TIETOSUOJA SOPIMUSPROSESSISSA
– MITÄ OTTAA HUOMIOON SOPIMUSTA NEUVOTELTAESSA
Xxxxx Xxxxxxxx Oik. maist., CIPP/E
23.3.2022
1
■ GDPR – tietosuojalainsäädännön perusta
■ Milloin tarvitaan henkilötietojen käsittelysopimus?
■ Osapuolten roolien tunnistaminen
■ Käsittelysopimuksen sisältö
■ Vastuukysymyksiä
2
23.3.2022
GDPR – tietosuojalainsäädännön perusta
■ Tuli voimaan toukokuussa 2018
■ Voimaantulo nosti tietoisuutta tietosuojasta
– myös yksityishenkilöt tietoisia omista oikeuksistaan entistä paremmin
– Sakkojen uhka herätti myös yritykset
■ Yhtenäisti hajanaiset tietosuojakäytännöt jäsenvaltioissa
– Edelleen kuitenkin joitain eroavaisuuksia, joihin GDPR antaa mahdollisuuden
– Pääsäännöt kuitenkin joka jäsenvaltiossa samat 🡪 helpottaa neuvotteluprosessissa ulkomaisten toimijoiden kanssa
■ Suomessa lisäksi kansallinen tietosuojalaki
23.3.2022 3
Milloin henkilötietojen käsittelysopimus tarvitaan?
■ Velvollisuus sopimuksen laatimiseen suoraan GDPR:stä
🡪 Soveltuuko GDPR?
23.3.2022 4
■ Sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä käsittelyyn muussa kuin automaattisessa muodossa, jos muodostaa rekisterin osan tai on tarkoitus muodostaa rekisterin osa
■ Sovelletaan henkilötietojen käsittelyyn, jota suoritetaan EU:n alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely EU:n alueella vai ei
■ Sovelletaan EU:ssa olevia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä tai henkilötietojen käsittelijä EI ole sijoittautunut EU:n alueelle, jos käsittely liittyy tavaroiden tai palvelujen tarjoamiseen näille tai näiden rekisteröityjen käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu EU:ssa.
23.3.2022 5
■ Henkilötieto: kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyvät tiedot; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella
– Auton rekisteritunnus, valokuva, IP-osoite, röntgenkuva, talon arvo, myös subjektiiviset mielipiteet
– Huomioon otetaan kohtuullisesti käytettävät keinot, joita rekisterinpitäjä tai joku muu saattaa kyseisen henkilön tunnistamiseksi käyttää
23.3.2022 6
■ Aina, kun sopimussuhteessa käsitellään mitä tahansa henkilötietoja, tulee käsittelysopimus tehdä
– GDPR ei tee eroa siinä, käsitelläänkö yhtä vai useaa henkilötietoa
– Henkilötiedon käsite ennemmin laajasti kuin suppeasti
■ Hyvin usein yrityksellä useita tahoja, jotka käsittelevät henkilötietoja
– Palkkahallinto, markkinointiyritykset, pilvipalvelut…
■ Sopimus nimenomaan rekisterinpitäjän ja käsittelijän välillä: kuka on kuka?
23.3.2022 7
Kuluttaja
Palvelun- tuottaja
Yritys A
Alihankkija
23.3.2022 8
■ Rekisterinpitäjä: luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti
– Yhteisrekisterinpitäjä: jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot
– Määräysvalta keskeinen tekijä: mitä tietoja kerätään, mikä on käyttötarkoitus ja miten tietoja tosiasiassa käytetään
23.3.2022 9
■ Henkilötietojen käsittelijä: luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun
– ei päätösvaltaa henkilötietojen keräämisen, säilytyksen yms. osalta
– Kumpi määrittelee käsittelyn tarkoituksen ja keinot?
– Useita käsittelytoimia tai vain yksikin: pilvipalvelut säilyttävät henkilötietoja
– Yrityksillä hyvin usein useita eri käsittelijöitä: palkanlaskenta, laskutus, markkinointi, pilvipalvelut…
– Käsittelijä voi myös käyttää toisen käsittelijää eli ns. alikäsittelijää
23.3.2022 10
Kuluttaja
Palvelun- tuottaja
Yritys A
Alihankkija
23.3.2022 11
Rekisteröity
Käsittelijä
Rekisterin- pitäjä
Alikäsittelijä
23.3.2022 12
Yhteisrekisterinpitäjät
Rekisterinpitäjä Rekisterinpitäjä
Itsenäiset rekisterinpitäjät
Rekisterinpitäjä Rekisterinpitäjä
Rekisterinpitäjä
Molempia?
Rekisterinpitäjä
+ käsittelijä
13
23.3.2022
Osapuolten roolien tunnistaminen
■ Olennaista selvittää, kuka on kuka
– pelkästään roolien määrittely sopimuksessa ei ”vapauta vastuusta”, jos tosiasiassa roolit toisinpäin
– Xxxx päättää miksi ja miten?
– Pääsopimuksesta tulkinta-apua
■ Rekisterinpitäjä lopulta vastuussa sen lukuun tapahtuvasta käsittelystä
■ ”rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu”
■ Tulee varmistua siitä, että käsittelijällä on antaa riittävät takeet erityisesti asiantuntemuksesta, luotettavuudesta ja resursseista, jotta voi suoriutua GDPR:n vaatimuksista 🡪 tietosuoja-auditointi?
■ Erilaisia hyväksyttyjä sertifiointimekanismeja, joilla rekisterinpitäjä pystyy osoittamaan velvollisuuksien noudattamisen
■ Erityisen tärkeää keskustella sopimusosapuolen kanssa roolituksesta, mikäli ei ole täysin selvä asia
– Xxx kirjoittaa myös sopimukseen auki
– Tarvittaessa kyseenalaista toisen sopijapuolen näkemys asiasta 🡪 kirjavaa tulkintakäytäntöä!
– Ei ainoastaan rekisterinpitäjä vs. käsittelijä, vaan myös käsittelijä vs. alikäsittelijä!
23.3.2022 14
■ Käytännössä usein tehdään ns. pääsopimuksen liitteeksi
– Asiakirjahierarkia!
■ Osa sopimuspolitiikkaa?
■ Sopimuksen sisällöstä suurin osa asetuksesta, mutta myös liikkumavaraa ja asioita, joita ei säännellä 🡪 osapuolet voivat vapaasti sopia
■ GDPR ei tee eroa konsernisuhteissa käsittelysopimuksen osalta
23.3.2022 15
■ Suoraan laista tulevia velvoitteita, mutta myös auki jääviä tulkintoja:
– Käsittelyn kohde ja kesto
– Käsittelyn luonne ja tarkoitukset
– Henkilötietojen tyyppi
– Rekisteröityjen ryhmät
🡪 Eli käytännössä yksilöidään ulkoistettava käsittelytehtävä, keitä ulkoistus koskee ja mitä tietoluokkia käsitellään
- Esimerkiksi palkanmaksu, työntekijät, työntekijöiden yhteystiedot
23.3.2022 16
– Käsittelijän velvollisuus käsitellä henkilötietoja ainoastaan rekisterinpitäjän
dokumentoitujen ohjeiden mukaisesti
■ Ohjeet usein osa käsittelysopimusta liitteenä
– Käsittelijän velvollisuus varmistaa, että henkilöt, joilla oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus
■ Esimerkiksi työntekijät sitoutuvat noudattamaan salassapitovelvollisuutta
23.3.2022 17
– Käsittelijän velvollisuus toteuttaa kaikki käsittelyn turvallisuuteen liittyvät toimenpiteet
■ Sopimusosapuoli sitoutuu siihen, että se noudattaa tarvittavia turvatoimenpiteitä, jotta henkilötiedon käsittely on riittävän tietoturvallista
– Käytännön teknisiä toimia: virustorjunta, kulunvalvonta
– Organisatoriset toimet: käyttöoikeuksien rajaaminen, asiantuntemus
■ Xxxxxx ottaa huomioon jo käsittelijää pohdittaessa: toteuttaako riittävät turvatoimenpiteet?
■ Sertifikaateilla voi osoittaa tietoturvan noudattamista
23.3.2022 18
– Käsittelijän velvollisuus käyttää vain sellaisen toisen käsittelijän palveluksia, joihin se on saanut rekisterinpitäjältä erityisen tai yleisen ennakkoluvan
■ Xxxx etukäteinen lupa käyttää alihankkijoita tai jälkikäteinen ilmoitusvelvollisuus
– Rekisterinpitäjällä aina oikeus vastustaa!
– Jos käsittelijä käyttää toista käsittelijää, toiseen käsittelijään sovelletaan samoja tietosuojavelvoitteita kuin ne, jotka ”alkuperäisessä” sopimuksessa
■ Usein tulkintaerimielisyyttä siitä, mitä ”tietosuojavelvoitteet” tarkoittavat
– Koko sopimus? Tietyt lausekkeet? Sopimusvapaus?
– Alkuperäinen käsittelijä aina täysimääräisesti vastuussa toisen käyttämänsä käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään
■ Tarkkana myös tässä; käsittelijän ”tietosuoja-auditointi”
23.3.2022 19
– Käsittelijän velvollisuus auttaa mahdollisuuksien mukaan rekisterinpitäjää tiettyjen rekisteröityjen pyyntöjen vastaamiseen
■ Millä tavoin näissä tilanteissa autetaan?
– Käsittelijän velvollisuus auttaa rekisterinpitäjää varmistamaan, että käsittelyn turvallisuutta koskevia velvollisuuksia noudatetaan
■ Mm. tietoturvaloukkauksesta ilmoittaminen ja vaikutustenarviointiin osallistuminen
– Rekisterinpitäjän ilmoitettava viranomaiselle viimeistään 72 tunnin kuluessa sen ilmitulosta, henkilötietojen käsittelijän ilmoitettava rekisterinpitäjälle ”ilman aiheetonta viivytystä” saatuaan sen tietoonsa
23.3.2022 20
– Käsittelijän velvollisuus rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot
■ Mikä on prosessi tähän ja missä ajassa?
23.3.2022 21
– Käsittelijän velvollisuus saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen asetuksessa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin
■ Auditoinnin kustannukset?
– Erilaisia käytäntöjä syntynyt riippuen siitä, löytyykö moitittavaa vai ei
23.3.2022 22
■ Henkilötietojen siirto EU/ETA –alueen ulkopuolelle?
– GDPR ei vaadi tästä sopimista, mutta käytännössä pakko sopia
■ Toisaalta rekisterinpitäjällä oikeus vastustaa alikäsittelijän käyttämistä
■ Miten toimitaan, jos laki tai rekisterinpitäjän ohjeet muuttuvat?
– Usein rekisterinpitäjä vyöryttää vastuun käsittelijälle
– Parasta olisi neuvotella yhdessä
■ Jos erillinen käsittelysopimus (ei liite), muista myös yleiset lausekkeet
– Riidanratkaisu, muutokset, voimassaolo?
23.3.2022 23
■ Vastuutyyppejä erilaisia
– Hallinnolliset sanktiot, rikosoikeudellinen vastuu, sopimusvastuu
■ GDPR:ssä suoraan todettu vastuu rekisteröityä kohtaan
– Mikä on sopijaosapuolten välinen vastuu?
23.3.2022 24
■ Määrätään tapauskohtaisesti
■ Määrä yritysten osalta joko 10/20 mE tai 2/4 % vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta, kumpi suurempi
■ Yrityksen käsitettä tulkitaan laajasti
= Taloudellinen yksikkö, jonka voivat muodostaa emoyhtiö ja kaikki toimintaan osallistuvat tytäryhtiöt
= taloudellinen yksikkö, joka harjoittaa kaupallista tai taloudellista toimintaa oikeudellisista muodoista riippumatta
23.3.2022 25
■ ”Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.”
■ ”Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta.”
■ Käsittelijä vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut käsittelijöille osoitettuja asetuksen velvoitteita tai jos se on toiminut rekisterinpitäjän antamien ohjeiden vastaisesti
■ Jos rekisterinpitäjä ja käsittelijä tai jompaakumpaa useampi, regressioikeus
■ Vapautuu vastuusta, jos voi osoittaa, ettei ole millään tavalla vastuussa vahingon aiheuttaneesta tapahtumasta
23.3.2022 26
■ Asetuksen rikkomisesta voi aiheutua todella huomattavia vahinkoja
– Mm. Vastaamon tapaus
■ Vahingon käsite laaja
– Aineellinen sekä aineeton vahinko
– Laajempi kuin vahingonkorvauslaissa
■ Edellyttää syy-yhteyttä lainvastaisen käsittelyn ja aiheutuneen vahingon välillä
– Onko vahinko seurausta juuri laittomasta henkilötietojen käsittelystä
■ Rekisteröity voi osoittaa vaatimuksen kenelle tahansa käsittelyyn osallistuneelle
– Täyden korvauksen maksanut voi myöhemmin nostaa takautumiskanteen muita samaan tietojenkäsittelyyn osallistuneita vastaan
23.3.2022 27
■ Vastuusta tärkeää sopia käsittelysopimuksessa
– Vahingot voivat olla todella suuria, myös mainevahinko
■ Vastuunrajoitukset? Sopimussakko?
■ Mikä on lopulta vastuulausekkeen merkitys, jos vaikka sopimusosapuoli/alihankkija asetetaan konkurssiin?
– Vastaamon tietomurtojuttu opettavainen
■ Miten huomioitu muut kuin vahingonkorvaukset?
■ Yrityskauppatilanteissa dokumentaatiossa huomioon otettava seikka
■ Vastuu GDPR:n mukaan kohdentuu muista vastuista eri tavalla
23.3.2022 28
Muutama sana neuvotteluprosessista
■ DPA:n tarve nousee jonkin pääsopimuksen neuvotteluprosessin sivutuotteena
– Paukut pääsopimuksen neuvottelussa
– Palvelun tilaaja lätkäisee oman DPA:nsa
■ Isoimpien toimittajien kanssa neuvotteluasema heikko
– Kuitenkin hekin neuvottelevat
■ Kriittinen DPA:n suhteen; usein vakiolappuja ja ”ehdotuksia”
– Tapauskohtaisuus!
– Roolit!
23.3.2022 29
■ Tunnista sopimusprosessissa liikkuvat henkilötiedot
– Jos ei mitään henkilötietoja missään, soiko kellot?
■ Laadi kirjallinen käsittelysopimus
■ Sovi asetuksessa nimenomaisesti mainittujen seikkojen ohella muista tulkinnanvaraisista asioista
■ Vastuulausekkeet tärkeitä, mutta eivät kaikki kaikessa 🡪 kiinnitä huomiota sopimuskumppaniin jo neuvotteluprosessissa
■ Muista koko sopimusketju
■ Yrityskauppatilanteissa lisättävä tarvittaessa asianmukaiset lausekkeet vastuista sopimuksiin
23.3.2022 30
Xxxxx Xxxxxxxx 010 320 8457
xxxxx.xxxxxxxx@xxxxx.xx xxx.xxxxx.xx
23.3.2022 31
Puh. 010 320 8400
xxxxxxx.xxxxxxxx@xxxxx.xx xxx.xxxxx.xx
Turku
Yliopistonkatu 15 B, 20100 Turku
Helsinki
Xxxxxxxxxxxxxx 00 X, 00000 Xxxxxxxx
Salo
Turuntie 1, 24100 Salo
Kuopio
Xxxxxxxxxxx 00, 00000 Xxxxxx