25 huhti Älä allekirjoita auditointirajoituksia!

Monet yritykset lähettelevät tällä hetkellä innokkaasti erilaisia tietosuoja-asetuksen edellyttämiä henkilötietojen käsittelyyn liittyviä sopimusliitteitä. Vaikka asia on outo ja tekisi mieli vaan hoitaa ongelma pois allekirjoituksella, lue ennenkuin allekirjoitat!

Kiinnitän tässä huomiota vaan yhteen asiaan, johon nyt toistuvasti olemme törmänneet. Tänään viimeksi sain asiakkaalla luettavaksi sopimuksen, joka oli käsittelijän näkökulmasta kirjoitettu. Ja tietenkin tekstistä näki sen. Jälleen kerran henkilötietojen käsittelijä pyrki tarpeettomasti rajoittamaan rekisterinpitäjän mahdollisuutta lakisääteiseen oikeuteensa käsittelijään nähden.

Rekisterinpitäjälle on annettu tietosuoja-asetuksessa oikeus suorittaa henkilötietojen käsittelijään kohdistuvia tarkastuksia ja auditointeja.

”…käsittelijä…” ”…sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.”
– 28 artikla, 3 h

Henkilötietojen käsittelijän roolissa oleva taho pyrkii monesti määrittelemään auditoinnille erilaisia rajoituksia. Tällaisia voi olla vaikka ilmoitusvelvollisuus etukäteen, tiettyjen auditoijien kieltäminen tai salliminen tai mahdollisesti jopa suoranainen nimeäminen. Myös kustannuksia käsittelijä pyrkii usein siirtämään rekisterinpitäjälle.

Rekisterinpitäjän kannattaa erityisen tarkkaan harkita, missä määrin haluaa vapaaehtoisesti rajoittaa omaa lakisääteistä oikeuttaan. Etenkin, kun oman vastuun kantaminen saattaa edellyttää tämän oikeuden käyttöä. Valvontaviranomaisten suunnasta viesti on ollut se, että rekisterinpitäjän on myös varauduttava käyttämään tätä oikeuttaan. Jos käsittelijän henkilötietojen käsittelyssä on jotain riskejä, jotka saattaisivat olla tarkastusoikeutta käyttäen ehkäistävissä tai korjattavissa ja rekisterinpitäjä laiminlyö tarkastusoikeutensa käytön, voidaan häntä pitää osasyyllisenä käsittelyriskin toteutumiseen ja sen seurauksiin.

Rekisterinpitäjän ei kannata asettaa itseään tilanteeseen, jossa on vapaaehtoisesti rajoittanut oikeuttaan liiaksi. Esimerkiksi turhien kustannusten aiheuttaminen itselle liian tiukoilla ehdoilla, voi johtaa tilanteeseen, jossa houkutus tarkastuksen laiminlyöntiin voi olla liian suuri ja aiheuttaa myöhemmin liiketoiminnallisten riskien toteutumisen.

Käsittelijöiden olisi myös syytä miettiä, millaisen kuvan he antavat itsestään pyrkimällä rajoittamaan toisen osapuolen lakisääteistä oikeutta. Se vaikuttaa suoraan yrityskuvaan markkinoilla. Esimerkiksi liian pitkät etukäteisilmoitusajat tarkastuksista vihjaavat, että rekisterinpitäjän antamia käsittelyohjeita ei välttämättä ole sopimuksen aloitushetkestä alkaen edes tarkoitus noudattaa.

Lisäksi on olemassa mahdollisuus, että ehdot menevät niin tiukoiksi, että sopimuksissa olevat rajoitukset eivät todellisessa tilanteessa kuitenkaan päde. Laki ja sopimushan eivät voi olla ristiriidassa, vaan laki menee aina edelle.

Hyvä perusohje tasapainoiselle sopimukselle molempien osapuolten välillä on esimerkiksi vähintään seuraavista asioista sopiminen.

• Kustannusvastuu
  • Molemmat osapuolet vastaavat omista kustannuksistaan, ulkopuolista auditoijaa käytettäessä vaatimuksen esittäjä vastaa kustannuksista
• Etukäteisilmoitus tarkastuksesta
  • Kohtuullinen aika on hyvä määritellä, mutta se kannattaa jotenkin kyetä perustelemaan sillä, kauanko käsittelyyn osallistuvan henkilöstön osalta voidaan taata riittävä osallistuminen. Se ei tietenkään voi olla viikkoja, jos käsittelyä tehdään henkilöresurssein joka päivä.
• Suorittamisjankohta
  • Suoritusajankohta on hyvä sopia johonkin yleisesti noudatettavaan työaikaan, esimerkiksi ”arkisin virka-aikana”. Jos käsittelyn ajankohta on tästä poikkeava, voidaan käyttää esimerkiksi käsittelijän tyypillistä aukioloaikaa.
• Ulkopuolinen auditoija
  • Ulkopuolisen auditoijan käytössä on lähtökohtaisesti kyse rekisterinpitäjän oikeuden toteuttamisesta, jolloin rekisterinpitäjän tulisi olla ulkoisen auditoijan valintaprosessista päättävä taho
  • Käsittelijällä voi olla halu rajata ulkopuolelle esimerkiksi markkinoilla toimivat omat suoranaiset kilpailijansa, sillä käsittelijän näkökulmasta tällainen tilanne voi muodostaa merkittävän liiketoiminnallisen riskin
  • Muita perusteltuja syitä voivat olla esimerkiksi osapuolten auditoijaan liittyvät keskinäiset sopimukset tai muut kytkökset.

Muitakin asioita varmaan tulee mieleen ja toimialakohtaisetkin tekijät voivat vaikuttaa sopimuksen lopulliseen tekstiin. Muista kuitenkin miettiä ainakin näitä. Ja toki ne sopimukset kannattaa luettaa mutenkin asiantuntijalla, ellet ole täysin varma, mihin olet suostumassa!

• Jari Ala-Varvi, tietosuojavastaava, Opsec Oy,