Henkilötietojen käsittelyn sopimukset (DPA)

In English

Henkilötietojen käsittelyyn liittyvät olennaisesti rekisterinpitäjän (controller) ja henkilötiedon käsittelijän (processor) käsitteet. Rekisterinpitäjä on se taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. HAMK on rekisterinpitäjä esimerkiksi HAMKin opiskelijoiden, henkilöstön, alumnien, toimittajien ja asiakkaiden tiedoille. Henkilötiedon käsittelijä puolestaan käsittelee henkilötietoja rekisterinpitäjän lukuun. Käsittelijöitä ovat tyypillisesti alihankkijat ja palveluntarjoajat, jotka käsittelevät tai voivat käsitellä rekisterinpitäjän henkilötietoja. Tässä yhteydessä henkilötietojen käsittelijä ei siis viittaa HAMKin henkilökuntaan.

Tietosuoja-asetus edellyttää, että rekisterinpitäjän ja henkilötietojen käsittelijän välillä pitää olla sopimus, Data Processing Agreement (DPA). Sopimuksen minisisältö kuvataan tietosuoja-asetuksessa.
Sopimus tarvitaan esimerkiksi silloin, jos käsitellään henkilötietoja pilvipalvelussa siten, että HAMK on rekisterinpitäjä ja palvelun tarjoaja on henkilötietojen käsittelijä. Sopimus tarvitaan myös silloin, jos HAMK on henkilötietojen käsittelijä. Myös maksuttomien palveluiden käytössä tarvitaan sopimus.
HAMKissa keskitetysti hankituista järjestelmistä ja palveluista henkilötietojen käsittelyyn liittyvät sopimukset hoidetaan keskitetysti. Esimerkiksi Webropolista ja kaikista CSC:n tarjoamista palveluista tämä sopimus on tehty.

Tutkimus/TKI-hankkeissa, ammattialakohtaisissa opetuksen järjestelmissä ja muissa vastaavissa tilanteissa saattaa kuitenkin olla tarpeen laatia henkilötietojen käsittelyn sopimus erikseen. Tilanne voi olla tämä vaikkapa silloin, jos tutkimushankkeessa henkilötietojen käsittely ostetaan ulkopuoliselta toimijalta. Kyseessä voi tällöin olla esimerkiksi henkilötietoja sisältävän tutkimusaineiston keräämiseen tai käsittelyyn käytetty palvelu tai kerätyn aineiston analysointityön teettäminen HAMKin ulkopuolisella toimijalla. Ennen tämän kaltaisen palvelun tai järjestelmän käyttöönottoa pitää varmistaa muun muassa:

  • Roolit: mikä taho toimii henkilötietojen käsittelyssä rekisterinpitäjänä ja mikä taho käsittelijänä
  • Henkilötietojen käsittelyn asianmukaisuus ja suojatoimet. Tähän liittyy olennaisesti muun muassa maantieteellinen alue, jossa käsittely tapahtuu (esim. EU / ETA -alue).
  • Henkilötietojen käsittelyn sopimus rekisterinpitäjän ja käsittelijän välillä

Henkilötietojen käsittelyn sopimuksien tekemiseen on useita vaihtoehtoja:

Lisätietoja voit kysyä tietosuojavastaavalta.

Vastaa

Sähköpostiosoitettasi ei julkaista.