Ouman ja Asiakas jäljempänä kumpikin erikseen Osapuoli tai yhdessä Osapuolet.
Osapuolet noudattavat Suomen tietosuojalakia (1050/2018, muutoksineen) sekä Euroopan yleistä tietosuoja-asetusta (EU 2016/679, "GDPR") henkilötietojen käsittelyssä. Ounet-palvelun tietosuojaseloste on nähtävissä Oumanin internet-sivustolla, minkä lisäksi se on oheistettu Osapuolten välillä tehdyn palvelusopimuksen liitteeksi. Asiakas vastaa siitä, että sillä on henkilötietojen rekisterinpitäjänä asianmukainen voimassa oleva tietosuojaseloste.
Ouman toimittaa Asiakkaalle Osapuolten välisissä muissa sopimuksissa yksilöityjä palveluja. Tällaisten sopimusten perusteella Ouman voi käsitellä henkilötietojen käsittelijänä henkilötietoja, jotka Asiakas kyseisten henkilötietojen rekisterinpitäjänä luovuttaa Oumanin käsiteltäväksi Osapuolten välisten oikeuksien ja velvoitteiden sekä ylipäätään Osapuolten välisen sopimus- ja asiakassuhteen hoitamiseksi. Tätä sopimusta henkilötietojen käsittelystä ("DPA") sovelletaan Osapuolten väliseen suhteeseen siltä osin, kuin Xxxxx käsittelee henkilötietoja Asiakkaan lukuun. Ellei tässä DPA:ssa muuta ole sovittu, tässä käytetyillä termeillä on niiden GDPR:n mukainen merkitys.
Asiakas vastaa siitä, että sillä on oikeus luovuttaa henkilötiedot Xxxxxxx käsiteltäväksi tämän DPA:n ja Osapuolten välillä solmittujen muiden sopimusten mukaisesti ja niiden edellyttämässä laajuudessa.
Asiakas on rekisterinpitäjänä vastuussa siitä, että sillä on tarvittavat oikeudet ja että se on hankkinut tarvittavat suostumukset henkilötietojen keräämiseen, tallettamiseen, käsittelyyn sekä niiden mahdolliseen luovuttamiseen. Asiakas vastaa tietosuoja- ja/tai rekisteriselosteen laatimisesta, päivittämisestä ja saatavilla pidosta, rekisteröityjen informoinnista, tarkastusoikeuden toteuttamisesta ja muutoinkin henkilötietojen käsittelyn lainmukaisuudesta sekä GDPR:n noudattamisesta. Asiakas sitoutuu noudattamaan Suomessa ja Euroopan Unionissa kulloinkin voimassa olevaa henkilötietolainsäädäntöä.
Xxxxxxx ilmoittaa viipymättä Oumanille rekisteröidyn pyynnöistä koskien hänen oikeuksiensa käyttämistä, mikäli pyyntö edellyttää toimia, joihin Oumanin on ryhdyttävä.
Ouman käsittelee Asiakkaan henkilötietoja Asiakkaan kirjallisia dokumentoituja ohjeita ja voimassa olevaa lainsäädäntöä noudattaen sekä suojaa tietojen käsittelyn alalla vallitsevan tavan ja omien tietoturvakäytänteidensä mukaisesti. Asiakas vastaa henkilötietojen käsittelyä koskevien ohjeidensa lainmukaisuudesta.
Ouman ei siirrä henkilötietoja EU/ETA -alueen ulkopuolelle ilman Asiakkaan antamaa etukäteistä kirjallista lupaa tai GDPR:n mukaista perustetta.
Ouman varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
Ottaen huomioon henkilötietojen käsittelytoimien luonteen, Ouman avustaa Asiakasta mahdollisuuksien mukaan asianmukaisin teknisin ja organisatorisin toimenpitein täyttämään Asiakkaan velvollisuuden vastata rekisteröidyn pyyntöihin koskien GDPR:n mukaisia rekisteröidyn oikeuksia. Asiakkaan tulee aina ensin käyttää palveluiden toimintoja rekisteröidyn pyyntöihin vastaamiseksi. Siltä osin, kun Asiakas ei voi vastata rekisteröidyn pyyntöihin palveluiden toimintoja käyttäen, Oumanin tulee muutoin tarjota Asiakkaalle kaupallisesti kohtuullista avunantoa. Tällaisia edellä mainittuja rekisteröidyn oikeuksia ovat:
a) oikeus saada pääsy henkilötietoihin;
b) oikeus henkilötietojen oikaisemiseen ja poistamiseen;
c) oikeus henkilötiedon käsittelyn rajoittamiseen;
d) oikeus siirtää henkilötietoja järjestelmästä toiseen;
e) oikeus vastustaa henkilötietojen käsittelyä.
Ouman avustaa Asiakasta tämän pyynnöstä ja mahdollisuuksiensa mukaan ja kohtuullisissa määrin GDPR:ssä määriteltyjen rekisterinpitäjän velvollisuuksien täyttämisessä, kuten:
f) asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen;
g) avustaminen tietoturvaloukkauksista ilmoittamisessa valvontaviranomaiselle ja rekisteröidylle;
h) osallistuminen tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin tekemiseen ja valvontaviranomaisen ennakkokuulemiseen.
Ouman toteuttaa asianmukaisen henkilötietojen käsittelyn turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten esimerkiksi:
i) henkilötietojen pseudonymisointi ja xxxxxx;
j) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
k) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
l) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Ouman avustaa yllä mainituissa tapauksissa Asiakasta tämän esittämän pyynnön ja ilmoittamien tietojen perusteella käyttäen omia ratkaisuja, työskentelytapoja ja tietoturvaohjeita. Ouman ilmoittaa Asiakkaalle, mikäli rekisteröity on ilmoittanut suoraan Oumanille oikeuksiensa käyttämisestä. Osapuolet sopivat yhdessä siitä, miten tällaisiin pyyntöihin reagoidaan käytännössä ja kumpi taho pyyntöihin vastaa.
Oumanilla on oikeus laskuttaa Asiakasta Oumanin tehtäväksi sovituista sekä yllä mainituista toimenpiteistä palveluhinnastonsa mukaisesti.
Oumanin on ilmoitettava henkilötietojen tietoturvaloukkauksesta Asiakkaalle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Mikäli Asiakas havaitsee tietoturvaloukkauksen, tulee tämän ilmoittaa siitä Oumanille ilman aiheetonta viivästystä. Osapuolten toisilleen antamassa ilmoituksessa on:
a) kuvattava henkilötietojen tietoturvaloukkaus;
b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;
c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta.
Mikäli tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.
Asiakkaan on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet.
Asiakas vastaa tarvittavien ilmoitusten tekemisestä viranomaiselle. Mikäli tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta seikasta, Oumanilla on oikeus laskuttaa Asiakasta loukkauksesta ja sen selvittämisestä aiheutuvista kustannuksista.
Asiakas antaa tässä kirjallisen suostumuksensa Xxxxxxxxx käyttää alihankkijoita tässä sopimuksessa kuvattujen palveluiden toteuttamisessa. Ouman ilmoittaa Asiakkaalle käyttämistään alihankkijoista sekä alihankkijan mahdollisesta vaihtamisesta. Asiakkaalla on oikeus perustellusta syystä vastustaa tietyn alihankkijan käyttämistä. Ouman vastaa alihankkijoiden toiminnasta kuin omastaan.
Ouman ylläpitää sähköisessä muodossa asianmukaista selostetta Asiakkaan lukuun suoritettavista käsittelytoimista.
Osapuolen vastuu rekisteröidyn korvausvaatimuksista aiheutuviin tappioihin, kustannuksiin tai vahinkoihin määräytyy GDPR:n mukaisesti. Xxx Xxxxxxxx käsittelee henkilötietoja tämän DPA:n tai GDPR:n vastaisesti, on kyseinen Osapuoli kuitenkin velvollinen korvaamaan ja vapauttamaan toisen Osapuolen vastuusta rekisteröityjen korvausvaatimuksista aiheutuviin tappioihin, kustannuksiin tai vahinkoihin, jotka ovat seurausta toisen Osapuolen suorittamasta tämän DPA:n tai GDPR:n vastaisesta henkilötietojen käsittelystä. Osapuolen vastuu valvontaviranomaisen määräämiin hallinnollisiin sakkoihin määräytyy GDPR:n mukaisesti. Lukuun ottamatta edellä mainittuja tappioita, kustannuksia tai vahinkoja, Osapuolten vastuuseen sovelletaan Ounet käyttö- ja sopimusehdoissa määritettyjä vastuunrajoitusta koskevia ehtoja.
Tämä DPA astuu voimaan, kun Osapuolet ovat sen allekirjoittaneet tai Asiakas on sen alla kuvatuin tavoin muuten hyväksynyt. DPA on voimassa niin kauan, kun Ouman suorittaa Asiakkaalle Osapuolten välisissä sopimuksissa sovitun mukaisesti sellaisia toimia, joiden johdosta Oumanin voidaan katsoa toimivan Asiakkaan henkilötietojen käsittelijänä. Sopimusten ja/tai henkilötietojen käsittelyn päättyessä Ouman tuhoaa kaikki Oumanin halussa olevat Asiakkaan lukuun käsittelemät henkilötiedot, mikäli tällaisia tietoja ei ole lain mukaan säilytettävä.
Tämä DPA on voitu solmia joko kirjallisena allekirjoittamalla Ounet-sopimuksen, jonka liitteenä DPA on tai vaihtoehtoisesti Asiakas on voinut hyväksyä DPA:n Ounet-palvelussa sähköisesti omilla Ounet-palvelun tunnuksillaan.
Allekirjoitukset:
[Asiakas]
Paikka ja päivämäärä Paikka ja päivämäärä
/ / / /
Ouman Oy Yritys:
_
Allekirjoitus ja nimenselvennös: Allekirjoitus ja nimenselvennös:
_