Miten tietosuoja-asetus vaikuttaa yrityksen sopimuksiin?
EU:n yleinen tietosuoja-asetus muutti sopimuskäytäntöä. Kaikesta henkilötietojen käsittelyyn liittyvästä pitää olla kirjallisesti sovittu. Käytäntö vaikuttaa jokaiseen organisaatioon, ainakin jossain vaiheessa. Oletko työnantaja? Toimeksiantaja? Alihankkija tai kumppani? Lue ja tarkista, että olet ottanut nämä asiat sopimuksissa huomioon.
Tietosuojalakien keskeinen tarkoitus on antaa henkilöille laajempi määräysvalta omiin tietoihin. Yrityksesi voit toki hyödyntää rekisterissä olevia henkilötietoja, kunhan niiden käsittely ei riko lakia ja perustuu johonkin asetuksessa lueteltuun oikeusperusteeseen. Paitsi että…
Tietosuoja-asetus vaikuttaa kaikkiin sopimuksiin
Tietosuoja-asetuksen voimaantulo toi velvoitteen sopia henkilötietoihin liittyvistä toimenpiteistä “mustaa valkoisella”. Sopimusvelvoite koskee henkilötietojen käsittelyä, luovutusta, jakamista tai siirtoa toiselle taholle. Palveluntarjoajat eivät enää saa käsitellä yrityksesi hallussa olevia henkilötietoja ilman, että asiasta on yksityiskohtaisesti sovittu.
Joudutko luovuttamaan yrityksesi rekisterissä olevia henkilötietoja alihankkijoille? Tarvitsevatko yhteistyökumppanit niitä projektin läpiviemiseen? Vai tavarantoimittaja tuotteen tai kuorman viemiseksi perille? Tee silloin asiasta kirjallinen sopimus kaikkien tahojen kanssa, joille annat henkilötietoja.
Miksi kirjallinen sopiminen on tärkeä?
Ensinnäkin rekisterinpitäjänä yrityksesi on vastuussa halllussanne olevien henkilötietojen suojasta ja luottamuksellisuudesta. Toiseksi, mikäli yrityksesi luovutta henkilötietoja ilman sopimusta, joudutte kertomaan siitä rekisteröidyille etukäteen tai pyytämään suostumusta. Sillä ei ole väliä, ovatko rekisteröidyt asiakkaita, alihankkijoita, kumppaneita tai työntekijöit. Tietyissä tapauksissa voit luovuttaa yrityksesi rekisterissä olevia henkilötietoja vain näiden henkilöiden suostumuksella.
Kirjallisella sopimuksella varmistat, että antamasi henkilötietoja käytetään vain siihen tarkoitukseen, kuin mihin ne luovutat. Sopimuksella turvaat yrityksesi rekisterissä oleville tietosuojan ja estät heidän tietojensa päätymisen väärin käsiin. Tällä on suuri merkitys esimerkiksi tietoturvaloukkausten sattuessa.
Oletetaan, että yrityksesi asiakasrekisteri on pilvipalvelussa.Tietosuojalakien mukaan pilvipalvelujen tarjoaja toimii yrityksesi henkilötietojen käsittelijänä, vaikka antaisi käyttöösi pelkän ”digitaalisen varaston”. Millaiset käyttö- tai sopimusehdot palveluntarjoajalla on verkkosivuillaan? Onko niissä määritelty palveluntarjoajan vastuut henkilötietojen käsittelijänä? Entä tietoturva ja palvelimien maantieteellinen sijainti? Jos sopimusehdot puuttuvat tai niissä ei yksilöidä palveluntarjoajan vastuita henkilötietojen käsittelyn osalta, tee asiasta kirjallinen sopimus. Muuten et saa tallentaa pilvipalveluun minkäänlaisia henkilötietoja ilman rekisterissä olevien etukäteistä suostumusta.
Milloin olet rekisterinpitäjä, milloin henkilötietojen käsittelijä?
Yritys on rekisterinpitäjä, kun sen määräysvallassa on henkilötietoja, joita yritys hyödyntää päivittäisessä toiminnassaan. Yritys voi olla myös henkilötietojen käsittelijä. Tilitoimistot, työterveyshuolto, tavarantoimittajat jne. tallentavat, käsittelevät tai säilyttävät toiselle yritykselle (rekisterinpitäjälle) kuuluvia henkilötietoja. Ne toimivat henkilötietojen käsittelijänä rekisterinpitäjän lukuun ja voivat tehdä sen vain kirjallisen sopimuksen puitteissa.
Sopimuksissa tulee ottaa huomioon kaikki henkilötietojen käsittelyyn ja luovutukseen liittyvät seikat. Vähäpätöiseltä tuntuvan asian unohtuminen voi aiheuttaa paljon harmia. Työntekijöilläsi ei esimerkiksi ole oikeutta pyytää tilitoimistolta omaan palkkaan, sairauspäivä- tai lomarahaan liittyviä tietoja, ellei heidän henkilöllisyytensä todentamisen tavoista ole tilitoimiston kanssa sovittu.
Vai onko yrityksesi yhteisrekisterinpitäjä?
Yhteisrekisterinpitäjät ovat yrityksiä, joilla on keskinäinen sopimus hyödyntää yhdessä kummankin yrityksen asiakastietoja. Oletetaan, että kiinteistöhuoltoyhtiö ja puutarhayritys alkavat yhdessä tarjota sekä kiinteistöjen että pihan ja puutarhan hoitoa. Juridisesti nämä yritykset ovat erillisiä toimijoita, mutta voivat käyttää yhteistä tietokantaa tai vaihtaa henkilötietoja keskenään. Yhteisrekisterinpitäjät toimivat usein henkilötietojen käsittelijöinä toistensa lukuun. Joka tapauksessa yhteisrekisterinpitäjät tarvitsevat kirjallisen sopimuksen.
Kuka on milloinkin rekisterinpitäjä, käsittelijä tai yhteisrekisterinpitäjä pitää määritellä myös silloin kun kyseessä on konserni, jolla on sisar- tai tytäryhtiötä. Niistä päätetään konsernin sisäisillä sopimuksilla.
Mitä sopimuksissa pitää olla?
Sopimuksessa mainitaan mm. millaisia henkilötietoryhmiä ja tietoryhmiä luovutetaan tai vaihdetaan, mille ajalle (luovutuksen kesto), henkilötietojen käyttötarkoitus ja eritellään rekisterinpitäjän ja henkilötietojen käsittelijän keskinäiset vastuut. Myös tietorurvavaatimukset ja miten tietoturvaloukkausten sattuessa toimitaan kuuluvat sopimuksen piiriin.
Jos henkilötietoja on paljon, suosittelemme erillistä Tietojenkäsittelysopimusta (sopimus henkilötietojen käsittelystä). Muuten riittää tietosuojaliite voimassa oleviin YSE-sopimuksiin. Pääasia, että kaikki henkilötietoihin liittyvät käytännöt yksilöidään. Ps. Meidän tietosuojapalveluihimme kuuluvat valmiit sopimuspohjat, joihin osapuolten vastuut on määritelty asetuksen vakiolausekkeilla.
Tietoturvataso ja auditointioikeus
Yritys tai yhteisö, joka toimii henkilötietojen käsittelijänä toiselle yritykselle voi joutua todistamaan, että toimii tietosuojalakien mukaan. Henkilötietoja luovuttavalla yrityksellä, eli rekisterinpitäjällä, on lakien mukaan auditointioikeus. Tämä tarkoittaa, että ennen henkilötietojen luovuttamista tai siitä sopimista rekisterinpitäjä voi pyytää yritykseltä selvitystä henkilötietojen käsittelyn käytännöistä ja tietoturvatasosta. Eli pyytää nähdä sisäisen tietosuojadokumentaation. Yrityksen sisäinen tietosuojadokumentaatio ei siis ole vain valvontaviranomaisia varten. Yhteistyössä se on todiste luotettavuudesta.
Tällaisissa tapauksissa rekisterinpitäjää sitoo vaitiolovelvollisuus.
Salassapitosopimukset työntekijöiden kanssa
Tietosuoja-asetus velvoittaa jokaisen organisaation nimeämään rekisteriasioista vastaavan henkilön, joka muun työnsä ohella pitää rekisterissä olevat tiedot ajan tasalla ja hoitaa yhteydenpidon rekisteröityihin (mm. toteuttaa heidän oikeutensa). Monilla toimialoilla pitää lisäksi nimittää tietosuojavastaava, josta tarkemmin täällä. Näiden henkilöiden kanssa tulee tietenkin tehdä salassapitosopimus.
Yleensä useat, joissakin yrityksissä kaikki työntekijät, joutuvat tavalla tai toisella tekemisiin henkilötietojen kanssa, eli tallentamaan, siirtämään, muuttamaan niitä jne.
Arvioi, millaisia oikeuksia ja valtuuksia työntekijät tehtävissään tarvitsevat ja laajenna salassapitosopimus koskemaan henkilötietojen käsittelyä. Tämä estää puskaradio-riskit: työntekijä ei enää voi kehua kaupassa tapaamansa tutulle, että heidän yhteinen tuttunsa se-ja-se osti firmaltasi sitä ja tätä ja oli diiliin oikein tyytyväinen. Saa tetenkin siinä tapauksessa, että tuttu kehuu diiliä firman referenssisivulla omalla nimellään.
Aiemmat sopimukset suurennuslasin alle
Aiemmin tehdyt työsopimukset kannattaa käydä läpi, etenkin pitkään ”talossa” olleiden osalta. Sama pätee työsopimuksiin, jotka on tehty ennen asetuksen voimaantuloa. Tarkemmin ennen 25.5.2018.
Yhteistyö- ja palvelusopimukset tulisi ottaa ensisijaisesti suurennuslasin alle. Jos yrityksesi on vuosia käyttänyt samaa alihankkijaa tai ulkoistettua siivouspalvelua eikä sopimuksia ole tietosuojalakien voimaantulon jälkeen tarkastettu, ne ovat pikaisen päivityksen tarpeessa.
Tarvitsetko apua sopimusten tekemisessä? Entä millä mallilla on yrityksesi sisäinen tietosuojadokumentaatio? Pyydä ilmainen arvio.
Katrin-Kristiina on toimitusjohtajamme, jolla on kahden vuosikymmenen kokemus digialalta. Hän kouluttaa ja konsultoi tietosuojan ja markkinoinnin automaation haltuunotossa.
Oliko jutusta hyötyä? Jaa se muille.
Tilaa digityöläisten sisäpiiritieto!