Joint Controller Agreement Finland

Rekisterinpitäjien yhteissopimus Suomessa on yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 1 kohdan edellyttämä kirjallinen järjestely, jonka kaksi tai useampi yhteisrekisterinpitäjä solmii käsitellessään henkilötietoja yhdessä yhteisiin tarkoituksiin. Yhteissopimus on pakollinen aina, kun kaksi tai useampi rekisterinpitäjä yhdessä määrittää käsittelyn tarkoitukset ja keinot yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 1 kohdan mukaisesti.

Yhteisrekisterinpitäjyys tarkoittaa, että kaksi tai useampi organisaatio yhdessä päättää siitä, mihin tarkoituksiin ja millä keinoin henkilötietoja käsitellään. Kyse ei ole alisteisesta suhteesta kuten rekisterinpitäjän ja käsittelijän välillä (yleinen tietosuoja-asetus (EU 2016/679) 28 artikla), vaan molemmilla on tasavertainen tai sovittu rooli käsittelyn tarkoitusten määrittämisessä. Yhteisrekisterinpitäjyys on usein tunnistettu vaikeaksi käsitteeksi käytännön tietosuojatyössä, mutta Euroopan unionin tuomioistuimen ja tietosuojavaltuutetun toimiston oikeuskäytäntö on selventänyt sen soveltamisalaa.

Yhteisrekisterinpitäjyyttä esiintyy tyypillisesti konsernin sisällä, kun emo- ja tytäryhtiöt jakavat yhteisen asiakasrekisterin tai HR-järjestelmän ja molemmat tekevät päätöksiä tietojen käyttötarkoituksista. Sama tilanne syntyy yhteismarkkinointikampanjoissa, joissa kaksi organisaatiota yhdessä kerää ja käsittelee potentiaalisten asiakkaiden yhteystietoja. Euroopan unionin tuomioistuin on tuomiossaan C-210/16 (Facebook Fanpage) vahvistanut, että jo yksipuolinen vaikuttaminen käsittelyn tarkoituksiin voi muodostaa yhteisrekisterinpitäjyyden.

Tietojenkäsittelysopimus (yleinen tietosuoja-asetus (EU 2016/679) 28 artikla) ja rekisterinpitäjien yhteissopimus (yleinen tietosuoja-asetus (EU 2016/679) 26 artikla) ovat eri asiakirjoja, joita käytetään eri tilanteissa. Tietojenkäsittelysopimus solmitaan rekisterinpitäjän ja tätä palvelevan käsittelijän välillä; käsittelijä ei käytä tietoja omiin tarkoituksiinsa. Yhteissopimus solmitaan kahden rekisterinpitäjän välillä, jotka molemmat käyttävät tietoja omiin tarkoituksiinsa tai yhteisiin tarkoituksiin.

Yhteissopimuksen erityinen merkitys on vastuunjaon selkeyttäminen. Ilman sopimusta molemmat yhteisrekisterinpitäjät voivat olla täysimääräisesti vastuussa toisensa tietosuojarikkomuksista, koska rekisteröity voi vaatia korvausta kummaltakin. Yhteissopimus jakaa vastuun selkeästi ja määrittää, kumpi taho vastaa mistäkin velvollisuudesta. Tietosuojavaltuutetun toimisto pitää yhteissopimuksen puuttumista rikkomuksena yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan mukaisesti.

Rekisteröidyn oikeuksien toteuttaminen on yhteissopimuksen ydinsisältöä. Yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 1 kohdan mukaisesti yhteisrekisterinpitäjien on läpinäkyvällä tavalla järjestettävä vastuunsa rekisteröidyn oikeuksien käyttämisen osalta. Rekisteröidyllä on oikeus käyttää oikeuksiaan kumpaa tahansa yhteisrekisterinpitäjää vastaan riippumatta siitä, kumpi on ensisijainen yhteystaho. Ensisijainen yhteystaho koordinoi käytännön vastaamista.

Läpinäkyvyysvelvollisuus on keskeinen. Yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 2 kohdan mukaisesti rekisteröidyille on asetettava saataville yhteissopimuksen oleelliset osat, mukaan lukien tieto siitä, mikä on ensisijainen yhteystaho. Tätä voidaan toteuttaa tietosuojaselosteen kautta. forms-legal.com tarjoaa erillisen tietosuojaselostemallin, joka täydentää yhteissopimusta.

Suomalaisessa tietosuojakäytännössä yhteissopimukset ovat ajankohtaisia erityisesti konsernirakenteissa, yhteismarkkinointihankkeissa, terveydenhuollon yhteisrekistereissä ja yhteisissä HR-järjestelmissä. Tietosuojavaltuutetun toimisto on antanut ohjeistusta yhteisrekisterinpitäjyyden tunnistamisesta ja yhteissopimusten sisällöstä suomalaisten organisaatioiden tarpeisiin.

Rekisterinpitäjien yhteissopimus Suomessa tarvitaan aina, kun kaksi tai useampi organisaatio yhdessä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 1 kohdan mukaisesti.

Konsernin sisäiset yhteisrekisterit. Emo- ja tytäryhtiöt, jotka jakavat yhteisen asiakasrekisterin, HR-järjestelmän tai markkinointitietokannan ja joista kumpikin tekee päätöksiä tietojen käyttötarkoituksista, ovat yhteisrekisterinpitäjiä. Konsernin CRM-järjestelmä, johon useampi konserniyhtiö syöttää asiakastietojaan, on tyypillinen esimerkki. Tällaisessa tilanteessa on solmittava konsernin sisäinen yhteissopimus.

Yhteismarkkinointikampanjat. Kaksi yritystä, jotka yhdessä järjestävät kilpailun, tapahtuman tai muun yhteismarkkinointikampanjan ja keräävät osallistujien yhteystietoja, ovat yhteisrekisterinpitäjiä yhteisen kampanjan osalta. Kampanjan päätyttyä kukin voi olla itsenäinen rekisterinpitäjä omassa suhteessaan kerättyihin tietoihin, mutta kampanjan aikana yhteissopimus on tarpeen.

Sosiaalisen median alustojen käyttö. Euroopan unionin tuomioistuimen tuomion C-210/16 (Facebook Fanpage 2018) mukaisesti Facebook-fanisivun ylläpitäjä on yhteisrekisterinpitäjä Metan (Facebook) kanssa fanisivun kävijöiden seurannan osalta. Tietosuojavaltuutetun toimisto on soveltanut tätä periaatetta myös Suomessa. Käytännössä useimmat organisaatiot, joilla on Facebook-sivu, Instagram- tai LinkedIn-yrityssivu, ovat yhteisrekisterinpitäjiä alustan tarjoajan kanssa. Yhteissopimus ei välttämättä tarkoita neuvottelumahdollisuutta alustan kanssa — Meta tarjoaa vakiomäärittelyn, jonka fanisivun ylläpitäjät hyväksyvät.

Terveydenhuollon yhteisrekisterit. Terveydenhuollon toimijat, kuten usean erikoisalan lääkäriasemat tai sairaanhoitopiirin ja kunnan yhteiset potilasrekisterit, voivat olla yhteisrekisterinpitäjiä. Terveydenhuollon erityissääntelyyn liittyy lisäksi laki potilaan asemasta ja oikeuksista (785/1992), jota on sovellettava yhteissopimuksen rinnalla.

Tutkimushankkeet. Useamman organisaation yhteiset tutkimushankkeet, joissa kukin organisaatio osallistuu aineistonkeruuseen ja käsittelyyn yhteistä tutkimustarkoitusta varten, ovat usein yhteisrekisterinpitäjyyssuhteessa. Tietosuojalaki (1050/2018) sisältää erityissäännöksiä tieteellisestä tutkimuksesta ja yhteisrekisterinpitäjyyden soveltamisesta tutkimushankkeissa.

Julkishallinnon yhteistoiminta. Kahden tai useamman viranomaisen yhteistoiminta, jossa viranomaiset yhdessä käsittelevät kansalaisten tietoja yhteisiin hallinnollisiin tarkoituksiin, voi muodostaa yhteisrekisterinpitäjyyden. Suomalaiset viranomaiset ovat solmineet yhteissopimuksia esimerkiksi yhteisten asiakastietojärjestelmien yhteydessä.

Brändikumppanuudet ja franchising. Franchising-antaja ja -ottaja voivat olla yhteisrekisterinpitäjiä asiakastietojen osalta, jos molemmat vaikuttavat käsittelyn tarkoituksiin ja keinoihin. Sama koskee brändi- ja lisenssiyhteistyötä, jossa molemmilla osapuolilla on pääsy yhteisiin asiakastietoihin.

Konsultti- ja asiantuntijaverkostot. Konsulttiyritykset, jotka toimivat verkostomaisesti ja jakavat asiakasrekisteriä tai CRM-järjestelmää muiden verkostokumppanien kanssa, voivat olla yhteisrekisterinpitäjiä. Tässä tilanteessa yhteissopimus on oleellinen, koska kukin verkostokumppani voi tehdä itsenäisiä päätöksiä asiakkaiden tietojen käyttötarkoituksista. Tietosuojavaltuutetun toimiston ohjeistuksen mukaan yhteissopimuksen puuttuminen tällaisessa tilanteessa on suoraan yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan rikkomus.

Kattava Rekisterinpitäjien yhteissopimus Suomessa sisältää seuraavat osatekijät yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan vaatimusten täyttämiseksi.

Osapuolten yksilöinti. Sopimuksessa on yksilöitävä kaikki yhteisrekisterinpitäjät nimellä, Y-tunnuksella ja yhteystiedoilla. Selkeä osapuolten yksilöinti on oleellista vastuunjaon kannalta — rekisteröidyn on tiedettävä, keiltä hän voi pyytää oikeuksiensa toteuttamista. Suomalaisten yhteissopimuksen osapuolten Y-tunnus on tärkeä identifiointitieto tietosuojavaltuutetun toimiston valvontaa varten.

Yhteisen käsittelyn kuvaus. Sopimuksessa on kuvattava konkreettisesti, mitä henkilötietoja käsitellään yhdessä, minkä järjestelmän tai alustan kautta ja mitkä ovat käsittelyn yhteiset tarkoitukset. Kuvaus on oltava riittävän tarkka, jotta on selvää, missä yhteinen rekisterinpitäjyys alkaa ja päättyy. Käsiteltävät henkilötietoryhmät ja rekisteröityjen ryhmät on mainittava.

Vastuunjako yleisen tietosuoja-asetuksen (EU 2016/679) velvollisuuksista. Sopimuksen ydinsisältö on vastuunjako yleisen tietosuoja-asetuksen (EU 2016/679) velvollisuuksien täyttämisestä. Tämä kattaa informointivelvollisuuden (13 ja 14 artikla), rekisteröidyn oikeuksien toteuttamisen (15–22 artikla), tietoturvasta vastaavan (32 artikla) sekä tietoturvaloukkausten ilmoittamisen (33 artikla). Vastuunjako voi olla tehtäväkohtainen tai aluekohtainen, kunhan se on selkeä ja dokumentoitu.

Ensisijainen yhteystaho rekisteröidyille. Yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 1 kohdan mukaisesti yhteisrekisterinpitäjien on nimettävä ensisijainen yhteystaho rekisteröidyille. Ensisijainen yhteystaho vastaanottaa ja koordinoi rekisteröidyn oikeuksia koskevia pyyntöjä. Rekisteröidyllä on kuitenkin aina oikeus lähestyä kumpaa tahansa yhteisrekisterinpitäjää yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 3 kohdan mukaisesti.

Läpinäkyvyys rekisteröidyille. Yhteissopimuksen oleelliset osat on asetettava rekisteröidyille saataville yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 2 kohdan mukaisesti. Tämä tarkoitetaan käytännössä, että tietosuojaselosteessa on mainittava yhteisrekisterinpitäjyydestä ja ensisijaisesta yhteystahosta. Täyttä sopimustekstiä ei tarvitse julkaista, mutta oleellinen sisältö on kerrottava rekisteröidyille. forms-legal.com -tietosuojaselostemalli auttaa tässä.

Käsittelyn oikeusperuste. Kumpikin yhteisrekisterinpitäjä on vastuussa siitä, että sen omaan käsittelyyn on asianmukainen oikeusperuste yleisen tietosuoja-asetuksen (EU 2016/679) 6 artiklan mukaisesti. Jos käsittely perustuu suostumukseen, on sovittava, kumpi kerää suostumuksen ja miten se dokumentoidaan. Yhteissopimuksessa on käsiteltävä myös, miten oikeusperustetta hallitaan yhteisen käsittelyn muuttuessa.

Tietoturva ja vaaratilannetoiminta. Sopimuksessa on sovittava, miten tekniset ja organisatoriset turvatoimet toteutetaan yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaisesti yhteisen käsittelyn osalta. Tietoturvaloukkauksen sattuessa molemmilla yhteisrekisterinpitäjillä on itsenäinen ilmoitusvelvollisuus tietosuojavaltuutetun toimistolle 72 tunnin kuluessa yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan mukaisesti. Sopimuksessa on sovittava tiedonvaihdosta loukkaustilanteissa.

Siirrot EU:n ulkopuolelle. Jos yhteiseen käsittelyyn liittyy siirtoja EU:n ja ETA:n ulkopuolelle, molemmat yhteisrekisterinpitäjät ovat vastuussa siitä, että siirrot perustuvat yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaiseen suojatoimeen. Sopimuksessa on käsiteltävä, miten siirtoja hallitaan ja kuka vastaa siirtoperusteen dokumentoinnista.

Konsernin sisäiset yhteissopimukset. Konsernirakenteessa, jossa useampi konserniyhtiö käsittelee yhteisessä CRM-järjestelmässä asiakastietoja, yhteissopimus on usein koko konsernia kattava kehyssopimus, jota täydennetään tarvittaessa yhtiökohtaisilla liitteillä. Konsernin sisäinen yhteissopimus voi määrittää emoyhtiön ensisijaiseksi yhteystahoksi koko konsernin osalta, mikä yksinkertaistaa rekisteröidyn oikeuksien hallintaa. Tietosuojavaltuutetun toimisto on hyväksynyt tämän lähestymistavan, edellyttäen että jokainen konserniyhtiö on selkeästi yksilöity ja rekisteröidylle informoidaan konsernin tietosuojaselosteessa yhteisrekisterinpitäjyydestä. Konserniyhteissopimukseen on liitettävä ajantasainen lista mukana olevista yhtiöistä ja heidän roolistaan.

Rekisterinpitäjien yhteissopimus Suomessa täytetään seuraavien vaiheiden mukaisesti yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan vaatimusten täyttämiseksi.

Vaihe 1 — Tunnista yhteisrekisterinpitäjyys. Ennen sopimuksen kirjoittamista on varmistettava, että kyseessä on todella yhteisrekisterinpitäjyys eikä rekisterinpitäjä-käsittelijä-suhde. Kysymys on: määrittääkö toinen organisaatio itse käsittelyn tarkoitukset (yhteisrekisterinpitäjä) vai toimiiko se vain ohjeistuksen toteuttajana (käsittelijä)? Jos molemmilla on harkintavalta tietojen käyttötarkoituksista, kyseessä on yhteisrekisterinpitäjyys.

Vaihe 2 — Ilmoita osapuolten tiedot. Merkitse kaikkien yhteisrekisterinpitäjien täydelliset nimet, Y-tunnukset ja osoitteet. Varmista, että tiedot vastaavat kaupparekisteritietoja. Jos osapuoli on ulkomainen yritys, ilmoita vastaava yritystunnus ja kotimaa.

Vaihe 3 — Kuvaa yhteinen käsittely. Kirjoita konkreettinen kuvaus yhteisen käsittelyn kohteesta, tarkoituksista, henkilötietoryhmistä ja rekisteröityjen ryhmistä. Kuvauksen on oltava riittävän tarkka — liian yleinen kuvaus ei täytä yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan vaatimuksia.

Vaihe 4 — Päätä vastuunjaosta. Sovi selkeästi, kumpi yhteisrekisterinpitäjä vastaa mistäkin velvollisuudesta: informointivelvollisuus, rekisteröidyn oikeuksien koordinointi, tietoturva, loukkausilmoitukset. Dokumentoi nämä sopimukseen täsmällisesti.

Vaihe 5 — Nimeä ensisijainen yhteystaho. Päätä, kumpi yhteisrekisterinpitäjä toimii ensisijaisena yhteystahona rekisteröidyille yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 1 kohdan mukaisesti. Tämä ei poista toisen yhteisrekisterinpitäjän vastuuta, mutta selkeyttää käytännön yhteydenpitoa rekisteröidyille.

Vaihe 6 — Päivitä tietosuojaselosteet. Varmista, että kummankin osapuolen tietosuojaselosteessa mainitaan yhteisrekisterinpitäjyydestä ja ensisijaisesta yhteystahosta yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 2 kohdan mukaisesti. Tietosuojaseloste voi olla yhteinen tai erillinen.

Vaihe 7 — Allekirjoita sopimus. Molempien osapuolten valtuutettujen edustajien on allekirjoitettava sopimus. Sopimus voidaan tehdä sähköisesti tai fyysisesti. Hyvä käytäntö on arkistoida sopimus ja sen muutokset tietosuojavaltuutetun toimiston mahdollisia tarkastuksia varten.

Vaihe 8 — Tarkista konsernin muut yhteissopimukset. Jos organisaatio toimii konsernissa, tarkista, onko olemassa emoyhtiön tai konserniyhtiöiden välisiä yhteissopimuksia, joita on päivitettävä. Uudet konserniyhtiöt tai yhteisyritysjärjestelyt voivat luoda uusia yhteisrekisterinpitäjyystilanteita, jotka edellyttävät oman yhteissopimuksen. Hyvä tietosuojakäytäntö on päivittää kaikki yhteissopimukset samalla kertaa, kun yleistä tietosuoja-asetusta (EU 2016/679) koskeva ohjaus tai kansallinen käytäntö muuttuu oleellisesti.

Vaihe 9 — Seuraa Euroopan unionin tuomioistuimen ratkaisuja. Yhteisrekisterinpitäjyyden soveltamisala kehittyy EU-oikeuskäytännön mukana. Viimeisimmät merkittävät tuomiot (C-210/16 Facebook Fanpage 2018, C-40/17 Fashion ID 2019) ovat laajentaneet soveltamisalaa merkittävästi. Suositus on seurata tietosuojavaltuutetun toimiston ohjeistusta ja tarvittaessa konsultoida asiantuntijaa, kun epäillään yhteisrekisterinpitäjyyden syntymistä uudessa tilanteessa.

Rekisterinpitäjien yhteissopimus Suomessa kuuluu yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan ja tietosuojalain (1050/2018) sääntelyn piiriin.

Yhteisrekisterinpitäjyys yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan mukaisesti. Jos kaksi tai useampi rekisterinpitäjä yhdessä määrittää käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Niiden on läpinäkyvällä tavalla järjestettävä vastuunsa asetuksen velvoitteiden täyttämisestä, erityisesti rekisteröidyn oikeuksien käyttämistä ja 13 ja 14 artiklan mukaista informointia varten, sopimuksen avulla, jollei EU:n tai jäsenvaltion lainsäädäntö, jota yhteisrekisterinpitäjiin sovelletaan, toisin säädä. Sopimuksen oleelliset osat on asetettava rekisteröidyjen saataville 26 artiklan 2 kohdan mukaisesti.

Rekisteröidyn oikeus lähestyä kumpaa tahansa yhteisrekisterinpitäjää. Yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 3 kohdan mukaisesti rekisteröity voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan kumpaa tahansa yhteisrekisterinpitäjää kohtaan ja tätä vastaan, riippumatta yhteisrekisterinpitäjien keskinäisestä vastuunjaosta. Tämä tarkoittaa, että kumpikin yhteisrekisterinpitäjä voi joutua vastuuseen tietosuojaloukkauksesta, vaikka kyseinen velvollisuus olisi sopimuksessa osoitettu toiselle osapuolelle.

Euroopan unionin tuomioistuimen oikeuskäytäntö. Euroopan unionin tuomioistuin on antanut useita tuomioita yhteisrekisterinpitäjyyden soveltamisalasta. Tuomiossa C-210/16 (Facebook Fanpage, 2018) tuomioistuin totesi, että sosiaalisen median fanisivun ylläpitäjä on yhteisrekisterinpitäjä alustan tarjoajan kanssa kävijätilastoinnin osalta. Tuomiossa C-40/17 (Fashion ID, 2019) tuomioistuin vahvisti, että tykkäysnapin asentaminen sivustolle voi tehdä sivuston ylläpitäjästä yhteisrekisterinpitäjän. Nämä tuomiot vaikuttavat suomalaisten verkkosivustojen ylläpitäjiin.

Tietosuojavaltuutetun toimiston ohjeistus. Tietosuojavaltuutetun toimisto on antanut ohjeistusta yhteisrekisterinpitäjyyden tunnistamisesta ja yhteissopimusten sisällöstä. Viranomainen on korostanut, että yhteissopimuksen puuttuminen on itsessään rikkomus, josta voidaan määrätä hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan mukaisesti.

Hallinnolliset seuraamusmaksut yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan mukaisesti. Yhteissopimuksen puuttuminen tai sen läpinäkyvyysvelvollisuuden laiminlyönti on rikkomus, josta voidaan määrätä seuraamusmaksu enintään 10 miljoonaa euroa tai kaksi prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi. Yhteisrekisterinpitäjät ovat solidaarisesti vastuussa rekisteröidylle aiheutuneesta vahingosta yleisen tietosuoja-asetuksen (EU 2016/679) 82 artiklan mukaisesti, ellei sisäisestä vastuunjaosta johtuen voida osoittaa, että vahingosta vastuussa on yksinomaan toinen rekisterinpitäjä.

Osoitusvelvollisuus yleisen tietosuoja-asetuksen (EU 2016/679) 5 artiklan 2 kohdan mukaisesti. Yhteisrekisterinpitäjien on pystyttävä osoittamaan tietosuojavaltuutetun toimistolle, että yhteissopimus on olemassa ja sen oleelliset osat on asetettu rekisteröityjen saataville. Sopimus on säilytettävä ja dokumentoitava asianmukaisesti. Tietosuojavaltuutetun toimisto voi pyytää yhteissopimuksen nähtäväksi valvontamenettelyssä. Sopimuksen puuttuminen voi johtaa huomautukseen tai seuraamusmaksuun yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan mukaisesti. Hyvä käytäntö on tarkistaa kaikki yhteissopimukset kahden vuoden välein ja aina, kun osapuolten väliset käsittelyjärjestelyt muuttuvat oleellisesti konsernirakenteen muutosten tai uusien yhteistyösopimusten myötä.

Tavanomaiset virheet Rekisterinpitäjien yhteissopimus Suomessa laadinnassa voivat johtaa siihen, ettei yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan velvollisuuksia täytetä. Tietosuojavaltuutetun toimisto on linjannut, että yhteissopimuksen puuttuminen on itsessään rikkomus, ja Euroopan unionin tuomioistuimen tuomiot C-210/16 ja C-40/17 ovat laajentaneet yhteisrekisterinpitäjyyden soveltamisalaa merkittävästi. Erityisesti sosiaalisen median integraatiot ovat jääneet monilta organisaatioilta huomiotta.

Virhe 1 — Yhteisrekisterinpitäjyyttä ei tunnisteta. Yleisin virhe on, ettei organisaatio tunnista olevansa yhteisrekisterinpitäjä — erityisesti suhteessa sosiaalisen median alustoihin, konsernikumppaneihin tai yhteistyökumppaneihin. Ratkaisu: arvioi jokainen tilanne, jossa toinen organisaatio vaikuttaa siihen, mihin tarkoituksiin henkilötietoja käsitellään, potentiaalisena yhteisrekisterinpitäjyystilanteena.

Virhe 2 — Sopimus puuttuu kokonaan. Yhteisrekisterinpitäjyystilanne ilman kirjallista yhteissopimusta on yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 1 kohdan rikkomus. Ratkaisu: tunnista kaikki yhteisrekisterinpitäjyystilanteet ja sovi järjestelyistä kirjallisesti.

Virhe 3 — Vastuunjako on epäselvä. Sopimus, jossa vastuunjako on epämääräinen tai jossa molempien katsotaan vastaavan kaikesta, ei täytä yleisen tietosuoja-asetuksen (EU 2016/679) vaatimaa läpinäkyvää vastuunjakoa. Ratkaisu: sopimuksessa on oltava täsmälliset säännöt siitä, kumpi vastaa mistäkin velvollisuudesta.

Virhe 4 — Rekisteröidyille ei ilmoiteta yhteisrekisterinpitäjyydestä. Tietosuojaseloste, jossa ei mainita yhteisrekisterinpitäjyydestä tai ensisijaisesta yhteystahosta, rikkoo yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan 2 kohtaa. Ratkaisu: päivitä tietosuojaseloste kuvaamaan yhteisrekisterinpitäjyys ja ensisijainen yhteystaho.

Virhe 5 — Sopimusta ei päivitetä olosuhteiden muuttuessa. Yhteinen käsittely muuttuu — esimerkiksi kumppani vaihtuu tai yhteinen järjestelmä uudistuu — mutta yhteissopimusta ei päivitetä. Ratkaisu: tarkista ja päivitä yhteissopimus aina, kun yhteinen käsittely muuttuu olennaisesti tai osapuolten roolit muuttuvat.