26.10.2017

Uusi tietosuoja-asetus ja yritysten sopimukset

EU:n uusi tietosuoja-asetus astuu voimaan toukokuussa 2018. Aiheesta on julkisuudessa kirjoitettu varsin runsaasti yleisellä tasolla, mutta yrityksille tärkeää käytännön sopimusnäkökulmaa ei niissä useinkaan ole avattu. Seuraavassa on summattu keskeisimpiä vaikutuksia erityisesti sopimusten näkökulmasta. 

EU:n uuden tietosuoja-asetuksen mukaan henkilötietoja on käsiteltävä lainmukaisesti, kohtuullisesti ja rekisteröidyn kannalta läpinäkyvästi. Asetuksen mukanaan tuoma keskeisin vaikutus on lisätä ennakoimisvelvollisuutta. Samalla asetus helpottaa toimintaa EU-alueella luoden yhtenäisemmän sääntelyn koko yhteisön alueelle. Asetusta sovelletaan kaikkien unionin alueella toimivien yritysten toimintaan niiden sijoittautumisvaltiosta riippumatta, jos henkilötietojen käsittely niissä liittyy unionissa oleviin henkilöihin.

Mikä muuttuu

Rekisterinpitäjä (=se jonka toimintaa varten tiedot on kerätty) vastaa siitä, että henkilötietoja käsitellään lainmukaisesti ja sen lisäksi rekisterinpitäjän on pystyttävä osoittamaan, että se on toiminut niin (”osoitusvelvollisuus”). Henkilötiedon käsittelyksi katsotaan laaja-alaisesti milteipä mikä tahansa toiminta, johon liittyy henkilötietoja. Myös tietojen tallentaminen ja passiivinen säilyttäminen, jota esim. tallennuspalvelun tarjoaja tuottaa, on henkilötietojen käsittelyä.

Asetuksessa osoitusvelvollisuus eli käytännössä velvoite dokumentoida asiat nousee esiin monessa kohdassa. Keskeistä on se, että rekisterinpitäjä itse määrittelee ja kirjaa henkilötietojen keräämiseen, käsittelyyn ja niiden suojaan omassa toiminnassaan liittyvät periaatteet ja käytänteet.

Rekisterinpitäjän on lisäksi pystyttävä osoittamaan, että sen lukuun toimivat muut yritykset (alihankintana ostettavat palvelut ja henkilötietojen käsittelyyn liittyvät hankittavat järjestelmät jne.) toimivat lainmukaisesti. Henkilötietojen käsittelyä voi liittyä esimerkiksi yrityksen tilitoimistopalveluihin (palkanlaskenta), palvelin- tai tallennustilan hankkimiseen (nettisivupalvelu, tiedostopalvelin), tietojärjestelmäpalveluihin (verkossa toimivat asiakkuudenhallintajärjestelmät, verkkokauppapalvelut) yms.

Tietosuoja-asetuksen 28 artiklan mukaan:
”Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä
a) käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti… – – ”

Lisäksi toisille yrityksille henkilötietojen käsittelyyn liittyviä palveluita tuottavien yritysten on myös nimenomaisesti kirjallisesti sovittava, että ne saavat käyttää alihankkijoita. Tietosuoja-asetuksen 28 artiklan mukaan henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa (=sopimus).

Edelleen asetuksessa todetaan alihankinnasta, että kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimintojen suorittamiseksi rekisterinpitäjän puolesta, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan samoja tietosuojavelvoitteita kuin rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa. Palvelua ketjun ”häntäpäässä” tuottavan alihankkijan kannalta tämä on olennainen ehto ja edellyttääkin tietämään ja tuntemaan, mitä henkilötietojen käsittelystä sopimusketjun muiden osapuolien välillä on sovittu.

Käytännön vaikutukset sopimuksiin

Nykytilanteeseen verrattuna vaatimustaso siis nousee merkittävästi. Toki tähänkin asti huolellisesti toimivat yritykset ovat laatineet kirjalliset sopimukset palveluntuottajiensa kanssa, mutta pakollista se ei ole ollut. Jatkossa kirjallisen dokumentaation puuttuminen voidaan katsoa laiminlyönniksi. Säännösten noudattamista on myös vaikeampi osoittaa, ellei menettelytavoista ole dokumenttia.

Palvelusopimuksissa tulee sopia, mitä tietoja käsitellään ja miten niitä saadaan käsitellä ja saako käyttää alihankkijaa. Lisäksi sopimuksella tulee varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta, jollei heitä koske lakiin perustuva salassapitovelvollisuus. Sopimuksella on otettava myös kantaa siihen, että palvelutarjoajan tulee joko poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, ellei ole lakiin perustuvaa velvoitetta säilyttää ko. tiedot.

Tietosuoja-asetus määrittelee myös vastuuperusteet ja vastuunjaon, jos tietosuojan osalta tapahtuu rikkomuksia. Rekisterinpitäjä ja henkilötietoja sen lukuun käsittelevä on vastuussa asetuksen säännösten rikkomisesta. Vastuu voi tarkoittaa vahingonkorvausvastuuta ja lisäksi velvollisuutta maksaa hallinnollinen sakko, jonka määrä voi olla jopa 20.000.000 euroa tai 4 % yhtiön maailmanlaajuisesta liikevaihdosta. Viimemainittujen sanktioiden osalta muutos aikaisempaan on suuri – vastaavia sanktioita ei ennen ole ollut.

Toisen lukuun henkilötietoja käsittelevä palveluntarjoaja on vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja velvoitteita tai jos se on toiminut rekisterinpitäjän lainmukaisen (kirjallisen.) ohjeistuksen ulkopuolella tai sen vastaisesti.
Rekisterinpitäjä tai henkilötietojen käsittelijä on vastuusta vapaa, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta. Ottaen huomioon, että asetus velvoittaa riittävästi ja asianmukaisesti dokumentoimaan henkilötietojen käsittelyn, voitaneen päätellä, että vastuusta ei pysty vapautumaan, ellei dokumentaatiota löydy.

Mitä tulee siis yritysten välisiin sopimussuhteisiin ja erinäisistä palveluista sopimiseen, joihin liittyy henkilötietojen käsittelyä, voidaan mitä suurimmassa määrin sanoa olevan kummankin sopijapuolen edun mukaista laatia riittävät sopimuskirjaukset ja -dokumentaatiot palveluiden puitteissa tapahtuvasta henkilötietojen käsittelystä. Tarvittavat sopimusmallit ja -pohjat on helpointa ja turvallisinta laatia asiantuntijan avustuksella.

Tatu Kulmala