Henkilötietojen käsittelyyn liittyvät olennaisesti rekisterinpitäjän (controller) ja henkilötiedon käsittelijän (processor) käsitteet. Rekisterinpitäjä on se taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. HAMK on rekisterinpitäjä esimerkiksi HAMKin opiskelijoiden, henkilöstön, alumnien, toimittajien ja asiakkaiden tiedoille. Henkilötiedon käsittelijä puolestaan käsittelee henkilötietoja rekisterinpitäjän lukuun. Käsittelijöitä ovat tyypillisesti alihankkijat ja palveluntarjoajat, jotka käsittelevät tai voivat käsitellä rekisterinpitäjän henkilötietoja. Tässä yhteydessä henkilötietojen käsittelijä ei siis viittaa HAMKin henkilökuntaan.

Tietosuoja-asetus edellyttää, että rekisterinpitäjän ja henkilötietojen käsittelijän välillä pitää olla sopimus, Data Processing Agreement (DPA). Sopimuksen minisisältö kuvataan tietosuoja-asetuksessa.
Sopimus tarvitaan esimerkiksi silloin, jos käsitellään henkilötietoja pilvipalvelussa siten, että HAMK on rekisterinpitäjä ja palvelun tarjoaja on henkilötietojen käsittelijä. Sopimus tarvitaan myös silloin, jos HAMK on henkilötietojen käsittelijä. Myös maksuttomien palveluiden käytössä tarvitaan sopimus.
HAMKissa keskitetysti hankituista järjestelmistä ja palveluista henkilötietojen käsittelyyn liittyvät sopimukset hoidetaan keskitetysti. Esimerkiksi Webropolista ja kaikista CSC:n tarjoamista palveluista tämä sopimus on tehty.

Tutkimus/TKI-hankkeissa, ammattialakohtaisissa opetuksen järjestelmissä ja muissa vastaavissa tilanteissa saattaa kuitenkin olla tarpeen laatia henkilötietojen käsittelyn sopimus erikseen. Tilanne voi olla tämä vaikkapa silloin, jos tutkimushankkeessa henkilötietojen käsittely ostetaan ulkopuoliselta toimijalta. Kyseessä voi tällöin olla esimerkiksi henkilötietoja sisältävän tutkimusaineiston keräämiseen tai käsittelyyn käytetty palvelu tai kerätyn aineiston analysointityön teettäminen HAMKin ulkopuolisella toimijalla. Ennen tämän kaltaisen palvelun tai järjestelmän käyttöönottoa pitää varmistaa muun muassa:

• Roolit: mikä taho toimii henkilötietojen käsittelyssä rekisterinpitäjänä ja mikä taho käsittelijänä
• Henkilötietojen käsittelyn asianmukaisuus ja suojatoimet. Tähän liittyy olennaisesti muun muassa maantieteellinen alue, jossa käsittely tapahtuu (esim. EU / ETA -alue).
• Henkilötietojen käsittelyn sopimus rekisterinpitäjän ja käsittelijän välillä

Henkilötietojen käsittelyn sopimuksien tekemiseen on useita vaihtoehtoja:

• Parhaassa tapauksessa palvelun sopimuksessa on valmiina henkilötietojen käsittelyn liite.
• Erityisesti suurilta pilvipalveluiden tarjoajilta saattaa löytyä valmiit sopimustiedot kotisivulta. Nämä voivat löytyä esimerkiksi etsimällä tietoa DPA GDPR -haulla.
• Palveluntarjoajalla saattaa olla sopimuspohja saatavana kysymällä.
• Suositeltavana pohjana EU:n julkaisemat rekisterinpitäjän ja käsittelijän väliset mallisopimuslausekkeet.
• Tarvittaessa voit käyttää myös JHS 166 Julkisen hallinnon IT-hankintojen yleiset sopimusehdot (JIT 2015) löytyvää Liite 9: Erityisehtoja henkilötietojen käsittelystä.

Lisätietoja voit kysyä tietosuojavastaavalta.