Pyydettäessä sovellusta käyttöönotettavaksi, on asiakas rekisterinpitäjänä velvollinen arvioimaan sovelluksen tarpeellisuutta työtehtävien suorittamiseksi, täyttyvätkö henkilötietojen minimikäsittelyn vaatimukset sekä huomioidaanko henkilötietojen elinkaaren hallinta. Tämän arvion toteuttaminen on tilaajana toimivan asiakkaan vastuulla. Valtorin sovellusten käyttöönottoa toteuttava toiminto ei voi täyttää tätä velvollisuutta asiakkaan puolesta. Asiakas toimii tiedon omistajana sovelluksessa.

Asiakkaan tulee tunnistaa, tullaanko sovelluksessa käsittelemään henkilötietoja sekä minkä tyyppisistä henkilötiedoista on kyse. Esimerkiksi jo sovellukseen kirjautuessa voi joutua antamaan sähköpostiosoitteensa, joka on henkilötietoa.

Mikä on henkilötieto? I Tietosuojavaltuutetun toimisto 
 
Mikäli asiakkaan tarkoituksena on viedä työympäristöön hankittavaan sovellukseen muiden henkilöiden henkilötietoja, tähän pitää olla käyttötarkoitusperuste ja siirron tulee olla lainmukaista. Asiakas toimii rekisterinpitäjän roolissa, jolloin sovelluksen toimittajan kanssa tulee tehdä DPA eli sopimus henkilötietojen käsittelystä. Mikäli sovelluksessa käsitellään henkilötietoja, asiakkaan velvollisuuksiin kuuluu varmistaa, että rekisteröidyn oikeudet, minimikäsittelyn sekä lainmukaisuuden vaatimukset toteutuvat. 

Mikäli sovelluksen tuottaja ilmaisee käyttöehdoissa itsensä henkilötietojen rekisterinpitäjäksi, ei ole suositeltavaa siirtää muiden henkilötietoja sovellukseen. Tällöin kyseessä voi olla myös kuluttajalisenssinä toimiva ohjelmisto, joka on tarkoitettu pääosin yksityishenkilöiden käyttöön ja henkilön tietoja saatetaan käyttää esimerkiksi markkinointitarkoituksiin.

Käyttöön otettava sovellus on oltava EU:n tietosuoja-asetuksen vaatimusten mukainen. Erityishuomiota tulee kiinnittää, missä henkilötietoja käsitellään maantieteellisesti sekä toimittajan että toimittajan käyttämien alikäsittelijöiden toimesta.

Arvioinnin tukena voi tarvittaessa käyttää seuraavia kysymyksiä:

  • Käsitteleekö sovellus henkilötietoja: Kyllä / Ei 
  • Onko tarkoituksena käsitellä sovelluksessa muiden henkilötietoja? Kyllä / Ei 

Jos kyllä, niin asiakkaan vastuulla on tietosuojalainsäädännön mukaisesti rekisterinpitäjänä tehdä toimittajan kanssa henkilötietojen käsittelysopimus. 

Jos edellisen kysymyksen vastaus on ei, vastaa myös alla oleviin kysymyksiin: 

  • Hyväksyykö asiakas sovelluksen käyttöä varten kerättävät henkilötiedot: Kyllä / Ei 
  • Hyväksyykö asiakas tiedon omistajana sovelluksen henkilötietojen käsittelyn elinkaaren hallinnan: Kyllä / Ei 
  • Onko asiakas tutustunut sovelluksen käyttöehtoihin? Kyllä / Ei
  • Käsitelläänkö sovelluksessa henkilötietoja EU/ETA-alueen ulkopuolella eli ns. kolmansissa maissa tai tuotetaanko palvelua EU/ETA-alueen ulkopuolelta? Kyllä / Ei