Mikä on tietojenkäsittelysopimus tai DPA?

Kirjallisen tietojenkäsittelysopimuksen (englanniksi Data Processing Agreement tai DPA) tekeminen on pakollista, kun tietosuojalainsäädännön tarkoittama henkilötietojen käsittelijä käsittelee henkilötietoja – esimerkiksi asiakas- tai henkilöstötietoja, rekisterinpitäjän toimeksiannosta ja lukuun.

Esimerkiksi markkinointitoimisto, pilvipalvelu tai HR-konsultti saattaa käsitellä rekisterinpitäjänä olevan asiakkaansa henkilötietoja tämän lukuun ja puolesta palveluiden tarjoamisen yhteydessä. Tällaisessa tilanteessa EU:n yleinen tietosuoja-asetus (GDPR) edellyttää, että henkilötietojen käsittelijän ja rekisterinpitäjän välillä on solmittu kirjallinen tietojenkäsittelysopimus. Asetus myös määrittelee sopimuksen vähimmäisehdot. Vaikka laki määrittelee vähimmäisehdot ja asiat joista on sovittava, voi ehdoista, velvoitteista ja vastuista kuitenkin neuvotella. Tietojenkäsittelysopimus auttaakin selventämään vastuita ja velvollisuuksia käsittelijän ja rekisterinpitäjän välillä. Tietojenkäsittelysopimuksia tehdään myös itsenäisten rekisterinpitäjien taikka yhteisrekisterinpitäjien välillä silloin kun henkilötietoja luovutetaan osapuolten välillä. Usein tietojenkäsittelysopimus on kaupallisen sopimuksen liitteenä.

Avustamme ammattitaidolla ja kokemuksella asiakkaitamme tietojenkäsittelysopimusten tekemisen kaikissa vaiheissa – selkokielellä, ketterästi ja kustannustehokkaasti. Tarkistamme ja kommentoimme myös toisen laatimia tietojenkäsittelysopimuksia.


tietojenkäsittelysopimus - dpa - tietosuojasopimus - sopimus henkilötietojen käsittelystä

Palvelumme:

  • Tietojenkäsittelysopimuksen laadinta

  • Tietojenkäsittelysopimuksen tarkistaminen ja kommentointi


Tietojenkäsittelysopimuksella sovittavia keskeisiä asioita:

  1. Tietojen käsittelyn tarkoitus: Selitetään, mihin tarkoitukseen tietoja käsitellään.

  2. Käsittelyn kesto ja luonne: Määritellään, kuinka kauan tietoja käsitellään ja millä tavalla niitä käsitellään.

  3. Tietojen luovuttaminen: Sopimuksessa voidaan määritellä, saako käsittelijä luovuttaa tietoja kolmansille osapuolille tai toisille käsittelijöille.

  4. Tietoturva: Sovitaan toimenpiteistä, joilla varmistetaan tietojen asianmukainen suojaaminen.

  5. Käsittelijän velvollisuudet: Selvitetään, mitä velvollisuuksia käsittelijällä on tietojen käsittelyssä.

  6. Rekisterinpitäjän velvollisuudet: Määritellään rekisterinpitäjän vastuut ja velvollisuudet tietojen luovutuksen yhteydessä.

  7. Auditoinnit: Saattaa sisältää säännökset siitä, että rekisterinpitäjällä on oikeus tarkistaa käsittelijän tietoturvakäytännöt.