Edilex-palvelut

Kirjaudu sisään

Avoin
Tätä uutista voi jakaa vapaasti. Muistathan mainita lähteen edilex.fi.
Uutinen kuuluu aihealueisiin Siviilioikeus

24.9.2020 11.32 Editan webinaarissa käsiteltiin DPA-sopimusten ongelmakohtia GDPR:n voimaantulon jälkeen

Editan webinaarissa käsiteltiin DPA-sopimusten ongelmakohtia GDPR:n voimaantulon jälkeen

Data processing agreement eli sopimus henkilötietojen käsittelystä vaaditaan, kun henkilötietojen käsittely ulkoistetaan. Editan webinaarissa 23.9.2020 käsiteltiin DPA-sopimusten ongelmakohtia GDPR:n voimaantulon jälkeen. Keskiössä olivat muun muassa sopimuksen osapuolten roolit ja DPA-sopimusten tarpeellisuus eri tilanteissa, oikean käsittelysopimuksen valinta, sopimusvelvoitteiden vyöryttäminen alihankkijoille sekä henkilötietojen siirto. Esille nousi myös unionin tuomioistuimen 16.7.2020 antama Schrems II -tuomio, jolla on merkittäviä vaikutuksia henkilötietojen siirtoihin EU/ETA-alueen ulkopuolelle.

EU:n yleisen tietosuoja-asetuksen (GDPR) artikla 28 sääntelee henkilötietojen rekisterinpitäjän ja käsittelijän välillä tehtyjä sopimuksia. Usein kyseinen artikla ei sellaisenaan riitä, vaan asioista halutaan sopia yksityiskohtaisemmin, esimerkiksi vastuunjaosta, tietojen käsittelyn kestosta ja luonteesta. DPA-sopimus sisältää edellä mainitun yksityiskohtaisemman sääntelyn. Vastuu käsittelysopimuksen solmimisesta on viimekädessä aina rekisterinpitäjällä, vaikkakin GDPR on lisännyt myös käsittelijän vastuuta. Henkilötietojen käsittelyä ei tule ymmärtää liian kapea alaisena terminä, esimerkiksi jo pelkän katseluoikeuden olemassaolo järjestelmään voi täyttää määritelmän, painottaa Fujitsun lakimies Antti Iso-Markku.

Iso-Markku toi esiin, että tietojenkäsittelysopimusta laadittaessa on erityisen tärkeää huomioida roolitus eli sopijapuolten henkilötietojen käsittelyyn liittyvät roolit, jotta sovitaan oikeanlainen sopimus ja muun muassa vastuista on näin sovittu oikein. DPA-sopimus ei näin ollen ole automaattinen valinta, vaan kysymykseen voi tulla myös luovutussopimus tai yhteisrekisterinpitäjyyssopimus. On hyvä huomioida, että henkilötietojen käsittelijä voi olla myös rekisterinpitäjä käsitellessään henkilötietoja omaan lukuunsa. GDPR ei sisällä sääntelyä luovutussopimuksista, mutta sellaisen luominen on erittäin kannattavaa. Roolitusta pohdittaessa Euroopan tietosuojavaltuutetun ohjetta EU-instituutioille voidaan hyvin käyttää apuna tulkinnassa.

GDPR artikla 28 velvoittaa käsittelijän tekemään DPA-sopimukset myös omien alihankkijoidensa kanssa. Käsittelijä on vastuussa omien alihankkijoidensa toiminnasta kuin omastaan, joten mikäli käsittelijän vahingonkorvausvastuuta on rajattu, ovat rajaukset voimassa myös alihankkijoiden osalta. Alihankkijoiden käyttöä ei tule kuitenkaan sekoittaa EU/ETA-alueen ulkopuolelle tapahtuvaan tietojen siirtoon.

Koulutuspäivässä todettiin Schrems II -tuomiolla (C-311/18) (ks. myös Edilex-uutinen) olevan huomionarvoisia vaikutuksia henkilötietojen siirtoon EU/ETA-alueen ulkopuolelle. Tietosuoja-asetus ei kiellä tietojen siirtämistä EU/ETA-alueen ulkopuolelle, ellei niin ole nimenomaisesti sovittu. Edellytyksenä tosin on, että tietosuojan hyväksyttävä taso on varmistettu suojamekanismilla. Esille tuotiin, ettei 16.7.2020 alkaen ole voinut enää nojautua Privacy Shield -järjestelmään henkilötietojen siirtoa koskevana suojamekanismina. Näin ollen myös mallisopimuslausekkeiden käyttö on muuttunut haastavaksi tietojen siirrossa USA:n ja EU:n välillä, kertoi Iso-Markku. Schrems II -tuomion johdosta siirron osapuolten on nimittäin varmistettava, että vastaanottavan maan tietosuojan taso on riittävä. Yhdysvalloissa näin ei ole, ja EU ja Yhdysvallat ovatkin viestineet, että keskustelua parannellun Privacy Shield -järjestelmän toteuttamiseksi ollaan käynnistämässä. Iso-Markku toi myös esiin, että nykyisten tiedonsiirtojen kohtalo Yhdysvaltoihin on pitkälti kiinni tietosuojaviranomaisten toimista.

Tietosuojaloukkauksen tullessa käsille, on siitä ilmoitettava ilman aiheetonta viivytystä. Käsittelijän ilmoitusvelvollisuuteen ei kuitenkaan sovelleta GDPR 33 artiklan mukaista 72 tunnin määräaikaa. Osapuolten tulisi GDPR:n mukaisesti arvioida yhdessä riskin taso ja suunnitella tarvittavat suojatoimet. Osapuolten vastuut voivat tietosuoja-asetuksen 82 ja 83 artikloiden nojalla olla kolmenlaisia: osapuolten vastuu viranomaisen määräämästä sakosta, osapuolen vastuu rekisteröidylle sekä osapuolten keskinäinen vastuu. Rekisteröidyllä on aina oikeus saada korvaus keneltä tahansa käsittelyyn osallistuneelta. Regressioikeus voi puolestaan tulla sovellettavaksi GDPR 82 artiklan 5 kohdan mukaisesti.

Tietosuoja-asetus ei ota kantaa osapuolten välisten erimielisyyksien ratkaisemiseen. Onkin hyvä huomata, ettei sopimuksen tulkintaa koskevaan ehdotukseen siitä, että toisella osapuolella olisi oikeus tulkita sopimusta konfliktitilanteissa tule suostua, totesi Iso-Markku.

Lue myös Edilex-uutiset

Tutustu Edita Lakitiedon tuleviin koulutuksiin

Käräjät 18.11.2020: Voit osallistua Finlandia-talolla tai verkossa 

Vuoden monipuolisin juridiikan koulutustapahtuma

Toimittaja: Karoliina Karvinen ja Jukka Savolainen, Edilex-toimitus (jukka.savolainen@edita.fi)

Lähteet: Kuva Shutterstock.com

Lisää muistilistalle

Muuta kansioita

Dokumentti ei ole muistilistallasi. Lisää se valittuun tai uuteen kansioon.

Lisää dokumentti kansioihin tai poista se jo liitetyistä kansioista.

Lisää uusi kansio.

Lisää uusi väliotsikko.