Henkilötietojen käsittelyn vaatimukset Sopimuksen liite 1.2

Henkilötietojen käsittelyn vaatimukset

Sopimuksen liite 1.2




Henkilötietojen käsittelyn vaatimukset














1.Yleistä


Tämä sopimusliite ”Henkilötietojen käsittelyn vaatimukset” kuuluu osaksi Sopimusta, jonka VAKE on tehnyt Toimittajan kanssa.


Tässä sopimusliitteessä määritellään Rekisterinpitäjää ja Henkilötietojen käsittelijää sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja toimeksiannosta käsittelee henkilötietoja Rekisterinpitäjän puolesta ja lukuun Sopimuksessa olevien sopimusehtojen lisäksi.


Osapuolet sitoutuvat noudattamaan toiminnassaan kulloinkin voimassa olevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää Euroopan unionin ja kansallista lainsäädäntöä.



2.Osapuolten roolit henkilötietojen käsittelyssä


VAKE toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana Rekisterinpitäjänä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Osapuolet ymmärtävät, että Rekisterinpitäjänä VAKE saa käyttää ainoastaan sellaisia Henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää voimassa olevan henkilötietojen käsittelyyn ja tietosuojaan liittyvän lainsäädännön vaatimukset, mukaan lukien EU:n yleisen tietosuoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu.


Sopimuksen mukainen Toimittaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana Henkilötietojen käsittelijänä, joka käsittelee VAKEn henkilötietoja VAKEn puolesta ja lukuun. Toimittajan Sopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat myös VAKEn henkilötietojen käsittelyyn, toimivat myös Henkilötietojen käsittelijöinä VAKEn puolesta ja lukuun (alikäsittelijät). Ryhmittymän ollessa Toimittajana tämän sopimusliitteen velvoitteet koskevat kaikkia Ryhmittymän jäseniä, jotka osallistuvat henkilötietojen käsittelyyn.


Rekisterinpitäjä sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista Rekisterinpitäjän velvollisuuksista.


Rekisterinpitäjä antaa Henkilötietojen käsittelijälle kirjalliset ohjeet koskien henkilötietojen käsittelyä. Rekisterinpitäjä voi päivittää ohjeita sopimuskauden kuluessa jäljempänä mainitulla tavalla.


Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä Rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksessa, Projektin aikana laadittavassa ja Henkilötietojen käsittelijää sitovassa dokumentaatiossa tai muussa Rekisterinpitäjän ohjeistuksessa. Henkilötietojen käsittelijä sitoutuu noudattamaan Sopimuksessa, dokumentaatiossa ja ohjeistuksessa olevia henkilötietojen käsittelyä koskevia ehtoja ja kuvauksia. Rekisterinpitäjä vastaa ohjeistuksen


ylläpidosta ja saatavuudesta. Jos yllä mainittua kuvausta ei ole tehty tai se on puutteellinen, Rekisterinpitäjä laatii tai täydentää kuvausta tarvittaessa yhteistyössä Henkilötietojen käsittelijän kanssa.


Henkilötietojen käsittelijä osallistuu Rekisterinpitäjän pyynnöstä tietojärjestelmäselosteen laatimiseen.



3.Alikäsittelijät


Kun Henkilötietojen käsittelijä käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja. Selvyyden vuoksi todetaan, että alikäsittelijöitä koskevat ehdot koskevat koko alikäsittelijäketjua riippumatta siitä, onko alikäsittelijä Toimittajan alihankkija.


Henkilötietojen käsittelijä ja sen alikäsittelijät, jotka Henkilötietojen käsittelijöinä käsittelevät Rekisterinpitäjän henkilötietoja Rekisterinpitäjän puolesta ja lukuun, sitoutuvat kaikki tässä sopimusliitteessä kuvattuihin Henkilötietojen käsittelijää koskeviin velvollisuuksiin. Henkilötietojen käsittelijällä on velvollisuus sopimuksilla sitouttaa käyttämänsä alikäsittelijät noudattamaan tämän sopimusliitteen ehtoja.


Henkilötietojen käsittelijä ei saa käyttää alikäsittelijän, eli toisen Henkilötietojen käsittelijän, palveluksia ilman Rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, Henkilötietojen käsittelijän on tiedotettava Rekisterinpitäjälle kirjallisesti kaikista suunnitelluista muutoksista, jotka koskevat alikäsittelijöiden, eli muiden Henkilötietojen käsittelijöiden lisäämistä, poistamista tai vaihtamista, ja annettava siten Rekisterinpitäjälle perustellusta syystä mahdollisuus vastustaa tällaisia muutoksia. Mikäli Rekisterinpitäjä ei hyväksy alikäsittelijää, Henkilötietojen käsittelijä joko luopuu alikäsittelijän käyttämisestä tai esittää Rekisterinpitäjälle uutta alikäsittelijää. Mikäli Rekisterinpitäjä ja Henkilötietojen käsittelijä eivät pääse yhteisymmärrykseen uudesta alikäsittelijästä, Henkilötietojen käsittelijällä on oikeus päättää toimintansa palvelusetelituottajana sääntökirjan mukaisesti.


Henkilötietojen käsittelijä on vastuussa mahdollisista Rekisterinpitäjän henkilötietoja käsittelevien Henkilötietojen käsittelijän alikäsittelijöiden tämän sopimusliitteen tai sovellettavan lainsäädännön tai EU:n yleisen tietosuoja-asetuksen rikkomisista tai laiminlyönneistä kuin omistaan. Jos alikäsittelijä ei täytä tietosuojavelvoitteitaan, Henkilötietojen käsittelijä on edelleen Sopimuksen mukaisesti vastuussa alikäsittelijän velvoitteiden suorittamisesta suhteessa Rekisterinpitäjään. Jos Rekisterinpitäjä perustellusti katsoo, että Henkilötietojen käsittelijän alikäsittelijä ei täytä tietosuojavelvoitteitaan, Rekisterinpitäjällä on oikeus vaatia Henkilötietojen käsittelijää vaihtamaan alikäsittelijää.


4.Henkilötietojen käsittelijän yleiset velvollisuudet


Henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan Rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti. Henkilötietojen käsittelijän on viipymättä ilmoitettava Rekisterinpitäjälle, jos Henkilötietojen käsittelijä epäilee, että Rekisterinpitäjän ohjeistus tai käytäntö rikkoo tietosuojalainsäädäntöä.


Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.


Henkilötietojen käsittelijä vastaa, että sen alaisuudessa toimivat henkilöt, jotka käsittelevät henkilötietoja, on koulutettu ja perehdytetty tietosuojaan tehtäviensä vaatimassa laajuudessa.


Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista. Lisäksi Henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vastaavan tietoturvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta henkilötietojen käsittely on turvallista ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit ja noudattamaan Rekisterinpitäjän ohjeita ja mahdollisia Rekisterinpitäjän ohjeiden päivityksiä.


Henkilötietojen käsittelijän on myös toteutettava Sopimuksen mukaiset toimenpiteet sen varmistamiseksi, että jokainen Henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Rekisterinpitäjän ohjeiden mukaisesti.


Henkilötietojen käsittelijä sitoutuu ilmoittamaan Rekisterinpitäjälle kaikista rekisteröityjen pyynnöistä, jotka koskevat voimassa olevan lainsäädännön mukaisten rekisteröidyn oikeuksien käyttämistä.


Henkilötietojen käsittelijän on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sähköisessä muodossa siten, että ne voidaan koneellisesti siirtää palvelusta toiseen palveluun.


Henkilötietojen käsittelijä saattaa Rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä sopimusliitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Auditointia koskevat tarkemmat ehdot ovat sopimuksessa.



5.Henkilötietojen käsittelyn sijainti ja siirto


Henkilötietojen käsittelijän tulee oma-aloitteisesti ilmoittaa Rekisterinpitäjälle etukäteen Henkilötietojen käsittelypaikat ja niiden muutokset ja siirrot.


Ellei palvelun tuottamispaikasta ole toisin sovittu, Henkilötietojen käsittelijällä on oikeus käsitellä henkilötietoja ainoastaan Euroopan talousalueella tai maissa, joiden osalta on voimassa Euroopan komission tekemä päätös henkilötietojen suojan riittävyydestä (vastaavuuspäätös). Mitä Sopimuksessa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.


Jos henkilötietojen siirto perustuu vastaavuuspäätökseen, Henkilötietojen käsittelijä seuraa vastaavuuspäätöksen voimassaoloa ja yhdysvaltalaisten yritysten osalta lisäksi niiden rekisteröitymistä Data Privacy Framework (DPF) -järjestelyyn sekä ryhtyy viipymättä asian vaatimiin toimenpiteisiin, jos vastaavuuspäätöksen voimassaolo päättyy tai yritys ei enää ole mukana DPF-järjestelyssä.


Jos sopijapuolet sopivat, että Henkilötietojen käsittelijä saa siirtää henkilötietoja yllä mainittujen maiden ulkopuolelle tai muihin kuin DPF-järjestelyssä mukana oleviin yhdysvaltalaisyrityksiin, käsittelijä huolehtii siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukaisesti. Henkilötietojen käsittelijä tai sen alikäsittelijä (data exporter) huolehtii tällöin myös henkilötietojen siirtoa koskevan vaikutustenarvioinnin (Transfer Impact Assessment, TIA) laatimisesta ja ylläpitämisestä. Henkilötietojen käsittelijä toimittaa mainitun dokumentin rekisterinpitäjälle ennen siirron aloittamista ja aina jos siihen tehdään olennaisia muutoksia.



6.Turvakiellon alaisten henkilötietojen käsittely


Tätä liitteen lukua 5. sovelletaan vain, jos Henkilötietojen käsittelijä käsittelee turvakiellon alaisia henkilötietoja.


Henkilötietojen käsittelijä vakuuttaa Rekisterinpitäjälle, että Henkilötietojen käsittelijä ymmärtää väestötietojärjestelmästä ja Digi- ja väestötietovirasto DVV:n varmennepalveluista annetussa laissa (661/2009, muutoksineen) ja muissa laeissa turvakieltoon liittyvät vaatimukset ja velvollisuudet. Henkilötietojen käsittelijä sitoutuu toteuttamaan kyseisissä laeissa säädetyt vaatimukset käsitellessään turvakiellon alaisia henkilötietoja Sopimuksen perusteella.


Turvakiellolla tarkoitetaan kieltoa luovuttaa väestötietojärjestelmästä henkilön kotikuntaa, asuinpaikkaa, osoitetta ja muuta yhteystietoa muille kuin laissa määritellyille viranomaisille. Turvakielto koskee myös tällaisen henkilön omistuksessa tai hallinnassa olevia kiinteistön, rakennuksen tai huoneiston yksilöinti- ja sijaintitietoja. Turvakiellon saaneella henkilöllä voi olla tallennettuna väestötietojärjestelmään erillinen yhteysosoite, kuten postilokeron tai työnantajan osoite, josta henkilö on tarvittaessa tavoitettavissa ja joka voidaan tarvittaessa luovuttaa myös muille kuin laissa tarkoitetuille viranomaisille. Tällainen yhteysosoite on eri asia kuin väestötietojärjestelmään talletettava henkilön varsinainen postiosoite.


Henkilötietojen käsittelijällä on oltava tekniset ja organisatoriset valmiudet tässä kohdassa kuvattujen tietojen lainmukaiseen käsittelyyn. Teknisillä ja organisatorisilla valmiuksilla tarkoitetaan esimerkiksi valmiuksia turvakieltoa koskevien merkintöjen (kuten turvakiellon alkamis- ja päättämispäivämäärien) tallentamiseen, tietojen pseudonymisointiin, yhteysosoitteen asianmukaiseen merkitsemiseen, tietojen käsittelemiseen myös muussa kuin alkuperäisessä suoraan henkilöön tunnistettavassa muodossa, tarvittaessa turvakieltojen tarkastamiseen Digi- ja väestötietovirasto DVV:sta sekä tietojen automatisoidun päivittämisen rajoittamiseen viranomaisen ja muiden tahojen tietojärjestelmistä. Lisäksi Henkilötietojen käsittelijällä on oltava valmius asettaa ja hallinnoida tietojen luovutuksia koskevia rajoituksia.


Rekisterinpitäjä antaa Henkilötietojen käsittelijälle tarvittaessa tarkentavat kirjalliset ohjeet koskien turvakiellon alaisten henkilötietojen käsittelyä.


Jos Henkilötietojen käsittelijä haluaa käyttää turvakiellon alaisten henkilötietojen käsittelyssä alikäsittelijöitä, Henkilötietojen käsittelijän on Rekisterinpitäjältä kohdan 3 mukaista ennakkolupaa pyytäessään nimenomaisesti kyseisessä lupapyynnössä mainittava, että alikäsittelijä käsittelee turvakiellon alaisia henkilötietoja.



7.Henkilötietojen käsittelijän avustamis- ja tiedonantovelvollisuus


Henkilötietojen käsittelijän tulee avustaa Rekisterinpitäjää täyttämään velvollisuuden vastata pyyntöihin, jotka koskevat tietosuojalainsäädännön mukaisten rekisteröidyn oikeuksien käyttämistä. Henkilötietojen käsittelijä ymmärtää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja/tai henkilötietojen siirtämisessä järjestelmästä toiseen.


Henkilötietojen käsittelijän tulee avustaa Rekisterinpitäjää varmistamaan, että tietosuoja-asetuksen 3 luvussa sekä 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan. Henkilötietojen käsittelijän tulee esimerkiksi avustaa Rekisterinpitäjää tietosuoja-asetuksen 33 ja 34 artiklan edellyttämien ilmoitusten tekemisessä tietosuoja-asetuksen mukaisessa määräajassa valvontaviranomaiselle ja rekisteröidylle. Henkilötietojen käsittelijän tulee myös pyynnöstä tehdä tietosuoja-asetuksen 31 artiklan mukaista yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Lisäksi Henkilötietojen käsittelijän tulee avustaa Rekisterinpitäjää tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä sekä mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa.


Rekisterinpitäjä vastaa tarvittavan rekisteriselosteen/tietosuojaselosteen, käsittelytoimia koskevan selosteen, vaikutustenarvioinnin ja tietojärjestelmäselosteen laatimisesta sekä ennakkokuulemisen toteuttamisesta.


Henkilötietojen käsittelijän tulee antaa Rekisterinpitäjälle kaikki tiedot, jotka ovat Rekisterinpitäjälle tarpeen tietojenkäsittelyssä ja tietosuojalainsäädännössä asetettujen velvoitteiden noudattamisen osoittamista varten. Henkilötietojen käsittelijän tulee jatkuvasti ylläpitää mainittuja tietoja ja arvioida organisatoristen ja teknisten toimenpiteiden riittävyyttä.


Henkilötietojen käsittelijä huolehtii siitä, että järjestelmässä tai palvelussa on Rekisterinpitäjälle toiminto, jonka avulla Rekisterinpitäjä voi koneellisesti poimia ko. henkilötiedot edelleen lähetettäväksi rekisteröidylle.


Tämän luvun mukaisista Toimittajan velvoitteiden kustannuksista vastaa Toimittaja.



8.Seloste käsittelytoimista


Henkilötietojen käsittelijä ylläpitää tietosuoja-asetuksen 30 artiklan 2. kohdan mukaista sähköistä selostetta Sopimuksen perusteella Rekisterinpitäjän lukuun suorittamastaan henkilötietojen käsittelystä.


Henkilötietojen käsittelijän selosteen tulee sisältää vähintään seuraavat tiedot:


  1. Rekisterinpitäjän ja sen mahdollisen tietosuojavastaavan nimi ja yhteystiedot;


  1. Henkilötietojen käsittelijän ja sen mahdollisen tietosuojavastaavan nimi ja yhteystiedot;


  1. kuvaus Henkilötietojen käsittelijän Rekisterinpitäjän lukuun käsittelemistä rekisteröityjen ryhmistä ja henkilötietoryhmistä;


  1. tiedot mahdollisista henkilötietojen siirroista EU- tai ETA-alueen ulkopuolelle;


  1. lista henkilötietojen käsittelyssä käytetyistä alikäsittelijöistä; sekä


  1. kuvaus tietosuoja-asetuksen 32 artiklan 1 kohdan mukaisista teknisistä ja organisatorisista toimenpiteistä.


Rekisterinpitäjä ja Henkilötietojen käsittelijä käyvät edellä mainittua selostetta yhdessä läpi vähintään vuosittain. Osapuolet voivat sopia tarkemmin, minkä kokouksen yhteydessä selostetta käsitellään.



9.Kehitys- ja muutosprojektit


Mikäli Palveluun tehdään muutostöitä Henkilötietojen käsittelijä varmistaa, että Palvelu täyttää lainsäädännön edellyttämät vaatimukset ja toimenpiteet sekä ne vaatimukset, jotka on kuvattu Sopimuksessa ja sen liitteissä.


Tuotantoympäristö tulee eriyttää muista ympäristöistä. Muiden ympäristöjen kuin tuotantoympäristöjen aineistoissa ei saa olla henkilötietoja. Muissa kuin tuotantoympäristössä olevat henkilötiedot tulee anonymisoida siten, että henkilöt eivät ole tunnistettavissa.



Hyväksymistestauksen osana ennen järjestelmän tai palvelun tuotantoon ottoa järjestetään järjestelmän tai palvelun tietosuojakatselmointi tai tietosuojan vaikutustenarviointi. Xxxxxxxx tuotantokäytön edellytyksenä on, että Toimittaja on suorittanut tietosuoja-asetuksen edellyttämät toimenpiteet, jotka on kuvattu Sopimuksessa ja sen liitteissä.



10.Tietoturvaloukkaukset


Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Rekisterinpitäjälle ilman aiheetonta viivytystä ja viimeistään Sopimuksessa määritetyssä määräajassa (36 tuntia) saatuaan sen tietoonsa. Lisäksi Henkilötietojen käsittelijä sitoutuu ilmoittamaan samassa määräajassa Rekisterinpitäjälle muista Henkilötietojen käsittelijän tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa, ellei Sopimuksessa tai sen liitteissä ole sovittu lyhyemmästä määräajasta.


Henkilötietojen käsittelijän on annettava Rekisterinpitäjälle vähintään seuraavat tiedot tietoturvaloukkauksesta:


1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;


2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;


3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä


4) kuvattava toimenpiteet, joita kyseinen Henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.



11.Henkilötietojen käsittelyn päättäminen


Henkilötietojen käsittelijä sitoutuu palauttamaan ja poistamaan Rekisterinpitäjän henkilötiedot sekä niiden jäljennökset, kun sääntökirjan mukainen Palvelu, henkilötietojen käsittelyn käyttötarkoitus tai laissa säädetty säilytysaika päättyy taikka henkilötietojen käsittelylle ei ole enää käsittelyperustetta, ellei lainsäädännössä ole toisin määrätty. Henkilötiedot tulee poistaa yksittäin tai massa-ajoina.


Henkilötietojen käsittelijän tulee esittää Rekisterinpitäjälle todisteet siitä, että tietojen poistaminen tai palauttaminen on suoritettu, ja Rekisterinpitäjän kirjallisen asiaa koskevan pyynnön vastaanotettuaan toimitettava Rekisterinpitäjälle kirjallinen hävitysraportti siitä, että henkilötiedot ja kaikki niistä mahdollisesti olevat jäljennökset on pysyvästi tuhottu.


Henkilötietojen poistaminen on myös henkilötietojen käsittelytoimi ja siten Henkilötietojen käsittelijän tulee henkilötietojen hävitysraportissa yksilöidä tuhotut henkilötiedot siten, että Rekisterinpitäjä voi vastata rekisteröidylle käsittelytoimia koskevista velvollisuuksistaan.


Rekisterinpitäjä voi antaa tältä osin tarkempia ohjeita Henkilötietojen käsittelijälle.


Rekisterinpitäjän henkilötietojen poistamisesta tai palauttamisesta tämän luvun mukaisesti ei Henkilötietojen käsittelijällä ole oikeutta erillisveloitukseen.



12.Muita vaatimuksia


Rekisterinpitäjällä on oikeus muuttaa, täydentää ja päivittää Henkilötietojen käsittelijälle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Nämä ohjeet voivat olla henkilötietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia, täydennyksiä tai päivityksiä.  Henkilötietojen käsittelijä tekee tarvittavat muutostyöt Rekisterinpitäjän ohjeiden mukaisesti.


Henkilötietojen käsittelijä ja muut Henkilötietojen käsittelijät sitoutuvat noudattamaan näitä muutettuja, täydennettyjä tai päivitettyjä ohjeita.


Henkilötietojen käsittelijä sitoutuu reagoimaan Rekisterinpitäjän yhteydenotosta viimeistään 72 tunnin kuluessa ja vastaamaan viimeistään yhden (1) viikon kuluessa Rekisterinpitäjän tietosuojaa koskeviin ilmoituksiin, reklamaatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tietoturvaloukkaukset, joihin sovelletaan Sopimuksessa määritettyjä määräaikoja.


Jos Henkilötietojen käsittelijä laiminlyö tai rikkoo tätä sopimusliitettä, sovellettavaa lainsäädäntöä tai EU:n yleistä tietosuoja-asetusta, Henkilötietojen käsittelijän korvausvastuu on määritelty Sopimuksessa. Lisäksi tällainen laiminlyönti tai rikkomus muodostaa Sopimuksessa tarkoitetun olennaisen sopimusrikkomuksen, jonka seurauksena Rekisterinpitäjällä on halutessaan oikeus turvautua Sopimuksessa määriteltyihin oikeussuojakeinoihin.



Document Metadata

Filed: March 5th, 2024