tietojenkäsittelysopimus











tietojenkäsittelysopimus








TIETOJENKÄSITTELYSOPIMUS



Tämä tietojenkäsittelysopimus (”TKS”) on laadittu seuraavien osapuolten välillä:

  1. Skanska Oy

0102282-6

Nauvontie 18, 00280 HELSINKI

Yhteyshenkilö tietosuoja-asioissa: Xxxxx Xxxxx

tehden tämän TKS:n omasta puolestaan ja kaikkien muiden sen kanssa samaan konserniin kuuluvien yhtiöiden puolesta (“Rekisterinpitäjä”) ja

  1. Pääsopimuksen osapuolena oleva Toimittaja.

Yhteyshenkilö: Pääsopimukseen määritelty yhteyshenkilö

(”Käsittelijä”).



Yhdessä "Osapuolet", kumpikin erikseen "Osapuoli".

  1. tausta ja tavoite

    1. Osapuolet ovat tehneet alihankintasopimuksen ("Pääsopimus"). Käsittelijä saa/voi saada tämän tehtävän puitteissa pääsyn Skanskan rekisterin / rekisterien henkilötietoihin ja käsittelee/voi tehtävänsä puitteissa käsitellä henkilötietoja, joiden osalta Rekisterinpitäjä tai muu Rekisterinpitäjän kanssa samaan konserniin kuuluva yhtiö toimii rekisterinpitäjänä. Tämä tarkoittaa sitä, että Käsittelijä toimii soveltuvan tietosuojalainsäädännön mukaisesti ("Tietosuojalainsäädäntö") henkilötietojen käsittelijänä Rekisterinpitäjän tai muun Rekisterinpitäjän kanssa samaan konserniin kuuluvan yhtiön toimeksiannosta.

    2. Tämän TKS:n tavoitteena on täyttää Tietosuojalainsäädännössä rekisterinpitäjän ja käsittelijän väliselle sopimukselle asetetut vähimmäisvaatimukset.

  1. määritelmät

    1. TKS:ssa käytetyillä termeillä tarkoitetaan samaa kuin Tietosuojalainsäädännössä, mikä merkitsee muun muassa, että:

  1. Termillä henkilötieto tarkoitetaan mitä tahansa tietoa, joka on suoraan tai välillisesti yhdistettävissä luonnolliseen henkilöön;

  2. Termillä käsittely tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;

  3. Termillä rekisterinpitäjä tarkoitetaan toimijaa, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot;

  4. Termillä henkilötietojen käsittelijä tarkoitetaan toimijaa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

  5. Termillä alihankkija tarkoitetaan Käsittelijän alihankkijaa. Xxxxxxxxxxx käsittelee henkilötietoja Rekisterinpitäjän lukuun alihankkijan Käsittelijän kanssa sopimien velvoitteiden mukaisesti;

  6. Termillä Euroopan komission mallisopimuslausekkeet tarkoitetaan henkilötietojen kolmansiin maihin siirtämistä säänteleviä mallisopimuslausekkeita, jotka Euroopan komissio on hyväksynyt 5 päivänä helmikuuta 2010 annetulla komission päätöksellä K(2010)593, tai vastaavalla kyseisen päätöksen korvaavalla päätöksellä; ja

  7. Termillä Tietosuojalainsäädäntö tarkoitetaan soveltuvaa tietosuojalainsäädäntöä. Soveltuvalla tietosuojalainsäädännöllä tarkoitetaan 25. toukokuuta 2018 lähtien Euroopan parlamentin ja neuvoston 27 päivänä huhtikuuta 2016 antamaa asetusta (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus; "GDPR") ja sellaista kansallista lainsäädäntöä, jolla yleinen tietosuoja-asetus pannaan täytäntöön

  1. velvollisuudet ja ohjeet

    1. Käsittelijä sitoutuu käsittelemään henkilötietoja, joihin sillä on Sopimuksen nojalla pääsy, Rekisterinpitäjän lukuun Sopimuksen toteuttamiseksi ja Sopimuksen voimassaolon ajan. Käsittelijä sitoutuu lisäksi:

  1. Käsittelemään henkilötietoja Tietosuojalainsäädännön, Sopimuksen ja muiden Rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti. Käsittelijä voi kuitenkin käsitellä tietoja ilman erillisiä ohjeita, mikäli Käsittelijään sovellettavassa Euroopan unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa Käsittelijä tiedottaa Rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;

  2. Olemaan käyttämättä tämän TKS:n nojalla sille siirrettyjä tai sen siirtämiä, sille kerättyjä tai sen keräämiä, sille tuotettuja tai sen tuottamia tai sen muulla tavoin käsittelemiä henkilötietoja omassa liiketoiminnassaan;

  1. Pitämään henkilötiedot salassa ja olemaan luovuttamatta henkilötietoja kolmannelle osapuolelle sekä käyttämättä henkilötietoja muillakaan tavoin Sopimuksen ja TKS:n kanssa ristiriidassa olevalla tavalla. Käsittelijän tulee myös varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

  2. Ottaen huomioon käsittelytoimen luonteen auttamaan Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat GDPR:n III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä; ja

  3. Auttamaan Rekisterinpitäjää varmistamaan, että yleisen tietosuoja-asetuksen 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan (ml. turvatoimien toteuttaminen, henkilötietojen tietoturvaloukkausten hallinta, tietosuojaa koskevan vaikutustenarvioinnin suorittaminen ja valvontaviranomaisen ennakkokuulemisiin osallistuminen) ottaen huomioon käsittelyn luonteen ja Käsittelijän saatavilla olevat tiedot.

  1. Henkilötietojen siirto

Käsittelijä ei saa siirtää henkilötietoja kolmansiin maihin tai EU:n tai ETA:n ulkopuoliseen kansainväliseen organisaatioon (yhdessä "Kolmannet maat"), ellei Rekisterinpitäjä ole nimenomaisesti vaatinut näin tai antanut siihen suostumustaan. Tällainen suostumus tulee pyytää ja antaa kirjallisesti, jokaiselle siirtojen vastaanottajalle ja/tai siirron vastaanottajan sijaintipaikalle erikseen.

  1. Tietoturvallisuus

Käsittelijä toteuttaa kaikki asianmukaiset tekniset ja organisatoriset toimenpiteet Tietosuojalainsäädännön vaatiman turvallisuustason varmistamiseksi (yleisen tietosuoja-asetuksen 32 artikla (Henkilötietolain (523/1999) 32 §) sekä muut tarpeelliset toimenpiteet Käsittelijälle tässä Sopimuksessa asetettujen tai muutoin Rekisterinpitäjän TKS:n perusteella muutoin asettamien turvallisuusvaatimusten noudattamiseksi.)

Käsittelijä sitoutuu tiedottamaan Rekisterinpitäjälle niistä teknisistä ja organisatorisista toimenpiteistä, jotka Käsittelijä toteuttaa turvatakseen Rekisterinpitäjän lukuun käsittelemänsä henkilötiedot. Turvallisuusohjeet on määritelty tarkemmin Liitteessä 1. Mikäli Käsittelijä aikoo tehdä muutoksia, joilla voi olla vaikutusta henkilötietojen suojaukseen, Käsittelijän tulee tiedottaa Rekisterinpitäjää tästä etukäteen siten, että Rekisterinpitäjälle varataan tosiasiallinen mahdollisuus vastustaa em. muutoksia.

Käsittelijä ilmoittaa mahdollisesta tai tapahtuneesta Henkilötietojen tietoturvaloukkauksesta tai muusta Tietosuojalainsäädännön, tämän TKS:n tai Rekisterinpitäjän ohjeiden vastaisesta käsittelystä Rekisterinpitäjälle viipymättä siitä, kun se on saanut tiedon loukkauksesta. Käsittelijän tulee ilmoituksen osana antaa Rekisterinpitäjälle viipymättä kaikki tarpeelliset tiedot kyseisestä häiriötilanteesta ja siihen liittyvistä toimenpiteistä, erityisesti:

  1. kuvaus henkilötietojen tietoturvaloukkauksen luonteesta, sisältäen tiedot sellaisten rekisteröityjen ja henkilörekisterien ryhmistä ja arvioiduista määristä, joihin loukkaus vaikuttaa, sekä muut Tietosuojalainsäädännön asettamat vaatimukset;

  1. tarpeelliset tiedot Rekisterinpitäjän lakisääteisten velvoitteiden ja sopimusvelvoitteiden täyttämisen kannalta. Nämä velvoitteet voivat perustua muun muassa Tietosuojalainsäädäntöön, kolmannen osapuolen kanssa tehtyihin sopimuksiin ja/tai valvontaviranomaisen tai tuomioistuimen antamaan pyyntöön, ohjeistukseen ja/tai päätökseen; ja

  2. tarpeelliset tiedot vastaavien henkilötietojen tietoturvaloukkausten ehkäisemiseksi sekä valvontaviranomaiselle, rekisteröidyille ja mahdollisille kolmansille osapuolille tehtävien ilmoitusten tekemiseksi.

  1. auditointi

    1. Käsittelijän tulee sallia Rekisterinpitäjälle pääsy kaikkeen vaadittuun tietoon TKS:n mukaisten velvollisuuksien noudattamisen varmistamiseksi. Käsittelijän tulee sallia Rekisterinpitäjän, viranomaisen tai Rekisterinpitäjän valtuuttaman kolmannen osapuolen suorittamat auditoinnit, mukaan lukien tarkastukset, ja osallistua niihin. Mikäli auditoinnin suorittaa Rekisterinpitäjän valtuuttama kolmas osapuoli, tämä osapuoli ei saa olla Käsittelijän kilpailija ja sen tulee sitoutua salassapitovelvollisuuteen koskien Käsittelijän tietoja.

    2. Käsittelijän tulee tiedottaa ja kuulla Rekisterinpitäjää välittömästi, mikäli valvontaviranomainen käynnistää tai toteuttaa minkään toimenpiteen Käsittelijää koskien Sopimuksen tai TKS:n alaiseen henkilötietojen käsittelyyn liittyen.

  2. alihankkijoiden käyttö

    1. Käsittelijä ei saa käyttää alihankkijoita Käsittelijän TKS:n alaisen henkilötietojen käsittelyn suorittamiseksi, tai vaihtaa tällaista alihankkijaa, ilman Rekisterinpitäjän kirjallista ennakkolupaa.

  3. vahingot ja korvaaminen

    1. Käsittelijän tulee rajoituksetta puolustaa Rekisterinpitäjää sellaiselta vahingolta, joka seuraa Käsittelijän suorittamasta henkilötietojen käsittelystä vastoin TKS:sta tai Tietosuojalainsäädäntöä. Selvyyden vuoksi todetaan, että hallinnolliset sakot määrätään velvollisuuksiaan rikkoneelle Osapuolelle, eikä kumpikaan Osapuoli tämän johdosta vastaa toisen Osapuolen hallinnollisista sakoista.

    2. Käsittelijälle tämän Sopimuksen perusteella suoritettavat korvaukset sisältävät korvauksen kaikista Käsittelijän TKS:n alaisista sitoumuksista. Näin ollen käsittelijällä ei ole oikeutta veloittaa Rekisterinpitäjää tämän TKS:n mukaisten velvoitteiden täyttämisestä aiheutuvista kustannuksista, elleivät osapuolet ole toisin kirjallisesti sopineet.

  4. Soveltamisjärjestys

Tämä TKS on erottamaton osa Sopimusta. Mikäli Sopimuksen ehdot ja tämän TKS:n ehdot ovat keskenään eriäviä tai muutoin ristiriidassa, sovelletaan tätä TKS:ta.

  1. sopimuskausi

    1. Tämä TKS tulee voimaan sen allekirjoituksesta ja on voimassa sen ajan, kun Käsittelijä käsittelee henkilötietoja Rekisterinpitäjän lukuun.

    2. Mikäli Käsittelijä rikkoo TKS:n tai Tietosuojalainsäädännön mukaisia velvollisuuksiaan eikä korjaa rikkomustaan kolmenkymmenen (30) päivän, tai Osapuolten erikseen sopiman määräajan, sisällä siitä, kun Käsittelijä on tullut tietoiseksi rikkomuksesta, Rekisterinpitäjällä on oikeus irtisanoa Sopimus välittömästi tai ilmoittamallaan pidemmällä irtisanomisajalla.

    3. Käsittelijän tulee Sopimuksen rauetessa tai päättyessä, Rekisterinpitäjän ohjeiden mukaan, joko poistaa tai palauttaa kaikki henkilötiedot ilman erillistä maksua Rekisterinpitäjälle, ja poistaa olemassa olevat jäljennökset, paitsi jos Euroopan unionin oikeudessa tai jäsenvaltion kansallisessa lainsäädännössä vaaditaan säilyttämään henkilötiedot. Käsittelijä sitoutuu pyytämään Rekisterinpitäjältä tarvittavat ohjeet aktiivisesti ja viivytyksettä.

  2. sovellettava laki ja riidanratkaisu

    1. Tähän TKS:een sovelletaan Suomen lakia, lain valintaa koskevia säännöksiä lukuun ottamatta.

    2. Erimielisyydet liittyen TKS:n tulkintaan ja soveltamiseen ratkaistaan Sopimuksen riidanratkaisua koskevien ehtojen mukaan.

    3. Riidanratkaisua koskevien ehtojen puuttuessa Pääsopimuksesta sovelletaan tätä kohtaa. Tästä sopimuksesta aiheutuvat riidat ratkaistaan lopullisesti välimiesmenettelyssä Lain välimiesmenettelystä (967/1992, tai sellaisena kuin se on muutettuna) mukaisesti. Välimiesoikeus on yksijäseninen. Välimiesmenettelyn paikka on Helsinki, Suomi. Välimiesmenettelyn kieli on suomen kieli, mutta kirjelmät, todistelu sekä todistajien kuuleminen voidaan toimittaa joko suomeksi, ruotsiksi tai englanniksi. Salassapito koskee välimiesmenettelyprosessia sekä välitystuomiota.

_____________________________________

Tämä sopimus on tullut osapuolten välillä sitovaksi ja osaksi Pääsopimusta Pääsopimuksen allekirjoituksin, missä tämän sopimuksen soveltamisesta on sovittu.



7(7)


Document Metadata

Filed: June 7th, 2018