Fråga: Milloin ja kenen välillä tietojenkäsittelysopimus pitää solmia?

Myymme digitaaliseen markkinointiin ja markkinoinnin automatisointiin tarkoitettua amerikkalaista ohjelmistoa suomessa suoraan loppuasiakkaille. Kysymykseni kuuluu, että jos asiakas tekee sopimuksen palvelun toimittamisesta kanssamme ja me olemme tämän ohjelmiston jälleenmyyjä, pitäisikö hänen tehdä GDPR-sopimus meidän vai yhdysvaltalaisen toimittajan kanssa?

Legalbuddy svarar

Bild på jurist Kukka-Maaria Kairaluoma

Kukka-Maaria Kairaluoma


Hei ja kiitos, että käännyit puoleemme kysymyksesi kanssa!


Tietojenkäsittelysopimus

Yleistä tietojenkäsittelysopimuksista

GDPR-sopimuksella, johon viittaat, tarkoitetaan tässä tapauksessa tietojenkäsittelysopimusta, joka tarvitaan, kun henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta. Tietojenkäsittelysopimus laaditaan siis rekisterinpitäjän ja henkilötietojen käsittelijän välille. Rekisterinpitäjä on se, joka päättää henkilötietojen käsittelyn tarkoituksesta ja keinoista, ja henkilötietojen käsittelijä se, joka kerää, säilyttää, käyttää, siirtää tai luovuttaa henkilötietoja rekisterinpitäjän puolesta ja tämän ohjeiden mukaisesti.


Tietojenkäsittelysopimuksen tarve tilanteessanne

Jos tarjoamanne palvelu sisältää henkilötietojen käsittelyä, esimerkiksi asiakasrekisterin muodossa, asiakkaanne katsotaan palvelua käyttäessään rekisterinpitäjiksi ja yhdysvaltalainen palveluntarjoaja käsittelijäksi. Tallöin heidän välillään tulisi solmia tietojenkäsittelysopimus. Jos oma toimintanne rajoittuu pelkkään palvelun välittämiseen ilman, että olette osallisena sen toteuttamisessa, teidän ja asiakkaan välillä ei tarvita tällaista sopimusta. Jos sen sijaan avustatte myös palvelun toiminnassa, esimerkiksi tarjoamalla palvelimien kapasiteettia tai tukitoimintoja, joissa henkilötietoja käsitellään, tarvitaan henkilötietojen käsittelysopimus myös teidän ja asiakkaanne välille.


Tietojenkäsittelysopimus ja yhteys Yhdysvaltoihin

Koska kyse on GDPR:stä ja mahdollisista yhteyksistä Yhdysvaltoihin, on tärkeää huomioida, että EU-tuomioistuin katsoi kesällä 2020 ns. Schrems II -ratkaisussa, ettei Yhdysvallat ole riittävän turvallinen maa EU-kansalaisten henkilötietojen käsittelyyn. Päätöksellä on ollut suuria vaikutuksia yhdysvaltalaisiin IT-jätteihin, kuten Amazoniin, Googleen ja Microsoftiin, joiden palveluita monet EU:ssa toimivat yritykset ja julkiset toimijat eivät voi enää käyttää henkilötietojen käsittelyyn ilman laajoja turvatoimia. Tämä ei vaikuta teihin suoraan, mikäli ette itse siirrä henkilötietoja yhdysvaltalaiseen yritykseen, mutta potentiaalisten asiakkaiden osalta pelkkä henkilötietojen käsittelysopimus ei todennäköisesti riitä siihen, että he voisivat käyttää ohjelmistoa lain mukaisesti, jos siinä käsitellään henkilötietoja.


Ota yheteys GDPR-asiantuntijaan!

Suosittelemme ottamaan yhteyttä juristeihimme, joka voivat tarkastella tapaustanne tarkemmin.

Relaterade frågor
Visa alla från denna kategori

Behöver du juridiska muskler i din verksamhet?

Testa vår digitala bolagsjurist gratis i 1 månad - Juridiskt stöd och avtalshantering för företag

Testa Legalbuddy Plus

Syötä sähköpostiosoitteesi jatkaaksesi.

Lataamalla hyväksyn ehdot ja vahvistan, että olen tutustunut tietosuojaselosteeseen.