Vastaus
Joku muu (luonnollinen tai oikeushenkilö tai muu elin) voi käsitellä henkilötietoja organisaatiosi puolesta, jos välillänne on sopimus tai muu oikeudellinen asiakirja. On tärkeää, että nimittämäsi henkilötietojen käsittelijä tarjoaa riittävät takeet, jotta se voi panna täytäntöön yleisen tietosuoja-asetuksen vaatimukset täyttävät tekniset ja organisatoriset toimenpiteet ja taata yksilöiden oikeuksien suojan.
Nimitetty henkilötietojen käsittelijä ei voi nimittää toista käsittelijää ilman yrityksesi /organisaatiosi antamaa nimenomaista tai yleistä kirjallista ennakkolupaa. Yrityksesi /organisaatiosi ja henkilötietojen käsittelijän väliseen sopimukseen tai oikeudellisen asiakirjan olisi sisällyttävä seuraavanlaisia lausekkeita:
- käsittely tapahtuu ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti
- henkilötietojen käsittelijä varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus
- henkilötietojen käsittelijän on taattava rekisterinpitäjän määrittelemä vähimmäistietoturvatasohenkilötietojen käsittelijän on autettava rekisterinpitäjää täyttämään yleisen tietosuoja-asetuksen vaatimukset.
Esimerkkejä
Rakennusyhtiö käyttää alihankkijaa tietyissä rakennustöissä ja toimittaa tälle niiden asiakkaiden yhteystiedot, joille rakennustyöt tehdään. Alihankkija käyttää tietoja lähettääkseen asiakkaille markkinointimateriaalia. Alihankkija ei ole kyseisessä tapauksessa asetuksen mukaan pelkästään henkilötietojen käsittelijä, koska se käyttää henkilötietoja myös omiin tarkoituksiin eikä vain käsittele niitä rakennusyhtiön puolesta. Alihankkija toimii siten ”rekisterinpitäjänä”.
Olet vähittäiskauppias, joka päättää tallentaa pilvipalveluun varakopion asiakastietokannasta. Teet sopimuksen pilvipalveluntarjoajan kanssa, jolla on tunnetusti korkeat tietoturvastandardit ja jolla on myös sertifioitu tietojensalausjärjestelmä. Pilvipalveluntarjoaja on henkilötietojen käsittelijä, koska se käsittelee puolestasi asiakkaidesi henkilötietoja tallentaessaan niitä palvelimilleen.
Viitteet
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.