Data Processing Agreement (DPA) eli henkilötietojen käsittelysopimus on juridinen sopimus rekisterinpitäjän (data controller) ja henkilötietojen käsittelijän (data processor) välillä. Se määrittää, miten henkilötietoja käsitellään, mikä on kummankin osapuolen vastuu, ja miten GDPR:n vaatimukset täytetään.
Rekisterinpitäjä vs. käsittelijä
Rekisterinpitäjä (Data Controller) määrittää, miksi ja miten henkilötietoja käsitellään. Se tekee päätökset datan käsittelyn tarkoituksista ja keinoista. Esimerkki: verkkokauppa, joka kerää asiakastietoja.
Henkilötietojen käsittelijä (Data Processor) käsittelee dataa rekisterinpitäjän puolesta ja ohjeiden mukaisesti. Se ei tee itsenäisiä päätöksiä datan käytöstä. Esimerkki: sähköpostimarkkinointialustat (Mailchimp), pilvipalveluntarjoajat (AWS), CRM-järjestelmät (HubSpot).
GDPR:n artikla 28 vaatii, että rekisterinpitäjän ja käsittelijän välillä tulee olla kirjallinen sopimus (DPA), joka määrittää vastuut ja velvollisuudet.
DPA:n keskeiset elementit
Käsittelyn luonne ja tarkoitus määritellään. Mitä henkilötietoja käsitellään (esim. nimet, sähköpostit, ostoshistoria) ja mihin tarkoitukseen (esim. sähköpostimarkkinointi, analytiikka).
Käsittelyn kesto määritetään. Kuinka kauan henkilötietoja säilytetään ja mitä tapahtuu sopimuksen päättyessä (poisto, palautus).
Käsittelytoimet määritellään. Mitä käsittelijä saa tehdä datalla (esim. tallentaa, analysoida, lähettää sähköposteja) ja mitä se ei saa tehdä.
Turvallisuustoimenpiteet sovitaan. Käsittelijän tulee toteuttaa asianmukaiset tekniset ja organisatoriset toimet henkilötietojen suojaamiseksi (salaus, pääsynhallinta, auditointi).
Alihankkijat (sub-processors) listataan. Jos käsittelijä käyttää omia alihankkijoitaan (esim. pilvipalveluntarjoaja), rekisterinpitäjän tulee tietää ja hyväksyä ne. Käsittelijä vastaa alihankkijoistaan.
Tietoturvaloukkauksista ilmoittaminen sovitaan. Käsittelijän tulee ilmoittaa rekisterinpitäjälle viipymättä, jos henkilötietoja vuotaa tai vaarantuu.
Rekisteröidyn oikeudet varmistetaan. Käsittelijän tulee avustaa rekisterinpitäjää täyttämään rekisteröidyn oikeudet (oikeus tietoihin, poisto, oikaisu).
Miksi DPA on pakollinen
GDPR:n artikla 28 vaatii DPA:n. Ilman sitä yritys rikkoo GDPR:ää ja voi saada sakkoja (jopa 4% liikevaihdosta tai 20 miljoonaa euroa, kumpi suurempi).
Vastuunjako selkeytyy. DPA määrittää, kuka on vastuussa mistäkin. Jos jotain menee pieleen, on selvää, kumpi osapuoli on vastuussa.
Oikeussuoja molemmille osapuolille. DPA suojaa sekä rekisterinpitäjää että käsittelijää määrittämällä vastuut ja velvollisuudet etukäteen.
DPA:n hankkiminen käytännössä
SaaS-palveluntarjoajat tarjoavat usein valmiin DPA:n osana palveluehtoja. Esimerkiksi Google Workspace, Mailchimp, HubSpot, Salesforce – kaikki tarjoavat DPA:n, joka on allekirjoitettavissa online-portaalissa.
Standard Contractual Clauses (SCC) ovat EU-komission hyväksymiä sopimusehtoja, joita käytetään, kun dataa siirretään EU:n ulkopuolelle (esim. USA:han). Nämä ovat usein osa DPA:ta.
Neuvottelu voi olla tarpeen, jos käytät räätälöityä palvelua. Suuret yritykset voivat neuvotella DPA:n ehdoista, mutta pienet toimijat yleensä hyväksyvät palveluntarjoajan standardiehdot.
DPA ja kansainvälinen datan siirto
EU:n ulkopuolelle siirto vaatii erityisiä suojatoimia. Jos henkilötietojen käsittelijä on EU:n ulkopuolella (esim. USA), DPA:n tulee sisältää Standard Contractual Clauses tai muu hyväksytty mekanismi.
Privacy Shield kumottiin 2020, joten USA-yhtiöiden kanssa DPA:n tulee sisältää SCC:t tai luottaa uudempiin mekanismeihin kuten EU-US Data Privacy Framework.
UK GDPR vaatii vastaavat suojatoimet Isosta-Britanniasta tapahtuviin siirtoihin, koska UK irtautui EU:sta.
Yleiset virheet DPA:ssa
DPA:n puuttuminen kokonaan on yleisin virhe. Monet pk-yritykset eivät tiedä, että DPA on pakollinen, kun käyttävät kolmannen osapuolen palveluita.
Vanhentuneet DPA:t, jotka eivät huomioi GDPR:ää tai uusinta oikeuskäytäntöä (esim. Schrems II -päätös 2020).
Alihankkijoiden listaus puuttuu. Rekisterinpitäjän tulee tietää, keitä alihankkijoita käytetään ja missä data fyysisesti sijaitsee.
Epäselvät vastuut. DPA:ssa tulee olla selkeästi määritelty, kuka on vastuussa mistäkin tilanteessa (esim. tietomurto, rekisteröidyn oikeuksien täyttäminen).
Merkitys yritykselle
Jos käytät mitään kolmannen osapuolen palvelua, joka käsittelee henkilötietoja (sähköpostimarkkinointi, CRM, analytics, hosting), tarvitset DPA:n. Se on GDPR:n pakollinen vaatimus.
Pk-yritykselle käytännössä: ota yhteyttä kaikkiin palveluntarjoajiisi ja varmista, että DPA on olemassa ja allekirjoitettu. Useimmilla SaaS-yhtiöillä on online-prosessi tähän.
Älä oleta, että palveluehdot riittävät. DPA on erillinen sopimus, vaikka se voikin olla osa palveluehtoja. Varmista, että se täyttää GDPR:n artikla 28:n vaatimukset.
DPA ei ole vain juridinen paperinippu – se on käytännön työkalu vastuiden jakamiseen ja asiakkaiden datan suojaamiseen. Ota se vakavasti.