Mikä on rekisterinpitäjä?
Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Toisin sanoen rekisterinpitäjä päättää, miten ja miksi tietoja käsitellään. Rekisterinpitäjä voi olla esimerkiksi yritys, viranomainen, virasto, yhdistys tai jokin muu toimija.
Tietyissä tapauksissa henkilötietojen käsittelyn tarkoitukset ja keinot sekä rekisterinpitäjä voidaan määrittää EU:n tai jäsenvaltion lainsäädännössä.
Mikä on yhteisrekisterinpitäjä?
Kun vähintään kaksi rekisterinpitäjää määrittää yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot, niitä pidetään yhteisrekisterinpitäjinä. Ne päättävät yhdessä henkilötietojen käsittelystä yhteistä tarkoitusta varten. Yhteisrekisterinpito voi olla monenlaista, ja eri rekisterinpitäjien osallistuminen voi olla eri tasoista. Yhteisrekisterinpitäjien on sen vuoksi määritettävä kunkin yhteisrekisterinpitäjän vastuut.
Mitkä ovat rekisterinpitäjän tai yhteisrekisterinpitäjän vastuualueet?
Kun rekisterinpitäjä (tai yhteisrekisterinpitäjät) päättää henkilötietojen käsittelyn tarkoituksesta ja keinosta, sen on varmistettava, että ihmisten henkilötiedot on suojattu. Tämän vuoksi rekisterinpitäjän tai yhteisrekisterinpitäjien on tehtävä toimenpiteitä henkilötietojen suojaamiseksi ja mahdollistaa ihmisten oikeuksien käyttäminen.
Mikä on henkilötietojen käsittelijä?
Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun rekisterinpitäjän ohjeiden mukaisesti.
Kuten rekisterinpitäjä tai yhteisrekisterinpitäjä, henkilötietojen käsittelijä voi olla esimerkiksi yritys, viranomainen, virasto, yhdistys tai muu toimija.
Mikä on alikäsittelijä?
Alikäsittelijänä toimiva henkilötietojen käsittelijä toimii henkilötietojen käsittelijän ohjeiden mukaisesti, mikä tarkoittaa, että se voi käsitellä ihmisten henkilötietoja henkilötietojen käsittelijän puolesta. Myös alikäsittelijä voi olla esimerkiksi yritys, viranomainen, virasto, yhdistys tai muu toimija.
Huomaa, että alikäsittelijä voidaan nimittää vain, jos rekisterinpitäjä tai yhteisrekisterinpitäjä antaa siihen kirjallisen luvan. Tällöin henkilötietojen käsittelijän on laadittava alikäsittelijän kanssa sitova sopimus, jossa eritellään alikäsittelijän velvollisuudet. Tässä henkilötietojen käsittelijää ja alikäsittelijää koskevassa sopimuksessa on varmistettava, että henkilötietojen suojan taso on sama kuin alkuperäisessä rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa.
Mitkä ovat henkilötietojen käsittelijän velvollisuudet?
Vaikka päävastuu henkilötietojen käsittelystä on yleensä rekisterinpitäjällä, henkilötietojen käsittelijöillä on myös tiettyjä tietosuoja-asetuksen mukaisia velvollisuuksia. Henkilötietojen käsittelijöiden on käsiteltävä tietoja rekisterinpitäjän tai yhteisrekisterinpitäjän määräämillä tavoilla. Henkilötietojen käsittelijä auttaa näin rekisterinpitäjää noudattamaan yleistä tietosuoja-asetusta.
Rekisterinpitäjän ja henkilötietojen käsittelijän välinen suhde ja henkilötietojen käsittelijän velvollisuudet on määriteltävä sopimuksella, jossa dokumentoidaan käsittelytoimet ja henkilötietojen käsittelyn keinot.
Lisätietoja löydät kohdasta ”Henkilötietojen käsittelijän vastuiden tarkistuslista”.
Mitä rekisterinpitäjän ja henkilötietojen käsittelijän väliseen sopimukseen sisällytetään?
Rekisterinpitäjän tai yhteisrekisterinpitäjän ja henkilötietojen käsittelijän välisessä käsittelysopimuksessa määrätään, että henkilötietojen käsittelijä:
- käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti. Tähän lukeutuu myös henkilötietojen siirto Euroopan talousalueen ulkopuoliseen maahan.
- varmistaa, että henkilöt, joilla on valtuudet käsitellä tietoja, ovat sitoutuneet luottamuksellisuuteen tai että heillä on asianmukainen lakisääteinen salassapitovelvollisuus
- varmistaa tietojen käsittelyn turvallisuuden
- ei saa käyttää toista henkilötietojen käsittelijää ilman rekisterinpitäjän etukäteen antamaa nimenomaista tai yleistä kirjallista lupaa. Rekisterinpitäjällä pitää myös olla mahdollisuus vastustaa alikäsittelijän käyttämistä.
- auttaa rekisterinpitäjää täyttämään rekisterinpitäjän velvoitteet vastata ihmisten pyyntöihin tietosuojaoikeuksiensa käyttämisestä
- avustaa rekisterinpitäjää käsittelyn turvallisuuden varmistamisessa, tietoturvaloukkauksista ilmoittamisessa ja tietosuojaa koskevien vaikutustenarviointien tekemisessä
- poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle palvelun tarjoamisen päätyttyä rekisterinpitäjän ohjeistuksen mukaisesti
- asettaa rekisterinpitäjän saataville kaikki tiedot, joilla voidaan osoittaa, että yleisen tietosuoja-asetuksen velvoitteita noudatetaan
- mahdollistaa tarkastukset ja osallistuu niihin. Tarkastukset voivat olla rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman tahon suorittamia.
Mitä sisällytetään henkilötietojen käsittelijän ja alikäsittelijän väliseen sopimukseen?
Henkilötietojen käsittelijän ja alikäsittelijän välisessä sopimuksessa on oltava erityiset lausekkeet, joilla taataan, että käsiteltävät henkilötiedot suojataan samalla tavalla kuin rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa on määritelty.
Kuka on vastuussa kenelle?
Rekisterinpitäjä tai yhteisrekisterinpitäjä on vastuussa siitä, että se itse ja valittu henkilötietojen käsittelijä noudattavat yleistä tietosuoja-asetusta. Jos henkilötietojen käsittelijä rikkoo tietosuojavelvoitteitaan, rekisterinpitäjää tai yhteisrekisterinpitäjää voidaan käytännössä pitää vastuullisena ja tietosuojaviranomainen voi tarvittaessa määrätä rekisterinpitäjälle seuraamuksia.
Henkilötietojen käsittelijä on myös itse vastuussa siitä, että sen toiminnassa noudatetaan yleistä tietosuoja-asetusta. Lisäksi se voi olla vastuussa rekisterinpitäjälle käsittelysopimuksen rikkomisesta. Henkilötietojen käsittelijä voi myös olla vastuussa rekisterinpitäjälle alikäsittelijän aiheuttamista rikkomuksista.
Vastuualueiden tarkistuslista
Rekisterinpitäjän tai yhteisrekisterinpitäjien vastuiden tarkistuslista
- Noudata tietosuoja-asetuksen 5 artiklan mukaisia tietosuojaperiaatteita.
- Toteuta ihmisten tietosuojaoikeudet.
- Pidä kirjaa henkilötietojen käsittelytoimista.
- Varmista käsittelyn turvallisuus.
- Valitse sopiva henkilötietojen käsittelijä.
- Määrittele rekisterinpitäjän ja henkilötietojen käsittelijän suhde ja velvollisuudet sitovassa käsittelysopimuksessa.
- Ilmoita henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja tarvittaessa kohteeksi joutuneille henkilöille.
- Rekisterinpitäjä on vastuussa käsittelytoimista, sisäänrakennetun ja oletusarvoisen tietosuojan toteuttamisesta sekä tietosuojaa koskevien vaikutustenarviointien tekemisestä tarvittaessa.
- Nimitä tarvittaessa tietosuojavastaava.
- Noudata henkilötietojen kansainvälisiä siirtoja koskevia tietosuojavelvoitteita.
- Tee yhteistyötä tietosuojaviranomaisten kanssa.
Henkilötietojen käsittelijän vastuiden tarkistuslista
- Noudata rekisterinpitäjän ohjeita.
- Pidä kirjaa käsittelytoimista.
- Varmista käsittelyn turvallisuus.
- Noudata ja ylläpidä sitovaa henkilötietojen käsittelysopimusta.
- Hanki rekisterinpitäjän lupa ennen uuden alikäsittelijän käyttöä. Anna rekisterinpitäjälle mahdollisuus vastustaa alikäsittelijän käyttämistä. Tee tarvittaessa henkilötietojen käsittelijän ja alikäsittelijän välinen sopimus. Sen on oltava yhdenmukainen alkuperäisen rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen kanssa.
- Ilmoita henkilötietojen tietoturvaloukkauksista rekisterinpitäjälle.
- Ilmoita tietosuoja-asetuksen rikkomuksista rekisterinpitäjälle.
- Henkilötietojen käsittelijä on vastuussa käsittelytoimistaan, esim. sisäänrakennetun ja oletusarvoisen tietosuojan toteutuksesta.
- Nimitä tarvittaessa tietosuojavastaava.
- Varmista, että rekisterinpitäjä hyväksyy kansainväliset henkilötietojen siirrot ja että ne ovat yleisen tietosuoja-asetuksen mukaisia.
- Tee yhteistyötä tietosuojaviranomaisten kanssa.