Roolit ja vastuut EU-tietosuoja-asetuksen toteuttamisessa

Yksi uuden EU-tietosuoja-asetuksen mukanaan tuomista suurista muutoksista on yritysten osoitusvelvollisuus (accountability). Enää ei riitä, että yrityksen toiminta on lainmukaista, vaan yrityksen on myös kyettävä osoittamaan se. Riskienhallinta on oleellinen osa osoitusvelvollisuuden täyttämistä ja se koskee myös tilannetta, jossa yrityksen henkilötietojen käsittelyä on ulkoistettu.

Varma huolehtii tietosuojasta myös ulkoistuksissa

Rekisterinpitäjä vastaa henkilötietojen käsittelystä myös silloin, kun se on ulkoistanut henkilötietojen käsittelyä asetuksen tarkoittamalle henkilötietojen käsittelijälle. Tietosuoja-asetus edellyttää, että henkilötietojen käsittelyn ulkoistamisesta on sovittava kirjallisella sopimuksella. Varma vastaa rekisterinpitäjänä ulkoistuksistaan tietojenkäsittelysopimuksilla. Sopimusten muoto ja laajuus vaihtelevat ulkoistuksessa käsiteltävän henkilötiedon ja sen laajuuden mukaan. 

Rekisterinpitäjä hallitsee henkilötietoja tietyn käyttötarkoituksen ja sitä koskevien sääntöjen perusteella ja sitouttaa käsittelijän toimimaan samoilla säännöillä.

Englanninkielisessä asetustekstissä rekisterinpitäjä on "controller" ja käsittelijä "processor". Nämä termit kuvaavat ehkä vastaavia suomenkielisiä paremmin asetelmaa, jossa rekisterinpitäjä hallitsee henkilötietoja tietyn käyttötarkoituksen ja sitä koskevien sääntöjen perusteella ja sitouttaa käsittelijän toimimaan samoilla säännöillä.

Roolit eivät ole aina selviä

Asiakasyrityksemme ovat tarjonneet Varmalle toistuvasti sopimuksia tietojen käsittelystä, koska Varmaa on pidetty henkilötietojen käsittelijänä. Varma on kuitenkin rekisterinpitäjä, koska se hoitaa työeläkelaitoksena lakisääteistä tehtävää. Myös asiakkaalle on helpompaa, kun käsittelysopimuksia ei tarvita. Olemme käsitelleet tätä aihetta aiemmin Varman uutisessa

Varma pyrkii läpinäkyvyyteen henkilötietojen käsittelyssä

Rekisterinpitäjän tehtäviin kuuluu viestiä selkeästi rekisteröityjen oikeuksista ja henkilötietojen käsittelystä. Keskeinen väline läpinäkyvyyden kannalta on asetuksen edellyttämä seloste käsittelytoimista.

Varman verkkosivuilla kuvaamme, miten käsittelemme henkilötietoja, minkä perusteen nojalla käsittelemme tietoja, mitä tietoja käsittelemme, kauanko tietoja säilytetään ja kenelle tietoja luovutetaan sekä miten käsittelyn turvallisuudesta on huolehdittu. Tutustu Varman selosteeseen

Tietosuoja edistää asiakkaille tärkeiden palvelujen kehittämistä

Me Varmassa katsomme, että henkilöasiakkaiden tietosuojaa ei rakenneta niinkään sakkojen ja muiden seuraamusten välttämiseksi, vaan enemmänkin vakuutettujen ja yritysten luottamuksen ylläpitämiseksi.

Tarkoituksemme on myös muuttaa tietosuoja riskitekijästä liiketoimintaa edistäväksi ja mahdollistavaksi tekijäksi. Säännösten mukaiset tietosuojaratkaisut tukevat Varman palveluiden kehittämistä.

Blogi
Varma valmistautuu EU-tietosuoja-asetukseen
yhtiötietoa 04.09.2017

Heikki Kotila

Lakimies, tietosuojavastaava
Heikki Kotila työskentelee lakimiehenä lakiasiat ja Compliance -toiminnossa. Hän on myös Varman tietosuojavastaava.

Voisit olla kiinnostunut myös näistä