Siirry sisältöön
Skip to page content

3. Sovi henkilötietojen käsittelystä

Jos harrastustoiminnan järjestäjä käyttää henkilötietojen käsittelyyn ulkopuolista tahoa, sen on huolehdittava, että henkilötietojen käsittelystä laaditaan kirjallinen henkilötietojen käsittelysopimus. Sopimuksella varmistetaan, että henkilötietojen käsittelyä koskevat velvoitteet toteutetaan myös silloin, kun henkilötietojen käsittelijä käsittelee henkilötietoja harrastustoimijan lukuun.

Ennen sopimuksen laatimista on hyvä tunnistaa henkilötietojen käsittelyn roolit: mikä taho on rekisterinpitäjä ja mikä henkilötietojen käsittelijä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijä voi esimerkiksi olla palkanlaskija, joka laskee ja maksaa harrastustoimijan työntekijöiden palkat. Harrastustoiminnan järjestäjä on tässä tilanteessa rekisterinpitäjä, sillä se määrittelee, keille palkkaa maksetaan ja millä perusteella.

Rekisterinpitäjä voi ulkoistaa henkilötietojen käsittelyä vain sellaisille käsittelijöille, joilla on käytössä riittävät suojatoimet tietosuojan varmistamiseksi.

Esimerkki

Judoseuralla on käytössä ulkopuolisen IT-toimittajan toiminnanohjausjärjestelmä, jossa käsitellään seuran harrastajien henkilötietoja. IT-toimittaja on henkilötietojen käsittelijä järjestelmässä käsiteltävien harrastajien henkilötietojen osalta ja judoseura on rekisterinpitäjä. Seura tekee kirjallisen sopimuksen IT-toimittajan kanssa henkilötietojen käsittelystä toiminnanohjausjärjestelmässä, jotta se voi varmistua siitä, että IT-toimittaja noudattaa seuran tekemiä tietosuojalinjauksia ja henkilötietojen käsittelyyn liittyviä velvollisuuksia.

Sopimuksessa rekisterinpitäjä ja henkilötietojen käsittelijä sopivat, miten henkilötietojen käsittelijän tulee käsitellä ja suojata käsittelemänsä henkilötiedot. Sopimuksessa tulee määritellä muun muassa henkilötietojen käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Henkilötietojen käsittelijän on lisäksi varmistettava, että sen alaisuudessa toimivat henkilöt, joilla on pääsy henkilötietoihin, käsittelevät niitä vain rekisterinpitäjän ohjeiden mukaisesti.

Muista

Laadi henkilötietojen käsittelysopimukset ulkopuolisten palveluntarjoajien kanssa, kun ne käsittelevät henkilötietoja harrastustoimijan puolesta.

2. Kuvaa harrastustoiminnan järjestäjän tekemää henkilötietojen käsittelyä selosteella käsittelytoimista
4. Arvioi henkilötietojen käsittelyn riskit ja vaikutukset