Tietosuoja-asetus (GDPR) Azetsin ulkoistus­palveluissa

Teknologia

by  Joonas Kainulainen

04/12/2017

Tietosuoja-asetus (GDPR) Azetsin ulkoistus­palveluissa

Teknologia

by Joonas Kainulainen

04/12/2017

EU:n tietosuoja-asetus astuu voimaan 25.5.2018. Azets on valmistautunut asetuksen voimaantuloon vuoden 2017 alusta lähtien. Azetsin toiminnan luonteesta johtuen tietosuoja-asiat ja siihen liittyvät toimintamallit ovat jo aiemmin olleet merkittävä osa Azetsin laadunvarmistusta ja riskienhallintaa. Tietosuoja-asetus ei muuta jo aiemmin käytössä ollutta perusperiaatteita, jossa asiakas on rekisterinpitäjä (data controller) ja Azets ulkoistuskumppanina rekisterin käyttäjä (data processor).

Asiakkaan vastuu

Asiakas vastaa rekisterinpitäjänä siitä, että henkilötietoja käsitellään asetuksen mukaisesti. Tietosuoja-asetus myös velvoittaa asiakkaan toimimaan vain sellaisten kumppanien kanssa, jotka pystyvät osoittamaan noudattavansa tietosuoja-asetuksen edellyttämiä menettelytapoja. Käytännössä tämä tarkoittaa sitä, että

  • Asiakkaan (data controller) vastuulla on rekisteriselosteen laatiminen tietojenkäsittelytoiminnoistaan.
  • Asetus velvoittaa asiakkaan (data controller) vastaamaan tietojenkäsittelijän (data processor) ohjeistamisesta omien henkilötietojensa käsittelyyn. Käytännössä tällaista asiakaskohtaista ohjeistusta ovat jo olemassa olevat palvelukuvaukset, joissa määritellään asiakkaan ja Azetsin roolit ja vastuut palvelussa, kanavat tietojen toimittamiseen sekä määritellään, mihin tarkoitukseen Azets tietoja käyttää.
  • Asiakkaan nimettyjen henkilöiden tulee toimittaa Azetsille mahdolliset asiakkaan henkilöstön tietopyynnöt sekä pyynnöt tietojen poistamisesta (ns. oikeus tulla unohdetuksi). Azets toteuttaa pyynnöt siinä laajuudessa kuin se on mahdollista ottaen huomioon voimassa oleva lainsäädäntö (esim. tietojen lakisääteinen säilytysaika) ja viranomaismääräykset (esim. ansiotietojen ilmoittaminen verottajalle).

Azetsin vastuu

Azets vastaa tietojen käsittelystä (data processor) voimassa olevan lainsäädännön, tietosuoja-asetuksen ja asiakkaan ohjeistuksen mukaisesti. Käytännössä tämä tarkoittaa sitä, että asiakkaan henkilötietoja käsitellään vain palvelun edellyttämässä laajuudessa, pääsy tietoihin rajataan sekä teknisen että fyysisen tietoturvan keinoin ja Azetsilla on jatkuvuussuunnitelma toiminnan jatkuvuuden turvaamiseksi myös poikkeustilanteissa.

Tietosuoja-asetuksen voimaantuloon valmistautuminen

Azetsin valmistautuminen asetuksen voimaantuloon kattaa mm. seuraavat toimenpiteet:

  • Nykytilan kartoitus ja kehityskohteiden/riskien tunnistaminen ja kehitystoimenpiteiden toteutus
  • Dokumentaation ja ohjeistuksen päivitys tarvittavin osin
  • Henkilöstön koulutus
  • Tietojenkäsittelysopimukset kumppanien kanssa
  • Tietojenkäsittelysopimukset asiakkaiden kanssa
  • Kontrolli- ja auditointimenettelyt

Tietojenkäsittelysopimuksen asiakkaiden kanssa

Azets tulee alkuvuoden 2018 aikana tekemään kaikkien asiakkaiden kanssa sopimuksen henkilötietojen käsittelystä. Vakiomuotoinen sopimus kattaa ne asiat, joista rekisterinpitäjän ja rekisterin käyttäjän välillä tulee tietosuoja-asetuksen mukaan sopia.

Joonas Kainulainen

About Joonas Kainulainen

Business Analyst, Azets