Kysymys: Onko yritykseni rekisterinpitäjä vai henkilötietojen käsittelijä?
Mistä tiedän, onko yritykseni rekisterinpitäjä vai henkilötietojen käsittelijä? Jotkut sanovat, että olemme rekisterinpitäjiä, kun taas toiset sanovat, että olemme henkilötietojen käsittelijöitä.
Legalbuddy vastaa
Hei ja kiitos kysymyksestäsi!
Rekisterinpitäjä vai henkilötietojen käsittelijä?
On yleistä, että yritykset luovuttavat toimintansa yhteydessä henkilötietoja muille yrityksille, jotka vastaanottavat ja käsittelevät henkilötietoja toimeksiantajan puolesta. Tällaisissa tapauksissa syntyy suhde ns. rekisterinpitäjän (tietojen toimittaja) ja henkilötietojen käsittelijän (tietojen vastaanottaja) välille.
Mtä eroa on henkilötietojen käsittelijällä ja rekisterinpitäjällä?
Heti kun yrityksesi käsittelee henkilötietoja, se toimii joko rekisterinpitäjänä tai henkilötietojen käsittelijänä.
Rekisterinpitäjä
Rekisterinpitäjä päättää, mitä henkilötietoja käsitellään, mihin tarkoitukseen niitä käsitellään sekä muut käsittelytavat.
Henkilötietojen käsittelijä
Henkilötietojen käsittelijä puolestaan on taho (ihminen tai organisaatio), joka käsittelee henkilötietoja rekisterinpitäjän puolesta ja tämän ohjeiden mukaisesti.
Miten tunnistaa, kummassa roolissa toimii?
Jos haluat selvittää, toimiiko yrityksesi rekisterinpitäjänä vai henkilötietojen käsittelijänä henkilötietojen käsittelyn osalta, hyvä lähtökohta on vastata kysymykseen, päättääkö yrityksesi henkilötietojen käsittelystä ja sen tarkoituksesta.
- Jos yrityksesi päättää näistä asioista, se on rekisterinpitäjä.
- Jos yrityksesi ei päätä näistä asioista, se ei ole rekisterinpitäjä, vaan todennäköisesti henkilötietojen käsittelijä.
Usein yritys toimii molemmissa rooleissa
Sama yritys toimii harvoin ainoastaan rekisterinpitäjänä tai henkilötietojen käsittelijänä. Pilvipalveluntarjoaja, jonka liiketoiminta perustuu henkilötietojen käsittelijänä toimimiseen, on samalla rekisterinpitäjä omien työntekijöidensä ja asiakkaittensa tietojen käsittelyssä.
Henkilötietojen käsittelysopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä
GDPR:n mukaan rekisterinpitäjän ja henkilötietojen käsittelijän välillä on laadittava henkilötietojen käsittelysopimus.
Tietojenkäsittelysopimus säätelee osapuolten välistä suhdetta ja antaa ohjeet henkilötietojen käsittelijälle:
- mitä henkilötietoja käsitellään,
- miten henkilötietoja käsitellään ja
- mikä on käsittelyn tarkoitus
Henkilötietojen käsittelijä saa käsitellä henkilötietoja ainoastaan rekisterinpitäjän antamien ohjeiden mukaisesti. Jos henkilötietojen käsittelijä poikkeaa rekisterinpitäjän ohjeista, se käsittelee tietoja omana rekisterinpitäjänään, mikä voi olla laitonta, jos käsittelylle ei ole asianmukaista tarkoitusta ja laillista perustetta.
Tarvitsetko lisää apua?
Jos sinulla on lisää kysyttävää, voit ottaa meihin yhteyttä!
Käynnistä tietosuojatyösi tehokkaasti kiinteähintaisella paketilla, joka sisältää olennaiset asiakirjat ja asiantuntijaneuvontaa.
Lue lisää palvelustaSaat apua GDPR:n mukaisen tietojenkäsittelysopimuksen laatimiseen – kiinteään hintaan.
Lue lisää palvelusta- Voimmeko julkaista yritystapahtumista kuvia, joissa näkyy tapahtumaan osallistuneita henkilöitä?
- Tarvitaanko konserniin kuuluvien yhtiöiden välille tietojenkäsittelysopimus?
- Milloin ja kenen välillä tietojenkäsittelysopimus pitää solmia?
Tarvitsetko yrityksessäsi oikeudellista voimaa?
Kokeile digitaalista yrityslakimiestämme ilmaiseksi kuukauden ajan - Yrityksille suunnattu lakiasiaintuki ja sopimusten hallinta
Kokeile Legalbuddy Plussaa