja muita sidosryhmiä kohtaan. Samalla kasvatat luottamusta yritykseesi.
Henkilötietojen käsittelysopimus sitoo käsittelijää suhteessa rekisterinpitäjään ja sopimuksella tulee siten määritellä mm. seuraavat asiat:
- Käsittelyn kohde ja kesto
- Käsittelyn luonne ja tarkoitus
- Henkilötietojen tyyppi ja rekisteröityjen ryhmät
- Rekisterinpitäjän velvollisuudet ja oikeudet.
Edellä mainittujen lisäksi GDPR sisältää yksityiskohtaisemmat säännökset sopimusehdoista, jotka tulee huomioida rekisterinpitäjän ja käsittelijän välisessä sopimuksessa.
Kun kyse on yhteisrekisterinpitäjien välisestä käsittelysopimuksesta, tulee rekisterinpitäjän roolista johtuen huomioitavaksi hieman edellä mainitusta poikkeavat sopimusehdot, sillä molemmat osapuolet rekisterinpitäjinä ovat vastuussa käsittelystä suoraan rekisteröidyille. Yhteisrekisterinpitäjien välillä on erityisesti kiinnitettävä huomiota siihen, että sopimuksella määritellään rekisterinpitäjien väliset vastuut ja velvoitteet suhteensa toisiinsa, rekisteröityjen informoiminen, tietojen luovuttamista koskevat periaatteet, rekisteröityjen oikeuksien toteuttaminen ja menettelysäännöt mahdollisten tietoturvaloukkausten osalta.
5. Liiketoiminnan edellytysten turvaaminen
Henkilötietojen käsittely, esim. käsittelyperusteet tai kohderyhmät, kuten myös sovellettava lainsäädäntö voivat muuttua, jolloin sopimusehtoja tulee päivittää.
Yrityksesi vastuulla on jatkuvasti seurata, että sopimukset ovat ajan tasalla ja täyttävät kulloinkin voimassaolevan lainsäädännön asettamat vaatimukset. Hyvänä viimeaikaisena esimerkkinä muutostarpeita aiheuttavista tilanteista toimii EU tuomioistuimen viime kesänä antama ratkaisu (C-311/18), jolla tuomioistuin totesi EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason olevan riittämätön ja näin ollen kielsi henkilötietojen siirron järjestelyn kautta. Jos yrityksesi on aiemmin siirtänyt henkilötietoja Euroopan talousalueen ulkopuolelle ja tietojen siirto on perustunut Privacy Shield -järjestelyyn, on viimeistään nyt korkea aika päivittää kyseiset sopimusehdot.
Tarvitsetko apua henkilötietojen käsittelyyn ja tietosuojaan liittyvissä kysymyksissä? Avustamme jatkuvasti asiakkaitamme mm. henkilötietojen käsittelysopimusten sekä muun tietosuojaa koskevan dokumentaation laatimisessa, GAP-analyysien tekemisessä ja muissa erityisissä tietosuojaa koskevissa oikeudellisissa kysymyksissä. Ota yhteyttä!