Henkilötietojen käsittelijän velvollisuudet. 5.1. Henkilötietojen käsittelijä varmistaa, että Sopimuksesta johtuvien asianmukaisten henkilötietojen käsittely hänen toimestaan täyttää Sovellettavien tietosuojan säädösten vaatimukset, Sopimuksen ehdot ja tämän tiedonkäsittelysopimuksen ehtoja ja että rekisteröityjen oikeudet on vaatimustenmukaisesti suojattu. Henkilötietojen käsittelijä ja Henkilötietojen käsittelijän palkkaamat tai mukaan pyydetyt kolmannet henkilöt voivat käsitellä henkilötietoja vain tämän tiedonkäsittelysopimuksen ja Sopimuksen vaatimusten mukaisesti ja noudattamalla muita Rekisterinpitäjän toimesta tarpeen mukaisesti annettuja tai dokumentoituja ohjeita noudattaen. 5.2. Henkilötietojen käsittelijän toimesta tämän tiedonkäsittelysopimuksen perusteella käsiteltäviä henkilötietoja, määräaikoja ja turvallisuustoimenpiteitä on kuvattu kohdassa tämän tiedonkäsittelysopimuksen Liitteessä A. 5.3. Henkilötietojen käsittelijä ei käsittele henkilötietoja suuremmassa laajuudessa, kuin on tarpeen Henkilötietojen käsittelijän toimesta Sopimuksen ja tiedonkäsittelysopimuksen noudattamisen tarkoituksessa. Henkilötietojen käsittelijä hyväksyy, että jos selkeäsanainen kirjallinen suostumus puuttuu, hänellä ei oikeutta käsitellä henkilötietoja muussa tarkoituksessa paitsi Sopimuksessa ja tiedonkäsittelysopimuksessa sovitulla tavalla. Jos Henkilötietojen käsittelijään sovellettavat sitovat Euroopan Unionin tai jäsenvaltion säädökset kieltävät Henkilötietojen käsittelijältä Sopimuksen tai annettujen ohjeiden noudattamisen tai vaativat vaihtoehtoisesti lisäkäsittelyä laajuudessa, joka ylittää Sopimuksen tai tiedonkäsittelysopimuksen laajuuden, Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle viipymättä ja ennen käsittelyn aloittamista, jos se on kohtuullisuuden puitteissa mahdollista, vastaavan oikeudellisen vaatimuksen voimaan saattamisesta tai ilmoittaa Rekisterinpitäjälle, että Henkilötietojen käsittelijä ei voi noudattaa Sopimusta tai annettuja ohjeita. Henkilötietojen käsittelijä ilmoittaa lisäksi viipymättä Rekisterinpitäjälle siitä, jos Rekisterinpitäjän antama ohje loukkaa hänen arvionsa mukaan sovellettavia tietosuojasäädöksiä. 5.4. Henkilötietojen käsittelijä ylläpitää henkilötietojen luottamuksellisuutta ja varmistaa, että kaikille henkilöille, joita on valtuutettu käsittelemään henkilötietoja, on ilmoitettu tietojen luottamuksellisesta luonteesta, he ovat läpäisseet asianmukaisen koulutuksen velvollisuuksiensa hoitamiseen ja he ovat sitoutuneet luottamuksellisuuden varmistamisen velvollisuuden noudattamiseen tai heitä koskee asianmukainen lakiin perustuva luottamuksellisuusvaatimus. Kyseinen luottamuksellisuusvaatimus jää voimaan tämän tiedonkäsittelysopimuksen ja/tai Sopimuksen päättymisen jälkeen. 5.5. Henkilötietojen käsittelijä soveltaa asianmukaisia teknisiä ja järjestöllisiä toimenpiteitä suojatakseen käsiteltäviä henkilötietoja valtuuttamattomalta tai laittomalta käsittelyltä ja satunnaiselta tuhoutumiselta, hukkaamiselta, vahingoittumiselta, muuttamiselta tai julkistamiselta. Tällaiset toimenpiteet varmistavat turvallisuustason, joka on sopusoinnussa käsittelyn aiheuttamien riskien kanssa. 5.6. Henkilötietojen käsittelijä auttaa lisäksi käsittelytavan ja saatavissa olevat tiedot huomioon ottaen Rekisterinpitäjää hänen henkilötietojen turvallisuuteen liittyvien velvollisuuksiensa hoitamisessa, mm. tietoihin liittyvistä laiminlyönneistä ilmoittaminen, riskien ja vaikutusten arviointi sekä neuvomisvelvollisuus Sovellettavien tietosuojasäädösten mukaisesti. 5.7. Jos on syntynyt todellinen tai perusteltu epäily henkilötietoihin liittyvän laiminlyönnin sattumisesta tai muun Henkilötietojen käsittelijää uhkaavan, tiedonkäsittelysopimuksen perusteella henkilötietojen käsittelemistä koskevan täytäntöönpanomenettelyn osalta, Henkilötietojen käsittelijä ilmoittaa siitä Rekisterinpitäjälle viipymättä ja viimeistään neljänkymmenenkahdeksan (48) tunnin sisällä siitä alkaen, jolloin asianmukainen tieto on saatu. Henkilötietojen käsittelijä yrittää Rekisterinpitäjältä etukäteen saadun hyväksynnän nojalla selvittää tilanteen mahdollisimman nopeasti ja rajoittaa vahingon laajentumista ja lievittää tapauksen aiheuttamia vaikutuksia. Henkilötietojen käsittelijä lähettää tiedonannossaan Rekisterinpitäjälle kaikki tiedot, joita Rekisterinpitäjä tarvitsee Sovellettavien tietosuojasäädösten mukaisesti oman ilmoitusvelvollisuuden noudattamiseen ja henkilötietoihin liittyvien laiminlyöntien vaikutusten poistamiseen ja lievittämiseen. On mahdollista ja kohtuullista, henkilötietojen käsittelijä tarjoaa rekisteröidyille halutessa sopivia korjaustoimenpiteisiin liittyviä palveluita. 5.8. Henkilötietojen käsittelijä dokumentoi lisäksi Sopimukseen liittyvät henkilötietojen käsittelyyn liittyvät laiminlyönnit, mainiten siinä laiminlyöntiin liittyvät seikat, sen vaikutukset ja sovelletut korjaavat toimenpiteet. Seurantaviranomaisen on oltava mahdollisuus tarkistaa näiden asiakirjojen nojalla sovellettavien tietosuojasäädösten noudattamista. Asiakirjojen pitää sisältää vain niitä tietoja, joita tähän tarkoitukseen vaaditaan. 5.9. Henkilötietojen käsittelijä tekee Rekisterinpitäjän pyynnöstä ja ilman lisämaksua yhteistyötä ja auttaa Rekisterinpitäjää asianmukaisia teknisiä ja järjestöllisiä toimenpiteitä koskevien tietojen kanssa Sovellettavissa tietosuojasäädöksissä säädettyjen rekisteröityjen oikeuksien varmistamiseen, muun muassa: 5.9.1. toimittaa Rekisterinpitäjälle jäljennöksen rekisteröidyn henkilötiedoista; 5.9.2. avaa, korjaa, poistaa henkilötietoja tai rajoittaa henkilötietojen käsittelyä. 5.10. Henkilötietojen käsittelijä tarjoaa pyydettyä apua toimittamalla pyydetyt asiakirjat ja tiedot kymmenen (10) päivän sisällä Rekisterinpitäjän hakemuksen toimittamisesta alkaen. 5.11. Jos rekisteröity, valvonta- tai hallituselin tai muu kolmas henkilö vaatii Henkilötietojen käsittelijältä Sopimuksen perusteella Käsiteltäviä henkilötietoja, Henkilötietojen käsittelijä ohjaa ko. vaatimuksen Rekisterinpitäjälle. Henkilötietojen käsittelijä ei saa julkaista henkilötietoja tai muita henkilötietojen käsittelyä koskevia tietoja ilman Rekisterinpitäjän etukäteen antamaa kirjallista suostumusta, paitsi jos Henkilötietojen käsittelijä on velvoitettu julkistamaan kyseiset tiedot Euroopan unionin tai jäsenvaltion lainsäädännön nojalla. Viimemainitussa tapauksessa ilmoittaa Henkilötietojen käsittelijä viipymättä Rekisterinpitäjälle hakemuksesta laissa säädetyssä laajuudessa. 5.12. Henkilötietojen käsittelijä toimitta ilman Rekisterinpitäjältä ilman lisämaksun vaatimusta kaikki tiedot ja asiakirjat sekä tarjoaa apuaan, jota Rekisterinpitäjä tarvitsee Sovellettavien tietosuojasäädösten kaikkien vaatimusten noudattamiseen ja mainittujen vaatimusten mukaisuuden toteen näyttämiseen Sopimukseen liittyvien henkilötietojen osalta. Henkilötietojen käsittelijä mahdollistaa lisäksi säätely- ja/tai valvontaviranomaisten toimesta tarkastusten suorittamiseen ja avustaa niiden suosittamisessa. 5.13. Henkilötietojen käsittelijän on säilytettävä ja pidettävä saatavissa olevina käsittelytoimenpiteitä koskevat asianmukaiset tiedot, muun muassa tietojen käsittelijän alihankkijana toimivan jokaisen oikeushenkilön nimi, yhteystiedot, edustaja (muun muassa tietosuoja-alan työntekijä, jos sitä voidaan soveltaa) ja toimipaikan osoite, Rekisterinpitäjän nimissä suoritetut käsittelytavat ja se on sovellettavissa, Tietojen kansainvälistä siirtämistä koskevat tiedot (ilmoittaen muun muassa valtiot, joita toiminta koskee ja sovellettavia siirtomekanismeja koskevat tiedot). Henkilötietojen käsittelijä toimittaa Rekisterinpitäjän hakemuksesta ja ilman perusteluita, viipymättä Rekisterinpitäjälle tässä kohdassa säädetyt asiakirjat, jotta Rekisterinpitäjä voisi noudattaa sovellettavia tietosuojasäädöksiä. 5.14. Henkilötietojen käsittelijä varmistaa Rekisterinpitäjälle oikeuden tarkistaa ja tarkastaa Henkilötietojen käsittelijän tiloja (ja varmistaa, että Henkilötietojen käsittelijällä on samanarvoiset tarkistus- ja tarkastusoikeudet alihankkijoina toimivien kolmansien käsittelijöiden suhteen) varmistaakseen, ovatko henkilötietojen käsittelijän (alihankkijan) tekniset ja järjestölliset turvallisuustoimenpiteet sopusoinnussa tässä tiedonkäsittelysopimuksessa, Sopimuksessa tai sovellettavissa tietosuojasäädöksissä säädettyjen velvollisuuksien kanssa. Kyseisten tarkastusten suorittamiseen sovelletaan alla säädettyä. 5.15. Rekisterinpitäjällä on oikeus suorittaa tarkastuksia normaalina työnaikana, ilmoittaen niistä kohtuullisen ajan verran etukäteen. Mainitut tarkastukset eivät saa keskeyttää Henkilötietojen käsittelijän liiketoimintaa ja siitä saavat suorittaa joko Rekisterinpitäjän työntekijät tai Rekisterinpitäjälle sopimuksen perusteella palveluita tarjoavan yrityksen työntekijät (pätevä kolmas henkilö) sillä edellytyksellä, että kyseinen vastaavan sopimuksen perusteella palvelua tarjoava kolmas henkilö on sitoutunut sopimuksella noudattamaan luottamuksellisuusvelvollisuuksia, jotka ovat Henkilötietojen käsittelijän kannalta kohtuullisesti hyväksyttäviä. Tarkastuksen kulut maksaa Rekisterinpitäjä. Jos tarkastuksen puitteissa todetaan kuitenkin ristiriitoja tai laiminlyönti, jonka on aiheuttanut Henkilötietojen käsittelijä tai hänen sidosyrityksensä, konsultit, aliurakoitsijat tai muut edustajat, niin Henkilötietojen käsittelijä maksaa Rekisterinpitäjän tarkastuksen aiheuttamat kulut.
Appears in 2 contracts
Henkilötietojen käsittelijän velvollisuudet. 5.1Käsittelijä ei saa käyttää Henkilötietoja muihin kuin Sopimuksessa ja tässä Tietosuojaliitteessä määriteltyihin tarkoituksiin. Käsittelijä: käyttää Henkilötietoja ainoastaan Sopimuksessa määriteltyjä tarkoituksia varten; käsittelee Henkilötietoja ammattimaisesti ja lakia noudattaen; käsittelee Henkilötietoja ainoastaan Rekisterinpitäjän perusteltujen ja kohtuullisten ohjeiden mukaisesti, ellei Käsittelijään sovellettavassa laissa toisin vaadita. Tällaisessa tilanteessa Käsittelijän on ilmoitettava Rekisterinpitäjälle lain vaatimuksesta ennen Henkilötietojen käsittelijä varmistaakäsittelyä, ellei ilmoittamista ole laissa kielletty; auttaa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä Rekisterinpitäjää täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat Tietosuojalainsäädännössä säädettyjen rekisteröidyn oikeuksien käyttämistä, käsittelytoimen luonne huomioon ottaen; auttaa kohtuullisesti ja Rekisterinpitäjän kohtuullisesta pyynnöstä Rekisterinpitäjää varmistamaan, että Sopimuksesta johtuvien asianmukaisten henkilötietojen käsittely hänen toimestaan täyttää Sovellettavien tietosuojan säädösten vaatimuksettämä noudattaa lakisääteisiä velvollisuuksiaan, Sopimuksen ehdot kuten Tietosuojalainsäädännössä säädettyjä tietoturvaa, tietosuojaa koskevaa vaikutustenarviointia ja tämän tiedonkäsittelysopimuksen ehtoja ennakkokuulemista koskevia velvollisuuksiaan, käsittelytoimen luonne ja että rekisteröityjen oikeudet on vaatimustenmukaisesti suojattuKäsittelijän käytettävissä olevat tiedot huomioiden; saa käyttää Henkilötietojen käsittelyssä alihankkijana CSC – Tieteen tietotekniikan keskus Oy:tä sekä muita Käsittelijän toiminnan kannalta tarpeellisia luotettuja keskuksia ja muita alihankkijoita (jäljempänä Alikäsittelijä). Henkilötietojen käsittelijä ja Henkilötietojen käsittelijän palkkaamat tai mukaan pyydetyt kolmannet henkilöt voivat käsitellä henkilötietoja vain tämän tiedonkäsittelysopimuksen ja Sopimuksen vaatimusten mukaisesti ja noudattamalla muita Rekisterinpitäjän toimesta tarpeen mukaisesti annettuja tai dokumentoituja ohjeita noudattaen.
5.2. Henkilötietojen käsittelijän toimesta tämän tiedonkäsittelysopimuksen perusteella käsiteltäviä henkilötietoja, määräaikoja ja turvallisuustoimenpiteitä on kuvattu kohdassa tämän tiedonkäsittelysopimuksen Liitteessä A.
5.3. Henkilötietojen käsittelijä ei käsittele henkilötietoja suuremmassa laajuudessa, kuin on tarpeen Henkilötietojen käsittelijän toimesta Sopimuksen ja tiedonkäsittelysopimuksen noudattamisen tarkoituksessa. Henkilötietojen käsittelijä hyväksyy, että jos selkeäsanainen kirjallinen suostumus puuttuu, hänellä ei oikeutta käsitellä henkilötietoja muussa tarkoituksessa paitsi Sopimuksessa ja tiedonkäsittelysopimuksessa sovitulla tavalla. Jos Henkilötietojen käsittelijään sovellettavat sitovat Euroopan Unionin tai jäsenvaltion säädökset kieltävät Henkilötietojen käsittelijältä Sopimuksen tai annettujen ohjeiden noudattamisen tai vaativat vaihtoehtoisesti lisäkäsittelyä laajuudessa, joka ylittää Sopimuksen tai tiedonkäsittelysopimuksen laajuuden, Henkilötietojen käsittelijä Käsittelijä ilmoittaa Rekisterinpitäjälle viipymättä ilman aiheetonta viivytystä Alikäsittelijöissä tapahtuvista muutoksista. Käsittelijä vastaa kaikissa tilanteissa Alikäsittelijöidensä velvollisuuksista kuin omistaan ja ennen käsittelyn aloittamistasopii Alikäsittelijöidensä kanssa tämän Tietosuojaliitteen velvoitteita vastaavista sopimusvelvoitteista; ja käsittelee Henkilötietoja ainoastaan Sopimuksen voimassaolon ajan. Ellei toisin ole sovittu, jos se Käsittelijällä on kohtuullisuuden puitteissa mahdollista, vastaavan oikeudellisen vaatimuksen voimaan saattamisesta tai ilmoittaa Rekisterinpitäjälle, että Henkilötietojen käsittelijä ei voi noudattaa Sopimusta tai annettuja ohjeita. Henkilötietojen käsittelijä ilmoittaa lisäksi viipymättä Rekisterinpitäjälle siitä, jos Rekisterinpitäjän antama ohje loukkaa hänen arvionsa mukaan sovellettavia tietosuojasäädöksiä.
5.4. Henkilötietojen käsittelijä ylläpitää henkilötietojen luottamuksellisuutta ja varmistaa, että kaikille henkilöille, joita on valtuutettu käsittelemään henkilötietoja, on ilmoitettu tietojen luottamuksellisesta luonteesta, he ovat läpäisseet asianmukaisen koulutuksen velvollisuuksiensa hoitamiseen ja he ovat sitoutuneet luottamuksellisuuden varmistamisen velvollisuuden noudattamiseen tai heitä koskee asianmukainen lakiin perustuva luottamuksellisuusvaatimus. Kyseinen luottamuksellisuusvaatimus jää voimaan tämän tiedonkäsittelysopimuksen ja/tai Sopimuksen päättymisen jälkeen.
5.5. Henkilötietojen käsittelijä soveltaa asianmukaisia teknisiä ja järjestöllisiä toimenpiteitä suojatakseen käsiteltäviä henkilötietoja valtuuttamattomalta tai laittomalta käsittelyltä ja satunnaiselta tuhoutumiselta, hukkaamiselta, vahingoittumiselta, muuttamiselta tai julkistamiselta. Tällaiset toimenpiteet varmistavat turvallisuustason, joka on sopusoinnussa käsittelyn aiheuttamien riskien kanssa.
5.6. Henkilötietojen käsittelijä auttaa lisäksi käsittelytavan ja saatavissa olevat tiedot huomioon ottaen Rekisterinpitäjää hänen henkilötietojen turvallisuuteen liittyvien velvollisuuksiensa hoitamisessa, mm. tietoihin liittyvistä laiminlyönneistä ilmoittaminen, riskien ja vaikutusten arviointi sekä neuvomisvelvollisuus Sovellettavien tietosuojasäädösten mukaisesti.
5.7. Jos on syntynyt todellinen tai perusteltu epäily henkilötietoihin liittyvän laiminlyönnin sattumisesta tai muun Henkilötietojen käsittelijää uhkaavan, tiedonkäsittelysopimuksen perusteella henkilötietojen käsittelemistä koskevan täytäntöönpanomenettelyn osalta, Henkilötietojen käsittelijä ilmoittaa siitä Rekisterinpitäjälle viipymättä ja viimeistään neljänkymmenenkahdeksan oikeus laskuttaa yllä kohdissa (48) tunnin sisällä siitä alkaen, jolloin asianmukainen tieto on saatu. Henkilötietojen käsittelijä yrittää Rekisterinpitäjältä etukäteen saadun hyväksynnän nojalla selvittää tilanteen mahdollisimman nopeasti ja rajoittaa vahingon laajentumista ja lievittää tapauksen aiheuttamia vaikutuksia. Henkilötietojen käsittelijä lähettää tiedonannossaan Rekisterinpitäjälle kaikki tiedot, joita Rekisterinpitäjä tarvitsee Sovellettavien tietosuojasäädösten mukaisesti oman ilmoitusvelvollisuuden noudattamiseen ja henkilötietoihin liittyvien laiminlyöntien vaikutusten poistamiseen ja lievittämiseen. On mahdollista ja kohtuullista, henkilötietojen käsittelijä tarjoaa rekisteröidyille halutessa sopivia korjaustoimenpiteisiin liittyviä palveluita.
5.8. Henkilötietojen käsittelijä dokumentoi lisäksi Sopimukseen liittyvät henkilötietojen käsittelyyn liittyvät laiminlyönnit, mainiten siinä laiminlyöntiin liittyvät seikat, sen vaikutukset ja sovelletut korjaavat toimenpiteet. Seurantaviranomaisen on oltava mahdollisuus tarkistaa näiden asiakirjojen nojalla sovellettavien tietosuojasäädösten noudattamista. Asiakirjojen pitää sisältää vain niitä tietoja, joita tähän tarkoitukseen vaaditaan.
5.9. Henkilötietojen käsittelijä tekee Rekisterinpitäjän pyynnöstä ja ilman lisämaksua yhteistyötä ja auttaa Rekisterinpitäjää asianmukaisia teknisiä ja järjestöllisiä toimenpiteitä koskevien tietojen kanssa Sovellettavissa tietosuojasäädöksissä säädettyjen rekisteröityjen oikeuksien varmistamiseen, muun muassa:
5.9.1. toimittaa Rekisterinpitäjälle jäljennöksen rekisteröidyn henkilötiedoista;
5.9.2. avaa, korjaa, poistaa henkilötietoja tai rajoittaa henkilötietojen käsittelyä.
5.10. Henkilötietojen käsittelijä tarjoaa pyydettyä apua toimittamalla pyydetyt asiakirjat ja tiedot kymmenen (10) päivän sisällä Rekisterinpitäjän hakemuksen toimittamisesta alkaen.
5.11. Jos rekisteröity, valvonta- tai hallituselin tai muu kolmas henkilö vaatii Henkilötietojen käsittelijältä Sopimuksen perusteella Käsiteltäviä henkilötietoja, Henkilötietojen käsittelijä ohjaa ko. vaatimuksen Rekisterinpitäjälle. Henkilötietojen käsittelijä ei saa julkaista henkilötietoja tai muita henkilötietojen käsittelyä koskevia tietoja ilman Rekisterinpitäjän etukäteen antamaa kirjallista suostumusta, paitsi jos Henkilötietojen käsittelijä on velvoitettu julkistamaan kyseiset tiedot Euroopan unionin tai jäsenvaltion lainsäädännön nojalla. Viimemainitussa tapauksessa ilmoittaa Henkilötietojen käsittelijä viipymättä Rekisterinpitäjälle hakemuksesta laissa säädetyssä laajuudessa.
5.12. Henkilötietojen käsittelijä toimitta ilman Rekisterinpitäjältä ilman lisämaksun vaatimusta kaikki tiedot ja asiakirjat sekä tarjoaa apuaan, jota Rekisterinpitäjä tarvitsee Sovellettavien tietosuojasäädösten kaikkien vaatimusten noudattamiseen ja mainittujen vaatimusten mukaisuuden toteen näyttämiseen Sopimukseen liittyvien henkilötietojen osalta. Henkilötietojen käsittelijä mahdollistaa lisäksi säätely- ja/tai valvontaviranomaisten toimesta tarkastusten suorittamiseen ja avustaa niiden suosittamisessa.
5.13. Henkilötietojen käsittelijän on säilytettävä ja pidettävä saatavissa olevina käsittelytoimenpiteitä koskevat asianmukaiset tiedot, muun muassa tietojen käsittelijän alihankkijana toimivan jokaisen oikeushenkilön nimi, yhteystiedot, edustaja (muun muassa tietosuoja-alan työntekijä, jos sitä voidaan soveltaad) ja toimipaikan osoite, (e) kuvatuista Rekisterinpitäjän nimissä suoritetut käsittelytavat ja se on sovellettavissa, Tietojen kansainvälistä siirtämistä koskevat tiedot (ilmoittaen muun muassa valtiot, joita toiminta koskee ja sovellettavia siirtomekanismeja koskevat tiedot). Henkilötietojen käsittelijä toimittaa Rekisterinpitäjän hakemuksesta ja ilman perusteluita, viipymättä Rekisterinpitäjälle tässä kohdassa säädetyt asiakirjat, jotta Rekisterinpitäjä voisi noudattaa sovellettavia tietosuojasäädöksiäedellyttämistä toimista aiheutuvat kohtuulliset kustannukset.
5.14. Henkilötietojen käsittelijä varmistaa Rekisterinpitäjälle oikeuden tarkistaa ja tarkastaa Henkilötietojen käsittelijän tiloja (ja varmistaa, että Henkilötietojen käsittelijällä on samanarvoiset tarkistus- ja tarkastusoikeudet alihankkijoina toimivien kolmansien käsittelijöiden suhteen) varmistaakseen, ovatko henkilötietojen käsittelijän (alihankkijan) tekniset ja järjestölliset turvallisuustoimenpiteet sopusoinnussa tässä tiedonkäsittelysopimuksessa, Sopimuksessa tai sovellettavissa tietosuojasäädöksissä säädettyjen velvollisuuksien kanssa. Kyseisten tarkastusten suorittamiseen sovelletaan alla säädettyä.
5.15. Rekisterinpitäjällä on oikeus suorittaa tarkastuksia normaalina työnaikana, ilmoittaen niistä kohtuullisen ajan verran etukäteen. Mainitut tarkastukset eivät saa keskeyttää Henkilötietojen käsittelijän liiketoimintaa ja siitä saavat suorittaa joko Rekisterinpitäjän työntekijät tai Rekisterinpitäjälle sopimuksen perusteella palveluita tarjoavan yrityksen työntekijät (pätevä kolmas henkilö) sillä edellytyksellä, että kyseinen vastaavan sopimuksen perusteella palvelua tarjoava kolmas henkilö on sitoutunut sopimuksella noudattamaan luottamuksellisuusvelvollisuuksia, jotka ovat Henkilötietojen käsittelijän kannalta kohtuullisesti hyväksyttäviä. Tarkastuksen kulut maksaa Rekisterinpitäjä. Jos tarkastuksen puitteissa todetaan kuitenkin ristiriitoja tai laiminlyönti, jonka on aiheuttanut Henkilötietojen käsittelijä tai hänen sidosyrityksensä, konsultit, aliurakoitsijat tai muut edustajat, niin Henkilötietojen käsittelijä maksaa Rekisterinpitäjän tarkastuksen aiheuttamat kulut.
Appears in 1 contract
Samples: Data Privacy & Security
Henkilötietojen käsittelijän velvollisuudet. 5.1Käsittelijä käsittelee henkilötietoja vain Rekisterinpitäjän puolesta ja Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti. Henkilötietojen käsittelijä Hyväksyessään tämän DPA:n Rekisterinpitäjä ohjeistaa Käsittelijän käsittelemään henkilötietoja seuraavalla tavalla:
i) vain sovellettavien lakien mukaisesti;
ii) kaikkien Sopimuksesta johtuvien velvollisuuksien noudattamiseksi;
iii) Rekisterinpitäjän Käsittelijän palvelujen tavanomaiseen käyttöön liittyen erikseen määrittelemällä tavalla; ja
iv) tässä DPA:ssa määritellyllä tavalla. Käsittelijä ilmoittaa Rekisterinpitäjälle saadessaan tiedon sellaisista Rekisterinpitäjän ohjeista tai muista käsittelytoimista, jotka Käsittelijän mielestä rikkovat sovellettavaa tietosuojasääntelyä. Tämän DPA:n mukaisesti käsiteltävät rekisteröityjen henkilöiden ryhmät ja käsiteltävien henkilötietojen tyypit on lueteltu kohdassa A. Käsittelijä avustaa Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, ottaen mahdollisuuksien mukaan huomioon käsittelyn luonteen ja Käsittelijän saatavilla olevat tiedot, täyttämään Rekisterinpitäjän velvollisuuden vastata Rekisteröityjen GDPR:n jakson 3 mukaisiin pyyntöihin ja varmistaakseen henkilötietojen suojan GDPR:n 32–36 artiklojen edellyttämällä tavalla. Mikäli Rekisterinpitäjä pyytää tietoja tai avustusta tietoturvaan liittyvistä toimenpiteistä, dokumentaatiosta tai muista Käsittelijän henkilötietojen käsittelyyn liittyvistä tiedoista, ja pyyntöjen sisältö poikkeaa Käsittelijän sovellettavan tietosuojasääntelyn vaatimusten mukaan esittämistä vakiotiedoista tai avustuksesta ja tästä aiheutuu ylimääräistä työtä Käsittelijälle, Käsittelijä voi veloittaa Rekisterinpitäjää tällaisista ylimääräisistä palveluista. Käsittelijä varmistaa, että Sopimuksesta johtuvien asianmukaisten henkilötietojen käsittely hänen toimestaan täyttää Sovellettavien tietosuojan säädösten vaatimuksethenkilöt, Sopimuksen ehdot ja tämän tiedonkäsittelysopimuksen ehtoja ja että rekisteröityjen oikeudet joilla on vaatimustenmukaisesti suojattu. Henkilötietojen käsittelijä ja Henkilötietojen käsittelijän palkkaamat tai mukaan pyydetyt kolmannet henkilöt voivat oikeus käsitellä henkilötietoja vain tämän tiedonkäsittelysopimuksen ja Sopimuksen vaatimusten mukaisesti ja noudattamalla muita Rekisterinpitäjän toimesta tarpeen mukaisesti annettuja tai dokumentoituja ohjeita noudattaen.
5.2. Henkilötietojen käsittelijän toimesta tämän tiedonkäsittelysopimuksen perusteella käsiteltäviä henkilötietoja, määräaikoja ja turvallisuustoimenpiteitä on kuvattu kohdassa tämän tiedonkäsittelysopimuksen Liitteessä A.
5.3. Henkilötietojen käsittelijä ei käsittele henkilötietoja suuremmassa laajuudessa, kuin on tarpeen Henkilötietojen käsittelijän toimesta Sopimuksen ja tiedonkäsittelysopimuksen noudattamisen tarkoituksessa. Henkilötietojen käsittelijä hyväksyy, että jos selkeäsanainen kirjallinen suostumus puuttuu, hänellä ei oikeutta käsitellä henkilötietoja muussa tarkoituksessa paitsi Sopimuksessa ja tiedonkäsittelysopimuksessa sovitulla tavalla. Jos Henkilötietojen käsittelijään sovellettavat sitovat Euroopan Unionin tai jäsenvaltion säädökset kieltävät Henkilötietojen käsittelijältä Sopimuksen tai annettujen ohjeiden noudattamisen tai vaativat vaihtoehtoisesti lisäkäsittelyä laajuudessa, joka ylittää Sopimuksen tai tiedonkäsittelysopimuksen laajuuden, Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle viipymättä ja ennen käsittelyn aloittamista, jos se on kohtuullisuuden puitteissa mahdollista, vastaavan oikeudellisen vaatimuksen voimaan saattamisesta tai ilmoittaa Rekisterinpitäjälle, että Henkilötietojen käsittelijä ei voi noudattaa Sopimusta tai annettuja ohjeita. Henkilötietojen käsittelijä ilmoittaa lisäksi viipymättä Rekisterinpitäjälle siitä, jos Rekisterinpitäjän antama ohje loukkaa hänen arvionsa mukaan sovellettavia tietosuojasäädöksiä.
5.4. Henkilötietojen käsittelijä ylläpitää henkilötietojen luottamuksellisuutta ja varmistaa, että kaikille henkilöille, joita on valtuutettu käsittelemään henkilötietoja, on ilmoitettu tietojen luottamuksellisesta luonteesta, he ovat läpäisseet asianmukaisen koulutuksen velvollisuuksiensa hoitamiseen ja he ovat sitoutuneet luottamuksellisuuden varmistamisen velvollisuuden noudattamiseen noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakiin perustuva luottamuksellisuusvaatimuslakisääteinen salassapitovelvollisuus. Kyseinen luottamuksellisuusvaatimus jää voimaan tämän tiedonkäsittelysopimuksen ja/tai Sopimuksen päättymisen jälkeen.
5.5. Henkilötietojen käsittelijä soveltaa asianmukaisia teknisiä ja järjestöllisiä toimenpiteitä suojatakseen käsiteltäviä henkilötietoja valtuuttamattomalta tai laittomalta käsittelyltä ja satunnaiselta tuhoutumiselta, hukkaamiselta, vahingoittumiselta, muuttamiselta tai julkistamiselta. Tällaiset toimenpiteet varmistavat turvallisuustason, joka on sopusoinnussa käsittelyn aiheuttamien riskien kanssa.
5.6. Henkilötietojen käsittelijä auttaa lisäksi käsittelytavan ja saatavissa olevat tiedot huomioon ottaen Rekisterinpitäjää hänen henkilötietojen turvallisuuteen liittyvien velvollisuuksiensa hoitamisessa, mm. tietoihin liittyvistä laiminlyönneistä ilmoittaminen, riskien ja vaikutusten arviointi sekä neuvomisvelvollisuus Sovellettavien tietosuojasäädösten mukaisesti.
5.7. Jos on syntynyt todellinen tai perusteltu epäily henkilötietoihin liittyvän laiminlyönnin sattumisesta tai muun Henkilötietojen käsittelijää uhkaavan, tiedonkäsittelysopimuksen perusteella henkilötietojen käsittelemistä koskevan täytäntöönpanomenettelyn osalta, Henkilötietojen käsittelijä Käsittelijä ilmoittaa siitä tietoturvaloukkauksista Rekisterinpitäjälle viipymättä ja viimeistään neljänkymmenenkahdeksan (48) tunnin sisällä siitä alkaen, jolloin asianmukainen tieto on saatu. Henkilötietojen käsittelijä yrittää Rekisterinpitäjältä etukäteen saadun hyväksynnän nojalla selvittää tilanteen mahdollisimman nopeasti ja rajoittaa vahingon laajentumista ja lievittää tapauksen aiheuttamia vaikutuksia. Henkilötietojen käsittelijä lähettää tiedonannossaan Rekisterinpitäjälle kaikki tiedot, joita Rekisterinpitäjä tarvitsee Sovellettavien tietosuojasäädösten mukaisesti oman ilmoitusvelvollisuuden noudattamiseen ja henkilötietoihin liittyvien laiminlyöntien vaikutusten poistamiseen ja lievittämiseen. On mahdollista ja kohtuullista, henkilötietojen käsittelijä tarjoaa rekisteröidyille halutessa sopivia korjaustoimenpiteisiin liittyviä palveluita.
5.8. Henkilötietojen käsittelijä dokumentoi lisäksi Sopimukseen liittyvät henkilötietojen käsittelyyn liittyvät laiminlyönnit, mainiten siinä laiminlyöntiin liittyvät seikat, sen vaikutukset ja sovelletut korjaavat toimenpiteet. Seurantaviranomaisen on oltava mahdollisuus tarkistaa näiden asiakirjojen nojalla sovellettavien tietosuojasäädösten noudattamista. Asiakirjojen pitää sisältää vain niitä tietoja, joita tähän tarkoitukseen vaaditaan.
5.9. Henkilötietojen käsittelijä tekee Rekisterinpitäjän pyynnöstä ja ilman lisämaksua yhteistyötä ja auttaa Rekisterinpitäjää asianmukaisia teknisiä ja järjestöllisiä toimenpiteitä koskevien tietojen kanssa Sovellettavissa tietosuojasäädöksissä säädettyjen rekisteröityjen oikeuksien varmistamiseen, muun muassa:
5.9.1. toimittaa Rekisterinpitäjälle jäljennöksen rekisteröidyn henkilötiedoista;
5.9.2. avaa, korjaa, poistaa henkilötietoja tai rajoittaa henkilötietojen käsittelyä.
5.10. Henkilötietojen käsittelijä tarjoaa pyydettyä apua toimittamalla pyydetyt asiakirjat ja tiedot kymmenen (10) päivän sisällä Rekisterinpitäjän hakemuksen toimittamisesta alkaen.
5.11. Jos rekisteröity, valvonta- tai hallituselin tai muu kolmas henkilö vaatii Henkilötietojen käsittelijältä Sopimuksen perusteella Käsiteltäviä henkilötietoja, Henkilötietojen käsittelijä ohjaa ko. vaatimuksen Rekisterinpitäjälle. Henkilötietojen käsittelijä ei saa julkaista henkilötietoja tai muita henkilötietojen käsittelyä koskevia tietoja ilman Rekisterinpitäjän etukäteen antamaa kirjallista suostumusta, paitsi jos Henkilötietojen käsittelijä on velvoitettu julkistamaan kyseiset tiedot Euroopan unionin tai jäsenvaltion lainsäädännön nojalla. Viimemainitussa tapauksessa ilmoittaa Henkilötietojen käsittelijä viipymättä Rekisterinpitäjälle hakemuksesta laissa säädetyssä laajuudessa.
5.12. Henkilötietojen käsittelijä toimitta ilman Rekisterinpitäjältä ilman lisämaksun vaatimusta kaikki tiedot ja asiakirjat sekä tarjoaa apuaan, jota Rekisterinpitäjä tarvitsee Sovellettavien tietosuojasäädösten kaikkien vaatimusten noudattamiseen ja mainittujen vaatimusten mukaisuuden toteen näyttämiseen Sopimukseen liittyvien henkilötietojen osalta. Henkilötietojen käsittelijä mahdollistaa lisäksi säätely- ja/tai valvontaviranomaisten toimesta tarkastusten suorittamiseen ja avustaa niiden suosittamisessa.
5.13. Henkilötietojen käsittelijän on säilytettävä ja pidettävä saatavissa olevina käsittelytoimenpiteitä koskevat asianmukaiset tiedot, muun muassa tietojen käsittelijän alihankkijana toimivan jokaisen oikeushenkilön nimi, yhteystiedot, edustaja (muun muassa tietosuoja-alan työntekijä, jos sitä voidaan soveltaa) ja toimipaikan osoite, Rekisterinpitäjän nimissä suoritetut käsittelytavat ja se on sovellettavissa, Tietojen kansainvälistä siirtämistä koskevat tiedot (ilmoittaen muun muassa valtiot, joita toiminta koskee ja sovellettavia siirtomekanismeja koskevat tiedot). Henkilötietojen käsittelijä toimittaa Rekisterinpitäjän hakemuksesta ja ilman perusteluita, viipymättä Rekisterinpitäjälle tässä kohdassa säädetyt asiakirjataiheetonta viivytystä, jotta Rekisterinpitäjä voisi noudattaa sovellettavia tietosuojasäädöksiävoi täyttää lakisääteisen tietoturvaloukkauksiin liittyvän ilmoitusvelvollisuutensa tietosuojaviranomaisille ja Rekisteröidyille. Lisäksi Käsittelijä ilmoittaa Rekisterinpitäjälle seuraavista asioista siinä määrin kuin se on asianmukaista ja laillista:
i) Rekisteröidyn esittämät pyynnöt saada pääsy henkilötietoihin;
ii) Viranomaisten esittämät pyynnöt saada pääsy henkilötietoihin. Käsittelijä ei vastaa suoraan Rekisteröityjen pyyntöihin, ellei Rekisterinpitäjä ole valtuuttanut Käsittelijää toimimaan tällä tavalla. Käsittelijä ei xxxx pääsyä tämän DPA:n perusteella käsiteltäviin henkilötietoihin viranomaisille, muutoin kuin lain nojalla, esimerkiksi tuomioistuimen päätöksellä tai muulla vastaavalla määräyksellä. Käsittelijä ei hallinnoi eikä vastaa siitä, miten Rekisterinpitäjä käyttää Käsittelijän tarjoamaa API- rajapintaa tai vastaavaa kolmannen osapuolen ohjelmiston integraatiota Käsittelijän tarjoamaan palveluun. Rekisterinpitäjä on täysin vastuussa näistä integraatioista.
5.14. Henkilötietojen käsittelijä varmistaa Rekisterinpitäjälle oikeuden tarkistaa ja tarkastaa Henkilötietojen käsittelijän tiloja (ja varmistaa, että Henkilötietojen käsittelijällä on samanarvoiset tarkistus- ja tarkastusoikeudet alihankkijoina toimivien kolmansien käsittelijöiden suhteen) varmistaakseen, ovatko henkilötietojen käsittelijän (alihankkijan) tekniset ja järjestölliset turvallisuustoimenpiteet sopusoinnussa tässä tiedonkäsittelysopimuksessa, Sopimuksessa tai sovellettavissa tietosuojasäädöksissä säädettyjen velvollisuuksien kanssa. Kyseisten tarkastusten suorittamiseen sovelletaan alla säädettyä.
5.15. Rekisterinpitäjällä on oikeus suorittaa tarkastuksia normaalina työnaikana, ilmoittaen niistä kohtuullisen ajan verran etukäteen. Mainitut tarkastukset eivät saa keskeyttää Henkilötietojen käsittelijän liiketoimintaa ja siitä saavat suorittaa joko Rekisterinpitäjän työntekijät tai Rekisterinpitäjälle sopimuksen perusteella palveluita tarjoavan yrityksen työntekijät (pätevä kolmas henkilö) sillä edellytyksellä, että kyseinen vastaavan sopimuksen perusteella palvelua tarjoava kolmas henkilö on sitoutunut sopimuksella noudattamaan luottamuksellisuusvelvollisuuksia, jotka ovat Henkilötietojen käsittelijän kannalta kohtuullisesti hyväksyttäviä. Tarkastuksen kulut maksaa Rekisterinpitäjä. Jos tarkastuksen puitteissa todetaan kuitenkin ristiriitoja tai laiminlyönti, jonka on aiheuttanut Henkilötietojen käsittelijä tai hänen sidosyrityksensä, konsultit, aliurakoitsijat tai muut edustajat, niin Henkilötietojen käsittelijä maksaa Rekisterinpitäjän tarkastuksen aiheuttamat kulut.
Appears in 1 contract
Samples: Data Processing Agreement