Henkilötietojen käsittelijän velvollisuudet

Henkilötietojen käsittelijän täytyy:

• Laatia rekisterinpitäjän kanssa sopimus tai muu oikeudellinen asiakirja, jossa määritellään kunkin osapuolen velvollisuudet ja joka kattaa tietosuoja-asetuksen 28 artiklan edellyttämän tietosisällön.
• Laatia rekisterinpitäjän antamista henkilötietojen käsittelyä määrittävistä ohjeista kirjallinen luettelo. Käsittelijä voi osoittaa toimivansa rekisterinpitäjän antamien ohjeiden mukaisesti muun muassa tällaisen dokumentoinnin avulla.
• Pyytää rekisterinpitäjältä kirjallinen lupa muiden käsittelijöiden käyttämiseen rekisterinpitäjän henkilötietojen käsittelyssä.
• Toimittaa rekisterinpitäjälle kaikki tiedot, joita tarvitaan velvoitteiden täyttämisen osoittamiseen ja auditointien suorittamiseen.
• Laatia tarvittaessa seloste käsittelytoimista.

Henkilötietojen käsittelijöillä on velvollisuus antaa rekisterinpitäjälle riittävät takeet siitä, että niiden puolesta suoritettava henkilötietojen käsittely on tietosuoja-asetuksen vaatimusten mukaista ja rekisteröityjen oikeuksien suojaaminen on varmistettu. Tämä merkitsee erityisesti sitä, että

• tietosuojaperiaatteet sisäänrakennetaan rekisterinpitäjille tarjottaviin työkaluihin, tuotteisiin, sovelluksiin tai palveluihin
• työkalut, tuotteet, sovellukset tai palvelut takaavat oletusarvoisesti, että käsittely rajoittuu vain käsittelyn tarkoituksen kannalta tarpeellisiin henkilötietoihin. Käsittelyn rajaamisessa on huomioitava tiedon määrä, käsittelyn laajuus, tietojen säilytysaika ja tietojen käyttöön oikeutettujen henkilöiden lukumäärä.

Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita voidaan toteuttaa esimerkiksi seuraavilla tavoilla:

• Rekisterinpitäjälle annetaan mahdollisuus määritellä kerättävät tiedot siten, että vapaaehtoisesti annettavien tietojen kerääminen ei ole teknisistä syistä pakollista (esim. kenttien täyttäminen sähköisellä lomakkeella).
• Tiedot minimoidaan: vain käsittelyn kannalta tarpeelliset tiedot kerätään.
• Tietoja poistetaan käytöstä automaattisesti ja valikoivasti tietyin väliajoin.
• Tietojen käyttöoikeudet ja tietojen poistot määritellään tietokohtaisesti tai rekisteröityjen pyynnöstä (esimerkiksi sosiaalisen median palveluissa).

Henkilötietojen käsittelijän on varmistettava, että sen alaisuudessa toimivat henkilöt ovat salassapitovelvollisuuden alaisia, jos heillä on oikeus käsitellä henkilötietoja.

Käsittelijän on pyrittävä kaikin keinoin varmistamaan henkilötietojen käsittelyyn liittyviä riskejä vastaava tietoturvan taso. Henkilötietojen tietoturvaloukkauksen sattuessa henkilötietojen käsittelijän on ilmoitettava siitä rekisterinpitäjälle viipymättä. Lue lisää riskien arvionnista

Palvelun loputtua käsittelijän on rekisterinpitäjän ohjeiden mukaisesti

• tuhottava kaikki tiedot tai palautettava ne rekisterinpitäjälle
• tuhottava tietojen jäljennökset, ellei niiden säilyttämiseen ole lakisääteistä velvollisuutta.

Jos rekisterinpitäjän antama ohje rikkoo henkilötietojen käsittelijän mielestä tietosuojaa koskevia sääntöjä, henkilötietojen käsittelijän on ilmoitettava asiasta välittömästi rekisterinpitäjälle.

Kun rekisteröidyt käyttävät oikeuksiaan, henkilötietojen käsittelijän on mahdollisuuksien mukaan avustettava rekisterinpitäjää oikeuksien käyttämistä koskeviin pyyntöihin vastaamisessa. Lue lisää rekisteröidyn oikeuksista

Henkilötietojen käsittelijän tulee käytettävissä olevien tietojen puitteissa auttaa rekisterinpitäjää käsittelyn turvallisuutta, henkilötietojen tietoturvaloukkauksista ilmoittamista ja tietosuojaa koskevien vaikutustenarviointien tekemistä koskevien velvoitteiden noudattamisessa.

Tietosuojavastaavan tehtävä on valvoa tietosuoja-asetuksen ja muun tietosuojaa koskevan lainsäädännön noudattamista siinä organisaatiossa, joka hänet on valinnut.

Henkilötietojen käsittelijöiden on nimettävä tietosuojavastaava, kun

• käsittelijä on julkishallinnon toimija
• käsittelijän ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa rekisterinpitäjän puolesta tai
• käsittelijän ydintehtävät edellyttävät laajamittaista erityisten henkilötietoryhmien (kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen vakaumukseen tai seksuaaliseen suuntautumiseen) tai rikoksia tai rikkomuksia koskevien tietojen käsittelyä.

Tietosuojavastaavan nimittäminen myös vapaaehtoisesti on usein hyödyllistä. Silloin käsittelijällä on käytössään asiantuntija, jonka tehtävänä on tietosuoja-asetuksen ja muun tietosuojaa koskevan lainsäädännön vaatimusten noudattamisen käytännön toteutuksen seuraaminen ja hallinta. Jos tietosuojavastaava nimitetään vapaaehtoisuuteen perustuen, tietosuojavastaavan tehtäviin ja asemaan sovelletaan tietosuoja-asetuksen näitä koskevia säännöksiä.

Henkilötietojen käsittelijän suorittamaa käsittelyä määrittävällä sopimuksella tai muussa oikeudellisessa asiakirjassa on vahvistettava

• rekisterinpitäjän puolesta suoritettavan käsittelyn kohde ja kesto
• henkilötietojen käsittelyn luonne ja tarkoitus
• rekisterinpitäjän puolesta käsiteltävien henkilötietojen tyyppi ja rekisteröityjen ryhmät
• rekisterinpitäjän velvollisuudet ja oikeudet.

Kyseessä olevassa sopimuksessa tai oikeudellisessa asiakirjassa on lisäksi vahvistettava erityisesti, että henkilötietojen käsittelijä

• käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti
• varmistaa, että sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat salassapitovelvollisuuden alaisia.
• toteuttaa kaikki käsittelyn turvallisuuden edellyttämät toimenpiteet
• noudattaa toisen henkilötietojen käsittelijän käyttöön liittyviä edellytyksiä
• auttaa mahdollisuuksien mukaan rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä vastaamaan pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä
• auttaa rekisterinpitäjää varmistamaan, että henkilötietojen turvallisuuteen sekä tietosuojaa koskevaan vaikutustenarviointiin ja ennakkokuulemiseen liittyviä velvollisuuksia noudatetaan
• palvelun loputtua rekisterinpitäjän ohjeiden mukaisesti tuhoaa kaikki henkilötiedot tai palauttaa ne rekisterinpitäjälle, ja tuhoaa mahdolliset tietojen jäljennökset, ellei niiden säilyttämiseen ole lainsäädännöllistä velvollisuutta
• saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen henkilötietojen käsittelijää koskevien velvollisuuksien noudattamisen osoittamista varten
• sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Seloste käsittelytoimista on tehtävä, jos organisaatiossa on yli 250 työntekijää.

Selosteen on tällöin katettava kaikki käsittelytoimet.

Seloste käsittelytoimista on tehtävä työntekijöiden määrästä riippumatta, kun

• henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille tai
• henkilötietojen käsittely ei ole satunnaista tai
• käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.

Tällöin selosteeseen on sisällytettävä vain ne käsittelytoimet, jotka kuuluvat edellä esitettyihin kategorioihin. Esimerkiksi pienikin yritys käsittelee työntekijöidensä henkilötietoja säännöllisesti. Silloin henkilötietojen käsittely ei ole satunnaista, ja kyseiset henkilötietojen käsittelytoimet on sisällytettävä selosteeseen käsittelytoimista. Satunnaista henkilötietojen käsittelyä ei tarvitse sisällyttää käsittelyselosteeseen, ellei siihen ole muuta perustetta, kuten todennäköinen riski rekisteröidyn oikeuksille ja vapauksille tai erityiset henkilötietoryhmät.

Lue lisää: Henkilötietojen käsittelijän seloste käsittelytoimista

Henkilötietojen käsittelijä voi käyttää toisen henkilötietojen käsittelijän (alikäsittelijän) palveluita vain rekisterinpitäjän kirjallisella luvalla. Lupa voi osapuolten tarpeiden mukaan olla joko

• erityistä, eli tiettyä henkilötietojen käsittelijää varten myönnetty tai
• yleinen, jolloin henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle, jos se suunnittelee vaihtavansa käsittelijöitä tai ottavansa käyttöön uusia käsittelijöitä, jotta rekisterinpitäjä saa mahdollisuuden vastustaa muutoksia halutessaan.

Henkilötietojen käsittelijän ja alikäsittelijän välillä on sovittava siitä, että käsittelijän käyttämää alikäsittelijää koskevat samat velvoitteet, jotka on määritelty käsittelijän ja tämän asiakkaana olevan rekisterinpitäjän välisessä sopimuksessa. Sopimuksessa on varmistettava erityisesti riittävät takeet asianmukaisten teknisten ja organisatoristen suojatoimien käytöstä, jotta henkilötietojen käsittely täyttää tietosuoja-asetuksen vaatimukset.

Jos alikäsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on täysimääräisesti vastuussa käyttämänsä alikäsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin.

Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle kaikista henkilötietojen tietoturvaloukkauksista ilman aiheetonta viivytystä saatuaan niistä itse tiedon.

Tämän ilmoituksen perusteella rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta toimivaltaiselle valvontaviranomaiselle ja rekisteröidyille, jos sen tekemän riskiarvion perusteella tietosuoja-asetus edellyttää näiden ilmoituksien tekemistä.

Käsittelijä voi tehdä ilmoituksen valvontaviranomaiselle ja rekisteröidyille rekisterinpitäjän puolesta, jos tästä on selvästi sovittu henkilötietojen käsittelijän ja rekisterinpitäjän välisessä sopimuksessa. Vastuu ilmoitusvelvollisuuden toteuttamisesta säilyy kuitenkin rekisterinpitäjällä.

Rekisterinpitäjän on tietyissä tilanteissa tehtävä tietosuojaa koskeva vaikutustenarviointi, jolla arvioidaan suunnitellun käsittelytoiminnan vaikutuksia henkilötietojen suojaan. Arvion laatiminen ei ole henkilötietojen käsittelijän vastuulla.

Tästä huolimatta käsittelijän on autettava rekisterinpitäjää arvioinnin tekemisessä ja toimitettava sille sen arvioinnissa tarvitsemat tiedot. Nämä avustustoimet olisi määriteltävä käsittelijän ja asiakkaan välisessä sopimuksessa.

Henkilötietojen käsittelijä, joka on sijoittautunut useaan jäsenvaltioon, voi hyötyä tietosuoja-asetuksessa säädetystä yhden luukun järjestelmästä.

Sen avulla rajat ylittävää käsittelyä harjoittavat tahot organisaatiot voivat raportoida yhdelle kansalliselle valvontaviranomaiselle, joka koordinoi henkilötietojen käsittelyn valvontaa. Tätä viranomaista kutsutaan johtavaksi valvontaviranomaiseksi.

Johtava valvontaviranomainen on henkilötietojen käsittelijän päätoimipaikan toimivaltainen valvontaviranomainen. Henkilötietojen käsittelijän päätoimipaikka on sen keskushallinnon sijaintipaikka unionissa. Jos käsittelijän päätoimipaikka ei sijaitse EU-jäsenvaltiossa, sen päätoimipaikaksi katsotaan se jäsenvaltio, jossa pääasiallinen henkilötietojen käsittelytoiminta tapahtuu.

Tietosuoja-asetuksen säännökset koskevat EU:n ulkopuolelle sijoittautunutta henkilötietojen käsittelijää, jos

• se käsittelee asiakkaansa puolesta unionissa sijaitsevia rekisteröityjä koskevia henkilötietoja tai
• se tarjoaa rekisterinpitäjän puolesta tavaroita tai palveluita unionissa sijaitseville rekisteröidyille tai seuraa heidän käyttäytymistään unionin alueella.

Tällaisissa tapauksissa käsittelijän on pääsääntöisesti nimitettävä kirjallisesti edustaja EU:ssa rekisteröityjen ja valvontaviranomaisten yhteystahoksi tällaiseen käsittelyyn liittyvissä kysymyksissä.

Jos henkilölle aiheutuu tietosuoja-asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta. Henkilötietojen käsittelijä voi siis joutua vastuuseen henkilötietojen käsittelystä aiheutuneista vahingoista.

Velvoitteiden noudattamatta jättämisen seurauksena tietosuojaviranomainen voi käyttää sen toimivaltaan kuuluvia valtuuksia. Tietosuojaviranomainen voi esimerkiksi huomauttaa henkilötietojen käsittelijää, jos sen toteuttamat käsittelytoimet ovat olleet tietosuoja-asetuksen vastaisia tai määrätä henkilötietojen käsittelijän saattamaan käsittelytoimet tietosuoja-asetuksen mukaisiksi tai asettaa käsittelylle väliaikaisen tai pysyvän kiellon.

Valvontaviranomainen voi myös määrätä henkilötietojen käsittelijälle hallinnollisen sakon, joka voi rikkomuksen luokasta riippuen olla jopa 10–20 miljoonaa euroa tai yritykselle jopa 2–4 % edellisen tilivuoden maailmanlaajuisesta liikevaihdosta riippuen siitä, kumpi näistä määristä on suurempi.

Velvoitteiden noudattamatta jättämisestä on kyse esimerkiksi silloin, kun henkilötietojen käsittelijä

• on toiminut rekisterinpitäjän lainmukaisten ohjeiden ulkopuolella tai vastaisesti
• ei auta rekisterinpitäjää sen velvollisuuksien suorittamisessa (esimerkiksi tietoturvaloukkauksesta ilmoittamisessa)
• ei anna rekisterinpitäjälle velvoitteiden noudattamisen osoittamiseen tai auditointien suorittamiseen tarvittavia tietoja
• ei ilmoita rekisterinpitäjälle, että sen antama ohje rikkoo yleistä tietosuoja-asetusta
• käyttää toisen käsittelijän palveluita ilman rekisterinpitäjän ennakkohyväksyntää
• käyttää sellaista toista käsittelijää, joka ei täytä tietosuoja-asetuksen edellytyksiä
• ei nimitä tietosuojavastaavaa, kun sitä edellytetään
• ei ylläpidä selostetta rekisterinpitäjän lukuun suoritettavista käsittelytoimista.