GDPR:n tietosuojavaatimukset | KPMG | FI
close
Share with your friends

GDPR:n tietosuojavaatimukset kilpailutuksissa ja hankintasopimuksissa

GDPR:n tietosuojavaatimukset

EU:n yleisen tietosuoja-asetuksen (GDPR) soveltamisen alkaminen lähestyy. Rekisterinpitäjien ja henkilötietojen käsittelijöiden välisissä toimeksiantosopimuksissa tulisi olla 25.5.2018 lähtien GDPR:n vaatimukset täyttävät sopimuslausekkeet tietosuojasta. Tietosuojavaatimukset tulisi ottaa huomioon myös kilpailutettaessa julkisia hankintoja, kun hankittavalla palvelulla ulkoistetaan henkilötietojen käsittelyä palveluntuottajalle.

Lisätietoja

Liikejuridiikan asiantuntija

KPMG Suomi

Lähetä viesti

Aiheeseen liittyvää sisältöä

GDPR:n mukaan rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu. Henkilötietojen käsittelystä o tehtävä rekisterinpitäjän ja henkilötietojen käsittelijän välille GDPR:n mukainen kirjallinen sopimus.

Tyypillisiä henkilötietojen käsittelyyn ja tietosuojaan liittyviä sopimuksia ovat erilaiset ICT-palvelusopimukset, joiden yhteydessä palveluntuottaja saa pääsyn rekisterinpitäjän hallinnoimiin henkilötietoihin. Rekisterinpitäjän  henkilötietojen käsittelijän välisestä suhteesta voi kuitenkin olla kysymys myös silloin, kun henkilötietojen käsittelijä tuottaa muutakin palvelua rekisterinpitäjän puolesta ja lukuun.

Tetosuoja- ja tietoturvakäytännöiltä edellytetään yhä korkeampaa laatutasoa

GDPR-vaatimusten huomioon ottaminen osana kilpailutuksia ja hankintasopimuksia voi tapauksesta riippuen merkitä myös tietoturvaan ja tietojärjestelmien teknisiin vaatimuksiin liittyvien aiheiden tarkastelua. Rekisterinpitäjän tulisi toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi. Tämän mukaisesti rekisterinpitäjän tulisi kussakin tapauksessa arvioida, millaisia tietosuoja- ja tietoturvavaatimuksia on perusteltua asettaa palveluntarjoajille kyseisen hankinnan ja kyseisen toimialan erityispiirteet huomioon ottaen.

Kun tietosuoja- ja tietoturvakäytännöiltä edellytetään yhä korkeampaa laatutasoa, kilpailutuksiin osallistuvien toimijoiden olisi hyvä viimeistään nyt tarkistaa omat käytäntönsä nykytilaselvitysten avulla ja kehittää toimintaansa GDPR:n vaatimustasoa vastaavaksi. GDPR-määräpäivän jälkeen ainoastaan tietosuojan ja tietoturvan laatutasoltaan asianmukaiset toimijat voidaan hyväksyä rekisterinpitäjien henkilötietoja käsitteleviksi kumppaneiksi.

Ota yhteyttä

 

Jätä tarjouspyyntö

 

Lähetä