EU:n yleisen tietosuoja-asetuksen (englanniksi usein GDPR) soveltaminen alkaa 25.5.2018. Siitä lähtien henkilötietojen käsittelyn ulkoistamista säännellään tarkemmin kuin Suomen nykyisessä henkilötietolaissa. Nyt jos koskaan jokaisen henkilötietojen käsittelyä ulkoistavan yrityksen onkin aika tarkistaa omat palvelusopimuksensa asetuksen mukaisiksi.
1.3.2018
Täyttävätkö yrityksesi palvelusopimukset tietosuoja-asetuksen vaatimukset?
Palvelut
Tags
Vaikka henkilötietojen käsittely olisikin ulkoistettu, vastuu henkilötietojen käsittelystä säilyy rekisterinpitäjällä: rekisterinpitäjän lakisääteistä vastuuta ei siis voi ulkoistaa. Vastuun laiminlyönnistä voi aiheutua tuntuvia seuraamuksia.
Keskeistä on se, miten ulkoistava yritys eli tietosuojakielellä rekisterinpitäjä on ohjeistanut palveluntarjoajaa eli henkilötietojen käsittelijää. Ohjeiden tulee olla dokumentoituja, ja ne ovatkin usein osa niin sanottua tietojenkäsittelysopimusta, jossa määritetään sekä rekisterinpitäjän että henkilötietojen käsittelijän oikeudet ja velvollisuudet henkilötietojen käsittelyssä.
Henkilötietojen käsittelystä on tehtävä sopimus
Tietosuoja-asetus edellyttää, että henkilötietojen käsittelyn ulkoistamisesta on sovittava kirjallisella sopimuksella. Asetus myös määrää, mistä asioista tietojenkäsittelysopimuksessa tulisi vähintäänkin sopia. Niistä tärkeimpiä ovat seuraavat:
Tietosuojasopimuksia on monenlaisia
Tietosuojasopimuksen voi käytännössä tehdä joko sisällyttämällä henkilötietojen käsittelyä koskevan kappaleen tai osion varsinaiseen palvelusopimukseen tai laatimalla henkilötietojen käsittelystä erillisen liitteen tai sopimuksen. Erillinen liite on usein toimiva, koska se on helppo lisätä myös aikaisempiin sopimuksiin.
Vaikka tietosuoja-asetus edellyttää kirjallista tietojenkäsittelysopimusta, eivät EU:n tai Suomen tietosuojaviranomaiset ole toistaiseksi julkaisseet sopimusmalleja. Tämän takia monet rekisterinpitäjät ja käsittelijät ovat laatineet omat tietojenkäsittelysopimusmallinsa, joiden avulla ne pyrkivät täyttämään asetuksen vaatimukset. Koska yritysten roolit, käsiteltävät henkilötiedot ja ulkoistettavat toiminnot vaihtelevat, myös tietojenkäsittelysopimukset ovat hyvin erilaisia.
Tietosuoja-asetus asettaa tietojenkäsittelysopimukselle vähimmäisvaatimukset, mutta usein voi olla perusteltua sopia myös muista asioista. Sopimuksessa voidaan sopia esimerkiksi siitä, miten nopeasti henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle tietovuodosta.
Sopimusneuvotteluissa pinnalle nousee usein kysymys osapuolten vahingonkorvausvelvollisuudesta ja mahdollisista vastuunrajoituksista. Sen ratkaisemiseen kannattaa varata aikaa varsinkin, kun jo tehtyihin palvelusopimuksiin lisätään erillistä tietosuojaliitettä. Muita neuvotteluissa monesti esiin tulevia ehtoja ovat käsittelijän oikeus käyttää alihankkijoita, tiedonsiirrot EU:n ulkopuolelle, varmuuskopioiden säilyttäminen palvelusopimuksen päättyessä sekä käsittelijälle rekisterinpitäjän avustamisesta koituvien kustannusten korvaaminen.
Tarkkana palveluntarjoajaa valitessa
Vaikka tietojenkäsittelysopimus on tärkeä, tietosuoja on huomioitava jo palveluntarjoajaa valitessa. Tietosuoja-asetuksen nojalla rekisterinpitäjän tulee arvioida palveluntarjoajan asiantuntemusta ja käyttää ainoastaan sellaisia palveluntarjoajia, jotka antavat riittävät takeet henkilötietojen asianmukaisesta suojaamisesta.
Mitä enemmän henkilötietojen käsittelyyn liittyy rekisteröityjen näkökulmasta riskejä – jos esimerkiksi ulkoistetaan terveystietojen käsittelyä – sitä vahvempi on rekisterinpitäjän velvollisuus huolehtia, että palveluntarjoaja pystyy käsittelemään henkilötietoja turvallisesti.
Miten eteenpäin?
Tietosuoja-asetuksen vaatimuksia tehostaa merkittävä sanktioriski. Siksi rekisterinpitäjinä toimivien yritysten on ensi töikseen selvitettävä, missä tilanteissa ne siirtävät henkilötietoja palveluntarjoajille. Muuten yritysten on vaikeaa varmistaa, vastaavatko niiden sopimusehdot asetuksen vaatimuksia. Tämä koskee yhtä lailla nykyisiä ja tulevia alihankintasuhteita.
Koska asetuksen vaatimukset ovat uusia, on hyvin tavallista, etteivät yritysten voimassa olevat palvelusopimukset täytä niitä kaikkia. Jokaisen henkilötietojen käsittelyä ulkoistaneen yrityksen tulisi varautua siihen, että vanhoja sopimuksia on tarpeen muuttaa. Asetuksen voimaan tuloon on enää muutama kuukausi, joten sopimusten päivittäminen tulisi aloittaa saman tien, jos se ei ole jo käynnissä. Lisäksi tietosuoja-asetuksen vaatimukset tulisi luonnollisesti ottaa huomioon uusia sopimuksia solmittaessa.
Uusimmat uutiset
Julkaistu 24.2.2025 – Data ja teknologia
NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista
Julkaistu 15.11.2024 – Data ja teknologia
Vältä nämä sudenkuopat ja sopimusmokat strategisissa IT-hankkeissa
Julkaistu 10.10.2024 – Data ja teknologia
Uusi kaksikäyttötuotelaki astui voimaan syyskuun puolivälissä – Mitä muuttuneesta sääntelystä tulee tietää?
Julkaistu 5.9.2024 – Data ja teknologia
Teknologiahankinta voi siivittää yrityksen kasvuun – tai kaataa sen
Eija Warma-Lehtinen & Janne Koivisto
Topi Lusenius
Kim Parviainen, Lauri Laatunen & Joakim Jaulimo
Topi Lusenius, Anders Forss & Kim Parviainen
Uusimmat referenssit
PwC – Kelan Eepos-hankinnan kilpailutus
Toimimme PwC:n oikeudellisena neuvonantajana Kelan etuusjärjestelmien uudistushankkeen kilpailutuksessa, jonka PwC voitti. Kyseessä on merkittävä Suomen sosiaaliturvainfrastruktuurin modernisointia koskeva hanke. Kela on valinnut PwC:n strategiseksi kumppanikseen toteuttamaan etuusjärjestelmiensä laajan uudistuksen, joka käsittää etuuskäsittelyn tietojärjestelmien, digitaalisen asioinnin, asiakkuudenhallinnan ja tiedonvälityksen alustat. Hankkeen tavoitteena on vastata tulevaisuuden digitaalisen toimintaympäristön ja asiakkaiden vaatimuksiin. Teknologiaksi on valittu Salesforce. Uusien järjestelmien odotetaan sujuvoittavan etuuskäsittelyä ja parantavan asiakkaiden, työntekijöiden ja muiden sidosryhmien käyttäjäkokemusta. Lisäksi niiden avulla pystytään varautumaan aiempaa paremmin lainsäädäntömuutoksiin. Castrén & Snellman toimi PwC:n strategisena oikeudellisena neuvonantajana tarjouskilpailun alusta loppuun saakka. Kilpailutus toteutettiin kilpailullisena neuvottelumenettelynä. Onnittelemme lämpimästi PwC:tä tarjouskilpailun voittamisesta ja jäämme mielenkiinnolla seuraamaan, millaisia positiivisia vaikutuksia hankkeella on Suomen sosiaaliturvajärjestelmään.
Julkaistu 24.4.2025
Valio – Härkis®- ja Beanit®-härkäpapubrändien osto
Avustimme Valio Oy:tä sen ostaessa Raisio Oyj:n kasviproteiiniliiketoiminnan, siihen liittyvän käyttöomaisuuden ja Härkis®- ja Beanit®-härkäpapubrändit. Käyttöomaisuuteen kuuluvat muun muassa kasviproteiinituotteita Kauhavalla valmistavan tehtaan laitteet. Kauppa tukee Valion strategiaa kasvaa meijeriyhtiöstä ruokataloksi. Tämä liiketoimintakauppa tekee meistä entistäkin merkittävämmän kasvipohjaisten proteiinituotteiden kehittäjän ja valmistajan. Näiden tuotteiden kysyntä kasvaa pitkällä aikavälillä ja kasvupotentiaalia on vielä paljon. Vuonna 2022 ostimme Gold&Green® -liiketoiminnan ja siitä lähtien olemme tehneet vahvaa tuotekehitystä sekä uudistaneet brändiä. Myynti on kasvanut onnistuneiden tuotelanseerauksien myötä vuoden 2024 viimeisellä neljänneksellä noin 50 % edelliseen verrattuna. Tällä kaupalla rakennamme omaa tuotantokyvykkyyttä. Kauhavan tehtaan tuotantovälineet sopivat juuri meidän tarpeeseemme ja tilanteeseemme Valion liiketoimintajohtaja Kimmo Luoma sanoo. Valio on vuonna 1905 perustettu suomalainen meijeri ja ruokatalo, jonka omistajia ovat suomalaiset maidontuottajaosuuskunnat. Valiolla on tytäryhtiöt Ruotsissa, Virossa, Yhdysvalloissa ja Kiinassa. Konsernin liikevaihto vuonna 2023 oli 2 278 miljoonaa euroa, ja sillä on yli 4 000 työntekijää.
Julkaistu 14.2.2025
WithSecure – Konsultointiliiketoiminnan myynti
Avustimme WithSecure Oyj:tä sen myydessä kyberturvallisuuskonsultointiliiketoimintansa Neqstille. WithSecure Oyj on listattu NASDAQ OMX Helsingissä. Neqst on ruotsalainen sijoitusyhtiö, joka keskittyy teknologiayrityksiin. Kaupan toteutuminen edellyttää vielä tavanomaisten ehtojen täyttymistä ja viranomaishyväksyntöjä.
Julkaistu 24.1.2025
Smarter Contracts – Ensimmäisen EU:n ulkopuolisen datan välityspalvelun rekisteröinti Suomeen
Avustimme Smarter Contracts Ltd:tä prosessissa, jossa Liikenne- ja viestintävirasto Traficom vahvisti sen EU:n tunnustamaksi datan välityspalveluksi. EU:n ulkopuolisten yritysten on nimettävä laillinen edustaja johonkin EU-maahan, jotta ne voivat tarjota datan välityspalveluja datanhallinta-asetuksen mukaisesti. Smarter Contracts sijaitsee Isossa-Britanniassa ja valitsi tehtävään Suomen. Smarter Contracts on ensimmäinen Traficomin rekisteröimä EU:n ulkopuolinen datan välityspalvelu. Smarter Contractsin perustaja ja toimitusjohtaja Wayne Lloyd: Castrénin tiimin tuki oli poikkeuksellista alusta loppuun. Uuden alueen valloitus on aina haastavaa, ja ensimmäisenä EU:n ulkopuolisena datan välityspalvelun tarjoajana kohtasimme merkittäviä oikeudellisia epävarmuuksia. Näistä haasteista huolimatta Castrénin tiimi ohjasi meitä asiantuntevasti jokaisessa vaiheessa huomattavalla tehokkuudella, tarjoten meille tarvittavaa varmuutta. Smarter Contracts tarjoaa kehittyneitä suostumus- ja käyttöoikeuksien hallintapalveluita kehittämänsä Pulse Permissions Protocol® -työkalun avulla. Tämä merkkipaalu on osoitus Castrén & Snellmanin taidosta hallita monimutkaisia sääntely-ympäristöjä ja Smarter Contractsin innovatiivisesta lähestymistavasta turvalliseen ja vaatimustenmukaiseen tietojen hallintaan.
Julkaistu 11.12.2024