Professional Documents
Culture Documents
ERIKOISTUNUT OLENNAISEEN 2
PALVELUSOPIMUKSIIN KOHDISTUVAT VELVOITTEET JA
VASTUUNJAKO OSALLISTEN VÄLILLÄ
3
HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVAT SOPIMUKSET (ART 28) –
KÄSITTELYN ULKOISTAMINEN
• Henkilötietojen käsittelyn rekisterinpitäjän ja käsittelijän välillä on perustuttava
kirjalliseen sopimukseen
Yritys A, Suomi
Rekisteröity
IT-toimittajan (”Rekisterinpitäjä”)
(palvelun asiakas)
alihankkija
(esim. ylläpitopalvelut)
IT-
toimittajan
PILVIPALVELUT alihankkija
USA EU/ETA
Palveluntuottaja B
Palvelu,
Olennaista sopia;
joka sisältää henkilötetojen käsittelyä,
• sopimusehdot tietosuojavelvoitteista ja
IT-toimittaja Suomessa
vastuun jakamisesta osapuolten kesken
(SaaS-palveluntuottaja,
käsittelijä), Yritys A on palveluntuottaja B:n asiakas
ERIKOISTUNUT OLENNAISEEN 5
REKISTERINPITÄJÄN JA KÄSITTELIJÄN ASEMA
ERIKOISTUNUT OLENNAISEEN 6
VASTUUN JAKAUTUMINEN ALIHANKINTAKETJUSSA
• Rekisterinpitäjä
o Vastaa lähtökohtaisesti siitä, että sillä on valtuudet myöntää käsittelijälle
sopimuksessa kuvatut oikeudet käsitellä henkilötietoja sekä antamiensa
ohjeiden lainmukaisuudesta
o Velvollinen huolehtimaan jo valintavaiheessa käsittelijän kyvykkyydestä
täyttää asetuksen velvoitteet
• Käsittelijä
o Velvollisuus käsitellä henkilötietoja rekisterinpitäjän ohjeiden mukaisesti,
toisaalta velvollisuus varmistua ohjeiden lainmukaisuudesta
o Vastaa myös alihankkijan menettelystä suhteessa rekisterinpitäjään
• Alihankkija
o Valtuudet määräytyvät rekisterinpitäjän ja alkuperäisen henkilötietojen
käsittelijän sopimuksen perusteella
o Alihankkijan korvaus- ja avustamisvastuusta suhteessa käsittelijään,
rekisterinpitäjään ja rekisteröityyn sovittava sopimuksessa
ERIKOISTUNUT OLENNAISEEN 7
YLEISTÄ REKISTERINPITÄJÄN JA KÄSITTELIJÄN VÄLISESTÄ
SOPIMUKSESTA
ERIKOISTUNUT OLENNAISEEN 8
YLEISTÄ REKISTERINPITÄJÄN JA KÄSITTELIJÄN VÄLISESTÄ
SOPIMUKSESTA
• Henkilötietojen käsittelijän on:
ERIKOISTUNUT OLENNAISEEN 11
ERITYISET SISÄLTÖVAATIMUKSET
ERIKOISTUNUT OLENNAISEEN 13
KÄYTÄNNÖN KOKEMUKSIA PALVELUSOPIMUSTEN OSALTA
14
PALVELUSOPIMUSTEN ONGELMAKOHTIA – MISTÄ NEUVOTELLAAN
ENITEN
16
YLEISTÄ HENKILÖTIETOJEN LUOVUTUKSESTA JA SIIRROSTA
• Mitä on henkilötietojen luovuttaminen / siirtäminen
o GDPR: Henkilötietojen käsittelyllä tarkoitetaan mm. ”tietojen
luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin
saataville”
o TSV: Siirtäminen: kaikki tilanteet, joissa rekisterinpitäjä saattaa
henkilötietoja sivullisen saataville (esim. siirtäminen muistitikun avulla,
katseluoikeuden avaaminen sähköisen yhteyden avulla sekä tiedon
tallentaminen pilvipalveluun); Luovuttaminen: tilanteet, joissa
rekisterinpitäjä luovuttaa henkilötiedot toiselle rekisterinpitäjälle
Yritys A, Suomi
Rekisteröity
IT-toimittajan (”Rekisterinpitäjä”)
(palvelun asiakas)
alihankkija
(esim. ylläpitopalvelut)
IT-
toimittajan
PILVIPALVELUT alihankkija
USA EU/ETA
Palveluntuottaja B
Palvelu,
Olennaista sopia;
joka sisältää henkilötetojen käsittelyä,
• sopimusehdot tietosuojavelvoitteista ja
IT-toimittaja Suomessa
vastuun jakamisesta osapuolten kesken
(SaaS-palveluntuottaja,
käsittelijä), Yritys A on palveluntuottaja B:n asiakas
ERIKOISTUNUT OLENNAISEEN 18
SIIRTO TIETOSUOJAN RIITTÄVYYTTÄ KOSKEVAN
KOMISSION PÄÄTÖKSEN PERUSTEELLA
• Siirto mahdollinen sellaisiin EU/ETA:n ulkopuolisiin maihin, joiden osalta komissio
on päättänyt, että kyseinen maa varmistaa riittävän tietosuojan tason
o Siirto voidaan toteuttaa suoraan päätöksen perusteella ilman erillistä lupaa
ERIKOISTUNUT OLENNAISEEN 19
SIIRTO ASIANMUKAISIA SUOJATOIMIA SOVELTAEN
• Jos komissio ei ole tehnyt em. päätöstä riittävästä tietosuojan tasosta, siirto on
mahdollinen, jos tietoja siirtävä rekisterinpitäjä tai käsittelijä on toteuttanut
asianmukaiset suojatoimet (46 artikla)
• Tällaisia asianmukaisia suojatoimia ovat mm.:
i. Yritystä koskevat sitovat säännöt (47 artikla)
o Koko konsernia koskevat sitovat säännöt, jotka tietosuojaviranomainen
vahvistaa (sisältö GDPR:ssä)
o WP29: jo olemassa olevat BCR:t pysyvät voimassa, mutta sääntöjen
päivittäminen suositeltavaa
ii. Komission laatimat vakiosopimuslausekkeet (olemassa olevia ei vielä päivitetty)
iii. Tietosuojaviranomaisen antamat ja komission vahvistamat vakiolausekkeet
(TSV ei ole laatinut)
iv. Eri alojen rekisterinpitäjiä edustavien järjestöjen laatimat käytännesäännöt, jotka
tietosuojaviranomainen on vahvistanut
v. Tietosuojaviranomaisen vahvistamat rekisterinpitäjän/käsittelijän ja kolmannessa
maassa olevan rekisterinpitäjän/käsittelijän väliset sopimuslausekkeet
ERIKOISTUNUT OLENNAISEEN 20
SIIRTO GDPR 49 ARTIKLAN POIKKEUSTEN PERUSTEELLA
• Jos komissio ei ole tehnyt päätöstä riittävästä tietosuojan tasosta, eikä siirtoa ole
toteutettu asianmukaisia suojatoimia soveltaen, siirto on edelleen mahdollinen
49 artiklan poikkeusten perusteella
22
NYKYTILAN ANALYSOINTI
• Sopimusten läpikäynti
o Asiakas-, palvelu-, alihankinta- ym. liiketoiminnan sopimukset, joihin sisältyy
henkilötietojen käsittelyä
o Onko käsittelyn tarkoitus, vastuut ja velvoitteet määritelty asetuksen
vaatimalla tavalla (erit. artikla 28)
o Sisältävätkö sopimukset määräyksiä EU/ETA:n ulkopuolisista siirroista; onko
peruste siirrolle
o Ovatko asiakassopimusten ja niihin liittyvien alihankintasopimusten
henkilötietojen käsittelyä koskevat ehdot yhdenmukaiset (jos yritys toimii
käsittelijänä; ei ole annettu alihankkijalle enempää oikeuksia kuin mitä itsellä)
ERIKOISTUNUT OLENNAISEEN 24
TARVITSETKO APUA GDPR:N IMPLEMENTOINNISSA?
ERIKOISTUNUT OLENNAISEEN 25
Bulevardi 1 A, 00100 Helsinki
www.hpp.fi
100% GDPR Compliant
Keijo Karjalainen
CEO
+358 40 5218 517
keijo.karjalainen@sympa.com
@kmkarjalainen
Vahvaa kasvua alusta asti
Sympa
• Suomalainen perheyhtiö, perustettu vuonna 2005
• Pohjoismaiden nopeimmin kasvava HR-järjestelmien tarjoaja
• Pääkonttori Vantaalla, tuotekehitys ja asiakastuki Lahdessa
• Tukholma, Kööpenhamina, Amsterdam, Luzern
Sympa HR
• Taustalla sisarusten halu kehittää täydellinen työkalu
työntekijöiden osaamisen kokoamiseen ja analysointiin
• Tukee sekä työntekijöitä että työnantajia koko työsuhteen
elinkaaren ajan
Esimies
Ajantasainen tieto oman tiimin
tyytyväisyydestä, osaamisesta ja
poissaoloista helpottaa esimiehen työtä.
Työntekijä
Kätevä tapa seurata omia tietoja ja
kehittymistä sekä raportoida poissaoloja.
Kokonaisvaltainen ratkaisu
koko työsuhteen elinkaarelle
Työsuhde-
Työsuhteen Osaamisen Suorituksen Työsuhteen
Rekrytointi tietojen
aloitus johtaminen johtaminen päätös
ylläpito
400+
• Asiantuntevat työntekijät, varma osaaminen
yli kymmenen vuoden kokemuksella
asiakasta
Integraatioilla on merkitystä
KYLLÄ
syntymäaika
keskusteluiden
KYLLÄ Matkalasku- status
järjestelmä työsuhdetiedot
perustiedot
EI
työsuhdetiedot
EI nimet
palkkatiedot Palkka- BI & sähköposti
one-to-one järjestelmä Dashboards
keskusteluiden
keskustelut
sisältö
suorituksen
johtaminen
Työvuoro-
Työajanseurannan
suunnittelu-
järjestelmä
järjestelmä
Muut
järjestelmät
Sympa ja tietosuoja-asetuksen muutokset
• Sympa HR
• 100% GDPR-
valmis
GDPR-projek9 Muutokset
• Nyky0la- ja • Sympa HR
GDPR-koulutus kuiluanalyysi • Prosessit
• Tietosuoja- • Henkilöstön
Tietoturva vastaavan osaaminen
nimeäminen
• Sertifioinnit
• Auditoinnit
25.5.2018
yritysten
henkilötietojen
käsittelyn on
Kysy lisää meiltä: noudatettava
www.sympa.fi/gdpr GDPR-asetusta
Iden0fy your Identify your Confirm your key
data partners GDPR processes
Identify your HR data
Grounds Data Data Access Erase Registry
for registry sources content groups policy responsible
Job applicants
Employee HRM
Employee HRD
Freelancers,
partners
Other?
Identify your partners
… and require compliance
Compliant Certified Data DPO Registry
agreement ISMS encryption (contact details) responsible
Recruiters
Payroll providers
HR system
providers
ICT systems
Phonebooks?
Others?
Confirm your key GDPR
processes
o Everyone has access to all their data
o Everyone can have their data in easy-to-use format
o We have told everyone why we have and handle their data
sympa.com