Pk-yrityksellä vastuu GDPR:n tietojenkäsittelysopimuksesta myös ulkoistetuissa palveluissa

Kirjoittaja: Kati Virtanen

Pk-yrityksellä on käytössään useita ulkopuolisia palveluntarjoajia kuten tilitoimisto, IT-palvelut, CRM-järjestelmä tai markkinointialusta. Nämä palvelut sisältävät käytännössä aina henkilötietojen käsittelyä, jolloin tietosuojasäännökset mm. GDPR edellyttävät, että palveluntarjoajien kanssa on tehty henkilötietojen käsittelysopimus. Moni yrittäjä ei kuitenkaan tiedä, onko tällaista sopimusta tehty tai mitä sen pitäisi sisältää.

GDPR:n mukaan rekisterinpitäjän eli yrityksen itsensä on varmistettava, että sopimus on tehty ja että se täyttää lain vaatimukset. Vastuu ei siirry palveluntarjoajalle, vaikka palvelu olisi ulkoistettu.

Mistä pk-yrittäjä tietää, onko sopimus tehty?

Sopimus voi olla sisällytetty osaksi palveluntarjoajan yleisiä sopimusehtoja tai sen liitteeksi. Monet suuremmat toimijat, kuten kansainväliset ohjelmistopalvelut, ovat sisällyttäneet käsittelysopimuksen valmiiksi omiin sopimuksiinsa. Pienempien toimijoiden kanssa sopimus voi kuitenkin puuttua kokonaan.

Jos et ole varma, kannattaa tarkistaa ainakin:

  • löytyykö sopimuksista mainintaa henkilötietojen käsittelystä

  • onko osapuolten roolit selkeästi määritelty (rekisterinpitäjä/käsittelijä)

  • sovitaanko tietojen käsittelystä, säilytyksestä ja poistosta

Pelkkä maininta ”noudatamme tietosuojasäännöksiä” ei riitä, vaan sopimuksen sisällön tulee täyttää GDPR:n vaatimukset.

Mitä jos sopimusta ei ole?

Jos käsittelysopimus puuttuu, tilanne on korjattava viipymättä. Yrityksen vastuulla on huolehtia, että henkilötietojen käsittely tapahtuu lainmukaisesti myös silloin, kun käsittely on ulkoistettu. Ilman sopimusta ei voi luottaa siihen, että tietoja käsitellään oikein, ja mahdollisten virheiden seuraukset jäävät yrittäjän kannettavaksi.

Sopimuksen puuttuminen voi tulla esiin esimerkiksi:

  • kun asiakas käyttää tietosuojaoikeuksiaan, eikä palveluntarjoaja toimi ajoissa

  • kun tietoturvaloukkaus tapahtuu ja vastuunjako on epäselvä

  • kun viranomainen pyytää osoittamaan, miten henkilötietoja suojataan

Yhteenveto: tarkista ennen kuin on myöhäistä

Tietämättömyys ei poista vastuuta – GDPR edellyttää, että sopimus on tehty kirjallisesti. Jos et ole varma, onko sopimusta olemassa tai täyttääkö se lain vaatimukset, asia kannattaa tarkistaa viipymättä. Jos sopimus puuttuu, se on laadittava ilman aiheetonta viivettä. Tämä turvaa myös sopimuskumppania, sillä GDPR velvoittaa molempia osapuolia.

Ota yhteyttä, jos haluat varmistaa, että yrityksesi sopimukset ovat kunnossa. Autamme tunnistamaan tilanteet, joissa sopimus tarvitaan, ja huolehdimme siitä, että ne täyttävät GDPR:n vaatimukset.

Kati Virtanen
Seuraava

Avioehdon merkitys osakeyhtiön osakkaan omistuksen turvaamisessa