Henkilötietojen käsittelyn ehdot
Henkilötietojen käsittelyn ehdot
1 Yleistä
1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa ’Älykäs Turvallisuus - [Fasilitointi ja viitekehys|Fasilitointi ja yhteiskehittäminen]’ sopimusta, jäljempänä ”Sopimus”, jonka Xxxxxxx on tehnyt Palveluntuottajan kanssa.
1.2. Tässä sopimusliitteessä määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henkilö- tietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palveluntuottaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta. Näissä ehdoissa kuvatuista Palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.
2 Osapuolten roolit henkilötietojen käsittelyssä
2.1. Käsiteltäessä henkilötietoja Xxxxxxx on rekisterinpitäjä ja Palveluntuottaja on henkilötieto- jen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vastaa rekisterinpitäjänä.
2.3. Jos kohdan 2.2 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Palveluntuottajan kanssa.
2.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekiste- röityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan näiden ehtojen liitteessä 1 olevassa Käsittelytoimien kuvauksessa tai muussa Tilaajan ohjeistuksessa. Palveluntuottaja sitoutuu noudattamaan Sopimuksessa, käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.
3 Palveluntuottajan yleiset velvollisuudet
3.1. Palveluntuottaja käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjeiden mu- kaisesti. Ryhmittymän ollessa Käsittelijänä tämän sopimusliitteen velvoitteet koskevat kaikkia ryh- mittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
3.2. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Tilaajan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.
3.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.
3.4. Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Tilaajan henkilötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tie- tosuojavastaavan tai yhteyshenkilön yhteystiedot Tilaajalle.
3.6. Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka
koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Palveluntuottaja avustaa Tilaajaa, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Palveluntuottajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei toisin ole sovittu, Palveluntuottajalla on oikeus laskuttaa Tilaajaa sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja
3.5. Palveluntuottaja saattaa Xxxxxxxx saataville tämän pyynnöstä kaikki tiedot, jotka Tilaaja tarvitsee rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Xxxxxxxx vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tie- tosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Palveluntuottaja tekee nämä tehtävät sopimuksen mukaisilla hinnoilla, ellei toisin sovita.
Palveluntuottajalle. Palveluntuottaja on velvollinen ennakolta ilmoittamaan Tilaajalle mahdollisesti aiheutuvista lisäkuluista.
3.7. Palveluntuottaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkastusmenettelyä koskevat tarkemmat ehdot ovat sopimuksessa.
4 Tilaajan ohjeet
4.1. Palveluntuottaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä sopimuksessa ja näissä eri- tyisehdoissa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan anta- mat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvastaisiksi.
4.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan sopimuksen mukaisessa muutoshallintamenettelyssä.
5 Palveluhenkilöstö
5.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Tilaajan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassa- pitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.
5.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja kä- sittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Tilaajan ohjeiden mukaisesti.
6 Alihankkijat, jotka käsittelevät henkilötietoja
6.1. Siltä osin kuin Palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.
6.2. Xxx Xxxxxxxxxxxxxxxxx alihankkija käsittelee Tilaajan henkilötietoja, alihankkijan käyttämi- nen edellyttää Tilaajan ennakkoon kirjallisesti antamaa lupaa.
6.3. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttä- mänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Palveluntuottajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että sopimuksen mukainen Tilaajan tarkastusoikeus voidaan ulottaa alihankkijaan.
6.4. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palveluntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Xxx Xxxxxxx perustellusti katsoo, että Palveluntuottajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Palveluntuottajaa vaihtamaan alihankkijaa.
6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava Tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja tietosuojalainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa.
7 Palvelun paikka
7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, Palveluntuottajalla on oikeus käsitellä Tilaajan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityiseh- doissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
7.2. Jos sopijapuolet sopivat, että Palveluntuottajaa saa siirtää Tilaajan henkilötietoja Euroopan talousalueen ulkopuolelle, sopijapuolet huolehtivat siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukaisesti.
8 Tietoturvaloukkaukset
8.1. Palveluntuottajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Palveluntuottaja sitoutuu ilmoitta- maan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
8.2. Palveluntuottajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauk- sesta:
ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa
lisätietoja;
iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
iv. kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy viipymättä sopimuksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.
9 Henkilötietojen käsittelyn päättyminen
9.1. Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Xxxxxxxx lukuun käsittelemiään henkilötietoja ilman Tilaajan nimenomaista pyyntöä.
9.2. Sopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot.
KÄSITTELYTOIMIEN KUVAUS
1. Osapuolet Tilaaja:
Tampereen kaupungin elinkeino- ja kehitysyhtiö Tredea Oy (Y-tunnus 2252888-5) Kelloportinkatu 1 B
33100 TAMPERE
Palveluntuottaja:
Yritys Oy (Y-tunnus xxxxxxx-x) Osoite
Postinumero ja -paikka
2. Dokumentin tarkoitus
Xxxxxxx on tehnyt Palveluntuottajan kanssa Sopimuksen, joka koskee sellaista palvelua, jossa Palve- luntuottaja toimii Xxxxxxxx ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä. Tässä dokumentissa kuvataan käsittelytoimet, joita palveluntuottaja henkilötietojen käsittelijänä tekee Xxxxxxxx puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämä dokumentti liitetään Sopimuksen Älykäs Turvallisuus - [Fasilitointi ja viitekehys|Fasilitointi ja yhteiskehittäminen] liitteeksi nro 3.
3.
Henkilötietojen tyypit ja rekisteröityjen ryhmät
Osapuolet ovat sopineet, että Palveluntuottaja käsittelee Xxxxxxxx puolesta Sopimuksessa sovitun
palvelun tuottamiseksi seuraavia Asiakkaan henkilörekisteriin kuuluvia henkilötietoja.
- Sopimuksen toimenpiteissä kuvatut tapahtumat ja muut tilaisuudet. Tilaisuuksiin osallistujien tiedot käsittävät seuraavia henkilötietoja:
o Nimi
o Yritys/organisaatio
Henkilötietojen käsittelyssä on noudatettava Palveluntuottajan ja Tilaajan välistä Sopimusta sekä Tilaajan ohjeita.
o Vastuualue
o Puhelin
o Sähköposti
o Ruoka-aineallergiat
- Sopimuksen toimenpiteissä kuvatun ekosysteemin toimijoiden tunnistaminen ja aktivoiminen mukaan sopimuksen kuvaamiin toimenpiteisiin. Tiedot käsittävät seuraavia henkilötietoja:
o Nimi
o Yritys/organisaatio
o Vastuualue
o Puhelin
o Sähköposti
4. Käsittelyn luonne ja tarkoitus
Osapuolet ovat sopineet, että Palveluntuottaja voi hyödyntää tietoja sopimuksessa sovittujen asiantuntijatehtävien suorittamiseen:
- Kutsuttaessa toimijoita (yritykset/organisaatiot) Sopimuksen toteuttamiseen liittyviin tilaisuuksiin.
- Tunnistettaessa ja aktivoitaessa Sopimuksen toimenpiteissä kuvatun ekosysteemin toimijoita.
5. Henkilötietojen käsittelyn kesto
Palveluntuottaja käsittelee tässä liitteessä yksilöityjä henkilötietoja sopimuksen voimassaoloajan. Niiltä osin kun henkilötietojen myöhempää käyttöä varten on saatu ko. henkilöltä erikseen lupa, voidaan tiedot viedä tilaajan omiin rekistereihin ja käsitellä niitä näiden rekistereiden tietosuojaselosteen mukaisesti