Vastaus
Rekisterinpitäjä määrittää mihin tarkoituksiin ja millä keinoin henkilötietoja käsitellään. Jos yrityksesi/organisaatiosi päättää, ”miksi” ja ”miten” henkilötietoja käsitellään, se on rekisterinpitäjä. Organisaatiossasi henkilötietoja käsittelevät työntekijät käsittelevät tietoja suorittaakseen sinun tehtäviäsi rekisterinpitäjänä.
Yrityksesi/organisaatiosi on yhteisrekisterinpitäjä, jos se päättää yhdessä yhden tai useamman organisaation kanssa, ”miksi” ja ”miten” henkilötietoja käsitellään. Yhteisrekisterinpitäjien pitää sopia jokaisen osapuolen vastuista yleisen tietosuoja-asetuksen sääntöjen noudattamiseksi. Sopimuksen tärkeimmistä seikoista pitää ilmoittaa yksilöille, joiden tietoja käsitellään.
Käsittelijä käsittelee tietoja ainoastaan rekisterinpitäjän puolesta. Henkilötietojen käsittelijä on yleensä yrityksen ulkopuolinen kolmas osapuoli. Jos kyseessä on yritysryhmä, yksi yritys voi toimia toisen yrityksen henkilötietojen käsittelijänä.
Henkilötietojen käsittelijän velvollisuudet rekisterinpitäjää kohtaan pitää määritellä sopimuksella tai muulla laillisella asiakirjalla. Sopimuksessa on esimerkiksi määriteltävä, mitä henkilötiedoille tapahtuu sopimuksen päättymisen jälkeen. Henkilötietojen käsittelijöiden tyypillistä toimintaa on IT-ratkaisujen, kuten pilvitallennuspalvelun, tarjoaminen. Henkilötietojen käsittelijä voi teettää vain osan tehtävistään toisella rekisterinpitäjällä tai nimittää yhteisen henkilötietojen käsittelijän saatuaan ensin rekisterinpitäjältä siihen kirjallisen luvan.
Joissain tilanteissa yksikkö voi olla rekisterinpitäjä tai henkilötietojen käsittelijä tai molempia.
Esimerkkejä
Rekisterinpitäjä ja henkilötietojen käsittelijä
Panimolla on paljon työntekijöitä. Se tekee tilitoimiston kanssa sopimuksen palkanlaskennasta. Panimo kertoo tilitoimistolle, kun palkat pitää maksaa, kun työntekijä jättää panimon tai kun hän saa palkankorotuksen sekä antaa muita tietoja palkkakuittia ja palkanmaksua varten. Tilitoimistolla on IT-järjestelmä, johon se tallentaa työntekijöiden tietoja. Panimo on rekisterinpitäjä ja tilitoimisto henkilötietojen käsittelijä.
Yhteisrekisterinpitäjät
Yrityksesi /organisaatiosi tarjoaa lastenhoitopalvelua verkkoalustan kautta. Yritykselläsi /organisaatiollasi on sopimus toisen yrityksen kanssa, jotta voitte tarjota lisäarvopalveluja: vanhemmat voivat valita lapsenvahdin sekä vuokrata pelejä ja DVD-elokuvia, jotka lapsenvahti tuo mukanaan. Molemmat yritykset käyttävät verkkosivuston teknistä alustaa. Kyseisessä tapauksessa yritykset ovat päättäneet käyttää verkkoalustaa molempiin tarkoituksiin (lastenhoitopalvelu ja DVD-elokuvien/pelien vuokraus), ja ne jakavat usein asiakkaidensa nimiä. Yritykset ovat siten yhteisrekisterinpitäjiä, koska ne ovat päättäneet tarjota yhteispalveluja ja ne käyttävät lisäksi samaa alustaa.
Viitteet
Examples
Controller and processor
A brewery has many employees. It signs a contract with a payroll company to pay the wages. The brewery tells the payroll company when the wages should be paid, when an employee leaves or has a pay rise, and provides all other details for the salary slip and payment. The payroll company provides the IT system and stores the employees’ data. The brewery is the data controller and the payroll company is the data processor.
Joint controllers
Your company/organisation offers babysitting services via an online platform. At the same time your company/organisation has a contract with another company allowing you to offer value-added services. Those services include the possibility for parents not only to choose the babysitter but also to rent games and DVDs that the babysitter can bring. Both companies are involved in the technical set-up of the website. In that case, the two companies have decided to use the platform for both purposes (babysitting services and DVD/games rental) and will very often share clients’ names. Therefore, the two companies are joint controllers because not only do they agree to offer the possibility of ‘combined services’ but they also design and use a common platform.