Data Transfer and Sharing Agreement Finland
DATANSIIRTOSOPIMUS (Datan jakamis- ja siirtosopimus)
Laadittu oikeustoimilain (228/1929), tietosuojalain (1050/2018), yleisen tietosuoja-asetuksen (GDPR, EU 2016/679) ja EU:n datamarkkina-asetuksen (Data Act, EU 2023/2854) mukaisesti.
Osapuolet
SOPIMUKSEN OSAPUOLET:
DATAN LUOVUTTAJA: [Luovuttaja Nimi], osoite [Luovuttaja Osoite], Y-tunnus [Luovuttaja Ytunnus], edustajana [Luovuttaja Edustaja], jäljempänä „Luovuttaja“;
JA
DATAN VASTAANOTTAJA: [Vastaanottaja Nimi], osoite [Vastaanottaja Osoite], Y-tunnus [Vastaanottaja Ytunnus], edustajana [Vastaanottaja Edustaja], jäljempänä „Vastaanottaja“;
OSAPUOLET SOPIVAT SEURAAVAA:
1 § Siirrettävä data ja käyttötarkoitus
1 § SIIRRETTÄVÄ DATA JA KÄYTTÖTARKOITUS
1.1 Luovuttaja siirtää Vastaanottajalle seuraavan datan: [Datan Kuvaus].
1.2 Datan sallittu käyttötarkoitus: [Kayttotarkoitus]. Vastaanottaja ei saa käyttää dataa muihin tarkoituksiin ilman Luovuttajan kirjallista suostumusta.
1.3 Siirtotapa ja formaatti: [Siirto Formaatti]. Siirtoaikataulu: [Siirto Aikataulu].
1.4 Vastaanottaja ei saa jälleenmyydä, jakaa edelleen tai luovuttaa dataa kolmansille osapuolille ilman Luovuttajan kirjallista etukäteislupaa.
2 § Tietoturva ja pääsynhallinta
2 § TIETOTURVA JA PÄÄSYNHALLINTA
2.1 Vastaanottaja on velvollinen suojaamaan vastaanotetun datan asianmukaisin teknisin ja organisatorisin toimin, mukaan lukien kuljetuskerroksen salaus (TLS 1.2 tai uudempi), tallennusajan salaus (AES-256 tai vastaava) sekä pääsynhallinta vähimmäisoikeuksien periaatteen mukaisesti.
2.2 Vastaanottaja saa myöntää pääsyn dataan vain niille henkilöille, joiden työnkuva edellyttää sitä. Pääsylokit säilytetään vähintään 24 kuukautta.
2.3 Tietoturvaloukkauksen tai datan luvattoman käytön ilmetessä Vastaanottaja ilmoittaa siitä Luovuttajalle viipymättä ja viimeistään 24 tunnin kuluessa havaitsemisesta.
4 § Immateriaalioikeudet ja datan omistajuus
4 § IMMATERIAALIOIKEUDET JA DATAN OMISTAJUUS
4.1 Siirrettävä data ja sen immateriaalioikeudet kuuluvat Luovuttajalle, ellei sopimuksessa toisin sovita. Tämä sopimus ei siirrä omistusoikeutta dataan Vastaanottajalle.
4.2 Vastaanottaja saa käyttöoikeuden dataan yksinomaan sopimuksen 1 §:ssä mainittuun käyttötarkoitukseen. Analyysitulokset ja aggregaattidata, jotka Vastaanottaja tuottaa vastaanotetusta datasta, kuuluvat Vastaanottajalle, ellei niistä erikseen sovita.
4.3 EU:n datamarkkina-asetus (Data Act, EU 2023/2854) soveltuu teollisesta toiminnasta syntyvän datan jakamiseen. Luovuttaja vakuuttaa, että sillä on oikeus luovuttaa data Vastaanottajalle kolmansien osapuolten immateriaalioikeuksia loukkaamatta.
5 § Datan hävittäminen ja palautus
5 § DATAN HÄVITTÄMINEN JA PALAUTUS
5.1 Sopimuksen päätyttyä Vastaanottaja hävittää vastaanotetun datan ja sen kopiot viipymättä ja viimeistään 30 päivässä sopimuksen päättymisestä.
5.2 Vastaanottaja toimittaa Luovuttajalle kirjallisen vahvistuksen datan hävittämisestä.
5.3 Datan hävittäminen tehdään tietoturvallisesti NIST SP 800-88 tai vastaavan standardin mukaisesti. Paperimuotoinen data tuhrataan silppurilla (DIN 66399 P-4 -taso tai korkeampi).
6 § Vastuunrajoitus
6 § VASTUUNRAJOITUS
6.1 Luovuttaja ei takaa siirrettävän datan virheettömyyttä, täydellisyyttä tai sopivuutta tiettyyn tarkoitukseen. Vastaanottaja käyttää dataa omalla vastuullaan.
6.2 Osapuolten kokonaisvastuu rajoittuu välittömiin vahinkoihin ja enintään sopimuksen kokonaisarvoa vastaavaan määrään. Välillisiä vahinkoja ei korvata, ellei vahinko ole aiheutettu tahallisesti tai törkeällä huolimattomuudella.
7 § Sovellettava laki ja riidat
7 § SOVELLETTAVA LAKI JA RIITOJEN RATKAISU
7.1 Sopimukseen sovelletaan Suomen lakia.
7.2 Riidat ratkaistaan ensin neuvotteluin. Ellei sovintoon päästä, riita ratkaistaan toimivaltaisessa käräjäoikeudessa oikeudenkäymiskaaren (4/1734) mukaisesti.
Allekirjoitus
ALLEKIRJOITUS
Sopimus on laadittu kahtena samansisältöisenä kappaleena ja allekirjoitettu paikassa [Allekirjoitus Paikka] [Allekirjoitus Paiva].
Luovuttaja: __________________________ Vastaanottaja: __________________________
[Luovuttaja Edustaja] [Vastaanottaja Edustaja]
Datan luovuttaja
________________
Signature
Datan vastaanottaja
________________
Signature
What Is a Data Transfer and Sharing Agreement Finland?
Datansiirtosopimus Suomessa on oikeustoimilain (228/1929) mukainen kirjallinen sopimus, jolla kaksi tai useampi organisaatio sopii datan siirtämisestä tai jakamisesta toistensa välillä tiettyä käyttötarkoitusta varten. Datansiirtosopimus kattaa sekä kertaluonteisen datan siirron että toistuvat data-jakamisjärjestelyt. Suomessa datansiirtosopimuksen oikeudellinen perusta muodostuu oikeustoimilaista (228/1929), tietosuojalaista (1050/2018), yleisestä tietosuoja-asetuksesta (GDPR, EU 2016/679), EU:n datamarkkina-asetuksesta (Data Act, EU 2023/2854) ja tekijänoikeuslaista (404/1961).
Datansiirtosopimus eroaa tietojenkäsittelysopimuksesta (DPA) siinä, että DPA on pakollinen GDPR-velvoitteinen dokumentti, kun käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Datansiirtosopimus on laajempi kaupallinen sopimus, joka voi koskea myös ei-henkilökohtaista dataa, liiketoimintadataa, IoT-dataa, analytiikkadataa tai tutkimusdataa. Datansiirtosopimukseen voidaan liittää DPA-liite, jos siirrettävä data sisältää henkilötietoja.
Datan oikeudellinen luonne Suomessa on moniulotteinen. Dataa ei ole suojattu omistusoikeudella (property right) samoin kuin kiinteää tai irtainta omaisuutta. Datan suoja perustuu eri oikeudellisiin mekanismeihin: tekijänoikeus (404/1961) suojaa luovaa sisältöä ja tietokantoja; liikesalaisuuslaki (595/2018) suojaa arvokkaan liiketoimintainformaation; tietosuojalainsäädäntö (GDPR) suojaa henkilötietoja; ja sopimusoikeus (oikeustoimilaki 228/1929) on tärkein mekanismi datan jakamisen säätelyyn. EU:n datamarkkina-asetus (Data Act, voimaantulo 2025) toi merkittäviä uudistuksia: oikeus saada pääsy IoT-laitteiden ja niihin liittyvien palveluiden tuottamaan dataan, pakollinen datan jakaminen eräissä tilanteissa ja kohtuuttomuuslauseke datan jakamissopimuksissa.
Datansiirtosopimuksen tarkoitus on ennen kaikkea selkeyttää käyttötarkoitus ja estää datan luvaton käyttö. Dataa vastaanottanut osapuoli saattaa käyttää dataa kilpailevaan toimintaan, myydä sitä kolmansille tai käyttää sitä koneoppimiseen ilman lupaa, jos käyttötarkoitusta ei ole kirjattu sopimukseen täsmällisesti. Sopimuksessa on syytä eritellä: sallitut analyysit ja mallinnus, sallittu jakaminen omassa organisaatiossa (esimerkiksi tytäryhtiöt vs. koko konserni) sekä kielletyt toimet (kilpaileva palvelu, jälleenmyynti, kolmannen osapuolen AI-mallin kouluttaminen).
Tietoturva on datansiirtosopimuksen kriittinen elementti. Siirrettäessä suuria datamassoja on varmistettava salaus kuljetuksen aikana (TLS 1.2+) ja tallennuksen aikana (AES-256). SFTP-siirrot, salatut pilvipalvelut (AWS S3 eu-central-1, Azure West Europe, Google Cloud europe-west3) ja VPN-yhteydet ovat yleisimmät tekniset toteutustavat. Tietoturvaloukkauksesta on ilmoitettava Luovuttajalle välittömästi ja GDPR:n puitteissa tietosuojavaltuutetulle 72 tunnin kuluessa.
EU:n datamarkkina-asetus (Data Act, EU 2023/2854) toi Suomeen uusia datan jakamista koskevia velvoitteita. IoT-laitteiden tuottama data on asetuksen nojalla käyttäjän saatavilla (right of access). Yritysten on pyynnöstä jaettava dataa viranomaisten kanssa hätätilanteiden tai yleisen edun vuoksi. Asetuksen kohtuuttomuuslauseke suojaa pk-yrityksiä epätasapainoisilta datansiirtosopimuksilta: sopimustermit, jotka rajoittavat pk-yrityksen oikeuksia kohtuuttomasti, ovat mitättömiä.
Tutkimusorganisaatioiden datansiirtosopimukset (Research Data Agreement) noudattavat kansainvälisiä standardeja: avoimen tieteen periaatteita (FAIR data: löydettävyys, saavutettavuus, yhteentoimivuus, uudelleenkäytettävyys), Suomen Akatemian rahoituksen edellytyksiä ja Research Data Alliance (RDA) -suosituksia. Henkilötietoja sisältävän tutkimusdatan käsittelyyn tarvitaan eettisen toimikunnan lupa ja tietosuojalain (1050/2018) 31 §:n mukainen tutkimuslupa.
When Do You Need a Data Transfer and Sharing Agreement Finland?
Datansiirtosopimus Suomessa tarvitaan aina, kun organisaatio luovuttaa dataa toiselle organisaatiolle kaupallisessa, tutkimuksellisessa tai hallinnollisessa tarkoituksessa. Seuraavat tilanteet edellyttävät kirjallisen datansiirtosopimuksen laadintaa.
Yritysyhteistyö ja data-ekosysteemit. Kaksi kilpailematonta yritystä jakaa liiketoimintadataansa yhteisen asiakashyödyn tuottamiseksi. Esimerkiksi: vakuutusyhtiö ja autokauppa jakavat ajoneuvovauriotilastoja; vähittäiskauppa ja logistiikkayritys jakavat toimituspisteiden sijaintidataa; pankki ja kiinteistönvälittäjä jakavat maksukykyanalytiikkaa.
Akateeminen tutkimus. Yliopisto tai tutkimuslaitos hankkii yrityksen liiketoimintadataa tutkimusta varten. Esimerkiksi Aalto-yliopiston tutkimusryhmä käyttää teknologiayrityksen verkkokauppatapahtumadataa markkinatutkimukseen. Sopimus kattaa pseudonymisoinnin, datan hävittämisen tutkimuksen jälkeen ja julkaisuoikeudet.
Konsernin sisäinen datan siirto. Emoyhtiö siirtää dataa tytäryhtiölle tai toiseen konserniyhtiöön eri maassa. EU:n ulkopuolisiin konserniyhtiöihin siirtoon tarvitaan lainmukainen siirtomekanismi (GDPR 46 artikla, EU-mallisopimuslausekkeet tai sitovat yrityssäännöt).
Yrityskauppa ja due diligence. Potentiaalinen ostaja saa pääsyn myyjäyrityksen liiketoimintadataan due diligence -prosessin aikana. Datansiirtosopimus kattaa salassapidon, datan palautuksen kaupan epäonnistuessa ja rajoitetun käyttötarkoituksen (vain due diligence).
Public-private partnership. Julkinen viranomainen (esimerkiksi Tilastokeskus, THL tai Digi- ja väestötietovirasto DVV) jakaa julkista dataa yksityiselle yritykselle palveluiden kehittämiseen. Tiedonhallintalaki (906/2019) säätelee julkishallinnon tietojen jakamista.
IoT ja teollisuusdata. Teollisuuslaitteiden (koneet, sensorit, ajoneuvot) tuottama data jaetaan huoltoyhtiön tai analytiikkatoimittajan kanssa. EU:n datamarkkina-asetus (Data Act, 2025) säätelee IoT-datan jakamista.
Maksupalvelut ja FinTech. PSD2-maksupalveludirektiivi velvoittaa pankit avaamaan tilitietodatan kolmansille palveluntarjoajille (TPP). Datansiirtosopimus täydentää PSD2-sopimusehtoja erityistarpeilla.
Terveysdata. Sairaala tai terveydenhuollon toimija jakaa anonymisoitua tai pseudonymisoitua terveydataa tutkimustarkoituksiin. Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019, ns. Toissijaisuuslaki) ja FINDATA-lupaviranomainen säätelevät tätä.
What to Include in Your Data Transfer and Sharing Agreement Finland
Datansiirtosopimus Suomessa sisältää seuraavat oikeudelliset elementit, jotka varmistavat selkeän datan jakamisen, tietoturvan ja GDPR-vaatimusten täyttymisen.
Osapuolten yksilöinti. Luovuttajan ja Vastaanottajan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä tai viranomaistunnus. Nimenkirjoitusoikeudelliset edustajat osakeyhtiölain (624/2006) mukaan. Tietohallintoyhteyshenkilö teknisiä asioita varten ja tietosuojavastaaava (DPO) GDPR-asioita varten.
Siirrettävän datan täsmällinen kuvaus. Datan tyyppi (rakenteinen/rakentamaton), aikaväli, volyymi (tiedostokoko tai rivimäärä), formaatti (CSV, JSON, Parquet, XML), sisältö (tietokentät) ja mahdollinen luokittelu (julkinen, sisäinen, luottamuksellinen, salainen). Maininta siitä, sisältääkö data henkilötietoja, yrityssalaisuuksia tai immateriaalioikeuksia.
Sallittu käyttötarkoitus ja kiellot. Täsmällinen kuvaus sallituista käyttötapauksista. Kielletyt toimet: jälleenmyynti kolmansille, data AI/ML-mallien kouluttamiseen ilman lupaa, yhdistäminen muihin henkilötietoja sisältäviin lähteisiin, kilpaileva käyttö. EU:n datamarkkina-asetuksen (Data Act) 13 artiklan mukainen kohtuuttomuuslauseke pk-yrityksille.
Tietoturva. Kuljetuskerroksen salaus (TLS 1.2+), tallennusajan salaus (AES-256), pääsynhallintamenettelyt (RBAC, vähimmäisoikeudet), pääsylokit (24 kk säilytys), tietoturvaloukkauksen ilmoitusmenettely (24 h Luovuttajalle, GDPR 33 artikla tietosuojavaltuutetulle 72 h). Vastaanottajan tietoturvasertifikaatit (ISO 27001 tai SOC 2 toivottavia).
Henkilötietoja koskevia erityisvelvoitteita. GDPR 28 artiklan mukainen DPA pakollisena liitteenä, jos siirrettävä data sisältää henkilötietoja. Anonyymisointi- tai pseudonymisointimenettelyt. Siirtokielto EU/ETA-alueen ulkopuolelle ilman lainmukaista mekanismia (SCC, GDPR 46 artikla). Datan minimoinnin periaate (GDPR 5 artikla). Forms-legal.com suosittelee tarkistamaan Data Act -velvoitteet IoT-dataa sisältävissä sopimuksissa.
Immateriaalioikeudet. Luovuttaja säilyttää omistusoikeuden dataan. Vastaanottajan tuottamat analyysitulokset voivat kuulua Vastaanottajalle. Tekijänoikeuslain (404/1961) mukainen tietokantasuoja voi soveltua strukturoituun dataan. Avoimen datan lisenssit (Creative Commons, ODbL) huomioitava.
Datan hävittäminen. Sopimuksen päättyessä data hävitetään 30 päivässä kirjallisella vahvistuksella. NIST SP 800-88 tai ISO 27001 -standardin mukainen hävittäminen. Varmuuskopiointijärjestelmien puhdistus.
Vastuunrajoitus. Luovuttaja ei takaa datan virheettömyyttä. Osapuolten kokonaisvastuu enintään sopimuksen kokonaisarvoa vastaava. Välilliset vahingot poissuljettuja.
Sovellettava laki. Suomen laki; riidat käräjäoikeudessa.
How to Fill Out Your Data Transfer and Sharing Agreement Finland
Datansiirtosopimus Suomessa laaditaan seuraavien vaiheiden mukaisesti, jotka varmistavat GDPR-vaatimusten täyttymisen, tietoturvan ja selkeän datan jakamisen.
Vaihe 1 — Luokittele siirrettävä data. Selvitä ennen sopimuksen laadintaa: (a) sisältääkö data henkilötietoja (GDPR soveltuu; DPA pakollinen liite); (b) onko data liikesalaisuuslain (595/2018) mukaista liikesalaisuutta; (c) soveltaako EU:n datamarkkina-asetus (Data Act, 2025) IoT-laitteiden tuottamaan dataan; (d) onko data tekijänoikeuslain (404/1961) nojalla suojattu tietokantateos. Luokittelu vaikuttaa pakollisiin lausekkeisiin.
Vaihe 2 — Yksilöi osapuolet. Kirjaa Luovuttajan ja Vastaanottajan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä. Kirjaa nimenkirjoitusoikeudelliset edustajat. Nimeä tietosuojavastaavat (DPO) GDPR-asioille ja tekniset yhteyshenkilöt datan siirtoa varten.
Vaihe 3 — Kuvaa siirrettävä data täsmällisesti. Kirjaa datan tyyppi, aikaväli, volyymi (rivimäärä tai tiedostokoko), formaatti (CSV, JSON, Parquet), sisältö (tietokentät) ja luokittelu. Mainitse erikseen, sisältääkö data henkilötietoja, liikesalaisuuksia tai tekijänoikeussuojattua sisältöä. Epämääräinen datakuvaus johtaa kiistoihin siitä, mikä data kuuluu sopimuksen piiriin.
Vaihe 4 — Kirjaa käyttötarkoitus konkreettisesti. Kirjaa sallitut käyttötapaukset täsmällisesti (esimerkiksi „kysynnän ennustaminen omassa tuotannonohjausjärjestelmässä“) ja listaa kielletyt toimet (jälleenmyynti, AI/ML-koulutus ilman lupaa, yhdistäminen ulkoisiin henkilörekistereihin). Yleinen „analyyttinen käyttö“ on liian epämääräinen.
Vaihe 5 — Sovi tietoturvavaatimuksista. Kirjaa tekniset vähimmäisvaatimukset: TLS-salaus siirrossa, AES-256 tallennuksessa, pääsynhallintamenettelyt, pääsylokit (24 kk). Pyydä Vastaanottajaa toimittamaan ISO 27001 -sertifikaatti tai SOC 2 Type II -raportti ennen datan siirtoa.
Vaihe 6 — Laadi DPA-liite tarvittaessa. Jos data sisältää henkilötietoja, laadi GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) pakolliseksi liitteeksi. Kirjaa käsittelyn tarkoitus, henkilötietotyypit, turvatoimet, alihenkilötietojenkäsittelijöiden lista, tietoturvaloukkauksen ilmoitusmenettely ja datan hävittäminen.
Vaihe 7 — Sovi siirtotavasta ja aikataulusta. Kirjaa tekninen siirtotapa (SFTP, salattu pilvipalvelu, suojattu API) ja siirtoaikataulu (kertaluonteinen tai toistuva). Dokumentoi datan eheyden tarkistusmekanismi (checksum, hash-tarkistus).
Vaihe 8 — Kirjaa datan hävittämismenettely. Sovi hävittämisaikataulusta (30 päivää sopimuksen päättymisestä), hävittämistavasta (NIST SP 800-88 tai ISO 27001) ja kirjallisesta vahvistuksesta. Tarkista, että varmuuskopiointijärjestelmät sisältyvät hävittämisvelvollisuuden piiriin.
Vaihe 9 — Allekirjoita sopimus. Molemmat osapuolet allekirjoittavat sopimuksen kahtena samansisältöisenä kappaleena. Sähköinen allekirjoitus on pätevä oikeustoimilain (228/1929) mukaan. Säilytä sopimukset tietosuojalain (1050/2018) mukaisten säilytysaikavaatimusten mukaisesti.
Legal Requirements for Data Transfer and Sharing Agreement Finland
Datansiirtosopimus Suomessa kuuluu useaan oikeudelliseen viitekehykseen riippuen siirrettävän datan tyypistä ja osapuolten toimialasta.
Oikeustoimilaki (228/1929). Sopimusvapaus datansiirtosopimuksen perustana. Kohtuuttomat ehdot sovitellaan 36 §:n nojalla. EU:n datamarkkina-asetuksen (Data Act) 13 artikla täydentää tätä pk-yritystä suojaavalla erityissäännöksellä: datansiirtosopimuksen ehdot, jotka rajoittavat pk-yrityksen oikeuksia kohtuuttomasti, ovat mitättömiä.
GDPR (EU 2016/679) ja tietosuojalaki (1050/2018). Jos siirrettävä data sisältää henkilötietoja, GDPR ja tietosuojalaki tulevat sovellettaviksi. Keskeisiä velvoitteita: GDPR 28 artiklan mukainen DPA pakollinen; GDPR 5 artiklan käsittelyperiaatteet (minimointi, tarkoituksenmukaisuus, täsmällisyys); GDPR 32 artiklan tekniset ja organisatoriset turvatoimet; GDPR 33-34 artiklojen tietoturvaloukkausilmoitus 72 h tietosuojavaltuutetulle. Tietosuojavaltuutetun toimisto Suomessa valvoo GDPR:n noudattamista.
EU:n datamarkkina-asetus (Data Act, EU 2023/2854). Asetus tuli voimaan 12.9.2025 ja koskee koko EU:ta. Soveltuu erityisesti IoT-laitteiden tuottamaan dataan. Keskeisiä velvoitteita: käyttäjän oikeus saada pääsy IoT-laitteiden tuottamaan dataan; pk-yritysten suojaa kohtuuttomilta sopimusehdoilta (13 artikla); julkishallinnon oikeus saada dataa yleisen edun vuoksi (15-22 artikla); pilvipalveluiden vaihtamista helpottavat säännöt (23-31 artikla).
Tietokantalaki ja tekijänoikeuslaki (404/1961). Strukturoitu data voi olla tekijänoikeuslain 49 §:n mukainen tietokanta, joka nauttii sui generis -suojaa. Tietokannan tekijänoikeuden haltija voi kieltää olennaisen osan poimimisen tai uudelleenkäytön.
Liikesalaisuuslaki (595/2018). Liiketoimintatieto, jolla on taloudellista arvoa ja jota yritys pitää salassa, voi olla liikesalaisuus. Datansiirtosopimuksessa on tarkistettava, sisältääkö siirrettävä data liikesalaisuuksia, joiden paljastumiseen tarvitaan erityinen lupalauseke.
Tiedonhallintalaki (906/2019). Julkishallinnon tietojen jakaminen on säänneltyä. Viranomaisen on noudatettava tiedonhallintalakia ja arkistolakia (831/1994) datan jakamisessa yksityisille organisaatioille.
Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019). Terveysdata on erityissuojattua. FINDATA-lupaviranomainen käsittelee terveysdatan käyttölupahakemukset. Rekisteritutkimukset vaativat aina FINDATAn tai rekisterinpitäjän luvan.
Vahingonkorvauslaki (412/1974). Sopimuksen ulkopuolinen tietoturvaloukkaus voi johtaa vahingonkorvausvelvollisuuteen. GDPR 82 artikla antaa rekisteröidylle suoran oikeuden vahingonkorvaukseen tietosuojarikkomuksen aiheuttamista vahingoista.
Common Mistakes to Avoid in Your Data Transfer and Sharing Agreement Finland
Datansiirtosopimus Suomessa epäonnistuu seuraavista yleisimmistä virheistä, jotka aiheuttavat tietosuojarikkomuksia, immateriaalioikeusloukkauksia tai kiistoja datan käyttötarkoituksesta.
Virhe 1 — Epämääräinen datakuvaus. Sopimuksessa ei kuvailla siirrettävää dataa riittävän täsmällisesti, jolloin kiistoja syntyy siitä, mikä data kuuluu sopimuksen piiriin. Suositus: kirjaa datan tyyppi, aikaväli, volyymi, formaatti ja tietokentät yksityiskohtaisesti sopimuksen liitteeseen.
Virhe 2 — DPA-liitteen puuttuminen henkilötietoja sisältävässä siirrossa. Data sisältää pseudonymisoituja tai epäsuoria henkilötietoja, mutta osapuolet eivät laadi GDPR 28 artiklan mukaista DPA:ta. Tietosuojavaltuutettu voi määrätä seuraamusmaksun kummallekin osapuolelle. Suositus: tarkista aina ennen sopimuksen allekirjoittamista, sisältääkö siirrettävä data mitään henkilötietoja.
Virhe 3 — Käyttötarkoituksen liiallinen laajuus. Sopimuksessa sallitaan „kaikki analyyttinen käyttö“ tai „liiketoiminnan kehittäminen“, joka antaa Vastaanottajalle lähes rajoittamattoman oikeuden käyttää dataa. Vastaanottaja voi käyttää dataa kilpailevaan toimintaan tai AI/ML-mallien kouluttamiseen. Suositus: kirjaa sallitut käyttötapaukset täsmällisesti ja listaa kielletyt toimet.
Virhe 4 — Datan hävittämisvelvollisuuden laiminlyönti. Sopimuksessa ei sovita datan hävittämisestä sopimuksen päättyessä, jolloin Vastaanottajalla on hallussaan Luovuttajan data indefiniittisesti. Suositus: kirjaa hävittämisaikataulu (30 päivää sopimuksen päättymisestä), hävittämistapa ja kirjallinen vahvistusvelvollisuus.
Virhe 5 — EU:n ulkopuolinen datan siirto ilman lainmukaista mekanismia. Data siirretään EU/ETA-alueen ulkopuolelle (esimerkiksi USA:hän tai Intiaan) ilman EU-mallisopimuslausekkeita (SCC, GDPR 46 artikla). Suositus: tarkista, sijaitseeko Vastaanottajan palvelinympäristö EU/ETA-alueella tai onko käytössä asianmukainen siirtomekanismi.
Virhe 6 — IoT-datan Data Act -velvoitteiden huomiotta jättäminen. Teollisuus-IoT-laitteiden tuottamaa dataa jaetaan huoltoyhtiölle ilman EU:n datamarkkina-asetuksen (Data Act, 2025) velvoitteiden huomioimista. Suositus: tarkista Data Act -soveltuvuus IoT-dataa sisältävissä sopimuksissa.
Virhe 7 — Tietoturvatason riittämättömyys. Sopimuksessa ei sovita tietoturvan vähimmäisvaatimuksista, jolloin Vastaanottaja saattaa tallentaa arkaluonteista dataa suojaamattomasti. Suositus: kirjaa sopimukseen tekniset vähimmäisvaatimukset (TLS-salaus, AES-256, pääsynhallinta, pääsylokit) ja vaadi ISO 27001 -sertifikaattia tai SOC 2 -raporttia.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Data Transfer and Sharing Agreement Finland (Finland) [Legal document template]. Forms Legal. https://forms-legal.com/suomi/business/contracts/data-transfer-sharing-agreement-finland
"Data Transfer and Sharing Agreement Finland (Finland)." Forms Legal, 2026, https://forms-legal.com/suomi/business/contracts/data-transfer-sharing-agreement-finland.
@misc{formslegal-data-transfer-sharing-agreement-finland,
author = {{Forms Legal}},
title = {Data Transfer and Sharing Agreement Finland (Finland)},
year = {2026},
howpublished = {\url{https://forms-legal.com/suomi/business/contracts/data-transfer-sharing-agreement-finland}},
note = {Free legal document template}
}Frequently Asked Questions
Datansiirtosopimus (data transfer agreement tai data sharing agreement) Suomessa on oikeustoimilain (228/1929) mukainen kirjallinen sopimus, jolla kaksi tai useampi organisaatio sopii datan siirtämisestä tai jakamisesta toistensa välillä tiettyä käyttötarkoitusta varten. Suomessa datansiirtosopimuksen oikeudellinen pohja muodostuu oikeustoimilaista (228/1929), tietosuojalaista (1050/2018), GDPR:stä (EU 2016/679) ja EU:n datamarkkina-asetuksesta (Data Act, EU 2023/2854). Sopimuksen keskeisiä elementtejä ovat: siirrettävän datan täsmällinen kuvaus, sallittu käyttötarkoitus ja kiellot, tietoturvavelvoitteet, datan omistajuus, mahdolliset GDPR-DPA-velvoitteet ja datan hävittäminen sopimuksen päättyessä. Datansiirtosopimus eroaa tietojenkäsittelysopimuksesta (DPA) siinä, että DPA on erityisesti GDPR-velvoitteinen liite, kun taas datansiirtosopimus on laajempi kaupallinen sopimus, joka kattaa myös ei-henkilökohtaisen datan.
GDPR ei suoraan velvoita tekemään erillistä datansiirtosopimusta, mutta useissa tilanteissa kirjallinen sopimus on käytännössä pakollinen. Ehdottoman pakollisia GDPR-velvoitteita: (1) GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) on pakollinen aina, kun käsittelijä (processor) käsittelee henkilötietoja rekisterinpitäjän (controller) lukuun — tämä on pakollinen kaikkien henkilötietoja sisältävien datansiirtojen yhteydessä; (2) GDPR 46 artiklan mukainen siirtomekanismi (EU-mallisopimuslausekkeet, SCC) on pakollinen, kun henkilötietoja siirretään EU/ETA-alueen ulkopuolelle. Lisäksi EU:n datamarkkina-asetus (Data Act, 2025) toi uusia velvoitteita IoT-datan jakamiseen. Vaikka kirjallinen sopimus ei olisi pakollinen kaikissa tapauksissa, se on aina suositeltava oikeusturvan kannalta: sopimus selkeyttää käyttötarkoituksen, estää luvattoman käytön ja jakaa vastuun selkeästi.
EU:n datamarkkina-asetus (Data Act, EU 2023/2854) tuli voimaan 12.9.2025 ja toi merkittäviä muutoksia datansiirtosopimuksiin Suomessa ja koko EU:ssa. Keskeisimmät vaikutukset: (1) IoT-datan jakamisoikeus: laitteistoja ja niihin liittyviä palveluja tuottavat yritykset ovat velvollisia tarjoamaan pääsyn laitteidensa tuottamaan dataan niille, jotka ovat tuottaneet datan käyttäessään laitetta (käyttäjän oikeus). (2) Kohtuuttomuussuoja pk-yrityksille: datansiirtosopimuksen ehdot, jotka rajoittavat pk-yrityksen oikeuksia kohtuuttomasti (13 artikla), ovat mitättömiä. Tämä on merkittävä muutos: aiemmin sopimusvapaus salli laajat rajoituslausekkeet. (3) Viranomaisten tietojen saantioikeus: julkishallinnolla on hätätilanteissa ja yleisen edun vuoksi oikeus saada pääsy yritysten dataan (15-22 artikla). (4) Pilvipalveluiden vaihtamista helpottavat säännöt: pilvipalveluntarjoajat eivät saa periä kohtuuttomia siirtomaksuja tai asettaa teknisiä esteitä datansiirrolle toiselle palveluntarjoajalle (23-31 artikla). Datansiirtosopimukset on syytä päivittää Data Act -velvoitteiden mukaisiksi erityisesti IoT-dataa ja pilvipalveluita koskevissa sopimuksissa.
Datan hävittäminen datansiirtosopimuksen päättyessä on tärkeä velvoite, joka suojaa Luovuttajan immateriaalioikeuksia ja henkilötietojen tietosuojaa. Hyvä datansiirtosopimus sisältää: (1) Hävittämisaikataulu: Vastaanottaja hävittää kaikki kopiot vastaanotetusta datasta viipymättä ja viimeistään 30 päivässä sopimuksen päättymisestä. (2) Hävittämistapa: tietoturvallinen hävittäminen standardin mukaisesti: sähköinen data NIST SP 800-88 tai DoD 5220.22-M -standardin mukaan (ylikirjoitus, kryptografinen pyyhkiminen tai fyysinen hävitys); paperimuotoinen data silppurilla DIN 66399 P-4 -tason tai korkeamman standardin mukaan. (3) Kirjallinen vahvistus: Vastaanottaja toimittaa Luovuttajalle kirjallisen vahvistuksen (destruction certificate) hävittämisestä 30 päivässä. (4) Varmuuskopiointijärjestelmät: datan hävittämisvelvollisuus kattaa myös varmuuskopiointijärjestelmät, automaattiset backupit ja testausympäristöt — tämä unohtuu usein. GDPR edellyttää, että henkilötiedot hävitetään tietosuojalain (1050/2018) mukaan. Hävittämisvelvollisuuden laiminlyöminen voi johtaa GDPR-seuraamusmaksuun.
Siirretyn datan käyttäminen tekoälymallien (AI/ML) kouluttamiseen on yksi datansiirtosopimusten tärkeimmistä kysymyksistä. Pääsääntö: AI/ML-koulutus on sallittua vain, jos sopimuksessa nimenomaisesti sallitaan se. Perusteluita tälle: (1) GDPR:n tarkoituksenmukaisuusperiaate (5 artikla): henkilötietoja ei saa käyttää alkuperäisestä käyttötarkoituksesta olennaisesti poikkeaviin tarkoituksiin ilman uutta oikeusperustetta tai rekisteröidyn suostumusta. (2) Immateriaalioikeus: tekijänoikeuslain (404/1961) mukainen tietokantasuoja voi estää datan käytön AI-koulutukseen ilman lupaa. (3) Liikesalaisuuslaki (595/2018): jos data sisältää yrityssalaisuuksia, niitä ei saa sisällyttää jaettuihin AI-malleihin. (4) EU:n tekoälyasetus (AI Act, 2024): korkean riskin tekoälyjärjestelmien koulutukselle on erityisvaatimuksia. Suositus: kirjaa datansiirtosopimukseen nimenomaisesti, onko AI/ML-koulutus sallittua vai kiellettyä, ja jos sallittua, millä ehdoilla (esimerkiksi: vain anonymisoitu data, vain sisäiseen käyttöön, ei kaupallisiin malleihin).
Datansiirtosopimus ja tietojenkäsittelysopimus (DPA) ovat eri asiakirjoja eri tarkoituksiin. Tietojenkäsittelysopimus (DPA) on GDPR 28 artiklan mukaan pakollinen asiakirja, joka tehdään rekisterinpitäjän (controller) ja henkilötietojen käsittelijän (processor) välillä silloin, kun käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. DPA:n tarkoitus on dokumentoida henkilötietojen käsittelyn reunaehdot. DPA on teknisesti pakollinen GDPR-vaatimus, ja se on aina kapea-alainen: se kattaa vain henkilötietojen käsittelyn. Datansiirtosopimus on laajempi kaupallinen sopimus, joka voi koskea myös ei-henkilökohtaista dataa (IoT-data, liiketoimintadata, analytiikkadata, tutkimusdata). Se kattaa datan omistajuuden, käyttötarkoituksen, immateriaalioikeudet, tietoturvan, hinnoittelun (jos kyseessä on kaupallinen sopimus), datan hävittämisen ja vastuunrajoituksen. Useimmiten datansiirtosopimukseen liitetään DPA-liite, jos siirrettävä data sisältää henkilötietoja. Näin datansiirtosopimus toimii kaupallisena puitesopimuksena ja DPA sen pakollisena GDPR-liitteenä.
Jos Vastaanottaja käyttää dataa datansiirtosopimuksen vastaisesti, Luovuttajalla on useita oikeussuojakeinoja. Sopimusoikeudellinen vastuu: sopimuksen olennainen rikkominen oikeuttaa Luovuttajan irtisanomaan sopimuksen välittömästi ja vaatimaan vahingonkorvausta aiheutuneista vahingoista. Oikeustoimilain (228/1929) mukaan vahingonkorvaus kattaa välittömät vahingot. Turvaamistoimi: käräjäoikeus voi määrätä turvaamistoimen (oikeudenkäymiskaari 7 luku), joka kieltää datan jatkokäytön välittömästi ennen lopullista tuomiota. GDPR-seuraamukset: jos sopimuksenvastaiseen käyttöön liittyy GDPR-rikkomus (esimerkiksi henkilötietoja käsitellään sopimuksenvastaisesti), tietosuojavaltuutettu voi määrätä seuraamusmaksun enintään 20 miljoonaa euroa tai 4 % globaalista liikevaihdosta. Liikesalaisuuslaki (595/2018): jos data sisältää liikesalaisuuksia, lainvastainen käyttö on liikesalaisuuslain mukainen rikkomus, josta voidaan vaatia sekä vahingonkorvausta että kieltoa. Tekijänoikeuslaki (404/1961): tietokantasuojan loukkaaminen on tekijänoikeudellinen rikkomus.
Terveysdata on erityisen arkaluonteista tietoa, jonka käsittely on tiukasti säänneltyä Suomessa. Terveysdatan erityissäännöksiä datansiirtosopimuksessa: (1) GDPR 9 artikla: terveystieto on erityisen arkaluonteista henkilötietoa, jonka käsittely on pääsääntöisesti kielletty ilman nimenomaista suostumusta tai muuta GDPR 9 artiklan mukaista erityistä oikeusperustetta. (2) Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019, ns. Toissijaisuuslaki): terveysrekistereissä olevan datan käyttöön tutkimukseen, tilastointiin tai muihin toissijaisiin tarkoituksiin tarvitaan FINDATA-lupaviranomaisen lupa. FINDATA käsittelee lupahakemuksia ja toimii luovutuspisteenä. (3) Anonymisointi ja pseudonymisointi: rekisteritutkimuksissa terveysdata tyypillisesti pseudonymisoidaan ennen luovutusta. Aitoa anonymisointia on vaikea saavuttaa harvoja yksilöitä koskevassa datassa. (4) Terveydenhuollon ammattihenkilöiden salassapitovelvollisuus (laki terveydenhuollon ammattihenkilöistä 559/1994): rajoittaa, miten terveydenhuollon ammattilaiset voivat jakaa potilastietoja. Datansiirtosopimuksessa on huomioitava kaikki nämä erityissäännökset, ja FINDATA-luvan ehdot on liitettävä sopimukseen.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Tietojenkäsittelysopimus
Rekisterinpitäjän ja käsittelijän välinen tietojenkäsittelysopimus yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan ja tietosuojalain (1050/2018) mukaisesti. Kattaa käsittelyn kohteen, tarkoituksen, henkilötietoryhmät, käsittelijän velvollisuudet, alikäsittelijät, tarkastuksoikeudet ja siirrot kolmansiin maihin.
Tietosuojaseloste
Verkkosivustojen ja organisaatioiden tietosuojaseloste yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan ja tietosuojalain (1050/2018) mukaisesti. Kuvaa rekisterinpitäjän, käsiteltävät tietoryhmät, oikeusperusteet, säilytysajat, rekisteröidyn oikeudet, evästeet ja valituksen tietosuojavaltuutetun toimistolle.
Salassapitosopimus (NDA) Suomi
Kirjallinen salassapitosopimus (NDA) osapuolten välillä liiketoiminnan kannalta arkaluonteisen tiedon, lähdekoodin, asiakastietojen ja liikesalaisuuksien suojaamiseksi. Sääntelee oikeustoimilaki (228/1929), liikesalaisuuslaki (595/2018) ja tietosuojalaki (1050/2018).
SaaS-sopimus Suomi
Kirjallinen SaaS-sopimus ohjelmistopalvelun tilaamisesta, käyttöoikeuksista, palvelutasoista (SLA) ja tietosuojasta. Tietosuojalaki (1050/2018), IT2018 YSE -ehdot ja GDPR Suomessa.