Mikä on sopimus henkilötietojen käsittelystä?
Sopimuksessa henkilötietojen käsittelystä rekisterinpitäjä ja henkilötietojen käsittelijä sopivat, miten käsittelijän tulee suojata rekisterinpitäjän sille luovuttamat henkilötiedot. Sopimusta voidaan nimittää paitsi sopimukseksi henkilötietojen käsittelystä, myös tietosuojasopimukseksi, tietojenkäsittelysopimukseksi, GDPR-sopimukseksi tai DPA:ksi (Data Processing Agreement).
Mitä ovat henkilötiedot?
Henkilötietoja ovat kaikki tiedot, joiden perusteella voidaan suoraan tai epäsuorasti tunnistaa yksityishenkilö. Henkilötietoja ovat esimerkiksi nimi, henkilötunnus, osoitetiedot sekä verkkotunnistetiedot kuten IP-osoite. Käsiteltävät henkilötietoryhmät tulee määritellä tietojenkäsittelysopimuksessa.
Milloin tietosuojasopimus pitää laatia?
Kun yritys käsittelee toiselta yritykseltä saamiaan henkilötietoja, tulee näiden osapuolten laatia henkilötietojen käsittelystä kirjallinen sopimus. Tällainen tilanne on tyypillisesti käsillä, kun yritykset siirtävät esimerkiksi asiakkaidensa tai työntekijöidensä henkilötietoja alihankkijoilleen.
Laatimisvelvollisuus pohjautuu EU:n yleiseen tietosuoja-asetukseen (General Data Protection Regulation eli ”GDPR”), jolla yritysten tietosuojavaatimuksia tiukennettiin huomattavasti. Huomiota ovat herättäneet erityisesti korkeat sakot ja muut sanktiot, joita tietosuojavaltuutettu voi asetukseen pohjautuen langettaa rikkomuksista.
Tietosuojan merkitys on viime aikoina muutoinkin kasvanut, joten hyvällä tietojenkäsittelytavalla voi erottautua edukseen.
Mitä tietosuojasopimuksessa tulee olla?
Lainsäädäntö asettaa varsin laajat velvollisuudet siihen, mistä tietojenkäsittelysopimuksissa tulee sopia. Sopimuksessa tulee määritellä muun muassa henkilötietojen käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet.
Miten laadin sopimuksen helpoiten?
Docuen tietojenkäsittelysopimuksen malli muuntuu tuhansiin eri tilanteisiin. Voit lisätä mallisisältöjämme sopimukseesi vapaasti ja muokata niitä tarpeittesi mukaan. Kysymys ei ole siis perinteisestä yksittäisestä pohjasta tai lomakepohjasta, vaan modernista teknologiasta, joka sisältää tuhansien eri pohjien ehdot ja mallisisällöt.
Mitä malliehtoja Docue tarjoaa tietojenkäsittelysopimukseen?
Docue tarjoaa lakiin pohjautuvat malliehdot muun muassa seuraavilla osa-alueilla:
- Rekisterinpitäjän yleiset oikeudet ja velvollisuudet
- Henkilötietojen käsittelijän yleiset oikeudet ja velvollisuudet
- Alihankkijoiden käyttö tietojenkäsittelyssä
- Tietojenkäsittelyn maantieteellinen sijainti
- Tietojenkäsittelyn auditointi
- Salassapito
- Henkilötietojen käsittelyn tarkoitus
- Käsiteltävät henkilötiedot
- Tietoturva
- Sopimuksen voimassaolo ja henkilötietojen käsittelyn kesto
- Vastuunrajoitukset ja muut vastuukysymykset
Mallisisältöjemme ohella voit vapaasti lisätä omia sisältöjäsi henkilötietojen käsittelysopimukseesi.
Mikä ero on rekisterinpitäjällä ja henkilötietojen käsittelijällä? Kumpi minun yritykseni on?
Koko tietojenkäsittelysopimuksen luonteen vuoksi on keskeistä, että tehdään ero rekisterinpitäjän ja henkilötietojen käsittelijän välillä.
Rekisterinpitäjä on se osapuoli, joka määrää henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijä on se osapuoli, joka käsittelee luovutettavia henkilötietoja rekisterinpitäjän lukuun. Käytännössä käsittelijä on siis tietynlainen "työrukkanen", jolla ei tule olla sopimusteknisesti minkäänlaista valtaa määrätä henkilötietojen käsittelyn kulkua.
Henkilötietojen käsittelijän mahdollisuudet joutua vastuuseen henkilötietojen virheellisestä käsittelystä ovat lähtökohtaisesti matalammat kuin rekisterinpitäjän, jos käsittelijä on menetellyt asianmukaisen tietosuojasopimuksen mukaisesti.
Tyypillinen henkilötietojen käsittelijä voi olla esimerkiksi palkanlaskija, joka laskee ja maksaa toisen yrityksen palkat tämän ohjeiden mukaisesti.
Miten kuvaan yritykseni tietoturvakäytännöt sopimuksessa?
Tietoturvan riittävästä toteutuksesta on nimenomaisesti sovittava sopimuksessa henkilötietojen käsittelystä. Docuen tietosuojasopimuksessa voit rastittaa kohta kohdalta aina virustorjunnasta salasanasuojaukseen ja kulunvalvontaan, minkä tasoiseen tietoturvaan yrityksesi sitoutuu.
Miten toinen osapuoli voi hyväksyä Docuella luonnostelemani sopimuksen?
Voit lähettää toiselle osapuolelle tekstiviestillä tai sähköpostilla kutsun tulla tarkastelemaan valmistelemaasi sopimusta henkilötietojen käsittelystä Docuen palvelussa. Hän voi hyväksyä sopimuksen sähköisellä allekirjoituksella, joka kuuluu palveluumme. Käyttämällä sähköistä allekirjoitustamme täytät lakisääteiset velvoitteesi tulostamatta sivuakaan.
Miten Docuen tietosuojasopimuksen malli tarkalleen ottaen toimii?
- Valitse valmiista listastamme, mitä ehtoja haluat sopimukseesi (esim. alihankkijoiden käyttö, salassapito, tietoturva)
- Docue kysyy sinulta kohta kohdalta jatkokysymyksiä, joiden perusteella automaatio muotoilee sopimuksesi tekstit (esim. käsitelläänkö henkilötietoja EU:n ulkopuolella)
- Docue neuvoo eri kohdissa lakiin ja vakiintuneeseen sopimuskäytäntöön pohjautuen, mitä sinun on syytä ottaa huomioon (esim. velvollisuus sopia henkilötietojen käsittelyn kestosta)
- Kun sopimus on valmis, osapuolet allekirjoittavat sen sähköisesti puhelimella tai tietokoneella
- Sopimus arkistoituu automaattisesti yrityksesi tilille, johon pääset myöhemmin suoraan tietokoneella tai puhelimella (myös toinen osapuoli saa oman sopimuskappaleensa digitaalisesti)
- Jatkossa voit halutessasi muokata ja monistaa kerran tekemääsi sopimusta henkilötietojen käsittelystä vastaavanlaisiin tilanteisiin
Tags: dpa sopimus, tietosuojasopimus, sopimus henkilötietojen käsittelystä, GDPR-sopimus, tietoturva, tietojenkäsittelysopimus, henkilötietojen käsittely
