Tekoälyn näkemys toimitusketjun hallinnasta.

Tilaajan vastuu toimitusketjustaan henkilötietojen käsittelyssä

Tanskan valvontaviranomainen pyysi Euroopan tietosuojaneuvostolta ohjausta henkilötietojen käsittelyyn, sopimuksiin ja vastuisiin toimitusketjuissa. Ja erityisesti rekisterinpitäjänä toimivan tilaajan velvoitteisiin alihankkijoina toimiviin käsittelijöihin nähden. Ilokseni sain nähdä, että ohjeet konkretisoituvat ajan myötä ja tästä ohjeesta saa jo varsin hyviä käytännön ohjeita toimitusketjun hallintaan. Artikkelin kuva on tekoälyn näkemys toimitusketjun hallinnasta – ja juuri noin sekavalta se usein tuntuukin, mutta ei onneksi ole sitä!

Rekisterinpitäjän tulee kyetä yksilöimään kaikki toimitusketjuun osallistuvat

Henkilötietojen käsittelyn ulkoistaminen toimittajalle edellyttää rekisterinpitäjän tarkkaa valvontaa ja läpinäkyvyyttä. Rekisterinpitäjän on pidettävä huolta siitä, että kaikki käsittelijät ja alikäsittelijät ovat tiedossa ja hyväksyttyjä. Tämä ei tarkoita vain sopimuskumppanina olevaa ensimmäistä toimittajaa ja käsittelijää, vaan kaikkia senkin alihankkijoita ja käsittelijöitä, jotka ovat osa ketjua tästä eteenpäin. On tärkeää varmistaa, että sopimuksissa on selkeästi määritelty näidenkin käsittelijöiden käyttö ja että rekisterinpitäjä antaa nimenomaisen suostumuksensa näiden toimijoiden käyttämiselle.

Tämä tuo mukanaan tehtävän säännöllisesti auditoida alikäsittelijöiden toimintaa ja varmistaa, että ne noudattavat GDPR vaatimuksia. Rekisterinpitäjän tulee mm. tietää kaikkien käsittelyketjuun osallistuvien käsittelijöiden nimi, osoite, yhteystiedot, yhteyshenkilö ja mistä käsittelystä kyseinen alihankkija vastaa. Läpinäkyvyysvaatimusten vuoksi nämä tiedot on myös voitava luovuttaa myös rekisteröidyille.

Myös toimittajalle asetettiin vaatimuksia. Vaikka sopimuksella olisikin annettu yleinen lupa käyttää alikäsittelijöitä, piti tietosuojaneuvosto silti tärkeänä, että toimittaja, ketjun ensimmäinen käsittelijä, antaa tilaajan käyttöön listan alikäsittelijöistä ja niiden vaihtuessa proaktiivisesti tiedottaa tilaajaa tästä.

Henkilötiedot ja niiden turvallisuuden valvonta käsittelyketjussa

Tietosuoja-asetus edellyttää, että rekisterinpitäjä hallitsee koko henkilötietojen käsittelyketjun. Tämä tarkoittaa, että rekisterinpitäjän on ymmärrettävä, miten henkilötietoja siirretään ja käsitellään ja kenelle. Sekä varmistettava, että tietosuoja ja tietoturva ovat riittävällä tasolla koko ketjun ajan. Käytännössä tämä tarkoittaa, että rekisterinpitäjän on arvioitava käsittelijöiden ja alikäsittelijöiden tietoturvakäytännöt ja varmistettava, että kaikki osapuolet koko alihankintaketjussa noudattavat lainsäädännön vaatimuksia, mukaan lukien kansainvälisten tiedonsiirtojen turvallisuus, mikäli tietoja käsitellään EU ulkopuolella.

Käsittelijöiden ja alikäsittelijöiden valvonta kuuluu lopulta rekisterinpitäjälle. Rekisterinpitäjä ei voi delegoida vastuutaan henkilötietojen suojasta, vaan sen on itse varmistettava, että kaikilla ketjuun kuuluvilla osapuolilla on riittävä osaaminen ja resurssit noudattaa tietosuojavaatimuksia. Tämä edellyttää toimittajan säännöllisiä auditointeja ja koko alihankintaketjuun osallistuvien käsittelijöiden tietosuojakäytäntöjen tarkastelua. Rekisterinpitäjän on varmistettava, että kaikki osapuolet ovat tietoisia käsittelyyn liittyvistä riskeistä ja ryhtyvät riittäviin toimenpiteisiin niiden hallitsemiseksi.

Toimittajan vastuulla on luonnollisesti avata mahdollisimman paljon omaa käsittelytoimintaansa. Tähän voi kuulua käsittelytoimien selosteiden jakaminen tilaajan kanssa, mutta myös tietoturvapolitiikoiden ja -ohjeiden sekä -käytäntöjen kuvaaminen. Vaikka käsittelijöiltä odotetaan avoimuutta ja aktiivisuutta tässä, totesi tietosuojaneuvosto, että vastuu riittävien selvitysten tekemisestä on rekisterinpitäjällä – riippumatta riskistä, mikä rekisteröidyille voi aiheutua. Selvitykset toimittajan ja sen alihankkijoiden osalta on siis tehtävä aina, mutta niiden laajuus riippuu siitä, millainen riski käsittelyyn liittyy.

Sopimusvaatimukset

Kaikille on jo selvää, että henkilötietojen käsittely sopimussuhteessa edellyttää aina henkilötietojen käsittelysopimusta osapuolten välillä. Luonnollisesti tilaaja tekee vain yhden sopimuksen toimittajansa kanssa. Ja tämä toimittaja on velvollinen siirtämään rekisterinpitäjän vaatimukset ja ohjeet edelleen sopimusketjussa. Tilaajalta ei edellytetä sitä, että se systemaattisesti tarkistaisi kaikkien toimittajansa tekemät sopimukset alikäsittelijöidensä kanssa. Mutta tietosuojaneuvoston mukaan toimittajan velvollisuutena on toimittaa nämä tilaajan niin halutessa.

Rekisterinpitäjänä toimivalta tilaajalta tulisi tietosuojaneuvoston mukaan löytyä valmiina prosessi tai auditointiohjelma, jolla se on valmistautunut suorittamaan sopimustarkistuksia. Vaikka se toteaakin, ettei henkilötietojen suojaan liittyvää arviota voi kokonaan perustaa vain sopimuslausekkeiden tarkistukselle.

Kansainväliset siirrot

Joko ajattelit, ettei näistä enää puhuta? Edelleen rekisterinpitäjän vastuulle kuuluu arvioida ETA-alueen ulkopuolelle tapahtuvien henkilötietojen siirron vaikutukset. Ja että onko siirto ylipäätään mahdollista. Ja jos on, niin millaiset suojakeinot tulee ottaa käyttöön. Nyt julkaistu ohje kertoo, että jos siirtäjänä on toimittaja ja käsittelijä, vastaa se siirtomekanismista. Mutta koska siirto voi tapahtua vain rekisterinpitäjän hyväksynnällä ja ohjeilla, on kuitenkin tilaaja rekisterinpitäjänä yhtä lailla vastuussa siirrosta, siirtomekanismista ja suojakeinoista. Rekisterinpitäjän vastuulla on siten:

  • Siirtojen kartoittaminen ja kuvaaminen
  • Siirtomekanismin kuvaaminen
  • ja jos tietosuojan riittävyyttä koskevaa päätöstä ei ole
    • Siirtoja koskeva vaikutustenarviointi ja
    • Lisäsuojakeinojen määrittäminen

Vaikka tietosuojan riittävyyttä koskeva päätös kohdemaasta olisikin olemassa, on rekisterinpitäjän vastuulla silti tarkistaa, että se a) on voimassa ja b) kattaa siirron luonteen.

Nyt julkaistun ohjeen lukemista voi suositella ihan kaikille tietosuojan kanssa työskenteleville. Ohjeesta saa hyviä, konkreettisia esimerkkejä omaan dokumentaatioon, prosesseihin ja niitä tukeviin työkaluihin. Jätin tästä kirjoituksesta vielä pois yhden Tanskan valvontaviranomaisen esittämän kysymyksen koskien käsittelijään sovellettavaa lainsäädäntöä ja siihen liittyvää sopimuslauseketta. Siihenkin kuitenkin hyvä linjaus löytyi ja voidaan jatkaa keskustelua siitä toisessa yhteydessä – tai ehkä seuraavassa blogissa 😊

Hankintoja ja toimittajien hallintaa on käsitelty jo aiemmin mm. tässä kirjoituksessani ja kansainvälisiä siirtoja täällä.