Henkilötietojen käsittelijät
Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Henkilötietojen käsittelijä voi olla esimerkiksi yritys, yksityinen elinkeinonharjoittaja, viranomainen tai yhdistys. Erittäin laaja palveluntarjoajien joukko toimii henkilötietojen käsittelijöinä.
Henkilötietojen käsittelijällä ei tarkoiteta rekisterinpitäjän alaisuudessa toimivia työntekijöitä, jotka käsittelevät henkilötietoja osana työtehtäviään.
Henkilötietojen käsittelijöiden toimenkuvat
Henkilötietojen käsittelijöiden toimet voivat olla hyvin tarkkaan rajattuja, kuten postin toimituksen ulkoistaminen. Tehtävät voivat olla myös laajoja ja yleisiä, ja niihin voi liittyä tietyn palvelun hallinta toisen organisaation puolesta, esimerkiksi yrityksen työntekijöiden palkanmaksuun liittyvät tehtävät.
Henkilötietojen käsittelijää koskeva sääntely koskee esimerkiksi seuraavia palveluntarjoajia:
- IT-palveluntarjoajat, ohjelmistojen integroijat, kyberturvallisuusyritykset ja IT-konsulttiyritykset, joilla on pääsy rekisterinpitäjän henkilötietoihin.
- Terveydenhuollon laboratorio, joka käsittelee näytteitä rekisterinpitäjän lukuun.
- Markkinointi- ja viestintätoimistot, jotka käsittelevät henkilötietoja asiakkaidensa puolesta.
- Yleisemmin kaikki organisaatiot, joiden tarjoamiin palveluihin sisältyy henkilötietojen käsittelyä toisen organisaation puolesta.
- Myös julkista viranomaista tai järjestöä voidaan pitää henkilötietojen käsittelijänä.
Ohjelmistojulkaisijoita ja laitevalmistajia, esimerkiksi työajan seurantalaitteiden, biometristen laitteiden tai lääkinnällisten laitteiden valmistajia, ei pidetä henkilötietojen käsittelijöinä, jos niillä ei ole pääsyä henkilötietoihin, eivätkä ne käsittele henkilötietoja.
Organisaatio voi käsitellä henkilötietoja toisen lukuun käsittelijänä. Se on kuitenkin rekisterinpitäjä sellaisten henkilötietojen käsittelyssä, joita se käsittelee omasta puolestaan, eikä asiakkaina olevien rekisterinpitäjien puolesta. Organisaatio on rekisterinpitäjä esimerkiksi silloin, kun se käsittelee organisaation oman henkilökunnan henkilötietoja.
Henkilötietojen käsittelijä voi käsitellä henkilötietoja vain rekisterinpitäjän määrittelemiin tarkoituksiin. Henkilötietojen käsittelijä ei voi ryhtyä käsittelemään rekisterinpitäjän lukuun käsiteltäviä tietoja omiin tarkoituksiinsa.
Henkilötietojen käsittelijän suorittama käsittely on määriteltävä henkilötietojen käsittelysopimuksella tai muussa oikeudellisessa asiakirjassa. Sopimuksen puuttuminen on tietosuoja-asetuksen säännösten vastaista.
Yritys A tarjoaa yritysten B ja C asiakastietorekisteriin perustuvaa markkinointikirjeiden välityspalvelua.
Yritys A on henkilötietojen käsittelijä suhteessa yrityksiin B ja C, jos se käsittelee kirjeiden lähettämiseen tarvittavia asiakastietoja yritysten B ja C puolesta ja niiden ohjeiden mukaisesti.
Yritykset B ja C ovat rekisterinpitäjiä suhteessa asiakkaidensa henkilötietojen hallintaan, markkinointikirjeiden toimittaminen mukaan lukien.
Yritys A on rekisterinpitäjä suhteessa työllistämänsä henkilökunnan henkilötietojen käsittelyyn ja asiakkaidensa (B ja C) yhteyshenkilöitä koskevien henkilötietojen käsittelyyn.
Lisätietoja:
Euroopan komission käsittelysopimuksia koskevat vakiolausekkeet komission verkkosivuilla englanniksi: Standard contractual clauses for controllers and processors in the EU/EEA
Tietosuojavaltuutetun toimiston ratkaisukäytäntöä Finlexissä: