Yksi uuden EU-tietosuoja-asetuksen mukanaan tuomista suurista muutoksista on yritysten osoitusvelvollisuus (accountability). Enää ei riitä, että yrityksen toiminta on lainmukaista, vaan yrityksen on myös kyettävä osoittamaan se. Riskienhallinta on oleellinen osa osoitusvelvollisuuden täyttämistä ja se koskee myös tilannetta, jossa yrityksen henkilötietojen käsittelyä on ulkoistettu.
Varma huolehtii tietosuojasta myös ulkoistuksissa
Rekisterinpitäjä vastaa henkilötietojen käsittelystä myös silloin, kun se on ulkoistanut henkilötietojen käsittelyä asetuksen tarkoittamalle henkilötietojen käsittelijälle. Tietosuoja-asetus edellyttää, että henkilötietojen käsittelyn ulkoistamisesta on sovittava kirjallisella sopimuksella. Varma vastaa rekisterinpitäjänä ulkoistuksistaan tietojenkäsittelysopimuksilla. Sopimusten muoto ja laajuus vaihtelevat ulkoistuksessa käsiteltävän henkilötiedon ja sen laajuuden mukaan.
Englanninkielisessä asetustekstissä rekisterinpitäjä on "controller" ja käsittelijä "processor". Nämä termit kuvaavat ehkä vastaavia suomenkielisiä paremmin asetelmaa, jossa rekisterinpitäjä hallitsee henkilötietoja tietyn käyttötarkoituksen ja sitä koskevien sääntöjen perusteella ja sitouttaa käsittelijän toimimaan samoilla säännöillä.
Roolit eivät ole aina selviä
Asiakasyrityksemme ovat tarjonneet Varmalle toistuvasti sopimuksia tietojen käsittelystä, koska Varmaa on pidetty henkilötietojen käsittelijänä. Varma on kuitenkin rekisterinpitäjä, koska se hoitaa työeläkelaitoksena lakisääteistä tehtävää. Myös asiakkaalle on helpompaa, kun käsittelysopimuksia ei tarvita. Olemme käsitelleet tätä aihetta aiemmin Varman uutisessa.
Varma pyrkii läpinäkyvyyteen henkilötietojen käsittelyssä
Rekisterinpitäjän tehtäviin kuuluu viestiä selkeästi rekisteröityjen oikeuksista ja henkilötietojen käsittelystä. Keskeinen väline läpinäkyvyyden kannalta on asetuksen edellyttämä seloste käsittelytoimista.
Varman verkkosivuilla kuvaamme, miten käsittelemme henkilötietoja, minkä perusteen nojalla käsittelemme tietoja, mitä tietoja käsittelemme, kauanko tietoja säilytetään ja kenelle tietoja luovutetaan sekä miten käsittelyn turvallisuudesta on huolehdittu. Tutustu Varman selosteeseen.
Tietosuoja edistää asiakkaille tärkeiden palvelujen kehittämistä
Me Varmassa katsomme, että henkilöasiakkaiden tietosuojaa ei rakenneta niinkään sakkojen ja muiden seuraamusten välttämiseksi, vaan enemmänkin vakuutettujen ja yritysten luottamuksen ylläpitämiseksi.
Tarkoituksemme on myös muuttaa tietosuoja riskitekijästä liiketoimintaa edistäväksi ja mahdollistavaksi tekijäksi. Säännösten mukaiset tietosuojaratkaisut tukevat Varman palveluiden kehittämistä.