Henkilötietojen käsittelijät

Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. 

Henkilötietojen käsittelijä toimii rekisterinpitäjän ohjeiden mukaisesti ja sen alaisuudessa.
Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötietojen käsittelijällä ei tarkoiteta rekisterinpitäjän alaisuudessa toimivia työntekijöitä, jotka käsittelevät henkilötietoja osana työtehtäviään.

Henkilötietojen käsittelijä voi olla esimerkiksi yritys, yksityinen elinkeinonharjoittaja, viranomainen tai yhdistys. Erittäin laaja palveluntarjoajien joukko toimii henkilötietojen käsittelijöinä.

Henkilötietojen käsittelijöiden toimenkuvat

Henkilötietojen käsittelijöiden toimet voivat olla hyvin tarkkaan rajattuja, kuten postin toimituksen ulkoistaminen. Tehtävät voivat olla myös laajoja ja yleisiä, ja niihin voi liittyä tietyn palvelun hallinta toisen organisaation puolesta, esimerkiksi yrityksen työntekijöiden palkanmaksuun liittyvät tehtävät.

Henkilötietojen käsittelijää koskeva sääntely koskee esimerkiksi seuraavia palveluntarjoajia:

  • IT-palveluntarjoajat, ohjelmistojen integroijat, kyberturvallisuusyritykset ja IT-konsulttiyritykset, joilla on pääsy rekisterinpitäjän henkilötietoihin.
  • Terveydenhuollon laboratorio, joka käsittelee näytteitä rekisterinpitäjän lukuun.
  • Markkinointi- ja viestintätoimistot, jotka käsittelevät henkilötietoja asiakkaidensa puolesta.
  • Yleisemmin kaikki organisaatiot, joiden tarjoamiin palveluihin sisältyy henkilötietojen käsittelyä toisen organisaation puolesta.
  • Myös julkista viranomaista tai järjestöä voidaan pitää henkilötietojen käsittelijänä.

Ohjelmistojulkaisijoita ja laitevalmistajia, esimerkiksi työajan seurantalaitteiden, biometristen laitteiden tai lääkinnällisten laitteiden valmistajia, ei pidetä henkilötietojen käsittelijöinä, jos niillä ei ole pääsyä henkilötietoihin, eivätkä ne käsittele henkilötietoja.

Organisaatio voi käsitellä henkilötietoja toisen lukuun käsittelijänä. Se on kuitenkin rekisterinpitäjä sellaisten henkilötietojen käsittelyssä, joita se käsittelee omasta puolestaan, eikä asiakkaina olevien rekisterinpitäjien puolesta. Organisaatio on rekisterinpitäjä esimerkiksi silloin, kun se käsittelee organisaation oman henkilökunnan henkilötietoja.

Henkilötietojen käsittelijä voi käsitellä henkilötietoja vain rekisterinpitäjän määrittelemiin tarkoituksiin. Henkilötietojen käsittelijä ei voi ryhtyä käsittelemään rekisterinpitäjän lukuun käsiteltäviä tietoja omiin tarkoituksiinsa määrittelemällä henkilötietojen käsittelyn tarkoituksia ja keinoja.

Henkilötietojen käsittelijän suorittama käsittely on määriteltävä sopimuksella tai muussa oikeudellisessa asiakirjassa.

Lisätietoja:

​​​​​​​​​​Euroopan tietosuojaneuvoston rekisterinpitäjiä ja henkilötietojen käsittelijöitä koskeva ohje neuvoston verkkosivuilla

Euroopan komission käsittelysopimuksia koskevat vakiolausekkeet komission verkkosivuilla: Standard contractual clauses for controllers and processors in the EU/EEA

Tietosuojavaltuutetun toimiston ratkaisukäytäntöä Finlexissä:

Henkilötietojen käsittelysopimus ja käsittelijän rekisterinpitäjän lukuun harjoittama henkilötietojen käsittely (24.6.2021)