Sopimus henkilötietojen käsittelystä (tietosuojasopimus tai "GDPR-sopimus")

Mikä on sopimus henkilötietojen käsittelystä?

Sopimuksessa henkilötietojen käsittelystä rekisterinpitäjä ja henkilötietojen käsittelijä sopivat, miten käsittelijän tulee suojata rekisterinpitäjän sille luovuttamat henkilötiedot. Sopimusta voidaan nimittää paitsi sopimukseksi henkilötietojen käsittelystä, myös tietosuojasopimukseksi, tietojenkäsittelysopimukseksi, GDPR-sopimukseksi tai DPA:ksi (Data Processing Agreement).

Mitä ovat henkilötiedot?

Henkilötietoja ovat kaikki tiedot, joiden perusteella voidaan suoraan tai epäsuorasti tunnistaa yksityishenkilö. Henkilötietoja ovat esimerkiksi nimi, henkilötunnus, osoitetiedot sekä verkkotunnistetiedot kuten IP-osoite. Käsiteltävät henkilötietoryhmät tulee määritellä tietojenkäsittelysopimuksessa.

Milloin tietosuojasopimus pitää laatia?

Kun yritys käsittelee toiselta yritykseltä saamiaan henkilötietoja, tulee näiden osapuolten laatia henkilötietojen käsittelystä kirjallinen sopimus. Tällainen tilanne on tyypillisesti käsillä, kun yritykset siirtävät esimerkiksi asiakkaidensa tai työntekijöidensä henkilötietoja alihankkijoilleen.

Laatimisvelvollisuus pohjautuu toukokuussa 2018 velvoittavaksi tulleeseen EU:n yleiseen tietosuoja-asetukseen (General Data Protection Regulation eli ”GDPR”), jolla yritysten tietosuojavaatimuksia tiukennettiin huomattavasti. Huomiota ovat herättäneet erityisesti korkeat sakot ja muut sanktiot, joita tietosuojavaltuutettu voi asetukseen pohjautuen langettaa rikkomuksista.

Tietosuojan merkitys on toisaalta viime aikoina muutoinkin kasvanut, joten hyvällä tietojenkäsittelytavalla voi erottautua edukseen.

Mitä sopimuksessa tulee olla?

Lainsäädäntö asettaa varsin laajat velvollisuudet siihen, mistä tietojenkäsittelysopimuksissa tulee sopia. Sopimuksessa tulee määritellä muun muassa henkilötietojen käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet.

Miten laadin sopimuksen helpoiten?

Sopimuskoneen tietojenkäsittelysopimuksen malli muuntuu tuhansiin eri tilanteisiin. Voit lisätä mallisisältöjämme sopimukseesi vapaasti ja muokata niitä tarpeittesi mukaan. Kysymys ei ole siis perinteisestä yksittäisestä pohjasta tai lomakepohjasta, vaan modernista teknologiasta, joka sisältää tuhansien eri pohjien ehdot ja mallisisällöt.

Asiakasyrityksemme ovat laatineet Sopimuskoneella jo yli 1 500 tietojenkäsittelysopimusta.

Mitä malliehtoja Sopimuskone tarjoaa tietojenkäsittelysopimukseen?

Sopimuskone tarjoaa lakiin pohjautuvat malliehdot muun muassa seuraavilla osa-alueilla:

  • Rekisterinpitäjän yleiset oikeudet ja velvollisuudet
  • Henkilötietojen käsittelijän yleiset oikeudet ja velvollisuudet
  • Alihankkijoiden käyttö tietojenkäsittelyssä
  • Tietojenkäsittelyn maantieteellinen sijainti
  • Tietojenkäsittelyn auditointi
  • Salassapito
  • Henkilötietojen käsittelyn tarkoitus
  • Käsiteltävät henkilötiedot
  • Tietoturva
  • Sopimuksen voimassaolo ja henkilötietojen käsittelyn kesto
  • Vastuunrajoitukset ja muut vastuukysymykset

Mallisisältöjemme ohella voit vapaasti lisätä omia sisältöjäsi sopimukseen.

Mikä ero on rekisterinpitäjällä ja henkilötietojen käsittelijällä? Kumpi minun yritykseni on?

Koko tietojenkäsittelysopimuksen luonteen vuoksi on keskeistä, että tehdään ero rekisterinpitäjän ja henkilötietojen käsittelijän välillä.

Rekisterinpitäjä on se osapuoli, joka määrää henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijä on se osapuoli, joka käsittelee luovutettavia henkilötietoja rekisterinpitäjän lukuun. Käytännössä käsittelijä on siis tietynlainen "työrukkanen", jolla ei tule olla sopimusteknisesti minkäänlaista valtaa määrätä henkilötietojen käsittelyn kulkua.

Henkilötietojen käsittelijän mahdollisuudet joutua vastuuseen henkilötietojen virheellisestä käsittelystä ovat lähtökohtaisesti matalammat kuin rekisterinpitäjän, jos käsittelijä on menetellyt asianmukaisen tietosuojasopimuksen mukaisesti.

Tyypillinen henkilötietojen käsittelijä voi olla esimerkiksi palkanlaskija, joka laskee ja maksaa toisen yrityksen palkat tämän ohjeiden mukaisesti.

Miten kuvaan yritykseni tietoturvakäytännöt sopimuksessa?

Tietoturvan riittävästä toteutuksesta on nimenomaisesti sovittava sopimuksessa henkilötietojen käsittelystä. Sopimuskoneen tietosuojasopimuksessa voit rastittaa kohta kohdalta aina virustorjunnasta salasanasuojaukseen ja kulunvalvontaan, minkä tasoiseen tietoturvaan yrityksesi sitoutuu.

Miten toinen osapuoli voi hyväksyä Sopimuskoneella luonnostelemani sopimuksen?

Voit lähettää toiselle osapuolelle tekstiviestillä tai sähköpostilla kutsun tulla tarkastelemaan valmistelemaasi sopimusta henkilötietojen käsittelystä Sopimuskoneessa. Hän voi hyväksyä sopimuksen sähköisellä allekirjoituksella, joka kuuluu palveluumme. Käyttämällä sähköistä allekirjoitustamme täytät lakisääteiset velvoitteesi tulostamatta sivuakaan.

Miten Sopimuskoneen tietosuojasopimuksen malli tarkalleen ottaen toimii?

  1. Valitse valmiista listastamme, mitä ehtoja haluat sopimukseesi (esim. alihankkijoiden käyttö, salassapito, tietoturva)
  2. Sopimuskone kysyy sinulta kohta kohdalta jatkokysymyksiä, joiden perusteella automaatio muotoilee sopimuksesi tekstit (esim. käsitelläänkö henkilötietoja EU:n ulkopuolella)
  3. Sopimuskone neuvoo eri kohdissa lakiin ja vakiintuneeseen sopimuskäytäntöön pohjautuen, mitä sinun on syytä ottaa huomioon (esim. velvollisuus sopia henkilötietojen käsittelyn kestosta)
  4. Kun sopimus on valmis, osapuolet allekirjoittavat sen sähköisesti puhelimella tai tietokoneella
  5. Sopimus arkistoituu automaattisesti yrityksesi Sopimustilille, johon pääset myöhemmin suoraan tietokoneella tai puhelimella (myös toinen osapuoli saa oman sopimuskappaleensa digitaalisesti)
  6. Jatkossa voit halutessasi muokata ja monistaa kerran tekemääsi sopimusta henkilötietojen käsittelystä vastaavanlaisiin tilanteisiin