LIITE 1 - HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA SOPIMUS

LIITE 1 - HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA SOPIMUS

OSAPUOLET

Tämä henkilötietojen käsittelyä koskeva sopimus (”tukisopimus”) on solmittu:

G-CLOUD-palvelinpalvelujen tilausvahvistuksesta ilmenevien osapuolten välille, ja asiakas on henkilötietorekisterinpitäjä (”Rekisterinpitäjä”), ja WEB-EL Försäljning AB, yritystunnus 556658-1079, osoite Xxxxxxxxxxxx 0, 000 00 Luulaja, on henkilötietojen käsittelijä (”Henkilötietojen käsittelijä”), erikseen ”osapuoli” ja yhdessä ”osapuolet”.

Kaikki tähän tukisopimukseen liittyvä yhteydenpito rekisterinpitäjään tapahtuu rekisterinpitäjän G-CLOUD-palvelinpalveluiden tilausvahvistuksessa antamilla yhteystiedoilla.

Rekisterinpitäjän vastuulla on varmistaa, että nämä tiedot ovat oikeita ja ajan tasalla.

Tämä tukisopimus on osapuolten välisen G-CLOUD-palvelinpalvelujen tilausvahvistuksen yleisten käyttöehtojen liite.

1. Määritelmät

Ellei toisin mainita, käsitteillä katsotaan olevan sama merkitys kuin sovellettavissa tietosuojasäännöissä. Näihin sisältyvät muun muassa seuraavat:

Käsittelyllä tarkoitetaan henkilötietoihin tai henkilötietokokonaisuuksiin liittyviä toimia, kuten tietojen keräämistä, rekisteröintiä, organisointia, jäsentämistä, tallentamista, käsittelyä tai muuttamista, siirtämistä, lukemista, käyttöä, luovuttamista siirtämällä, levittämällä tai myymällä muulla tavalla, muuttamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

Sovellettavilla tietosuojasäännöillä viitataan yleiseen tietosuoja-asetukseen (GDPR), (EU) 2016/679.

Arkaluonteiset henkilötiedot on määritelty yleisen tietosuoja-asetuksen 9 artiklassa.

Henkilötiedot, kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (jäljempänä ”rekisteröity”) liittyvät tiedot, kun tunnistettavissa olevalla luonnollisella henkilöllä tarkoitetaan henkilöä, joka voidaan tunnistaa suoraan tai välillisesti tunnisteen, kuten nimen, tunnistenumeron, sijaintitietojen tai verkkotunnisteiden, tai yhden tai useamman fyysiseen, fysiologiseen, geneettiseen, psyykkiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen identiteettiin liittyvän tekijän perusteella.

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvatapahtumaa, joka johtaa siirrettyjen, tallennettujen ja muuten käsiteltyjen henkilötietojen tahattomaan tai laittomaan tuhoamiseen, katoamiseen tai muuttamiseen tai luvattomaan paljastamiseen tai saamiseen.

Rekisteröity, katso edellä kohta Henkilötiedot.

Kolmannella maalla tarkoitetaan Euroopan talousalueen (ETA) ulkopuolista maata.

Xxxxxxxxxxxxxx tarkoitetaan tämän tukisopimuksen osapuolen käyttämää henkilötietojen käsittelijää, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.

2. Henkilötietojen käsittely

2.1. Henkilötietojen käsittelijä saa käsitellä henkilötietoja ainoastaan tämän tukisopimuksen, sovellettavien tietosuojasääntöjen ja rekisterinpitäjän milloin tahansa antamien ohjeiden mukaisesti, ks. Liite 1. Henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohje on sovellettavien tietosuojasääntöjen tai unionin tai jäsenvaltioiden muiden tietosuojasääntöjen vastainen.

2.2. Henkilötietojen käsittelijä ei saa käsitellä henkilötietoja omiin tarkoituksiinsa tai mihinkään muuhun tarkoitukseen kuin siihen, johon rekisterinpitäjä henkilötietojen käsittelijää käyttää.

2.3. Henkilötietojen käsittelijä ei saa siirtää henkilötietoja kolmansiin maihin, ellei liitteessä 1 toisin mainita.

2.4. Henkilötietojen käsittelijän on ilman aiheetonta viivytystä, ja kuitenkin viimeistään kolmenkymmenen (30) päivän kuluessa rekisterinpitäjän pyynnöstä annettava tälle pääsy henkilötietojen käsittelijän hallussa oleviin henkilötietoihin ja suoritettava pyydetty muutos, poisto, rajoitus tai henkilötietojen siirto. Jos rekisterinpitäjä on poistanut tietoja tai kehottanut henkilötietojen käsittelijää poistamaan ne, rekisterinpitäjän on toteutettava tarvittavat toimenpiteet estääkseen henkilötietojen uudelleenluonnin.

2.5. Henkilötietojen käsittelijä on velvollinen perustamaan rekisterin rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Rekisteriote on pyynnöstä luovutettava rekisterinpitäjälle tai toimivaltaiselle valvontaviranomaiselle luettavassa muodossa. Rekisterissä on oltava:

a) Henkilötietojen käsittelijän ja sen mahdollisen tietosuojavastaavan sekä sen rekisterinpitäjän nimi ja yhteystiedot, jonka puolesta käsittely suoritetaan. Tarvittaessa myös avustajien yhteystiedot.

b) Rekisterinpitäjän puolesta suoritetut käsittelyluokat.

c) Tarvittaessa henkilötietojen siirrot kolmansiin maihin, tiedot kyseessä olevasta kolmannesta maasta ja suoritetuista asianmukaisista suojatoimista.

d) Xxxxxxx kuvaus teknisistä ja organisatorisista turvatoimenpiteistä, jotka on toteutettu asianmukaisen suojaustason saavuttamiseksi.

2.6. Kaiken tähän tukisopimukseen liittyvän viestinnän rekisterinpitäjälle tulee tapahtua tämän tukisopimuksen johdannossa mainittujen yhteystietojen kautta.

3. Rekisterinpitäjän vastuu

3.1. Rekisterinpitäjä vastaa henkilötietojen käsittelyn laillisuudesta sovellettavien tietosuojasääntöjen mukaisesti.

3.2. Rekisterinpitäjä on vastuussa henkilötietojen käsittelijän ohella muista oikeushenkilöistä, jotka käyttävät henkilötietojen käsittelijän palveluja osapuolten välillä allekirjoitetun sopimuksen puitteissa. Tietojen käsittelijän rooli tietojen käsittelijänä rajoittuu siihen tahoon, joka on tässä tukisopimuksessa määritetty rekisterinpitäjä.

3.3. Rekisterinpitäjän on välittömästi toimitettava henkilötietojen käsittelijälle oikeat tiedot, jos ohjeet ovat virheelliset tai puutteelliset tai jos niitä muutoin täytyy muuttaa.

3.4. Rekisterinpitäjä myöntää henkilötietojen käsittelijälle pääsyn vain henkilötietojen käsittelyyn tarvittaviin henkilötietoihin.

4. Kapasiteetti ja kyky

4.1. Henkilötietojen käsittelijä varmistaa, että henkilötietojen käsittelijällä on tarvittavat tekniset ja organisatoriset valmiudet ja kyky täyttää tämän tukisopimuksen ja sovellettavien tietosuojasääntöjen mukaiset velvoitteensa.

4.2. Henkilötietojen käsittelijän on osoitettava rekisterinpitäjän tai tämän käyttämien riippumattomien kolmansien osapuolten pyynnöstä, että tässä tukisopimuksessa ja sovellettavissa tietosuojasäännöissä asetetut velvoitteet täyttyvät toimittamalla ilman kohtuutonta viivettä asiaankuuluvat asiakirjat, viittaamalla asiaankuuluviin ja hyväksyttyyn ohjesääntöön tai sertifiointiin, mahdollistamalla ja osallistumalla tilojen, tietojärjestelmien ja muiden varojen katselmuksiin ja tarkastuksiin ja/tai antamalla muita riittäviä todisteita. Henkilötietojen käsittelijän on varmistettava, että rekisterinpitäjällä on vastaavat oikeudet käytettäviin alihankkijoihin nähden.

5. Turvaamistoimet

5.1. Henkilötietojen käsittelijän tulee rajoittaa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä pääsyä henkilötietoihin ja antaa pääsy ainoastaan henkilöstölle, joka tarvitsee pääsyn henkilötietoihin täyttääkseen tämän tukisopimuksen mukaiset velvoitteensa, ja varmistaa, että kyseisellä henkilöstöllä on tarvittava koulutus ja että sitä on riittävästi neuvottu henkilötietojen tehokkaaseen ja turvalliseen käsittelyyn.

5.2. Henkilötietojen käsittelijän on suojattava henkilötiedot kaikenlaisilta luvattomalta käsittelyltä, kuten tuhoamiselta, luvattomalta levittämiseltä ja luvattomalta käytöltä.

5.3. Henkilötietojen käsittelijän on käsiteltävä henkilötietoja luottamuksellisesti ja varmistettava, että henkilöt, joilla on valtuudet käsitellä henkilötietojen käsittelijän hallussa olevia henkilötietoja, ovat sitoutuneet erityiseen luottamuksellisuuteen tai saaneet tiedon sopimuksen tai sovellettavan lain mukaisesta erityisestä salassapitovelvollisuudesta.

5.4. Jos henkilötietojen käsittelijä käsittelee arkaluonteisia henkilötietoja tai käsittelee muutoin arkaluonteisia henkilötietoja, jotka kuuluvat esimerkiksi luottamuksellisuuden piiriin, on noudatettava erityisen korkeita turvallisuusvaatimuksia, kuten kaksivaiheista todennusta ja salausta.

5.5. Henkilötietojen käsittelijän on ilman aiheetonta viivytystä ja kuitenkin viimeistään kahdenkymmenenneljän (24) tunnin kuluttua tietoonsa saamisesta ilmoitettava rekisterinpitäjälle henkilötietojen tietoturvaloukkauksen olemassaolosta tai vaarasta. Ilmoituksessa on oltava kaikki tarvittavat ja saatavilla olevat tiedot, joita rekisterinpitäjä tarvitsee toteuttaakseen asianmukaisia ehkäiseviä toimenpiteitä ja vastatoimia ja täyttääkseen velvoitteensa, jotka koskevat henkilötietojen tietoturvaloukkauksista ilmoittamista toimivaltaiselle valvontaviranomaiselle.

6. Yhteistyö

6.1. Henkilötietojen käsittelijän on käsittelyn luonne huomioiden avustettava rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta rekisterinpitäjä voi täyttää velvollisuutensa vastata rekisteröidyn oikeuksien käyttöä koskeviin pyyntöihin.

6.2. Henkilötietojen käsittelijän tulee avustaa rekisterinpitäjää sen varmistamisessa, että sovellettavien tietosuojasääntöjen mukaiset henkilötietojen tietoturvaloukkauksiin ja vaikutusten arviointeihin liittyvät velvoitteet täyttyvät, ottaen huomioon käsittelyn tyyppi ja henkilötietojen käsittelijän käytettävissä olevat tiedot.

6.3. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle ilman aiheetonta viivytystä, jos toimivaltainen valvontaviranomainen tai muu kolmas osapuoli ottaa häneen yhteyttä päästäkseen käsiksi henkilötietojen käsittelijän tai mahdollisen avustajan hallussa oleviin henkilötietoihin.

6.4. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle kirjallisesti ja etukäteen käsittelymenettelyyn suunnitelluista muutoksista, mukaan lukien tekniset ja organisatoriset muutokset, jotka voivat vaikuttaa haitallisesti henkilötietojen suojaan ja siihen, että henkilötietojen käsittelijä noudattaa sovellettavia tietosuojasääntöjä. Ennen tällaisten muutosten tekemistä rekisterinpitäjän on annettava suostumuksensa, jota ei voida kohtuudella kiistää.

7. Alihankkija

7.1. Tämän tukisopimuksen mukaan henkilötietojen käsittelijä saa luvan käyttää alihankkijoita liitteestä 1 ilmenevien henkilötietojen käsittelyssä. Tällainen käsittelyn siirtäminen alihankkijalle on henkilötietojen käsittelijän vastuulla, eikä se aiheuta muutoksia tämän tukisopimuksen osapuolten väliseen vastuunjakoon.

7.2. Henkilötietojen käsittelijän vastuulla on varmistaa asianmukaisin toimenpitein, että käytettävä alihankkija on kaikkien sovellettavien henkilötietojen suojaa koskevien säännösten mukainen ja että alihankkija noudattaa olennaisin osin tässä tukisopimuksessa määrättyjä velvoitteita.

7.3. Rekisterinpitäjä voi halutessaan antaa henkilötietojen käsittelijälle yleisen kirjallisen luvan alihankkijoiden käyttöön tietyntyyppisessä henkilötietojen käsittelyssä tukisopimuksen puitteissa. Jos tällainen yleinen lupa on myönnetty, henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle aikomuksestaan käyttää tai vaihtaa alihankkijaa ajoissa, jotta rekisterinpitäjällä on mahdollisuus esittää vastaväite tällaiselle muutokselle. Tällainen vastaväite estää henkilötietojen käsittelijää tekemästä ehdotettuja muutoksia.

8. Siirto kolmansiin maihin

8.1. Jos tietojen käsittelijä siirtää käsittelyn yhteydessä henkilötietoja kolmansiin maihin, joiden Euroopan komissio ei katso täyttävän riittävää suojaustasoa sovellettavien tietosuojasääntöjen osalta, osapuolten on solmittava tältä osin lisäsopimus.

8.2. Jos henkilötietojen käsittelijä on käyttänyt alihankkijaa, jonka myötä henkilötietoja siirretään kolmansiin maihin, joiden Euroopan komissio ei katso täyttävän riittävää suojaustasoa sovellettavien tietosuojasääntöjen osalta, henkilötietojen käsittelijän ja alihankkijan on tehtävä lisäsopimus. Henkilötietojen käsittelijän on tarvittaessa toimitettava rekisterinpitäjälle allekirjoitettu jäljennös edellä mainitusta lisäsopimuksesta.

9. Vastuu vahingoista

9.1. Jos rekisteröity on vaatinut rekisterinpitäjältä vahingonkorvausta tai jos toimivaltainen viranomainen määrää uhkasakon tai muita hallinnollisia seuraamuksia ja jos tämä on aiheutunut siitä, että rekisterinpitäjä on käsitellyt henkilötietoja rekisterinpitäjän ohjeiden, tämän tukisopimuksen tai sovellettavien tietosuojasääntöjen vastaisesti, henkilötietojen käsittelijän on pidettävä rekisterinpitäjä vapaana vastuusta. Henkilötietojen käsittelijän vastuu rajoittuu määrään, joka vastaa alempaa seuraavista: henkilötietojen käsittelijän rekisterinpitäjältä suorittama vuosilaskutus tai 200 000 Ruotsin kruunua.

9.2. Henkilötietojen käsittelijä sitoutuu myös varjelemaan rekisterinpitäjää haitalta siinä tapauksessa, että rekisterinpitäjälle aiheutuu vahinkoa sen seurauksena, että henkilötietojen käsittelijä käsittelee henkilötietoja tämän tukisopimuksen tai sovellettavien tietosuojasääntöjen vastaisesti, rajoittaen määrään, joka vastaa alempaa seuraavista: henkilötietojen käsittelijän rekisterinpitäjältä suorittama vuosilaskutus tai 200 000 Ruotsin kruunua.

9.3. Jos rekisteröity on vaatinut henkilötietojen käsittelijältä vahingonkorvausta tai jos toimivaltainen viranomainen määrää rekisterinpitäjälle tämän tukisopimuksen tai sovellettavien tietosuojasääntöjen vastaisesta henkilötietojen käsittelystä uhkasakon tai muita hallinnollisia seuraamuksia, rekisterinpitäjä pitää henkilötietojen käsittelijää vapaana vastuusta.

10. Sopimusaika

10.1. Tämä tukisopimus on voimassa siitä päivästä alkaen, jona osapuolet allekirjoittavat sopimuksen ja siihen asti, kunnes henkilötietojen käsittelijän henkilötietojen käsittely päättyy tai kunnes sopimus korvataan uudella tukisopimuksella.

10.2. Henkilötietojen käsittelijän on käsittelyn päätyttyä palautettava hallussaan olevat henkilötiedot yleisessä ja luettavissa olevassa muodossa rekisterinpitäjälle tai poistettava henkilötiedot käsittelyssä käytetyistä järjestelmistä rekisterinpitäjän ohjeiden mukaisesti, ellei tämä ole ristiriidassa muun velvoittavan lainsäädännön kanssa.

11. Lainvalinta ja riidanratkaisu

11.1. Tähän tukisopimukseen sovelletaan Ruotsin lakia lainvalintasäännöistä riippumatta.

11.2. Tähän tukisopimukseen liittyvät erimielisyydet ratkaistaan lopullisesti yleisten ehtojen mukaisesti.

Liite 1 – Käsittelyohjeet

Tätä liitettä pidetään henkilötietojen käsittelyä koskevan sopimuksen erottamattomana osana.

Käsittelyn tarkoitus ja tavoite

Käsittely perustuu rekisterinpitäjän ja henkilötietojen käsittelijän välillä allekirjoitettuun sopimukseen. Käsittelyn tarkoituksena on systemisoida energiankulutusta koskevat yksittäiset mittaustiedot. Keräämällä nämä tiedot rekisterinpitäjä voi kohdistaa sähkökustannukset asianomaiselle loppukäyttäjälle.

Käsittelytyyppi

Käsittely koostuu siitä, että rekisterinpitäjä kerää mittaustietoja nykyisistä latauspisteistä masterboxiin ja välittää ne G-Cloudille. Mittaustiedot tarkoittavat energiankulutusta. Järjestelmässä rekisterinpitäjä on rekisteröinyt loppukäyttäjän yhdistettäväksi vastaavaan latauspisteeseen tai ulkoa radiotaajuustunnisteeseen (RFID). Rekisterinpitäjä määrittää tavan, jolla loppukäyttäjä tunnistetaan.

Kaikki mittaustiedot tallennetaan G-Cloudiin ja toimitetaan rekisterinpitäjälle.

Henkilötietotyyppi

Järjestelmässä voidaan käsitellä seuraavia henkilötietoja: nimi, käyttäjätunnus, RFID-tunniste, salasana, vientitunnus, alue, jolla loppukäyttäjällä on käyttöoikeus ja sähköposti.

Henkilötietojen erityisryhmät

Ei sovelleta.

Käsittelyn maantieteellinen sijainti

Tietojen kerääminen tapahtuu paikoissa, joissa rekisterinpitäjä on päättänyt kerätä tietoja. Järjestelmässä käsittely ja säilytys tapahtuu Luulajassa, Ruotsissa.

Kuinka kauan käsittely kestää?

Rekisterinpitäjä määrittää energiatietojen säilytysajan sopimusta allekirjoitettaessa. Rekisterinpitäjä määrittää henkilötietojen säilytysajan sopimusta allekirjoitettaessa.

Alihankkijat

Sopimuksen allekirjoittamisessa käytetään seuraavia alihankkijoita:

Garo AB

Yritysnumero: 556051-7772

Osoite: BOX 203

335 25 Gnosjö

Henkilötietojen siirto kolmansiin maihin

Henkilötietoja ei siirretä kolmansiin maihin.

Tekniset ja organisatoriset turvatoimet

Fyysinen turvallisuus. Henkilötietoja koskevat järjestelmät on suojattava sähkökatkoksilta ja muilta teknisten syöttöjärjestelmien aiheuttamilta häiriöiltä. Tilat, joissa henkilötietoja säilytetään, kuten palvelinsalit, on suojattava asianmukaisella kulunvalvonnalla sen varmistamiseksi, että vain valtuutettu henkilöstö pääsee sisälle. Lisäksi on huolehdittava tyydyttävästä suojauksesta varkauksia ja sellaisia tapahtumia vastaan, jotka voivat tuhota tietojärjestelmiä ja tallennusvälineitä.

Pääsyn suojaus. Jos henkilötietojen käsittelijän tietokonelaitteita ja sellaisia irrallisia tietovälineitä, jotka sisältävät tai voivat tarjota pääsyn henkilötietojen käsittelijän rekisterinpitäjän puolesta käsittelemiin henkilötietoihin, ei valvota, laitteet ja tietovälineet on lukittava luvattomalta käytöltä, vaikutukselta ja varkauksilta suojaamiseksi. Muussa tapauksessa henkilötiedot on salattava.

Haittaohjelmien torjunta. Henkilötietoja koskevat järjestelmät on suojattava viruksilta, troijalaisilta ja muilta digitaalisen tunkeutumisen muodoilta.

Jos tietojen käsittelyssä käytetään kannettavia tietokoneita, kiinteiden ja siirrettävien tallennusvälineiden henkilötiedot on aina salattava.

Varmuuskopiointi. Henkilötiedot on säännöllisesti varmuuskopioitava. Kopiot on säilytettävä erikseen ja hyvin suojattuina, jotta henkilötiedot voidaan palauttaa häiriön jälkeen.

Toimivaltuuden valvonta. Teknisellä toimivaltuuden valvontajärjestelmällä on valvottava pääsyä henkilötietojen käsittelijän hallussa oleviin henkilötietoihin. Toimivaltuus rajoitetaan niille henkilöille, jotka tarvitsevat tietoja työtään varten. Käyttäjätunnuksen ja salasanan tulee olla henkilökohtaisia, eikä niitä saa siirtää kenellekään muulle. Käyttöoikeuksien myöntämistä ja poistamista varten tulee olla toimintaohjeet.