Tämä tietojenkäsittelyliite (tämä “Liite”) on osa [palvelusopimusta] (“Sopimus”), jonka ovat solmineet

Tämä tietojenkäsittelyliite (tämä “Liite”) on osa [palvelusopimusta] (“Sopimus”), jonka ovat solmineet

Semantix International AB, (559067-4981)

(“Ostaja”)

ja [nimi]

(“Toimittaja”),

yhdessä “Xxxxxxxxx.

0. XXXXXXXXXXX

“Rekisterinpitäjä” tarkoittaa tahoa, joka määrittää henkilötietojen käsittelyn tarkoitukset ja menetelmät.

”Käsittelijä” tarkoittaa tahoa, joka käsittelee tietoja rekisterinpitäjän puolesta.

“Rekisteröity” tarkoittaa tunnistettua tai tunnistettavaa luonnollista henkilöä; tunnistettu tai tunnistettava luonnollinen henkilö on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti, erityisesti henkilötunnuksen tai yhden tai useamman hänelle ominaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

”Kolmas osapuoli” tarkoittaa luonnollista tai juridista henkilöä, viranomaista, virastoa tai elintä, joka ei ole rekisteröity, rekisterinpitäjä, käsittelijä eikä henkilö, jonka rekisterinpitäjä tai käsittelijä on valtuuttanut käsittelemään henkilötietoja.

“Lait” tarkoittaa tietosuojaa, yksityisyyttä ja tietoturvaa käsitteleviä lakeja, mm. EU-direktiivi 95/46/EY ja EU-direktiivi 2002/58/EY (yhdessä “EU-direktiivit”) ja kaikkia niiden muutoksia, korvauksia ja päivityksiä, kuten esim. EU:n tietosuoja-asetus 2016/679, sekä kaikkia EU- direktiivien täytäntöönpanoon liittyviä sitovia kansallisia lakeja sekä muita sitovia tietosuojaa, yksityisyyttä ja tietoturvaa käsitteleviä direktiivejä, lakeja, asetuksia ja päätöksiä käsiteltäessä henkilötietoja Sopimuksen puitteissa.

“Mallilausekkeet” tarkoittaa 5. päivänä helmikuuta 2010 annetun komission päätöksen 2010/87/EU liitteenä olevia vakiosopimuslausekkeita henkilötietojen siirrosta kolmansissa maissa sijaitseville henkilötietojen käsittelijöille EU-direktiivien ja EU-komission niihin mahdollisesti tekemien muutosten, korvausten ja päivitysten mukaan.

“Henkilötieto” tarkoittaa mitä tahansa rekisteröityyn liittyvää tietoa, joka lähetetään Toimittajalle, johon Toimittajalla on pääsy tai jota Toimittaja käsittelee Ostajan puolesta palveluihin liittyen.

“Tietosuojaloukkaus” tarkoittaa tietoturvarikkomusta, joka aiheuttaa siirretyn, tallennetun tai muulla tavoin käsitellyn henkilötiedon tahattoman tai laittoman tuhoutumisen, menetyksen, muutoksen, luvattoman paljastuksen tai luvattoman pääsyn siihen.

“Käsittely” tarkoittaa kaikkia toimintoja, joilla Toimittaja, sen tytäryhtiöt tai sen alihankkijat käsittelevät henkilötietoja, esim. keruu, nauhoitus, tallennus, yhdistäminen, järjestäminen,

muuttaminen, laskenta, analysointi, käyttö, paljastuminen siirtämällä, levittäminen ja poistaminen.

“Palvelut” tarkoittaa Toimittajan palvelujen tarjoamista Ostajalle Sopimuksen puitteissa.

“Tekniset ja organisatoriset suojaustoimenpiteet” tarkoittaa toimenpiteitä, joilla halutaan suojata henkilötietoja tahatonta tai laitonta tuhoamista, menetystä, muuttamista, luvatonta paljastamista tai pääsyä vastaan, erityisesti silloin, kun käsittelyyn liittyy tietojen siirto verkon kautta, sekä kaikkia muita laittomia käsittelytapoja vastaan.

2. HENKILÖTIETOJEN KÄSITTELY

2.1. Osapuolten roolit

Osapuolet vahvistavat ja hyväksyvät sen, että tämän Liitteen mukaisen henkilötietojen käsittelyn yhteydessä Ostaja on rekisterinpitäjä ja Toimittaja on käsittelijä.

2.2. Henkilötietojen käsittely

Toimittaja sitoutuu noudattamaan kaikkia henkilötietojen käsittelyyn sovellettavia Lakeja. Toimittajan tulee noudattaa myös kaikkia Ostajan tai tietosuojaviranomaisten antamia, esimerkiksi henkilötietojen käsittelyyn, suojaukseen ja salaukseen liittyviä kirjallisia ohjeita (ja varmistaa, että sen alihankkijat tekevät samoin). Toimittaja noudattaa kaikkia tällaisia ohjeita ilman lisämaksua siinä laajuudessa, mikä vaaditaan, jotta Toimittaja ja Ostaja toimivat lain mukaisesti. Toimittaja avustaa Xxxxxxx tämän kohtuulliseksi katsottavan pyynnön perusteella käsittelytoimenpiteiden vaikutusarvioinnin suorittamisessa ja avustaa valvontaviranomaisten konsultoinnissa ennen käsittelyä silloin, kun vaikutusarvioinnissa ilmenee suuri riski. Mikäli Toimittaja on sitä mieltä, ettei se ole saanut riittävästi ohjeita tai muuta tietoa liittyen siihen, miten henkilötietoja tulee käsitellä Ostajan puolesta, Toimittajan on varmistettava, että se saa tällaiset puuttuvat ohjeet tai tiedot Ostajalta.

Lukuun ottamatta sovellettavassa lainsäädännössä vaadittua Toimittaja ei saa käyttää tai käsitellä henkilötietoja mihinkään muuhun kuin Ostajan määrittämään tai ohjeistamaan tarkoitukseen. Toimittaja käsittelee henkilötietoja luottamuksellisesti eikä sillä ole mitään oikeuksia henkilötietoihin. Toimittaja ei sopimuskauden aikana eikä sen jälkeen saa paljastaa tai siirtää henkilötietoja kolmannelle osapuolelle, eikä se saa antaa kolmannen osapuolen saada pääsyä henkilötietoihin tai käsitellä niitä, ellei Ostajan kanssa ole näin sovittu. Selvyyden vuoksi todettakoon, että henkilötietojen siirtäminen Ostajan tämän sopimuksen toteuttamista varten hyväksymille alihankkijoille on sallittua. Toimittaja ei saa paljastaa henkilötiedoista johdettuja tietoja eikä käyttää niitä omiin tarkoituksiinsa.

2.3. Alihankkijoiden käyttö

Toimittaja ei saa käyttää alihankkijoita ilman Ostajan etukäteen antamaan kirjallista suostumusta. Jos ostaja on antanut Toimittajalle luvan käyttää alihankkijaa/alihankkijoita henkilötietojen käsittelyyn, (a) Toimittajan ja alihankkijan on solmittava asiaa koskeva kirjallinen sopimus ja (b) ko. sopimuksen on asetettava alihankkijalle vähintään samat velvoitteet kuin Toimittajalla on tämän Liitteen ja Xxxxxx mukaan. Toimittaja sitoutuu kaikissa tapauksissa

olemaan täydessä vastuussa Ostajalle ja sen tytäryhtiöille alihankkijoidensa toimista ja laiminlyönneistä.

2.4. Tietojen poistaminen sopimuksen irtisanomisen tai päättymisen yhteydessä

Kun sopimus irtisanotaan tai se päättyy, Toimittajan on palautettava Ostajalle kaikki tiedot ja tuhottava kaikki henkilötiedot kaikista tietokoneista (mukaan lukien tallennusmediat), ohjelmista ja tietokannoista, joita toimittaja käyttää henkilötietojen käsittelyyn, ja vahvistettava kirjallisesti, että näin on tehty (sekä varmistettava, että sen alihankkijat ovat toimineet samoin).

2.5. Tietojen luovutus

Toimittajan on välittömästi ilmoitettava Ostajalle, jos viranomaiset pyytävät pääsyä Ostajan henkilötietoihin, ellei tällainen ilmoitus ole sovellettavassa laissa kielletty. Toimittajan ei tule vastata pyyntöön ilman Ostajan etukäteen antamaa kirjallista suostumusta.

3. HENKILÖTIETOJEN SIIRTÄMINEN

Toimittaja ei saa siirtää tai käsitellä henkilötietoja ETA-alueen ulkopuolisessa maassa ilman Ostajan etukäteen antamaa kirjallista suostumusta, ja Toimittajan on huolehdittava siitä, että lakisääteisiä vaatimuksia henkilötietojen käsittelystä EU-/ETA-maiden ulkopuolella noudatetaan (ja Toimittajan on varmistettava, että sen alihankkijat tekevät samoin).

Lakien niin edellyttäessä Toimittajan on noudatettava asianmukaisia mallilausekkeita (ja varmistettava, että sen alihankkijat tekevät samoin). Tämä tarkoittaa, että mallilausekkeet pätevät vain silloin, kun muut Laeissa mainitut poikkeukset eivät päde, kuten päätös tietosuojan tason riittävyydestä, muut asianmukaiset suojaustoimenpiteet, mukaan lukien yrityksiä sitovat säännöt, rekisteröidyn suostumus, tai jos rekisteröidyn kanssa tulee solmia sopimus. Mallilausekkeiden muuttamaton versio katsotaan täten liitetyksi osaksi sopimusta liitteenä 1B, ja sitä noudatetaan, jos Toimittaja tai sen alihankkija voivat joko (a) päästä etänä käsiksi ETA- maassa sijaitsevassa datakeskuksessa oleviin henkilötietoihin ETA-alueen ulkopuolisesta maasta käsin (b) tai siirtää tai käsitellä ETA-alueen ulkopuolisessa maassa säilytettäviä tietoja.

4. TIETOTURVA JA SUOJAUSTOIMENPITEET

Toimittajan on otettava käyttöön ja ylläpidettävä kaikkina aikoina asianmukaisia organisatorisia, operatiivisia, hallinnollisia, fyysisiä ja teknisiä suojaustoimenpiteitä, joilla henkilötietoja suojataan tahatonta, luvatonta tai laitonta tuhoamista, menetystä, muuttamista, paljastumista tai pääsyä vastaan niin, että kaikki käsittely tapahtuu Lakien ja Ostajan kohtuullisina pidettävien kirjallisten ohjeiden mukaisesti erityisesti silloin, kun käsittelyyn liittyy tietojen siirto verkossa. Nämä toimenpiteet varmistavat käsittelyn riskejä ja käsiteltävien tietojen luonnetta vastaavan turvallisuustason ottaen huomioon tekniikan tason ja niiden toteutuskustannukset.

Teknisiin suojaustoimenpiteisiin sisältyvät kaikki Toimittajan määrittämät tekniset turvatarkastukset ISO/IEC 27000 -standardin (tai vastaavan, kuten SSAE-16(2)) suositusten tai muiden sopivalle tasolle sovitettujen suositusten mukaan, ottaen huomioon henkilötietojen arkaluonteisuuden, riskit, tekniset mahdollisuudet ja toimenpiteiden toteutuskustannukset. Toimittajan on varmistettava, että henkilötietoihin pääsevät käsiksi vain valtuutetut ja

asianmukaisesti koulutetut työntekijät selkeästi määritetyn tarpeellisuusperiaatteen perusteella ja että näitä sitovat asianmukaiset salassapitovelvoitteet. Toimittajan on myös teknisillä ja organisatorisilla toimenpiteillä varmistettava, että Ostajan henkilötietoja ei käsitellä muihin tarkoituksiin (esim. Toimittajan muita asiakkaita varten) ja että henkilötietoja käsitellään erillään Toimittajan muiden asiakkaiden tiedoista.

Toimittaja vakuuttaa, että Sopimuksen mukaisten palvelujen suorittamiseksi on ryhdytty kaikkiin tarvittaviin varotoimiin tietojen menetyksen ja muuttumisen estämiseksi, luvattoman pääsyn estämiseksi Ostajan IT-ympäristöön, Ostajan järjestelmien suojaamiseksi viruksilta ja estämään Toimittajan asiaton pääsy Ostajan IT-ympäristöön ja Ostajan luottamuksellisiin tietoihin.

5. ITSEARVIOINNIT JA TARKASTUKSET

Sopimusaikana Ostaja voi puolivuosittain pyytää nähtäväksi Toimittajan turvallisuus- dokumentaation ja/tai kirjallisen itsearviointiraportin siitä, miten hyvin Toimittaja noudattaa tätä Liitettä, Sopimusta ja Lakeja.

Lisäksi Ostaja (tai sen puolesta toimiva riippumaton osapuoli) voi tarkastaa Toimittajan ja sen alihankkijoiden käsittelytoiminnot hyväksytyn tarkastussuunnitelman mukaisesti annettuaan tästä kirjallisen ilmoituksen kaksitoista (12) päivää ennen tarkastusta. Jos tarkastuksessa ilmenee, että palvelut eivät vastaa tätä Liitettä, Sopimusta tai Lakeja, Toimittajan on omalla kustannuksellaan ryhdyttävä kaikkiin tarvittaviin toimenpiteisiin, jotta palvelut saadaan vastaamaan vaatimuksia. Ostajalla on oikeus tarkastaa vaatimustenmukaisuus uudella tarkastuksella milloin tahansa korjaustoimenpiteiden toteutuksen jälkeen.

Ostaja vastaa tarkastusten kustannuksista. Mikäli tarkastuksessa ilmenee, että Toimittaja rikkoo oleellisesti tämän Liitteen ehtoja, Toimittajan on välittömästi korvattava Ostajalle rikkomuksen korjaamisesta syntyvät kustannukset.

Toimittajan on noudatettava kaikkia tietosuojavaltuutetun ja muiden viranomaisten päätöksiä käsitellessään henkilötietoja Ostajan puolesta. Toimittajan on myös annettava viranomaisten valvoa henkilötietojen käsittelyä.

6. TIETOSUOJALOUKKAUSTEN KÄSITTELY

Tietosuojaloukkauksen tapahtuessa tai mikäli Toimittajaa uhkaa muu henkilötietojen käsittelyyn liittyvä täytäntöönpanomenettely, Toimittajan on toimitettava Ostajalle tarkka kirjallinen ilmoitus välittömästi tultuaan tietoiseksi siitä, viimeistään kuitenkin kahdenkymmenenneljän (24) tunnin sisällä. Toimittajan on Ostajan ennakkosuostumuksella korjattava tilanne mahdollisimman pian, estettävä lisävahingot ja tehtävä Lakien mukaiset ilmoitukset yksilöille ja viranomaisille. Toimittajan on Ostajan ennakkosuostumuksella tarjottava yksilöille asianmukaisia korjaavia palveluja.

7. REKISTERÖITYJEN OIKEUDET

Mikäli Ostaja niin pyytää Lakeja noudattaakseen, Toimittajan on toteutuneeseen työhön perustuvin kohtuullisin kustannuksin: (a) viipymättä toimitettava Ostajalle kopio yksilöiden henkilötiedoista fyysisessä ja/tai koneellisesti luettavassa muodossa; (b) viipymättä korjattava, tai poistettava yksilöiden henkilötiedot tai xxxxxxxxx xxxxxx xxxxxx; (c) viipymättä tarjottava Ostajalle tämän pyytämät kohtuulliseksi katsottavat sopimuksen mukaista henkilötietojen

käsittelyä koskevat tiedot ja tuki; ja (d) tarjottava yksilöille, joiden henkilötietoja käsitellään, Ostajan pyytämät kohtuulliseksi katsottavat käsittelyä koskevat tiedot.

Mikäli viranomainen tai kolmas osapuoli pyytää edellisessä kohdassa mainittuja tietoja, Toimittajan on välittömästi ilmoitettava asiasta Ostajalle, ja Toimittaja ja Ostaja sopivat yhdessä jatkotoimenpiteistä.

8. KORVAUS

Toimittaja on velvollinen korvaamaan ostajalle kaikki ostajalle esitetyt vahingonkorvaus- vaatimukset, jotka johtuvat siitä, että toimittaja on rikkonut sovellettavia tietosuojalakeja.

Tähän tietojenkäsittelyliitteeseen ja/tai toimittajasopimukseen perustuvien sopimusrikkomus- korvausten lisäksi toimittaja on velvollinen korvaamaan ostajalle kaikki kulut, maksut ja hallinnolliset sakot, jotka johtuvat siitä, että toimittaja ei ole täyttänyt tämän tietojenkäsittelyliitteen ja/tai toimittajasopimuksen mukaisia velvoitteitaan ja jos toimittaja on suorittanut tai teettänyt vahingon aiheuttaneen tietojenkäsittelyn.

9. IRTISANOMINEN

Tämä Liite on voimassa niin kauan kuin Ostajan ja Toimittajan välinen sopimus on voimassa ja sen jälkeen, kunnes sopimuksen irtisanomisen tai päättymisen jälkeiset tarvittavat toiminnot on saatu valmiiksi. Mikäli Toimittaja käsittelee henkilötietoja tai niitä käsitellään hänen puolestaan Sopimuksen irtisanomisen tai päättymisen jälkeen mistä tahansa syystä, tätä Liitettä sovelletaan tällaiseen henkilötietojen käsittelyyn niin kauan kuin käsittely jatkuu.

Toimittajan (tai soveltuvin osin sen alihankkijoiden) tässä Liitteessä mainittujen velvoitteiden rikkominen katsotaan olennaiseksi sopimusrikkomukseksi.

Velvoitteet, jotka ovat luonteeltaan sellaisia, että niiden tulee jäädä voimaan Sopimuksen irtisanomisen tai päättymisen jälkeen, jäävät voimaan.

Mikäli tämän Liitteen ja Sopimuksen ehtojen välillä on ristiriitaa, sovelletaan ensisijaisesti tätä liitettä. Tähän Liitteeseen tehtävät muutokset on tehtävä kirjallisesti, ja molempien osapuolten on hyväksyttävä ne.

Liite 1: Henkilökohtaisten tietojen käsittelyä koskevat ohjeet

Tässä liitteessä määritellään henkilötietojen käsittely GDPR:n artiklassa 28(3) vaaditulla tavalla.

Tietojenkäsittelyn tarkoitus	Käsittelyn tarkoitus on kieli- ja taittopalvelujen tarjoaminen ostajan ja toimittajan välisen palvelusopimuksen (puitesopimus tai tilausvahvistus) mukaan.
Tietojenkäsittelyn kesto	Niin kauan kuin ostajan ja toimittajan välinen sopimus on voimassa, ellei toisin mainita ja sovellettavien lakien määrittämän ajan.
Tietojenkäsittelyn luonne ja tarkoitus	Toimittaja tarjoaa kieleen liittyvät palvelut, joita ovat mm. käännös, oikoluku, tarkistus, muokkaus, tekstinkirjoitus, tulkkaus, kielikoulutus ja/tai taittaminen, ostajan tilauksen mukaan. Toimittaja käsittelee palvelun tarjoamiseen tarvittavat tiedot.
Henkilötietojen tyyppi Ostaja voi lähettää toimittajalle henkilötietoja ostajan määräämässä ja hallitsemassa laajuudessa. Henkilötiedot voivat sisältää mm. seuraavia henkilötietoluokkia:	Etunimi ja sukunimi Työnimike/asema Työnantaja Yhteystiedot (yritys, sähköposti, puhelinnumero, katuosoite) Henkilöllisyystunniste Työelämää koskevat tiedot Yksityiselämää koskevat tiedot Yhteystiedot Sijaintitiedot Pankkitilitiedot Ostohistoria Sekä muita henkilötietoja, jotka toimittaja vastaanottaa sopimuksen puitteissa.
Henkilötietojen erikoisluokat Ostaja voi lähettää toimittajalle henkilötietojen erikoisluokkia ostajan määräämässä ja hallitsemassa laajuudessa. Henkilötiedot voivat sisältää mm. seuraavia henkilötietojen erikoisluokkia:	Rodullisen tai etnisen alkuperän paljastava henkilötieto Poliittisen mielipiteen paljastava henkilötieto Uskonnollisen tai filosofisen maailmankatsomuksen paljastava henkilötieto Ammattiliiton jäsenyyden paljastava henkilötieto Geneettinen data Xxxxxxxxxxxx henkilön yksilölliseen tunnistamiseen käytettävä biometrinen data Terveyttä koskeva tieto Luonnollisen henkilön sukupuolielämää ja/tai seksuaalista suuntautumista koskeva tieto
Xxxxxxxxxx Xxxxxx voi lähettää toimittajalle henkilötietoja ostajan määräämässä ja hallitsemassa	Ostajan työntekijät Ostajan asiakkaat Ostajan toimittajat Ostajan freelancerit

laajuudessa. Henkilötiedot voivat sisältää mm. seuraaviin aiheluokkiin liittyviä henkilötietoja:	Ostajan liikekumppanit Luonnolliset henkilöt, jotka on mainittu ostajan käsiteltäväksi lähettämissä asiakirjoissa. Sekä muita rekisteröitäviä, jotka sisältyvät sopimukseen piiriin.
Hyväksytyt alihankkijat	Kääntäjät, kielentarkastajat, oikolukijat, toimittajat, copywriterit, DTP-toimittajat, tulkit ja kielenopettajat. Toimittaja saa käyttää ainoastaan sellaisia alihankkijoita, jotka ovat allekirjoittaneet GDPR:n mukaisen tietojenkäsittelysopimuksen.
Maat/paikat, joihin tietoja siirretään Henkilötietoja käsitellään (etänä tai paikallisesti) seuraavissa maissa/paikoissa:	[Toimittaja täyttää] 1. ETA-maat 2. Muut kuin ETA-maat. Kun henkilötietoja käsitellään ETA:n ulkopuolisessa maassa, toimittajan ja toimittajan tietojenkäsittelijän välillä pätevät tavanomaiset sopimusehdot (tai vastaava varotoimi). 3. ETA-maat ja muut kuin ETA-maat. Kun henkilötietoja käsitellään ETA:n ulkopuolisessa maassa, toimittajan ja toimittajan tietojenkäsittelijän välillä pätevät tavanomaiset sopimusehdot (tai vastaava varotoimi).