Tietosuoja

Käsittelysopimus malli 2026: valmis DPA-pohja (GDPR 28 artikla)

Valmis käsittelysopimuksen (DPA) malli GDPR 28 artiklan mukaan: täydellinen sopimuspohja, näin mukautat sen sekä yleiset virheet, joita kannattaa välttää.

Also available in:Français·Deutsch·Español

Etsitkö valmista käsittelysopimuksen (DPA) mallia, joka on yleisen tietosuoja-asetuksen (GDPR) 28 artiklan mukainen? Tässä se on, valmiina mukautettavaksi. Käsittelysopimus on pakollinen aina, kun henkilötietojen käsittelijä käsittelee tietoja rekisterinpitäjän lukuun: pilvipalvelu, SaaS-toimittaja, palkkahallinnon kumppani tai markkinointitoimisto. Alla on täydellinen malli artikla artiklalta, minkä jälkeen käydään läpi, miten se mukautetaan omaan tilanteeseen ja mitkä ovat yleisimmät virheet. Sopimuksen taustasta ja pakollisista ehdoista kerrotaan tarkemmin 28 artiklan oppaassa.

28 artiklan kahdeksan pakollista ehtoa

Malli kattaa GDPR 28 artiklan 3 kohdan vähimmäissisällön: käsittelyn kuvaus, käsittely vain dokumentoidun ohjeen mukaan, salassapito, tietoturva (32 artikla), alikäsittelyn ehdot, avunanto rekisteröityjen oikeuksissa, avunanto 32–36 artiklan velvoitteissa sekä tietojen palauttaminen tai poistaminen ja auditointi. Euroopan komissio on julkaissut aiheesta myös vakiosopimuslausekkeet (täytäntöönpanopäätös (EU) 2021/915), joita voi käyttää sellaisenaan.

Käsittelysopimuksen malli

HENKILÖTIETOJEN KÄSITTELYSOPIMUS

Osapuolet: [Yritys X], Y-tunnus [•], osoite [•], jäljempänä “Rekisterinpitäjä” ja [Yritys Y], Y-tunnus [•], osoite [•], jäljempänä “Käsittelijä

1. Kohde ja tausta. Tämä sopimus sääntelee henkilötietojen käsittelyä, jonka Käsittelijä suorittaa Rekisterinpitäjän lukuun [päävsopimuksen / palvelusopimuksen, pvm] perusteella. Sopimukseen sovelletaan yleistä tietosuoja-asetusta (EU) 2016/679 (GDPR) ja tietosuojalakia (1050/2018).

2. Käsittelyn kuvaus (liite 1).

  • Käsittelyn luonne ja tarkoitus: [esim. SaaS-palvelun tarjoaminen, tietojen tallennus ja käsittely]
  • Käsittelyn kesto: päävsopimuksen voimassaoloaika
  • Henkilötietoryhmät: [esim. yhteystiedot, tunnistetiedot, käyttölokitiedot]
  • Rekisteröityjen ryhmät: [esim. asiakkaat, työntekijät, potentiaaliset asiakkaat]

3. Rekisterinpitäjän ohjeet. Käsittelijä käsittelee henkilötietoja ainoastaan Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, myös kolmansiin maihin tehtävien siirtojen osalta, ellei unionin tai jäsenvaltion laki muuta edellytä. Käsittelijä ilmoittaa Rekisterinpitäjälle, jos ohje on sen käsityksen mukaan GDPR:n vastainen.

4. Salassapito. Käsittelijä varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee lakisääteinen salassapitovelvollisuus.

5. Tietoturva. Käsittelijä toteuttaa GDPR 32 artiklan mukaiset tekniset ja organisatoriset turvatoimet, jotka on kuvattu liitteessä 2. Toimiin sisältyvät muun muassa tietojen salaus siirrossa ja lepotilassa, pääsynhallinta, lokitus, testatut varmuuskopiot ja häiriönhallintaprosessi.

6. Alikäsittely. Käsittelijä ei käytä alikäsittelijää ilman Rekisterinpitäjän [yleistä / erityistä] kirjallista ennakkolupaa. Yleisen luvan tapauksessa Käsittelijä ilmoittaa suunnitelluista muutoksista (liite 3) ja varaa Rekisterinpitäjälle [30] päivää aikaa vastustaa niitä. Käsittelijä asettaa alikäsittelijöilleen samat velvoitteet kuin tässä sopimuksessa ja vastaa niiden toiminnasta täysimääräisesti.

7. Rekisteröityjen oikeudet. Käsittelijä avustaa Rekisterinpitäjää asianmukaisin teknisin ja organisatorisin toimin täyttämään velvollisuutensa vastata rekisteröityjen pyyntöihin (GDPR 12–23 artikla). Käsittelijä toimittaa suoraan vastaanottamansa pyynnöt viipymättä Rekisterinpitäjälle vastaamatta niihin itse.

8. Tietoturvaloukkaukset. Käsittelijä ilmoittaa Rekisterinpitäjälle henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä ja viimeistään [24/48] tunnin kuluessa saatuaan siitä tiedon, sekä antaa GDPR 33 artiklan 3 kohdan mukaiset tiedot.

9. Avunanto. Käsittelijä avustaa Rekisterinpitäjää GDPR 32–36 artiklan velvoitteiden täyttämisessä (tietoturva, loukkausilmoitukset, vaikutustenarviointi, ennakkokuuleminen) ottaen huomioon käsittelyn luonteen ja käytettävissään olevat tiedot.

10. Tietojen palauttaminen ja poistaminen. Sopimuksen päättyessä Käsittelijä Rekisterinpitäjän valinnan mukaan poistaa tai palauttaa kaikki henkilötiedot ja hävittää olemassa olevat jäljennökset, ellei laki edellytä säilyttämistä. Poisto vahvistetaan kirjallisesti.

11. Auditointi. Käsittelijä antaa Rekisterinpitäjälle kaikki tiedot, jotka ovat tarpeen tämän sopimuksen noudattamisen osoittamiseksi, ja sallii auditoinnit, mukaan lukien tarkastukset, [15] päivän ennakkoilmoituksella.

12. Siirrot kolmansiin maihin. Kaikki siirrot EU:n ulkopuolelle perustuvat riittävyyspäätökseen tai GDPR 46 artiklan mukaisiin suojatoimiin (vakiosopimuslausekkeet 2021/914), tarvittaessa täydennettynä siirtovaikutusten arvioinnilla.

Liitteet: 1. Käsittelyn kuvaus — 2. Tekniset ja organisatoriset turvatoimet — 3. Hyväksytyt alikäsittelijät.

Paikka ja aika. Allekirjoitukset.

Näin mukautat mallin

Määritä ensin roolit. Malli olettaa rekisterinpitäjän ja käsittelijän suhteen. Jos palveluntarjoaja määrää itse käsittelyn tarkoituksista, hän on itsenäinen rekisterinpitäjä tai yhteisrekisterinpitäjä (26 artikla), jolloin sopimusrakenne on toinen. Roolin määrittely selviää parhaiten käsittelytoimien selosteesta.

Valitse alikäsittelyn malli. Yleinen lupa (vastustusoikeudella) on SaaS-maailman vakiokäytäntö; erityinen lupa sopii arkaluonteisten tietojen ja kriittisten käsittelyjen tilanteisiin. Täydennä liite 3 todellisella alikäsittelijäluettelolla – vaadi se toimittajaltasi.

Aseta loukkausilmoituksen määräaika. 33 artiklan 2 kohta sanoo “ilman aiheetonta viivytystä”. Sovi sopimuksessa 24 tai 48 tuntia, jotta ehdit itse tehdä oman 72 tunnin ilmoituksesi.

Kuvaa turvatoimet konkreettisesti. Tyhjä tai geneerinen turvaliite (“alan parhaiden käytäntöjen mukaisesti”) ei täytä 32 artiklaa. Luettele todennettavat toimet: salaus, monivaiheinen tunnistautuminen, varmuuskopiot, palautumissuunnitelma ja tietoturvatestaus.

Yleiset virheet

  • Toimittajan sopimuksen allekirjoittaminen lukematta. Suurten toimittajien mallit rajaavat usein vastuuta ja laimentavat auditointioikeutta. Neuvottele vähintään alikäsittelijäluettelosta ja loukkausilmoituksen määräajasta.
  • “Näkymättömien” käsittelijöiden unohtaminen: tikettijärjestelmä, CRM, sähköpostityökalu, arkistojen tuhoamispalvelu. Jokaisella on oltava oma käsittelysopimuksensa – ristiintarkista käsittelytoimien selosteesi kanssa.
  • Ohjeiden dokumentoimatta jättäminen. Sopimus viittaa “dokumentoituihin ohjeisiin” – säilytä ne (liitteet, tilaukset, tiketit).
  • Kolmansien maiden siirtojen sivuuttaminen, jotka käsittelijä tekee itse (yhdysvaltalainen tuki, varakonesali). Tarkista tietojen todellinen sijainti, ei vain pääkonttorin sijaintia.
  • Sopimuksen unohtaminen laatikkoon. Käsittelysopimus ei ole kuollut asiakirja: tarkista liitteet ja alikäsittelijämuutokset vuosittain. Legiscopen kaltainen ratkaisu keskittää käsittelysopimukset ja linkittää ne automaattisesti käsittelytoimiin.

Sopimussuhteiden määrittelystä on ohjeistusta EDPB:n suuntaviivoissa 07/2020. Lakiteksti löytyy GDPR:n 28 artiklasta EUR-Lexissä ja tietosuojalaista (1050/2018).

Liitteet ratkaisevat – näin täytät ne

Käsittelysopimuksen runko on vakioitu, mutta sen todellinen arvo on liitteissä. Tyhjä tai geneerinen liite tekee koko sopimuksesta muodollisen kuoren, joka ei täytä 28 artiklaa. Kolme liitettä on täytettävä huolellisesti.

Liite 1 – Käsittelyn kuvaus. Kuvaa konkreettisesti käsittelyn luonne, tarkoitus, kesto, tietoryhmät ja rekisteröityjen ryhmät. Tämä liite vastaa suoraan käsittelytoimien selosteesi tietoja – kopioi ne johdonmukaisesti. Jos liite ja seloste eroavat, olet ristiriidassa itsesi kanssa.

Liite 2 – Tekniset ja organisatoriset turvatoimet. Tämä on liite, joka useimmiten laiminlyödään. “Alan parhaiden käytäntöjen mukaisesti” ei ole turvatoimi vaan tyhjä lause. Luettele todennettavat toimet: salaus siirrossa ja lepotilassa, monivaiheinen tunnistautuminen, pääsynhallinta ja käyttöoikeuksien vähimmäisperiaate, lokitus, testatut varmuuskopiot, palautumissuunnitelma ja säännöllinen tietoturvatestaus. Nämä toimet tukevat myös sisäänrakennetun tietosuojan periaatetta.

Liite 3 – Hyväksytyt alikäsittelijät. Luettele jokainen alikäsittelijä, sen rooli ja sijainti. Vaadi tämä luettelo toimittajaltasi – sen puuttuminen on klassinen valvontaviranomaisen huomion kohde. Tarkista erityisesti EU:n ulkopuolella sijaitsevat alikäsittelijät ja niiden suojatoimet.

Vakiosopimuslausekkeet siirtoihin. Jos käsittelijä siirtää tietoja kolmanteen maahan, käsittelysopimuksen rinnalle tarvitaan usein siirtoja koskevat vakiosopimuslausekkeet (2021/914). Nämä ovat eri asia kuin 28 artiklan lausekkeet (2021/915) – molempia voidaan tarvita samanaikaisesti, ja niiden erottaminen on yleinen sekaannuksen lähde.

Miksi puuttuva sopimus on riski

Käsittelysopimuksen puuttuminen ei ole muodollinen pikkuvirhe. GDPR 83 artiklan 4 kohdan a alakohta asettaa 28 artiklan rikkomiset ylempään sakkoluokkaan, jonka enimmäismäärä on 10 miljoonaa euroa tai 2 prosenttia maailmanlaajuisesta liikevaihdosta. Käytännössä sopimuksen puuttuminen on myös helpoimmin todettava rikkomus: valvontaviranomainen pyytää tarkastuksessa ensimmäisenä juuri käsittelysopimukset ja alikäsittelijäluettelot. Jos rekisterinpitäjä ei pysty osoittamaan, että jokaista käsittelijää sitoo 28 artiklan mukainen sopimus, osoitusvelvollisuus (5 artiklan 2 kohta) jää täyttymättä. Tietosuojavaltuutetun toimisto käsittelee näitä tilanteita osana yleistä valvontaansa – ajantasainen kuva valvonnasta löytyy Tietosuojavaltuutetun toimiston sivuilta. Sopimuksen puuttuminen kytkeytyy usein myös puutteelliseen käsittelytoimien selosteeseen ja epäselviin toimijarooleihin, joten korjaus kannattaa tehdä kokonaisuutena eikä yksittäisenä paikkauksena.

Usein kysytyt kysymykset

Voiko tätä mallia käyttää sellaisenaan?

Malli kattaa 28 artiklan 3 kohdan pakolliset ehdot, mutta se on aina mukautettava todelliseen käsittelyyn: liitteet 1–3 (käsittelyn kuvaus, turvatoimet, alikäsittelijät) on täytettävä konkreettisin tiedoin. Tyhjillä liitteillä sopimus ei täytä lain vaatimuksia.

Kuka laatii käsittelysopimuksen, asiakas vai toimittaja?

Käytännössä toimittaja tarjoaa usein oman vakiosopimuksensa, mutta juridisesti molemmat osapuolet vastaavat sopimuksen olemassaolosta ja lainmukaisuudesta. Voit käyttää tätä mallia oman sopimuspohjasi lähtökohtana tai vertailukohtana toimittajan sopimukselle.

Tarvitaanko erillinen sopimus jokaiselle käsittelijälle?

Kyllä. Jokainen käsittelijä tarvitsee oman käsittelysopimuksensa, koska käsittelyn kuvaus, turvatoimet ja alikäsittelijät ovat erilaisia. Yksi yleissopimus ei kata kaikkia käsittelijöitä.

Riittääkö sähköinen allekirjoitus?

Kyllä. 28 artiklan 9 kohta edellyttää kirjallista muotoa, joka voi olla myös sähköinen. Sähköisellä allekirjoituksella tehty käsittelysopimus on pätevä.

Onko malli juridisesti sitova sellaisenaan?

Malli on lähtökohta, ei valmis sopimus. Se muuttuu sitovaksi, kun osapuolet täydentävät liitteet, sopivat avoimista kohdista (esimerkiksi ilmoitusmääräaika ja alikäsittelyn malli) ja allekirjoittavat sen. Olennaiset sopimukset kannattaa tarkistuttaa juristilla ennen allekirjoitusta.

Sopiiko sama malli sekä pilvipalveluun että markkinointitoimistoon?

Runko sopii molempiin, mutta liitteet eroavat merkittävästi: käsittelyn kuvaus, tietoryhmät, turvatoimet ja alikäsittelijät ovat erilaisia. Täytä liitteet aina kunkin käsittelijän todellisen toiminnan mukaan – sama runko, eri liitteet.

Yhteenveto

Käsittelysopimuksen malli kattaa GDPR 28 artiklan kaksitoista keskeistä kohtaa ja kolme liitettä: käsittelyn kuvaus, dokumentoidut ohjeet, salassapito, tietoturva, alikäsittely, avunanto rekisteröityjen oikeuksissa ja 32–36 artiklan velvoitteissa, tietojen palauttaminen sekä auditointi. Käytä mallia pohjana, täytä liitteet konkreettisin tiedoin ja mukauta alikäsittelyn malli sekä loukkausilmoituksen määräaika tilanteeseesi. Auditoi olemassa olevat sopimuksesi säännöllisesti – ne ovat ensimmäisiä asiakirjoja, jotka valvontaviranomainen pyytää tarkastuksessa.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →