TIETOSUOJASOPIMUS TEKNINEN TUKI JA YLLÄPITO
TIETOSUOJASOPIMUS TEKNINEN TUKI JA YLLÄPITO
Tässä tietosuojasopimuksessa ja sen liitteissä (jäljempänä ”DPA”) vahvistetaan vähimmäistietosuoja ja kyberturvallisuusstandardit ja niihin liittyvät vaatimukset, ja se muodostaa osan sopimuksesta, myös kaupallisesta sopimuksesta, palvelusopimuksesta tai tilauksesta (jäljempänä ”sopimus”) (Cepheid C360 - käyttäjäsopimusta lukuun ottamatta). DPA:n tekevät keskenään (sopimuksessa määritelty) asiakas ja (sopimuksessa määritelty) Cepheid, ja se pysyy täysimääräisesti voimassa ja tehollisena sopimuksen kestoajan. Cepheidistä ja asiakkaasta käytetään jäljempänä yksitellen nimitystä ”osapuoli” ja yhteisesti nimitystä ”osapuolet”.
Osapuolet sopivat, että mikäli sopimuksen nojalla tapahtuu henkilötietojen käsittelyä, tämän DPA:n ehdot koskevat kyseistä sopimusta, riippumatta siitä, mainitaanko siitä kyseisessä sopimuksessa.
TÄMÄN VUOKSI osapuolet, jotka ottavat huomioon edellä mainitut toimipaikat ja tähän sisällytetyt keskinäiset sopimusvakuudet, sopivat seuraavaa:
1. Käsitemäärittelyt.
(A) ”Voimassa olevalla lailla” tarkoitetaan mitä tahansa lakia (mukaan lukien kaikki kansainväliset tietosuojan ja yksityisyyden suojan lait ja asetukset, joita sovelletaan kyseisiin henkilötietoihin, mukaan lukien tapauskohtaisesti EU:n tietosuojalaki tai POPIA), asetusta tai määräystä, jota sovelletaan sopimukseen, palveluihin, osapuoliin sekä kulloinkin sovellettavia toimialan standardeja, jotka koskevat yksityisyyttä, tietosuojaa, salassapitoa, tietoturvaa, käytettävyyttä ja eheyttä tai henkilötietojen käsittelyä tai käsittelyä (mukaan lukien säilytys ja luovuttaminen), sellaisina kuin säädökset ovat kulloinkin muutettuina, säänneltyinä, uudelleen laadittuina tai korvattuina.
(B) ”Rekisterinpitäjällä”, ”käsittelijällä”, ”rekisteröidyllä”, ”henkilötiedoilla”, ”käsittelyllä”, ”käsittelyllä”, ”käsittelemisellä”, ”henkilötietojen eritysryhmillä” ja ”arkaluonteisilla henkilötiedoilla” tarkoitetaan samaa kuin nimenomaisesti määritetyssä kulloinkin voimassa olevassa laissa.
(C) ”Tietoturvaloukkauksella” tarkoitetaan i) henkilötietojen häviämistä tai väärinkäyttöä (millä tahansa tavalla); ii) henkilötietojen vahingossa, luvatta ja/tai lainvastaisesti tapahtuvaa luovutusta, saantia, muutosta, vahingoittamista, siirtoa, myyntiä, vuokrausta, tuhoamista tai käyttöä; iii) mitä tahansa muuta tekoa tai laiminlyöntiä, joka vaarantaa tai saattaa vaarantaa henkilötietojen turvallisuuden, salassapidon tai eheyden, tai iv) mitä tahansa tietoturvan suojatoimenpiteen rikkomista.
(D) ”EU:n / Yhdistyneen kuningaskunnan / Sveitsin tietosuojalailla” tarkoitetaan i) luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (”EU:n yleistä tietosuoja- asetusta”); ii) EU:n yleistä tietosuoja-asetusta sellaisena kuin se on talletettuna Yhdistyneen kuningaskunnan lainsäädäntöön European Union (Withdrawal) Act 2018 -lain 3 §:ssä (”Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus”); iii) Sveitsin liittovaltion 19 päivänä kesäkuuta 1992 annettua lakia tietosuojasta (sellaisena kuin se on tarkistettuna, jäljempänä ”FADP”); iv) henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annettua direktiiviä 2002/58/EY ja iv) kaikkia i, ii tai iii kohdan nojalla tai johdosta annettuja
v. 23.9.2022
mahdollisesti voimassa olevia kansallisia tietosuojalakeja; sellaisina kuin ne kulloinkin ovat muutettuina tai korvattuina.
(E) ”Henkilötiedoilla” tarkoitetaan a) asiakkaan salassa pidettäviä tietoja missä tahansa muodossa, tiedostomuodossa tai tietovälineellä; ja/tai tietoja, jotka sisältävät yksilön tunnistamisen mahdollistavia tietoja. Selvyyden vuoksi tarkennettakoon, että henkilötietoja voidaan kutsua myös henkilödataksi.
(F) ”POPIAlla” tarkoitetaan Etelä-Afrikan henkilötietojen suojalakia, joka koskee henkilötietojen käsittelyn suojelua ja sääntelyä Etelä-Afrikan tasavallassa, joka on vahvistettu 13.11.2013 ja joka on ollut voimassa 1.7.2020 alkaen.
(G) ”Rajoitetulla siirrolla” tarkoitetaan i) EU:n yleisen tietosuoja-asetuksen voimassaoloalueella henkilötietojen siirtoa Euroopan talousalueen ulkopuoliseen maahan, josta Euroopan komission ei ole tehnyt päätöstä tietosuojan riittävyydestä; ii) Yhdistyneen kuningaskunnan yleisen tietosuoja- asetuksen voimassaoloalueella mihin tahansa muuhun maahan kohdistuvaa henkilötietojen siirtoa, joka ei perustu Yhdistyneen kuningaskunnan vuoden 2018 tietosuojalain 17A §:n mukaisiin riittävyyssäännöksiin; iii) FADP:n voimassaoloalueella rajat ylittävää luovutusta ilman lainsäädäntöä, joka takaa FADP:n 6 §.n mukaisen riittävän suojelun; ja iv) POPIAn voimassaoloalueella rajat ylittävää tietojen siirtoa, luovutusta tai vaihtoa Etelä-Afrikan tasavallan ulkopuolella.
(H) ”Vakiosopimuslausekkeilla” tarkoitetaan i) EU:n yleisen tietosuoja-asetuksen voimassaoloalueella vakiosopimuslausekkeista, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 mukaisesti 4 päivänä kesäkuuta 2021 annetun komission täytäntöönpanopäätöksen (EU) 2021/914 liitteeksi otettuja vakiosopimuslausekkeita (”EU:n vakiosopimuslausekkeet”); ii) Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen voimassaoloalueella tietosuojavaltuutetun vuoden 2018 tietosuojalain 119A(1) §:n nojalla julkaisemaa asiakirjaa ”International Data Transfer Addendum to the EU Commission Standard Contractual Clauses”; iii) FADP:n voimassaoloalueella Sveitsin liittovaltion tietosuojavaltuutetun (”FDPIC”) 27 päivänä elokuuta 2021 annetussa FDPIC:n lausunnossa FADP:n 6 §:n 2 momentin a alakohdan nojalla tunnustamia mallisopimuksia ja vakiosopimuslausekkeita (alkuperäinen saatavana osoitteessa
xxxxx://xxx.xxxxx.xxxxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/Xxxxx%00XXX%00xxx.xx%0000 082021.pdf.download.pdf/Paper%20SCC%20def.en%2024082021.pdf) (”Sveitsin lisäys”); ja (iv) POPIAn voimassaoloalueella henkilötietojen suojelua, käsittelyä ja siirtoa koskevia, kahden tai useamman osapuolen voimaan saattamia sopimuspohjaisia lausekkeita.
(I) ”Palveluilla” tarkoitetaan Cepheidin sopimuksen nojalla palveluja.
(J) ”Tietojenkäsittelyn alihankkijalla” tarkoitetaan mitä tahansa yhtiötä tai henkilöä, jolla tietojenkäsittelyjä luovuttaa omat vastuunsa alihankintaan.
(K) Tapauskohtaisesti kaikilla muilla käsitteillä on niille sopimuksessa määritelty merkitys.
2. Osapuolten välinen suhde:
2.1 Asiakas (”rekisterinpitäjä”) nimittää Cepheidin tietojenkäsittelijäksi käsittelemään tämän DPA:n liitteessä 1 kuvattuja henkilötietoja tässä kuvattuihin (tai osapuolten muutoin kirjallisesti kuvaamiin)
v. 23.9.2022
tarkoituksiin (”sallittu tarkoitus”). Kukin osapuoli noudattaa kulloinkin voimassa olevan tietosuojalain nojalla sitä koskevia velvoitteita.
Asiakas tunnustaa ja hyväksyy sen, että Cepheid voi käyttää palvelujen toimittamisen yhteydessä omia tytäryhtiöitään ja/tai kolmansien tahojen tietojenkäsittelijöitä alihankkijoina. Cepheid on asiakkaaseen nähden täysimääräisesti vastuussa tällaisesta kolmannesta tahosta ja tekee tämän kanssa kirjallisen ja täytäntöönpanokelpoiset sopimuksen, johon sisältyvät ehdot ovat vähintään yhtä rajoittavia kuin asiakkaaseen tämän DPA:n nojalla sovellettavat velvoitteet.
Asiakas sitoutuu ilmoittamaan kaikille mahdollisille rekisteröidyille Cepheidin käsittelytoiminnasta ja luovuttamaan heille vastaavasti Cepheidin tietosuojaselosteen.
3. Yleiset vaatimukset.
3.1 Mikä Xxxxxxx käsittelee henkilötietoja asiakkaan puolesta, Xxxxxxx
i) noudattaa tietoja käsitellessään kaikkia voimassa olevia lakeja, mukaan lukien nimenomaisesti määritellyn voimassa olevan lain;
ii) lukuun ottamatta voimassa olevassa laissa säädettyjä poikkeuksia, käsittelee henkilötietojen vain asiakkaan puolesta ja yksinomaan siinä määrin kuin palvelujen tarjoaminen asiakkaalle edellyttää ja kaikkien voimassa olevien lakien mukaisesti, mukaan lukien nimenomaisesti määritellyn voimassa olevan lain, ja asiakkaan dokumentoimien ohjeiden mukaisesi;
iii) ottaa käyttöön ja ylläpitää asianmukaiset ja kohtuulliset tekniset ja organisatoriset tietoturvatoimenpiteet, joilla varmistetaan riskiin nähden oikeasuhtainen tietoturvan taso, mukaan lukien tarpeen mukaan, EU:n ja Yhdistyneen kuningaskunnan yleisen tietosuoja- asetuksen 32 artiklan 1 kohdassa mainitut toimenpiteet (mukaan lukien maksukorttitoimialaan vakiomuotoiset tietoturvavaatimukset, jos Cepheid käsittelee kortinhaltijan tai muita taloudellisia tilitietoja), joilla suojataan henkilötiedot i) vahingossa tai lainvastaisesti tapahtuvalta tuhoutumiselta ja ii) häviämiseltä, muutoksilta, luvattomalta luovutukselta tai saannilta; näihin toimenpiteisiin on sisällytettävä ainakin liitteessä 2 mainitut toimenpiteet;
iv) sallii pääsyn henkilötietoihin vain sellaiselle Cepheidin henkilöstölle, jolla on tarve välttämättä saada merkityksellisiä henkilötietoja sopimukseen liittyvissä asioissa ja jolla on salassapitovelvollisuus;
v) tarjoaa kaikkea kohtuullista ja oikea-aikaista apua (myös asianmukaiset ja kohtuulliset tekniset ja organisatoriset toimenpiteet täytäntöön panemalla), jolla asiakasta autetaan koskien vastaamista i) rekisteröidyn pyyntöön saada käyttää jotain tälle nimenomaisesti määritetyn kulloinkin voimassa olevan lain nojalla kuuluvia oikeuksia (mukaan lukien tapauskohtaisesti oikeudet saada tai oikaista tiedot, vastustaa tietojen käyttöä, saada tiedot poistettua tai siirretyiksi); ja ii) muuhun kirjeenvaihtoon, tiedusteluun tai valitukseen, joka on vastaanotettu rekisteröidyltä, valvontaviranomaiselta tai muilta kolmansilta tahoilta liittyen henkilötietojen käsittelyyn. Jos tällainen pyyntö, kirjeenvaihto, tiedustelu tai valitus esitetään suoraan Cepheidille, Cepheid ilmoittaa asiakkaalle viipymättä kaikki yksityiskohdat siitä;
v. 23.9.2022
vi) ilmoittaa asiakkaalle viipymättä:
a) kaikki pyynnöt, tiedustelut, valitukset, tiedoksiannot tai viestinnän kaikilta kolmansilta tahoilta, mukaan lukien rekisteröity tai valvontaviranomainen, liittyen henkilötietoihin tai tällaiseen pyyntöön, tiedusteluun, valitukseen, tiedoksiantoon tai viestintään vastaamiseen liittyvien asiakkaan ohjeiden noudattamiseen ja
b) asiakkaan ohjeen, jonka Xxxxxxx uskoo olevan voimassa olevien lakien, myös nimenomaisesti määritetyn voimassa olevan lain, vastainen;
vii) kansainvälisen siirron yhteydessä osapuolet sopivat, että mikäli henkilötietojen siirto on rajoitettu siirto, siihen sovelletaan liitteessä 3 määriteltyjä vakiosopimuslausekkeita.
viii) luovuttaa asiakkaan kohtuullisella ennakkovaroitusajalla esittämästä kohtuullisesta pyynnöstä henkilötietojen käsittelyyn käyttämänsä tilat ja/tai henkilötiedot tarkastukseen, jonka asiakkaan edustajat tai kummankin osapuolen hyväksymä tilintarkastuselin suorittavat ja jonka kustannukset asiakas kokonaisuudessaan maksaa;
ix) pitää asianmukaista kirjaa, joka osoittaa sen täyttävän tästä DPA:sta johtuvat velvoitteensa ja luovuttaa ne asiakkaan käytettäviksi minkä tahansa edellä viii kohdassa tarkoitetun tarkastuksen yhteydessä;
x) jollei Cepheid ole ottanut käyttöön vakiosopimuslausekkeita henkilötietojen rajoitetun siirron yhteydessä, olemaan siirtämättä mitään henkilötietoja miltään oikeudenkäyttöalueelta toiselle oikeudenkäyttöalueelle ilman asiakkaan kirjallista ennakkosuostumusta;
xi) avustaa asiakasta kohtuullisesti ja tekee yhteistyötä tämän kanssa, mukaan lukien asiakkaan avustaminen tietosuojan vaikutusarvion tai yksityisyyden suojan arvioinnin yhteydessä (nimenomaisesti määritellyn voimassa olevan lain sitä edellyttäessä) ja alustavissa tiedusteluissa kulloisiltakin viranomaisilta, avustaa asiakasta täyttämään sen nimenomaisesti määritellyn voimassa olevan lain mukaisten velvoitteiden täyttämisessä;
xii) säilyttää henkilötietoja vain niin kauan kuin on tarpeen palvelujen suorittamiseksi, ja palvelujen suorittamisen päätteeksi se asiakkaan valinnan mukaisesti poistaa tai palauttaa henkilötiedot asiakkaalle (paitsi milloin kulloinkin voimassa olevassa laissa toisin edellytetään) ja toimittaa pyynnöstä asiakkaalle kirjallisen vahvistuksen siitä, että se on täyttänyt tämän pykälän vaatimukset;
xiii) jos Cepheid kohtuullisesti epäilee tietosuojarikkomusta tai saa sellaisen tietoonsa:
a) antaa asiakkaalle kirjallisen ilmoituksen tästä ilman aiheetonta viivästystä ja joka tapauksessa vuorokauden (24 tunnin) kuluessa tällaisen tietosuojarikkomuksen epäilyn tai vahvistuksen tietoonsa saatuaan;
b) tarjoaa asiakkaalle tietoja, joilla se pystyy ilmoittamaan tai tiedottamaan rekisteröidyille tietosuojarikkomuksesta tarvittaessa;
c) ryhtymään tutkimaan tietosuojarikkomusta ja tehdä kohtuullisesti yhteistyötä asiakkaan, sääntelijöiden ja lainvalvontaviranomaisten kanssa;
d) pidättyy ilmoittamasta julkisesti tietosuojarikkomuksesta ilman asiakkaan ennakkohyväksyntää, mistä ei saa perusteettomasti kieltäytyä; ja
v. 23.9.2022
e) ryhtyy kohtuullisiin korjaaviin toimiin viipymättä avustaakseen tietosuojarikkomuksen tutkintaa, lieventämistä ja sovittelua ja korjatakseen tietosuojarikkomuksen uudelleen tapahtumisen riskin ja lieventääkseen sitä; ja
xiv) osapuolet hyväksyvät sopimuksessa tehdyn toimivallan valinnan liittyen kaikenlaisiin tästä DPA:sta johtuviin kiistoihin tai vaateisiin, mukaan lukien kiistat sen olemassaolosta, pätevyydestä tai irtisanomisesta tai sen pätemättömyyden seurauksista; tämä DPA ja kaikkiin siitä johtuviin tai siihen liittyviin ei-sopimusperäisiin ja muihin velvoitteisiin sovelletaan sopimuksessa tässä tarkoituksessa määrätyn maan tai alueen lakia.
3.2 Osapuolet eivät osallistu (eivätkä salli minkään tietojenkäsittelijän tai alihankkijana toimivan tietojenkäsittelijän osallistua) mihinkään muuhun henkilötietojen rajoitettuun siirtoon (henkilötietojen viejänä tai tuojana), ellei rajoitettua siirtoa tehdä täysin kulloinkin voimassa olevan lain mukaisesti ja kyseisen henkilötietojen viejän ja tuojan kesken täytäntöön pantujen vakiosopimuslausekkeiden nojalla.
3.3 Asiakas sallii Cepheidin nimittää alihankkijana toimivia tietojenkäsittelijöitä (ja kunkin alihankkijana toimivan tietojenkäsittelijän nimittää muita tietojenkäsittelijöitä) tämän 3.3 §:n ja sopimuksen mahdollisten rajoitusten mukaisesti.
3.3.1 Asiakas antaa Cepheidille yleispätevän luvan käyttää tämän DPA: tekopäivänä käytössä olevia alihankkijana toimivia tietojenkäsittelijöitä, kunhan Cepheid on täysin vastuussa asiakkaalle tällaisista kolmansista osapuolista ja joka tapauksessa mahdollisimman pian tekee tällaisen kolmannen osapuolen kanssa kirjallisen ja täytäntöönpanokelpoisen sopimuksen, johon sisältyvät lausekkeet eivät ole vähemmän rajoittavia kuin Cepheidiä tämän DPA:n mukaan koskevat velvoitteet.
3.3.2 Cepheid ylläpitää luetteloa valtuuttamistaan tietojenkäsittelyn alihankkijoista, joka on saatavilla pyynnöstä.
4. Sekalaista.
Mahdollisesti sovellettavia vakiosopimuslausekkeita, liitteet 1–4 mukaan lukien, ovat voimassa ja ratkaisevat, mikäli tämän DPA:n ja vakiosopimuslausekkeiden ehtojen välillä on ristiriitaa tai epäjohdonmukaisuutta.
v. 23.9.2022
Liite 1 Tietojenkäsittely kuvaus
Tämä liite 1 muodostaa DPA:n osan, ja siinä kuvataan tietojenkäsittelijän rekisterinpitäjän puolesta suorittama tietojenkäsittely.
Osapuolten luettelo Tietojenkäsittelijä:
1. | Nimi: | Cepheid, sopimuksessa tunnistettu yhtiö |
Osoite: | Sopimuksessa määritetty | |
Yhteyshenkilön nimi, asema ja yhteystiedot: | Sopimuksessa tai osapuolten kesken määritetty | |
Näiden lausekkeiden mukaisesti siirrettäviä tietoja koskevat toiminnot: | Kuvattu tässä liitteessä 1 | |
Rooli: | Tietojenkäsittelijä |
Rekisterinpitäjä:
1. | Nimi: | asiakas, sopimuksessa tunnistettu yhtiö |
Osoite: | Sopimuksessa määritetty | |
Yhteyshenkilön nimi, asema ja yhteystiedot: | Sopimuksessa tai osapuolten kesken määritetty | |
Näiden lausekkeiden mukaisesti siirrettäviä tietoja koskevat toiminnot: | Kuvattu tässä liitteessä 1 | |
Rooli: | Rekisterinpitäjä |
Siirron kuvaus Käsittelyn kohde
Henkilötietoja käsitellään seuraaviin tarkoituksiin:
Tekninen tuki, työnkulun optimointi (Cepheid XpertCare Program), korkean tason tuki, asiakkaan käyttökatkojen minimointi, asiakkaan palautteeseen reagointi, sääntelyasiat, mittaaminen, asiakkaan analytiikka (Cepheid XpertCare Program -käynti – kenttäsovellusasiantuntijat), yhteyksien tarkistaminen (vianmääritys, implementaatio / LIS (laboratorion tietojärjestelmä)), jälkimarkkinoiden vaaratilannejärjestelmä, auditoinnit
Käsittelyn kesto
Henkilötietoja käsitellään:
Cepheid XpertCare Program, asiakkaan analytiikka: Niin kauan kuin on tarpeen tarkoitusten täyttämiseksi ja pyydettyjen palvelujen tarjoamiseksi sopimuksen mukaisesti, jollei toisin kirjallisesti sovita
Tekninen tuki, korkean tason tuki, asiakkaan käyttökatkojen minimointi, asiakkaan palautteeseen reagointi, sääntelyasiat, mittaaminen, yhteyksien tarkistaminen: kunnes ongelma ratkaistaan
Kaikki tiedot voidaan tallentaa arkistoihin jälkimarkkinoiden vaaratilannejärjestelmää tai auditointitarkoituksia varten tallennettavaksi määräämättömäksi ajaksi sääntelyn mukaisesti
Siirtoväli
Henkilötietoja käsitellään keskeytyksettä.
v. 23.9.2022
Käsittelyn luonne:
Käsittelytoimenpiteet
Henkilötiedoille suoritetaan seuraavat perustavat käsittelytoimenpiteet:
kirjaus, tallennus, haku, käyttö, luovuttaminen siirtämällä, yhdistämällä, rajoittamalla, poistamalla tai tuhoamalla, anonymisoimalla, pseudonymisoimalla ja siten kuin sopimuksessa edellytetään.
Rekisteröityjen luokat
Käsiteltävät henkilötiedot koskevat seuraavia rekisteröityjen ryhmiä:
Asiakkaan potilaat Asiakas ja sen työntekijät
Henkilötietojen ryhmät
Käsiteltävät henkilötiedot koskevat seuraavia tietoryhmiä:
Asiakkaan kojeen ohjauspaneelin syöttämien ja/tai laboratorion tietojärjestelmän vastaanottamien tietojen mukaan seuraavia tietoja voidaan käsitellä edellä lueteltuihin eri tarkoituksiin: näytteen tunniste, kojeen telemetriatiedot (lämpötila, jännitteet, paine, järjestelmävaroitukset ja -hälytykset), testitulokset, etu -ja sukunimi, potilastunniste (tietoihin voi sisältyä arkaluontoisia henkilötietoja tai henkilötietojen erityisryhmiä)
Toimivaltainen viranomainen
Sen EU:n jäsenvaltion valvontaviranomainen, johon viejä on sijoittautunut; jos viejä on sijoittautunut Yhdistyneeseen kuningaskuntaan (UK), Information Commission, tai, jos viejä on sijoittautunut Sveitsiin, FDPIC. Jollei viejä ole sijoittautunut EU:n jäsenvaltioon, Yhdistyneeseen kuningaskuntaan eikä Sveitsiin mutta siihen sovelletaan EU:n / Yhdistyneen kuningaskunnan tai Sveitsin tietosuojalakia, valvontaviranomainen on Cepheidin edustajan sijoittautumisalueen oikeudenkäyttöalueen valvontaviranomainen (siten kuin EU:n / Yhdistyneen kuningaskunnan tai Sveitsin tietosuojalaissa edellytetään). Mikäli EU:n, Yhdistyneen kuningaskunnan tai Sveitsin tietosuojalain mukaan edustajan nimittäminen ei ole välttämätöntä, valvontaviranomainen on Ranskan CNIL, jos henkilöt, joiden tietoja siirretään, sijaitsevat EU:ssa, Information Commissioner, jos henkilöt sijaitsevat Yhdistyneessä kuningaskunnassa, tai FDPIC, jos yksilöt sijaitsevat Sveitsissä. Jos henkilötiedot ovat peräisin Kanadasta, valvontaviranomainen on yksi niistä Comissioner-viranomaisista, joilla on toimivalta asiassa kulloinkin voimassa olevan tietosuojalain nojalla.
v. 23.9.2022
Liite 2
Cepheidin täytäntöön panemien teknisten ja organisatoristen toimenpiteiden kuvaus
Tämä liite 2 muodostaa osan DPA:sta, ja siinä kuvataan tekniset ja organisatoriset toimenpiteet, jotka Cepheid on toteuttanut yleisen tietosuoja-asetuksen 32 artiklan 1 kohdanja muiden voimassa olevien tietosuojalakien mukaisesti.
1- Toimipaikassa:
Cepheidin työntekijä voi käyttää salattua USB-tikkua poimimaan tarvittavat asiakkaan kojeen tiedot korjatakseen teknisiä ongelmia ja kojeen suorituskykyä.
Cepheid XpertCare Program -ohjelman kojeen määritystä ja suorituskyvyn optimointikäyntien osalta Cepheidin työntekijät pääsevät vain vähimmäismäärään välttämättömiä tietoja, joihin eivät sisälly potilaan terveydenhuoltotiedot. Tiedot siirretään työntekijän kannettavalle, käsitellään asiakkaan raportin laatimiseksi suosituksineen, ja sen jälkeen ne tuhotaan vakiomuotoisten työskentely- ja Cepheidin tietojensäilytysprotokollien mukaisesti.
2- Etänä:
Rooli tietoihin pääsyssä: Vain Cepheidin teknisen tuen ja kenttätuen työntekijät pääsevät salatulla yhteydellä kojeisiin.
Etätuessa, jolloin käsitellään valituksia, Cepheidin asiamiehet voivat käyttää Remote Desktop Sharing (RDS)
-istuntoja mutta vasta asiakkaan kulloisenkin luvan jälkeen.
Tiedonsiirto: Cepheidin periaatteiden mukaisesti tietoja siirretään tietoturvallisen salatun menetelmän avulla Cepheidin sisäisiin palvelimiin, jotta työntekijät voivat käynnistää asiakastukitoiminnan (TLS 1.2+ - protokollia käytetään varmennetuissa tapahtumissa).
3- Asiakas lähettää tietoja:
Lähettämällä sähköpostitse, verkon alustalla tai faksitse: asiakas lähettää tiedot turvallista salattua menetelmää käyttäen Cepheidin sisäiselle työntekijälle alueella. Asiakas on rekisterinpitäjänä vastuussa henkilötietojen anonymisoimista ja siitä, että etäkoneelle ladataan vain tarvittavat vähimmäistiedot, ennen kuin ne siirretään Cepheidin (Cepheidin kojeen ohjelmisto tarjoaa asiakkaalle mahdollisuuden peittää tietyt henkilö- ja terveydenhuoltotiedot kojeessa ennen niiden vientiä).
4- Tiedonsiirrot Cepheidin tukitoimien sisällä:
Jos lisätukea tarvitaan asiakkaan kotialueen ulkopuolella, vain tarvittavat tiedot siirretään; tarpeettomat henkilötiedot ja terveydenhuoltotiedot poistetaan/anonymisoidaan mahdollisuuksien mukaan* ja lähetetään tietoturvallista välitysmenetelmää käyttäen. Loppu tiedoista salataan ja tuhotaan asianmukaisia Cepheidin asiakassuhdekäytänteitä noudattaen.
5 - Periaatteet ja käytäntö:
Cepheid varmistaa käsittelyjärjestelmien ja palvelujen jatkuvan salassapidon, eheyden, käytettävyyden ja toipumisen. Tätä varten sillä on valtuudet palauttaa käytettävyys ja pääsy merkitykselliseen palveltujen tukeen ja valitusten käsittelyyn liittyviin tietoihin Cepheidin järjestelmissä viipymättä fyysisten tai teknisten poikkeustilanteiden yhteydessä.
6 - Prosessit:
Cepheidillä on prosessi teknisten ja organisatoristen toimenpiteiden tehokkuuden testaamiseksi, arvioimiseksi ja luokittelemiseksi käsittelyn turvallisuuden varmistamiseksi.
* Tunnistamisen estämisen / anonymisoinnin menettely vaihtelee kojeittain.
v. 23.9.2022
Liite 3
Yhdistyneen kuningaskunnan, EU:n ja Sveitsiin siirtoja koskevat lausekkeet
Tämä liite 3 on osa DPA:ta, ja siinä määritellään, miten vakiosopimuslausekkeita täydennetään:
( ) Moduulia 2 sovelletaan niiltä osin kuin asiakas on henkilötietojen rekisterinpitäjä;
(i) 7 lausekkeen vapaaehtoista liittymislauseketta sovelleta;
(ii) 9 lausekkeen 2 vaihtoehtoa sovelletaan, ja alihankkijana toimivan käsittelijän muutosten ennakkoilmoitusaika on tämän DPA:n 3.2 lausekkeen mukainen;
(iii) 11 lausekkeen vapaaehtoista kieltä ei sovelleta;
(A) Osa B: tämän DPA:n liitteessä 1 määritelty asiaankuuluva käsittelyn kuvaus ja
(vii) Liite II: vähimmäistietoturvatoimenpiteet ja
v. 23.9.2022
a. EU:n vakiosopimuslausekkeita täydennettyinä tässä liitteessä 3 olevan 1 lausekkeen mukaisesti sovelletaan myös tällaisten henkilötietojen siirtoihin, jolle tämän liitteen 3 jäljempänä olevasta 3.b alakohdasta muuta johdu;
b. viitteen avulla sisällytetyt vakiosopimuslausekkeet suojaavat Sveitsissä toimivien oikeushenkilöiden henkilötietoja, kunnes tarkistettu FADP tulee voimaan.
v. 23.9.2022
Liite 4
4.1 Henkilötietojen siirrolle Euroopan talousalueelta asetettavat lisävaatimukset
Seuraavat lisävaatimukset koskevat kaikkia rajoitettuja siirtoja:
1. Asiakkaan on säännöllisesti ilmoitettava Cepheidille tiedot julkisviranomaisen pyynnöistä saada henkilötiedot ja niihin annetut vastaukset (jos tämä on lain mukaan sallittua);
2. asiakas vakuuttaa, ettei se ole tarkoituksellisesti järjestänyt teknisiä takaportteja tai sisäisiä prosesseja, jotka helpottavat julkisviranomaisten suoraa pääsyä henkilötietoihin ja ettei kulloinkin voimassa olevan lain tai käytännön nojalla edellytetä takaporttien järjestämistä tai säilyttämistä;
3. asiakkaan on tiedusteltava julkisviranomaiselta, joka esittää pyynnön saada henkilötiedot, toimiiko se asiassa yhdessä jonkin muun valtion viranomaisten kanssa;
4. asiakkaan on tarjottava kohtuullisesti apua rekisteröidyille, jotka haluavat käyttää henkilötietoja koskevia oikeuksiaan vastaanottavalla lainkäyttöalueella;
5. asiakkaan on tehtävä yhteistyötä Xxxxxxxxx kanssa, mikäli asianmukainen valvontaviranomainen tai tuomioistuin katsoo, että henkilötietojen siirrossa on käytettävä erityisiä lisätoimia;
6. asiakkaan on käytettävä salausta ja/tai muita teknisiä toimia, jotka riittävät kohtuullisesti suojaamaan henkilötiedot julkisviranomaisten suorittamalta sieppaamiselta tai muulta luvattomalta pääsyltä tietoihin niiden kauttakulun aikana ja
7. asiakkaalla on oltava toiminnassa asianmukaiset käytänteet ja menettelyt, myös koulutus, jotta henkilötietojen saantipyynnöt julkisviranomaisilta päätyvät asianmukaiselle toiminnolle ja käsitellään oikein.
4.2 Lisävaatimukset henkilötietojen siirrolle Etelä-Afrikan tasavallasta
Seuraavat lisävaatimukset koskevat henkilötietojen siirto Etelä-Afrikan tasavallasta:
1. Henkilötietojen siirron Etelä-Afrikasta on täytettävä seuraavat parametrit:
(A) tiedot vastaanottavan osapuolen on noudatettava lakia, velvoittavia konsernin sisäisiä sääntöjä tai velvoittavaa sopimusta, joka tarjoaa riittävän suojelun tason liittyen seuraaviin:
1. noudatetaan tosiasiallisesti tietojen kohtuullisen käsittelyn periaatteita, jotka ovat olennaisesti samankaltaisia kuin henkilötietojen lainmukaisen käsittelyn edellytykset, joita noudatetaan, kun henkilötiedot koskevat luonnollista henkilöä ja tapauskohtaisesti oikeushenkilöä; ja
2. luovutukseen sisällytetään säännökset, jotka koskevat henkilötietojen luovutusta niiden vastaanottajilta edelleen ulkomailla sijaitseville kolmansille tahoille;
(B) rekisteröidyn suostumukset siirtoon;
(C) siirto on välttämätön rekisteröidyn ja vastuullisen tahon välisen sopimuksen noudattamiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
(D) siirto on välttämätön vastuullisen tahon ja kolmannen tahon välillä rekisteröidyn edun nimissä tehdyn sopimuksen tekemiseksi tai noudattamiseksi tai
(E) siirto on rekisteröidyn eduksi ja:
v. 23.9.2022
1. ei ole kohtuullisesti käytännössä mahdollista saada rekisteröidyn suostumusta siirtoon ja
2. jos suostumus olisi käytännössä mahdollinen, rekisteröity todennäköisesti antaisi suostumuksensa.
2. Tämän osan yhteydessä
(A) ”velvoittavilla konsernin sisäisillä säännöillä” tarkoitetaan henkilötietojen käsittelyn käytäntöjä yritysryhmässä, joihin kyseiseen yritysryhmään kuuluva vastuullinen taho tai operaattori noudattaa siirtäessään henkilötietoja samaan yritysryhmään kuuluvalle vastuulliselle tasolle tai operaattorille ulkomailla ja
(B) ”yritysryhmällä” tarkoitetaan määräysvaltaa käyttävää yritystä ja määräysvallan alaisia yrityksiä.
v. 23.9.2022