Uusi tietosuoja-asetus tulee sovellettavaksi toukokuussa 2018 ja se koskee kaikkia suomalaisia yrityksiä. Rekisterinpitäjä voi jatkossakin ulkoistaa henkilötietojen käsittelyä valitsemilleen kumppaneille. Tietosuoja-asetus muuttaa kuitenkin merkittävästi rekisterinpitäjän ja henkilötietojen käsittelijän välistä vastuunjakoa ja molempien osapuolten vastuut viranomaisten ja rekisteröityjen suuntaan kasvavat nykyisestä.

Henkilötietoja rekisterinpitäjän toimeksiannosta käsittelevät yritykset eivät nykyisellään ole yleensä olleet suoraan vastuussa tietosuojalainsäädännön vastaisesta käsittelystä. Tilanne tulee kuitenkin muuttumaan keväällä 2018. Jos henkilötietojen käsittelyyn osallistuu useita osapuolia, tietosuoja-asetus asettaa ne kaikki mahdollisiksi vastuutahoiksi sekä suhteessa rekisteröityihin että viranomaisiin. Tietosuoja-asetus myös ulottaa sääntelyn koskemaan monia puhtaasti teknisiä palveluita, kuten tallennuspalveluita.

Jotta käsittelyyn osallistuneet tahot voivat vapautua vastuusta rekisteröidylle, niiden tulee jatkossa kyetä osoittamaan, etteivät ne ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta. Juridisessa mielessä puhutaan tällöin käännetystä todistustaakasta. Käytännössä tietosuoja-asetus korostaa kaikkien henkilötietojen käsittelyyn osallistuvien tahojen tarvetta olla tietoisia tietosuoja-asetuksen velvoitteista, ylläpitää kattavaa dokumentaatiota henkilötietojen käsittelytoimista, huolehtia tietoturvallisuudesta, rajoittaa vastuuta sopimusteitse ja tarvittaessa vakuuttaa toimintaa esimerkiksi erityisillä kybervakuutuksilla.

Nykylainsäädännön mukaan rekisterinpitäjä on voinut ulkoistaa henkilötietojen käsittelyä melko vapaamuotoisesti. Tietosuoja-asetus kuitenkin edellyttää, että ulkoistamisesta on sovittu nimenomaisella kirjallisella sopimuksella. Sopimuksessa on vahvistettava henkilötietojen käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän oikeudet ja velvollisuudet. Suhteessa henkilötietojen käsittelijään rekisterinpitäjän on varmistuttava ainakin:

• rekisterinpitäjän ohjeiden noudattamisesta;
• salassapitovelvollisuudesta;
• teknisten ja organisatoristen tietoturvatoimenpiteiden toteuttamisesta;
• henkilötietojen edelleenluovutuskiellosta;
• rekisteröityjen oikeuksien toteuttamisesta;
• henkilötietojen käsittelijän velvollisuudesta edistää rekisterinpitäjän velvollisuuksien toteuttamista;
• toimista toimeksiantosuhteen päättyessä; ja
• tarkastus- ja auditointioikeuksista.

Kaikki henkilötietojen käsittelyn ulkoistamiseen liittyvät vastuut ja velvollisuudet eivät sisälly edellä mainittuihin velvoitteisiin eivätkä tietosuoja-asetuksen tekstiin. Käytännön tasolla edellytetään sopimista myös muun muassa rekisterinpitäjän ja henkilötietojen käsittelijän työnjaosta koskien osapuolten vastuulle kuuluvia tietoturvatoimenpiteitä, järjestelmien toistuvaa testaamista sekä tietoturvatoimenpiteiden riittävyyden jatkuvaa arviointia.

Rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa olisi syytä varautua myös osapuolten väliseen vastuunjakoon tietosuojarikkomuksen mahdollisesti tapahtuessa. On mahdollista sopia esimerkiksi siitä, missä määrin osapuolet osallistuvat asian selvittämiseen, toistensa puolustamiseen ja mahdollisesti vastaavat toisilleen aiheutuvista asianhoitokuluista tai muista kustannuksista.

Koska tietosuoja-asetuksen lähtökohtana aiemmasta poiketen on, että kaikki henkilötietojen käsittelyyn osallistuneet tahot ovat lähtökohtaisesti aina vahingonkorvaus- ja rangaistusvastuussa, ennakollinen sopiminen osapuolten vastuunjaosta ja yhteistyö vahinkojen minimoimiseksi siirtyvät yritysten riskienhallinnan keskiöön. Vastuiden ja velvollisuuksien kestävä ja oikeudenmukainen kohdentuminen tulee todennäköisesti edellyttämään rekisterinpitäjän ja henkilötietojen käsittelijän välisiä kompromisseja, jolloin molemmat osapuolet ottavat vastatakseen tietyn osan henkilötietojen käsittelyyn liittyvistä tehtävistä ja riskeistä. Riskien ennaltaehkäisy ja henkilötietojen käsittelyyn osallistuvien tahojen yhteistyö ovat asioita, joihin on sopimusteitse mahdollista varautua.

On odotettavissa, että tietosuoja-asetuksen uudet vaatimukset kohtaavat vastustusta etenkin EU:n ulkopuolella toimivilta henkilötietojen käsittelijöiltä. Hallitakseen omat riskinsä, rekisterinpitäjien on kuitenkin sopimusteitse huolehdittava, että niiden käyttämät henkilötietojen käsittelijät noudattavat tietosuoja-asetuksen vaatimuksia. Tämä puolestaan johtanee rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiin vaativiin sopimusneuvotteluihin ja myös sopimuskumppaneiden vaihtumiseen. Jotta kaikki olisi valmista tietosuoja-asetuksen voimaan tullessa toukokuussa 2018, rekisterinpitäjien ja henkilötietojen käsittelijöiden on nyt aika ryhtyä toimenpiteisiin.