Henkilötietojen käsittelyn yleiset

Henkilötietojen käsittelyn yleiset

ehdot Vitec Avoine Oy

sopimuspohjan versio 01032021

Vitec • Avoine • xxx.xxxxxxxxxxxxx.xxx • xxx.xxxxxx.xx

1. Sopijapuolet

Henkilötietojen käsittelijä (”Toimittaja”) Vitec Avoine Oy Tietosuojavastaava Xxxxx Xxxxxx

Y‐tunnus 1935337‐5

Toimittajan osoite Opastinsilta 8 E, 00520 Helsinki

”Asiakkaalla” tarkoitetaan Toimittajan kanssa palvelusopimuksen solminutta tahoa. Asiakas ja Toimittaja ovat erikseen ”Sopijapuoli” ja yhdessä ”Sopijapuolet”. Sopijapuolet ilmoittavat toisilleen mahdollisten tietosuojavastaaviensa yhteystiedot.

2. Sopimuksen tausta ja tarkoitus

Sopijapuolten tarkoituksena on tällä Käsittelysopimuksella korvata Sopijapuolten välillä voimassa olevien sopimusten (”Sopimus”) Henkilötietojen Käsittelyä koskevat ehdot, ellei Sopijapuolten välillä ole erikseen allekirjoitettua henkilötietojen käsittelysopimusta tai erillistä tietosuojaliitettä. Tämän Käsittelysopimuksen tarkoituksena on ottaa huomioon Tietosuoja‐asetuksen asettamat vastuut ja velvoitteet Sopimuksessa.

Mikäli Asiakkaan ja Toimittajan välillä on solmittu 1.12.2017 jälkeen erillinen henkilötietojen käsittelysopimus tai Sopimuksen liitteenä on erillinen tietosuojaliite, ei tässä dokumentissa määriteltyjä ehtoja sovelleta. Selkeyden vuoksi todettakoon, että Toimittajan Yhdistysavain ja Sporttisaitti –palveluille on määritelty omat henkilötietojen käsittelyn ehdot.

Asiakas on Sopimuksessa sovitun palvelun yhteydessä Käsiteltävien Asiakkaan Henkilötietojen rekisterinpitäjä, joka määrittelee Henkilötietojen Käsittelyn tarkoitukset ja keinot. Toimittaja on Henkilötietojen käsittelijä, joka Käsittelee kyseisiä Henkilötietoja Asiakkaan lukuun ja toimeksiannosta tässä Käsittelysopimuksessa sovitulla tavalla. Sopijapuolet sopivat liitteessä 1 tarkemmin rekisteröityjen ryhmistä, Toimittajan toteuttamista käsittelytoimista, tietoturvamenettelyistä ja siitä, mihin tarkoitukseen Toimittaja Käsittelee Asiakkaan Henkilötietoja.

Toimittaja tiedottaa Asiakasta mahdollisista tässä dokumentissa määriteltyihin yleisiin henkilötietojen käsittelyn ehtoihin kohdistuvista muutoksista.

3. Määritelmät

”Henkilötieto” tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella;

”Käsittely” tarkoittaa toimintoa tai toimintoja, joita kohdistetaan Henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;

”Käsittelysopimus” tarkoittaa tätä Henkilötietojen käsittelysopimusta liitteineen;

”Tietosuoja‐asetus” tarkoittaa Euroopan unionin yleistä tietosuoja‐asetusta 2016/679, jonka soveltaminen alkaa 25.5.2018;

”Tietosuojalainsäädäntö” tarkoittaa voimassa olevaa henkilötietolakia (523/1999) 25.5.2018 saakka ja Tietosuoja‐asetusta 25.5.2018 alkaen;

”Tietoturvaloukkaus” tarkoittaa tapahtumaa, jonka seurauksena on Käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin.

4. Asiakkaan velvollisuudet

Asiakas Käsittelee Henkilötietoja Tietosuojalainsäädännön mukaisesti. Asiakas vastaa siitä, että liitteenä 2 olevat Henkilötietojen Käsittelyä koskevat ohjeet ovat lainmukaiset ja että niissä ei ole puutteita tai virheitä. Mahdollisista muutoksista liitteen 2 mukaisiin ohjeisiin ja muutosten kustannusvaikutuksista sovitaan aina kirjallisesti erikseen.

Asiakas vastaa Toimittajalle toimitetuista Henkilötiedoista ja niiden Käsittelyn lainmukaisuudesta koko Käsittelysopimuksen voimassaolon ajan. Asiakas vastaa siitä, että kaikille rekisteröidyille, joiden Henkilötietoja käsitellään, on toimitettu tarvittavat, lainmukaiset ilmoitukset ja tiedot Henkilötietojen Käsittelyyn liittyen. Toimittaja ei seuraa toimitettujen Henkilötietojen sisältöä, laatua tai ajantasaisuutta.

Asiakas vastaa siitä, että Henkilötietojen Käsittely ja sen tarkoitus sekä perusteet ovat Tietosuojalainsäädännön mukaisia. Asiakas vastaa lisäksi siitä, että Henkilötiedot on kerätty Tietosuojalainsäädännön mukaisesti ja että Asiakkaalla on oikeus siirtää Henkilötiedot Toimittajan Käsiteltäväksi tämän Käsittelysopimuksen mukaisesti.

Sopijapuolten tarkoituksena ei ole tällä Käsittelysopimuksella siirtää mitään rekisterinpitäjän lakisääteisiä velvollisuuksia käsittelijälle.

Sopijapuolten tarkoituksena ei ole tällä Käsittelysopimuksella siirtää mitään rekisterinpitäjän lakisääteisiä velvollisuuksia käsittelijälle.

5. Toimittajan velvollisuudet

Toimittaja Käsittelee Henkilötietoja Tietosuojalainsäädännön ja liitteenä 2 olevien kirjallisten ohjeiden mukaisesti, ellei Toimittajaan sovellettavassa laissa toisin vaadita. Tällöin Toimittaja tiedottaa Asiakkaalle kyseisestä oikeudellisesta vaatimuksesta ennen käsittelyä, ellei tiedottaminen ole lain mukaan kiellettyä. Selvyyden vuoksi todetaan, että Asiakkaan katsotaan aina ohjeistaneen Toimittajaa toimittamaan Sopimuksen mukaiset Henkilötietojen Käsittelyyn liittyvät palvelut.

Ottaen huomioon käsittelytoimien luonne Toimittaja auttaa Asiakasta valitsemillaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat seuraavia, Tietosuoja‐asetuksen luvussa 3 säädettyjen rekisteröidyn oikeuksien käyttämistä (edellyttäen, että rekisteröidyllä on kyseinen oikeus Tietosuoja‐asetuksen mukaan):

a) oikeus saada pääsy Henkilötietoihin;

b) oikeus Henkilötietojen oikaisemiseen ja poistamiseen;

c) oikeus Käsittelyn rajoittamiseen;

d) oikeus siirtää Henkilötiedot järjestelmästä toiseen; ja

e) oikeus vastustaa Henkilötietojen Käsittelyä.

Sopijapuoli ilmoittaa rekisteröidyn oikeuksien käyttämistä koskevasta pyynnöstä toiselle Sopijapuolelle välittömästi ja viimeistään seuraavana arkipäivänä (ma‐pe) pyynnön vastaanottamisesta, jos pyynnön toteuttaminen edellyttää toimenpiteitä toiselta Sopijapuolelta. Sopijapuolen on ilmoituksen yhteydessä annettava kaikki tiedot, jotka ovat tarpeen pyynnön toteuttamiseksi. Toimittajalla on oikeus veloittaa Asiakasta kaikista rekisteröidyn oikeuksien toteuttamista koskevista toimenpiteistä tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti. Ottaen huomioon käsittelytoimien luonne, Toimittaja on velvollinen toteuttamaan valitsemallaan tavalla kohdissa 5 c–d määritellyt rekisteröidyn oikeuksien toteuttamiseen liittyvät toiminnallisuudet osana Sopimuksen mukaista palvelua vasta 25.5.2018 alkaen.

Ottaen huomioon käsittelytoimien luonne ja Toimittajan saatavilla olevat tiedot, Toimittaja avustaa Asiakasta seuraavien, Tietosuoja‐asetuksen 32–36 artikloissa säädettyjen, velvollisuuksien noudattamisessa:

a) Henkilötietojen Käsittelyn turvallisuuden toteuttaminen asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä;

b) Tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle ja rekisteröidyille;

c) osallistuminen tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin tekemiseen, jos vaikutustenarviointi on Tietosuoja‐asetuksen 35 artiklan mukaan tarpeen; ja

d) osallistuminen tarvittaessa valvontaviranomaisen ennakkokuulemiseen, jos ennakkokuuleminen on Tietosuoja‐asetuksen 36 artiklan mukaan tarpeen.

Toimittaja on velvollinen avustamaan Asiakasta vain Tietosuojalainsäädännön Henkilötietojen käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Toimittajalla on oikeus veloittaa Asiakasta edellä mainituista toimenpiteistä tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.

Toimittaja hyväksyttää toimenpiteet ja niihin liittyvät veloitukset etukäteen kirjallisesti Asiakkaalla.

6. Tietoturva

Sopijapuolet sitoutuvat sopimaan ja implementoimaan alalla yleisesti käytetyt tekniset ja organisatoriset toimenpiteet Henkilötietojen suojaamiseksi. Sopijapuolten sopiessa kyseisten toimenpiteiden toteuttamisesta on suunnittelussa ja toteutuksessa otettava huomioon uusin tekniikka ja toteuttamiskustannukset, Käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä Käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille. Sopijapuolten on arvioidessaan asianmukaista turvallisuustasoa otettava huomioon myös Käsittelyn sisältämät riskit, erityisesti Henkilötietojen luvaton ja lainvastainen Käsittely ja vahingossa tapahtuva Henkilötietojen häviäminen, tuhoutuminen tai vahingoittuminen.

Tällaisia toimenpiteitä ovat esimerkiksi:

a) henkilötietojen pseudonymisointi ja xxxxxx;

b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuvat luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; ja

d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Edellä mainitut toimenpiteet ovat esimerkkejä siitä, miten Sopijapuolet voivat varmistaa Henkilötietojen Käsittelyn turvallisuuden. Sopijapuolet sopivat liitteessä 1 erikseen ne yllämainitut toimenpiteet tai muut tieto‐turvamenettelyt, jotka Toimittaja toteuttaa Henkilötietojen Käsittelyn osalta. Asiakas vastaa vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asianmukaisesta ja riittävästä tietoturvallisuudesta. Ellei Sopimuksessa ole toisin sovittu, Asiakas vastaa Henkilötietojen varmuuskopioinnista ja varmuuskopioiden toimivuuden tarkastamisesta.

Asiakas on velvollinen tiedottamaan Toimittajaa kaikista niistä Asiakkaan toimittamiin Henkilötietoihin liittyvistä seikoista, kuten esimerkiksi riskiarvioinneista sekä erityisten henkilötietoryhmien Käsittelystä, jotka vaikuttavat tämän Käsittelysopimuksen mukaisesti toteutettaviin teknisiin ja organisatorisiin toimenpiteisiin. Selvyyden vuoksi todetaan, että mahdollisista muutoksista liitteessä 1 sovittuihin tietoturvamenettelyihin ja muutosten kustannusvaikutuksista sovitaan aina kirjallisesti erikseen.

Toimittaja varmistaa, että henkilöt, jotka Käsittelevät Henkilötietoja, ovat sitoutuneet noudattamaan salassa‐pitovelvollisuutta tai että heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. Toimittaja toteuttaa tarvittavat toimenpiteet sen varmistamiseksi, että kyseiset henkilöt Käsittelevät Henkilötietoja ainoastaan liitteenä 2 olevien ohjeiden mukaisesti.

7. Henkilötietojen siirtäminen

Ellei liitteessä 2 ole toisin sovittu, Toimittajalla on oikeus siirtää palvelun toteuttamista varten Henkilötietoja Euroopan unionin, Euroopan talousalueen tai muiden maiden, joiden Euroopan Komissio on todennut takaavan riittävän tietosuojan tason. Toimittajalla on oikeus palvelun toteuttamista varten siirtää Henkilötietoja EU/ETA‐alueen ulkopuolelle Tietosuojalainsäädännön nimenomaisten siirtoperusteiden mukaisesti.

8. Alihankkijat

Toimittajalla on oikeus käyttää alihankkijoita palvelun toteuttamisessa ja siihen liittyvässä Henkilötietojen Käsittelyssä. Toimittaja ilmoittaa käyttämänsä alihankkijat Asiakkaalle pyydettäessä. Toimittaja vastaa siitä, että alihankkija Käsittelee Henkilötietoja tämän Käsittelysopimuksen ja Tietosuojalainsäädännön mukaisesti.

Toimittaja ilmoittaa Asiakkaalle, jos se suunnittelee vaihtavansa tai lisäävänsä Henkilötietojen Käsittelyyn osallistuvia alihankkijoita. Asiakkaalla on oikeus vastustaa tällaisia muutoksia perustellusta syystä. Asiakkaan on ilmoitettava vastustamisesta ilman aiheetonta viivytystä sen jälkeen, kun se sai Toimittajalta tiedon asiasta. Xxx Xxxxxxx ei hyväksy alihankkijan vaihtamista tai lisäämistä, Toimittajalla on oikeus irtisanoa Sopimus 30 päivän irtisanomisajalla.

9. Tietoturvaloukkaukset

Sopijapuoli ilmoittaa toiselle Sopijapuolelle ilman aiheetonta viivytystä sen tietoon tulleesta Tietoturvaloukkauksesta. Asiakkaan on Tietoturvaloukkauksen ilmoittamisen yhteydessä toimitettava Toimittajalle kaikki se tieto, jonka voidaan katsoa auttavan Tietoturvaloukkauksen selvittämisessä, rajaamisessa tai estämisessä. Sopijapuolet voivat sopia ilmoitusprosessista tarkemmin erikseen.

Elleivät Sopijapuolet ole toisin sopineet, ilmoitus tulee tehdä Sopijapuolen ilmoittamalle yhteyshenkilölle.

Toimittajan on Tietoturvaloukkauksen ilmoittamisen yhteydessä mahdollisuuksien mukaan toimitettava Asiakkaalle:

a) kuvaus Tietoturvaloukkauksesta, sisältäen mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät (siltä osin kuin kyseiset tiedot ovat Toimittajan saatavilla);

b) Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätietoja;

c) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista; ja

d) kuvaus toimenpiteistä, jotka Toimittaja on toteuttanut Tietoturvaloukkauksen johdosta ja mahdolliset toimenpiteet, jotka Toimittaja on tehnyt Tietoturvaloukkauksen haittavaikutusten lieventämiseksi.

Jos Tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta syystä, Asiakas vastaa Toimittajalle Tietoturvaloukkauksesta ja niitä koskevista ilmoituksista aiheutuvista kustannuksista. Toimittajalla on oikeus laskuttaa Asiakasta aiheettomiksi todetuista Asiakkaan pyynnöstä käynnistetyistä selvitystöistä muodostuvista kustannuksista kulloinkin voimassa olevan Toimittajan hinnaston mukaisesti.

Asiakas vastaa Tietoturvaloukkausten ilmoittamisesta valvontaviranomaiselle ja rekisteröidylle Tietosuoja‐asetuksen mukaisesti.

10. Seloste käsittelytoimista

Toimittaja ylläpitää selostetta Asiakkaan lukuun suorittamastaan Henkilötietojen Käsittelystä. Seloste sisältää seuraavat tiedot:

a) Asiakkaan, Toimittajan ja Toimittajan mahdollisen tietosuojavastaavan nimi ja yhteystiedot sekä tiedot mahdollisista alihankkijoista;

b) Asiakkaan lukuun suoritetut käsittelytoimet;

c) tiedot mahdollisista Henkilötietojen siirroista EU‐ tai ETA‐alueen ulkopuolelle; ja

d) mahdollisuuksien mukaan yleinen kuvaus kohdan 6 mukaisista teknisistä ja organisatorisista turvatoimista.

11. Auditoinnit

Asiakkaalla tai Asiakkaan nimeämällä riippumattomalla asiantuntijalla, joka ei voi olla Toimittajan kilpailija, on oikeus tarkastaa tämän Käsittelysopimuksen voimassaoloaikana, että Toimittaja noudattaa tässä Käsittely‐sopimuksessa Toimittajalle osoitettuja velvoitteita. Tarkastuksen kohteena on Asiakkaan Henkilötietojen Käsittelyyn liittyvä Toimittajan tarpeellinen aineisto sekä Henkilötietojen Käsittelyssä käytettävät Toimittajan järjestelmät ja toimitilat. Tarkastus voidaan suorittaa enintään kerran vuodessa ja siitä on ilmoitettava Toimittajalle kirjallisesti vähintään 30 päivää etukäteen. Toimittajan on edellä esitetystä huolimatta aina sallittava Asiakkaan toimintaa valvovan viranomaisen suorittamat Henkilötietojen käsittelijän toimintojen tarkastukset.

Viranomaisten suorittamiin tarkastuksiin sovelletaan tätä Käsittelysopimusta soveltuvin osin.

Toimittaja osallistuu tarkastuksen toteuttamiseen ja antaa tarkastajalle ne tiedot, jotka ovat tarpeen osoittamaan, että Toimittaja noudattaa tässä Käsittelysopimuksessa sille määriteltyjä velvollisuuksia. Tarkastuksesta ei saa aiheutua haittaa Toimittajan palvelutuotannolle, eikä tarkastajalla ole oikeutta

saada pääsyä Toimittajan asiakkaiden tai yhteistyökumppaneiden tietoihin. Jos tarkastuksen suorittaja on muu kuin Asiakas, tarkastaja ja Toimittaja tekevät salassapitosopimuksen ennen tarkastuksen toteuttamista.

Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkastuksista aiheutuneet kustannukset. Mikäli tarkastukset paljastavat merkittäviä puutteita Toimittajan toiminnoissa, Toimittaja vastaa tarkastuksista aiheutuvista omista kustannuksistaan.

12. Henkilötietojen käsittelyn päättyminen

Toimittaja poistaa Henkilötiedot tai palauttaa ne Asiakkaalle Asiakkaan kirjallisen pyynnön mukaisesti, kun Sopimus päättyy ja Henkilötietojen Käsittelyyn liittyvän palvelun tarjoaminen lakkaa tai kun tämä Käsittelysopimus päättyy.

Lisäksi Toimittaja poistaa kaikki olemassa olevat jäljennökset Henkilötiedoista Sopimuksen tai tämän Käsittelysopimuksen päättyessä, ellei Toimittajan ole lain tai viranomaismääräyksen mukaan säilytettävä kyseisiä Henkilötietoja.

Tiedot poistetaan kaikista tallennusjärjestelmistä ilman aiheetonta viivästystä ja toimittajan varmuuskopioista kuuden (6) kuukauden sisällä.

Toimittajalla on oikeus veloittaa Asiakasta Henkilötietojen palauttamisesta tai tuhoamisesta tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti. Sopijapuolet voivat sopia tarkemmin Henkilötietojen poistamista ja palauttamista koskevista käytännöistä.

13. Korvausvelvollisuus ja vastuunrajoitukset

Jos rekisteröidylle aiheutuu vahinkoa Tietosuoja‐asetuksen rikkomisesta, kumpikin Sopijapuoli vastaa itse rekisteröidylle aiheutuneesta vahingosta Tietosuoja‐asetuksen 82 artiklan mukaisesti. Kumpikin Sopijapuoli vastaa itse myös valvontaviranomaisen sille mahdollisesti määräämistä Tietosuoja‐ asetuksen 83 artiklan mukaisista hallinnollisista sakoista.

Tähän Käsittelysopimukseen sovelletaan Sopimuksen vastuunrajoitusehtoa. Jos Sopimukseen ei ole määritelty vastuunrajausehtoa, sovelletaan henkilötietojen käsittelyn osalta seuraavia ehtoja:

- Sopijapuolet ovat vastuussa välittömistä vahingoista, jotka ovat syntyneet toiselle Sopijapuolelle sopimusrikkomuksen johdosta.

- Sopijapuolet eivät vastaa toiselle Sopijapuolelle välillisistä vahingoista, kuten saamatta jääneestä voitosta, markkinaosuuden pienenemisestä, tiedon menetyksestä, menetetyn tiedon uudelleen luomisesta, tai toiminnan keskeytyksistä aiheutuvista vahingosta.

- Toimittajan yhteenlaskettu kalenterivuosittainen vahingonkorvausvastuun enimmäismäärä tämän Sopimuksen alla ei voi ylittää viittätoista (15) prosenttia Asiakkaan Toimittajalle kalenterivuodessa tämän Sopimuksen alla maksamista maksuista.

- Vastuunrajoitukset eivät koske tahallisesti tai törkeällä tuottamuksella aiheutettuja vahinkoja eikä vahinkoja, jotka ovat aiheutuneet salassapitovelvoitteiden tai immateriaalioikeuksien rikkomisesta.

14. Sopimuksen muuttaminen

Tähän Käsittelysopimukseen tehdyt muutokset ovat päteviä vain, jos ne on tehty kirjallisesti ja jos molemmat Sopijapuolet ovat vahvistaneet ne allekirjoituksillaan tai sähköpostitse lähetetyllä muutosta koskevalla vahvistuksella.

15. Voimaantulo, soveltamisjärjestys ja voimassaolo

Tämä Käsittelysopimus tulee voimaan, kun molemmat Sopijapuolet ovat allekirjoittaneet Sopimuksen. Tämä Käsittelysopimus on voimassa niin kauan kuin Toimittaja Käsittelee Asiakkaan Henkilötietoja. Tämä Käsittelysopimus päättyy viimeistään silloin, kun Sopimus päättyy ja Asiakkaan Henkilötiedot on poistettu kohdassa 9 Henkilötietojen käsittelyn päättyminen kuvatun toimintamallin mukaisesti.

Sopijapuolella on oikeus purkaa tämä Käsittelysopimus, jos toinen Sopijapuoli olennaisesti rikkoo sopimus‐velvoitteitaan, eikä ole korjannut rikkomusta 30 päivän kuluessa siitä, kun toinen Sopijapuoli on kirjallisesti huomauttanut rikkomisesta.

Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Käsittelysopimuksen voimassaolon päättymisestä riippumatta, jäävät voimaan Käsittelysopimuksen päättymisestä riippumatta.

16. Sovellettava laki ja riidanratkaisu

Tähän Käsittelysopimukseen sovelletaan Sopimuksen riidanratkaisulauseketta.

17. Käsittelysopimuksen liitteet

Seuraavat liitteet ovat olennainen ja erottamaton osa tätä Käsittelysopimusta. Mikäli tämän Käsittelysopimuksen ja liitteiden välillä on ristiriitaa, sovelletaan tätä Käsittelysopimusta. Mikäli liitteiden välillä on ristiriitaa, sovelletaan alla olevaa soveltamisjärjestystä pienimmästä numerosta suurimpaan.

Liite 1 Kuvaus käsiteltävistä henkilötiedoista

Liite 2 Henkilötietojen käsittelyä koskevat ohjeet

Liite 1: Kuvaus käsiteltävistä henkilötiedoista

1. Henkilötietojen käsittelyn tarkoitus

Toimittaja Käsittelee Henkilötietoja ainoastaan käyttöönotto‐, kehitys‐, ylläpito‐, analytiikka‐, asiakastuki‐, koulutus‐ ja konsultointipalvelujen tarjoamiseksi.

2. Käsittelyn sisältö

Toimittaja suorittaa seuraavia Henkilötietojen käsittelytoimia:

• Kerääminen

Esim. verkkolomakkeella ilmoittautumisten tai muun henkilötietoja sisältävän aineiston keruun toteutus.

• Tallentaminen

• Järjestäminen

Esim. käyttöönottokonversioissa aineiston järjestyksen muuttaminen tai työkalujen tarjoaminen, jolla Asiakas voi järjestää aineistoa.

• Jäsentäminen

Esim. kootaan kaikkien tietyllä hakukriteerillä löytyvien henkilöiden tiedot listaksi.

• Säilyttäminen

• Muokkaaminen

• Haku

• Kysely

• Saataville asettaminen (tietojen luovuttaminen esim. siirtämällä tai levittämällä) Esim. tietojen eräpohjainen tai reaaliaikainen siirto integraation kautta kolmannelle osapuolelle. Tapahtuu aina Asiakkaan toimeksiannosta.

• Yhteensovittaminen tai yhdistäminen

Esim. tietorakenteiden muuttaminen tai kolmannelta osapuolelta hankitun henkilötiedon liittäminen Asiakkaan henkilötietorekisteriin.

• Rajoittaminen

Tietosuoja‐asetuksessa määritellyn henkilötietojen käsittelyn rajoittamisen toteutus Asiakkaan pyynnöstä.

• Poistaminen tai tuhoaminen

• Varmuuskopioiminen

3. Käsiteltävät rekisteröityjen ryhmät ja henkilötietotyypit

Toimittaja Käsittelee Palveluun talletettuja rekisteröityjen ryhmiä ja henkilötietotyyppejä, jotka voivat olla esimerkiksi jäsenyyttä, työsuhdetta, tai muuta Asiakkaan toimintaan liittyviä Henkilötietoja. Käsiteltävät Henkilötiedot sisältävät rekisteröityjen henkilökohtaisia tietoja, kuten esimerkiksi nimi, yhteystiedot, syntymäaika. Käsiteltävät tiedot voivat sisältää henkilötunnuksia tai tietosuoja‐asetuksessa määriteltyihin tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvaa tietoa.

4. Sovellettavat tietoturvamenettelyt

Toimittaja noudattaa omia kulloinkin voimassaolevia sisäisiä tietoturvaohjeitaan Henkilötietojen Käsittelyssä. Lisäksi toimittaja ylläpitää dokumentaatiota asiakaskohtaisesti toteutetuista täydentävistä tietoturvamenettelyistä, joista on erikseen sovittu. Turvallisuussyistä johtuen Toimittajan tietoturvaohjeistus on salainen ja Toimittaja esittelee ohjeistuksen sisältöä Asiakkaalle erikseen pyydettäessä.

Liite 2: Henkilötietojen käsittelyä koskevat ohjeet

• Ohjeistuksen tarkoituksena on määritellä henkilötietojen käsittelyn toimintamalli Pilvipalveluna toteutettavan tietojärjestelmän toteuttamiseksi ja tähän liittyvien lisäpalveluiden tuottamiseksi. Käsittelyn päävaiheet ovat seuraavat:

o Asiakas toimittaa henkilötiedot Toimittajalle Toimittajan turvallisuusohjeistuksen mukaisesti.

o Toimittaja siirtää Asiakkaan toimittamat henkilötiedot omiin tietojärjestelmiinsä. Jos aineiston siirron tarkoituksena on konversioanalyysin toteuttaminen, niin Asiakkaan toimittaman aineiston hävittämisen aikataulusta sovitaan erikseen.

o Lisäksi tietojärjestelmään voidaan tuoda lisää henkilötietoa esimerkiksi integraatioiden kautta, Asiakkaan toimesta tai verkkolomakkeilla.

o Toimittaja tukee asiakasta Sopimuksen mukaisesti liittyen tietojärjestelmän hyödyntämiseen

o Sopimuksen päättyessä Toimittaja tukee Asiakasta henkilötietojen siirrossa uuteen tietojärjestelmään ja huolehtii tietojärjestelmään tallennettujen henkilötietojen turvallisesta hävittämisestä sopimuksen päätyttyä.

• Toimittajan tulee kehittää toimintaansa huomioiden henkilötietojenkäsittelyn ja tietoturvan vaatimukset. Toimittajan tulee seurata omaa toimintaa koskevien tietoturvauhkien kehittymistä, arvioida tieto‐turvariskejä ja sekä huomioida nämä toimintansa kehittämisessä.

• Toimittajan tulee tiedottaa tietosuoja‐ ja tietoturvatoiminnastaan mahdollisuuksien mukaan sekä vähintään Asiakkaan toimintaan olennaisesti vaikuttavilta osin.

• Toimittaja vastaa Asiakkaalle palveluidensa tietosuojaan ja tietoturvaan vaikuttaviin ratkaisuihin liittyviin kysymyksiin osana Asiakkaan asiakastuen prosessia.

• Toimittajan tulee tiedottaa asiakasta Tietoturvaloukkauksiin liittyvistä toimintamalleista, jotka koskevat Asiakkaan ja Toimittajan välistä yhteistyötä.

• Toimittajan tulee avustaa asiakasta Tietoturvaloukkauksiin liittyvien epäilyjen selvittämisessä.

• Toimittajan tulee määritellä toimintatavat ja ohjeistaa Asiakasta turvalliseen henkilötietojen siirtoon.

• Toimittajan tulee havainnoida Asiakkaan toimintaa yhteistyössä ja mahdollisuuksien mukaan ohjeistaa sekä tukea asiakasta turvallisempaan toimintaan.

• Toimittajan tulee tarjota Asiakkaalle lisäveloituksesta tietosuojakoulutusta sekä konsultointia hyödyntäen omaa sekä kumppaniverkostonsa osaamista.

• Toimittajan tulee huomioida asiakkaiden toiveet tietosuojan toteuttamista koskevissa kehitysideoissa.

• Toimittajan tulee pyydettäessä arvioida mahdollisuuksien mukaan Asiakkaan tekemien muutos‐ ja toimenpidepyyntöjen lainmukaisuutta tietosuoja‐asetuksen näkökulmasta.

• Toimittajan tulee huolehtia henkilöstönsä koulutuksesta ja ohjeistuksesta henkilötietojen käsittelyssä sekä tietoturvassa.