Tietosuojaan liittyy enemmän sopimuksia kuin vain jo melkein kaikille tuttu DPA. Käsittelen tässä blogikirjoituksessa keskeisiä tietosuojaan liittyviä sopimuksia ja niiden käyttötapauksia.
Milloin tietosuojasopimuksia tarvitaan?
Tietosuojasopimukset ovat välttämättömiä aina, kun henkilötietoja käsitellään ulkoistetusti, yhteisvastuullisesti tai siirretään EU:n ulkopuolelle. Organisaatioiden tulisi varmistaa, että:
-
- Kaikki tietojenkäsittelykumppanit ovat sopimuksellisesti sitoutuneita tietosuojavaatimuksiin.
-
- Yhteisrekisterinpitäjyydestä sovitaan selkeästi vastuista ja velvollisuuksista.
-
- Kansainväliset tietojen siirrot tehdään lainmukaisesti vakiolausekkeiden avulla.
-
- Salassapitosopimukset ja tieto- ja kyberturvasopimukset kattavat henkilötietojen käsittelyn.
-
- Tuleva datasäännös raakadatan jakamisvelvollisuudesta huomioidaan sopimuksissa riittävällä tasolla.
Kaikille tuttu DPA eli Data Processing Agreement
Käsittelysopimus on pakollinen, kun rekisterinpitäjä ulkoistaa henkilötietojen käsittelyä kolmannelle osapuolelle, kuten IT-palveluntarjoajalle tai pilvipalvelulle.
Sopimuksessa on sovittava muun muassa:
-
- Käsittelyn tarkoituksesta ja laajuudesta
-
- Käsittelijän velvollisuuksista ja rekisterinpitäjän ohjeiden noudattamisesta
-
- Tietoturvatoimenpiteistä
-
- Alihankkijoiden käytöstä ja siihen liittyvistä ehdoista
-
- Tietoturvaloukkauksista ilmoittamisesta
Rekisterinpitäjän ja käsittelijän roolien epäselvyys
Monissa yrityksissä ei täysin ymmärretä, että ne toimivat rekisterinpitäjinä eivätkä käsittelijöinä. On todella tärkeää tunnistaa oikeat roolit sovittaessa henkilötietojen käsittelystä, sillä rekisterinpitäjä päättää henkilötietojen käsittelyn tarkoituksesta ja keinoista, kun taas käsittelijä toimii rekisterinpitäjän ohjeiden mukaisesti.
On tärkeää ymmärtää, että rooleista ei voi sopia vapaasti – niitä määrittää se, kuka tosiasiallisesti päättää henkilötietojen käytöstä. Sen sijaan sopimuksissa tulee määritellä selkeästi vastuut ja velvollisuudet, jotta tietosuojariskit voidaan hallita asianmukaisesti ja rekisteröityjen oikeudet turvata.
Yhteisrekisterinpitäjyys ja sopimus henkilötietojen käsittelystä
Kun kaksi tai useampi organisaatio päättää yhdessä henkilötietojen käsittelyn tarkoituksista ja keinoista, niiden on laadittava yhteisrekisterinpitäjyyssopimus. Sopimuksessa määritellään muun muassa:
-
- Osapuolten vastuut ja roolit tietosuojasääntelyn noudattamisessa
-
- Rekisteröityjen oikeuksien toteuttaminen
-
- Vastuu tietoturvaloukkauksista ja niiden ilmoittamisesta
Esimerkki:
Kaksi yritystä kehittää yhdessä asiakasportaalia, jossa molemmat osapuolet pääsevät käsiksi samoihin asiakkaiden henkilötietoihin ja päättävät niiden käytöstä yhdessä. Tässä tapauksessa molemmat yritykset ovat yhteisrekisterinpitäjiä.
Tietojen siirtoa koskevat sopimukset (SCC:t ja BCR:t)
Jos henkilötietoja siirretään EU:n ulkopuolelle, on varmistettava, että siirto täyttää GDPR:n vaatimukset. Yleisimmät mekanismit ovat:
-
- Vakiosopimuslausekkeet: EU-komission hyväksymät vakiosopimukset tietojen siirrossa kolmansiin maihin.
-
- Sitovat yrityssäännöt: Konsernin sisäinen sääntelykeino henkilötietojen siirrolle EU:n ulkopuolelle.
Tietoturvaa koskevat sopimukset ja salassapitosopimukset (NDA)
Henkilötietojen käsittelyyn liittyy usein myös muita tietoturvaan liittyviä sopimuksia, kuten:
-
- Salassapitosopimukset: Velvoittavat työntekijät ja yhteistyökumppanit pitämään henkilötiedot ja muut luottamukselliset tiedot salassa.
-
- Tietoturvasopimukset: Määrittelevät erityiset tietoturvavaatimukset, kuten salauksen ja pääsynhallinnan.
Tiivistelmänä loppuun
Tietosuojaan liittyvät sopimukset ovat sekä juridinen velvollisuus että keino suojata organisaatiota ja rekisteröityjen oikeuksia. Varmistamalla, että kaikki tapaukseen vaadittavat tietosuojasopimukset ovat ajan tasalla ja asianmukaisesti laadittuja, voidaan välttää merkittäviä riskejä ja sanktioita.
Saara Perho
CEO
Lawder Oy
