Henkilötietojen käsittelysopimuksen puuttuminen rekisterinpitäjän ja henkilötietojen käsittelijän väliltä
- Asiasanat
- käsittelysopimus, verkkopalvelu, henkilötietojen käsittelijä
- Tapausvuosi
- 2023
- Antopäivä
- Diaarinumero
- 1803/161/23
- Säädösperusta
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
Apulaistietosuojavaltuutetun päätös
Asia
Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukainen henkilötietojen käsittelysopimus
Rekisterinpitäjä
Kaupunki
Asian tausta
Tietosuojavaltuutetun toimisto on sille tulleen ilmoituksen johdosta ryhtynyt selvittämään rekisterinpitäjän harjoittamaa henkilötietojen käsittelyä henkilötietojen käsittelysopimuksen osalta.
Ilmoituksen mukaan rekisterinpitäjällä on ollut oppilashuollon verkkopalvelusivustolla lomake, jolla oppilas voi ottaa yhteyttä koulukuraattoriin tai koulupsykologiin. Sivustoa on ylläpitänyt sivustoylläpitäjäyhtiö. Ilmoituksen perusteella rekisterinpitäjällä ei ole ollut voimassa olevaa sopimusta sivustoylläpitäjän kanssa, jossa olisi sovittu tietosuojasta tai salassapidosta ja jonka perusteella sivustoylläpitäjän työntekijät olisivat salassapitovelvollisia.
Rekisterinpitäjältä saatu selvitys
Tietosuojavaltuutetun toimisto on 1.9.2022 ja 21.2.2023 pyytänyt rekisterinpitäjältä selvitystä asiassa. Rekisterinpitäjä on 22.9.2022 ja 20.3.2023 vastauksissaan selvityspyyntöihin todennut, että sillä ei ole sivustoylläpitäjäyhtiön kanssa sopimusasiakirjoja sivustoylläpitäjänä toimimisesta eikä tietosuojasta. Rekisterinpitäjä on myös todennut, että se ei enää käytä sivustoylläpitäjäyhtiötä sivustoylläpitäjänä ja lomakkeet ovat nykyään rekisterinpitäjän omassa hallinnassa.
Sovellettavasta lainsäädännöstä
Yleisen tietosuoja-asetuksen (EU) 2016/679 28 artiklan 3 kohdan mukaan henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä
a) käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;
b) varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;
c) toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet;
d) noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä;
e) ottaen huomioon käsittelytoimen luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;
f) auttaa rekisterinpitäjää varmistamaan, että 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot;
g) rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;
h) saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.
Oikeudelliset kysymykset
Asiassa on ratkaistavana, onko rekisterinpitäjä huolehtinut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdassa säädetystä velvoitteestaan tehdä henkilötietojen käsittelijän kanssa henkilötietojen käsittelysopimus.
Apulaistietosuojavaltuutetun päätös ja perustelut
Päätös
Rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdassa säädettyä velvoitettaan tehdä henkilötietojen käsittelijän kanssa henkilötietojen käsittelysopimus.
Apulaistietosuojavaltuutettu ei tässä yhteydessä anna rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaista määräystä saattaa käsittelytoimia yleisen tietosuoja-asetuksen mukaisiksi, koska rekisterinpitäjä ei enää käytä sivustoylläpitäjäyhtiötä sivustoylläpitäjänään.
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdassa säädettyä velvoitettaan tehdä henkilötietojen käsittelijän kanssa henkilötietojen käsittelysopimus.
Perustelut
Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaan henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet.
Rekisterinpitäjältä saadun selvityksen mukaan sivustoylläpitäjäyhtiö on hoitanut verkkopalvelun säännöllistä ylläpitotehtävää rekisterinpitäjän lukuun ja ollut siten henkilötietojen käsittelijän asemassa. Asiassa esitetyn selvityksen perusteella rekisterinpitäjän ja sivustoylläpitäjäyhtiön välillä ei ole ollut sopimusta henkilötietojen käsittelystä. Rekisterinpitäjän ja sivustoylläpitäjäyhtiön välillä ei näin ollen ole ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdassa edellytettyä henkilötietojen käsittelysopimusta tai muuta oikeudellista asiakirjaa, jolla määrättäisiin henkilötietojen käsittelijän suorittamaa käsittelyä. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on laiminlyönyt sille rekisterinpitäjänä kuuluvan velvollisuuden laatia edellä mainittu sopimus tai muu oikeudellinen asiakirja.
Apulaistietosuojavaltuutettu toteaa, että henkilötietojen käsittelysopimuksen laatiminen henkilötietojen käsittelijän kanssa on yksi rekisterinpitäjän keskeisistä velvollisuuksista. Sen tarkoituksena on varmistaa yleisen tietosuoja-asetuksen noudattaminen silloin, kun henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Apulaistietosuojavaltuutettu katsoo, että myös hallinnollinen seuraamusmaksu olisi voinut tämän tyyppisessä tapauksessa tulla kyseeseen. Tietosuojalain (1050/2018) 24 §:n 4 momentin mukaan julkishallinnon organisaatiolle ei ole kuitenkaan mahdollista määrätä hallinnollista seuraamusmaksua.
Sovelletut lainkohdat
Perusteluissa mainitut.
Päätös on lainvoimainen.