Tietosuojaliite

Tietosuojaliite

1. Yleistä

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite (”Tietosuojaliite”) on

olennainen ja erottamaton osa Rakennustieto Oy:n (”Rakennustieto”) yleisiä sopimusehtoja (”Ehdot”), joiden ajantasainen versio on saatavilla osoitteessa

xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxxx-xxxxxxxxxxxx.

Tätä Tietosuojaliitettä sovelletaan, kun Rakennustieto muodostaa asiakassuhteen asiakkaansa (”Asiakas”) kanssa, ja täten käsittelee Asiakkaan henkilötietoja EU:n yleisen tietosuoja-asetuksen (2016/67) (”Tietosuoja-asetus”) mukaisesti joko omiin käyttötarkoituksiinsa tai Asiakkaan puolesta ja lukuun.

Tämä Tietosuojaliite yhdessä Rakennustiedon ja Asiakkaan välisen sopimuksen (”Sopimus”) kanssa määrittelee henkilötietoja koskevan tietosuojan ja tietoturvan periaatteet ja ehdot. Mikäli Sopimus ja sen muut mahdolliset liitteet olisivat ristiriidassa tämän Tietosuojaliitteen kanssa, sovelletaan

Rakennustiedon ja Asiakkaan välillä henkilötietojen käsittelyyn ensisijaisesti tässä Tietosuojaliitteessä sovittua.

2. Määritelmät

”Henkilötieto” tarkoittaa kaikkea tunnistettuun tai tunnistettavissa olevaan luonnolliseen

henkilöön (”Rekisteröity”) liittyvää tietoa tai muuta Tietosuoja-asetuksessa tai muussa tietosuojaa koskevassa lainsäädännössä määriteltyä henkilötietoa.

”Käsittely” tarkoittaa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, tai muuta Tietosuoja-asetuksessa tai muussa tietosuojaa koskevassa lainsäädännössä määriteltyä

henkilötietojen käsittelyä.

”Rekisterinpitäjä” tarkoittaa Tietosuoja-asetuksen mukaan tahoa, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

”Käsittelijä” tarkoittaa Tietosuoja-asetuksen mukaan henkilötietoja käsittelevä tahoa, joka käsittelee henkilötietoja Rekisterinpitäjän lukuun.

”Tietoturvaloukkaus” tarkoittaa tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole

käsittelyoikeutta.

3. Roolit

Rakennustieto toimii Tietosuoja-asetuksen tarkoittamana Rekisterinpitäjänä, kun se käsittelee Asiakkaan henkilötietoja omiin käyttötarkoituksiinsa niin, että nämä henkilötiedot muodostavat Rakennustiedon Asiakasrekisterin.

Kun Xxxxxxxxxxxxx käsittelee Asiakkaan toimeksiannosta henkilötietoja Asiakkaan puolesta ja

lukuun, toimii Asiakas Rekisterinpitäjänä ja Rakennustieto Käsittelijänä. Täten Rakennustieto toimii Käsittelijänä käsitellessään henkilötietoja, jotka Asiakas on lisännyt Rakennustiedon palveluun.

4. Rekisterinpitäjän oikeudet ja velvollisuudet

Rekisterinpitäjä vastaa käsiteltävien henkilötietojen määrittelystä ja siitä, että se käsittelee

henkilötietoja noudattaen Tietosuoja-asetusta ja muuta tietosuojaa koskevaa lainsäädäntöä sekä hyvää tietojenkäsittelytapaa. Rekisterinpitäjä vastaa siitä, että henkilötietojen käsittelyyn on

olemassa Tietosuoja-asetuksen mukainen oikeusperuste.

Rekisterinpitäjän velvollisuutena on määritellä henkilötietojen käsittelyn tarkoitukset ja keinot sekä antaa Käsittelijälle tätä sitovat kirjalliset Tietosuoja-asetuksen mukaiset ohjeet henkilötietojen

käsittelystä.

Rekisterinpitäjä varmistaa ja vastaa siitä, että Rekisteröidylle toimitetaan kaikki Tietosuoja- asetuksen edellyttämä henkilötietojen käsittelyä koskeva informaatio. Lisäksi Rekisterinpitäjä

vastaa siitä, että sillä on koko Sopimuksen voimassaoloajan Tietosuoja-asetuksen mukainen oikeus siirtää henkilötietoja käsiteltäväksi tämän Tietosuojaliitteen ja Sopimuksen mukaisesti.

Rekisterinpitäjä vastaa tarvittavien suostumusten hankkimisesta henkilötietojen käsittelyä varten.

Lisäksi Rekisterinpitäjä vastaa siitä, että se on täyttänyt kaikki pakolliset viranomaisille

henkilötietojen käsittelyyn liittyvät ilmoitukset ja lupien hankintaa koskevat velvollisuudet ja vaatimukset. Rekisterinpitäjä vastaa itse Tietosuoja-asetuksen mukaisten muutos-, poisto- ja tietopyyntöjen toteuttamisesta omille sidosryhmilleen.

Rekisterinpitäjä vastaa itse siitä, mitä tietoja palveluun tallennetaan, miten niitä käsitellään (mukaan lukien mahdollinen pseudonymisointi) ja minne niitä luovutetaan. Rekisterinpitäjä on yksinomaan vastuussa Käsittelijälle luovutettujen henkilötietojen paikkansapitävyydestä, ajantasaisuudesta, sisällöstä, luotettavuudesta ja laillisuudesta.

Sekä Rekisterinpitäjä että Käsittelijä ovat vastuussa itselleen aiheutuvista sellaisista kustannuksista, jotka johtuvat Tietosuoja-asetuksen tai muun tietosuojaa koskevan lainsäädännön tai tämän

Tietosuojaliitteen mukaisten heille itselleen kuuluvien velvollisuuksiensa täyttämisestä.

5. Henkilötietojen käsittelijän oikeudet ja velvollisuudet

Käsittelijän on toimittava tämän Tietosuojaliitteen mukaisesti tuottaessaan Rekisterinpitäjälle Sopimuksen mukaisia palveluita. Käsittelijä saa käyttää henkilötietoja ainoastaan Sopimuksen mukaisten velvoitteiden täyttämiseksi.

Käsittelijän tulee noudattaa soveltuvaa tietosuojaa koskevaa lainsäädäntöä ja Rekisterinpitäjän kirjallisesti antamia ohjeistuksia. Käsittelijän velvollisuutena on ilmoittaa Rekisterinpitäjälle

välittömästi katsoessaan ohjeistuksen lainvastaiseksi, paitsi jos tiedottaminen olisi lainsäädännössä kiellettyä yleistä etua koskevien tärkeiden syiden vuoksi.

Käsittelijän velvollisuutena on huolehtia siitä, että ne tahot, joilla on pääsy henkilötietoihin, ovat tietoisia siitä, että heillä on oikeus käsitellä henkilötietoja ainoastaan Rekisterinpitäjän ohjeiden, tämän Tietosuojaliitteen ja Tietosuoja-asetuksen ja muun tietosuojaa koskevan lainsäädännön mukaisesti. Käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai

heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, Käsittelijä sitoutuu toteuttamaan riskiä vastaavan

turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet

henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja

toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan

vaihtelevat riskit sekä noudattamaan Rekisterinpitäjän ohjeita. Käsittelijän on varmistuttava vähintään seuraavien toimien toteuttamisesta: henkilötietojen pseudonymisointi ja salaaminen siltä osin kuin Rekisterinpitäjä edellyttää; mahdollisuus varmistaa kaikkina ajankohtina

henkilötietojen käsittelyssä käytettyjen järjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja kestävyys; henkilötietojen saatavuuden ja henkilötietoihin pääsyn palauttaminen viipymättä fyysisen tai teknisen poikkeaman jälkeen.

Käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Rekisterinpitäjälle kaikista sille

tulleista Rekisteröityjen pyynnöistä, jotka koskevat Tietosuoja-asetuksen sekä muun tietosuojaa koskevan lainsäädännön mukaisten rekisteröidyn oikeuksien käyttämistä.

Käsittelijä on velvollinen auttamaan Rekisterinpitäjää sellaisissa toiminnoissa, joissa Rekisterinpitäjä tarvitsee Käsittelijän myötävaikutusta Tietosuoja-asetuksen mukaisten velvollisuuksiensa täyttämiseksi. Tällaisia toimenpiteitä voivat olla esimerkiksi

vaikutustenarviointiin osallistuminen sekä tietosuojaan liittyvien tapojen ja raporttien

toimittaminen. Mikäli Rekisterinpitäjä pyytää tietoja tai avustusta tietoturvaan liittyvistä

toimenpiteistä, dokumentaatiosta tai muista Käsittelijän henkilötietojen käsittelyyn liittyvistä tiedoista siten, että pyynnöt poikkeavat sisällöllisesti sovellettavasta Tietosuoja-asetuksesta tai

muusta tietosuojaa koskevasta lainsäädännöstä ja tästä aiheutuu ylimääräistä työtä Käsittelijälle, Käsittelijällä on oikeus veloittaa Rekisterinpitäjää tällaisista ylimääräisistä palveluista.

Kuten edellä on todettu, Rekisterinpitäjä ja Käsittelijä ovat vastuussa itselleen aiheutuvista

sellaisista kustannuksista, jotka johtuvat Tietosuojalainsäädännön tai tämän Tietosuojaliitteen mukaisten heille itselleen kuuluvien velvollisuuksiensa täyttämisestä.

Käsittelijä ei valvo, mitä tietoja Rekisterinpitäjä palveluun tallentaa, mutta tietoturvakäytännöt on suunniteltu sellaisiksi, että Rekisterinpitäjällä voi olla henkilötietoja verkkopalvelussaan.

6. Alihankkijoiden käyttäminen ja tietojen siirtäminen

Käsittelijä voi käyttää alihankkijoita tämän Tietosuojaliitteen mukaiseen palvelujen tarjoamiseen Rekisterinpitäjälle. Käsittelijän tulee varmistaa, että sen alihankkija noudattaa tämän

Tietosuojaliitteen ja Sopimuksen mukaista salassapitoa, tietoturvaa ja -suojaa koskevia vaatimuksia sekä Tietosuoja-asetusta ja muuta tietosuojaa koskevaa lainsäädäntöä.

Käsittelijällä on oikeus vaihtaa alihankkijoita Sopimuksen voimassaoloaikana. Käsittelijä ilmoittaa Rekisterinpitäjälle ennakkoon henkilötietoja käsittelevien alihankkijoiden muutoksista.

Käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle, ellei se noudata tässä kohdassa selostettua menettelyä. Henkilötietojen siirtäminen kolmansiin maihin voidaan tehdä asianmukaisella siirtosopimuksella noudattaen EU-komission kulloinkin voimassa olevia mallilausekkeita ja/tai muita tuolloin voimassa olevia henkilötietojen siirtoa koskevia vaatimuksia.

7. Käsittelyn kesto ja tietojen poistaminen

Käsittelijä käsittelee henkilötietoja ainoastaan niin kauan kuin Sopimus on voimassa.

Sopimuksen päättyessä Käsittelijä Rekisterinpitäjän valinnan mukaisesti joko poistaa lopullisesti tai palauttaa kaikki henkilötiedot Rekisterinpitäjälle ja poistaa lisäksi olemassa olevat jäljennökset

lukuun ottamatta tilannetta, jossa lainsäädännössä vaaditaan säilyttämään henkilötiedot määrätyn ajan Sopimuksen päättymisen jälkeen.

8. Tietoturvaloukkausten käsittely

Käsittelijän on ilmoitettava Rekisterinpitäjälle kaikista tietoturvaloukkauksista ilman aiheetonta

viivytystä, ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun Käsittelijä on tullut tietoiseksi tietoturvaloukkauksesta. Ilmoitukseen on sisällytettävä seuraavat tiedot:

- kuvaus tietoturvaloukkauksesta sisältäen tiedot siitä, mitä Rekisteröityjen ryhmiä tietoturvaloukkaus on koskenut sekä näiden ryhmien arvioitu lukumäärä;

- tietoturvaloukkauksen selvittämistä hoitavan Käsittelijän yhteyshenkilön nimi ja yhteystiedot;

- kuvaus tietoturvaloukkauksen toteutuneista seurauksista ja/tai todennäköisistä seurauksista; ja

- kuvaus toimenpiteistä, joihin Käsittelijä on ryhtynyt tietoturvaloukkauksen johdosta ja sen haittavaikutusten lieventämiseksi.

Jos edellä mainittujen tietojen antaminen ei ole mahdollista samanaikaisesti, tiedot voidaan antaa osissa.

Rekisterinpitäjän on ilmoitettava Käsittelijälle viivytyksettä, jos Rekisterinpitäjälle on syntynyt epäily tietoturvaloukkauksesta. Rekisterinpitäjällä on myös velvollisuus avustaa

tietoturvaloukkauksen tutkimuksessa ja antaa Käsittelijälle tarvittavat tiedot tietoturvaloukkauksen tutkimiseksi. Käsittelijällä on oikeus keskeyttää tietoturvaloukkauksen selvittämistyö, mikäli

Rekisterinpitäjä ei vastaa yhteydenottoihin tai jos suojeltava etu on ilmeisen vähäinen.

Mahdollisissa tietoturvaloukkaustilanteissa Käsittelijä ilmoittaa tilanteesta Rekisterinpitäjälle ja Rekisterinpitäjä on itse vastuussa eteenpäin tiedottamisesta.

9. Vastuu ja muut ehdot

Mikäli Rekisteröidylle aiheutuu vahinkoa tietosuojavelvoitteiden rikkomisen vuoksi, Rekisterinpitäjä ja Käsittelijä vastaavat Rekisteröidylle aiheutuneesta vahingosta Tietosuoja-asetuksen 82 artiklan mukaisesti. Rekisterinpitäjä ja Käsittelijä vastaavat kumpikin itse toimivaltaisen

valvontaviranomaisen heille itselleen mahdollisesti määräämistä sanktioista.

Tämä Tietosuojaliite on voimassa niin kauan kuin Sopimus on voimassa ja niin kauan Sopimuksen irtisanomisen tai sopimuskauden päättymisen jälkeen kuin on tarpeellista saattaa loppuun

henkilötietojen käsittelyyn liittyvät toiminnot (kuten henkilötietojen palauttaminen Rekisterinpitäjälle) tai kauemmin, mikäli soveltuva lainsäädäntö niin määrää.

Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän liitteen voimassaolon päättymisestä riippumatta, jäävät voimaan liitteen päättymisen jälkeen.

Liitteeseen sovelletaan esitettyjä lakeja ja riidat ratkaistaan Sopimuksen määräysten mukaisesti.