22. joulukuuta 2020 | Max Atallah

Tietosuoja & Uutishuone

Uudet ohjeet rekisterinpitäjistä ja käsittelijöistä

Euroopan tietosuojaneuvosto (jäljempänä ”EDPB”) julkaisi uudet ohjeet rekisterinpitäjistä ja käsittelijöistä 2.9.2020, joissa täsmennetään rekisterinpitäjän, yhteisrekisterinpitäjän ja käsittelijän määritelmiä.

Vaikka uudet ohjeet eivät sinänsä sisällä mitään käänteentekevää tietoa, minkä tulisi muuttaa vallitsevaa käsitetystä eri tietosuojarooleista, toimivat ohjeet vähintään hyvänä kertauksena eri roolien määräytymisestä ja merkityksestä. Siten EDPB:n uusia ohjeita voi pitää tärkeänä lähteenä jokaiselle henkilötietoja käsittelevälle yritykselle.

Tässä artikkelissa käsitellään EDPB:n viimeisimpiä linjauksia kohta kohdalta tavoitteena luoda mahdollisimman kokonaisvaltainen ymmärrys rajanvedosta rekisterinpitäjän, yhteisrekisterinpitäjän ja käsittelijän välillä.

Kuka on rekisterinpitäjä

Rekisterinpitäjä on se taho, joka päättää miksi ja miten henkilötietoja käsitellään. Siten rekisterinpitäjä on aina se taho, joka päättää henkilötietojen käsittelystä.

Rekisterinpitäjyys määräytyy joko suoraan lain nojalla tai faktoihin perustuen. Esimerkkinä lain nojalla määräytyvästä rekisterinpitäjyydestä voidaan mainita palvelusetelilaki (569/2009), jonka nojalla kunta on palvelusetelillä järjestettävässä palvelussa syntyvien potilas- ja asiakasasiakirjojen rekisterinpitäjä. Faktoihin perustuvasta rekisterinpitäjyydestä taas voidaan mainita esimerkkinä työnantajan rekisterinpitäjyys sen työntekijöiden henkilötietojen osalta, kun työnantaja käsittelee työntekijöiden henkilötietoja työsuhteen toteuttamistarkoituksiin.

Selventävänä huomiona myös mainittakoon, että rekisterinpitäjä voi olla oikeushenkilö tai luonnollinen henkilö, joskin pääsääntöisesti rekisterinpitäjänä toimii oikeushenkilö.

Pilvipalveluntarjoaja käsittelijänä

Käsittelijä taas on se taho, joka käsittelee henkilötietoja rekisterinpitäjän puolesta ja lukuun. Käytännössä tämä tarkoittaa sitä, että käsittelijä käsittelee henkilötietoja vain siksi, että rekisterinpitäjä on päättänyt antaa henkilötiedot käsittelijän käsiteltäväksi – yleensä voidakseen käyttää käsittelijän palvelua tai tehostaakseen omaa toimintaansa. Tyypillisiä esimerkkejä käsittelijöistä ovat vaikkapa pilvipalveluntarjoajat (esim. Google Drive tai Dropbox) ja taloushallinnon palveluiden tarjoajat (esim. Bezala tai Procountor).  Myös käsittelijät voivat olla oikeushenkilöitä sekä luonnollisia henkilöitä, joskin nekin yleensä ovat oikeushenkilöitä.

Ohjeet pyrkivät selventämään rekisterinpitäjän ja käsittelijän rajanvetoa täsmentämällä, että rekisterinpitäjät voivat tehdä sekä välttämättömiä että ei-välttämättömiä päätöksiä henkilötietojen käsittelyä koskien, kun taas käsittelijät voivat toteuttaa ainoastaan ei-välttämättömiä päätöksiä. Välttämättömillä ja ei-välttämättömillä päätöksillä tarkoitetaan seuraava:

  • Välttämättömiä päätöksiä ovat esimerkiksi sellaiset, joissa päätetään mitä ja kenen henkilötietoja käsitellään.
  • Ei-välttämättömiä päätöksiä ovat esimerkiksi sellaiset, joissa päätetään minkälaisen teknisen toteutustavan avulla henkilötietoja käsitellään tai millä tietoturvakeinoin henkilötietoja suojataan.

Kun rekisteripitäjä käyttää käsittelijän palveluita henkilötietojen käsittelemiseksi, tulee rekisterinpitäjän ja käsittelijän solmia keskenään ns. tietosuojasopimus EU:n tietosuoja-asetuksen artiklan 28 mukaisesti. Tietosuojasopimuksen tulee sisältää tietosuoja-asetuksen artiklan 28 vaatimukset, ja siten siinä sovitaan rajoista, joilla käsittelijä saa käsitellä rekisterinpitäjän vastuulla olevia henkilötietoja. On tärkeää kuitenkin ymmärtää, että tehokas tietosuojasopimus sisältää yksityiskohtaista tietoa henkilötietojen käsittelytoimista eikä vain yleisluontoista toistoa artiklan 28 määräyksistä.

Yhteisrekisterinpitäjä ja alikäsittelijä

Tietosuojassa tunnetaan myös käsitteet yhteisrekisterinpitäjä ja alikäsittelijä (subprocessor), jotka eivät ole varsinaisia synonyymejä rekisterinpitäjälle ja käsittelijälle.

Yhteisrekisterinpitäjä tarkoittaa kahta tai useampaa rekisterinpitäjää, jotka päättävät yhdessä henkilötietojen käsittelyn tarkoitukset ja keinot. Ohjeiden mukaisen esimerkin nojalla yhteisrekisterinpitäjiä ovat vaikkapa pakettimatkoja internetsivun kautta yhdessä tarjoavat matkatoimisto, lentoyhtiö ja hotelli, kun ne käsittelevät matkailijan henkilötietoja pakettimatkan varauksen yhteydessä. Huomattakoon, että matkatoimisto, lentoyhtiö ja hotelli toimivat kuitenkin itsenäisinä rekisterinpitäjinä niiden henkilötietojen osalta, joita ne käsittelevät matkailijasta internetsivun ulkopuolella (esim. asiakkaan asioidessa hotellissa, on hotelli asioinnista syntyvien henkilötietojen osalta yksin itsenäinen rekisterinpitäjä).

Alikäsittelijä taas tarkoittaa sellaista käsittelijää, jota toinen käsittelijä käyttää rekisterinpitäjän vastuulla olevien henkilötietojen käsittelemiseksi. Tyypillisiä alikäsittelijöitä ovat pilvipalveluntarjoajat sekä analytiikkapalveluntarjoajat.

Myös näiden erityisempien roolien osalta tulee huolehtia relevanttien tietosuojasopimusten laadinnasta. Yhteisrekisterinpitäjien välille on solmittava yhteisrekisterinpitäjyyttä koskeva tietosuojasopimus, ja käsittelijän sekä alikäsittelijän välille on solmittava tätä erityisjärjestelyä koskeva tietosuojasopimus.

Kolmas osapuoli ja vastaanottaja?

Ohjeissa käsitellään rekisterinpitäjän ja käsittelijän roolien lisäksi myös kolmannen ja vastaanottajan rooleja, jotka ovat tietosuojan saralla vähemmän tunnettuja rooleja:

Kolmas on taho, jolla ei ole suoranaista roolia tietosuojalainsäädännön valossa. Käytännössä tämä tarkoittaa sitä, että kolmas ei ole käsiteltävien henkilötietojen osalta rekisteröity, rekisterinpitäjä, käsittelijä tai mikään muukaan vastaava, vaan ainoastaan kolmas suhteessa käsiteltäviin henkilötietoihin. Ohjeiden sisältämän käytännön esimerkin mukaan kolmas on vaikkapa ulkoistettu siivousalan yritys ja sen työntekijät, kun siivousyritys siivouspalveluidensa tarjonnan yhteydessä satunnaisesti näkee sen palkanneen yrityksen vastuulla olevia henkilötietoja.

Vastaanottaja on taho, joka vastaanottaa henkilötietoja. Siten vastaanottaja voi olla rekisterinpitäjä, käsittelijä tai kolmas taho. Ohjeissa tehdään kuitenkin tärkeä huomio siitä, että viranomaiset eivät tietosuolainsäädännön valossa ole vastaanottajia, kun ne toimivat lakisääteisten velvoitteidensa mukaisesti (esim. Verohallinnon käsitellessä henkilötietoja verotarkastuksen yhteydessä, ei Verohallinto ole vastaanottaja tietosuojalakien valossa).

Rekisterinpitäjän vastuut käytännössä

Kuten artikkelin alussa todettiin, vaikka EDPB:n ohjeet eivät sisällä mitään käänteentekevää tietoa tietosuojarooleista, toimivat ne kuitenkin erinomaisena ohjenuorana kaikille, jotka tarvitsevat apua roolien määrityksessä.

Roolien määrittäminen ja ymmärtäminen taas ovat tärkeitä siksi, että tietosuojarooleilla on merkittävä vaikutus tietosuojalakien soveltamiseen. Koska jokaisen roolin oikeudet ja velvollisuudet eroavat toisistaan, ilman asianmukaista roolitusta tietosuojavelvoitteita ei voi lakien edellyttämällä tavalla soveltaa. Siksi onkin ensiarvoisen tärkeää, että yrityksen tietosuojaroolit olisivat tiedossa ennen kuin tietosuojavelvoitteita ryhdytään hahmottelemaan tai toteuttamaan.

Muista siis ottaa selvää, missä roolissa toimit henkilötietoja käsitellessäsi.

22.12.2020 MAX

Nordic LawWeb3- ja Fintech-oikeuden pioneeri