Monet yritykset pohtivat, miten GDPR liittyy konkreettisesti yrityksen arkeen ja miksi tietosuojalain noudattaminen on niin tärkeää? Tähän on yksinkertainen vastaus: jotta yritykseltä voi ostaa. Tässä blogissa katsomme asiaa yritysten välisen kaupan näkökulmasta.
Tietosuoja-asetus määrittelee tilaajan ja toimittajan välistä suhdetta yritysten välisessä kaupassa. Rekisterin pitäjä on näissä tapauksissa usein palvelun tai tuotteen tilaaja ja asetuksen mukaan rekisterinpitäjä vastaa tässä prosessissa henkilötietojen käsittelystä.
Näissä tapauksissa rekisterinpitäjä, eli tilaaja, saa käyttää ainoastaan GDPR-kelpoisia toimittajia. Tämä tarkoittaa käytännössä sitä, että rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.
Osapuolten on myös tehtävä DPA-sopimus (Data Protection Agreement) heidän välilleen henkilötietojen käsittelystä. Henkilötietojen käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään. Sopimuksessa tulee käydä ilmi myös käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet.
Rekisterinpitäjän tulee antaa kirjallinen ohjeistus toimittajalle siitä, miten henkilötietoja tulee käsitellä. Henkilötietojen käsittelijän, eli toimittajan, tulee puolestaan varmistaa, että henkilöt joilla on oikeus käsitellä henkilötietoja ovat sitoutuneet noudattamaan salassapitosopimusta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
Etenkin ulkoistetuissa tehtävissä nämä vastuut nousevat isoon rooliin. Toimittajan tietosuojakelpoisuuden tarkastaminen on osa tilaavan yrityksen riskienhallintaa. Toimittajan ennakkotarkastus on saman kaltainen toimenpide kuin ennakkoperintärekisteritarkastus, helppo todeta ja varmistua kelpoisuudesta. Koska loppujen lopuksi se, joka mahdollisista virheistä joutuu maksamaan, on tilaaja itse.
Oman tietosuojakelpoisuuden julkaisemiseksi ja toisaalta ennakkotarkistuksen tekemiseen löytyy maineenhallintapalveluita, kuten Suomen Asiakastieto ja tietosuojavastuu.fi. Näihin maineenhallintapalveluihin saa pääsyn esimerkiksi ottamalla käyttöön helppokäyttöisen Easy GDPR työkalun, jonka avulla yritys vastaa tietosuoja-asetuksen vaatimuksiin.