EU:n yleisen tietosuoja-asetuksen (englanniksi usein GDPR) soveltaminen alkaa 25.5.2018. Siitä lähtien henkilötietojen käsittelyn ulkoistamista säännellään tarkemmin kuin Suomen nykyisessä henkilötietolaissa. Nyt jos koskaan jokaisen henkilötietojen käsittelyä ulkoistavan yrityksen onkin aika tarkistaa omat palvelusopimuksensa asetuksen mukaisiksi.
1.3.2018
Täyttävätkö yrityksesi palvelusopimukset tietosuoja-asetuksen vaatimukset?
Palvelut
Tags
Vaikka henkilötietojen käsittely olisikin ulkoistettu, vastuu henkilötietojen käsittelystä säilyy rekisterinpitäjällä: rekisterinpitäjän lakisääteistä vastuuta ei siis voi ulkoistaa. Vastuun laiminlyönnistä voi aiheutua tuntuvia seuraamuksia.
Keskeistä on se, miten ulkoistava yritys eli tietosuojakielellä rekisterinpitäjä on ohjeistanut palveluntarjoajaa eli henkilötietojen käsittelijää. Ohjeiden tulee olla dokumentoituja, ja ne ovatkin usein osa niin sanottua tietojenkäsittelysopimusta, jossa määritetään sekä rekisterinpitäjän että henkilötietojen käsittelijän oikeudet ja velvollisuudet henkilötietojen käsittelyssä.
Henkilötietojen käsittelystä on tehtävä sopimus
Tietosuoja-asetus edellyttää, että henkilötietojen käsittelyn ulkoistamisesta on sovittava kirjallisella sopimuksella. Asetus myös määrää, mistä asioista tietojenkäsittelysopimuksessa tulisi vähintäänkin sopia. Niistä tärkeimpiä ovat seuraavat:
Tietosuojasopimuksia on monenlaisia
Tietosuojasopimuksen voi käytännössä tehdä joko sisällyttämällä henkilötietojen käsittelyä koskevan kappaleen tai osion varsinaiseen palvelusopimukseen tai laatimalla henkilötietojen käsittelystä erillisen liitteen tai sopimuksen. Erillinen liite on usein toimiva, koska se on helppo lisätä myös aikaisempiin sopimuksiin.
Vaikka tietosuoja-asetus edellyttää kirjallista tietojenkäsittelysopimusta, eivät EU:n tai Suomen tietosuojaviranomaiset ole toistaiseksi julkaisseet sopimusmalleja. Tämän takia monet rekisterinpitäjät ja käsittelijät ovat laatineet omat tietojenkäsittelysopimusmallinsa, joiden avulla ne pyrkivät täyttämään asetuksen vaatimukset. Koska yritysten roolit, käsiteltävät henkilötiedot ja ulkoistettavat toiminnot vaihtelevat, myös tietojenkäsittelysopimukset ovat hyvin erilaisia.
Tietosuoja-asetus asettaa tietojenkäsittelysopimukselle vähimmäisvaatimukset, mutta usein voi olla perusteltua sopia myös muista asioista. Sopimuksessa voidaan sopia esimerkiksi siitä, miten nopeasti henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle tietovuodosta.
Sopimusneuvotteluissa pinnalle nousee usein kysymys osapuolten vahingonkorvausvelvollisuudesta ja mahdollisista vastuunrajoituksista. Sen ratkaisemiseen kannattaa varata aikaa varsinkin, kun jo tehtyihin palvelusopimuksiin lisätään erillistä tietosuojaliitettä. Muita neuvotteluissa monesti esiin tulevia ehtoja ovat käsittelijän oikeus käyttää alihankkijoita, tiedonsiirrot EU:n ulkopuolelle, varmuuskopioiden säilyttäminen palvelusopimuksen päättyessä sekä käsittelijälle rekisterinpitäjän avustamisesta koituvien kustannusten korvaaminen.
Tarkkana palveluntarjoajaa valitessa
Vaikka tietojenkäsittelysopimus on tärkeä, tietosuoja on huomioitava jo palveluntarjoajaa valitessa. Tietosuoja-asetuksen nojalla rekisterinpitäjän tulee arvioida palveluntarjoajan asiantuntemusta ja käyttää ainoastaan sellaisia palveluntarjoajia, jotka antavat riittävät takeet henkilötietojen asianmukaisesta suojaamisesta.
Mitä enemmän henkilötietojen käsittelyyn liittyy rekisteröityjen näkökulmasta riskejä – jos esimerkiksi ulkoistetaan terveystietojen käsittelyä – sitä vahvempi on rekisterinpitäjän velvollisuus huolehtia, että palveluntarjoaja pystyy käsittelemään henkilötietoja turvallisesti.
Miten eteenpäin?
Tietosuoja-asetuksen vaatimuksia tehostaa merkittävä sanktioriski. Siksi rekisterinpitäjinä toimivien yritysten on ensi töikseen selvitettävä, missä tilanteissa ne siirtävät henkilötietoja palveluntarjoajille. Muuten yritysten on vaikeaa varmistaa, vastaavatko niiden sopimusehdot asetuksen vaatimuksia. Tämä koskee yhtä lailla nykyisiä ja tulevia alihankintasuhteita.
Koska asetuksen vaatimukset ovat uusia, on hyvin tavallista, etteivät yritysten voimassa olevat palvelusopimukset täytä niitä kaikkia. Jokaisen henkilötietojen käsittelyä ulkoistaneen yrityksen tulisi varautua siihen, että vanhoja sopimuksia on tarpeen muuttaa. Asetuksen voimaan tuloon on enää muutama kuukausi, joten sopimusten päivittäminen tulisi aloittaa saman tien, jos se ei ole jo käynnissä. Lisäksi tietosuoja-asetuksen vaatimukset tulisi luonnollisesti ottaa huomioon uusia sopimuksia solmittaessa.
Uusimmat uutiset
Julkaistu 2.4.2026 – Data ja teknologia
AI-agentit muuttavat pelisäännöt ja alkavat määrittää yritysten arvoa
Julkaistu 2.2.2026 – Data ja teknologia
Hyvin laadittu jakelusopimus auttaa välttämään kalliit riskit
Julkaistu 22.8.2025 – Data ja teknologia
Kyberturvallisuus suojaa yrityksen arvokkainta pääomaa – tietoa
Julkaistu 19.5.2025 – Data ja teknologia
NIS 2 -direktiivi: Kyberturvallisuuden riskienhallinnan toimintamallin pitää olla valmis 8.7.2025 – katso viime hetken vinkit
Topi Lusenius, Valentin Golovanov & Wille Järvelä
Topi Lusenius & Samuli Salminen
Eija Warma-Lehtinen & Topi Lusenius
Eija Warma-Lehtinen, Hilma Laamanen & Janne Koivisto
Uusimmat referenssit
G&W Electric – Safegridin osto
Avustimme G&W Electriciä sen ostaessa suomalaisen Safegrid Oy:n, johtavan älykkäiden sähköverkon valvontaratkaisujen tarjoajan. Yrityskauppa nopeuttaa G&W Electricin pitkäaikaista strategiaa integroida älykäs verkonvalvonta ja ennakoiva analytiikka sähkönjakeluportfolioonsa sekä vahvistaa sen tarjontaa sähköyhtiöasiakkaille maailmanlaajuisesti. Vuonna 1905 perustettu G&W Electric on Illinoisin Bolingbrookissa pääkonttoriaan pitävä globaali johtaja innovatiivisissa sähköverkkojärjestelmissä, jolla on toimintaa yli 100 maassa. Yhtiö tunnetaan kehittyneiden kytkentälaitteiden, jälleenkytkinten, antureiden, järjestelmänsuojauslaitteiden sekä sähköverkon automaatioratkaisujen suunnittelusta ja valmistuksesta. Safegrid on suomalainen teknologiayritys, jonka pääkonttori sijaitsee Espoossa. Yhtiö kehittää Intelligent Grid System® -sähköverkon valvontaratkaisua, joka yhdistää langattomia antureita ja kehittynyttä analytiikkaa reaaliaikaisen tiedon tuottamiseksi verkon tilasta. Ratkaisu mahdollistaa sähköyhtiöille syntyvien ongelmien tunnistamisen, vikojen ennakoinnin sekä häiriöaikojen lyhentämisen keski- ja suurjännitteisillä jakelu- ja siirtoverkoilla.
Julkaistu 8.5.2026
Downing – Tornionlaakson Voiman koko osakekannan osto
Avustimme isobritannialaista sijoitysyhtiö Downingia sen ostaessa Tornionlaakson Voima Oy:n koko osakekannan. Tornionlaakson Voima omistaa kolme vesivoimalaitosta Tengeliönjoen vesistössä – Ylitorniolla Portimokosken, Raanujärvellä Jolmankosken ja Sirkkakoskella Kaaranneskosken voimalaitokset. Voimalaitokset tuottavat yhteensä keskimäärin noin 45 gigawattituntia sähköä vuodessa. Tornionlaakson Voiman päivittäinen toiminta jatkuu normaalisti, eikä kaupalla ole vaikutuksia asiakkaille. Kaupan toteutuminen on ehdollinen työ- ja elinkeinoministeriön hyväksynnälle. Downingilla on yli 35 vuoden kokemus monipuolisten sijoitusratkaisujen tarjoamisesta institutionaalisten sijoittajien, neuvonantajien ja yksityissijoittajien tarpeisiin. Yhtiö hallinnoi yli 2 miljardin punnan varallisuutta, sekä yksityisillä että julkisilla markkinoilla, ja sen nykyiseen vesivoimaportfolioon kuuluu Pohjoismaissa noin 50 vesivoimalaitosta.
Julkaistu 27.3.2026
Brookfield – DayOne Data Centersin miljardin euron holdco-rahoitus
Avustimme johtavaa kansainvälistä sijoitusyhtiötä Brookfieldia sekä kansainvälistä valtion sijoitusrahastoa DayOne Data Centersin miljardin euron holdco-rahoituksessa Suomen lain osalta. DayOne Data Centers on hyperscale-datakeskusten kehittäjä ja operaattori, jonka pääkonttori sijaitsee Singaporessa. Rahoitus on järjestetty seitsemänvuotisena 500 miljoonan euron holdco-rahoitusjärjestelynä, jota voidaan laajentaa miljardiin euroon ja jonka vakuutena on DayOnen Suomen kehityshankkeet. Rahoitus tukee hyperscale-hankkeiden kehitystä Lahdessa ja Kouvolassa, ja se tarjoaa lähes 300 MW suunniteltua kapasiteettia eri puolilla Suomea. Lisäksi rahoitus tukee myös DayOnen maailmanlaajuista laajentumista EU:ssa ja APAC-alueella, ja tuo joustoa kohdentaa rahoitusta myös muihin tärkeisiin kasvumarkkinoihin tarpeen mukaan.
Julkaistu 29.1.2026
SuperOffice – Lyytin osto
Toimimme Axcelin portfolioyhtiön SuperOffice AS:n suomalaisena neuvonantajana, kun se hankki Lyyti Oy:n suomalaiselta pääomasijoitusyhtiö Vaaka Partnersilta ja muilta myyjiltä. Lyyti tarjoaa johtavaa tapahtumanhallintajärjestelmää, jonka avulla voidaan toteuttaa live-, online- ja hybriditapahtumia. Yhtiöllä on vahva asiakaskunta Suomessa, Ruotsissa ja Ranskassa. SuperOffice on Pohjois-Euroopan johtava asiakkuudenhallinta- eli CRM-ohjelmistojen toimittaja pienille ja keskisuurille yrityksille. Axcel on pohjoismainen pääomasijoitusyhtiö, joka keskittyy teknologiaan, yrityspalveluihin ja teollisuuteen, terveydenhuoltoon sekä kuluttajasektoriin.
Julkaistu 9.12.2025