Liite 6 Henkilötietojen käsittelyn ehdot

1. Yleistä

1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa sopimusta (Dnro

), jäljempänä ”Sopimus”, jonka Xxxxxxx on tehnyt Xxxxxxxxxxx kanssa.

1.2. Tässä sopimusliitteessä määritellään Tilaajaa ja Toimittajaa sitovasti ne henkilötietojen käsit- telyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Tilaajan toimeksian- nosta käsittelee henkilötietoja Xxxxxxxx puolesta ja lukuun Sopimuksessa olevien sopimuseh- tojen lisäksi.

1.3. Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä, ja lisäksi Osapuolet sitoutuvat saattamaan henkilötietojen käsittelyn ja tietosuojan EU:n yleisen tietosuoja-asetuksen (EU)2016/679 mu- kaiselle vaatimustasolle 25.5.2018 mennessä, jolloin tietosuoja-asetuksen soveltaminen al- kaa.

2. Osapuolten roolit henkilötietojen käsittelyssä

2.1. Tilaaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Osapuolet ymmärtävät, että rekisterinpitäjänä Xxxxxxx saa käyttää ainoastaan sellaisia henki- lötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja or- ganisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää voimassaolevan hen- kilötietojen käsittelyyn ja tietosuojaan liittyvän lainsäädännön vaatimukset ja 25.5.2018 al- kaen EU:n yleisen tietosuoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2.2. Toimittaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoitta- mana henkilötietojen käsittelijänä, joka käsittelee Xxxxxxxx henkilötietoja Xxxxxxxx puolesta ja lukuun. Toimittajan Sopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat Tilaajan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsitteli- jöinä Xxxxxxxx puolesta ja lukuun. Ryhmittymän ollessa Toimittajana tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn. (Liite 2.1.)

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

2.4. Henkilötietojen käsittelyn kohde ja kesto, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksessa, sopimuksen mukaisen palvelun aikana laadittavassa ja Toimittajaa sitovassa dokumentaatiossa tai muussa Tilaajan ohjeistuksessa. Toimittaja sitoutuu noudattamaan So- pimuksessa, dokumentaatiossa ja ohjeistuksessa olevia henkilötietojen käsittelyä koskevia eh- toja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta. (Liite 2.2)

2.5. Jos kohdan 2.4 mukaista kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täyden- tää kuvausta tarvittaessa yhteistyössä Toimittajan kanssa. Toimittajan on ilmoitettava Xxxxx- xxxxx, jos tämän antama ohjeistus on puutteellinen tai jos Toimittaja epäilee sitä lainvastaiseksi.

2.6. Toimittaja osallistuu Tilaajan pyynnöstä tietojärjestelmäselosteen laatimiseen. Toimittaja suo- rittaa vaatimuksen mukaiset tehtävät Sopimuksen mukaisilla henkilötyöhinnoilla, ellei toisin ole sovittu. (Liite 2.3)

3. Alihankkijat, jotka käsittelevät henkilötietoja

3.1. Toimittaja ei saa käyttää henkilötietojen käsittelyyn alihankkijan palveluja ilman Tilaajan an- tamaa kirjallista ennakkolupaa. Toimittajan on tiedotettava Tilaajalle kirjallisesti kaikista suun- nitelluista muutoksista, jotka koskevat henkilötietojen käsittelijöinä toimivien alihankkijoiden lisäämistä tai vaihtamista, ja annettava Tilaajalle mahdollisuus vastustaa tällaisia muutoksia.

3.2. Siltä osin kuin Toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötie- toja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.

3.3. Toimittaja ja sen alihankkijat, jotka henkilötietojen käsittelijöinä käsittelevät Xxxxxxxx henkilö- tietoja Xxxxxxxx puolesta ja lukuun, sitoutuvat kaikki tässä sopimusliitteessä kuvattuihin hen- kilötietojen käsittelijää koskeviin velvollisuuksiin. Toimittajalla on velvollisuus sopimuksilla si- touttaa käyttämänsä alihankkijat noudattamaan tämän sopimusliitteen ehtoja.

3.4. Toimittaja on vastuussa mahdollisista Xxxxxxxx henkilötietoja käsittelevien Toimittajan alihank- kijoiden Sopimuksen, tämän sopimusliitteen tai sovellettavan lainsäädännön taikka EU:n ylei- sen tietosuoja-asetuksen rikkomisista tai laiminlyönneistä kuin omistaan. Jos tietojen käsitte- lyä suorittava alihankkija ei täytä tietosuojavelvoitteitaan, Toimittaja on edelleen täysimääräi- sesti vastuussa suhteessa Tilaajaan. Xxx Xxxxxxx perustellusti katsoo, että Toimittajan alihank- kija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Toimittajaa vaihtamaan ali- hankkijaa.

4. Henkilötietojen käsittelijän yleiset velvollisuudet

4.1. Henkilötietojen käsittelijä käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjeiden mukaisesti.

4.2. Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat hen- kilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovel- vollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

4.3. Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimen- piteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tek- niikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vaka- vuudeltaan vaihtelevat riskit sekä noudattamaan Xxxxxxxx ohjeita ja mahdollisia Tilaajan ohjei- den päivityksiä.

4.4. Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmistamiseksi, että jo- kainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen ja Tilaajan ohjeiden mukaisesti.

4.5. Henkilötietojen käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Tilaajalle kaikista rekisteröityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä.

4.6. Henkilötietojen käsittelijä sitoutuu avustamaan Tilaajaa asianmukaisilla teknisillä ja organisa- torisilla toimenpiteillä, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Henkilötietojen käsittelijä ymmärtää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä avustamista re- kisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja/tai henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei näiden tehtävien ole sovittu sisältyvän Sopimuksen mukaisiin palveluihin ja niistä veloitettaviin maksuihin, Toimittajalla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksessa sovituilla henkilötyöhinnoilla.

4.7. Toimittajan on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, että ne voidaan automaattisesti irrottaa jär- jestelmästä siirrettäväksi toiseen järjestelmään.

4.8. Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Tilaajaa EU:n yleisen tietosuoja- asetuksen mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Toi- mittajalla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksessa sovituilla henkilötyö- hinnoilla.

4.9. Henkilötietojen käsittelijä sitoutuu Xxxxxxxx valinnan mukaan poistamaan tai palauttamaan kä- sittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki Tilaajan henkilötiedot Tilaajalle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsää- dännössä vaaditaan säilyttämään henkilötiedot. Tilaaja voi antaa tältä osin tarkempia ohjeita henkilötietojen käsittelijälle.

4.10. Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle. Hen- kilötietojen siirtäminen kolmansiin maihin voidaan tehdä asianmukaisella siirtosopimuksella noudattaen EU-komission kulloinkin voimassa olevia mallilausekkeita ja/tai muita tuolloin voi- massaolevia henkilötietojen siirtoa koskevia vaatimuksia.

4.11. Henkilötietojen käsittelijä saattaa Tilaajan saataville kaikki tiedot, jotka ovat tarpeen tässä sopimusliitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Ti- laajan valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu nii- hin. Auditointia koskevat tarkemmat ehdot ovat Sopimuksen kohdassa 8.

5. Henkilötietojen käsittelijän erityiset velvollisuudet

5.1. Toimittajalla on oltava valmius asettaa ja hallinnoida tietojen luovutuksia koskevia rajoituksia, jollaisia voi aiheutua esimerkiksi väestötietolain mukaisesta rekisteröidyn turvakiellosta. Toi- mittajan tulee pystyä rajoittamaan rekisteröidyn henkilötietojen käsittelyä osittain tai koko- naan Tilaajan vaatimalla tavalla. Rekisteröidyn henkilötietojen rajoittaminen ei saa johtaa mui- den rekisterissä olevien luonnollisten henkilöiden henkilötietojen rajoittamiseen, xxxxx Xxxxxxxx ja Toimittajan kesken kirjallisesti toisin sovita.

5.2. Ellei toisin sovita, Toimittaja on velvollinen ylläpitämään luetteloa rekisteröityjen henkilötieto- jen oikaisuista, poistoista tai käsittelyn rajoituksista. Luettelo on luovutettava pyydettäessä Tilaajalle. Tilaajan pyynnöstä Toimittajan on luovutettava luettelossa mainittuja tietoja Tilaa- jan pyytämässä laajuudessa Tilaajan yksilöimille kolmansille tahoille.

6. Tietoturvaloukkaukset

6.1. Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Tilaajalle ilman aiheetonta viivytystä saatuaan sen tietoonsa ja viimeistään 36 tunnin kuluessa. Lisäksi Toimittaja sitoutuu ilmoittamaan Tilaajalle muista Toimittajan tuottaman palvelun olen- naisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa, ellei Sopimuksessa tai sen liit- teissä ole sovittu lyhyemmästä määräajasta.

6.2. Henkilötietojen käsittelijän on annettava Tilaajalle vähintään seuraavat tiedot tietoturvalouk- kauksesta:

1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asi- anomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryh- mät ja arvioidut lukumäärät;

2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;

3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

4) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpi- teet mahdollisten haittavaikutusten lieventämiseksi.

7. Muita vaatimuksia

7.1. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Toimittajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Nämä ohjeet voivat olla henkilötietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia, täy- dennyksiä tai päivityksiä. Toimittaja tekee tarvittavat muutostyöt Tilaajan ohjeiden mukai- sesti. Xxx Xxxxxxxx ohjeet aiheuttavat Toimittajalle olennaisia muutostöitä (yli yksi (1) henkilö- työpäivää), lisäkustannuksista sovitaan erikseen hintaliitteen mukaisesti. Toimittaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan näitä muutettuja, täydennettyjä tai päivi- tettyjä ohjeita.

7.2. Osapuolet ymmärtävät, että Sopimuksessa ja sen liitteissä käsitellään myös tietosuojaa kos- kevia aiheita.

7.3. Toimittaja sitoutuu reagoimaan viimeistään 72 tunnin kuluessa Xxxxxxxx yhteydenotosta ja vas- taamaan viimeistään yhden (1) viikon kuluessa Tilaajan tietosuojaa koskeviin ilmoituksiin, rek- lamaatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tie- toturvaloukkaukset, joihin sovelletaan Sopimuksessa ja edellä tässä liitteessä määritettyjä määräaikoja.

7.4. Jos Toimittaja laiminlyö tai rikkoo tätä sopimusliitettä, sovellettavaa lainsäädäntöä tai EU:n yleistä tietosuoja-asetusta, Toimittajan korvausvastuu on määritelty Sopimuksen lisäksi so- vellettavassa lainsäädännössä kuitenkin niin, että Sopimuksessa mahdollisesti sovitut vas- tuunrajoitusehdot eivät koske tähän sopimusliitteeseen tai tietosuojalainsäädännön rikkomi- seen perustuvaa korvausvastuuta: Toimittaja vastaa täysimääräisesti Tilaajalle aiheutuneista vahingoista, jotka liittyvät tähän sopimusliitteeseen, tietosuojalainsäädäntöön tai edellisten noudattamatta jättämiseen. Lisäksi tällainen kohdassa 7.4 viitattu laiminlyönti tai rikkomus muodostaa Sopimuksessa tarkoitetun olennaisen sopimusrikkomuksen, jonka seurauksena Ti- laajalla on halutessaan oikeus turvautua Sopimuksessa määriteltyihin oikeussuojakeinoihin.

7.5. Osapuolet ymmärtävät, että Sopimusta ja tätä sopimusliitettä tehtäessä tietosuojaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Tilaajan asemaan tai velvollisuuksiin tai tässä sopimusliitteessä määriteltyihin velvollisuuksiin tai vastuisiin, tätä sopimusliitettä voidaan tarvittaessa niiltä osin tarkistaa. Jos tähän sopimusliitteeseen tehdään sellaisia muutoksia, joista aiheutuu Toimittajalle olennaisia lisäkustannuksia (yli yksi (1) hen- kilötyöpäivää), niiden korvaamisesta voidaan sopia erikseen Sopimuksen hintaliitteen hintojen mukaisesti. Toimittaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan kyseistä tarkistettua sopimusliitettä.