TIETOJENKÄSITTELYSOPIMUS (”TKS”)

TIETOJENKÄSITTELYSOPIMUS (”TKS”)

I) Yleistä

1. Soveltamisala

TKS on sisällytetty viittauksella Sopimukseen (Sopimus määritetty Käyttöehdoissa) ja se muodostaa olennaisen osan Sopimusta, elleivät osapuolet solmi erillistä

tietojenkäsittelysopimusta osana erityisiä sopimuksia. Mikäli TKS:n ja Sopimuksen ehtojen välillä on ristiriitaisuuksia, TKS saa etusijan.

Tätä TKS:ää sovelletaan, kun TD SYNNEX henkilötietojen käsittelijänä käsittelee henkilötietoja Ostajan puolesta ja sen ohjeiden mukaisesti. Tällöin Ostaja toimii joko omasta puolestaan taikka Asiakkaidensa tai näiden loppukäyttäjien (”Asiakkaat”) puolesta rekisterinpitäjänä . Sitä sovelletaan myös siinä tapauksessa, että Ostajan täytyy henkilötietojen käsittelijänä käsitellä henkilötietoja TD SYNNEXn puolesta ja sen ohjeiden mukaisesti [TD SYNNEXn omasta tai kolmannen osapuolen puolesta], jolloin TD SYNNEX toimii rekisterinpitäjän ominaisuudessa.

TKS ei koske TD SYNNEXa tai ostajaa, jotka jakavat henkilötietoja keskenään erillisinä tai yhdistettynä rekisterinpitäjänä.

TD SYNNEX toimii yleensä erillisenä rekisterinpitäjänä, jos:

(a) se kerää henkilötietoja ostajan toimintojen yhteydessä (kuten ostajan työntekijöihin liittyviä henkilötietoja)

(b) TD SYNNEX käsittelee Ostajan asiakkaan antamia loppukäyttäjän henkilötietoja seuraaviin tarkoituksiin:

(i) petosten, rahanpesun torjunnan, pakotteiden ja muiden tarkastusten tekeminen, mukaan lukien kiellettyjen osapuolten luettelon seulonta, sekä petosten, rahanpesun tai pakotteiden rikkomisen tutkiminen ja syytteeseenpano asiakassuhteen luomisen ja ylläpitämisen sekä palvelujen tarjoamisen yhteydessä;

(ii) lakisääteisten ja sääntelyllisten velvoitteiden noudattaminen,

(iii) anonymisointi ja/tai tietojen analysointi, ja

(iv) Sopimuksen täytäntöönpano, mukaan lukien suoratoimitukset (drop shipment) ja, jos se on tarpeen Sopimuksen täyttämiseksi, kyseisten henkilötietojen siirto kolmansille osapuolille, jotka toimivat rekisterinpitäjinä, kuten kuljetusyhtiöt, valmistajat tai kolmannen osapuolen palveluntarjoajat.

2. Termien määritelmät

Kaikilla termeillä, joita ei ole määritelty tässä TSK:ssa tai Sopimuksen muissa osissa, on yleisen tietosuoja-asetuksen (EU 2016/679) (”GDPR”) mukainen merkitys. Tässä asiakirjassa olevia viittauksia GDPR:n artikloihin [GDPR:n Art…] sovelletaan vain siinä määrin kuin käsittely on GDPR:n alaista

– kaikilla muilla asiaankuuluvilla lainkäyttöalueilla sovelletaan niihin soveltuvia tietosuojalakeja.

”Kolmas maa” tarkoittaa maata, joka ei ole Euroopan unionin (”EU”) tai Euroopan talousalueen (”ETA”) jäsenmaa, eikä Euroopan komissio ole vahvistanut sen tarjoavan riittävää suojaa henkilötiedoille GDPR:n artiklan 45, kohdan 3 mukaisesti.

”ETA-alueen henkilötietojen käsittely” tarkoittaa TKS:n yhteydessä sellaisten henkilötietojen käsittelyä, jotka kuuluvat yleisen tietosuoja-asetuksen tai Yhdistyneen kuningaskunnan tai Sveitsin tietosuojalakien soveltamisalaan.

”Mallisopimuslausekkeet” tai ”vakiolausekkeet” (Standard Contractual Clauses, SCC) – tarkoittavat

mallisopimuslausekkeita, jotka koskevat henkilötietojen siirtoa kolmansiin maihin komission 4. kesäkuuta 2021 antaman täytäntöönpanopäätöksen (EU) 2021/914 mukaisesti, taikka tätä päätöstä seuraavan tai täydentävän päätöksen mukaisesti.

”Tietosuojalainsäädäntö” tarkoittaa kaikkia henkilötietojen käsittelyyn ja yksityisyydensuojaan liittyviä lakeja ja asetuksia, jotka voivat olla voimassa asiaankuuluvilla lainkäyttöalueilla; EU:n tai ETA:n jäsenvaltioiden osalta tämä sisältää yleisen tietosuoja-asetuksen.

”Teknis-organisatoriset toimet” tarkoittavat tietosuojalakien tarkoittamia ja niissä kuvattuja teknisiä ja organisatorisia toimenpiteitä.

”Alikäsittelijä” tai ”Xxx(ali)käsittelijä” tarkoittavat kolmansia osapuolia, joilla on tämän TKS:n nojalla lupa saada etäpääsy henkilötietoihin ja käsitellä niitä Sopimuksen mukaisesti.

”Tietojen siirto” tarkoittaa sitä, että osapuoli välittää tai antaa pääsyn henkilötietoihin.

”Viejä” tarkoittaa Tiedonsiirron osapuolta, joka sijaitsee ETA- alueella, Yhdistyneessä kuningaskunnassa tai Sveitsissä.

II) TD SYNNEXa käsittelijän roolissa koskevat erityisehdot

Tätä kohtaa II sovelletaan, kun TD SYNNEX henkilötietojen käsittelijänä käsittelee henkilötietoja Xxxxxxx puolesta ja tämän ohjeiden sitomina, jolloin Xxxxxx toimii omasta puolestaan

tai Asiakkaiden puolesta rekisterinpitäjänä. Sitä sovelletaan jäljempänä olevan III kohdan lisäksi. Xxx XX ja IIII kohtien välillä ilmenee ristiriitoja, tämä II kohta saa etusijan.

1. Sähköinen viestintä. TD SYNNEX voi antaa Ostajalle tietoja ja ilmoituksia tämän TKS:n yhteydessä sähköisesti, mukaan lukien sähköpostiviestit, TD SYNNEXn verkkosivuston sekä TD SYNNEXn ilmoittaman verkkosivuston.

2. Käsittelyn tiedot. Käyttämällä Palveluja Ostaja hyväksyy käsittelyn yksityiskohdat, mukaan lukien käsittelyn luonne, tarkoitus ja aihe, rekisteröityjen ryhmät, henkilötietojen tyypit, henkilötietojen erityisryhmät, teknis-organisatoriset toimet ja muut käsittelijät – soveltuvin osin – siinä muodossa ja sillä tavalla kuin ne on määritelty Sopimuksessa (mukaan lukien tämä TKS) ja siten kuin TD SYNNEX muutoin antaa ne saataville sähköisesti, pitäen

sisällään sähköpostiviestit, TD SYNNEXn verkkosivuston sekä TD SYNNEXn osoittaman verkkosivuston.

3. Mallisopimuslausekkeet. Mikäli mallisopimuslausekkeita (”MSL”) sovelletaan TD SYNNEXn ja Ostajan välillä, ne löytyvät TD SYNNEXn verkkosivustolta tai TD SYNNEXn ilmoittamalta verkkosivustolta.

4. TD SYNNEXn ja Ostajan velvollisuudet.

4.1. TD SYNNEX noudattaa kaikkia siihen soveltuvia tietosuojalakeja käsittelijän roolissaan. TD SYNNEX ei ole vastuussa sellaisten Ostajaan tai sen Asiakkaiden toimialaan soveltuvien lakien tai määräysten noudattamisesta, joita ei sovelleta yleisesti vastaavien

Tuotteiden tarjoajiin. TD SYNNEX ei määritä, sisältävätkö Ostajan tai tämän Asiakkaiden tiedot sellaista tietoa, joka olisi joidenkin tiettyjen lakien tai määräyksien alaisia.

4.2. Ostajan on arvioitava ja määritettävä Ostajan tai Asiakkaittensa Tuotteiden käytön soveltuvuus ja vaatimustenmukaisuus lakien ja määräysten suhteen, mukaan lukien tietosuojalainsäädäntö, erityisesti teknis-organisatoriset toimet, muiden asiaan liittyvien käsittelijöiden, muiden tietojenkäsittelijöiden, tietojenkäsittelykeskuksen sijainnin ja asiaankuuluvan tiedonsiirron osalta, siten kuin sopimuksessa, mukaan

lukien tietosuojasopimus ja käsittelyn yksityiskohdat, on kuvattu.

4.3. Xxx Xxxxxx itse ei ole henkilötietojen rekisterinpitäjä, mutta käsittelee henkilötietoja Asiakkaiden puolesta, Ostaja takaa, että kaikki sopimukset ovat voimassa ja että sillä on kaikki tarvittavat luvat ja valtuutukset asiakkailta:

- toimiakseen TD SYNNEXn suhteen tämän TKS:n mukaisena rekisterinpitäjänä ja käyttääkseen kaikkia oikeuksiaan, joita sillä on rekisterinpitäjän

ominaisuudessa, TD SYNNEXa ja sen muita käsittelijöitä kohtaan TKS:n suhteen.

- käyttääkseen TD SYNNEXa henkilötietojen käsittelijänä Sopimuksessa esitetyllä tavalla, mukaan lukien tämä TKS:n ja käsittelyn tietojen mukaisesti.

- ollakseen yksittäinen yhteyshenkilö TD SYNNEXlle kaikkien TKS:ään liittyvien ohjeiden, ilmoitusten, tietojen ja viestinnän suhteen sekä välittääkseen asiaankuuluvan viestinnän Asiakkaiden ja TD SYNNEXn välillä, jos laki sitä vaatii. TD SYNNEX vapautetaan kaikista velvollisuuksista ilmoittaa Asiakkaalle, kun TD SYNNEX on toimittanut tällaisia tietoja tai ilmoituksen Ostajalle. TD SYNNEX toimii ainoana yhteyspisteenä TD SYNNEXn muiden käsittelijöiden näkökulmasta.

- käyttääkseen soveltuvin osin viejien oikeuksia mallisopimuslausekkeiden mukaisesti (i) TD SYNNEXa ja/tai (ii) sen muita käsittelijöitä kohtaan TD SYNNEXn kautta viejän puolesta.

III) Yleiset käsittelyehdot

Tätä XXX kohtaa sovelletaan II kohdan lisäksi silloin, kun TD SYNNEX henkilötietojen käsittelijänä käsittelee henkilötietoja Ostajan puolesta ja tämän ohjeiden mukaisesti Ostajan toimiessa omasta puolestaan tai Asiakkaidensa puolesta rekisterinpitäjänä. Sitä sovelletaan myös siinä tapauksessa, että Ostaja henkilötietojen käsittelijänä käsittelee henkilötietoja

TD SYNNEXn puolesta ja tämän ohjeiden mukaisesti [TD SYNNEXn omasta tai kolmannen osapuolen puolesta] TD SYNNEXn toimiessa rekisterinpitäjänä.

1. Rekisterinpitäjän velvollisuudet

1.1. Rekisterinpitäjä on yksin vastuussa kaikkien rekisterinpitäjän lakisääteisten velvoitteiden noudattamisesta tietosuojalainsäädännön mukaisen henkilötietojen käsittelyn varmistamiseksi. Rekisterinpitäjän on Sopimuksen irtisanomisen tai voimassaolon päättymisen yhteydessä määrättävä ohjeella toimenpiteistä, jotka koskevat henkilötietoja sisältävien välineiden palauttamista tai tallennettujen henkilötietojen poistamista, ja ilmoitettava ilman aiheetonta viivytystä henkilötietojen käsittelijälle kaikista

virheistä tai säännönvastaisuuksista, jotka se saa tietoonsa henkilötietojen käsittelijän henkilötietojen käsittelyn yhteydessä.

1.2. Rekisterinpitäjä ei käytä Xxxxxxxxx yhdessä henkilötietojen kanssa siinä määrin kuin se rikkoisi tietosuojalainsäädäntöä ja velvoittaa asiakkaidensa toimimaan samalla tavalla.

2. Käsittelijän velvollisuudet

2.1. Henkilötietojen käsittelijän velvoitteiden noudattaminen. Käsittelijä noudattaa kaikkia ETA:n tietosuojalakien mukaisia henkilötietojen käsittelijöitä koskevia velvoitteita. Käsittelijä ei ole vastuussa rekisterinpitäjän tai Asiakkaiden liiketoimintaan tai toimialaan soveltuvien lakien vaatimusten määrittämisestä taikka siitä, että käsittelijän Tuotteiden toimittaminen täyttää kyseisten lakien vaatimukset.

2.2. Ohjeet. Käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän kirjallisten ohjeiden mukaisesti, jotka on määritelty Sopimuksessa (mukaan lukien tämä TKS ja sen todistuskappaleet) sekä soveltuvin osin rekisterinpitäjän sallitun käytön ja Tuotteiden kokoonpanon mukaisesti

tai muuten kirjallisesti. Henkilötietojen käsittelijä ilmoittaa rekisterinpitäjälle välittömästi, jos käsittelijä uskoo rekisterinpitäjän antamien ohjeiden rikkovan soveltuvaa tietosuojalainsäädäntöä ja/tai Sopimuksen mukaisia velvollisuuksia, mukaan lukien tämä TKS. Käsittelijällä on oikeus keskeyttää tällaisten ohjeiden noudattaminen, kunnes rekisterinpitäjä tarkastaa ne, vahvistaa ne tai muuttaa niitä. Käsittelijällä on oikeus käsitellä henkilötietoja ilman rekisterinpitäjän ohjeita, jos EU:n tai jonkin sen jäsenvaltion lainsäädäntö niin vaatii. Tällöin käsittelijän on ilmoitettava rekisterinpitäjälle tästä lakisääteisestä vaatimuksesta ennen käsittelyn suorittamista, ellei kyseinen laki kiellä tätä yleisen edun vuoksi.

2.3. Paljastaminen/pääsy. Henkilötietojen käsittelijä ei saa luovuttaa henkilötietoja millekään kolmannelle

osapuolelle, ellei rekisterinpitäjä ole antanut siihen lupaa tai ellei EU:n tai jonkin sen jäsenvaltion laki sitä vaadi. Jos tällainen laki vaatii antamaan pääsyn henkilötietoihin joko kolmannelle osapuolelle, hallitukselle, tuomioistuimelle taikka valvontaviranomaiselle, käsittelijä ilmoittaa asiasta rekisterinpitäjälle ennen tietojen luovuttamista, ellei sitä ole laissa kielletty tärkeän yleisen edun vuoksi. Ellei EU:n tai sen jäsenvaltioiden lainsäädäntö sitä edellytä, käsittelijä ei saa paljastaa tai julkaista mitään henkilötietoja vastauksena pyyntöön, joka on osoitettu käsittelijälle, kysymättä ensin neuvoa rekisterinpitäjältä. Jos rekisterinpitäjän henkilötietoja haetaan ja takavarikoidaan konkurssi- tai maksukyvyttömyysmenettelyn aikana

tai jos kolmannet osapuolet harjoittavat vastaavia toimia henkilötietojen käsittelyn aikana, henkilötietojen käsittelijän on ilmoitettava asiasta rekisterinpitäjälle viipymättä.

2.4. Luottamuksellisuusvelvollisuus. Käsittelijä edellyttää, että sen henkilöstö ja henkilöt, joille valtuutus henkilötietojen käsittelyn suorittamiseen on uskottu, sitoutuvat luottamuksellisuuteen – ellei asianmukaista lakisääteistä luottamuksellisuusvelvoitetta sovelleta –

ja että henkilötietoja ei käsitellä mihinkään muuhun tarkoitukseen, paitsi rekisterinpitäjän ohjeistaessa niin tai EU:n tai sen jäsenvaltioiden lain muutoin sitä vaatiessa.

2.5. Rekisteröidyn oikeudet. Käsittelijän on kohtuudella avustettava rekisterinpitäjää rekisterinpitäjän pyynnöstä ja lain edellyttämällä tavalla tarjoamalla rekisteröidylle pääsyn henkilötietoihinsa ja vastaamalla kaikkiin rekisteröidyn pyyntöihin, valituksiin tai muihin yhteydenottoihin, mukaan lukien rekisteröityjen tietosuojalainsäädännön mukaisiin oikeuksiin liittyvät pyynnöt. Jos henkilötietojen käsittelijä vastaanottaa tällaisen pyynnön, valituksen tai tiedonannon taikka tällainen pyyntö on muulla tavoin tehty käsittelijälle, käsittelijän on ilmoitettava siitä rekisterinpitäjälle ilman aiheetonta viivytystä, jos käsittelijä pystyy yhdistämään rekisteröidyn ja rekisterinpitäjän.

2.6. Tietoturvaloukkaus. Käsittelijä ilmoittaa rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan tietää henkilötietojen tietoturvaloukkauksesta (”Tietoturvaloukkaus”), joka vaikuttaa rekisterinpitäjän henkilötietoihin. Käsittelijä ryhtyy kohtuullisiin toimenpiteisiin korjatakseen tai lieventääkseen henkilötietojen tietoturvaloukkauksen vaikutuksia ja auttaa rekisterinpitäjää varmistamaan, että soveltuvan tietosuojalainsäädännön mukaiset velvollisuudet ilmoittaa tietoturvaloukkauksesta valvontaviranomaisille ja rekisteröidyille täyttyvät, ottaen huomioon henkilötietojen käsittelyn luonteen ja henkilötietojen käsittelijän käytettävissä olevat tiedot. Henkilötietojen käsittelijöiden on tehtävä yhteistyötä rekisterinpitäjän kanssa toimittamalla säännöllisiä päivityksiä ja muita kohtuudella pyydettyjä tietoja. Rekisterinpitäjä tekee kaikki tietoturvaloukkausta koskevat lehdistötiedotteet,

ilmoitukset, julkistukset ja sääntelyilmoitukset yksinomaan

oman harkintansa mukaan, ellei soveltuva laki toisin vaadi.

2.7. Rekisterinpitäjän velvollisuuksien täyttämisessä avustaminen. Käsittelijä avustaa rekisterinpitäjää kohtuullisissa määrin rekisterinpitäjän pyynnöstä rekisterinpitäjän harjoittaman käsittelyn

turvallisuuteen liittyvien velvollisuuksien täyttämisessä, tietosuojaa koskevissa vaikutustenarvioinneissa ja ennakkokonsultaatioissa ottaen huomioon TD SYNNEXn käytettävissä olevat tiedot ja käsittelyn luonteen.

Käsittelijä avustaa toimivaltaisen valvontaviranomaisen tarkastuksissa siinä määrin kuin kyseinen tarkastus liittyy henkilötietojen käsittelijän suorittamaan henkilötietojen käsittelyyn tämän Sopimuksen mukaisesti ja rekisterinpitäjän kohtuullisen pyynnön mukaisesti.

Käsittelijän avustamisesta saatetaan periä kohtuullinen maksu, ellei käsittelijän antama apua ole jo käsitelty Sopimuksessa asianmukaisesti.

2.8. Sopimuksen päättyminen. Käsittelijän on rekisterinpitäjän valinnan mukaan poistettava tai palautettava kaikki henkilötiedot rekisterinpitäjälle Sopimuksen irtisanomisen tai voimassaolon päättymisen yhteydessä ja poistettava olemassa olevat kopiot, ellei EU:n tai sen jäsenvaltion laki edellytä, että käsittelijä säilyttää henkilötiedot.

3. Tekniset ja organisatoriset turvatoimet

3.1. Käsittelijän ja rekisterinpitäjän on otettava käyttöön ja ylläpidettävä teknisiä ja organisatorisia turvatoimia

(”TOT”) soveltuvan tietosuojalainsäädännön vaatimusten mukaisesti. Tähän sisältyy teknisten ja organisatoristen turvatoimien toteuttaminen ja ylläpito, jotta voidaan varmistaa henkilötietoihin kohdistuviin riskeihin tai vahinkoihin nähden asianmukainen turvallisuustaso, joka vastaa luvattomasta tai laittomasta käsittelystä tai vahingossa tapahtuvasta katoamisesta, tuhoutumisesta tai vahingoittumisesta mahdollisesti aiheutuvia haittoja ja suojattavien tietojen luonnetta, ottaen huomioon tekniikan kehitystaso ja mahdollisten toimenpiteiden toteuttamisesta aiheutuvat kustannukset (kyseisiin toimenpiteisiin voi kuulua tarvittaessa henkilötietojen

pseudonymisoiminen ja xxxxxxxxxx sekä järjestelmiensä ja palveluittensa salassapidettävyyden, eheyden, saatavuuden ja häiriönsietokyvyn varmistaminen).

3.2. Teknisiä ja organisatorisia turvatoimia kehitetään jatkuvasti. Käsittelijä pidättää oikeuden muuttaa toteutettavia toimenpiteitä ja suojatoimia edellyttäen kuitenkin, että Xxxxxxxxxx toiminnallisuus ja turvallisuus eivät huonone. Kaikista merkittävistä tietojenkäsittelyn organisointia ja soveltuvia menettelyjä koskevista turvallisuuteen liittyvistä päätöksistä on ilmoitettava rekisterinpitäjälle.

3.3. Käyttämällä Tuotetta rekisterinpitäjä ymmärtää Sopimuksen mukaiset ja käsittelijän toimittamat tekniset ja organisatoriset turvatoimet ja vahvistaa, että teknisten ja organisatoristen turvatoimien on varmistettava riittävä suojantaso henkilötietojen käsittelyyn liittyviin riskeihin nähden.

4. Dokumentointi- ja tarkastusvelvollisuudet

4.1. Rekisterinpitäjän pyynnöstä henkilötietojen käsittelijä antaa rekisterinpitäjän tai rekisterinpitäjän puolesta toimivan valtuutetun kolmannen osapuolen saataville tietoja, jotka ovat tarpeen sovellettavien tietosuojalakien mukaisten rekisterinpitäjän tai Asiakkaiden tarkastusvelvoitteiden taikka valvontaviranomaisen pyynnön noudattamiseksi. Lisäksi henkilötietojen käsittelijä sallii tarkastukset ja avustaa niissä, mukaan lukien jäljempänä kuvatun kaltaiset tarkastukset.

4.2. Rekisterinpitäjä voi pyytää henkilötietojen käsittelijää antamaan asiaankuuluvia tietoja teknisistä ja organisatorisista turvatoimista, mukaan lukien – mikäli ne ovat saatavilla – tarkastajan todistukset, raportit tai otteet itsenäisten elinten antamista raporteista (esim. tarkastaja, tietosuojavastaava, tietoturvaosasto, tietosuojatarkastaja, laaduntarkastaja).

4.3. Siinä määrin kuin muutoin ei ole mahdollista täyttää soveltuvan tietosuojalain määräämää tarkastusvelvoitetta, rekisterinpitäjä tai sen valtuuttama tarkastaja voi suorittaa henkilökohtaisia paikan päällä tehtäviä tarkastuksia rekisterinpitäjän kustannuksella yksittäistapauksissa. Tällaista tarkastusta ei yleensä kuitenkaan saa suorittaa useammin kuin kerran vuodessa ja se ei saa aiheuttaa kohtuutonta häiriötä henkilötietojen käsittelijän toiminnalle ja siitä on ilmoitettava kohtuullisesti etukäteen. Henkilötietojen käsittelijä voi määrätä, että tällaisten tarkastusten edellytyksenä on muiden asiakkaiden

tietoja suojaava luottamuksellisuus sekä teknisten ja organisatoristen turvatoimien ja toteutettujen suojatoimien luottamuksellisuus.

4.4. Rekisterinpitäjän on ilmoitettava henkilötietojen käsittelijälle viipymättä tarkastuksen aikana havaituista virheistä tai epäsäännöllisyyksistä.

5. Alikäsittelijä

5.1. Rekisterinpitäjä valtuuttaa täten henkilötietojen käsittelijän siirtämään henkilötietoja tai antamaan pääsyn henkilötietoihin muille henkilötietojen käsittelijöille, jotka toimivat sen palveluksessa (ja sallii muiden käsittelijöiden tehdä myös niin tämän kohdan 5 mukaisesti) tämän kohdan 5 mukaisten rekisterinpitäjän velvollisuuksien piiriin kuuluvien Tuotteiden toimittamiseksi. Edellä

oleva valtuutus tarkoittaa rekisterinpitäjän etukäteen antamaa kirjallista suostumusta siihen, että henkilötietojen käsittelijä voi käyttää muita henkilötietojen käsittelijöitä, jos vakiosopimuslausekkeet tai tietosuojalaki edellyttävät tällaista suostumusta. Käsittelijä on vastuussa siitä, että muut käsittelijät noudattavat tämän TKS:n velvoitteita.

Käsittelijä tarjoaa rekisterinpitäjälle ajan tasalla olevan luettelon muista henkilötietojen käsittelijöistä, esimerkiksi käsittelijän verkkosivustolla.

5.2 Rekisterinpitäjällä on oikeus vastustaa uuden käsittelijän ottamista 10 päivän kuluessa ilmoituksen tekemisestä. Muussa tapauksessa rekisterinpitäjän katsotaan hyväksyneen tällaisen uuden käsittelijän toimeen asettamisen tai muutoksen. Jos vastustamiselle on olennaisesti tärkeä peruste ja osapuolet eivät pysty

sopimaan ratkaisua sovinnollisesti, rekisterinpitäjällä on oikeus irtisanoa Sopimus kyseisen Tuotteen osalta.

5.3 Henkilötietojen käsittelijä tekee kaikkien käyttämiensä henkilötietojen käsittelijöiden kanssa kirjalliset sopimukset, joiden ehdot eivät saa olla vähemmän suojaavia kuin tässä TKS:ssä määrätyt ehdot. Tällainen sopimus antaa erityisesti riittävät takeet asianmukaisten teknisten ja organisatoristen turvatoimien toimeenpanosta.

6. Kansainvälinen tiedonsiirto

6.1. Rekisterinpitäjä valtuuttaa henkilötietojen käsittelijän täten tarvittaessa siirtämään henkilötietoja tai antamaan pääsyn henkilötietoihin Sopimuksessa, käsittelyn yksityiskohdissa ja/tai mallisopimuslausekkeissa määriteltyjen palvelujen yhteydessä.

6.2. Kaikki henkilötietojen käsittely sen maan tai alueen ulkopuolella, jossa rekisterinpitäjä sijaitsee, on riittävän tiedonsiirtomekanismin alaista, mikäli tietosuojalainsäädäntö sitä edellyttää.

6.3. ETA-alueen henkilötietojen käsittelyyn liittyvissä kansainvälisissä tiedonsiirroissa TD SYNNEXn ja Ostajan välillä on toteutettava mallisopimuslausekkeet, jos henkilötietoja siirtävä tai henkilötietoihin pääsyn antava osapuoli sijaitsee ETA-alueella, Iso-Britanniassa tai Sveitsissä, ja toinen osapuoli, joka saa tai jolla

on pääsy tällaisiin tietoihin, sijaitsee kolmannessa maassa. Tämän TSK:n ehtoja ei ole tarkoitettu muuttamaan tai muokkaamaan mallisopimuslausekkeita, vaan selventämään mallisopimuslausekkeiden noudattamisprosesseja ja -menettelyjä. Mikäli

tämän TKS:n ja mallisopimuslausekkeiden ehtojen välillä on ristiriita, sovelletaan ensisijaisesti mallisopimuslausekkeita.

6.4. Muiden henkilötietojen käsittelijöiden kanssa tehtäviin tiedonsiirtoihin liittyvien henkilötietojen käsittelijä solmii soveltuvat mallisopimuslausekkeet (kahden käsittelijän kesken) muiden henkilötietojen käsittelijöiden kanssa ja velvoittaa muita henkilötietojen käsittelijöiden toimimaan vastaavasti, jos henkilötietoja siirretään edelleen eteenpäin.

7. Luottamuksellisuus

Osapuolet eivät saa luovuttaa tämän tietosuojasopimuksen yhteydessä jaettuja luottamuksellisia tietoja muutoin kuin

(i) tämän TSK:n tai osapuolten ohjeiden mukaisesti, (ii) lain edellyttämällä tavalla, (iii) vastauksena toimivaltaiselle viranomaiselle tai sääntely- tai valtion virastolle ja (iv) luovuttaessaan tietoja työntekijöilleen, edustajilleen

ja alihankkijoilleen, joita sitoo salassapitovelvollisuus tarpeellisuusperusteella.