Tietojenkäsittelypalvelujen ulkoistaminen ja EU:n ulkopuoliset alihankkijat

Dnro 1029/41/2006
28.7.2006

Tietosuojavaltuutetulta kysyttiin kantaa EU-mallisopimuslausekkeiden käyttöä koskevaan kysymykseen.

Yhtiön tarkoituksena oli siirtää tietojenkäsittelypalvelu tuotettavaksi ulkoiselle palveluntarjoajalle. Palvelu tuotettaisiin osittain EU:n ja ETA:n ulkopuolisten alihankkijoiden toimesta, missä yhteydessä EU:n ulkopuoliset alihankkijat pääsisivät lukemaan asiakkaan tietokannoissa ja sovelluksissa olevia henkilötietoja.

Tietosuoja asiakkaan henkilötiedoille oli tarkoitus järjestää EU-mallisopimuslausekkeiden mukaisten sopimusten avulla.

Yhtiö kysyi kannanottoa kysymykseen, tuleeko EU-mallisopimuslausekkeet tehdä

a) OY AB:n asiakkaan ja kolmannen maan alihankkijan välille, vai

b) voidaanko se tehdä OY AB:n ja kolmannen maan alihankkijan välille.

Tietosuojavaltuutettu totesi seuraavaa:

Toimeksiantosuhteessa palveluntuottaja vastaa henkilötietojen käsittelystä osapuolten välillä tehtävän toimeksiantosopimuksen mukaisesti. Toimeksiantosuhteessa palveluntuottajasta ei kuitenkaan tule rekisterinpitäjää, vaan toimeksiantajalla säilyy vastuu henkilötietojen käsittelyn lainmukaisuudesta.

Henkilötietolain 32.2 §:n mukaan, sen joka itsenäisenä elinkeinonharjoittajana toimii rekisterinpitäjän lukuun (toimeksiannon saaja), on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle (toimeksiantajalle) asianmukaiset sitoumukset ja muutoin riittävät takeet henkilötietojen suojaamiseksi.

Käyttäessään alihankkijoita, palveluntuottajan on pystyttävä antamaan toimeksiantajalle asiamukaiset sitoumukset siitä, että koko henkilötietojen siirtoketju on tietojen suojaamisessa tullut asianmukaisesti huomioiduksi. Alihankkijoita tulee koskea tietoturvan ja tietosuojan osalta samat vaatimukset kuin toimeksiannon saajaakin. Toimeksiantosopimuksessa (OY AB:n asiakas ja OY AB) tulisi määritellä, millä ehdoilla ja mitä menettelytapoja noudattaen alihankkijoita voidaan käyttää.

Toimeksiannon saajan käyttämän alihankkijan sijaitessa EU:n ulkopuolella, tulevat henkilötietojen ulkomaille siirtämistä koskevat säännökset sovellettavaksi. Henkilötietolain 23 §:n 8 kohdan mukaan henkilötietoja voidaan siirtää, jos siirto tapahtuu komission hyväksymiä mallisopimuslausekkeita käyttäen.

Toimeksiannon saajan ulkoistaessa palvelunsa tuottamisen kolmannen maan alihankkijalle, vastuu henkilötietojen käsittelyn lainmukaisuudesta säilyy edelleen toimeksiantajalla (asiakkaalla), eikä toimeksiantajaa siten voida jättää tietojen siirtoa koskevan mallisopimuksen ulkopuolelle. Näin ollen, henkilötietojen siirtoa koskeva EU-mallisopimuslausekkeet tulee käsitykseni mukaan solmia toimeksiantajan ja tietoja kolmannessa maassa käsitelevän alihankkijan välille.

Lisätiedot:

Kts. tietosuojavaltuutetun toimiston oppaat "Henkilötietojen käsittelyn ulkoistaminen, yhteiset tietojärjestelmät, verkottuminen ja niihin liittyvät sopimukset" sekä "Henkilötietojen siirto ulkomaille henkilötietolain mukaan"

 
Julkaistu 27.8.2015