Tutkielmassa tarkastellaan henkilötietojen käsittelijän vastuuaseman muuttumista EU:n tietosuoja-asetuksen (asetus 2016/679) myötä. Olennainen osa käsittelijän vastuista määräytyy rekisterinpitäjän ja tietojenkäsittelijän välisen tietojenkäsittelysopimuksen perusteella, joten tutkimuskysymyksistä toinen keskittyy tarkastelemaan tietojenkäsittelysopimuksiin kohdistuvia muutospaineita. Metodina tutkielmassa on lainoppi. Koska tutkielman painopisteenä on nimenomaan tietosuoja-asetuksen tulkinta, pyrkii tutkielma pysymään pääasiallisesti EU-oikeuden tasolla. Lisäksi tutkielmaa varten on haastateltu noin kahtakymmentä tietosuoja-asiantuntijaa, tarkoituksena saada parempi kuva tietojenkäsittelysopimusten nykytilasta ja mahdollisia suuntaviivoja kehitystarpeille.
Vertailun lähtökohtana tutkielmassa on tietosuoja-direktiivin (direktiivi 95/46/EY) ja siitä johtuvien kansallisten lakien tietojenkäsittelijää koskevat säännökset. Direktiivistä johtuvat, henkilötietojen käsittelijää koskevat velvoitteet löytyvät direktiivin artikloista 16 ja 17, joissa säädetään yleisluontoisella tasolla käsittelijän velvollisuudesta noudattaa rekiste-rinpitäjän ohjeita sekä tietojenkäsittelysopimuksen tekemisestä. Tutkielmassa huomautetaan lyhyesti, että näiden artiklojen kansallisessa implementoinnissa löytyy eroja jäsenvaltioiden välillä, mutta lähtökohtaisesti tietojenkäsittelijän vastuuasema direktiivin mukaan on tähän mennessä ollut selkeästi rekisterinpitäjän asemasta riippuvainen ja sille alisteinen.
Tietojenkäsittelijän velvoitteiden tunnistaminen tietosuoja-asetuksesta vaatii asetuksen huolellista lukemista ja tulkitsemista. Tässä tutkielmassa käsittelijän velvoitteet on ensinnäkin jaettu suoriin ja epäsuoriin velvollisuuksiin, lisäksi käsittelijällä on velvollisuus avustaa rekisterinpitäjää tietyissä rekisterinpitäjän velvoitteiden toteuttamisessa. Suorat velvoitteet käyvät ilmi suoraan kyseisistä artikloista, missä tietojenkäsittelijä on mainittu rekisterinpitäjän ohella velvoitteen kohteena. Epäsuorat velvoitteet puolestaan ovat luettavissa artikloista, joissa tietojenkäsittelijää ei nimenomaisesti mainita ja joihin ei muissakaan käsittelijää koskevissa artikloissa viitata, mutta jotka koskevat henkilötietojen lainmukaista käsittelyä siinä määrin perustavalla tavalla, että käytännössä käsittelijä voi joutua ottamaan myös kyseiset artiklat toiminnassaan huomioon. Tämä voi johtua kehittyvästä markkinakäytännöstä, taikka käsittelijälle tietojenkäsittelysopimukses-sa annetusta ohjeistuksesta. Toiseksi käsittelijän velvoitteita on tarkasteltu tutkielmassa eri vastuutyyppien pohjalta. Vastuutyypeiksi on eroteltu vahingonkorvausvastuu rekisteröityjä kohtaan, sopimusperusteinen vahingonkorvaus rekisterinpitäjä-käsittelijä-suhteessa, vastuu hallinnollisista sanktioista sekä rikosvastuu. Suurimmat muutokset lainsäädännön osalta kohdistuvat käsittelijän vahingonkorvausvastuuseen rekisteröityjä kohtaan sekä hallinnollisiin sanktioihin. Asetuksessa on viitattu selkeästi molempien vastuutyyppien kohdalla, minkä säännöksien rikkomisesta käsittelijä voi joutua vahingonkorvaus- tai sanktiovastuuseen. Lisäksi asetuksessa on säädetty, että käsittelijän vahingonkorvausvastuu tai vastuu hallinnollisesta sanktiosta voi myös aiheutua siitä, että käsittelijä on rikkonut rekisterinpitäjän antamia kirjallisia ohjeita. Tutkielmassa pohditaan, kuinka rekisterinpitäjä ja henkilötietojen käsittelijä voivat tässä uudessa lainsäädännöllisessä tilanteessa sopia vahingonkorvausvastuun jakautumisesta enää keskenään, vai onko kyseisenlaisille sopimuslausekkeille ylipäätään enää tarvetta.
Tietojenkäsittelysopimuksista säädetään tietosuoja-asetuksen artiklassa 28. Verrattuna tietosuojadirektiivin asettamiin vaatimuksiin artikla 28 on huomattavasti yksityiskohtaisempi, jättäen kuitenkin tulkinnanvaraa yrityksille vaatimusten toteuttamisessa. Tutkimusta varten tehdyissä haastatteluissa kävi ilmi, että suuri osa artiklan 28 vaatimuksista on ollut osa markkinakäytäntöä jo ennen kuin kaikki kansalliset henkilötietolait ovat tätä vaatineet. Tämä koskee kuitenkin lähinnä suuryrityksiä; pienemmissä yrityksissä, joissa tietosuoja-asiat eivät ole olleet suuren huomion kohteena, tilanne on toinen. Yleisellä tasolla voidaan sanoa, että tietojenkäsittelysopimuksien lausekkeet tulevat yksityiskohtaistumaan, koska niillä on suora vaikutus vastuun jakautumiseen sekä vahingonkorvauksen että sanktioiden osalta.
