TIETOJENKÄSITTELYSOPIMUS
asetuksen 2016/679 (yleinen tietosuoja-asetus) 28 artiklan 3 kohdan mukaisesti tietojen käsittelijän suorittamaa henkilötietojen käsittelyä varten
seuraavien osapuolten välillä:
Asiakas
(jäljempänä ”rekisterinpitäjä”)
ja
Whistleblower Partners ApS CVR Number: 43615661
Xxxxxxxxx 00, 0xx xxxxx XX-0000 Xxxxxxxxxx Xxxxxxx
(jäljempänä ”henkilötietojen käsittelijä”)
joista kukin on "osapuoli" ja jotka yhdessä muodostavat "osapuolet",
OVAT SOPINEET seuraavista vakiosopimuslausekkeista (lausekkeet) noudattaakseen yleistä tietosuoja-asetusta ja varmistaakseen luonnollisten henkilöiden yksityisyyden sekä perusoikeuksien ja -vapauksien suojan:
1. JOHDANTO
1. Näissä lausekkeissa vahvistetaan henkilötietojen käsittelijän oikeudet ja velvollisuudet, kun se käsittelee henkilötietoja rekisterinpitäjän puolesta.
2. Näiden lausekkeiden tarkoituksena on varmistaa, että osapuolet noudattavat 27. päivänä huhtikuuta 2016 annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus).
3. Whistleblower Partners Whisteblower-ratkaisun tarjoamisen yhteydessä henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta näiden lausekkeiden mukaisesti. Whistleblower-direktiivin mukaan henkilötietoja voidaan käsitellä, kun se on tarpeen ilmoituskanavan puitteissa saatujen ilmoitusten käsittelemiseksi.
4. Nämä lausekkeet ovat ensisijaisia osapuolten välisten muiden sopimusten vastaaviin lausekkeisiin nähden.
5. Näihin lausekkeisiin kuuluu neljä liitettä, ja liitteet ovat erottamaton osa lausekkeita.
6. Liitteessä A on yksityiskohtaiset tiedot henkilötietojen käsittelystä, mukaan lukien käsittelyn tarkoitus ja luonne, henkilötietojen tyyppi, rekisteröityjen ryhmät ja käsittelyn kesto.
7. Liitteessä B on rekisterinpitäjän ehdot, jotka koskevat henkilötietojen käsittelijän käyttämiä alikäsittelijöitä ja luetteloa alikäsittelijöistä, joiden käytön rekisterinpitäjä on hyväksynyt.
8. Liitteessä C sisältää rekisterinpitäjän määräykset henkilötietojen käsittelystä henkilötietojen käsittelijälle, kuvauksen vähimmäisturvatoimista, jotka henkilötietojen käsittelijän on toteutettava, sekä kuvauksen siitä, miten henkilötietojen käsittelijää ja mahdollisia alikäsittelijöitä valvotaan.
9. Molemmat osapuolet säilyttävät lausekkeet ja niiden liitteet kirjallisina, myös sähköisesti.
10. Nämä lausekkeet eivät vapauta henkilötietojen käsittelijää mistään velvoitteista, joita yleinen tietosuoja-asetus tai muu laki asettaa henkilötietojen käsittelijälle.
2. REKISTERINPITÄJÄN OIKEUDET JA VELVOLLISUUDET
1. Rekisterinpitäjä on vastuussa siitä, että henkilötietojen käsittelyssä noudatetaan yleistä tietosuoja-asetusta (ks. asetuksen 24 artikla), muun EU:n lainsäädännön tai jäsenvaltioiden1 kansallisen lainsäädännön tietosuojasäännöksiä sekä näitä lausekkeita.
2. Rekisterinpitäjällä on oikeus ja velvollisuus päättää, missä tarkoituksessa tai tarkoituksissa ja xxxxx tavoin henkilötietoja voidaan käsitellä.
3. Rekisterinpitäjä on vastuussa muun muassa siitä, että henkilötietojen käsittelylle, jota henkilötietojen käsittelijän on määrä suorittaa, on olemassa käsittelyperuste.
3. HENKILÖTIETOJEN KÄSITTELIJÄ TOIMII MÄÄRÄYSTEN MUKAISESTI
1. Henkilötietojen käsittelijä voi käsitellä henkilötietoja ainoastaan rekisterinpitäjän dokumentoidun määräyksen perusteella, ellei EU:n tai jäsenvaltion lainsäädäntö, jota henkilötietojen käsittelijä soveltaa, edellytä sitä. Nämä määräykset on eriteltävä liitteissä A ja C. Rekisterinpitäjä voi antaa myöhempiä määräyksiä myös henkilötietojen käsittelyn aikana, mutta määräykset on aina dokumentoitava ja säilytettävä kirjallisena, myös sähköisenä, yhdessä näiden Lausekkeiden kanssa.
2. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle viipymättä, jos se katsoo, että määräykset ovat yleisen tietosuoja-asetuksen tai EU:n tai muun jäsenvaltion kansallisen lainsäädännön tietosuojasäännösten vastaisia.
4. LUOTTAMUKSELLISUUS
1. Henkilötietojen käsittelijä saa antaa pääsyn rekisterinpitäjän puolesta käsiteltyihin henkilötietoihin vain henkilöille, joita henkilötietojen käsittelijän valtuudet koskevat, jotka ovat antaneet salassapitositoumuksen tai joita koskee asianmukainen lakisääteinen salassapitovelvollisuus, ja vain siinä määrin kuin se on tarpeen. Luetteloa henkilöistä, joille on myönnetty pääsy, on pidettävä ajan tasalla.
1 Näissä lausekkeissa olevia viittauksia "jäsenvaltioon" pidetään viittauksina "ETA:n jäsenvaltioihin".
2. Luettelon päivittämisen perusteella pääsy henkilötietoihin voidaan estää, jos se ei ole enää tarpeen, eivätkä henkilötiedot ole tällöin enää näiden henkilöiden saatavilla.
3. Henkilötietojen käsittelijän on rekisterinpitäjän pyynnöstä pystyttävä osoittamaan, että henkilöihin, joita henkilötietojen käsittelijän valtuudet koskevat, sovelletaan edellä mainittua salassapitovelvollisuutta.
4. Henkilötietojen käsittelijä voi luovuttaa rekisterinpitäjän puolesta käsiteltyjä henkilötietoja vain siinä laajuudessa kuin Whistleblower-direktiivi, yleinen tietosuoja- asetus tai muu lainsäädäntö edellyttää.
5. KÄSITTELYN TURVALLISUUS
1. Tietosuoja-asetuksen 32 artiklassa säädetään, että rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan esitettyihin riskeihin nähden asianmukainen tietosuojan taso, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.
Rekisterinpitäjän on arvioitava käsittelyn aiheuttamat riskit luonnollisten henkilöiden oikeuksille ja vapauksille ja toteutettava toimenpiteitä näiden riskien poistamiseksi. Olennaisuudesta riippuen niitä voivat olla esimerkiksi:
a. - henkilötietojen pseudonymisointi ja xxxxxx,
b. - kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus,
c. - kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa,
d. - menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
2. Asetuksen 32 artiklassa edellytetään myös, että henkilötietojen käsittelijä – rekisterinpitäjästä riippumatta – arvioi käsittelyn aiheuttamat riskit luonnollisten henkilöiden oikeuksille ja toteuttaa toimenpiteitä näiden riskien poistamiseksi. Tätä arviointia varten rekisterinpitäjän on annettava henkilötietojen käsittelijälle tarvittavat tiedot, jotta tämä voi tunnistaa ja arvioida tällaisia riskejä.
3. Lisäksi henkilötietojen käsittelijän on avustettava rekisterinpitäjää asetuksen 32 artiklan mukaisen rekisterinpitäjän velvoitteen täyttämisessä muun muassa toimittamalla rekisterinpitäjälle tarvittavat tiedot teknisistä ja organisatorisista turvatoimenpiteistä, jotka henkilötietojen käsittelijä on jo toteuttanut asetuksen 32 artiklan mukaisesti, sekä kaikki muut tiedot, jotka rekisterinpitäjä tarvitsee asetuksen 32 artiklan mukaisen velvoitteensa täyttämiseksi.
Jos tunnistettujen riskien torjuminen edellyttää rekisterinpitäjän arvion mukaan lisätoimenpiteitä niiden toimenpiteiden lisäksi, jotka henkilötietojen käsittelijä on jo toteuttanut, rekisterinpitäjän on täsmennettävä toteutettavat lisätoimenpiteet liitteessä C.
6. ALIKÄSITTELIJÖIDEN KÄYTTÖ
1. Henkilötietojen käsittelijän on täytettävä tietosuoja-asetuksen 28 artiklan 2 ja 4 kohdassa säädetyt edellytykset voidakseen käyttää toista henkilötietojen käsittelijää (alikäsittelijää).
2. Näin ollen henkilötietojen käsittelijä ei saa käyttää alikäsittelijää näiden lausekkeiden täyttämiseksi ilman rekisterinpitäjän etukäteen antamaa erityistä kirjallista suostumusta.
3. Henkilötietojen käsittelijä voi käyttää alikäsittelijöitä ainoastaan rekisterinpitäjän etukäteen antamalla kirjallisella suostumuksella. Henkilötietojen käsittelijän on esitettävä erityinen lupahakemus vähintään 40 päivää ennen kyseisen alikäsittelijän käyttöä. Luettelo rekisterinpitäjän jo valtuuttamista alikäsittelijöistä on liitteessä B.
4. Jos henkilötietojen käsittelijä käyttää alikäsittelijää tiettyjen käsittelytoimien suorittamiseen rekisterinpitäjän puolesta, henkilötietojen käsittelijän on asetettava alikäsittelijälle sopimuksella tai muulla EU:n tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla samat tietosuojavelvoitteet kuin näissä lausekkeissa on
säädetty ja annettava erityisesti tarvittavat takeet siitä, että alikäsittelijä toteuttaa tekniset ja organisatoriset toimenpiteet siten, että käsittely on näiden lausekkeiden ja yleisen tietosuoja-asetuksen vaatimusten mukaista.
Henkilötietojen käsittelijä on näin ollen vastuussa siitä, että alikäsittelijä noudattaa vähintään näiden lausekkeiden ja yleisen tietosuoja-asetuksen mukaisia henkilötietojen käsittelijän velvoitteita.
5. Jäljennökset alikäsittelijäsopimuksesta tai alikäsittelijäsopimuksista ja niiden myöhemmistä muutoksista on rekisterinpitäjän pyynnöstä lähetettävä rekisterinpitäjälle, jolla on siten mahdollisuus varmistaa, että henkilötietojen käsittelijänä toimivalle alikäsittelijälle asetetaan vastaavat tietosuojavelvoitteet, jotka seuraavat näistä lausekkeista. Rekisterinpitäjälle ei lähetetä kaupallisia ehtoja koskevia lausekkeita, jotka eivät vaikuta alikäsittelijäsopimuksen tietosuojasisältöön.
6. Henkilötietojen käsittelijän on sisällytettävä alikäsittelijän kanssa tekemäänsä sopimukseen rekisterinpitäjä kolmannen osapuolen edunsaajana, jos henkilötietojen käsittelijä joutuu konkurssiin, jotta rekisterinpitäjä voi puuttua henkilötietojen käsittelijän oikeuksiin ja panna ne täytäntöön alikäsittelijöihin nähden, kuten esimerkiksi määrätä alikäsittelijän poistamaan tai palauttamaan henkilötiedot.
7. Jos alikäsittelijä ei noudata tietosuojavelvoitteitaan, henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa rekisterinpitäjälle alikäsittelijän velvoitteiden suorittamisesta. Tämä ei rajoita rekisteröityjen oikeuksia, jotka perustuvat yleiseen tietosuoja-asetukseen ja erityisesti sen 79 ja 82 artiklaan ja jotka koskevat rekisterinpitäjää ja henkilötietojen käsittelijää, mukaan lukien alikäsittelijä.
7. SIIRTO KOLMANSIIN MAIHIN JA KANSAINVÄLISIIN ORGANISAATIOIHIN
1. Henkilötietojen käsittelijä voi siirtää henkilötietoja kolmansiin maihin tai kansainvälisille organisaatioille ainoastaan rekisterinpitäjän antaman dokumentoidun määräyksen perusteella, ja siirto on aina tehtävä tietosuoja-asetuksen V luvun mukaisesti.
2. Jos henkilötietoja siirretään kolmansiin maihin tai kansainvälisille järjestöille eikä rekisterinpitäjä ole määrännyt sitä henkilötietojen käsittelijän suoritettavaksi, vaaditaan EU:n tai jäsenvaltion kansallisessa lainsäädännössä, jota henkilötietojen käsittelijään sovelletaan, että henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle tästä lakisääteisestä vaatimuksesta ennen käsittelyä, jollei asiaa koskeva lainsäädäntö kiellä tällaista ilmoitusta tärkeän yleisen edun vuoksi.
3. Näin ollen henkilötietojen käsittelijä ei voi näiden lausekkeiden puitteissa ilman rekisterinpitäjän dokumentoitua määräystä:
a. siirtää henkilötietoja kolmannessa maassa olevalle rekisterinpitäjälle tai henkilötietojen käsittelijälle tai kansainväliselle organisaatiolle,
b. antaa henkilötietojen käsittelyä kolmannessa maassa sijaitsevan alikäsittelijän tehtäväksi,
c. käsitellä henkilötietoja kolmannessa maassa.
4. Rekisterinpitäjän määräykset henkilötietojen siirtämisestä kolmanteen maahan, mukaan lukien mahdollinen tietosuoja-asetuksen V luvun mukainen siirtoperuste, johon siirto perustuu, on esitettävä liitteessä C.6.
5. Näitä lausekkeita ei saa sekoittaa yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c ja d alakohdissa tarkoitettuihin vakiosopimuslausekkeisiin, eivätkä nämä lausekkeet muodosta tietosuoja-asetuksen V luvussa tarkoitettua perustetta henkilötietojen siirrolle.
8. REKISTERINPITÄJÄN AVUSTAMINEN
1. Henkilötietojen käsittelijän on mahdollisuuksien mukaan ja käsittelyn luonne huomioon ottaen avustettava rekisterinpitäjää asianmukaisin teknisin ja organisatorisin toimenpitein rekisterinpitäjän velvollisuuden noudattamisessa vastata yleisen tietosuoja-asetuksen III luvussa säädettyihin rekisteröityjen oikeuksien käyttämistä koskeviin pyyntöihin.
Tämä tarkoittaa, että henkilötietojen käsittelijän on mahdollisuuksien mukaan avustettava rekisterinpitäjää varmistamaan seuraavat:
a. velvollisuus antaa tietoja, kun henkilötietoja kerätään rekisteröidyltä,
b. velvollisuus antaa tietoja, jos henkilötietoja ei ole saatu rekisteröidyltä,
c. oikeus saada pääsy tietoihin,
d. oikeus tietojen oikaisemiseen,
e. oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi"),
f. oikeus käsittelyn rajoittamiseen,
g. henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus,
h. oikeus siirtää tiedot järjestelmästä toiseen,
i. vastustamisoikeus,
j. oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin.
2. Henkilötietojen käsittelijä myös avustaa rekisterinpitäjää käsittelyn luonteen ja käsittelijän käytettävissä olevat tiedot huomioon ottaen:
a. rekisterinpitäjän velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta toimivaltaiselle valvontaviranomaiselle eli tietosuojaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun se on tullut tietoon, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä,
b. rekisterinpitäjän velvollisuus ilmoittaa rekisteröidylle henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä, jos tietoturvaloukkaus tоdс⭲⭲uеöiзсзti aikс"ttaa з""íс⭲ íiзеi⭲ I"о⭲⭲оIIiзtс⭲ kс⭲еiIöidс⭲ оiес"езiIIс ja
:apa"езiIIс,
c. rekisterinpitäjän velvollisuus toteuttaa ennen käsittelyä arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle (vaikutusten arviointi),
d. rekisterinpitäjän velvollisuus kuulla toimivaltaista valvontaviranomaista eli tietosuojaviranomaista ennen tietojen käsittelyä, jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelystä aiheutuisi korkea riski, jos rekisterinpitäjä ei toteuta toimenpiteitä riskin pienentämiseksi.
3. Osapuolet määrittelevät liitteessä C tarvittavat tekniset ja organisatoriset toimenpiteet, joilla henkilötietojen käsittelijä avustaa rekisterinpitäjää, sekä tällaisen avunannon laajuuden ja laajuuden. Tämä koskee 8.1 ja 8.2 lausekkeista johtuvia velvoitteita.
9. ILMOITUS HENKILÖTIETOJEN TIETOTURVALOUKKAUKSESTA
1. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan tietoonsa henkilötietojen tietoturvaloukkauksen tapahtuneen.
2. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle mahdollisuuksien mukaan
24 tunnin kuluessa siitä, kun henkilötietojen käsittelijä on saanut tiedon tietoturvaloukkauksesta, jotta rekisterinpitäjä voi täyttää velvollisuutensa ilmoittaa henkilötietojen tietoturvaloukkauksesta toimivaltaiselle valvontaviranomaiselle yleisen tietosuoja-asetuksen 33 artiklan mukaisesti.
3. 8.2.a lausekkeen mukaisesti henkilötietojen käsittelijän on avustettava rekisterinpitäjää, kun tietoturvaloukkauksesta ilmoitetaan toimivaltaiselle valvontaviranomaiselle. Tämä tarkoittaa, että henkilötietojen käsittelijän on avustettava seuraavien tietojen toimittamisessa, jotka 33 artiklan 3 kohdan mukaan on liitettävä rekisterinpitäjän toimivaltaiselle valvontaviranomaiselle tekemään ilmoitukseen tietoturvaloukkauksesta:
a. henkilötietojen tietoturvaloukkauksen luonne, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen luokat ja arvioidut lukumäärät sekä asianomaisten henkilötietotyyppien luokat ja arvioidut lukumäärät,
b. henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset,
c. toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai ehdottanut henkilötietojen tietoturvaloukkauksen korjaamiseksi, mukaan lukien tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
4. Osapuolten on täsmennettävä liitteessä C tiedot, jotka henkilötietojen käsittelijän on toimitettava auttaakseen rekisterinpitäjää tämän velvollisuudessa ilmoittaa henkilötietojen tietoturvaloukkauksista toimivaltaiselle valvontaviranomaiselle.
10. TIETOJEN POISTAMINEN JA PALAUTTAMINEN
1. Henkilötietojen käsittelypalvelujen päättyessä henkilötietojen käsittelijän on poistettava kaikki henkilötiedot, joita on käsitelty rekisterinpitäjän puolesta, ja vahvistettava rekisterinpitäjälle, että tiedot on poistettu, ellei EU:n tai jäsenvaltion kansallisessa lainsäädännössä säädetä henkilötietojen säilyttämisestä.
11. AUDITOINNIT JA TARKASTUKSET
1. Henkilötietojen käsittelijän on annettava rekisterinpitäjän käyttöön kaikki tiedot, jotka ovat tarpeen tietosuoja-asetuksen 28 artiklan ja näiden lausekkeiden noudattamisen osoittamiseksi, sekä sallittava rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman tarkastajan suorittamat auditoinnit, mukaan luettuna tarkastukset, ja osallistuttava niihin.
2. Rekisterinpitäjän ja henkilötietojen käsittelijän ja alikäsittelijöiden kanssa tekemiä auditointeja, mukaan lukien tarkastukset, koskevat menettelyt on esitetty yksityiskohtaisesti liitteissä C.7.
3. Henkilötietojen käsittelijä on velvollinen myöntämään pääsyn henkilötietojen käsittelijän fyysisiin tiloihin valvontaviranomaisille, joilla on pääsy rekisterinpitäjän tai henkilötietojen käsittelijän tiloihin sovellettavan lainsäädännön mukaisesti, tai valvontaviranomaisen puolesta toimiville edustajille asianmukaisen henkilöllisyystodistuksen esittämistä vastaan.
12. OSAPUOLTEN SOPIMUKSET MUISTA ASIOISTA
1. Osapuolet voivat sopia muista henkilötietojen käsittelyä koskeviin palveluihin liittyvistä lausekkeista, kuten korvausvastuusta, kunhan nämä muut lausekkeet eivät ole suoraan tai välillisesti ristiriidassa näiden lausekkeiden kanssa tai heikennä rekisteröidyn perusoikeuksia ja -vapauksia, jotka seuraavat tietosuoja-asetuksesta.
13. VOIMAANTULO JA IRTISANOMINEN
1. Lausekkeet tulevat voimaan päivänä, jona molemmat osapuolet allekirjoittavat ne.
2. Molemmat osapuolet voivat vaatia lausekkeiden uudelleenneuvottelua, jos lainsäädännön muutokset tai lausekkeiden epäolennaisuus antavat aihetta tällaiseen vaatimukseen.
3. Lausekkeita sovelletaan henkilötietojen käsittelyyn liittyvän palvelun keston ajan. Tänä aikana lausekkeita ei voida irtisanoa, elleivät osapuolet sovi muista lausekkeista, jotka koskevat henkilötietojen käsittelypalvelun tarjoamista.
4. Jos henkilötietojen käsittelypalvelujen tarjoaminen lopetetaan ja henkilötiedot on poistettu tai palautettu rekisterinpitäjälle 10.1 lausekkeen ja liitteen C.4 mukaisesti, kumpikin osapuoli voi irtisanoa lausekkeet kirjallisella ilmoituksella.
LIITE A – KÄSITTELYÄ KOSKEVAT TIEDOT
A.1 TIETOJEN KÄSITTELIJÄN REKISTERINPITÄJÄN PUOLESTA SUORITTAMAN HENKILÖTIETOJEN KÄSITTELYN TARKOITUS
Henkilötietojen käsittelyn tarkoituksena on vastaanottaa, säilyttää ja asettaa ilmoitukset niiden rekisterinpitäjän nimeämien käsittelijöiden saataville, jotka käsittelevät ilmoituksia osana rekisterinpitäjän neuvontaa ilmoittajien suojelua koskevan Whistleblower-direktiivin mukaisesti.
A.2 HENKILÖTIETOJEN KÄSITTELY, JOTA TIETOJEN KÄSITTELIJÄ SUORITTAA REKISTERINPITÄJÄN PUOLESTA, KOSKEE ENSISIJAISESTI (KÄSITTELYN LUONNE)
Vastaanottaa ilmoituksia loppukäyttäjiltä, tallentaa ilmoitukset ja antaa ilmoitukset tietojen käsittelyyn rekisterinpitäjän nimeämien käsittelijöiden käyttöön.
A.G KÄSITTELY KOSKEE SEURAAVANTYYPPISIÄ REKISTERÖITYJEN HENKILÖTIETOJA
Tietojen käsittelijä vastaanottaa ja käsittelee henkilötietoja tietojenkäsittelysopimuksen mukaisesti. Tietojen omistaja siirtää seuraavia henkilötietotyyppejä henkilötietojen käsittelijälle:
ARTIKLA 6, YLEISET HENKILÖTIEDOT
ARTIKLA 9, ARKALUONTEISET
HENKILÖTIEDOT
10 ARTIKLA, RIKOSTUOMIOIHIN JA RIKKOMUKSIIN LIITTYVÄT
HENKILÖTIEDOT
✓ Yhteystiedot
(esim. nimi, sähköpostiosoite, puhelin)
✓ Perustiedot
(esim. syntymätiedot)
✓ Rekisteröintinumerot
(esim. käyttäjätunnus, tietokantatunnus, asiakastunnus)
✓ Tiedot työehdoista
(esim. sopimus, nimike, henkilöstötiedot)
✓ Palkkatiedot
(esim. palkkatiedot, pankkitiedot)
✓ Tutkinnot ja todistukset
✓ Suorituskyky
(esim. ylityöt, suorituskykyindikaattorit)
✓ Ihmissuhteet
(esim. asiakkaan tila, yhteyshenkilön roolit)
✓ Käyttäytymistä koskevat tiedot
(esim. käyttötottumukset, käyttöhistoria)
✓ MiсItQmQезсt
(esi½. aseťu½seť, ½ Qťť j ½QselQť, ”e⭲½ilö½o”ťaiseť aseťu½seť)
✓ eiíja"t"miзсt
ľicdot ...
✓ Rotu tai etninen alkuperä.
✓ Poliittinen vakaumus tai poliittiset yhteydet.
✓ Uskonnollinen tai filosofinen vakaumus.
✓ Ammattiliiton jäsenyys.
✓ Terveys.
✓ Seksielämä.
✓ Seksuaalinen suuntautuminen.
✓ Geneettiset tiedot.
✓ Biometriset tiedot.
✓ Tiedot lapsista.
✓ Muut arkaluonteiset tiedot.
ľicdot ...
✓ Rikostuomiot ja rikokse
✓ Tekniset tiedot
(esim. käyttöjärjestelmäversio, selainversio, IP-osoitteet)
✓ Ostohistoria
(esim. kirjaostot, tilaukset)
✓ Luottamukselliset tiedot
(esim. henkilötunnus)
✓ Vakavat tai toistuvat lainsäädännön tai sisäisten ohjeiden tai käyttäytymissääntöjen rikkomukset.
✓ Muut henkilötiedot
A.4 KÄSITTELY KOSKEE SEURAAVIA REKISTERÖITYJEN RYHMIÄ
✓ Ilmoittajat (esim. loppuasiakkaiden työntekijät, jotka ilmoittajat rikkomuksia koskevia tietoja whistleblower-ratkaisun kautta),
✓ Asiakkaat tai loppukäyttäjät (esim. käyttöoikeuksien antajat, järjestelmän ylläpitäjät, tapausten käsittelijät ja asiakkaan yhteyshenkilöt),
✓ Toimittajat (palveluita, esim. teknisiä tai huoltopalveluita, tarjoavien henkilöiden kirjautumistiedot),
✓ Henkilötietojen käsittelijän työntekijät
🗶 Vierailijat
(tietojen käsittelijän fyysisissä toimipaikoissa tai tapahtumissa tai niiden ulkopuolella vierailevat henkilöt),
✓ Rikosasioiden osapuolet tai väärinkäytöksiin liittyvät henkilöt
(esim. loppuasiakkaan työntekijät, jotka ovat syyllistyneet vakavaan tai toistuvaan lain tai sisäisten ohjeiden tai käytännesääntöjen vastaiseen toimintaan)
A.5 HENKILÖTIETOJEN KÄSITTELY, JONKA TIETOJEN KÄSITTELIJÄ SUORITTAA REKISTERINPITÄJÄN PUOLESTA, VOI ALKAA NÄIDEN SÄÄNNÖSTEN VOIMAANTULON JÄLKEEN. KÄSITTELYN KESTO
✓ Käsittelyä ei ole rajoitettu ajallisesti, ja se jatkuu, kunnes jompikumpi osapuolista irtisanoo tai peruuttaa sopimuksen. Tietojenkäsittelysopimuksen voimassaolo jatkuu osapuolten välisen pääsopimuksen jälkeen, ja se on voimassa niin kauan kuin henkilötietojen käsittelijä käsittelee, esimerkiksi säilyttää, henkilötietoja, jotka on saatu rekisterinpitäjältä, kerätty rekisterinpitäjän puolesta tai muutoin käsitelty osana rekisterinpitäjän ja henkilötietojen käsittelijän välistä sopimussuhdetta, siihen saakka, kunnes henkilötietojen käsittelijä on toimittanut todisteet henkilötietojen palauttamisesta ja hävittämisestä tietojenkäsittelysopimuksen 10.1 kohdan mukaisesti.
LIITE B – ALIKÄSITTELIJÄT
B.1 VALTUUTETUT ALIKÄSITTELIJÄT
Lausekkeiden tullessa voimaan rekisterinpitäjä on sallinut seuraavien alikäsittelijöiden käytön:
PALVELU | CVR | OSOITE | LYHYT KUVAUS TOIMINNASTA |
Microsoft Azure | IE8256796U | Microsoft Ireland Operations Ltd. | Tietojen tallennus ja |
Services | One Microsoft Place, South County | varmuuskopiointi Sovelluskerrosten | |
Business Park, Leopardstown, | isännöinti | ||
Dublin, | |||
D18 P521, Irlanti | |||
Isännöinti ja | 35248021 | Unica Net ApS | Tietojen tallennus ja |
kehittäminen | Xxxxxxxx 00, XX-0000 Xxxxx, | varmuuskopiointi | |
Tanska |
Lausekkeiden tullessa voimaan rekisterinpitäjä on valtuuttanut edellä mainittujen alikäsittelijöiden käyttämisen edellä kuvattuun käsittelytoimintaan. Henkilötietojen käsittelijä ei saa ilman rekisterinpitäjän kirjallista suostumusta käyttää alikäsittelijää muuhun kuin kuvattuun ja sovittuun käsittelytoimeen tai käyttää toista alikäsittelijää kyseiseen käsittelytoimeen.
B.2 ILMOITUS ALIKÄSITTELIJÖIDEN HYVÄKSYMISESTÄ
Tieto henkilötietojen käsittelijästä ilmoitetaan kirjallisesti rekisterinpitäjän sopimusvastaavalle.
Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle uuden alikäsittelijän suunnitellusta käytöstä vähintään 40 päivää ennen toiminnan odotettua aloittamista, jotta rekisterinpitäjällä on mahdollisuus ottaa kantaa ja arvioida käsittelyriskin muutoksia hyvissä ajoin ennen käsittelysuhteen muutoksia.
LIITE C – HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVAT MÄÄRÄYKSET
C.1 KÄSITTELYN KOHDElMÄÄRÄYKSET
Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta seuraavasti:
Henkilötietojen käsittelijä tarjoaa pääsyn henkilötietojen käsittelijän Whistleblower- järjestelmään tilausehtojen mukaisesti. Loppuasiakkaalla ja loppuasiakkaan käyttäjillä on mahdollisuus anonyymisti tehdä ilmoituksia asioista ja käsitellä tapauksia suojatussa ympäristössä. Rekisterinpitäjällä on oikeus antaa henkilötietojen käsittelijälle määräykset loppuasiakkaan tietoihin tehtävistä muutoksista, ja henkilötietojen käsittelijän on mukautettava nämä muutokset ilman lisämaksua, jos loppuasiakas tai henkilötietojen käsittelijä ei voi itse valvoa henkilötietoja.
Henkilötietojen käsittelijällä ja alikäsittelijöillä on oikeus käsitellä henkilötietoja tukeakseen ja kehittääkseen tuotetta asiakkaan tai ilmoittajan käyttöä varten, tilausten hallinnoimiseksi ja turvallisuuden varmistamiseksi, kun se on tarpeen sellaisen vakaan ja turvallisen tuotteen toimittamiseksi, joka täyttää Whistleblower-direktiivin sekä EU 2016/679- ja EU 2019/1937
-asetuksia vastaavat oikeudelliset vaatimukset.
C.2 KÄSITTELYN TURVALLISUUS
Kun otetaan huomioon yleisen tietosuoja-asetuksen 6 artiklan mukaisesti luokiteltujen henkilötietojen suuri määrä, yleisen tietosuoja-asetuksen 9 artiklan soveltamisalaan kuuluvat arkaluonteiset henkilötiedot ja yleisen tietosuoja-asetuksen 10 artiklan soveltamisalaan kuuluvat tiedot rikostuomioista tai rikkomuksista, on huomioitava haavoittuvassa asemassa olevat, esimerkiksi jos valtasuhde on epätasapainoinen rekisterinpitäjän ja haavoittuvassa asemassa olevan välillä, kun on kyseessä tietojen luonne, rekisteröity, mukaan lukien lapset, joita rekisterinpitäjä, henkilötietojen käsittelijä tai kolmas osapuoli voi hyväksikäyttää, koska tällöin katsotaan, että käsittelyyn liittyy suuri riski rekisteröidylle, minkä vuoksi on vastaavasti huolehdittava korkeasta henkilötietojen suojan ja tietoturvan tasosta.
Henkilötietojen käsittelijällä on tällöin oikeus ja velvollisuus tehdä päätöksiä siitä, mitä teknisiä ja organisatorisia turvatoimia on toteutettava tarvittavan (ja sovitun) turvallisuustason saavuttamiseksi.
Henkilötietojen käsittelijän on kuitenkin joka tapauksessa ja vähintään toteutettava seuraavat rekisterinpitäjän kanssa sovitut toimenpiteet:
• Varmistaa, että tiedot tallennetaan salattuna parhaiden käytäntöjen mukaisesti, kun kyseiset tiedot voivat sisältää luottamuksellisia tai arkaluonteisia tietoja, vähintään AES256:lla tai vastaavalla salausstandardilla salattuna.
• Varmistaa, että salatut tiedot ja salausavaimet tallennetaan erikseen. Mikäli mahdollista, salausavainten hallinta luovutetaan loppukäyttäjälle.
• Varmistaa, että viestintä palvelun ja loppukäyttäjän välillä on suojattu SSL:n kautta tai tapahtuu vastaavan suojatun yhteyden kautta, joka täyttää voimassa olevat vaatimukset.
• Varmistaa, että sovellukseen tallennetut tiedot ovat erillään, jotta loppukäyttäjän tietoihin ei pääse luvatta käsiksi ilman loppukäyttäjän suoraa lupaa.
• Varmistaa, että tiedot voidaan palauttaa teknisten tai fyysisten häiriöiden jälkeen, ja käytössä on Disaster Recovery- ja Business Continuity -suunnitelmat toiminnan jatkuvuuden varmistamiseksi.
• Varmistaa, että sovelluksessa olevat henkilötiedot rajoitetaan siihen, mikä on ehdottoman välttämätöntä, ja että henkilötietojen käsittelijät ja alikäsittelijät käsittelevät mahdollisuuksien mukaan vain pseudonymisoituja henkilötietoja, eivätkä
he käsittele tai ilman Asiakkaan lupaa tai hyväksyntää pääse käsiksi arkaluonteisiin tietoihin tai ilmoitusten sisältämiin luottamuksellisiin henkilötietoihin.
• Varmistaa, että rekisterinpitäjä voi Asiakkaan ohjeiden perusteella valvoa pääsyä Asiakkaan ratkaisuun ja että pääsyehtojen muutokset kirjataan ja tallennetaan enintään vuodeksi tai niin kauan kuin asiakassuhde kestää.
• Varmistaa, että kaikki kehitys- ja tukitiimien käyttöoikeudet, jotka voivat tarjota pääsyn henkilötietoihin, noudattavat vähintään ISO2700-standardeja pääsyn turvaamiseksi.
• Varmistaa, että kolmannet osapuolet, jotka saavat laillisen pääsyn ratkaisuun, saavat pääsyn vain salattuihin tietoihin ja että toimet, joihin liittyy pääsy arkaluonteisiin tai luottamuksellisiin henkilötietoihin, kirjataan ja että kolmansia osapuolia koskee salassapitolauseke.
• Varmistaa, että järjestelmiin pääsyä valvotaan ja validoidaan esimerkiksi monivaiheisella tunnistautumisella (MFA) ja että pääsytunnisteet ja sisäänkirjautumisajat tallennetaan korkeintaan 30 päiväksi.
• Huolehtia siitä, että käytössä on käytäntö tietomurtojen havaitsemiseksi ja käsittelemiseksi, jotta rekisterinpitäjä voi ilmoittaa käyttäjille ratkaisusta ilman aiheetonta viivytystä.
• Varmistaa, että tarvittavat tiedot rekisteröidään tietoturvaloukkauksen havaitsemisen yhteydessä ottaen huomioon tapausanalyysin ja mahdolliset Asiakkaan pyytämät seurantatutkimukset.
• Varmistaa, että tarvittavat turvatoimenpiteet ovat käytössä haittaohjelmien tai vastaavien koodien suorittamisen estämiseksi ja rajoittamiseksi, mukaan lukien ohjelmistojen, laitteistojen ja viestintäjärjestelmien oikea-aikainen päivittäminen, koodin validointi sekä ratkaisun vahvuuden ja kestävyyden hakkeritestaus.
• Huolehtia siitä, että käytössä on menettelyt ratkaisusta otetun fyysisen materiaalin oikeasta ja turvallisesta käsittelystä laillisiin tarkoituksiin, mukaan lukien säilytys, jakelu ja etätyöpaikoilta noudetut tiedot, sekä varmistaa, että henkilötietojen käsittelijän työntekijöitä on opastettu henkilötietojen oikeasta käsittelystä, he ovat saaneet turvallisuuskoulutusta, heitä koskee salassapitolausekkeet ja samanlaiset tai vastaavat organisaation käytännöt.
• Varmistaa, että Asiakas näkee, onko ratkaisun sisältöä muutettu ja kuka sitä on muuttanut.
• Varmistaa, että ratkaisua käyttäneellä loppukäyttäjällä on mahdollisuus itse korjata tai lisätä tietoja ratkaisuun ja että loppukäyttäjällä on mahdollisuus peruuttaa ilmoitus.
• Varmistaa, että Asiakas voi poimia ratkaisusta tarvittavat tiedot, jos Asiakas haluaa lopettaa ratkaisun käytön. Asiakas voi itse poimia tiedot koneellisesti luettavassa muodossa siten, että rekisterinpitäjän tai henkilötietojen käsittelijän pääsy arkaluonteisiin tai luottamuksellisiin henkilötietoihin minimoidaan.
C.G REKISTERINPITÄJÄN AVUSTAMINEN
Henkilötietojen käsittelijän on mahdollisuuksien mukaan jäljempänä esitetyssä laajuudessa avustettava rekisterinpitäjää 8.1 ja 8.2 Lausekkeiden mukaisesti toteuttamalla seuraavat tekniset ja organisatoriset toimenpiteet:
Alikäsittelijä laatii tarvittavat tekniset tiedot, jotka voidaan siirtää rekisterinpitäjän riskianalyysiin.
Henkilötietojen käsittelijän muut velvoitteet määräytyvät henkilötietojen käsittelijän ja rekisterinpitäjän välisessä yhteistyösopimuksessa seuraavilla toimitusparametreilla:
• Henkilötietojen käsittelijän on aloitettava avustaminen viimeistään 3 arkipäivän kuluessa rekisterinpitäjän pyynnöstä.
• Jos pyyntö tehdään kiireellisen tilanteen perusteella, rekisterinpitäjä voi pyytää tietojen käsittelijää aloittamaan avunanto viimeistään samana työpäivänä, jona pyyntö on jätetty.
• Jos kiireellinen apu aiheuttaa kustannuksia henkilötietojen käsittelijälle ja kiireellinen apu ei johdu virheistä tai puutteista tai tuotteen epäasianmukaisista tai läpinäkymättömistä työnkuluista tai prosesseista, mikä tarkoittaa, että henkilötietojen käsittelijä ei voi kantaa vastuutaan rekisterinpitäjälle, rekisterinpitäjän on korvattava dokumentoidut kustannukset ja tappiot. Jos henkilötietojen käsittelijä haluaa panna tämän lausekkeen täytäntöön, henkilötietojen käsittelijän on ilmoitettava tästä rekisterinpitäjälle ennen avun aloittamista.
C.4 SÄILYTYSAIKAlPOISTAMINEN
Henkilötietoja säilytetään niin kauan kuin osapuolten välinen suhde on olemassa, minkä jälkeen henkilötietojen käsittelijä poistaa ne.
Henkilötietojen käsittelyä koskevan sopimuksen päättyessä henkilötietojen käsittelijän on palautettava ja poistettava henkilötiedot 10.1 lausekkeen mukaisesti, ellei rekisterinpitäjä ole – näiden lausekkeiden allekirjoittamisen jälkeen – muuttanut rekisterinpitäjän alkuperäistä valintaa. Tällaiset muutokset on dokumentoitava ja säilytettävä kirjallisesti, myös sähköisesti, lausekkeiden yhteydessä.
C.5 KÄSITTELYPAIKKA
Lausekkeiden soveltamisalaan kuuluvia henkilötietoja ei saa käsitellä ilman rekisterinpitäjän etukäteen antamaa kirjallista suostumusta muissa kuin seuraavissa paikoissa:
• Whistleblower Partners ApS, Xxxxxxxxx 00, 0xx xxxxx, XX-0000 Xxxxxxxxxx, Xxxxxx.
• Unica Net ApS, Xxxxxxxx 00, XX-0000 Xxxxx, Xxxxxxx.
• Microsoft Ireland Operations Ltc, Xxx Xxxxxxxxx Xxxxx, Xxxxx Xxxxxx Xxxxxxxx Xxxx, Xxxxxxxxxxxx, Xxxxxx 00 X00 X000, Xxxxxxx.
C.6 OHJEET HENKILÖTIETOJEN SIIRTÄMISESTÄ KOLMANSIIN MAIHIN
Henkilötietojen käsittelijä ei saa siirtää tai luovuttaa EU-kansalaisten, asiakkaiden, työntekijöiden, hakijoiden, vieraiden tai muiden rekisteröityjen ryhmien henkilötietoja kolmansissa maissa sijaitseviin paikkoihin ilman rekisterinpitäjän nimenomaista kirjallista suostumusta.
Jos rekisterinpitäjä ei anna näissä lausekkeissa tai myöhemmin dokumentoitua määräystä henkilötietojen siirtämisestä kolmanteen maahan, henkilötietojen käsittelijällä ei ole oikeutta tehdä tällaisia siirtoja näiden lausekkeiden puitteissa.
Microsoft Azure Cloud -tuen toimittaa suoraan Microsoft Ireland Operationsille:
• Microsoft,
One Microsoft Way, Redmond, Seattle,
Washington State, Yhdysvallat.
Yksityiskohtaiset tiedot kolmansien maiden käsittelijöiden tarjoamista palveluista ja tuesta löytyvät osoitteesta: xxxxx://xxxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxx/xxxxx
C.7 REKISTERINPITÄJÄN AUDITOINTEJA, MUKAAN LUKIEN TARKASTUKSIA, KOSKEVAT MENETTELYT HENKILÖTIETOJEN KÄSITTELIJÄLLE USKOTUN HENKILÖTIETOJEN KÄSITTELYN OSALTA
Rekisterinpitäjän valvontatoimet toteutetaan kiinteänä osana osapuolten välisiä säännöllisiä tilannekokouksia osapuolten välisessä pääsopimuksessa vahvistetun yhteistyömallin mukaisesti. Tilannekokouksissa keskustellaan muun muassa turvallisuuteen ja tietojenkäsittelyyn liittyvistä kysymyksistä osapuolten keskinäisen uhka-arvion, päivitettyjen kriittisten haavoittuvuusarviointien, havaittujen tietoturvauhkien ja vastaavien sellaisten seikkojen perusteella, jotka vaikuttavat sopimuksen soveltamisalaan kuuluvien tietojenkäsittelytoimien yleiseen turvallisuuteen.
RISKITASON OLLESSA KORKEA HANKITAAN
VUOSITTAIN SEURAAVAT:
JOS RISKITASO EI OLE KORKEA, HANKITAAN
VUOSITTAIN SEURAAVAT:
🗶 ISAE-3000-kausiraportti,
🗶 ISAE-3402-kausiraportti,
🗶 SOC 3 -raportti,
🗶 alla määritelty samantyyppinen tarkastusaineisto:
🗶 ISAE-3000-kausiraportti,
🗶 ISAE-3000-osaraportti,
🗶 ISAE-3402-kausiraportti,
🗶 SOC-raportti,
🗶 alla määritelty samantyyppinen tarkastusaineisto:
✓ Henkilötietojen käsittelijä täyttää rekisterinpitäjän turvallisuuskyselyn ja raportoi tuloksen ja menetelmän rekisterinpitäjälle.
✓ Henkilötietojen käsittelijän fyysinen
🗶 Henkilötietojen käsittelijä täyttää rekisterinpitäjän turvallisuuskyselyn. Henkilötietojen käsittelijä ilmoittaa tuloksen ja menetelmät rekisterinpitäjälle
🗶 Henkilötietojen käsittelijän fyysinen
tarkastus ja siihen liittyvä tarkastusraportti
tarkastus ja siihen liittyvä tarkastusraportti.
Osapuolet ovat yhdessä arvioineet, että rekisteröityihin kohdistuvan riskin taso on korkea, ja on sovittu, että henkilötietojen käsittelijä laatii ja toimittaa rekisterinpitäjälle vähintään kerran vuodessa ja ilman lisäkustannuksia ISAE 3000 -kausiraportin todisteeksi siitä, että käsittelijä noudattaa tietojenkäsittelysopimusta. Tämä tarkoittaa, että rekisterinpitäjällä on mahdollisuus tehdä tarkastuksia tietojenkäsittelypaikoilla, samoin kuin henkilötietojen käsittelijää voidaan vaatia täyttämään vuosittain turvallisuuskysely, jossa kuvataan henkilötietojen käsittelijän turvallisuustoimenpiteet ja toimet.
Asiakirjat on toimitettava ilman aiheetonta viivytystä rekisterinpitäjälle tiedoksi, sillä edellytyksellä, että henkilötietojen rekisterinpitäjä voi jakaa sisällön Asiakkaan kanssa. Rekisterinpitäjä voi kiistää puitteet ja/tai tarkastusmenetelmän ja voi tällöin pyytää uutta dokumentointia eri puitteiden mukaisesti ja/tai eri menetelmää käyttäen.
Tuloksen perusteella rekisterinpitäjällä on oikeus pyytää lisätoimenpiteiden toteuttamista sen varmistamiseksi, että yleistä tietosuoja-asetusta, muun EU:n lainsäädännön tai jäsenvaltioiden kansallisen lainsäädännön tietosuojasäännöksiä ja näitä lausekkeita noudatetaan.
Rekisterinpitäjällä tai rekisterinpitäjän edustajalla on myös oikeus suorittaa tarkastuksia, mukaan lukien fyysiset tarkastukset, kohteissa, joissa henkilötietojen käsittelijä käsittelee henkilötietoja, mukaan lukien fyysiset sijainnit tai järjestelmät, joissa käsittely suoritetaan tai jotka liittyvät käsittelyyn. Tällaisia tarkastuksia voidaan tehdä, jos rekisterinpitäjä katsoo sen tarpeelliseksi.