14 loka Tilitoimisto, markkinointitoimisto, IT-ulkoistus: tilaaja vastaa toimittajan luotettavuudesta
Tilaajan on tarkastettava toimittajansa
EU:n yleisen tietosuoja-asetuksen (GDPR) tarkoittamia henkilötietojen käsittelijöitä ovat esimerkiksi IT-palveluntarjoajat, tilitoimistot ja markkinointitoimistot. Palvelun tilaaja saa rekisterinpitäjänä valita vain luotettavia toimittajia käsittelemään vastuullaan olevia henkilötietoja. Luotettavuuden todistamiseksi tilaajan on aina ennen palvelun käyttöönottoa tarkastettava, että toimittaja noudattaa tietosuojalainsäädäntöä ja pystyy käsittelemään henkilötietoja turvallisesti. Tarkastuksesta täytyy jäädä kirjallinen todiste, joka tarvittaessa näytetään valvontaviranomaiselle.
Tietosuoja-asetuksen mukaan:
”Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.”
GDPR:n suomenkieliseen käännökseen on kuitenkin tehty korjauksia keväällä 2021. Käännökseen tehdyt korjaukset muuttavat asetuksen suomenkielistä tekstiä:
”Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.”
Käännösversiosta riippumatta on selvää, että tilaaja saa käyttää toiminnassaan vain toimittajia, jotka noudattavat GDPR:n velvoitteita. Käännös tuo kuitenkin kiinnostavan tarkennuksen siihen, mitä käytännössä rekisterinpitäjältä toimittajan arviointivaiheessa vaaditaan. Aikaisempi sanamuoto viittaisi tarkempaan auditointiin siitä, että toimittaja varmasti toteuttaa lupaamansa asianmukaiset tekniset ja organisatoriset toimenpiteet. Korjattu käännös tarkentaa, että arvioinnissa riittää toimittajan riittävän luotettava takaus käsittelyn lainmukaisuudesta ja hoidossa olevista toimenpiteistä. Käännöksen korjaus toisin sanoen vahvistaa, ettei toimittajan toimittamaa aineistoa tarvitse lähteä tarkistamaan.
Käsittelijän arviointi
Käsittelijän arvioinnissa pyritään ensisijaisesti varmistamaan, että käsittelijä antaa riittävät takeet tietosuojalainsäädännön noudattamisesta. Riittävinä takeina ei voida pitää käsittelijän antamaa kunniasanaa, vaan käytännössä käsittelijältä tulee pyytää dokumentaatiota tietosuojan toteuttamisen osoittamiseksi.
Pyydettäviä dokumentteja voisivat tilanteesta riippuen olla esimerkiksi:
- Tietosuojaseloste
- Seloste käsittelytoimista
- Tietoturvakäytäntö
- Kansainvälisesti tunnustetut sertifikaatit
Lisäksi käsittelijän luotettavuutta voi tarkastaa omin tutkimuksin. Selviääkö esimerkiksi hakukonehaulla, että käsittelijälle on sattunut useita tietoruvaloukkauksia? Onko käsittelijä kaikissa lakisääteisissä rekistereissä? Mihin toimittaja sopimuksella sitoutuu – pyrkiikö käsittelijä välttämään kaikki vastuut tietosuojaan liittyen?
Vinkki Käytännössä kaikilla toimijoilla on verkkosivuillaan tietosuojaseloste/privacy policy tai muu henkilötietojen käsittelystä informoiva dokumentti (tai vaikkapa video). Jos rekisteröityjen informointiin tarkoitettu dokumentti ei ole kunnossa, tuskin kovin moni muukaan tietosuoja-asetuksen velvoite täyttyy. Tietosuojavaltuutettu on julkaissut taulukon niistä asioista, joita rekisteröityjen informointiin tarkoitetun dokumentin täytyy sisältää. Taulukkoa voi verrata informointidokumenttiin ja tarkistaa, täyttääkö käsittelijä vaatimukset. Jos informointidokumentti on nimeltään rekisteriseloste ja viittaa henkilötietolakiin, hälytyskellojen tulee soida. Rekisteriseloste oli tietosuojalailla 1.1.2019 kumotun henkilötietolain mukainen vaatimus, joten informointidokumentti on todennäköisesti vanhentunut.