Tietosuoja

Käsittelysopimus 2026: GDPR 28 artikla (DPA) ja pakolliset ehdot

Käsittelysopimus (DPA) GDPR 28 artiklan mukaan: milloin se on pakollinen, mitkä ovat pakolliset ehdot ja mitä riskejä puuttuvasta sopimuksesta seuraa.

Also available in:English·Français·Deutsch

Käsittelysopimus (englanniksi Data Processing Agreement, DPA) on kirjallinen sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä. Yleisen tietosuoja-asetuksen (GDPR) 28 artiklan 3 kohta tekee siitä pakollisen aina, kun ulkopuolinen taho käsittelee henkilötietoja rekisterinpitäjän lukuun: pilvipalvelun tarjoaja, SaaS-toimittaja, palkkahallinnon ulkoistuskumppani, markkinointitoimisto tai IT-tukiyritys. Sopimuksen puuttuminen tai puutteellisuus on itsenäinen rikkomus, joka voidaan sanktioida ilman yhtään tietovuotoa. Tässä oppaassa käydään läpi, milloin käsittelysopimus tarvitaan, mitkä ovat 28 artiklan pakolliset ehdot ja miten roolit määritellään oikein.

Milloin käsittelysopimus on pakollinen?

Käsittelysopimus tarvitaan aina, kun on olemassa rekisterinpitäjän ja käsittelijän suhde. Rekisterinpitäjä määrää käsittelyn tarkoitukset ja keinot; käsittelijä käsittelee tietoja rekisterinpitäjän lukuun tämän ohjeiden mukaan. Jos annat kolmannelle osapuolelle henkilötietoja käsiteltäväksi puolestasi, tarvitset sopimuksen.

28 artiklan 3 kohta ei sisällä kynnysarvoa: sopimus vaaditaan riippumatta käsittelijän koosta tai tietojen määrästä. Jo yksi ulkoistettu tehtävä – vaikkapa uutiskirjeiden lähetys tai asiakastukijärjestelmän ylläpito – synnyttää velvollisuuden. Käytännössä useimmilla organisaatioilla on kymmeniä käsittelijöitä, joista monet jäävät helposti huomaamatta: pilvitallennus, CRM, kirjanpito-ohjelmisto, arkistojen tuhoamispalvelu.

Roolin määrittely on ensimmäinen ja tärkein askel. Jos palveluntarjoaja määrittää itse käsittelyn tarkoitukset, hän ei ole käsittelijä vaan itsenäinen rekisterinpitäjä tai yhteisrekisterinpitäjä (26 artikla), jolloin sopimusrakenne on toinen. Rooli selviää käsittelytoimien selosteesta, jonka laatiminen kannattaa tehdä ennen sopimusten laatimista.

28 artiklan pakolliset ehdot

GDPR 28 artiklan 3 kohta edellyttää, että käsittelysopimus sisältää vähintään seuraavat kahdeksan asiaa:

  1. Käsittelyn kohde, kesto, luonne ja tarkoitus, käsiteltävien tietojen tyyppi sekä rekisteröityjen ryhmät;
  2. Käsittely vain rekisterinpitäjän dokumentoitujen ohjeiden mukaan, myös kolmansiin maihin tehtävien siirtojen osalta;
  3. Käsittelyyn oikeutettujen henkilöiden salassapitositoumus;
  4. GDPR 32 artiklan mukaiset tietoturvatoimet;
  5. Alikäsittelyn ehdot (rekisterinpitäjän ennakkolupa, yleinen tai erityinen);
  6. Avunanto rekisteröityjen oikeuksien toteuttamisessa (12–23 artikla);
  7. Avunanto 32–36 artiklan velvoitteissa (tietoturva, loukkausilmoitukset, vaikutustenarviointi);
  8. Tietojen poistaminen tai palauttaminen sopimuksen päättyessä sekä auditointien mahdollistaminen.

Euroopan komissio on julkaissut 28 artiklaan tarkoitetut vakiosopimuslausekkeet (täytäntöönpanopäätös (EU) 2021/915), joita voi käyttää sellaisenaan. Käytännönläheinen käsittelysopimuksen malli sisältää samat elementit valmiiksi muotoiltuina.

Alikäsittely – yleinen sudenkuoppa

28 artiklan 2 kohta kieltää käsittelijää käyttämästä alikäsittelijää ilman rekisterinpitäjän kirjallista ennakkolupaa. Lupa voi olla erityinen (nimetty alikäsittelijä) tai yleinen (käsittelijä ilmoittaa muutoksista ja rekisterinpitäjällä on oikeus vastustaa). SaaS-maailmassa yleinen lupa on vakiintunut käytäntö.

Ongelma on, että alikäsittelijät jäävät usein näkymättömiksi. Pilvipalvelun tarjoaja saattaa käyttää yhdysvaltalaista tukikeskusta tai varmuuskopiointipalvelua kolmannessa maassa. Vaadi käsittelijältäsi ajantasainen luettelo alikäsittelijöistä ja tarkista tietojen todellinen sijainti – ei vain palveluntarjoajan pääkonttorin sijaintia. Kolmansiin maihin tehtävät siirrot edellyttävät lisäksi 46 artiklan mukaisia suojatoimia, kuten vakiosopimuslausekkeita.

Alikäsittelijöiden hallinta on jatkuva velvoite, ei kertaluontoinen. Toimittajat vaihtavat alikäsittelijöitään säännöllisesti – uusi varmuuskopiointipalvelu, uusi analytiikkatyökalu tai konsernin sisäinen palvelukeskus. Yleisen luvan mallissa sinun on seurattava näitä muutosilmoituksia ja arvioitava, aiheuttaako uusi alikäsittelijä lisäriskiä, erityisesti jos se sijaitsee EU:n ulkopuolella. Käytännössä tämä edellyttää, että sinulla on ajantasainen luettelo jokaisen käsittelijän alikäsittelijöistä ja mekanismi muutosten seuraamiseen. Ilman tällaista seurantaa “yleinen lupa” muuttuu käytännössä valvomattomaksi ketjuksi, jossa tietosi voivat päätyä toimijoille ja maihin, joita et ole koskaan arvioinut.

Loukkausilmoituksen määräaika sopimuksessa

GDPR 33 artiklan 2 kohta velvoittaa käsittelijän ilmoittamaan tietoturvaloukkauksesta rekisterinpitäjälle “ilman aiheetonta viivytystä”. Tämä on liian epämääräistä. Sovi sopimuksessa täsmällinen määräaika – esimerkiksi 24 tai 48 tuntia – jotta ehdit itse tehdä oman 72 tunnin ilmoituksesi Tietosuojavaltuutetun toimistolle. Ilman sopimuksellista määräaikaa oma määräaikasi karkaa käsittelijän viivyttelyn takia.

Vastaamo-tapaus osoitti viivyttelyn seuraukset: Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Psykoterapiakeskus Vastaamolle 17.12.2021 tuolloin Suomen suurimman, 608 000 euron seuraamusmaksun muun muassa siitä, että se ei ilmoittanut tietoturvaloukkauksesta ajoissa. Ketju rekisterinpitäjän ja käsittelijän välillä on vain niin vahva kuin sen heikoin lenkki.

Milloin käsittelysopimusta ei tarvita?

Käsittelysopimus tarvitaan vain rekisterinpitäjän ja käsittelijän suhteessa. On kolme tilannetta, joissa 28 artiklan mukaista sopimusta ei sovelleta, vaikka henkilötietoja liikkuisi osapuolten välillä.

Ensinnäkin, kun vastapuoli on itsenäinen rekisterinpitäjä. Jos palveluntarjoaja määrää itse käsittelyn tarkoitukset ja keinot, hän on itsenäinen rekisterinpitäjä, ei käsittelijä. Klassinen esimerkki on tilintarkastaja tai asianajaja, joka toimii oman ammatillisen ja lakisääteisen vastuunsa nojalla. Tällöin kyse on tietojen luovutuksesta rekisterinpitäjältä toiselle, ei toimeksiannosta.

Toiseksi, kun osapuolet ovat yhteisrekisterinpitäjiä (26 artikla). Jos kaksi organisaatiota määrää yhdessä käsittelyn tarkoitukset ja keinot, ne laativat 28 artiklan sopimuksen sijaan 26 artiklan mukaisen järjestelyn, jossa sovitaan vastuunjaosta rekisteröityihin nähden.

Kolmanneksi, kun tietoja käsittelee organisaation oma henkilöstö. Työntekijä ei ole itsenäinen käsittelijä vaan osa rekisterinpitäjän organisaatiota, joten sisäiseen käsittelyyn ei tarvita käsittelysopimusta – riittää salassapito ja pääsynhallinta.

Roolin määrittely ei aina ole itsestään selvää, ja väärä luokittelu johtaa väärään sopimusrakenteeseen. Kun vastapuolen rooli on epäselvä, arvioi konkreettisesti, kuka päättää käsittelyn tarkoituksesta. Se, joka määrää “miksi”, on rekisterinpitäjä; se, joka toteuttaa toimeksiannosta, on käsittelijä. Roolit kannattaa kirjata käsittelytoimien selosteeseen, jotta sopimustarve on aina tarkistettavissa.

Käsittelijän omat velvollisuudet

On tärkeää huomata, että GDPR asettaa velvollisuuksia myös suoraan käsittelijälle – ei vain sopimuksen kautta. Käsittelijän on muun muassa ylläpidettävä omaa käsittelytoimien selostettaan (30 artiklan 2 kohta), toteutettava 32 artiklan turvatoimet, ilmoitettava loukkauksista rekisterinpitäjälle ja noudatettava alikäsittelyä koskevia sääntöjä. Jos käsittelijä ylittää toimeksiannon ja alkaa määrätä käsittelyn tarkoituksista, hänestä tulee kyseisen käsittelyn osalta rekisterinpitäjä (28 artiklan 10 kohta) omine vastuineen. Käsittelysopimus ei siis siirrä kaikkea vastuuta rekisterinpitäjälle, vaan jakaa sen – molemmat osapuolet voivat joutua vastuuseen omista laiminlyönneistään.

Mitä puuttuvasta sopimuksesta seuraa?

Puuttuva tai puutteellinen käsittelysopimus on 28 artiklan rikkomus, josta voidaan määrätä hallinnollinen seuraamusmaksu (83 artiklan 4 kohta) enintään 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta. Sopimuksen puute paljastuu tyypillisesti kahdessa tilanteessa: valvontaviranomaisen tarkastuksessa, jossa sopimukset ovat ensimmäisiä pyydettäviä asiakirjoja, ja tietoturvaloukkauksen jälkiselvittelyssä, jossa vastuunjako joudutaan riitelemään sen sijaan, että se luettaisiin sopimuksesta.

Sopimusten hallinta kannattaa keskittää. Legiscopen kaltainen ratkaisu linkittää jokaisen käsittelysopimuksen käsittelytoimien selosteesi käsittelytoimiin, jolloin näet yhdellä silmäyksellä, mitkä käsittelijät ovat vailla voimassa olevaa sopimusta.

Käsittelysuhteiden määrittelystä on saatavilla ohjeistusta Euroopan tietosuojaneuvoston (EDPB) suuntaviivoista 07/2020. Lakiteksti löytyy GDPR:n 28 artiklasta EUR-Lexissä ja tietosuojalaista (1050/2018).

Usein kysytyt kysymykset

Tarvitaanko käsittelysopimus pienenkin palveluntarjoajan kanssa?

Kyllä. 28 artiklan 3 kohta ei sisällä kynnysarvoa. Aina kun kolmas osapuoli käsittelee henkilötietoja lukuusi, kirjallinen sopimus – myös sähköisessä muodossa – on pakollinen. Palveluntarjoajan koko tai tietojen määrä ei muuta tätä.

Kuka laatii käsittelysopimuksen, asiakas vai toimittaja?

Käytännössä toimittaja tarjoaa usein oman vakiosopimuksensa. Juridisesti molemmat osapuolet vastaavat sopimuksen olemassaolosta ja lainmukaisuudesta. Älä allekirjoita toimittajan sopimusta lukematta – neuvottele vähintään alikäsittelijäluettelosta ja loukkausilmoituksen määräajasta.

Voiko käyttää komission vakiosopimuslausekkeita?

Kyllä. Täytäntöönpanopäätös (EU) 2021/915 sisältää 28 artiklaan tarkoitetut vakiolausekkeet, joita voi käyttää ilman sisällöllisiä muutoksia. Huomaa, että nämä ovat eri asia kuin siirtoja koskevat vakiolausekkeet 2021/914 – molempia voidaan tarvita samanaikaisesti.

Mitä eroa on käsittelysopimuksella ja pääsopimuksella?

Pääsopimus (esimerkiksi palvelusopimus) määrittää kaupalliset ehdot. Käsittelysopimus on erillinen tietosuojaliite tai -sopimus, joka kattaa 28 artiklan vaatimukset. Ne voidaan yhdistää samaan dokumenttiin, mutta tietosuojaehtojen on aina täytettävä 28 artiklan vähimmäissisältö.

Siirtyykö vastuu kokonaan käsittelijälle sopimuksella?

Ei. Käsittelysopimus jakaa vastuuta, mutta ei poista rekisterinpitäjän omaa vastuuta. Rekisterinpitäjä vastaa käsittelijän valinnasta ja ohjeistuksesta, ja molemmat osapuolet voivat joutua vastuuseen omista laiminlyönneistään. Jos käsittelijä käsittelee tietoja omiin tarkoituksiinsa, hänestä tulee kyseisen käsittelyn osalta itsenäinen rekisterinpitäjä (28 artiklan 10 kohta).

Voiko yksi käsittelysopimus kattaa useita palveluja?

Voi, jos sama käsittelijä tuottaa useita palveluja ja liite 1 kuvaa kunkin palvelun käsittelyn erikseen. Olennaista on, että käsittelyn kuvaus, turvatoimet ja alikäsittelijät vastaavat todellisuutta jokaisen palvelun osalta. Jos palvelut eroavat merkittävästi käsittelyn luonteeltaan, erilliset sopimukset ovat selkeämpiä.

Mitä tarkoittaa dokumentoitu ohje?

Dokumentoitu ohje on kirjallinen määräys siitä, miten ja mihin tarkoitukseen käsittelijä saa käsitellä tietoja. Se voi olla itse sopimus, sen liitteet, tilaukset tai palvelupyynnöt. Käsittelijä saa käsitellä tietoja vain näiden ohjeiden mukaisesti, ja poikkeaminen tekee käsittelijästä kyseisen käsittelyn osalta rekisterinpitäjän. Säilytä ohjeet, jotta voit osoittaa niiden sisällön jälkikäteen.

Yhteenveto

Käsittelysopimus on GDPR 28 artiklan pakollinen sopimus aina, kun ulkopuolinen taho käsittelee henkilötietoja lukuusi. Sen on sisällettävä kahdeksan pakollista ehtoa käsittelyn kuvauksesta tietojen palauttamiseen ja auditointioikeuteen. Kiinnitä erityistä huomiota alikäsittelyyn, kolmansiin maihin tehtäviin siirtoihin ja loukkausilmoituksen määräaikaan. Puuttuva sopimus on itsenäinen rikkomus, ja se paljastuu viimeistään viranomaistarkastuksessa. Käytä valmista käsittelysopimuksen mallia pohjana ja auditoi olemassa olevat sopimuksesi säännöllisesti.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →