Henkilötietojen käsittelyn ehdot ja käsittelytoimien kuvaus
Henkilötietojen käsittelyn ehdot ja käsittelytoimien kuvaus
1. Yleistä
1.1. Tämä sopimusliite on osa tilaajan ja toimittajan välistä sopimusta (dnro VN/25464/2023), jäl- jempänä sopimus.
1.2. Tässä sopimusliitteessä määritellään ne henkilötietojen käsittelyä ja tietosuojaa koskevat so- pimusehdot, joiden mukaisesti toimittaja tilaajan toimeksiannosta käsittelee henkilötietoja ti- laajan puolesta. Näissä ehdoissa kuvatuista toimittajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.
2. Osapuolten roolit henkilötietojen käsittelyssä
2.1. Käsiteltäessä henkilötietoja tilaaja on rekisterinpitäjä ja toimittaja on henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. Ti- laajan henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista tilaaja vastaa rekiste- rinpitäjänä.
2.2. Toimittaja noudattaa voimassa olevan tietosuojalainsäädännön edellyttämiä menettelytapoja ja henkilötietojen käsittelyä ja suojaamista koskevia säännöksiä. Toimittaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön ja sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuo- jasta on säädetty.
2.3. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus, henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan näiden ehtojen liitteenä olevassa käsittelytoimien kuvauksessa tai muussa tilaajan ohjeistuksessa. Toimittaja sitoutuu noudattamaan sopimuksessa, käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.
2.4. Jos kohdan 2.3 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, tilaaja laatii sen tai täydentää sitä yhteistyössä toimittajan kanssa.
3. Toimittajan yleiset velvollisuudet
3.1. Toimittaja käsittelee henkilötietoja sopimuksen ja tilaajan antamien ohjeiden mukaisesti. Jos käsittelijä on ryhmittymä, tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäse- niä ja sen alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
3.2. Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että tilaajan henkilötietoja käsitellään sopimuksen vaatimusten ja sovittujen käytäntöjen mu- kaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoi- suus.
3.3. Toimittaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuu- dessa.
3.4. Toimittaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön tilaajan henkilötietoihin liittyviä yhteydenottoja varten. Toimittaja ilmoittaa tietosuojavastaavan tai yh- teyshenkilön yhteystiedot tilaajalle kirjallisesti.
3.5. Toimittaja saattaa tilaajan saataville tämän pyynnöstä kaikki tiedot, jotka tilaaja tarvitsee rekis- terinpitäjälle ja toimittajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä, erikseen sovittavalla tavalla, tilaajan vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tieto- suoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Toimittaja tekee nämä tehtä- vät sopimuksen mukaisilla hinnoilla, ellei toisin sovita.
3.6. Toimittaja ilmoittaa tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat re- kisteröidyn oikeuksien käyttämistä. Toimittaja ei itse vastaa näihin pyyntöihin. Toimittaja avus- taa tilaajaa, jotta tilaaja voi vastata näihin pyyntöihin. Pyynnöt voivat edellyttää toimittajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoi- keuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoitta- misen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toi- seen. Ellei toisin ole sovittu, toimittajalla on oikeus laskuttaa tilaajaa sopimuksen mukaisilla hinnoilla, jos avustaminen aiheuttaa toimittajalle lisäkuluja. Toimittaja on velvollinen ilmoitta- maan tilaajalle ennakolta mahdollisista lisäkuluista.
3.7. Toimittaja sallii tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkastusmenettelyä koskevat tarkemmat ehdot ovat sopimuksessa.
4. Xxxxxxxx xxxxxx
4.1. Toimittaja noudattaa tilaajan henkilötietojen käsittelyssä sopimusta, näitä erityisehtoja ja tilaa- jan kirjallisia ohjeita. Toimittaja ilmoittaa tilaajalle ilman aiheetonta viivytystä, jos tilaajan anta- mat ohjeet ovat puutteellisia tai jos toimittaja epäilee niitä lainvastaisiksi.
4.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää toimittajalle antamiaan henkilötietojen kä- sittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu muita kuin vähäi- siä, sopimuksen mukaisiin palveluihin liittyviä muutoksia, muutoksista ja niiden vaikutuksista sovitaan sopimuksen mukaisessa muutoshallintamenettelyssä.
5. Palveluhenkilöstö
5.1. Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä tilaajan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassapitoeh- toja tai heitä koskee lakisääteinen salassapitovelvollisuus.
5.2. Toimittaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja tilaajan ohjeiden mukaisesti.
6. Alihankkijat, jotka käsittelevät henkilötietoja
6.1. Siltä osin kuin toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.
6.2. Jos toimittajan alihankkija käsittelee tilaajan henkilötietoja, alihankkijan käyttäminen edellyttää tilaajan ennakkoon kirjallisesti antamaa lupaa.
6.3. Toimittaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa toimittajalle asetettuja velvoitteita sekä tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Toimittaja varmistaa, että sopimuksen mukainen tilaajan tarkastusoikeus voidaan ulottaa ali- hankkijaan.
6.4. Toimittaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Toimittaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Jos tilaaja perustellusti katsoo, että toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, ti- laajalla on oikeus vaatia toimittajaa vaihtamaan alihankkijaa.
6.5. Toimittaja ilmoittaa henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee tilaajan henkilötietoja tieto- suojalainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotet- tua alihankkijaa.
7. Palvelun paikka
7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, toimittajalla on oikeus käsitellä tilaajan hen- kilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityisehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista tilaajan henkilötie- toihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
7.2. Jos osapuolet sopivat, että toimittaja saa siirtää tilaajan henkilötietoja Euroopan talousalueen ulkopuolelle, osapuolet huolehtivat siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukaisesti.
8. Tietoturvaloukkaukset
8.1. Toimittajan on ilmoitettava kirjallisesti tilaajalle tietoonsa tulleesta henkilötietojen tietoturva- loukkauksesta ilman aiheetonta viivytystä. Lisäksi toimittaja sitoutuu ilmoittamaan tilaajalle
ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaiku- tuksia rekisteröityjen asemaan ja oikeuksiin.
8.2. Toimittajan on annettava tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:
i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot;
iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
iv. kuvaus toimenpiteistä, joita toimittaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan toimittaja ryhtyy viipymättä sopimuksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoitta- miseksi ja korjaamiseksi.
9. Henkilötietojen käsittelyn päättyminen
9.1. Sopimuksen voimassaoloaikana toimittaja ei saa poistaa tilaajan lukuun käsittelemiään henki- lötietoja ilman tilaajan nimenomaista pyyntöä.
9.2. Sopimuksen päättyessä tai purkautuessa toimittaja palauttaa tilaajalle kaikki tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että toimittaja säilyttää henkilötiedot.
10. Vastuunrajoitus
10.1 Pääsopimuksessa sovituista vastuunrajoituksista huolimatta, jos osapuoli on maksanut rekis- teröidylle korvauksen tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahin- gosta, on tällä osapuolella oikeus sovittujen vastuunrajoitusten rajoittamatta periä samaan tietojenkäsittelyyn osallistuneelta toiselta osapuolelta tämän vahingonkorvausvastuuta vas- taava osuus rekisteröidylle maksetusta korvauksesta. Osapuolen vastuu rekisteröidylle ai- heutuneesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan.
LIITE: KÄSITTELYTOIMIEN KUVAUS
1. Osapuolet
Tilaaja: Maa- ja metsätalousministeriö
Toimittaja: xxx Oy [täytetään voittajan nimi kilpailutuksen ratkettua, kun sopimus tehdään]
2. Tämän asiakirjan tarkoitus
Osapuolet ovat tehneet sopimuksen, jonka mukaisessa toiminnassa toimittaja käsittelee tilaajan ylläpitämään henkilörekisteriin kuuluvia henkilötietoja. Tässä asiakirjassa kuvataan toimittajan ti- laajan puolesta tekemät henkilötietojen käsittelytoimet, henkilötietojen tyypit sekä käsiteltävät hen- kilötiedot.
Osapuolet noudattavat henkilötietojen käsittelyssä toimittajan ja tilaajan välistä sopimusta sekä tilaajan ohjeita. Tämä asiakirja on sopimuksen liite.
3. Rekisteröityjen ryhmät ja henkilötietojen tyypit
Toimittaja käsittelee seuraavia tilaajan henkilörekisteriin kuuluvia henkilötietoja:
Rekisteröityjen ryhmät, joiden tietoja Toimittaja käsittelee:
- Tilaajan sidosryhmien jäsenet, joita tietopaketin toteuttamiseksi haastatellaan tai joille lähete- tään kyselyjä.
Toimittajan käsittelemien henkilötietojen tyypit:
- Em. rekisteröityjen ryhmiin kuuluvien henkilöiden nimi, sähköpostiosoite, työpuhelinnumero.
4. Käsittelyn luonne ja tarkoitus
Toimittaja käsittelee henkilötietoja, koska tilaaja tilaa toimittajalta tietopaketin, jonka laatimiseksi luodaan kyselyjä ja tehdään haastatteluita keskeisille sidosryhmille. Tietopaketin laatiminen edel- lyttää sidosryhmien henkilötietojen käsittelyä mm. kyselyjen ja haastattelupyyntöjen lähettämiseksi ja toteuttamiseksi.
5. Henkilötietojen käsittelyn kesto
Toimittaja käsittelee henkilötietoja sopimuskauden ajan.