Asiakirjamallit

Sopimus henkilötietojen käsittelystä / tietosuojasopimus

Tietosuojasopimuksessa eli henkilötietojen käsittelysopimuksessa rekisterinpitäjä ja henkilötietojen käsittelijä sopivat, miten käsittelijän tulee suojata rekisterinpitäjän sille luovuttamat tiedot yksityishenkilöistä. Lue lisää
Lainsäädäntö FI
Kieli fi Suomi
Aiheet Juristin päivittämä 28.3.2023

Mikä on sopimus henkilötietojen käsittelystä?

Sopimuksessa henkilötietojen käsittelystä rekisterinpitäjä ja henkilötietojen käsittelijä sopivat, miten käsittelijän tulee suojata rekisterinpitäjän sille luovuttamat henkilötiedot. Sopimusta voidaan nimittää paitsi sopimukseksi henkilötietojen käsittelystä, myös tietosuojasopimukseksi, tietojenkäsittelysopimukseksi, GDPR-sopimukseksi tai DPA:ksi (Data Processing Agreement).

Mitä ovat henkilötiedot?

Henkilötietoja ovat kaikki tiedot, joiden perusteella voidaan suoraan tai epäsuorasti tunnistaa yksityishenkilö. Henkilötietoja ovat esimerkiksi nimi, henkilötunnus, osoitetiedot sekä verkkotunnistetiedot kuten IP-osoite. Käsiteltävät henkilötietoryhmät tulee määritellä tietojenkäsittelysopimuksessa.

Milloin tietosuojasopimus pitää laatia?

Kun yritys käsittelee toiselta yritykseltä saamiaan henkilötietoja, tulee näiden osapuolten laatia henkilötietojen käsittelystä kirjallinen sopimus. Tällainen tilanne on tyypillisesti käsillä, kun yritykset siirtävät esimerkiksi asiakkaidensa tai työntekijöidensä henkilötietoja alihankkijoilleen.

Laatimisvelvollisuus pohjautuu EU:n yleiseen tietosuoja-asetukseen (General Data Protection Regulation eli ”GDPR”), jolla yritysten tietosuojavaatimuksia tiukennettiin huomattavasti. Huomiota ovat herättäneet erityisesti korkeat sakot ja muut sanktiot, joita tietosuojavaltuutettu voi asetukseen pohjautuen langettaa rikkomuksista.

Tietosuojan merkitys on viime aikoina muutoinkin kasvanut, joten hyvällä tietojenkäsittelytavalla voi erottautua edukseen.

Mitä tietosuojasopimuksessa tulee olla?

Lainsäädäntö asettaa varsin laajat velvollisuudet siihen, mistä tietojenkäsittelysopimuksissa tulee sopia. Sopimuksessa tulee määritellä muun muassa henkilötietojen käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet.

Miten laadin sopimuksen helpoiten?

Docuen tietojenkäsittelysopimuksen malli muuntuu tuhansiin eri tilanteisiin. Voit lisätä mallisisältöjämme sopimukseesi vapaasti ja muokata niitä tarpeittesi mukaan. Kysymys ei ole siis perinteisestä yksittäisestä pohjasta tai lomakepohjasta, vaan modernista teknologiasta, joka sisältää tuhansien eri pohjien ehdot ja mallisisällöt.

Mitä malliehtoja Docue tarjoaa tietojenkäsittelysopimukseen?

Docue tarjoaa lakiin pohjautuvat malliehdot muun muassa seuraavilla osa-alueilla:

  • Rekisterinpitäjän yleiset oikeudet ja velvollisuudet
  • Henkilötietojen käsittelijän yleiset oikeudet ja velvollisuudet
  • Alihankkijoiden käyttö tietojenkäsittelyssä
  • Tietojenkäsittelyn maantieteellinen sijainti
  • Tietojenkäsittelyn auditointi
  • Salassapito
  • Henkilötietojen käsittelyn tarkoitus
  • Käsiteltävät henkilötiedot
  • Tietoturva
  • Sopimuksen voimassaolo ja henkilötietojen käsittelyn kesto
  • Vastuunrajoitukset ja muut vastuukysymykset

Mallisisältöjemme ohella voit vapaasti lisätä omia sisältöjäsi henkilötietojen käsittelysopimukseesi.

Mikä ero on rekisterinpitäjällä ja henkilötietojen käsittelijällä? Kumpi minun yritykseni on?

Koko tietojenkäsittelysopimuksen luonteen vuoksi on keskeistä, että tehdään ero rekisterinpitäjän ja henkilötietojen käsittelijän välillä.

Rekisterinpitäjä on se osapuoli, joka määrää henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijä on se osapuoli, joka käsittelee luovutettavia henkilötietoja rekisterinpitäjän lukuun. Käytännössä käsittelijä on siis tietynlainen "työrukkanen", jolla ei tule olla sopimusteknisesti minkäänlaista valtaa määrätä henkilötietojen käsittelyn kulkua.

Henkilötietojen käsittelijän mahdollisuudet joutua vastuuseen henkilötietojen virheellisestä käsittelystä ovat lähtökohtaisesti matalammat kuin rekisterinpitäjän, jos käsittelijä on menetellyt asianmukaisen tietosuojasopimuksen mukaisesti.

Tyypillinen henkilötietojen käsittelijä voi olla esimerkiksi palkanlaskija, joka laskee ja maksaa toisen yrityksen palkat tämän ohjeiden mukaisesti.

Miten kuvaan yritykseni tietoturvakäytännöt sopimuksessa?

Tietoturvan riittävästä toteutuksesta on nimenomaisesti sovittava sopimuksessa henkilötietojen käsittelystä. Docuen tietosuojasopimuksessa voit rastittaa kohta kohdalta aina virustorjunnasta salasanasuojaukseen ja kulunvalvontaan, minkä tasoiseen tietoturvaan yrityksesi sitoutuu.

Miten toinen osapuoli voi hyväksyä Docuella luonnostelemani sopimuksen?

Voit lähettää toiselle osapuolelle tekstiviestillä tai sähköpostilla kutsun tulla tarkastelemaan valmistelemaasi sopimusta henkilötietojen käsittelystä Docuen palvelussa. Hän voi hyväksyä sopimuksen sähköisellä allekirjoituksella, joka kuuluu palveluumme. Käyttämällä sähköistä allekirjoitustamme täytät lakisääteiset velvoitteesi tulostamatta sivuakaan.

Miten Docuen tietosuojasopimuksen malli tarkalleen ottaen toimii?

  1. Valitse valmiista listastamme, mitä ehtoja haluat sopimukseesi (esim. alihankkijoiden käyttö, salassapito, tietoturva)
  2. Docue kysyy sinulta kohta kohdalta jatkokysymyksiä, joiden perusteella automaatio muotoilee sopimuksesi tekstit (esim. käsitelläänkö henkilötietoja EU:n ulkopuolella)
  3. Docue neuvoo eri kohdissa lakiin ja vakiintuneeseen sopimuskäytäntöön pohjautuen, mitä sinun on syytä ottaa huomioon (esim. velvollisuus sopia henkilötietojen käsittelyn kestosta)
  4. Kun sopimus on valmis, osapuolet allekirjoittavat sen sähköisesti puhelimella tai tietokoneella
  5. Sopimus arkistoituu automaattisesti yrityksesi tilille, johon pääset myöhemmin suoraan tietokoneella tai puhelimella (myös toinen osapuoli saa oman sopimuskappaleensa digitaalisesti)
  6. Jatkossa voit halutessasi muokata ja monistaa kerran tekemääsi sopimusta henkilötietojen käsittelystä vastaavanlaisiin tilanteisiin

Tags: dpa sopimus, tietosuojasopimus, GDPR-sopimus, sopimus henkilötietojen käsittelystä, tietoturva, henkilötietojen käsittely, tietojenkäsittelysopimus

Lainsäädäntö FI
Kieli fi Suomi
Aiheet Juristin päivittämä 28.3.2023

Docuesta löydät Suomen kattavimman valikoiman juridisia asiakirjamalleja – juristien ylläpitämiä. Meihin luottaa jo yli 30 000 yritystä.

"Enää ei tarvitse koluta sopivia sopimuspohjia ympäri nettiä tai tilata niitä erikseen juristilta. Docue haukkuu helposti hintansa takaisin säästyneen työajan ansiosta jo muutaman sopimuksen laatimisen jälkeen."

Perttu Paukkeri

Toimitusjohtaja, Markkinointitoimisto WDS

"Docue toimii mainiona kulmakivenä kasvuyhtiön hallinnossa, kuten työsopimuksissa ja hallituksen kokouspöytäkirjoissa. Valmiit juridiset sisällöt nopeuttavat ja laadullistavat laadintaa."

Mattipekka Kronqvist

Founder, Nsion

Ajankohtaista

Siirry blogiin

Kaupparekisterilaki uudistui – tätä se tarkoittaa nyt ja tulevaisuudessa

Uusi kaupparekisterilaki astui voimaan 1.6.2023. Uudistuksen tavoitteena on parantaa PRH:n ylläpitämän kaupparekisterin tietojen luotettavuutta sekä tehostaa rekisteröintimenettelyä. Yritysten kannalta uusi laki tuo mukanaan aiempaa ankarampia seuraamuksia velvoitteiden laiminlyönnistä. Lain soveltamisessa edetään vaiheittain. Lue alta, mitkä uudistukset tulivat voimaan heti ja mihin muutoksiin sinun tulee varautua tulevina vuosina.

Hanna Lahtela

Hanna Lahtela

1.6.2023

Työnantajan irtisanomisia koskeva tiedottamisvelvollisuus laajentunut – paransimme sisältöjämme

Työnantaja on jo ennestään ollut velvollinen tiedottamaan tuotannollisin ja taloudellisin perustein irtisanottavalle työntekijälle tämän oikeudesta eräisiin työvoimapalveluihin, kun kyseessä on joukkoirtisanominen. Vuoden 2023 alusta alkaen työnantajan irtisanomisia koskeva tiedottamisvelvollisuus on laajentunut. Lue tästä blogitekstistä, mitä muutoksia uudistus toi ja mitä toimia se edellyttää työnantajilta.

Senja Paldanius

Senja Paldanius

3.5.2023

Oletko jo tarkistanut, ovatko jälleenmyyntisopimuksesi ajan tasalla?

EU:n uusi ryhmäpoikkeusasetus tuli voimaan 1.6.2022. Asetus määrittelee, millaiset kilpailua rajoittavat ehdot ovat sallittuja jälleenmyyntisopimuksissa ja millaiset eivät. Asetuksen siirtymäaika päättyy 31.5.2023, johon mennessä vanhat sopimukset tulee päivittää uuden sääntelyn mukaisiksi.

Senja Paldanius

Senja Paldanius

4.4.2023