EU:n yleinen tietosuoja-asetus ja muutokset varmennepalvelusopimuksiin

Varmennepalvelut - 06.06.2018

Tausta

EU:n yleinen tietosuoja-asetus 2016/679, jäljempänä asetus, on hyväksytty 14.4.2016 ja sen vaatimukset tulee saattaa voimaan siirtymäajan päättyessä, 25.5.2018 mennessä. Asetuksen kautta vahvistetaan yksilön oikeuksia ja vapauksia ja toisaalta edistetään EU:n digitaalisten sisämarkkinoiden kehittämistä. Siirtymäaikana organisaatioiden tulee varmistaa, että erilaiset käytännöt vastaavat tietosuoja-asetusta sekä tehdä tarvittavat muutokset. VRK:n ja sen yhteistyökumppaneiden toiminta, henkilötietojen käsittely ja henkilötietoja sisältävien rekisterien pito tulee siis saattaa siirtymäaikana, 25.5.2018 mennessä, asetuksen vaatimusten mukaisiksi.

Tietosuoja-asetus koskee niin julkisia kuin yksityisiäkin organisaatioita.

Asetuksen lisäksi henkilötietojen käsittelystä säädetään tarkemmin kansallisessa lainsäädännössä. Kansallisen lainsäädännön asettamat vaatimukset on myös erikseen huomioitava.

Hallitus on antanut eduskunnalle ehdotuksen uudeksi kansalliseksi tietosuojalaiksi. Tietosuojalaki tulisi esityksen mukaan voimaan 25.5.2018, kun myös EU:n yleistä tietosuoja-asetusta ryhdytään soveltamaan.

Varmennepalvelusopimuksiin sisällytettävät muutokset

VRK tekee varmennepalveluasiakkaidensa kanssa asiakassopimuksen ja varmenteiden rekisteröijinä toimivien organisaatioiden kanssa myös rekisteröintisopimuksen. Asiakas- ja rekisteröintisopimuksiin tullaan sisällyttämään asetuksen vaatimukset huomioivat tietosuojaehdot. 

Asiakas- ja rekisteröintisopimukset

VRK on rekisterinpitäjä ja VRK:n lukuun toimivat organisaatioiden rekisteröijät ovat henkilötietojen käsittelijöitä. Erityisesti näihin rooleihin liittyen asiakas- ja rekisteröintisopimuksiin lisätään 25.5.2018 alkaen sovellettava liite henkilötietojen käsittelystä. Liitteeseen sisältyy ehdot tietosuojasääntelyn mukaisesta henkilötietojen käsittelystä sekä rekisterinpitäjän ja henkilötietojen käsittelijän oikeuksista, velvollisuuksista ja vastuista.

Sopimuksen rekisteröintiohjetta täydennetään 25.5.2018 alkaen sovellettavalla erillisellä tietosuojaliitteellä, johon on koottu keskeisiä rekisteröinnissä huomioitavia ja tietosuojaan liittyviä asioita. Näihin asioihin sisältyy mm. se, että miten toiminnassa tulee käytännössä huomioida rekisteröityjen (varmenteenhaltijoiden) asetuksen mukainen informointi ja oikeuksien toteutuminen (esim. oikeus saada tietää rekisterissä olevat henkilötietonsa ja oikeus saada virheelliset tiedot korjatuiksi).

Sopimukseen liitetään ohje tietoturva- tai tietosuojapoikkeamien käsittelystä henkilötietoja sisältävissä palveluissa. Ohje kuvaa VRK:n ja varmennerekisteröijän/sopimuskumppanin välisen ilmoitus- ja yhteistyömenettelyn tietoturva- tai tietosuojapoikkeaman yhteydessä.

Niiden asiakkaiden ja rekisteröijien kanssa, jotka ovat tehneet VRK:n varmennepalvelusopimukset ennen asetuksen soveltamisajankohtaa 25.5.2018, otetaan alla mainitut tietosuojaliitteet osaksi voimassa olevia asiakas- ja rekisteröintisopimuksia ilman erillisten muutossopimusten laatimista.

Asiakas- ja rekisteröintisopimuksiin sisällytettävät tietosuojaa koskevat liitteet:

  1. Henkilötietojen käsittelyn ehdot
  2. Tietosuojaliite (täydentää sopimuksen liitteenä olevaa Rekisteröintiohjetta)
  3. Ohje tietoturva- tai tietosuojapoikkeamien käsittelystä henkilötietoja sisältävissä palveluissa

Varmennepalvelusopimusten liiteluettelossa nämä liitteet sijoittuvat Rekisteröintiohjeen yhteyteen.

Organisaation tulee ottaa nämä liitteet osaksi voimassa olevaa asiakassopimustaan ja rekisteröintisopimustaan.

Mikäli organisaatio haluaa sopimusmuutosten perusteella päättää voimassaolevan sopimuksensa, noudatetaan sopimuksen mukaisia ehtoja sopimuksen päättämisestä.

Muu sopimussuhteeseen liittyvä aineisto

VRK:n Asiakaspalvelun koulutusmateriaali

Koulutusmateriaalissa on myös huomioitu tietosuojavaatimukset. Koulutusmateriaalissa käsitellään mm. rekisteröijän toimintaa/asiakaspalvelua rekisteröintipisteessä sekä varmenteiden tilaus- ja hallintajärjestelmä Vartissa.

Koulutusmateriaalin tietosuojaosio koostuu edellä mainitusta rekisteröintiohjeen tietosuojaliitteestä sekä tietosuojakysymysten koosteesta. Rekisteröintiohjeen tietosuojaliite on saatavilla tämän tiedotteen yhteydessä, tietosuojakysymysten kooste valmistuu ja toimitetaan saataville myöhemmin.

Seloste käsittelytoimista

Niin rekisterinpitäjän kuin henkilötietojen käsittelijän on ylläpidettävä kirjallista ja sähköisessä muodossa olevaa selostetta kaikista henkilötietojen käsittelytoimista.

VRK:n puolesta henkilötietoja käsittelevien organisaatioiden/varmennerekisteröijien tulee täyttää ja toimittaa VRK:lle henkilötietojen käsittelijän seloste käsittelytoimista.

Henkilötietojen käsittelijän seloste käsittelytoimista (mallipohja) ohjeineen on saatavilla Tietosuojavaltuutetun verkkosivuilla.

VRK:n oma ohjeistus koskien henkilötietojen käsittelijän selostetta käsittelytoimista on lisäksi saatavilla tämän tiedotteen yhteydessä.

VRK:n oma ohjeistus koskien henkilötietojen käsittelijän selostetta käsittelytoimista

Halutessaan organisaatio voi myös käyttää omaa selostepohjaa.

Lisätietoja

Sopimusten sisältöön liittyvät tiedustelut:
Väestörekisterikeskus, Varmennehallintopäällikkö Katja Lingonheimo
etunimi.sukunimi@vrk.fi
puh: 0295 535 260

Sopimusten sisältöön ja sopimusten laatimiseen liittyvät yhteydenotot:
Väestörekisterikeskus, Asiakkuuspäällikkö Ari Häkli
etunimi.sukunimi@vrk.fi
puh: 0295 535 224