Siirry päävalikkoon

Huomaathan, että käytämme sivustollamme evästeitä parantaaksemme käyttökokemusta. Käyttämällä sivustoamme hyväksyt evästeiden käytön. Lue lisää evästekäytännöistämme.

Henkilötietojen käsittelystä sopiminen

EU:n tietosuojauudistuksen myötä rekisterinpitäjän ja henkilötietojen käsittelijän välisiä vastuita täsmennetään.

25.5.2018 alkaen sovellettavan EU:n tietosuojauudistuksen myötä rekisterinpitäjän ja henkilötietojen käsittelijän välisiä vastuita täsmennetään EU:n yleisessä tietosuoja-asetuksessa (englanniksi lyhennettynä GDPR).

Rekisterinpitäjällä tarkoitetaan sellaista tahoa, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun.

Tietosuoja-asetus edellyttää, että osapuolet sopivat henkilötietojen käsittelystä kirjallisella sopimuksella. Asetuksessa määritellään ne asiat, joista tällaisessa tietojenkäsittelysopimuksessa tulee vähintään sopia. Tapauksesta ja Intrumin tarjoamasta palvelusta riippuen saatamme toimia rekisterinpitäjän tai käsittelijän asemassa. Joissain tapauksissa Intrum ja toimeksiantajamme saattavat molemmat olla lain tarkoittamia rekisterinpitäjiä.

Tietojenkäsittelysopimukset tulee päivittää

Intrum valmistautuu tietosuoja-asetuksen uusiin vaatimuksiin muun muassa laatimalla asetuksen mukaiset tietojenkäsittelysopimukset, joita sovelletaan Intrumin ja toimeksiantajiemme välisessä yhteistyössä. Tämä tarkoittaa sitä, että myös olemassa olevat sopimukset on päivitettävä tietosuoja-asetuksen vaatimusten mukaisiksi.

Tietojenkäsittelysopimuksen lähtökohtana on se, että rekisterinpitäjällä on vastuu ohjeistaa henkilötietojen käsittelijää henkilötietojen käsittelyyn liittyvistä seikoista. Ainakin seuraavista seikoista on sovittava:

  • Yksilöinti. Sopimuksessa yksilöidään muun muassa henkilötietojen ja rekisteröityjen kategoriat sekä käsittelyn tarkoitus ja sen kesto.
  • Käsittely toteutetaan ohjeistetusti. Henkilötietoja käsitellään sopimusehtojen ja rekisterinpitäjän ohjeiden mukaisesti.
  • Luottamuksellisuus. Henkilötietoja käsitellään luottamuksellisesti ja käsittelyyn osallistuvat henkilöt sitoutuvat noudattamaan salassapitovelvollisuutta.
  • Tietoturva. Henkilötietojen suojaamiseksi toteutetaan riittävät turvatoimet. Tietoturvasta huolehditaan teknisin ja organisatorisin toimin, kuten palomuurein ja tietokantojen valvonnalla, sekä huolehtimalla riittävistä ja asiantuntevista resursseista.
  • Alihankkijat. Sopimuksessa sovitaan henkilötietojen käsittelijän mahdollisuudesta käyttää alihankkijoita henkilötietojen käsittelyyn. Alihankkijat sitoutuvat käsittelemään henkilötietoja tietojenkäsittelysopimuksen mukaisesti.
  • Avustamis- ja tiedonantovelvollisuus. Henkilötietojen käsittelijä auttaa rekisterinpitäjää siinä määrin kuin mahdollista täyttämään rekisterinpitäjän velvollisuudet, esimerkiksi mahdollistamalla rekisteröityjen yksilöiden oikeus saada pääsy itseään koskeviin henkilötietoihin ja saada virheelliset tiedot oikaistuiksi.
  • Auditointioikeus. Henkilötietojen käsittelijä sallii auditoinnit, joiden tarkoituksena on varmistaa, että käsittely tapahtuu lainsäädännön ja tietojenkäsittelysopimuksen mukaisesti.
  • Tietojen poistaminen. Toimeksiannon päättyessä henkilötietojen käsittelijä poistaa tai palauttaa rekisterinpitäjän lukuun käsitellyt henkilötiedot, jollei henkilötietojen käsittelijällä ole lakisääteistä velvollisuutta säilyttää henkilötietoja.

Tietojenkäsittelysopimus on tietosuoja-asetuksen asettama edellytys, jolla varmistetaan, että henkilötietojen käsittelijä voi käsitellä henkilötietoja lain mukaisesti käsitellessään henkilötietoja rekisterinpitäjän lukuun. Tietojenkäsittelysopimuksen puuttuminen aiheuttaa sanktioriskin, sillä valvontaviranomaiset voivat määrätä hallinnollisia sakkoja, mikäli osapuolet eivät ole sopineet henkilötietojen käsittelystä asetuksen edellyttämällä tavalla.

Yksilöiden tietosuojan varmistamiseksi on olennaisen tärkeää, että Intrum ja toimeksiantaja sopivat henkilötietojen käsittelystä. Intrum sitoutuu luotettavana yhteistyökumppanina huolehtimaan yhdessä toimeksiantajiemme kanssa siitä, että henkilötietoja käsitellään myös jatkossa tietosuojalainsäädännön edellyttämällä tavalla.

Intrumin Lakiasiat-osasto