PARTNERISOPIMUS 1. SOPIJAPUOLET
PARTNERISOPIMUS
1. SOPIJAPUOLET
Partnerin nimi: (”Partneri”) Y-tunnus:
Osoite:
Laskutusosoite:
Laskutusviite:
Vastuu Group Oy (”Vastuu Group”) y-tunnus 2327327-1)
Tarvonsalmenkatu 17 B
02600 Espoo
2. YHTEYSHENKILÖT
Partneri:
Kaupallinen yhteyshenkilö:
Tekninen yhteyshenkilö:
Tietosuoja- ja tietoturva-asioista vastaavat henkilö:
Partnerin asiakaspalvelun yhteystiedot ja palveluajat:
(V26.3.2018)
Vastuu Group:
Kaupallinen yhteyshenkilö: Xxxxx-Xxxxxx X. Xxxxxxx, Partneriohjelmasta vastaava johtaja,
xxxxx-xxxxxx.xxxxxxx@xxxxxxxxxxx.xx
Tekninen yhteyshenkilö: Xxxx Xxxxxxx
Tietosuojavastaavan yhteystiedot:
Tukipalvelut: xxxxxxxxx@xxxxxxxxxxx.xx
Kriittiset ongelmatilanteet: 0600 301 339 (arkisin ma-pe 8-16)
3. VALITTU PARTNERIOHJELMAN TASO
Sopimuksen allekirjoitushetkellä Partneri on mukana partneriohjelmassa seuraavalla tasolla:
☐ Technology Partner
(edellyttää Partnerin järjestelmän hyväksyttyä auditointia tilaajavastuuraporttien välityspalvelun vaatimuksia vastaan)
☐Technology Plus
(edellyttää selvitystä Partnerin tietosuojavelvoitteiden hoitamisesta (liite 2) ja Partnerin järjestelmän hyväksyttyä auditointia henkilötietoja käsittelevän järjestelmän vaatimuksia vastaan (liite 3))
☐ SignSpace Partner
(edellyttää selvitystä Partnerin tietosuojavelvoitteiden hoitamisesta (liite 2) ja Partnerin järjestelmän hyväksyttyä auditointia SignSpace-vaatimuksia vastaan ja SignSpace-partneruuden erityisehtojen hyväksymistä)
4. LIITTEET
Tähän sopimukseen kuuluu erottamattomana osana seuraavat liitteet:
1. Partneriohjelman sopimusehdot
2. Tietosuojavelvoitteet
3. Partnerin järjestelmälle ja laitteille asetetut vaatimukset
Jos sopimuksen ja sen liitteiden välillä on ristiriitoja, sopimusasiakirjoja tulkitaan seuraavassa järjestyksessä:
1. tämä sopimus
2. liitteet numerojärjestyksessä pienin numero ensin
5. ALLEKIRJOITUKSET
Tämä sopimus on tehty kahtena samanlaisena kappaleena, yksi kummallekin sopijapuolelle.
Paikka: Paikka:
Aika: Aika:
Partneri: Vastuu Group Oy
LIITE 1 PARTNERIOHJELMAN SOPIMUSEHDOT
1. SOPIJAPUOLET
Tämän partnerisopimuksen sopijapuolet ovat sopimuksessa nimetty y-tunnuksella yksilöity yritys tai yhteisö (myöhemmin ”Partneri”) ja
Vastuu Group Oy (y-tunnus 2327327-1), Tarvonsalmenkatu 17 B, 02600 Espoo (myöhemmin ”Vastuu Group”).
2. SOPIMUKSEN TARKOITUS JA KOHDE
Tällä sopimuksella Partneri liittyy Vastuu Groupin partneriohjelmaan, jonka kulloinkin voimassa oleva sisältö on kuvattu Vastuu Groupin verkkosivuilla
xxxxx://xxx.xxxxxxxxxxx.xx/xx/xxxxxxxxx/.
3. PARTNERIOHJELMAAN SISÄLTYVÄT PALVELUT
Vastuu Groupin partneriohjelman kulloinkin voimassa oleva sisältö on kuvattu aina Vastuu Groupin verkkosivuilla.
Vuosittaisia partneriohjelman maksuja vastaan Partneri saa kulloinkin voimassa olevan partneriohjelman mukaiset palvelut ja oikeuden tarjota tämän sopimuksen mukaisin ehdoin Partnerin loppuasiakkaalle rajapintayhteyden Vastuu Groupin verkkopalveluihin (jäljempänä ”Palvelut”) käyttäen Partnerin tarjoamaa ja Vastuu Groupin partneriohjelmaan hyväksymää laitetta ja/tai järjestelmää.
Partnerisopimus ei anna Partnerille mitään yksinoikeutta rajapintojen tai muiden partneriohjelman etujen käyttöön.
4. PARTNERIOHJELMAN TASOT
Partneri voi valita Vastuu Groupin Partneriohjelmassa sellaiset Vastuu Groupin kulloinkin tarjoamat partneriohjelman tasot, joiden vaatimukset Partneri ja sen tarjoamat laitteet tai järjestelmät täyttävät Vastuu Groupin hyväksymällä tavalla. Partneriohjelman tasot määritellään ensimmäisen kerran partnerisopimuksen hyväksymisen yhteydessä ja sen jälkeen aina vuosittain tehtävän partneristatuksen vahvistuksen yhteydessä. Partneritason säilyttämisen edellytyksenä on, että Partner noudattaa kaikkia
(V26.3.2018)
partnerisopimuksen ehtoja ja että sen tarjoamat järjestelmät ja laitteet pysyvät Vastuu Groupin kulloinkin asettamien kirjallisten vaatimusten mukaisina. Allekirjoitushetkellä voimassaolevat vaatimukset on kuvattu sopimuksen liitteessä 3.
5. PARTNERIN VELVOLLISUUDET
Partnerin tulee varmistaa, että Partneri ja sen loppuasiakkaat hakevat ja käyttävät Vastuu Groupiltä rajapinnan kautta haettuja yritys- ja henkilötietoja vain laillisiin ja Palveluiden voimassaolevien käyttöehtojen ja tietosuojaselosteen mukaisiin käyttötarkoituksiin noudattaen kulloinkin voimassaolevaa henkilötietojen suojaa koskevaa lainsäädäntöä. Tämän vuoksi Partnerisopimuksen voimassaolon edellytyksenä on seuraavien velvoitteiden täyttäminen:
5.1 Partnerin omien tietosuojavelvoitteiden noudattaminen
Partneriohjelman eri tasoilla pääsyn edellytyksenä voi olla se, että Partneri osoittaa vuosittain noudattavansa Partneria koskevia tietosuoja-velvoitteita sopimuksen liitteessä 2 kuvatulla tavalla.
Partnerin tulee viipymättä ilmoittaa kirjallisesti Vastuu Groupin tietosuojavastaavalle, jos se suunnittelee muuttavansa omia palveluitaan tai järjestelmiään siten, että Partneri muuttuu loppuasiakkaan puolesta toimivan henkilötietojen käsittelijän sijasta itsenäiseksi rekisterinpitäjäksi, joka hakee Vastuu Groupiltä henkilötietoja Partnerin omiin käyttötarkoituksiin.
5.2 Loppuasiakkaiden kanssa tehtävät sopimukset
Kullakin Loppuasiakkailla tulee olla voimassa oleva sopimus Vastuu Groupin kanssa kaikista niistä Vastuu Groupin Palveluista, joita Loppuasiakas käyttää Partnerin tarjoamien laitteiden tai järjestelmien avulla rajapintaa käyttäen.
Partnerin tulee edellyttää omassa Loppuasiakkaan kanssa tekemässään
palvelusopimuksessa, että Loppuasiakas käsittelee Vastuu Groupiltä haettuja yritys- ja henkilötietoja vain laillisiin ja Palveluiden voimassaolevien käyttöehtojen ja tietosuojaselosteen mukaisiin käyttötarkoituksiin noudattaen kulloinkin voimassaolevaa henkilötietojen suojaa koskevaa lainsäädäntöä.
Partnerin tulee ilmoittaa ST:lle välittömästi havaitsemistaan mahdollisista Vastuu Groupin Palveluiden väärinkäyttötilanteista.
5.3 Partneriyhteistyöstä vastaava yhteyshenkilö
Partnerin tulee nimetä Vastuu Groupille partneriyhteistyöstä vastaava kaupallisen yhteyshenkilö sekä henkilö, joka on vastaa Partnerin organisaatiossa tietosuoja- ja tietoturva-asioista.
5.4 Luotettava Kumppani
Partneriohjelmassa mukana olon edellytyksenä on, että Partneri omalta osaltaan sitoutuu Tilaajavastuu-palveluiden yleiseen tavoitteeseen torjua harmaata taloutta, talousrikollisuutta ja edistää reilua kilpailua lakisääteiset velvoitteensa asianmukaisesti hoitavien yritysten kesken. Siksi Partnerin tulee ottaa käyttöönsä Luotettava Kumppani -palvelu ja säilyttää siinä koko ajan ”OK”-status. Vaihtoehtoisesti Partneri voi toimittaa Vastuu Groupille muulla tavalla ja vähintään kolmen kuukauden välein tilaajavastuulain 5 §:ssä tarkoitetun selvityksen.
Luotettava Kumppani -palvelun vuosimaksu ei sisälly partneriohjelman vuosimaksuun.
5.5 Vuosittainen yhteistyön arviointi ja jatkosopimuksen edellytysten tarkastus
Partnerin tulee uusia partnerisopimus vuosittain toukokuun loppuun mennessä, ensimmäisen kerran sopimuksen allekirjoitusvuotta seuraavan vuoden toukokuun loppuun mennessä. Sopimuksen uusimisen edellytyksenä on, että Partneri antaa Vastuu Groupille partneriohjelman valittujen tason edellyttymät ajantasaiset tiedot liitteiden 2-3 mukaisesti, vastaa Vastuu Groupin esittämiin kohtuullisiin tarkentaviin kysymyksiin ja täyttää Vastuu Groupin arvion mukaan partneriohjelman vaatimukset.
5.6 Partnerin järjestelmien ja/tai laitteiden auditointi
Partnerisopimuksen solmimisen edellytyksenä on, että Partnerin järjestelmä ja/tai laite läpäisee Vastuu Groupin auditointitarkastuksen.
Partnerisopimuksen vuosittaisen uusimisen edellytyksenä on, että järjestelmä/laitteet pysyvät Vastuu Groupin kulloinkin voimassaolevien auditointivaatimusten mukaisina ja uudet järjestelmäversiot/laitteet aina auditoidaan ennen version käyttöönottoa.
Vastuu Groupillä on uusien versioiden auditoinnin lisäksi oikeus milloin tahansa auditoida Partnerin laitteiden, järjestelmien ja palveluiden sopimuksen mukainen toiminta ilmoittamalla tästä Partnerille kirjallisesti vähintään 10 päivää etukäteen. Auditoinnin voi suorittaa joko Vastuu Groupin oma asiantuntija tai riippumaton ulkopuolinen auditoija, joka ei ole Partnerin kilpailija ja on sitoutunut salassapitoon kirjallisella salassapitositoumuksella. Kumpikin sopijapuoli vastaa omista auditointikustannuksistaan.
5.7 Partnerin järjestelmien ja/tai laitteiden sertifiointi
Partneri voi lisämaksua vastaan pyytää Vastuu Groupiltä Partnerin järjestelmän ja/tai laitteen sertifiointitarkastuksen, jossa järjestelmän tai laitteen vaatimustenmukaisuus tarkastetaan Vastuu Groupin kulloinkin voimassa olevia sertifiointivaatimuksia vastaan. Jos järjestelmä tai laite täyttää sertifiointivaatimukset, Vastuu Group listaa järjestelmän tai laitteen sertifioitujen järjestelmien ja laitteiden listallaan ja Partneri voi käyttää järjestelmän/laitteen markkinoinnissa Vastuu Groupin antamaa sertifikaattia.
Sertifiointi on voimassa määritellun maksimiajan kullekin sertifiointitarkastuksen läpäisseelle järjestelmä ja/tai laiteversiolle ja vain niin kauan kuin se pysyy voimassaolevien sertifiointi-vaatimusten mukaisena.
6. TUKIPALVELUT
Vastuu Group tarjoaa Partnerille kohtuullisessa määrin maksutonta tukea Vastuu Groupin ja Partnerin palveluiden yhteentoimivuuteen liittyvissä ongelmatilanteissa. Partneri voi myös tilata maksullisia tukipalveluita.
Partnerin tulee tarjota omille asiakkailleen Partnerin järjestelmien, laitteiden ja palveluiden käyttäjätuki ja ohjeistaa asiakkaiden käyttäjät ottamaan yhteyttä ensin Partnerin asiakastukeen. Jos Partnerin arvion mukaan asiakkaan ilmoittama ongelma voi liittyä Vastuu Groupin järjestelmiin tai Vastuu Groupin välittämään dataan, Partnerin yhteyshenkilö voi pyytää sähköpostitse
(xxxxxxxxx@xxxxxxxxxxx.xx) tukea Vastuu Groupin asiakaspalvelusta. Kriittisissä ongelma-tilanteissa, joissa Palveluiden käyttö on keskeytyy kokonaan tai osittain, Partnerin on otettava yhteyttä puhelimitse Vastuu Groupin asiakaspalveluun 0600 301 339.
Jos Partnerin asiakas ottaa yhteyttä suoraan Vastuu Groupin asiakaspalveluun ja Vastuu Group tunnistaa, että asiakas on Partnerin asiakas, eikä asiakkaan ilmoittama ongelmatilanne ole suoraan Vastuu Groupin ratkaistavissa, Vastuu Group ilmoittaa tukipyynnöstä Partnerin asiakaspalveluun ja jatkaa tukipyynnön selvittämistä yhdessä Partnerin kanssa.
Vastuu Group tarjoaa tukipalveluita arkisin ma - pe klo 8-16 välillä pois lukien suomalaiset arkipyhät ja muut yleiset vapaapäivät.
7. PARTNERIOHJELMAN MAKSUT
Vastuu Group laskuttaa partneriohjelman vuosimaksut vuosittain etukäteen. Vastuu Group ei palauta maksettuja vuosimaksuja tai muita ennakkomaksuja, jos Partneri irtisanoo partnerisopimuksen päättymään ennen maksetun kauden loppua.
Mahdolliset muut maksut ja kulut laskutetaan partneriohjelman kuvauksessa mainitulla tavalla tai Vastuu Groupin kulloinkin voimassaolevan hinnaston mukaisesti. Maksuehto kaikille laskuille on 14 päivää laskun päivämäärästä. Viivästyskorko on korkolain mukainen.
Partneriohjelman vuosimaksut laskutetaan ensimmäisen kerran heti tämän sopimuksen allekirjoituksen jälkeen ja sen jälkeen vuosittain aina tammikuun aikana. Jos Partneri menettää partneriaseman kesken maksetun kauden muusta syystä kuin Partnerin sopimusrikkomuksen vuoksi, Vastuu Group palauttaa Partnerille sen osan maksetusta vuosimaksusta, jonka ajalta Partneri ei enää ole partneriohjelmassa.
8. RAJAPINNAT
Vastuu Group vahvistaa Partnerin järjestelmän ja Vastuu Groupin Palveluiden välille tarjolla olevat sovellusrajapinnat (API:t) Partnerin laitteiden ja/tai järjestelmien ensiauditoinnin ja aina uuden version auditoinnin jälkeen.
Partneriohjelmaan vuosimaksuun sisältyy oikeus vain Vastuu Groupin kulloinkin tarjoamien vakiomallisten rajapintojen käyttöön. Muiden kuin vakiomallisten rajapintojen käytöstä ja käyttömaksuista on sovittava kirjallisesti erikseen.
Vastuu Group voi muuttaa tarjolla olevaa API:a tai korvata sen toisella. Vastuu Group tulee informoida Partneria suunnitelluista API- muutoksista sähköpostitse etukäteen ja varata Partnerille kohtuullinen aika, kuitenkin aina vähintään 90 päivää, toteuttaa vaadittavat muutokset Partnerin järjestelmään ja/tai laitteisiin.
Partneri vastaa API-muutoksien edellyttämistä muutoksista ja niiden kustannuksista Partnerin omiin tietojärjestelmiin ja palveluihin.
9. IMMATERIAALIOIKEUDET
Tekijänoikeudet ja muut immateriaalioikeudet Vastuu Groupin Palveluihin, Palveluiden tuottamisessa käytettyihin ohjelmistoihin ja tietokantoihin, palvelukuvauksiin, dokumentaatioon ja tavaramerkkeihin kuuluvat yksin Vastuu Groupille tai sen lisenssinantajille.
Partnerilla on oikeus käyttää markkinoinnissaan Vastuu Groupin partneriohjelman tunnuksia ja muita tavaramerkkejä partneriohjelman kuvauksessa kulloinkin ohjeistetulla tavalla.
Partnerin loppuasiakkaan oikeudet käyttää Vastuu Groupin Palveluista haettuja yritys- ja henkilötietoja on kuvattu Vastuu Group Palveluiden käyttöehdoissa. Ellei kirjallisesti ole sovittu toisin, Partnerilla ei ole oikeutta käyttää Vastuu Groupin Palveluita tai Palveluista haettuja yritys- ja henkilötietoja muihin tarkoituksiin kuin Partnerin loppuasiakkaille tarjottavan palvelun tuottamiseksi.
Partneri voi halutessaan antaa Palveluihin liittyvää palautetta ja parannus- ja kehitysehdotuksia Vastuu Groupille. Vastuu Group voi hyödyntää harkintansa mukaan ja rajoituksetta Partnerin antamia parannus- ja kehitysehdotuksia. Kehitystyön lopputuloksien
tekijänoikeudet ja muut immateriaalioikeudet kuuluvat aina yksin Vastuu Groupille riippumatta siitä missä määrin Partneri on osallistunut kehitystyöhön.
10. VASTUUT
10.1 Vastuu Group tarjoaa Partnerille sopimuksen mukaiset API:t sellaisena kuin se on ilman mitään takuita rajapintojen toimivuudesta, käytettävyydestä, tietojen katkeamattomasta saatavuudesta rajapintojen kautta tai välitettyjen tietojen sisällön virheettömyydestä.
10.2 Kumpikaan sopijapuoli ei ole vastuussa välillisistä vahingoista. Välillisinä vahinkoina pidetään esimerkiksi saamatta jäänyttä voittoa tai vahinkoa, joka johtuu toiminnan tai palvelun keskeytymisestä. Sopimukseen perustuva sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on rajattu summaan, joka vastaa Partnerin kuluvalta sopimuskaudelta maksamaa Partneriohjelman vuosimaksua ilman arvonlisäveroa.
10.3 Kohdan 10.2 mukainen vastuunrajoitus ei koske kohtiin 9 (Immateriaalioikeudet), 11 (Salassapito) ja 14. (Kilpailukielto) perustuvaa vastuuta tai vahinkoa, joka on aiheutettu tahallisesti tai törkeällä huolimattomuudella.
11. SALASSAPITO
Sopijapuolet sitoutuvat pitämään luottamuksellisina toisiltaan saamansa luottamukselliset tiedot ja aineistot ja olemaan käyttämättä toisen sopijapuolen luottamuksellisia tietoja muuhun kuin tämän sopimuksen mukaiseen tarkoitukseen sekä olemaan luovuttamatta luottamuksellisia tietoja kolmannelle ilman tiedot luovuttaneen sopijapuolen etukäteen antamaa kirjallista suostumusta. Salassapitovelvoite on voimassa sopimuksen päättymisen jälkeenkin siihen asti, kunnes tieto tulee yleiseen tietoon ilman sitä koskevan salassapitovelvoitteen rikkomista.
Sopijapuoli ei saa julkistaa partneriohjelman alla tehtyä yhteistyötä lehdistötiedotteella, omilla verkkosivuillaan tai muuten, ellei toinen sopijapuoli ole hyväksynyt julkaisun sisältöä kirjallisesti etukäteen.
12. TIETOTURVA
Kummankin sopijapuolen on omalta osaltaan huolehdittava, että sen vastuulla olevat tietojärjestelmät, laitteet, palvelinympäristöt,
viestintäverkko, palvelutuotannon tilat ja toimitilat, joissa käsitellään Vastuu Groupin välittämiä yritys- ja henkilötietoja on asianmukaisten tietoturvakäytäntöjen mukaisesti suojattu tietoturvariskejä vastaan ja että suojaukseen ja tiedonvarmistukseen liittyviä menettelyjä noudatetaan. Kumpikaan sopijapuoli ei vastaa yleisen viestintäverkon tietoturvasta tai siellä mahdollisesti ilmenevistä häiriöistä.
Sopijapuolella on velvollisuus ilmoittaa toiselle sopijapuolelle ilman aiheetonta viivytystä havaitsemistaan Vastuu Groupin tai Partnerin palveluita tai niiden käyttöä vaarantavista merkittävistä tietoturvariskeistä, tietoturvaloukkauksista tai niiden epäilyistä. Sopijapuolen tulee osaltaan ryhtyä välittömästi toimenpiteisiin tietoturvaloukkauksen vaikutuksen poistamiseksi tai pienentämiseksi. Sopijapuolella on velvollisuus myötävaikuttaa tietoturvaloukkausten tutkintaan.
Jos Vastuu Group perustellusta syystä epäilee, että Vastuu Groupin tarjoamassa API:ssa tai sitä käyttävässä tietojärjestelmässä voi olla kriittinen haavoittuvuus tai että Vastuu Groupin API:n kautta välittämiin yritys- tai henkilötietoihin kohdistuu merkittävä tietoturvariski, Vastuu Group voi keskeyttää olemassaolevan API:n tarjoamisen ilman ennakkoilmoitusta Partnerille ja ilman mitään velvollisuutta maksaa korvauksia rajapinnan käytön keskeyttämisestä, kunnes on joko todettu, että haavoittuvuutta tai merkittävää tietoturvariskiä ei ole tai että havaittu haavoittuvuus tai tietoturvariski on korjattu Vastuu Groupin ja Partnerin yhdessä hyväksymällä tavalla. API:n tarjoamisen keskeytyksestä on ilmoitettava viipymättä Partnerin yhteyshenkilölle.
13. HENKILÖTIETOJEN KÄSITTELY
Vastuu Group luovuttaa henkilötietoja Partnerin loppuasiakkaalle rekisteristä riippuen joko rekisterinpitäjän roolissa tai käsittelijän roolissa rekisterinpitäjänä toimivan Vastuu Groupin asiakkaan lukuun ja puolesta.
Partneri on henkilötietojen käsittelijä, joka toimii rekisterinpitäjänä toimivan loppuasiakkaansa lukuun ja puolesta.
Sopijapuolten on noudatettava henkilötietojen käsittelyssään kulloinkin voimassaolevia lakeja. Vastuu Groupin Partnerin loppuasiakkaalle välittämiä henkilötietoja saa käyttää vain
laillisiin ja Vastuu Groupin Palveluiden voimassaolevien käyttöehtojen ja tietosuojaselosteen mukaisiin käyttötarkoituksiin.
14. KILPAILUKIELTO
Partneri ei saa tämän sopimuksen voimassaoloaikana kehittää, myydä tai markkinoida Vastuu Groupin yritystietopalveluiden kanssa suoraan kilpailevia tietopalveluita. Kilpailevana toimintana ei kuitenkaan pidetä loppuasiakkaille tarjottavia Vastuu Groupin tarjoamaa täydentäviä palveluja, jotka toteutetaan ilman, että Partneri käyttää palvelun tuottamiseen kilpailevaa yritystietopalvelua.
15. LAITTEET, OHJELMISTOT JA YHTEYDET
Partneri vastaa itse palvelun käyttämisen edellyttämien laitteiden, ohjelmistojen ja verkkoyhteyksien hankkimisesta, toimivuudesta ja niiden aiheuttamista kustannuksista. Ne eivät saa aiheuttaa häiriötä tai muuta haittaa palvelulle tai muille verkon käyttäjille.
16. YLIVOIMAINEN ESTE
Ylivoimainen este (force majeure) vapauttaa Vastuu Groupin palveluun liittyvistä velvoitteista, mikäli se estää palveluun liittyvän suorituksen tai kohtuuttomasti haittaa sitä. Ylivoimaisena esteenä pidetään tulipaloa, maanjäristystä, tulvaa, räjähdystä, lakkoa tai muuta työnseisausta, viranomaisen määräystä, energian toimituksessa esiintyviä häiriötä, raaka-aine- tai tarvikepulaa, ulkopuolisen aiheuttamaa tai ulkopuolisesta johtuvaa kaapeli- tai muu tietoliikennehäiriötä tai muuta sen kaltaista syytä, joka ei ole ollut tiedossa ja johon ei ole kohtuudella voitu varautua ennalta.
Vastuu Group ilmoittaa ylivoimaisesta esteestä palvelun sivuilla heti sen jälkeen, kun se on ilmennyt, mikäli ilmoittaminen on mahdollista.
17. SOPIMUSEHTOJEN MUUTTAMINEN
Vastuu Groupillä on oikeus muuttaa näitä sopimusehtoja ilmoittamalla muutoksesta Partnerin ilmoittamaan sähköpostiosoitteeseen vähintään 30 päivää ennen muutoksen voimaantuloa.
18. SOPIMUKSEN SIIRTO
Partnerilla ei ole oikeutta siirtää tätä sopimusta kolmannelle ilman Vastuu Groupin kirjallista suostumusta.
Vastuu Groupillä on oikeus siirtää tämä sopimus sellaiselle kolmannelle osapuolelle, jolle Vastuu Group samaan aikaan siirtää sopimuksen kattaman liiketoiminnan. Sopimuksen siirrosta on ilmoitettava kirjallisesti etukäteen Partnerille.
19. SOPIMUKSEN PURKU
Xxxxxxxxxxx voi purkaa tämän sopimuksen päättymään välittömästi kirjallisella ilmoituksella toiselle sopijapuolelle, jos tämä on olennaisesti rikkonut tämän sopimuksen ehtoja, eikä, jos sopimusrikkomus on korjattavissa, ole korjannut rikkomustaan 30 päivän sisällä kirjallisesta korjauskehotuksesta. Olennaisena sopimusrikkomuksena pidetään aina rajapinnan ja Vastuu Groupin välittämien yritys- ja henkilötietojen käyttöä muuhun kuin tämän sopimuksen mukaiseen tarkoitukseen tai kohdan 00 xxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxx.
20. VOIMASSAOLO
Tämä partnerisopimus on voimassa toistaiseksi siitä päivästä alkaen, kun ST on allekirjoittanut tai sähköisesti hyväksynyt Partnerin allekirjoittaman tai sähköisesti hyväksymän sopimuksen. Tämä partnerisopimus korvaa kaikki osapuolten väliset aiemmat sopimukset Vastuu Groupin Partnerille tarjoaminen rajapintojen käytöstä.
Sopijapuoli voi milloin tahansa irtisanoa sopimuksen päättymään 90 päivän irtisanomisajalla. Jos Partneri päättää irtisanoa sopimuksen ennen jo maksetun kauden päättymistä, Vastuu Groupillä ei ole velvollisuutta palauttaa vuosimaksua tai sen osaa.
Vastuu Group voi lisäksi irtisanoa sopimuksen päättymään välittömin vaikutuksin seuraavissa tilanteissa:
(i) Partneri ei ole läpäissyt kohdan 5.6 mukaista vuositarkastusta 31.5.
mennessä, eikä ole 14 päivän sisällä ST:n kirjallisesta vaatimuksesta esittänyt Vastuu Groupille hyväksyttävää vaihtoehtoista tapaa todentaa yritys- ja henkilötietojen tietoturvallinen ja voimassaolevien lakien ja Palvelun käyttöehtojen mukainen käsittely Partnerin palveluissa, laitteissa ja järjestelmissä;
(ii) Partneri on laiminlyönyt maksaa erääntyneet partneriohjelman vuosi- maksut ja muut Vastuu Groupin laskut Vastuu Groupin lähettämän toisen maksumuistutuksen jälkeenkin; tai
(iii) Partneri on laiminlyönyt lakisääteiset velvoitteensa siten, että Partnerin status Luotettava Kumppani ohjelmassa ei ole enää ”OK”, eikä Partneri ole korjannut tilannetta 14 päivän sisällä Vastuu Groupin kirjallisesta huomautuksesta.
Irtisanomisesta on ilmoitettava kirjallisesti, esimerkiksi sähköpostitse toiselle sopijapuolelle.
21. LAINVALINTA JA RIIDANRATKAISU
Tähän sopimukseen sovelletaan Suomen lakia. Sopijapuolet pyrkivät ratkaisemaan mahdolliset erimielisyydet ensisijaisesti keskinäisin neuvotteluin yhden kuukauden kuluessa. Mikäli tässä ei onnistuta, ratkaistaan riita välimies- menettelyssä Keskuskauppakamarin välityslautakunnan nopeutettua välimies- menettelyä koskevien sääntöjen mukaisesti yhden välimiehen välimiesoikeudessa. Välimiesmenettelyn paikka on Helsinki ja välimiesmenettelyn kieli on suomi. Välimiesmenettelyssä todistusaineistoa voi esittää suomen ja/tai englannin kielellä.
(V26.3.2018)
LIITE 2 TIETOSUOJAVELVOITTEISTA HUOLEHTIMINEN
Ennen partnerisopimuksen solmimista ja vuosittain 31.5. mennessä Partnerin tulee osoittaa kykynsä huolehtia omista tietosuojavelvoitteistaan seuraavalla tavalla:
1. Partnerin toimittaa Vastuu Groupille kirjallisen selvityksen siitä, miten Partneri huolehtii tietosuojavelvoitteistaan. Selvitykseksi hyväksytään:
• tietotilinpäätös vai vastaava selvitys
• todistus, että Partneri noudattaa Partnerisopimuksen alaisessa toiminnassaan tietosuoja-asetuksen 40 artiklassa tarkoitettua hyväksyttyä käytännesääntöä, tai
• todistus, että Partnerille on myönnetty tietosuoja-asetuksen 42 artiklan mukainen sertifiointi.
2. Partneri on vastannut tyydyttävällä tavalla Vastuu Groupin esittämiin kirjallisiin kysymyksiin siitä, miten Partnerin järjestelmässä käsitellään Vastuu Groupin palveluista haettuja henkilötietoja.
3. Partneri on nimennyt tietosuoja- ja tietoturva-asioista vastaavan yhteyshenkilön ja nimetyllä yhteyshenkilöllä on riittävä ymmärrys voimassaolevasta henkilötietojen suojaa koskevasta lainsäädännöstä, Partnerin järjestelmästä ja siitä missä tarkoituksissa henkilötietoja käsitellään Partnerin järjestelmässä.
4. Partnerin käyttämä järjestelmä- ja/tai laiteversio on läpäissyt liitteen 3 mukaiset vaatimukset Vastuu Groupin tekemässä järjestelmä- ja/tai laiteauditoinnissa.
Vastuu Group Oy | Tel: 000 000 0000 | Asiakaspalvelu: |
Y-tunnus: 2327327-1 Xxxxxxxxxxxxxxxx 00 X 00000 Xxxxx | xxxxxxxxxxxxxx@xxxxxxxxxxx.xx 0600 301 339 (1,52 €/min + pvm) |
(V26.3.2018)
Liite 3 Vaatimukset partnerin järjestelmälle, johon haetaan henkilötietoja Vastuu Group Oy:n henkilötietovarastoista Versio 6.3.2018
1. Xxxxxxx- xx xxxxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx
# | Xxxxxxxx/xxxxxxxxxxxxxxxx | Xxxxxxxx/xxxxxxxxx | Todentamiskeino(t) | Poikkeamat | Siirtymäaika |
1 | Henkilötietojen luovuttamiselle Vastuu Groupin tietovarastosta Partnerin loppuasiakkaalle on laillinen peruste | Loppuasiakas ja loppuasiakkaan rooli(t) on tunnistettu. Loppuasiakkaan oikeus käsitellä henkilötietoja on varmistettu. Rajapintahaun yhteydessä loppuasiakas kertoo käsittelyperusteen. | Loppuasiakkaan tulee hyväksyä Vastuu Groupin käyttöehdot ja siinä yhteydessä vahvistaa Vastuu Groupille, mikä on loppuasiakkaan peruste henkilötietojen käsittelylle (esim. loppuasiakas toimii säännöllisesti rakennustyömaan pääurakoitsijana/päätoteuttajana ja hakee tietoja tätä varten). Rajapintahaun yhteydessä loppuasiakas ilmoittaa asiakastunnisteensa ja työmaan/työkohteen tunnisteen (tai vastaavan palvelukohtaisen tunnisteen). | Ei sallita | Ei sallita |
2 | Käsittely henkilötietojen vastaanottajan päässä suoritetaan lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (lainmukaisuus, kohtuullisuus ja läpinäkyvyys) | Järjestelmän käyttöehdoissa on käyttö rajattu sallittuihin laillisiin käyttötarkoituksiin. Loppukäyttäjä pitää rekisteröityjen saatavilla tietosuojaselostetta tai rekisteriselostetta. | Auditoinnin yhteydessä tarkastetaan käyttöehdot. Järjestelmätoimittaja tarjoaa loppuasiakkailleen tietosuoja/rekisteriselosteen mallin. Auditoinnin yhteydessä tarkastetaan mallin olemassaolo ja sisällön yhteensopivuus Vastuu Groupin rekisteriselosteiden kanssa. | ||
3 | Partnerin järjestelmässä henkilötietoja käsitellään tavalla, joka on yhteensopiva Vastuu Groupin tietosuojaselosteen ja käyttöehtojen kanssa – (käyttötarkoitussidonnaisuus) | Vastuu Groupiltä saatuja henkilö- ja yritystietoja saa käyttää vain Vastuu Groupin listaamiin sallittuihin käyttötarkoituksiin. Partnerin järjestelmässä rajapintaoikeudet saa tarjota vain sellaiselle loppuasiakkaalle, joka täyttää Vastuu Groupin | Tarkastetaan järjestelmäauditoinnin yhteydessä partnerin järjestelmän toiminnallisuudet ja järjestelmän käyttöehdot ja niiden yhteensopivuus sallittujen käyttötarkoitusten kanssa. On sovittu prosessi, miten partneri selvittää loppuasiakkaan taustat ja miten partnerin |
asiakaskriteerit ja hyväksyy Vastuu Groupin palveluiden käyttöehdot. | loppuasiakkaat hyväksyvät Vastuu Groupin palveluiden sopimusehdot. | ||||
4 | Partnerin järjestelmässä henkilötiedot ovat asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista käyttötarkoitukseen nähden (tietojen minimointi) | Partnerin järjestelmästä tehtävillä rajapintahauilla ei haeta tietoja, joille ei ole käyttötarvetta tai käyttöperustetta. | Tarkastetaan järjestelmäauditoinnin yhteydessä partnerin järjestelmän toiminnallisuudet, tiedon käyttötarkoitukset ja että Vastuu Groupiltä haettava henkilötieto rajataan vain tarpeelliseen tietoon valitsemalla käyttötarkoitukseen sopiva rajapintahaku. | ||
5 | Käsiteltävien henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (täsmällisyys) | Partnerin ja loppuasiakkaan välillä sovittuna, miten epätarkat tai virheelliset tiedot korjataan ohjeistamalla työnantajayritys korjaamaan virheellliset tiedot myös Vastuu Groupin Ilmoita- palveluun ja/tai Taitorekisteriin. Partnerin järjestelmässä on toteutettu Vastuu Groupiltä haettujen tietojen päivitysmahdollisuus. Partnerin järjestelmässä on toteutettuna Valttikorttien sulkulistan (ja muiden vastaavien sulkulistojen) hyödyntäminen. | Tarkastetaan auditoinnin yhteydessä järjestelmän käyttöohjeet tai vastaava käyttäjäohjeistus. Tarkastetaan tietojen päivityshakujen toiminnallisuus. Tarkastetaan, että sulkulistat haetaan ja että esim. kulunvalvontajärjestelmässä on toiminnallisuus, joka tunnistaa sulkulistalla olevat Valttikortit. | ||
6 | Henkilötietoja säilytetään vain niin kauan kuin tarpeen käyttötarkoitusta varten (säilytyksen rajoittaminen) | Henkilötietojen säilytysajoille on olemassa ohjeistus ja järjestelmässä on työkalut, joilla voidaan tunnistaa, milloin lakisääteinen vähimmäissäilytysaika on päättynyt ja poistaa sellaiset henkilötiedot, joiden käsittelylle ei ole enää muuta perustetta. | Auditoinnin yhteydessä tarkastetaan säilytysaikaa koskevan ohjeistuksen yhteensopivuus Vastuu Groupin sallittujen käyttötarkoituksien listan kanssa. Auditoinnin yhteydessä tarkastetaan, että on toiminnallisuus, jolla poistetaan henkilötiedot joita ei enää tarvita. | Rakennusalan ilmoitusvelvollisuude n piiriin kuuluvat työmaakohtaiset henkilörekisterit: lakisääteinen minimisäilytysaika päättyy aikaisintaan 31.12.2020. | Työmaarekisteritiet ojen massapoiston toiminnallisuus oltava olemassa 31.12.2020 mennessä. |
7. | Henkilötietoja käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”). | Partnerilla tai sen järjestelmällä/palvelulla on ISO 27001 sertifiointi tai Partnerin järjestelmä täyttää alla olevat minimivaatimukset | Auditoinnin yhteydessä tarkastetaan ISO 27001 sertifioinnin voimassaolo tai tarkastetaan kohtien 7.1-7.6 täyttäminen. | ||
7.1 | Käyttäjän tunnistaminen | Järjestelmän käyttäjä (loppuasiakasyritys ja käyttäjä) tulee tunnistaa vähintään käyttäjätunnuksella ja (vahvalla) salasanalla. Järjestelmässä ei saa olla jaettuja käyttäjätunnuksia. Ylläpito-oikeudet toteutettu siten, että ylläpitotehtävän suorittaja tunnistetaan | Käyttäjän tunnistaminen ja salasanakäytännöt tarkastetaan auditoinnin yhteydessä. | ||
7.2 | Käyttövaltuushallinta | Järjestelmä mahdollistaa käyttöoikeuksien rajaamisen käyttäjäryhmittäin ja käyttäjän työtehtävien perusteella esimerkiksi siten, että työnjohtaja- roolissa on pääsy vain oman työmaan tietoihin. Pääkäyttäjä tai ylläpito-oikeuksia annetaan ja käytetään vain poikkeustilanteiden ratkaisemiseen ja ylläpitotehtävien suorittamiseen. | Tarkastetaan järjestelmän auditoinnin yhteydessä. |
Pääkäyttäjällä/ylläpitäjällä on oikeus päästä vain oman organisaationsa tietoihin. Koko järjestelmän palveluntuottajalla on oikeus tarkistaa virhetilanteissa sen organisaation tietoja, jolle palveluntuottaja tarjoaa palveluita. | |||||
7.3 | Lokitiedot | Järjestelmä pitää riittävän yksityiskohtaista käyttölokia henkilötietojen hakemisesta, käsittelystä ja luovuttamisesta edelleen, jotta Partnerin loppuasiakas voi tietojen pohjalta vastata rekisteröidyn tietopyyntöihin. Pääkäyttäjän/ylläpitäjän toimenpiteet lokitetaan. Lokitietoja säilytetään vähintään 2 vuotta. Xxxxx on pystyttävä hakemaan saataville säännöllistä seurantaa ja valvontaa varten (esim. tarkistus, onko sellaisten henkilöiden henkilötietoja haettu, joita ei ole raportoitu Verohallinnon työntekijäraportille). | Tarkistetaan järjestelmäauditoinnin yhteydessä | ||
7.4 | Istunnon aikakatkaisu | Partnerin järjestelmässä on toteutettu istunnon automaattinen aikakatkaisu. | Tarkistetaan järjestelmäauditoinnin yhteydessä | ||
7.5 | Tiedonsiirron salaus | (Henkilö)tietojen siirto laitteiden ja Partnerin järjestelmän välillä ja käytetyissä rajapintahauissa on suojattu asianmukaisesti huomioiden kulloinkin käytössä olevan teknologia. | Tarkistetaan järjestelmäauditoinnin yhteydessä (mm. sertifikaattien voimassaolo) |
7.6 | Vastuu Groupin APIen käyttö | Partnerijärjestelmä käyttää rajapintoja Vastuu Groupin rajapintaohjeistuksen mukaisesti ja huomioiden mm. vaatimukset henkilötietojen käsittelyn käyttötarkoitussidonnaisuudesta ja tietojen minimoinnista. | Tarkistetaan järjestelmäauditoinnin yhteydessä ohjeistuksen mukainen toiminta. | ||
7.6 | Sovellusturvallisuus ja privacy by design | Selvitys, miten tietoturvauhat ja - riskit on tunnistettu ja huomioitu sovelluskehityksessä | Järjestelmäauditoinnin yhteydessä haastatellaan järjestelmäarkkitehtia ja/tai perehdytään järjestelmädokumentaatioon ja toimittajan laatu- ja tietoturvaprosesseihin. Tarkastetaan järjestelmän tietoturvan testaus- ja auditointiraportit. | ||
7.6 | Poikkeavan toiminnan monitorointi | Järjestelmässä tulee olla menettely, jolla luvaton käyttö ja luvattomat käyttöyritykset voidaan havaita. | Järjestelmäauditoinnin yhteydessä selvitetään millaisia poikkeavan toiminnan monitorointeja toteutettu, millaisia havaintoja tehty ja millaisia kehitysajatuksia. |
2. Tilaajavastuuraporttien haku rajapinnan kautta (sisältää kohdeyrityksen johtavassa asemassa olevien henkilöiden henkilötietoja)
# | Kriteeri/kontrollitavoite | Vaatimus/kontrolli | Todentamiskeino(t) | Poikkeamat | Siirtymäaika |
1. | Partneri ei saa muodostaa omaa itsenäistä rekisteriä tilaajavastuuraporteista | Rajapinnan yli ei haeta koko tilaajavastuuraporttimassaa. | Tarkastetaan järjestelmän auditoinnin yhteydessä | ||
2. | Partnerin järjestelmästä ei saa hakea takautuvasti toisen käyttäjäyrityksen hakemia vanhoja tilaajavastuuraportteja (järjestelmän luottettavuus) | Kukin käyttäjäyritys hakee tilaajavastuuraportit vain omaa käyttöään varten ja pääsee vain itse hakemiinsa tilaajavastuuraportteihin. | Tarkastetaan järjestelmän auditoinnin yhteydessä | ||
3. | Partnerin loppuasiakkaalla on laillinen käyttötarkoitus raportille | Käyttäjäyritys on aina tunnistettu. Käyttäjäyrityksen tekemät raporttihaut tallennetaan. Lokitiedot säilytetään vähintään 2 vuotta. Käyttäjäyritys ja sen käyttäjät sijaitsevat Euroopan talousalueella ja käyttävät tilaajavastuuraportteja vain laillisiin käyttötarkoituksiin. Jos käyttäjäyritys sijaitsee Euroopan talousalueen ulkopuolella, Partnerin tulee varmistaa, että käyttäjäyrityksellä on sellaista liiketoimintaa Euroopan talousalueella, että käyttäjäyrityksellä on lailliset käyttöperusteet tiedolle (esim. toimii Suomessa tilaajavastuulaissa tarkoitettuna tilaajana). | Tarkastetaan järjestelmän auditoinnin yhteydessä järjestelmän toiminta ja käyttöehdot. |
3. Vastuu Groupiltä haetun kuvan tai muun tiedon käyttö biometrisenä tunnisteena ja muu erityisiin henkilötietoryhmiin kuluvan tiedon käsittely
# | Kriteeri/kontrollitavoite | Vaatimus/kontrolli | Todentamiskeino(t) | Poikkeamat | Siirtymäaika |
1. | Biometrisen tunnisteen tai muun erityisiin henkilötietoryhmiin kuuluvan tiedon käsittelyn laillisuus on varmistettu | Vastuu Groupita saatua kuvaa ei saa käyttää biometrisenä tunnisteena ilman, että käsittelyn lainmukaisuus varmistettu. | Selvitys, milloin käytölle on suoraan lakiin perustuva syy ja milloin käyttö perustuu rekisteröidyn suostumukseen. Selvitys, miten suostumukset haetaan. | ||
2. | Rekisterinpitäjä (Partnerin asiakas) ja käsittelijä (Partneri) ovat toteuttaneet asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi | Rekisterinpitäjän ja käsittelijän toimittava tietosuoja-asetuksen 9 artiklan ja tietosuojalain 6 §:n mukaisesti | Selvitys, miten asianmukaiset ja erityiset toimenpiteet suoritettu: 1) toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty; 2) toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista; 3) tietosuojavastaavan nimittäminen; 4) rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin; 5) henkilötietojen pseudonymisointi; 6) henkilötietojen salaaminen; 7) toimenpiteet, joilla käsittelyjärjestelmien ja henkilötietojen käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan, mukaan lukien kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; 8) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi; 9) erityiset menettelysäännöt, joilla varmistetaan tietosuoja-asetuksen ja tämän lain noudattaminen siirrettäessä |
henkilötietoja tai käsiteltäessä henkilötietoja muuhun tarkoitukseen; 10) tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskevan vaikutustenarvioinnin laatiminen; 11) muut tekniset, menettelylliset ja organisatoriset toimenpiteet. |