Ulkoistamisen riskien sopimusoikeudellinen hallinta – Tietosuoja-asetuksen ja DORA-asetuksen sääntelykehys
Valtonen, Laura (2026)
Valtonen, Laura
Lapin yliopisto
2026
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe20260630107348
https://urn.fi/URN:NBN:fi-fe20260630107348
Tiivistelmä
Tutkielman aiheena on henkilötietojen käsittelyn ulkoistamisen riskien sopimusoikeudellinen hallinta finanssialalla. Organisaatiot yhä useammin tekevät strategisen ratkaisun ulkoistaa jonkin toiminnon tai toimintoa tukevan järjestelmäratkaisun. Ulkoistamispäätöksen jälkeen riskienhallintaa toteutetaan kolmessa eri vaiheessa: ensimmäiseksi mahdollisen sopimusosapuolen ennakkoarviointina, toiseksi ulkoistamisjärjestelyjä koskevilla sopimusehdoilla ja kolmanneksi sopimuksen ja palvelun toteutuksen valvontana.
Tutkielmassa tarkastellaan tietosuoja-asetuksen ja DORA-asetuksen sääntelyä, joiden soveltamisalat risteävät henkilötietojen käsittelyn ulkoistamisessa finanssialalla. Tutkielman tavoitteena on jäsentää asetuksien sopimuksia koskevat säännökset riskienhallinnan näkökulmasta. Tutkielman alussa tunnistetaan ulkoistamisen riskejä näiden sääntelyjen näkökulmasta. Tämän jälkeen tarkastellaan asetuksissa määriteltyä vastuunjakoa, joka selventää riskien kohdentumista ja sopimusvapauden rajoja. Tutkimusmetodina käytetään lainoppia, kun säädöstekstiä tulkitaan ja systematisoidaan tutkielman tavoitteen saavuttamiseksi.
Tutkielmassa luodaan sääntelyperusteinen riskiluokittelu, joka sisältää DORA-asetuksen sääntelystä johdetut ulkoistamisen riskit. Asetuksien vaatimia sopimusehtoja tulkitaan siten, miten ne hallitsevat näitä riskejä. Johtopäätöksenä todetaan, että asetuksien sääntelyn mukaiset sopimusehdot suojaavat hyvin ulkoistamisen riskeiltä, kunhan ehdot on laatinut asiantunteva taho ja ehtojen toteutuminen varmistetaan myös käytännössä. Sopimusehtojen avulla ei voida kuitenkaan siirtää vastuuta, joten ulkoistamisen riskit ovat lähtökohtaisesti ulkoistavan osapuolen vastuulla. Sopimusehtoja laatiessa on tärkeä ymmärtää, mitä riskejä niillä hallitaan, jotta sopimusehdoilla voidaan toteutettaa riskienhallintaa organisaation oman riskiympäristön näkökulmasta.
DORA-asetuksen riskiperusteinen lähestymistapa huomioi sopimusvapauden periaatteen, mikä näkyy asteittaisena sääntelynä. Usein DORA-asetuksen soveltuessa myös tietosuoja-asetus tulee sovellettavaksi, jolloin tulee huomioida molempien asetusten sopimusehtoja sääntelevät artiklat. Asetuksien samanaikainen soveltuminen johtaa valvontaviranomaisten päällekkäiseen valvontaan, mutta DORA-asetuksessa keskitytään finanssipalvelujen häiriönsietokykyyn ja tietosuoja-asetuksessa luonnollisten henkilöiden henkilötietojen suojaan.
Tutkielmassa tarkastellaan tietosuoja-asetuksen ja DORA-asetuksen sääntelyä, joiden soveltamisalat risteävät henkilötietojen käsittelyn ulkoistamisessa finanssialalla. Tutkielman tavoitteena on jäsentää asetuksien sopimuksia koskevat säännökset riskienhallinnan näkökulmasta. Tutkielman alussa tunnistetaan ulkoistamisen riskejä näiden sääntelyjen näkökulmasta. Tämän jälkeen tarkastellaan asetuksissa määriteltyä vastuunjakoa, joka selventää riskien kohdentumista ja sopimusvapauden rajoja. Tutkimusmetodina käytetään lainoppia, kun säädöstekstiä tulkitaan ja systematisoidaan tutkielman tavoitteen saavuttamiseksi.
Tutkielmassa luodaan sääntelyperusteinen riskiluokittelu, joka sisältää DORA-asetuksen sääntelystä johdetut ulkoistamisen riskit. Asetuksien vaatimia sopimusehtoja tulkitaan siten, miten ne hallitsevat näitä riskejä. Johtopäätöksenä todetaan, että asetuksien sääntelyn mukaiset sopimusehdot suojaavat hyvin ulkoistamisen riskeiltä, kunhan ehdot on laatinut asiantunteva taho ja ehtojen toteutuminen varmistetaan myös käytännössä. Sopimusehtojen avulla ei voida kuitenkaan siirtää vastuuta, joten ulkoistamisen riskit ovat lähtökohtaisesti ulkoistavan osapuolen vastuulla. Sopimusehtoja laatiessa on tärkeä ymmärtää, mitä riskejä niillä hallitaan, jotta sopimusehdoilla voidaan toteutettaa riskienhallintaa organisaation oman riskiympäristön näkökulmasta.
DORA-asetuksen riskiperusteinen lähestymistapa huomioi sopimusvapauden periaatteen, mikä näkyy asteittaisena sääntelynä. Usein DORA-asetuksen soveltuessa myös tietosuoja-asetus tulee sovellettavaksi, jolloin tulee huomioida molempien asetusten sopimusehtoja sääntelevät artiklat. Asetuksien samanaikainen soveltuminen johtaa valvontaviranomaisten päällekkäiseen valvontaan, mutta DORA-asetuksessa keskitytään finanssipalvelujen häiriönsietokykyyn ja tietosuoja-asetuksessa luonnollisten henkilöiden henkilötietojen suojaan.