Tietojenkäsittelysopimus

Tietojenkäsittelysopimus Suomessa on yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan edellyttämä kirjallinen sopimus, jonka rekisterinpitäjä ja henkilötietoja rekisterinpitäjän puolesta käsittelevä käsittelijä solmivat. Sopimus on pakollinen aina, kun jokin yritys tai organisaatio ulkoistaa henkilötietojen käsittelyä kolmannelle osapuolelle — esimerkiksi pilvipalveluntarjoajalle, markkinointitoimistolle, kirjanpitäjälle tai IT-toimittajalle.

Rekisterinpitäjä on yleisen tietosuoja-asetuksen (EU 2016/679) 4 artiklan 7 kohdan mukaisesti se, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Käsittelijä on 4 artiklan 8 kohdan mukaisesti se, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Tietojenkäsittelysopimus rajaa käsittelijän roolin ja velvollisuudet sekä varmistaa, että henkilötiedot pysyvät asianmukaisesti suojattuina koko käsittelyketjun läpi.

Tietojenkäsittelysopimuksen keskeinen merkitys on kolmiosainen. Ensinnäkin se täyttää yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan kirjallisuusvaatimuksen: käsittelijää sitoo sopimus tai muu oikeudellinen asiakirja, joka määrittää käsittelyn kohteen, keston, luonteen ja tarkoituksen, henkilötietoryhmät ja rekisteröityjen ryhmät sekä käsittelijän velvollisuudet. Toiseksi se suojaa rekisterinpitäjää, sillä ilman sopimusta rekisterinpitäjä voi joutua vastuuseen käsittelijän virheistä. Kolmanneksi se luo selkeän toimintamallin poikkeustilanteisiin, kuten tietoturvaloukkauksen ilmoittamiseen tietosuojavaltuutetun toimistolle.

Tietojenkäsittelysopimus eroaa tietosuojaselosteesta ja rekisterinpitäjien yhteissopimuksesta. Tietosuojaseloste on informointiasiakirja rekisteröidyille yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan mukaisesti. Rekisterinpitäjien yhteissopimus yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan mukaisesti koskee tilannetta, jossa kaksi tai useampi rekisterinpitäjä käsittelee tietoja yhteisesti. Tietojenkäsittelysopimus koskee puolestaan rekisterinpitäjän ja käsittelijän suhdetta, jossa käsittelijä ei käytä tietoja omiin tarkoituksiinsa.

Tyypillisiä tietojenkäsittelysopimussuhteita Suomessa ovat verkkokauppias ja maksunvälittäjä, työnantaja ja palkanlaskentapalvelu, rekisterinpitäjä ja CRM-järjestelmän SaaS-toimittaja, toimisto ja pilvipalveluntarjoaja sekä rekisterinpitäjä ja sähköpostimarkkinointipalvelu. Kaikissa näissä käsittelijä käsittelee henkilötietoja rekisterinpitäjän ohjeistuksen mukaan ilman itsenäistä määräysvaltaa käsittelyn tarkoituksiin.

Kansallinen tietosuojalaki (1050/2018) täydentää yleistä tietosuoja-asetusta (EU 2016/679) Suomessa. Laki sisältää kansallisia erityissäännöksiä muun muassa käsittelijän toimintaan viranomaistoiminnassa ja erityisissä käsittelytilanteissa. Tietosuojavaltuutetun toimisto on Suomen kansallinen valvontaviranomainen, joka valvoo sekä rekisterinpitäjien että käsittelijöiden tietosuojasääntelyn noudattamista. forms-legal.com tarjoaa ilmaisen tietojenkäsittelysopimusmallin suomalaisen tietosuojaympäristön tarpeisiin.

Tietojenkäsittelysopimuksen käyttäminen on myös liiketoiminnallisesti viisasta. Sopimus estää epäselvyydet vastuunjaossa tietoturvaloukkauksen sattuessa, helpottaa auditointeja ja tarkastuksia yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan h alakohdan mukaisesti sekä osoittaa osoitusvelvollisuuden täyttymisen 5 artiklan 2 kohdan mukaisesti. Monilla suuryrityksillä on vakiomuotoiset tietojenkäsittelysopimukset, jotka niiden toimittajien on hyväksyttävä ennen toimeksiannon aloittamista.

PK-yritysten kohdalla tietojenkäsittelysopimus on usein laiminlyöty velvollisuus, vaikka esimerkiksi yksinkertaisen Mailchimp-sähköpostilistanhallinnan tai Google Analyticsin käyttö edellyttää asianmukaista sopimusta. Tietosuojavaltuutetun toimisto on korostanut ohjeissaan, että jokainen rekisterinpitäjä on velvoitettu solmimaan tietojenkäsittelysopimukset kaikkien käsittelijöidensä kanssa riippumatta organisaation koosta tai toimialasta.

Tietojenkäsittelysopimus Suomessa tarvitaan aina, kun rekisterinpitäjä antaa kolmannelle osapuolelle tehtäväksi henkilötietojen käsittelyn rekisterinpitäjän puolesta. Velvollisuus perustuu yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 1 kohtaan, jonka mukaan rekisterinpitäjä saa käyttää ainoastaan käsittelijöitä, jotka tarjoavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta.

Pilvipalvelut ja SaaS-järjestelmät. Kaikki SaaS-palvelujen käyttö, jossa henkilötiedot tallentuvat palveluntarjoajan infrastruktuuriin, edellyttää tietojenkäsittelysopimusta. Tällaisia ovat CRM-järjestelmät, sähköpostimarkkinointialustat, HR-järjestelmät, projektinhallintatyökalut ja verkkokauppa-alustat. Palveluntarjoajilla on usein vakiomuotoinen DPA (Data Processing Agreement), jonka he toimittavat asiakkaille.

Palkanlaskenta ja kirjanpito. Ulkoistettu palkanlaskenta ja kirjanpito tarkoittavat, että tilitoimisto tai palkkahallintoyritys käsittelee työnantajan työntekijöiden henkilötietoja. Koska tilitoimisto ei käsittele tietoja omaan lukuunsa vaan työnantajan ohjeistuksen mukaisesti, kyseessä on käsittelijäsuhde, joka edellyttää tietojenkäsittelysopimusta.

Markkinointipalvelut. Kun mainostoimisto, digitaalinen markkinointitoimisto tai analytiikkapalvelu käsittelee rekisterinpitäjän asiakkaiden tai potentiaalisten asiakkaiden henkilötietoja kohdentamista, kampanjaa tai analytiikkaa varten, kyseessä on käsittelijäsuhde. Myös sähköpostimarkkinointipalveluiden (Mailchimp, Brevo jne.) yhteydessä tarvitaan tietojenkäsittelysopimus.

IT-palvelut ja tukipalvelut. IT-palveluntarjoajat, jotka ylläpitävät rekisterinpitäjän järjestelmiä tai voivat käsitellä tuen yhteydessä henkilötietoja, ovat käsittelijöitä. Sama koskee hosting-palveluita, tietokantapalveluita ja varmuuskopiointipalveluita. Näiden kanssa on solmittava tietojenkäsittelysopimus, joka kattaa tietoturvavaatimukset ja alikäsittelijöiden käytön.

Logistiikka ja toimitus. Verkkokauppias, joka luovuttaa asiakkaan toimitusosoitteen ja puhelinnumeron kuljetusliikkeelle toimitusta varten, toimii kyseisessä tilanteessa rekisterinpitäjänä ja kuljetusliike käsittelijänä. Tietojenkäsittelysopimus tarvitaan myös tässä tapauksessa, ellei kuljetusliike käytä tietoja myös omiin tarkoituksiinsa (jolloin kyseessä olisi erillinen rekisterinpitäjä).

Asiakaspalvelun ulkoistaminen. Call center tai chat-tukipalvelu, joka hoitaa asiakaspalvelua rekisterinpitäjän puolesta ja käsittelee asiakkaiden henkilötietoja rekisterinpitäjän ohjeiden mukaan, on käsittelijä. Tietojenkäsittelysopimus on välttämätön, ja se on erityisen tärkeää tilanteissa, joissa asiakaspalvelu on ulkoistettu EU:n ulkopuolelle.

Tietoturva- ja auditointipalvelut. Tietoturva-auditointeja tai penetraatiotestausta tekevät yritykset, jotka pääsevät käsiksi rekisterinpitäjän järjestelmiin ja henkilötietoihin, ovat käsittelijöitä. Tietojenkäsittelysopimus on solmittava ennen minkäänlaisen pääsyn myöntämistä järjestelmiin. Sama koskee VAROITUS: kolmannen osapuolen tietosuoja-auditointipalveluita.

Viraston ja toimiston ulkoistetut palvelut. Monet pienet yritykset ja ammatinharjoittajat käyttävät pilvipohjaisesti toimivia toimistosovelluksia, kuten Google Workspace tai Microsoft 365. Nämä palvelut käsittelevät sähköposteja, asiakirjoja ja yhteystietoja, jotka voivat sisältää henkilötietoja. Molemmissa edellä mainituissa palveluissa on saatavilla GDPR-yhteensopivia tietojenkäsittelyssopimuksia, jotka on hyväksyttävä palvelun käyttöehdoissa tai erillisessä sopimusprosessissa. Tietosuojavaltuutetun toimiston mukaan näiden sopimusten asianmukainen hyväksyminen ja dokumentointi on rekisterinpitäjän velvollisuus riippumatta yrityksen koosta.

Kattava Tietojenkäsittelysopimus Suomessa sisältää seuraavat osatekijät yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan mukaisesti.

Käsittelyn kohde, luonne ja tarkoitus. Sopimuksessa on yksilöitävä konkreettisesti, mitä henkilötietoja käsitellään, minkä palvelun tai toimeksiannon yhteydessä ja mihin tarkoitukseen rekisterinpitäjän lukuun. Kuvaus ei saa olla liian yleinen — sen on vastattava todellista käsittelytoimintaa. Myös käsittelyn kesto on ilmoitettava.

Henkilötietoryhmät ja rekisteröidyt. Sopimuksessa on lueteltava käsiteltävät henkilötietoryhmät (esimerkiksi yhteystiedot, tilaustiedot, maksutiedot, IP-osoitteet) ja kuvattava rekisteröidyt ryhmittäin (esimerkiksi asiakkaat, työntekijät, potentiaaliset asiakkaat). Erityisten henkilötietoryhmien käsittelystä yleisen tietosuoja-asetuksen (EU 2016/679) 9 artiklan mukaisesti on mainittava erikseen.

Käsittelijän velvollisuudet yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan a–h mukaisesti. Velvollisuudet kattavat käsittelyn vain dokumentoitujen ohjeiden mukaan (a), käsittelyyn osallistuvien salassapitovelvollisuuden (b), tekniset ja organisatoriset turvatoimet yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaisesti (c), alikäsittelijöiden käytön edellytykset (d), avun rekisteröidyn oikeuksien toteuttamisessa (e), avun rekisterinpitäjälle sen velvoitteiden täyttämisessä (f), poistamisen tai palauttamisen sopimuksen päätyttyä (g) sekä tarkastus- ja auditointioikeuden (h). forms-legal.com -malli kattaa kaikki nämä velvollisuudet suomalaisten PK-yritysten tarpeisiin.

Tekniset ja organisatoriset turvatoimet. Sopimuksen on kuvattava, mitä turvatoimia käsittelijä toteuttaa yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaisesti. Tyypillisiä toimenpiteitä ovat tietojen salaus siirron aikana (TLS 1.2+) ja levossa, käyttöoikeuksien hallinta (tarpeenmukaisuusperiaate), monivaiheinen tunnistautuminen hallinnollisiin järjestelmiin, säännölliset tietoturvakatselmukset ja henkilöstön koulutus.

Alikäsittelijät. Rekisterinpitäjä voi antaa yleisen tai erityisen luvan alikäsittelijöiden käyttöön yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 2 kohdan mukaisesti. Yleisluvan yhteydessä käsittelijän on ilmoitettava uusista alikäsittelijöistä etukäteen, ja rekisterinpitäjällä on vastustamisoikeus. Erityislupa edellyttää jokaisen alikäsittelijän nimenomaista hyväksyntää. Käsittelijä vastaa alikäsittelijöiden toiminnasta kuin omastaan.

Tietoturvaloukkausten ilmoittaminen. Sopimuksessa on vahvistettava, kuinka nopeasti käsittelijä ilmoittaa tietoturvaloukkauksen rekisterinpitäjälle. Koska rekisterinpitäjällä on 72 tunnin ilmoitusaika tietosuojavaltuutetun toimistolle yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan mukaisesti, käsittelijän ilmoituksen on tultava riittävän ajoissa — hyvä käytäntö on 24 tunnin aikaraja.

Siirrot EU:n ja ETA:n ulkopuolelle. Jos käsittelijä siirtää henkilötietoja EU:n ja ETA:n ulkopuolelle, siirron peruste on ilmoitettava yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaisesti. Yleinen peruste on komission vakiosopimuslausekkeet, joita kutsutaan myös SCC-lausekkeiksi (Standard Contractual Clauses). Sopimukseen voidaan liittää vakiosopimuslausekkeet osaksi tietojenkäsittelysopimusta.

Voimassaolo ja päättyminen. Tietojenkäsittelysopimus on yleensä sidottu pääsopimuksen voimassaoloon. Päättymiseen on liitettävä velvollisuus palauttaa tai tuhota henkilötiedot yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan g alakohdan mukaisesti. Käsittelijällä voi olla oikeus säilyttää tietoja pidempään, jos EU:n tai jäsenvaltion lainsäädäntö edellyttää sitä.

Standard Contractual Clauses (SCC) 2021. EU:n komissio hyväksyi uudet vakiosopimuslausekkeet vuonna 2021 (päätös 2021/914/EU). Nämä SCC-lausekkeet sisältävät erillisen moduulin rekisterinpitäjä-käsittelijä-siirtoja varten (moduuli 2 ja 3) ja korvasivat aiemmat vakiosopimuslausekkeet. Suomessa tietosuojavaltuutetun toimisto on ohjannut, että kaikki EU:n ulkopuolelle tehtävät siirrot on päivitettävä uusien SCC-lausekkeiden mukaisiksi. Tietojenkäsittelysopimukseen on liitettävä SCC-lausekkeet siirtoliitteenä, jos käsittelijä käyttää EU:n tai ETA:n ulkopuolisia palvelimia tai alikäsittelijöitä. Uudet SCC-lausekkeet edellyttävät myös transfer impact assessmentia (TIA), jossa arvioidaan kohdemaan tietosuojan taso suhteessa EU-vaatimuksiin.

Tietojenkäsittelysopimus Suomessa täytetään seuraavien vaiheiden mukaisesti yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan vaatimusten täyttämiseksi.

Vaihe 1 — Yksilöi osapuolet. Ilmoita rekisterinpitäjän ja käsittelijän täydelliset nimet, Y-tunnukset ja osoitteet. Varmista, että nimet vastaavat kaupparekisteritietoja. Jos käsittelijä on ulkomainen yritys, ilmoita vastaava yritystunnus ja kotimaa.

Vaihe 2 — Kuvaa käsittelyn kohde ja tarkoitus. Kirjoita konkreettinen kuvaus siitä, mitä henkilötietoja käsitellään, minkä palvelun tai toimeksiannon yhteydessä ja mihin tarkoitukseen. Vältä liian yleisiä kuvauksia kuten "henkilötiedot yleisesti" — ole spesifi, jotta sopimus vastaa todellista toimintaa.

Vaihe 3 — Luettele henkilötietoryhmät. Merkitse kaikki henkilötietoryhmät, joita käsittelijä käsittelee sopimuksen nojalla. Erityisten henkilötietoryhmien (terveys, uskonto, ammattiliiton jäsenyys) käsittely on mainittava erikseen yleisen tietosuoja-asetuksen (EU 2016/679) 9 artiklan mukaisesti.

Vaihe 4 — Kuvaa rekisteröidyt. Ilmoita, keiden tietoja käsitellään — esimerkiksi kuluttaja-asiakkaat, yritysasiakkaiden yhteyshenkilöt tai rekisterinpitäjän omat työntekijät. Tarkka kuvaus auttaa tunnistamaan vastuut tietoturvaloukkauksen sattuessa.

Vaihe 5 — Päätä alikäsittelijöistä. Valitse, salliiko sopimus alikäsittelijöiden käytön. Jos sallit, ilmoita, edellytetäänkö yleinen lupa vai erityinen tapauskohtainen hyväksyntä. Suomalaisten PK-yritysten kannalta yleislupa (listaamalla hyväksytyt alikäsittelijät liitteessä) on käytännöllisin ratkaisu.

Vaihe 6 — Määritä käsittelymaa. Ilmoita, missä maassa tai alueella käsittely tapahtuu. Jos käsittely tapahtuu osittain EU:n ulkopuolella, tarkista siirtoperuste yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaisesti ja kirjaa se sopimukseen.

Vaihe 7 — Päätä sopimuksen kestosta. Sidotaanko sopimus pääsopimuksen kestoon vai onko sillä erillinen irtisanomisaika? Hyvä käytäntö on, että tietojenkäsittelysopimus on voimassa niin kauan kuin pääsopimus. Ilmoita myös, mitä henkilötiedoille tapahtuu sopimuksen päätyttyä.

Vaihe 8 — Allekirjoita sopimus. Molempien osapuolten valtuutettujen edustajien on allekirjoitettava sopimus. Sopimus voidaan tehdä sähköisesti tai fyysisesti. Suomessa sähköinen allekirjoitus on pätevä sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009) nojalla.

Tietojenkäsittelysopimus Suomessa kuuluu yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan ja tietosuojalain (1050/2018) sääntelyn piiriin.

Velvollisuus solmia sopimus yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan mukaisesti. Rekisterinpitäjä saa käyttää ainoastaan käsittelijöitä, jotka tarjoavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta henkilötietojen suojaamiseksi 28 artiklan 1 kohdan mukaisesti. Käsittelyä sääntelee sopimus tai muu oikeudellinen asiakirja 28 artiklan 3 kohdan mukaisesti. Ilman sopimusta rekisterinpitäjä rikkoo yleistä tietosuoja-asetusta (EU 2016/679), ja siitä voi seurata hallinnollinen seuraamusmaksu 83 artiklan mukaisesti.

Sopimuksen pakolliset sisältövaatimukset yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan mukaisesti. Sopimuksen on sääntelevä käsittelyn kohdetta, kestoa, luonnetta ja tarkoitusta, henkilötietojen tyyppiä, rekisteröityjen ryhmää sekä rekisterinpitäjän velvollisuuksia ja oikeuksia. Sopimuksen on erityisesti velvoitettava käsittelijää kaikissa 28 artiklan 3 kohdan a–h alakohdissa mainituissa seikoissa.

Käsittelijän velvollisuudet käsitellä vain dokumentoitujen ohjeiden mukaan. Käsittelijä saa käsitellä henkilötietoja vain Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, myös siirroissa kolmansiin maihin yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan a alakohdan mukaisesti. Jos käsittelijä katsoo, että jokin ohje rikkoo yleistä tietosuoja-asetusta (EU 2016/679) tai muuta tietosuojalainsäädäntöä, käsittelijän on ilmoitettava tästä Rekisterinpitäjälle.

Tietoturva yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaisesti. Rekisterinpitäjän ja käsittelijän on molemmat toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet riskiin suhteutetun turvatason varmistamiseksi. 32 artiklan mukaiset toimenpiteet sisältävät muun muassa pseudonymisoinnin ja salauksen, kyvyn varmistaa jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kyvyn palauttaa tiedot tietoturvahäiriön jälkeen.

Tietoturvaloukkausilmoitus yleisen tietosuoja-asetuksen (EU 2016/679) 33 ja 34 artiklan mukaisesti. Rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkaus tietosuojavaltuutetun toimistolle 72 tunnin kuluessa loukkauksen havaitsemisesta 33 artiklan mukaisesti. Käsittelijän on viipymättä ilmoitettava rekisterinpitäjälle havaitsemistaan loukkauksista 33 artiklan 2 kohdan mukaisesti. Korkean riskin loukkaukset on ilmoitettava rekisteröidyille 34 artiklan mukaisesti.

Hallinnolliset seuraamusmaksut yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan mukaisesti. Tietojenkäsittelysopimuksen puuttuminen tai puutteellisuus on rikkomus, josta voidaan määrätä seuraamusmaksu enintään 10 miljoonaa euroa tai kaksi prosenttia maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi on suurempi, yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan 4 kohdan mukaisesti. Tietosuojavaltuutetun toimisto on antanut ohjeita tietojenkäsittelysopimusten sisällöstä, ja suomalainen käytäntö vastaa yleistä eurooppalaista tulkintaa.

Rekisterinpitäjän vastuu käsittelijän valinnasta yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 1 kohdan mukaisesti. Rekisterinpitäjän on varmistettava ennen käsittelijän valintaa, että käsittelijä tarjoaa riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta. Tämä tarkoittaa käytännössä, että rekisterinpitäjän on arvioitava käsittelijän tietoturvataso ennen sopimuksen solmimista. Arviointi voidaan tehdä pyytämällä ISO 27001 -sertifiointia, SOC 2 -raporttia tai muuta vastaavaa kolmannen osapuolen arviota, tai tietoturvakyselyn avulla. Tietosuojavaltuutetun toimisto on korostanut, että rekisterinpitäjällä on velvollisuus due diligence -arviointiin käsittelijöiden suhteen, ei pelkästään velvollisuus solmia sopimus.

Tavanomaiset virheet Tietojenkäsittelysopimus Suomessa laadinnassa voivat johtaa siihen, ettei yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan vaatimukset täyty.

Virhe 1 — Sopimus puuttuu kokonaan. Yleisin virhe on se, ettei tietojenkäsittelysopimusta ole lainkaan, vaikka käsittelijäsuhde on olemassa. Tämä koskee erityisesti SaaS-palveluita, sähköpostimarkkinointialustoja ja palkanlaskentapalveluita. Ratkaisu: kartoita kaikki ulkoiset toimijat, jotka käsittelevät organisaation henkilötietoja, ja varmista, että sopimus on olemassa kunkin kanssa.

Virhe 2 — Liian yleinen sopimus. Sopimus, jossa kuvaus käsittelystä on liian yleinen (esimerkiksi vain "henkilötiedot"), ei täytä yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan spesifisyysvaatimuksia. Ratkaisu: kuvaa käsittelyn kohde, tarkoitus, henkilötietoryhmät ja rekisteröityjen ryhmät konkreettisesti.

Virhe 3 — Alikäsittelijöiden laiminlyönti. Käsittelijä käyttää alikäsittelijöitä (esimerkiksi pilviinfrastruktuuria tai alihankkijaa) ilman, että rekisterinpitäjä on antanut siihen luvan tai käsittelijä on asettanut alikäsittelijöille samat velvoitteet. Ratkaisu: kirjaa sopimukseen alikäsittelijöiden käytön ehdot ja ylläpidä ajantasaista listaa hyväksytyistä alikäsittelijöistä.

Virhe 4 — Puuttuva ilmoitusmenettely tietoturvaloukkauksille. Sopimus, jossa ei ole selkeää menettelyä tietoturvaloukkauksen ilmoittamiseksi käsittelijältä rekisterinpitäjälle, estää rekisterinpitäjää täyttämästä 72 tunnin ilmoitusvelvollisuutensa yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan mukaisesti. Ratkaisu: sovi 24 tunnin ilmoitusajasta käsittelijän ja rekisterinpitäjän välillä.

Virhe 5 — Siirrot EU:n ulkopuolelle ilman perustetta. Käsittelijä käyttää EU:n tai ETA:n ulkopuolisia palvelimia tai alikäsittelijöitä ilman asianmukaista siirtoperustetta. Ratkaisu: selvitä käsittelijän käyttämä infrastruktuuri ja varmista, että siirrot EU:n ulkopuolelle perustuvat yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaiseen perusteeseen, tyypillisesti vakiosopimuslausekkeisiin.

Virhe 6 — Sopimuksen vanhentuminen. Sopimus solmitaan kerran eikä sitä päivitetä, kun palvelu tai käsittelyn luonne muuttuu. Ratkaisu: katso sopimus läpi vähintään vuosittain ja päivitä se, kun käsittely muuttuu olennaisesti, kun alikäsittelijät vaihtuvat tai kun lainsäädäntö päivittyy.