GDPR:n tietosuojavaatimukset kilpailutuksissa ja hankintasopimuksissa

GDPR:n tietosuojavaatimukset

EU:n yleisen tietosuoja-asetuksen (GDPR) soveltamisen alkaminen lähestyy. Rekisterinpitäjien ja henkilötietojen käsittelijöiden välisissä toimeksiantosopimuksissa tulisi olla 25.5.2018 lähtien GDPR:n vaatimukset täyttävät sopimuslausekkeet tietosuojasta. Tietosuojavaatimukset tulisi ottaa huomioon myös kilpailutettaessa julkisia hankintoja, kun hankittavalla palvelulla ulkoistetaan henkilötietojen käsittelyä palveluntuottajalle.

1000

Lisätietoja

Charlotta Henriksson

Legal counsel (GDPR, tietosuoja, KPMG Law)

KPMG Suomi

Sähköposti

GDPR:n mukaan rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu. Henkilötietojen käsittelystä o tehtävä rekisterinpitäjän ja henkilötietojen käsittelijän välille GDPR:n mukainen kirjallinen sopimus.

Tyypillisiä henkilötietojen käsittelyyn ja tietosuojaan liittyviä sopimuksia ovat erilaiset ICT-palvelusopimukset, joiden yhteydessä palveluntuottaja saa pääsyn rekisterinpitäjän hallinnoimiin henkilötietoihin. Rekisterinpitäjän  henkilötietojen käsittelijän välisestä suhteesta voi kuitenkin olla kysymys myös silloin, kun henkilötietojen käsittelijä tuottaa muutakin palvelua rekisterinpitäjän puolesta ja lukuun.

Tetosuoja- ja tietoturvakäytännöiltä edellytetään yhä korkeampaa laatutasoa

GDPR-vaatimusten huomioon ottaminen osana kilpailutuksia ja hankintasopimuksia voi tapauksesta riippuen merkitä myös tietoturvaan ja tietojärjestelmien teknisiin vaatimuksiin liittyvien aiheiden tarkastelua. Rekisterinpitäjän tulisi toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi. Tämän mukaisesti rekisterinpitäjän tulisi kussakin tapauksessa arvioida, millaisia tietosuoja- ja tietoturvavaatimuksia on perusteltua asettaa palveluntarjoajille kyseisen hankinnan ja kyseisen toimialan erityispiirteet huomioon ottaen.

Kun tietosuoja- ja tietoturvakäytännöiltä edellytetään yhä korkeampaa laatutasoa, kilpailutuksiin osallistuvien toimijoiden olisi hyvä viimeistään nyt tarkistaa omat käytäntönsä nykytilaselvitysten avulla ja kehittää toimintaansa GDPR:n vaatimustasoa vastaavaksi. GDPR-määräpäivän jälkeen ainoastaan tietosuojan ja tietoturvan laatutasoltaan asianmukaiset toimijat voidaan hyväksyä rekisterinpitäjien henkilötietoja käsitteleviksi kumppaneiksi.

© 2022 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved


For more detail about the structure of the KPMG global organization please visit https://home.kpmg/governance

Ota yhteyttä

 

Kuinka KPMG voi auttaa?

 

loading image Jätä tarjouspyyntö