GDPR ja sopimuksenne: Mita vaaditaan ja miten taytatte vaatimukset?

GDPR asettaa selkeat vaatimukset henkilotietojen kasittelylle — myos sopimuksissa. Tiedatteko mitka sopimuksistanne koskevat henkilotietoja ja tayttavatko ne vaatimukset?

Mitka sopimukset ovat kyseessa?

GDPR koskee kaikkia sopimuksia joissa kasitellaan henkilotietoja. Tama ei tarkoita vain ilmeisia tapauksia kuten HR-jarjestelmia ja asiakasrekistereita, vaan myos toimittajasopimuksia joissa alihankkijat kasittelevat tietoja puolestanne.

• ✓ IT-toimittajat ja pilvipalvelut
• ✓ Palkkahallinto ja HR-jarjestelmat
• ✓ Markkinointityokalut ja CRM
• ✓ Konsultit joilla on paasy sisaisiin jarjestelmiin
• ✓ Siivous, vartiointi ja muut palveluntarjoajat joilla on paasy tiloihin

Henkilotietojen kasittelysopimus (DPA)

Kun kolmas osapuoli kasittelee henkilotietoja puolestanne, tarvitaan henkilotietojen kasittelysopimus (DPA). Sopimuksessa on maariteltava mitka tiedot kasitellaan, tarkoitus, sailytysaika ja turvatoimet.

Ilman DPA:ta rikotte GDPR:aa — riippumatta siita kasitteleeko toimittaja tietoja oikein vai ei.

Yleisia puutteita

• ✗ Puuttuvat DPA:t — sopimus on olemassa mutta henkilotietojen kasittelysopimus puuttuu tai on vanhentunut
• ✗ Epaselva tietojen tallennus — sopimuksessa ei mainita missa tietoja sailytetaan (EU/kolmas maa)
• ✗ Ei poistomenettelyja — sopimuksesta puuttuvat ohjeet siita mita tiedoille tapahtuu sopimuksen paattyessa
• ✗ Alihankkijat ilman saantelya — toimittaja kayttaa alihankkijoita ilman etta sita saannellaan sopimuksessa

Miten Tagd auttaa GDPR-vaatimustenmukaisuudessa

Tagd voi tunnistaa mitka sopimuksistanne todennakoisesti koskevat henkilotietoja ja merkita jos DPA puuttuu. Tekoaly tarkistaa tietosuojaan, tallennuspaikkaan ja turvatoimiin liittyvat lausekkeet.

"Luulimme etta meilla oli DPA:t kaikkien toimittajien kanssa. Tagd osoitti etta ne puuttuivat 12:lta 45:sta — mukaan lukien suurin IT-toimittajamme."