Henkilötietojen käsittelysopimukset — tarkistuslista ja opas tietosuojavastaaville

Henkilötietojen käsittelysopimus tarvitaan aina, kun rekisterinpitäjä käyttää käsittelijää henkilötietojen käsittelyyn puolestaan. Rekisterinpitäjän ja käsittelijän ero on ratkaiseva: rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot, kun taas käsittelijä toimii vain rekisterinpitäjän ohjeiden mukaisesti. Yleisiä käsittelijäsuhteita, jotka edellyttävät käsittelysopimusta, ovat: pilvipalveluntarjoajat, sähköpostimarkkinointialustat, palkanlaskennan palveluntarjoajat, CRM-järjestelmät, analytiikkatyökalut, IT-tukiyritykset, joilla on pääsy henkilötietoihin, ja ulkoiset asiakaspalvelukeskukset. Kaikki toimittajasuhteet eivät edellytä käsittelysopimusta. Jos yritys käyttää palvelua, jossa henkilötietoja ei käsitellä (esim. toimistotarvikkeiden hankinta), käsittelysopimusta ei tarvita. Vastaavasti, jos kaksi osapuolta itsenäisesti määrittää käsittelyn tarkoitukset, he ovat yhteisrekisterinpitäjiä 26 artiklan nojalla ja tarvitsevat yhteisrekisterinpitäjyyden sopimuksen käsittelysopimuksen sijaan. Ulkoisille tietosuojavastaaville yksi yleisimmistä auditointihavainnoista on puutteellinen käsittelysopimusten kattavuus. Asiakkailla on usein 20–30 käsittelijäsuhdetta mutta vain 10–15 käsittelysopimusta. Järjestelmällinen kartoitus kaikista toimittajasuhteista on olennainen ensimmäinen askel.

Tietosuoja-asetuksen 28 artiklan 3 kohta määrittelee käsittelysopimuksen vähimmäissisällön. Jokaisen käsittelysopimuksen on sisällettävä: käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Näiden perusteiden lisäksi käsittelysopimuksen on määrättävä, että käsittelijä: käsittelee tietoja vain rekisterinpitäjän dokumentoitujen ohjeiden perusteella, varmistaa, että valtuutettu henkilöstö on sitoutunut salassapitovelvollisuuteen, toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet (32 artikla), käyttää alikäsittelijöitä vain ennalta saadulla luvalla ja vastaavilla sopimusvelvoitteilla, avustaa rekisterinpitäjää rekisteröidyn oikeuspyyntöihin vastaamisessa, avustaa tietoturvaloukkausilmoituksessa ja tietosuojan vaikutusarviointivelvollisuuksissa, poistaa tai palauttaa tiedot sopimuksen päättyessä ja antaa käyttöön kaikki vaatimustenmukaisuuden osoittamiseksi tarvittavat tiedot mukaan lukien auditointimahdollisuus. Monet organisaatiot käyttävät käsittelijän toimittamia mallikäsittelysopimuksia (esim. AWS, Google, Microsoft). Vaikka nämä mallipohjat kattavat usein pakolliset lausekkeet, ne voivat sisältää rekisterinpitäjälle epäedullisia ehtoja — kuten laajat alikäsittelijäoikeudet, rajoitettu auditointipääsy tai minimaaliset vastuukatot. Tarkista aina käsittelijän toimittamat käsittelysopimukset kriittisesti.

Yleisin virhe on, ettei käsittelysopimusta ole lainkaan olemassa oleville käsittelijäsuhteille. Monet organisaatiot solmivat sopimuksia SaaS-palveluntarjoajien kanssa vuosia ennen tietosuoja-asetuksen voimaantuloa eivätkä koskaan lisänneet käsittelysopimusta. Nämä puutteet ovat yksi helpoimmista auditointihavainnoista, joita valvontaviranomaiset voivat tunnistaa. Toinen yleinen ongelma on vanhentuneet käsittelysopimukset, jotka eivät heijasta nykyisiä käsittelytoimia. Käsittelysopimus, joka on allekirjoitettu kun yritys käytti palvelua perussähköpostiin, ei välttämättä kata laajennettua käyttötarkoitusta, joka nyt sisältää markkinointiautomaation, profiloinnin ja rajat ylittävät tiedonsiirrot. Alikäsittelijöiden hallinta jää usein huomiotta. Artiklan 28(2) nojalla rekisterinpitäjän on valtuutettava alikäsittelijät — joko erikseen tai yleisesti vastustamisoikeudella. Monilla käsittelijöillä on alikäsittelijäluetteloita, jotka muuttuvat säännöllisesti (erityisesti suurilla pilvipalveluntarjoajilla). Tietosuojavastaavien tulisi varmistaa, että asiakkailla on prosessi alikäsittelijämuutosten tarkistamiseksi. Lopuksi sopimuksen päättymisehdot jäävät usein huomiotta. Määritteleekö käsittelysopimus tietojen poistamisen vai palautuksen? Millä aikataululla? Missä muodossa? Nämä yksityiskohdat muuttuvat kriittisiksi palveluntarjoajaa vaihdettaessa tai käsittelijäsuhteen päättyessä.

Ulkoiselle tietosuojavastaavalle, joka hallitsee 10–20 asiakasta, joista jokaisella on 15–30 käsittelijäsuhdetta, käsittelysopimusten manuaalinen seuranta muuttuu epäkäytännölliseksi. Se tarkoittaa potentiaalisesti 200–600 käsittelysopimusta, joiden päättymispäiviä, alikäsittelijämuutoksia ja vaatimustenmukaisuuspuutteita on seurattava. Järjestelmällinen lähestymistapa alkaa keskitetystä arkistosta. Jokaiselle asiakkaalle ylläpidetään luetteloa kaikista käsittelijäsuhteista vastaavan käsittelysopimuksen tilalla: voimassa, puuttuu, vanhentunut tai tarkistettavana. Linkitä jokainen käsittelysopimus vastaaviin käsittelytoimiin selosteessasi — tämä luo kattavan vaatimustenmukaisuuskuvan. Aseta päättymishälytykset määräaikaisille käsittelysopimuksille. Monet käsittelysopimukset ovat sidottuja taustalla olevaan palvelusopimukseen ja uusiutuvat automaattisesti, mutta joillakin on kiinteä voimassaoloaika. Vanhentunut käsittelysopimus tarkoittaa käsittelyä ilman voimassa olevaa oikeudellista järjestelyä — selkeä tietosuoja-asetuksen rikkomus. Standardoi käsittelysopimuksen tarkistuslistasi. Sen sijaan, että lukisit jokaisen käsittelysopimuksen alusta, tarkista 28 artiklan 3 kohdan pakolliset elementit, arvioi alikäsittelijämääräykset, varmista tiedonsiirtojen suojatoimet (erityisesti Schrems II -päätöksen jälkeen) ja vahvista sopimuksen päättymisehdot. Trustee.eu mahdollistaa kaiken tämän seurannan asiakaskohtaisesti tilaindikaattoreilla ja määräaikamuistutuksilla.