Data Processing Agreement Finland
Yleinen tietosuoja-asetus (EU 2016/679) 28 artikla; Tietosuojalaki (1050/2018)
Yleinen tietosuoja-asetus (EU 2016/679) 28 artikla
1. OSAPUOLET
Rekisterinpitäjä: [Rekisterinpitaja Nimi], Y-tunnus [Rekisterinpitaja Ytunnus], osoite [Rekisterinpitaja Osoite] (jäljempänä ”Rekisterinpitäjä”).
Käsittelijä: [Kasittelija Nimi], Y-tunnus [Kasittelija Ytunnus], osoite [Kasittelija Osoite] (jäljempänä ”Käsittelijä”).
Rekisterinpitäjä ja Käsittelijä ovat yhdessä jäljempänä ”Osapuolet”. Sopimus on tehty [Sopimus Paivays]. Sopimus liittyy Osapuolten välillä solmittuun pää- tai palvelusopimukseen, joka yksilöidään tarvittaessa erikseen.
2. SOPIMUKSEN KOHDE JA TARKOITUS
Tämä tietojenkäsittelysopimus täyttää yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan vaatimuksen siitä, että rekisterinpitäjän ja käsittelijän välinen käsittely on katettava kirjallisella sopimuksella. Sopimus kuvaa käsittelyn kohteen ja tarkoituksen, käsittelyn luonteen ja keston, henkilötietoryhmät ja rekisteröityjen ryhmät sekä Käsittelijän velvollisuudet yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan a–h alakohtien mukaisesti.
Käsittelyn kohde: [Kasittelyn Kohde].
Käsittelyn tarkoitus: [Kasittelyn Tarkoitus].
Käsiteltävät henkilötietoryhmät: [Tietoryhmat].
Rekisteröityjen ryhmät: [Rekisteroityjen Ryhmat].
Käsittelymaa tai -alue: [Kasittelymaa].
3. KÄSITTELIJÄN VELVOLLISUUDET
Käsittelijä käsittelee henkilötietoja ainoastaan Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan a alakohdan mukaisesti. Käsittelijä ei käytä henkilötietoja omiin tarkoituksiinsa eikä luovuta niitä kolmansille osapuolille ilman Rekisterinpitäjän kirjallista lupaa.
Käsittelijä varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitoon tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan b alakohdan mukaisesti.
Käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen turvaamiseksi yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaisesti, ottaen huomioon käsittelystä aiheutuvat riskit. Toimenpiteisiin kuuluvat vähintään tietojen salaus siirron aikana (TLS 1.2+) ja levossa, käyttöoikeuksien hallinta, pääsynvalvonta sekä säännölliset tietoturvakatselmukset.
Käsittelijä avustaa Rekisterinpitäjää täyttämään rekisteröidyn oikeuksiin liittyvät velvoitteet yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan e alakohdan mukaisesti, mukaan lukien pääsy-, oikaisu-, poisto- ja rajoittamispyynnöt 15–18 artiklan mukaisesti.
Käsittelijä ilmoittaa henkilötietojen tietoturvaloukkauksen sattuessa Rekisterinpitäjälle ilman aiheetonta viivytystä ja viimeistään 24 tunnin kuluessa loukkauksen havaitsemisesta, jotta Rekisterinpitäjä voi täyttää yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan mukaisen 72 tunnin ilmoitusvelvollisuuden tietosuojavaltuutetun toimistolle.
Sopimuksen päättyessä Käsittelijä palauttaa tai poistaa kaikki henkilötiedot Rekisterinpitäjän valinnan mukaan yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan g alakohdan mukaisesti, ellei EU:n tai jäsenvaltion lainsäädäntö edellytä henkilötietojen säilyttämistä.
4. TARKASTUKSET JA AUDITOINNIT
Käsittelijä asettaa Rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan h alakohdan mukaisten velvoitteiden noudattamisen osoittamiseksi, ja sallii Rekisterinpitäjän tai sen valtuuttaman tilintarkastajan suorittamat auditoinnit ja tarkastukset. Käsittelijä voi pyytää kohtuullisen ennakkoilmoituksen (vähintään 14 päivää) auditoinneista sekä erikseen sovittavaa korvausta poikkeuksellisesta auditointityöstä, jonka laajuus ylittää Rekisterinpitäjän tavanomaiset tiedontarpeet.
5. SIIRROT EU:N JA ETA:N ULKOPUOLELLE
Henkilötietojen siirto EU:n ja ETA:n ulkopuolelle on sallittua vain, jos yleisen tietosuoja-asetuksen (EU 2016/679) V luvun edellytykset täyttyvät. Mahdollinen siirto perustuu komission riittävyyspäätökseen yleisen tietosuoja-asetuksen (EU 2016/679) 45 artiklan mukaisesti, komission hyväksymiin vakiosopimuslausekkeisiin 46 artiklan 2 kohdan c tai d alakohdan mukaisesti, tai muuhun asianmukaiseen siirtoperusteeseen. Käsittelijä dokumentoi siirtoperusteet ja asettaa ne Rekisterinpitäjän saataville.
6. SOPIMUKSEN VOIMASSAOLO
Sopimus on voimassa [Sopimuksen Voimassaolo]. Sopimus päättyy automaattisesti, kun Osapuolten välinen pääsopimus päättyy. Sopimus voidaan irtisanoa erikseen kirjallisella ilmoituksella sovitun irtisanomisajan puitteissa. Sopimuksen päätyttyä Käsittelijä noudattaa kohdan 3 mukaista velvollisuutta palauttaa tai poistaa henkilötiedot.
7. ALLEKIRJOITUKSET
Osapuolet ovat allekirjoittaneet tämän sopimuksen kahtena samansisältöisenä kappaleena, yksi kummallekin Osapuolelle.
Rekisterinpitäjä
________________
Signature
Käsittelijä
________________
Signature
What Is a Data Processing Agreement Finland?
Tietojenkäsittelysopimus Suomessa on yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan edellyttämä kirjallinen sopimus, jonka rekisterinpitäjä ja henkilötietoja rekisterinpitäjän puolesta käsittelevä käsittelijä solmivat. Sopimus on pakollinen aina, kun jokin yritys tai organisaatio ulkoistaa henkilötietojen käsittelyä kolmannelle osapuolelle — esimerkiksi pilvipalveluntarjoajalle, markkinointitoimistolle, kirjanpitäjälle tai IT-toimittajalle.
Rekisterinpitäjä on yleisen tietosuoja-asetuksen (EU 2016/679) 4 artiklan 7 kohdan mukaisesti se, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Käsittelijä on 4 artiklan 8 kohdan mukaisesti se, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Tietojenkäsittelysopimus rajaa käsittelijän roolin ja velvollisuudet sekä varmistaa, että henkilötiedot pysyvät asianmukaisesti suojattuina koko käsittelyketjun läpi.
Tietojenkäsittelysopimuksen keskeinen merkitys on kolmiosainen. Ensinnäkin se täyttää yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan kirjallisuusvaatimuksen: käsittelijää sitoo sopimus tai muu oikeudellinen asiakirja, joka määrittää käsittelyn kohteen, keston, luonteen ja tarkoituksen, henkilötietoryhmät ja rekisteröityjen ryhmät sekä käsittelijän velvollisuudet. Toiseksi se suojaa rekisterinpitäjää, sillä ilman sopimusta rekisterinpitäjä voi joutua vastuuseen käsittelijän virheistä. Kolmanneksi se luo selkeän toimintamallin poikkeustilanteisiin, kuten tietoturvaloukkauksen ilmoittamiseen tietosuojavaltuutetun toimistolle.
Tietojenkäsittelysopimus eroaa tietosuojaselosteesta ja rekisterinpitäjien yhteissopimuksesta. Tietosuojaseloste on informointiasiakirja rekisteröidyille yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan mukaisesti. Rekisterinpitäjien yhteissopimus yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan mukaisesti koskee tilannetta, jossa kaksi tai useampi rekisterinpitäjä käsittelee tietoja yhteisesti. Tietojenkäsittelysopimus koskee puolestaan rekisterinpitäjän ja käsittelijän suhdetta, jossa käsittelijä ei käytä tietoja omiin tarkoituksiinsa.
Tyypillisiä tietojenkäsittelysopimussuhteita Suomessa ovat verkkokauppias ja maksunvälittäjä, työnantaja ja palkanlaskentapalvelu, rekisterinpitäjä ja CRM-järjestelmän SaaS-toimittaja, toimisto ja pilvipalveluntarjoaja sekä rekisterinpitäjä ja sähköpostimarkkinointipalvelu. Kaikissa näissä käsittelijä käsittelee henkilötietoja rekisterinpitäjän ohjeistuksen mukaan ilman itsenäistä määräysvaltaa käsittelyn tarkoituksiin.
Kansallinen tietosuojalaki (1050/2018) täydentää yleistä tietosuoja-asetusta (EU 2016/679) Suomessa. Laki sisältää kansallisia erityissäännöksiä muun muassa käsittelijän toimintaan viranomaistoiminnassa ja erityisissä käsittelytilanteissa. Tietosuojavaltuutetun toimisto on Suomen kansallinen valvontaviranomainen, joka valvoo sekä rekisterinpitäjien että käsittelijöiden tietosuojasääntelyn noudattamista. forms-legal.com tarjoaa ilmaisen tietojenkäsittelysopimusmallin suomalaisen tietosuojaympäristön tarpeisiin.
Tietojenkäsittelysopimuksen käyttäminen on myös liiketoiminnallisesti viisasta. Sopimus estää epäselvyydet vastuunjaossa tietoturvaloukkauksen sattuessa, helpottaa auditointeja ja tarkastuksia yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan h alakohdan mukaisesti sekä osoittaa osoitusvelvollisuuden täyttymisen 5 artiklan 2 kohdan mukaisesti. Monilla suuryrityksillä on vakiomuotoiset tietojenkäsittelysopimukset, jotka niiden toimittajien on hyväksyttävä ennen toimeksiannon aloittamista.
PK-yritysten kohdalla tietojenkäsittelysopimus on usein laiminlyöty velvollisuus, vaikka esimerkiksi yksinkertaisen Mailchimp-sähköpostilistanhallinnan tai Google Analyticsin käyttö edellyttää asianmukaista sopimusta. Tietosuojavaltuutetun toimisto on korostanut ohjeissaan, että jokainen rekisterinpitäjä on velvoitettu solmimaan tietojenkäsittelysopimukset kaikkien käsittelijöidensä kanssa riippumatta organisaation koosta tai toimialasta.
When Do You Need a Data Processing Agreement Finland?
Tietojenkäsittelysopimus Suomessa tarvitaan aina, kun rekisterinpitäjä antaa kolmannelle osapuolelle tehtäväksi henkilötietojen käsittelyn rekisterinpitäjän puolesta. Velvollisuus perustuu yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 1 kohtaan, jonka mukaan rekisterinpitäjä saa käyttää ainoastaan käsittelijöitä, jotka tarjoavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta.
Pilvipalvelut ja SaaS-järjestelmät. Kaikki SaaS-palvelujen käyttö, jossa henkilötiedot tallentuvat palveluntarjoajan infrastruktuuriin, edellyttää tietojenkäsittelysopimusta. Tällaisia ovat CRM-järjestelmät, sähköpostimarkkinointialustat, HR-järjestelmät, projektinhallintatyökalut ja verkkokauppa-alustat. Palveluntarjoajilla on usein vakiomuotoinen DPA (Data Processing Agreement), jonka he toimittavat asiakkaille.
Palkanlaskenta ja kirjanpito. Ulkoistettu palkanlaskenta ja kirjanpito tarkoittavat, että tilitoimisto tai palkkahallintoyritys käsittelee työnantajan työntekijöiden henkilötietoja. Koska tilitoimisto ei käsittele tietoja omaan lukuunsa vaan työnantajan ohjeistuksen mukaisesti, kyseessä on käsittelijäsuhde, joka edellyttää tietojenkäsittelysopimusta.
Markkinointipalvelut. Kun mainostoimisto, digitaalinen markkinointitoimisto tai analytiikkapalvelu käsittelee rekisterinpitäjän asiakkaiden tai potentiaalisten asiakkaiden henkilötietoja kohdentamista, kampanjaa tai analytiikkaa varten, kyseessä on käsittelijäsuhde. Myös sähköpostimarkkinointipalveluiden (Mailchimp, Brevo jne.) yhteydessä tarvitaan tietojenkäsittelysopimus.
IT-palvelut ja tukipalvelut. IT-palveluntarjoajat, jotka ylläpitävät rekisterinpitäjän järjestelmiä tai voivat käsitellä tuen yhteydessä henkilötietoja, ovat käsittelijöitä. Sama koskee hosting-palveluita, tietokantapalveluita ja varmuuskopiointipalveluita. Näiden kanssa on solmittava tietojenkäsittelysopimus, joka kattaa tietoturvavaatimukset ja alikäsittelijöiden käytön.
Logistiikka ja toimitus. Verkkokauppias, joka luovuttaa asiakkaan toimitusosoitteen ja puhelinnumeron kuljetusliikkeelle toimitusta varten, toimii kyseisessä tilanteessa rekisterinpitäjänä ja kuljetusliike käsittelijänä. Tietojenkäsittelysopimus tarvitaan myös tässä tapauksessa, ellei kuljetusliike käytä tietoja myös omiin tarkoituksiinsa (jolloin kyseessä olisi erillinen rekisterinpitäjä).
Asiakaspalvelun ulkoistaminen. Call center tai chat-tukipalvelu, joka hoitaa asiakaspalvelua rekisterinpitäjän puolesta ja käsittelee asiakkaiden henkilötietoja rekisterinpitäjän ohjeiden mukaan, on käsittelijä. Tietojenkäsittelysopimus on välttämätön, ja se on erityisen tärkeää tilanteissa, joissa asiakaspalvelu on ulkoistettu EU:n ulkopuolelle.
Tietoturva- ja auditointipalvelut. Tietoturva-auditointeja tai penetraatiotestausta tekevät yritykset, jotka pääsevät käsiksi rekisterinpitäjän järjestelmiin ja henkilötietoihin, ovat käsittelijöitä. Tietojenkäsittelysopimus on solmittava ennen minkäänlaisen pääsyn myöntämistä järjestelmiin. Sama koskee VAROITUS: kolmannen osapuolen tietosuoja-auditointipalveluita.
Viraston ja toimiston ulkoistetut palvelut. Monet pienet yritykset ja ammatinharjoittajat käyttävät pilvipohjaisesti toimivia toimistosovelluksia, kuten Google Workspace tai Microsoft 365. Nämä palvelut käsittelevät sähköposteja, asiakirjoja ja yhteystietoja, jotka voivat sisältää henkilötietoja. Molemmissa edellä mainituissa palveluissa on saatavilla GDPR-yhteensopivia tietojenkäsittelyssopimuksia, jotka on hyväksyttävä palvelun käyttöehdoissa tai erillisessä sopimusprosessissa. Tietosuojavaltuutetun toimiston mukaan näiden sopimusten asianmukainen hyväksyminen ja dokumentointi on rekisterinpitäjän velvollisuus riippumatta yrityksen koosta.
What to Include in Your Data Processing Agreement Finland
Kattava Tietojenkäsittelysopimus Suomessa sisältää seuraavat osatekijät yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan mukaisesti.
Käsittelyn kohde, luonne ja tarkoitus. Sopimuksessa on yksilöitävä konkreettisesti, mitä henkilötietoja käsitellään, minkä palvelun tai toimeksiannon yhteydessä ja mihin tarkoitukseen rekisterinpitäjän lukuun. Kuvaus ei saa olla liian yleinen — sen on vastattava todellista käsittelytoimintaa. Myös käsittelyn kesto on ilmoitettava.
Henkilötietoryhmät ja rekisteröidyt. Sopimuksessa on lueteltava käsiteltävät henkilötietoryhmät (esimerkiksi yhteystiedot, tilaustiedot, maksutiedot, IP-osoitteet) ja kuvattava rekisteröidyt ryhmittäin (esimerkiksi asiakkaat, työntekijät, potentiaaliset asiakkaat). Erityisten henkilötietoryhmien käsittelystä yleisen tietosuoja-asetuksen (EU 2016/679) 9 artiklan mukaisesti on mainittava erikseen.
Käsittelijän velvollisuudet yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan a–h mukaisesti. Velvollisuudet kattavat käsittelyn vain dokumentoitujen ohjeiden mukaan (a), käsittelyyn osallistuvien salassapitovelvollisuuden (b), tekniset ja organisatoriset turvatoimet yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaisesti (c), alikäsittelijöiden käytön edellytykset (d), avun rekisteröidyn oikeuksien toteuttamisessa (e), avun rekisterinpitäjälle sen velvoitteiden täyttämisessä (f), poistamisen tai palauttamisen sopimuksen päätyttyä (g) sekä tarkastus- ja auditointioikeuden (h). forms-legal.com -malli kattaa kaikki nämä velvollisuudet suomalaisten PK-yritysten tarpeisiin.
Tekniset ja organisatoriset turvatoimet. Sopimuksen on kuvattava, mitä turvatoimia käsittelijä toteuttaa yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaisesti. Tyypillisiä toimenpiteitä ovat tietojen salaus siirron aikana (TLS 1.2+) ja levossa, käyttöoikeuksien hallinta (tarpeenmukaisuusperiaate), monivaiheinen tunnistautuminen hallinnollisiin järjestelmiin, säännölliset tietoturvakatselmukset ja henkilöstön koulutus.
Alikäsittelijät. Rekisterinpitäjä voi antaa yleisen tai erityisen luvan alikäsittelijöiden käyttöön yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 2 kohdan mukaisesti. Yleisluvan yhteydessä käsittelijän on ilmoitettava uusista alikäsittelijöistä etukäteen, ja rekisterinpitäjällä on vastustamisoikeus. Erityislupa edellyttää jokaisen alikäsittelijän nimenomaista hyväksyntää. Käsittelijä vastaa alikäsittelijöiden toiminnasta kuin omastaan.
Tietoturvaloukkausten ilmoittaminen. Sopimuksessa on vahvistettava, kuinka nopeasti käsittelijä ilmoittaa tietoturvaloukkauksen rekisterinpitäjälle. Koska rekisterinpitäjällä on 72 tunnin ilmoitusaika tietosuojavaltuutetun toimistolle yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan mukaisesti, käsittelijän ilmoituksen on tultava riittävän ajoissa — hyvä käytäntö on 24 tunnin aikaraja.
Siirrot EU:n ja ETA:n ulkopuolelle. Jos käsittelijä siirtää henkilötietoja EU:n ja ETA:n ulkopuolelle, siirron peruste on ilmoitettava yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaisesti. Yleinen peruste on komission vakiosopimuslausekkeet, joita kutsutaan myös SCC-lausekkeiksi (Standard Contractual Clauses). Sopimukseen voidaan liittää vakiosopimuslausekkeet osaksi tietojenkäsittelysopimusta.
Voimassaolo ja päättyminen. Tietojenkäsittelysopimus on yleensä sidottu pääsopimuksen voimassaoloon. Päättymiseen on liitettävä velvollisuus palauttaa tai tuhota henkilötiedot yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan g alakohdan mukaisesti. Käsittelijällä voi olla oikeus säilyttää tietoja pidempään, jos EU:n tai jäsenvaltion lainsäädäntö edellyttää sitä.
Standard Contractual Clauses (SCC) 2021. EU:n komissio hyväksyi uudet vakiosopimuslausekkeet vuonna 2021 (päätös 2021/914/EU). Nämä SCC-lausekkeet sisältävät erillisen moduulin rekisterinpitäjä-käsittelijä-siirtoja varten (moduuli 2 ja 3) ja korvasivat aiemmat vakiosopimuslausekkeet. Suomessa tietosuojavaltuutetun toimisto on ohjannut, että kaikki EU:n ulkopuolelle tehtävät siirrot on päivitettävä uusien SCC-lausekkeiden mukaisiksi. Tietojenkäsittelysopimukseen on liitettävä SCC-lausekkeet siirtoliitteenä, jos käsittelijä käyttää EU:n tai ETA:n ulkopuolisia palvelimia tai alikäsittelijöitä. Uudet SCC-lausekkeet edellyttävät myös transfer impact assessmentia (TIA), jossa arvioidaan kohdemaan tietosuojan taso suhteessa EU-vaatimuksiin.
How to Fill Out Your Data Processing Agreement Finland
Tietojenkäsittelysopimus Suomessa täytetään seuraavien vaiheiden mukaisesti yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan vaatimusten täyttämiseksi.
Vaihe 1 — Yksilöi osapuolet. Ilmoita rekisterinpitäjän ja käsittelijän täydelliset nimet, Y-tunnukset ja osoitteet. Varmista, että nimet vastaavat kaupparekisteritietoja. Jos käsittelijä on ulkomainen yritys, ilmoita vastaava yritystunnus ja kotimaa.
Vaihe 2 — Kuvaa käsittelyn kohde ja tarkoitus. Kirjoita konkreettinen kuvaus siitä, mitä henkilötietoja käsitellään, minkä palvelun tai toimeksiannon yhteydessä ja mihin tarkoitukseen. Vältä liian yleisiä kuvauksia kuten "henkilötiedot yleisesti" — ole spesifi, jotta sopimus vastaa todellista toimintaa.
Vaihe 3 — Luettele henkilötietoryhmät. Merkitse kaikki henkilötietoryhmät, joita käsittelijä käsittelee sopimuksen nojalla. Erityisten henkilötietoryhmien (terveys, uskonto, ammattiliiton jäsenyys) käsittely on mainittava erikseen yleisen tietosuoja-asetuksen (EU 2016/679) 9 artiklan mukaisesti.
Vaihe 4 — Kuvaa rekisteröidyt. Ilmoita, keiden tietoja käsitellään — esimerkiksi kuluttaja-asiakkaat, yritysasiakkaiden yhteyshenkilöt tai rekisterinpitäjän omat työntekijät. Tarkka kuvaus auttaa tunnistamaan vastuut tietoturvaloukkauksen sattuessa.
Vaihe 5 — Päätä alikäsittelijöistä. Valitse, salliiko sopimus alikäsittelijöiden käytön. Jos sallit, ilmoita, edellytetäänkö yleinen lupa vai erityinen tapauskohtainen hyväksyntä. Suomalaisten PK-yritysten kannalta yleislupa (listaamalla hyväksytyt alikäsittelijät liitteessä) on käytännöllisin ratkaisu.
Vaihe 6 — Määritä käsittelymaa. Ilmoita, missä maassa tai alueella käsittely tapahtuu. Jos käsittely tapahtuu osittain EU:n ulkopuolella, tarkista siirtoperuste yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaisesti ja kirjaa se sopimukseen.
Vaihe 7 — Päätä sopimuksen kestosta. Sidotaanko sopimus pääsopimuksen kestoon vai onko sillä erillinen irtisanomisaika? Hyvä käytäntö on, että tietojenkäsittelysopimus on voimassa niin kauan kuin pääsopimus. Ilmoita myös, mitä henkilötiedoille tapahtuu sopimuksen päätyttyä.
Vaihe 8 — Allekirjoita sopimus. Molempien osapuolten valtuutettujen edustajien on allekirjoitettava sopimus. Sopimus voidaan tehdä sähköisesti tai fyysisesti. Suomessa sähköinen allekirjoitus on pätevä sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009) nojalla.
Legal Requirements for Data Processing Agreement Finland
Tietojenkäsittelysopimus Suomessa kuuluu yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan ja tietosuojalain (1050/2018) sääntelyn piiriin.
Velvollisuus solmia sopimus yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan mukaisesti. Rekisterinpitäjä saa käyttää ainoastaan käsittelijöitä, jotka tarjoavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta henkilötietojen suojaamiseksi 28 artiklan 1 kohdan mukaisesti. Käsittelyä sääntelee sopimus tai muu oikeudellinen asiakirja 28 artiklan 3 kohdan mukaisesti. Ilman sopimusta rekisterinpitäjä rikkoo yleistä tietosuoja-asetusta (EU 2016/679), ja siitä voi seurata hallinnollinen seuraamusmaksu 83 artiklan mukaisesti.
Sopimuksen pakolliset sisältövaatimukset yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan mukaisesti. Sopimuksen on sääntelevä käsittelyn kohdetta, kestoa, luonnetta ja tarkoitusta, henkilötietojen tyyppiä, rekisteröityjen ryhmää sekä rekisterinpitäjän velvollisuuksia ja oikeuksia. Sopimuksen on erityisesti velvoitettava käsittelijää kaikissa 28 artiklan 3 kohdan a–h alakohdissa mainituissa seikoissa.
Käsittelijän velvollisuudet käsitellä vain dokumentoitujen ohjeiden mukaan. Käsittelijä saa käsitellä henkilötietoja vain Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, myös siirroissa kolmansiin maihin yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan a alakohdan mukaisesti. Jos käsittelijä katsoo, että jokin ohje rikkoo yleistä tietosuoja-asetusta (EU 2016/679) tai muuta tietosuojalainsäädäntöä, käsittelijän on ilmoitettava tästä Rekisterinpitäjälle.
Tietoturva yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaisesti. Rekisterinpitäjän ja käsittelijän on molemmat toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet riskiin suhteutetun turvatason varmistamiseksi. 32 artiklan mukaiset toimenpiteet sisältävät muun muassa pseudonymisoinnin ja salauksen, kyvyn varmistaa jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kyvyn palauttaa tiedot tietoturvahäiriön jälkeen.
Tietoturvaloukkausilmoitus yleisen tietosuoja-asetuksen (EU 2016/679) 33 ja 34 artiklan mukaisesti. Rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkaus tietosuojavaltuutetun toimistolle 72 tunnin kuluessa loukkauksen havaitsemisesta 33 artiklan mukaisesti. Käsittelijän on viipymättä ilmoitettava rekisterinpitäjälle havaitsemistaan loukkauksista 33 artiklan 2 kohdan mukaisesti. Korkean riskin loukkaukset on ilmoitettava rekisteröidyille 34 artiklan mukaisesti.
Hallinnolliset seuraamusmaksut yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan mukaisesti. Tietojenkäsittelysopimuksen puuttuminen tai puutteellisuus on rikkomus, josta voidaan määrätä seuraamusmaksu enintään 10 miljoonaa euroa tai kaksi prosenttia maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi on suurempi, yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan 4 kohdan mukaisesti. Tietosuojavaltuutetun toimisto on antanut ohjeita tietojenkäsittelysopimusten sisällöstä, ja suomalainen käytäntö vastaa yleistä eurooppalaista tulkintaa.
Rekisterinpitäjän vastuu käsittelijän valinnasta yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 1 kohdan mukaisesti. Rekisterinpitäjän on varmistettava ennen käsittelijän valintaa, että käsittelijä tarjoaa riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta. Tämä tarkoittaa käytännössä, että rekisterinpitäjän on arvioitava käsittelijän tietoturvataso ennen sopimuksen solmimista. Arviointi voidaan tehdä pyytämällä ISO 27001 -sertifiointia, SOC 2 -raporttia tai muuta vastaavaa kolmannen osapuolen arviota, tai tietoturvakyselyn avulla. Tietosuojavaltuutetun toimisto on korostanut, että rekisterinpitäjällä on velvollisuus due diligence -arviointiin käsittelijöiden suhteen, ei pelkästään velvollisuus solmia sopimus.
Common Mistakes to Avoid in Your Data Processing Agreement Finland
Tavanomaiset virheet Tietojenkäsittelysopimus Suomessa laadinnassa voivat johtaa siihen, ettei yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan vaatimukset täyty.
Virhe 1 — Sopimus puuttuu kokonaan. Yleisin virhe on se, ettei tietojenkäsittelysopimusta ole lainkaan, vaikka käsittelijäsuhde on olemassa. Tämä koskee erityisesti SaaS-palveluita, sähköpostimarkkinointialustoja ja palkanlaskentapalveluita. Ratkaisu: kartoita kaikki ulkoiset toimijat, jotka käsittelevät organisaation henkilötietoja, ja varmista, että sopimus on olemassa kunkin kanssa.
Virhe 2 — Liian yleinen sopimus. Sopimus, jossa kuvaus käsittelystä on liian yleinen (esimerkiksi vain "henkilötiedot"), ei täytä yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan spesifisyysvaatimuksia. Ratkaisu: kuvaa käsittelyn kohde, tarkoitus, henkilötietoryhmät ja rekisteröityjen ryhmät konkreettisesti.
Virhe 3 — Alikäsittelijöiden laiminlyönti. Käsittelijä käyttää alikäsittelijöitä (esimerkiksi pilviinfrastruktuuria tai alihankkijaa) ilman, että rekisterinpitäjä on antanut siihen luvan tai käsittelijä on asettanut alikäsittelijöille samat velvoitteet. Ratkaisu: kirjaa sopimukseen alikäsittelijöiden käytön ehdot ja ylläpidä ajantasaista listaa hyväksytyistä alikäsittelijöistä.
Virhe 4 — Puuttuva ilmoitusmenettely tietoturvaloukkauksille. Sopimus, jossa ei ole selkeää menettelyä tietoturvaloukkauksen ilmoittamiseksi käsittelijältä rekisterinpitäjälle, estää rekisterinpitäjää täyttämästä 72 tunnin ilmoitusvelvollisuutensa yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan mukaisesti. Ratkaisu: sovi 24 tunnin ilmoitusajasta käsittelijän ja rekisterinpitäjän välillä.
Virhe 5 — Siirrot EU:n ulkopuolelle ilman perustetta. Käsittelijä käyttää EU:n tai ETA:n ulkopuolisia palvelimia tai alikäsittelijöitä ilman asianmukaista siirtoperustetta. Ratkaisu: selvitä käsittelijän käyttämä infrastruktuuri ja varmista, että siirrot EU:n ulkopuolelle perustuvat yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaiseen perusteeseen, tyypillisesti vakiosopimuslausekkeisiin.
Virhe 6 — Sopimuksen vanhentuminen. Sopimus solmitaan kerran eikä sitä päivitetä, kun palvelu tai käsittelyn luonne muuttuu. Ratkaisu: katso sopimus läpi vähintään vuosittain ja päivitä se, kun käsittely muuttuu olennaisesti, kun alikäsittelijät vaihtuvat tai kun lainsäädäntö päivittyy.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Data Processing Agreement Finland (Finland) [Legal document template]. Forms Legal. https://forms-legal.com/suomi/business/policies/data-processing-agreement-finland
"Data Processing Agreement Finland (Finland)." Forms Legal, 2026, https://forms-legal.com/suomi/business/policies/data-processing-agreement-finland.
@misc{formslegal-data-processing-agreement-finland,
author = {{Forms Legal}},
title = {Data Processing Agreement Finland (Finland)},
year = {2026},
howpublished = {\url{https://forms-legal.com/suomi/business/policies/data-processing-agreement-finland}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
Tietojenkäsittelysopimus on yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan edellyttämä kirjallinen sopimus rekisterinpitäjän ja käsittelijän välillä. Se tarvitaan aina, kun rekisterinpitäjä ulkoistaa henkilötietojen käsittelyä kolmannelle osapuolelle, joka käsittelee tietoja rekisterinpitäjän puolesta ja ohjeiden mukaisesti. Tyypillisiä tilanteita ovat pilvipalveluiden käyttö, palkanlaskennan ulkoistaminen, sähköpostimarkkinointipalvelut ja IT-tukipalvelut. Sopimus varmistaa, että käsittelijä sitoutuu yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan velvollisuuksiin ja suojaa siten rekisterinpitäjän vastuun. Sopimuksen puuttuminen on itsessään rikkomus, josta voidaan määrätä hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan mukaisesti. Tietosuojavaltuutetun toimisto on Suomen kansallinen valvontaviranomainen, joka valvoo sopimuksen olemassaoloa ja sisältöä.
Tietojenkäsittelyssopimuksessa on yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan mukaisesti oltava säännöt käsittelyn kohteesta, kestosta, luonteesta ja tarkoituksesta, henkilötietoryhmistä ja rekisteröityjen ryhmistä sekä rekisterinpitäjän velvollisuuksista ja oikeuksista. Sopimuksen on velvoitettava käsittelijää: käsittelemään tietoja vain dokumentoitujen ohjeiden mukaan (a), varmistamaan salassapitovelvollisuuden (b), toteuttamaan yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaiset turvatoimet (c), noudattamaan alikäsittelijöiden käyttöön liittyviä ehtoja (d), avustamaan rekisteröidyn oikeuksien toteuttamisessa (e), avustamaan rekisterinpitäjää sen velvoitteiden täyttämisessä (f), poistamaan tai palauttamaan henkilötiedot sopimuksen päätyttyä (g) sekä sallimaan tarkastukset ja auditoinnit (h). Sopimuksessa on myös käsiteltävä EU:n ulkopuolisia siirtoja yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaisesti, jos käsittely tapahtuu EU:n ulkopuolella.
Rekisterinpitäjä on yleisen tietosuoja-asetuksen (EU 2016/679) 4 artiklan 7 kohdan mukaisesti luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Käsittelijä on 4 artiklan 8 kohdan mukaisesti luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Erottava tekijä on se, kuka päättää käsittelyn tarkoituksista: jos yritys käsittelee tietoja omiin tarkoituksiinsa, se on rekisterinpitäjä; jos se käsittelee toisen puolesta tämän ohjeistuksen mukaan, se on käsittelijä. Esimerkiksi verkkokauppa on rekisterinpitäjä asiakkaidensa tietojen suhteen, mutta käyttämänsä CRM-järjestelmän toimittajalle se on rekisterinpitäjä ja CRM-toimittaja on käsittelijä. Tietojenkäsittelysopimus tarvitaan aina näiden kahden roolin välille.
Kyllä, käsittelijä voi käyttää alikäsittelijöitä, mutta vain rekisterinpitäjän antamalla luvalla yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 2 kohdan mukaisesti. Lupa voi olla yleinen (käsittelijä voi käyttää alikäsittelijöitä, mutta ilmoittaa niistä etukäteen) tai erityinen (jokainen alikäsittelijä on erikseen hyväksyttävä). Yleislupa on käytännöllisin ratkaisu useimmissa SaaS-palvelusuhteissa, joissa toimittajalla on laaja alikäsittelijäverkosto. Rekisterinpitäjällä on vastustamisoikeus uusien alikäsittelijöiden hyväksymisessä. Käsittelijä on vastuussa rekisterinpitäjälle alikäsittelijöiden toiminnasta kuin omastaan ja on velvoitettava alikäsittelijät samoihin tietosuojavelvoitteisiin kuin tietojenkäsittelysopimuksessa on asetettu käsittelijälle. Tietosuojavaltuutetun toimisto suosittelee, että rekisterinpitäjät pyytävät käsittelijöiltä ajantasaisen listan kaikista alikäsittelijöistä.
Tietojenkäsittelysopimuksen päättyessä käsittelijän on yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan 3 kohdan g alakohdan mukaisesti rekisterinpitäjän valinnan mukaan joko poistettava kaikki henkilötiedot tai palautettava ne rekisterinpitäjälle ja poistettava sen jälkeen olemassa olevat kopiot. Ainoa poikkeus on, jos EU:n tai jäsenvaltion lainsäädäntö edellyttää henkilötietojen säilyttämistä. Suomessa esimerkiksi kirjanpitolaki (1336/1997) edellyttää kirjanpitoaineiston säilyttämistä kuusi vuotta, mikä voi tarkoittaa, että kirjanpitoon sisältyviä henkilötietoja on säilytettävä lakisääteisen velvoitteen nojalla tietojenkäsittelysopimuksen päättymisestä huolimatta. Käytännössä palvelunsiirtyminen on suunniteltava huolellisesti: rekisterinpitäjän on pyydettävä tiedot siirrettävässä muodossa ennen palvelun sulkemista ja varmistettava, että käsittelijä on tosiasiallisesti poistanut tiedot ja voi tarvittaessa todistaa tämän.
Tietojenkäsittelysopimus tehdään rekisterinpitäjän ja käsittelijän välillä yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan mukaisesti. Käsittelijä käsittelee tietoja rekisterinpitäjän puolesta eikä käytä tietoja omiin tarkoituksiinsa. Rekisterinpitäjien yhteissopimus puolestaan tehdään kahden tai useamman rekisterinpitäjän välillä yleisen tietosuoja-asetuksen (EU 2016/679) 26 artiklan mukaisesti, kun ne yhdessä määrittävät käsittelyn tarkoitukset ja keinot. Esimerkki: verkkokauppa (rekisterinpitäjä) ja sen CRM-toimittaja (käsittelijä) solmivat tietojenkäsittelysopimuksen. Kaksi konserniyhtiötä, jotka jakavat HR-järjestelmän ja molemmat käyttävät sen tietoja omiin HR-tarkoituksiinsa, solmivat rekisterinpitäjien yhteissopimuksen. Valinta on oleellinen, koska se määrittää vastuunjaon ja sen, kumpi taho vastaa rekisteröidyille. Epäselvissä tilanteissa tietosuojavaltuutetun toimisto voi antaa ohjausta oikean sopimustyypin valinnassa.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Tietosuojaseloste
Verkkosivustojen ja organisaatioiden tietosuojaseloste yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan ja tietosuojalain (1050/2018) mukaisesti. Kuvaa rekisterinpitäjän, käsiteltävät tietoryhmät, oikeusperusteet, säilytysajat, rekisteröidyn oikeudet, evästeet ja valituksen tietosuojavaltuutetun toimistolle.
SaaS-sopimus Suomi
Kirjallinen SaaS-sopimus ohjelmistopalvelun tilaamisesta, käyttöoikeuksista, palvelutasoista (SLA) ja tietosuojasta. Tietosuojalaki (1050/2018), IT2018 YSE -ehdot ja GDPR Suomessa.