Euroopan tietosuojaneuvosto on antanut tarkentavan lausunnon siitä, miten rekisterinpitäjien tulee toimia käyttäessään henkilötietojen käsittelijöitä ja alikäsittelijöitä. Tilanne tulee eteen monissa tilaaja – toimittaja -välisissä yrityksen arjen toiminnoissa.
Euroopan tietosuojaneuvoston tuore lausunto selventää keskeisiä vaatimuksia, jotka rekisterinpitäjän tulee huomioida, kun se käyttää henkilötietojen käsittelijöitä tai alikäsittelijöitä. Näihin kuuluvat muun muassa rekisterinpitäjän vastuu varmistua siitä, että valitut käsittelijät noudattavat GDPR vaatimuksia.
Erityisen tärkeää on myös se, että rekisterinpitäjällä on aina ajantasaiset tiedot kaikista henkilötietojen käsittelijöistä ja alikäsittelijöistä. Luettelon tulee sisältää kaikkien käsittelyyn osallistuvien organisaatioiden nimi, osoite ja yhteyshenkilö.
Vastuu on rekisterinpitäjällä, joka usein on tilaaja
Lausunnossa painotetaan rekisterinpitäjän vastuuta tarkistaa, että käsittelijöillä ja alikäsittelijöillä on riittävät takeet henkilötietojen suojaamiseksi. Vaikka käsittelijä voi ehdottaa alikäsittelijöitä, lopullinen vastuu jää aina rekisterinpitäjälle, joka arvioi, täyttääkö ehdotettu alikäsittelijä tietosuoja-asetuksen edellyttämät kriteerit.
Tässä suhteessa tietosuojaneuvosto muistuttaa, että rekisterinpitäjän ei tarvitse pyytää kaikkia alikäsittelijöiden sopimuksia, mutta se voi tarvittaessa pyytää niistä kopioita osana omaa osoitusvelvollisuuttaan.
GDPR-kelpoisuuden todentaminen
Päätös terävöittää rekisterinpitäjän, eli tilaajan, vastuuta varmistua etukäteen siitä, että henkilötietojen käsittelyä alihankintana tekevät yritykset noudattavat tietosuojasääntelyä toiminnassaan. D-Fence Easy GDPR -palvelun asiakkaiden GDPR-kelpoisuustieto välittyy rajapinnan kautta Suomen Asiakastiedon ESG-vastuuraporttiin, jolloin asiakkaiden ja yhteistyökumppaneiden on helppo varmistua toimittajansa vaatimustenmukaisuudesta.
Valvonta kiristyy?
Euroopan tietosuojaneuvoston toimet osoittavat, että EU:ssa panostetaan nyt voimakkaasti tietosuojan tehokkaaseen täytäntöönpanoon ja valvontaan – erityisesti, kun henkilötietojen käsittelyyn osallistuu useita eri toimijoita, tai henkilötietoja siirretään ETA-alueen ulkopuolelle. Näiden uusien suuntaviivojen avulla pyritään helpottamaan rekisterinpitäjien ja käsittelijöiden toimintaa ja parantamaan tietosuojan tasoa EU-alueella.
