Henkilötietojen käsittelijät ja tietojen luovuttaminen
Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijällä ei tarkoiteta esimerkiksi rekisterinpitäjän alaisuudessa toimivia työntekijöitä, jotka käsittelevät henkilötietoja osana työtehtäviään vaan tahoa, jolle henkilötietojen käsittely on ulkoistettu. Tällaisia tahoja ovat esimerkiksi kirjanpitäjä, IT-palveluntarjoaja ja markkinointitoimistot, jotka käsittelevät henkilötietoja toisen yrityksen lukuun. Henkilötietojen käsittelijä voi käsitellä henkilötietoja vain rekisterinpitäjän määrittelemiin tarkoituksiin. Henkilötietojen käsittelijä ei voi ryhtyä käsittelemään rekisterinpitäjän lukuun käsiteltäviä tietoja omiin tarkoituksiinsa määrittelemällä henkilötietojen käsittelyn tarkoituksia ja keinoja.
Henkilötietojen käsittelyn ulkoistaminen perustuu aina kirjalliseen sopimukseen, jonka vähimmäissisältö on säädetty tietosuoja-asetuksessa. Alihankinta ei ole mahdollista ilman rekisterinpitäjän lupaa ja käsittelijä vastaa alihankkijan toimista kuten omistaan. Käsittelijän tulee aina:
noudattaa kansainvälisiä tiedonsiirtoa koskevia säännöksiä
toteuttaa asianmukaiset tekniset ja organisatoriset turvatoimet
solmia henkilötietojen käsittelysopimus rekisterinpitäjän kanssa
avustaa rekisterinpitäjää
tehdä yhteistyötä kansallisen valvontaviranomaisen kanssa
Rekisterinpitäjän ja henkilötietojen käsittelijän on dokumentoiva sen vastuulla olevat käsittelytoimet. Käsittelijä myös vastaa suoraan seuraamuksista, mikäli ei noudata edellä mainittuja velvollisuuksia. Henkilötietojen käsittelijän on lisäksi toteutettava riittävät suojatoimet sekä asianmukaiset tekniset ja organisatoriset toimenpiteet. Näillä tarkoitetaan esimerkiksi henkilöstön ohjeistamista, omavalvonnan kautta tapahtuvaa käytönvalvontaa, tietojärjestelmien tietoturvaa ja muita suojatoimenpiteitä tietojen suojaamiseksi.
Henkilötietojen luovuttamisella tarkoitetaan sitä, kun rekisterinpitäjä antaa henkilötietoja kolmannelle osapuolelle ja kyseinen taho käyttää tietoja omiin tarkoituksiinsa eikä rekisterinpitäjän lukuun. Näin ollen esimerkiksi henkilötietojen käsittelyn ulkoistaminen ei ole tietojen luovuttamista. Rekisterinpitäjän oikeus luovuttaa henkilötietoja yrityksen ulkopuolelle määräytyy tietosuoja-asetuksen perusteella. Rekisterinpitäjän tulee ennen henkilötietojen luovuttamista kolmannelle taholle varmistua siitä, että vastaanottajalla on tietosuoja-asetuksen mukainen oikeus ja peruste käsitellä tietoja.