Henkilötietojen käsittelijän velvollisuudet

Tietosuoja-asetusta sovelletaan henkilötietojen käsittelijään, kun

  • se on sijoittautunut EU-jäsenvaltioon
  • se ei ole sijoittautunut EU-jäsenvaltioon, mutta sen suorittama henkilötietojen käsittely liittyy tavaroiden tai palvelujen tarjoamiseen unionissa sijaitseville rekisteröidyille tai rekisteröityjen käyttäytymisen seurantaan EU:n alueella.

Tietosuoja-asetuksessa säädetään suoria velvoitteita henkilötietojen käsittelijöille.  Henkilötietojen käsittelijän on avustettava ja neuvottava rekisterinpitäjää tiettyjen tietosuoja-asetuksessa määriteltyjen velvoitteiden noudattamisessa. Näitä velvoitteita ovat tietosuojaa koskevat vaikutustenarvioinnit, ilmoitukset henkilötietojen tietoturvaloukkauksista, tietoturva, tietojen tuhoaminen ja auditointeihin osallistuminen.

Henkilötietojen käsittelijän on lisäksi toteutettava riittävät suojatoimet sekä asianmukaiset tekniset ja organisatoriset toimenpiteet. Teknisillä ja organisatorisilla toimenpiteillä tarkoitetaan esimerkiksi henkilöstölle annettuja ohjeita tietosuojan toteuttamiseksi, omavalvonnan kautta tapahtuvaa käytönvalvontaa, tietojärjestelmien tietoturvaa, tietojen salausta ja muita suojatoimenpiteitä. Käsittelyn on täytettävä tietosuoja-asetuksen vaatimukset rekisteröidyn oikeuksien suojelemiseksi.

Tietosuoja-asetuksen mukainen osoitusvelvollisuus vaikuttaa myös käsittelijän ja rekisterinpitäjän väliseen suhteeseen. Rekisterinpitäjän on pystyttävä osoittamaan tietosuojaperiaatteiden tehokas toteutuminen myös niiltä osin, kun käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun.

Henkilötietojen käsittelijän velvoitteet

Usein kysyttyä henkilötietojen käsittelijöistä