Kysymys: Mitä ovat tietojenkäsittelysopimukset?

Minulle on lähetetty useita tietojenkäsittelysopimuksia. Joskus niitä kutsutaan nimellä henkilötietojen käsittelysopimukset, GDPR-sopimukset, tietojenkäsittelysopimukset ja tietosuojasopimukset. En edes tiedä, onko yritys, jossa työskentelen, tietojen käsittelijä vai rekisterinpitäjä? Mitä minun pitäisi tehdä ja miksi sopimuksia on olemassa?

Legalbuddy vastaa

Kuva asianajajasta Rauli Viippola

Rauli Viippola


Hei ja kiitos, että otit yhteyttä Legalbuddyyn!


Tietojenkäsittelysopimus (DPA) – mitä se tarkoittaa?

Henkilötietojen käsittelysopimuksella todellakin on useita käytössä olevia nimiä, mutta yleisimmin siihen viitataan englanninkielisellä Data Processing Agreement nimellä sekä siitä johdetulla lyhenteellä DPA. Suomeksi tavallisin nimitys on tietojenkäsittelysopimus. Näistä DPA on varmastikin yleisin viittaus lyhyyden tuoman helppouden vuoksi.


Tietojenkäsittelysopimuksen osapuolet ja niiden roolit

DPA:ssa on kaksi osapuolta, joista toinen on rekisterinpitäjä ja toinen henkilötietojen käsittelijä. Rekisterinpitäjä on se, jolla asiakassuhde luonnolliseen henkilöön ja jolle luonnollinen henkilö on antanut GDPR:n edellyttämän luvan omien henkilötietojensa keräämiseen.

Henkilötietojen käsittelijä on puolestaan se, joka käsittelee luovutettuja henkilötietoja rekisterinpitäjän lukuun. Rekisterinpitäjän vastuulla on DPA-sopimuksen laatiminen tietojen käsittelijän kanssa.


Mistä tietojenkäsittelysopimuksessa sovitaan?

Henkilötietojen käsittelijä saa käsitellä henkilötietoja vain rekisteripitäjän ohjeistuksen mukaan. DPA-sopimukesssa sovitaan ainakin:

  • osapuolten rooleista,
  • mitä henkilötietoja käsitellään,
  • miten henkilötietoja käsitellään ja
  • mikä on henkilötietojen käsittelyn tarkoitus.

Yleensä rekisterinpitäjä lähettää DPA:t käsittelijän yhteyshenkilölle ja yhteyshenkilön vastuulla on hankkia oman organisaationsa sisältä allekirjoitukset asianmukaisilta tahoilta sopimukseen. Yleensä yhtiön lakiosasto tai ulkoistettu juristi tarkistaa DPA:t ennen allekirjoitusta.


Sopimuksiin liittyvät riskit ja vastuut

DPA:ta arvioidessa on hyvä muistaa, että sopimuksen mukaiset vastuut ja mahdolliset vahingonkorvaukset ovat melko huomattavia, eikä varsinaisia vakioehtoja ole luotu vaan yritykset laativat sopimuksensa itse, jolloin niissä voi esiintyä suuriakin eroja.


Suositus: turvaudu asiantuntijaan

DPA:t ovat usein melko monimutkaisia ja niiden sisältämät vastuut voivat olla euromäärältään hyvinkin huomattavia, joten suosittelemme asiantuntevan juristin puoleen kääntymistä ennen allekirjoitusta. Jos tarvitsette lisää apua, autamme teitä mielellämme. Voitte ottaa meihin yhteyttä sähköpostitse tai varaamalla ajan suoraan juristiemme kanssa.

Saat apua GDPR:n mukaisen tietojenkäsittelysopimuksen laatimiseen – kiinteään hintaan.

Lue lisää palvelusta
Aiheeseen liittyviä kysymyksiä
Näytä kaikki tästä kategoriasta

Tarvitsetko yrityksessäsi oikeudellista voimaa?

Kokeile digitaalista yrityslakimiestämme ilmaiseksi kuukauden ajan - Yrityksille suunnattu lakiasiaintuki ja sopimusten hallinta

Kokeile Legalbuddy Plussaa

Syötä sähköpostiosoitteesi jatkaaksesi.

Lataamalla hyväksyn ehdot ja vahvistan, että olen tutustunut tietosuojaselosteeseen.