TIETOSUOJAOPAS 31 10.1 Rekisterinpitäjän ja käsittelijän väliset sopimukset Kun henkilötietojen käsittelijä käsittelee henkilötietoja rekisteripitäjän lukuun, on henkilötietojen käsittelystä sovittava kirjallisesti. Tällöin tietosuoja-asetuksen pakottavat normit rajoittavat osapuolten sopimusvapautta. Sopimuksessa on asetuksen mukaan sovittava seuraavista asioista: 1. henkilötietojen käsittelyn kohde ja kesto 2.henkilötietojen käsittelyn luonne ja tarkoitus 3.henkilötietojen tyyppi ja rekisteröityjen ryhmät ja 4. rekisterinpitäjän velvollisuudet ja oikeudet. Käyttötarkoitussidonnaisuus on olennainen periaate henkilötietojen käsittelyssä eli henkilötietoja saa kerätä ja käsitellä vain tietyssä, nimenomaisessa ja laillisessa tarkoituksessa. Käyttötarkoitus määräytyy aina tapauskohtaisesti, joten se on määriteltävä sopimuksessa. Niinpä rekisterinpitäjä määrittelee sopimuksessa käsittelyn tarkoituksen ja keinot eikä käsittelijä saa käyttää tietoja muihin tarkoituksiin tai luovuttaa henkilötietoja ilman lupaa muille joihinkin muihin käyttötarkoituksiin. Tietosuoja-asetus vaatii käsittelijältä tiedonantovelvollisuutta suhteessa rekisterinpitäjään, joten käsittelijän tulee antaa rekisterinpitäjälle tietoa, jota tämä voi tarvita rekisteröityjen asetuksen mukaisten oikeuksien toteuttamiseksi. Tällaisia ovat muun muassa tietojen tarkastus-, korjaus-, poisto- ja siirto-oikeus. Rekisterinpi10. HENKILÖTIETOJA KOSKEVAT SOPIMUKSET täjä voi myös tarvita käsittelijältä tietoja tietosuojaviranomaisten vaatimusten tai ohjeiden noudattamiseksi. Henkilötietojen käsittelijä ei saa käyttää alihankkijaa eli jonkun muun henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on rekisterinpitäjän antamasta kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia. Jos alihankkija ei täytä tietosuojavelvollisuuksiaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa alihankkijan velvoitteiden suorittamisesta suhteessa rekisterinpitäjään. Käsittelijän on sallittava rekisterinpitäjän tai tämän valtuuttaman auditoijan tarkastukset. Tämä koskee myös käsittelijän käyttämiä alihankkijoita. Henkilötietojen käsittelijän tulee varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet salassapitoon tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. Sopijapuolten tulee sopia siitä, että käsittelijä rekisterinpitäjän valinnan mukaan joko poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset. Sopijapuolet voivat tapauskohtaisesti sopia korvausvelvollisuudesta ja mahdollisista vastuunrajoituksista.
RkJQdWJsaXNoZXIy Mjk0MTY=