Tietojenkäsittelysopimus
1. Sopimuksen kohde ja soveltaminen
1.1. Sopimuksen kohde
Tätä sopimusta sovelletaan, kun Toimittaja käsittelee henkilötietoja asiakkaan lukuun sopijapuolten välisen sopimuksen perusteella.
1.2. Osapuolten roolit
Käsiteltäessä henkilötietoja Asiakas on rekisterinpitäjä ja Toimittaja (”käsittelijä”) on henkilötietojen käsittelijä, ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Asiakkaan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Asiakas vastaa rekisterinpitäjänä.
Lisäykset
Käsittely asiakkaan lukuun
Tässä sopimuksessa määritellään Asiakasta ja Toimittajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Asiakkaan toimeksiannosta käsittelee henkilötietoja Asiakkaan puolesta. Näissä ehdoissa kuvatuista Toimittajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu. Jos Sopijapuolten välillä muodostettu ylläpito-, tuki- ja käyttöpalvelusopimus kuitenkin määrittelee, että toimittaja on oikeutettu veloittamaan tietyn luontoisesta toimenpiteestä, noudatetaan silloin kyseistä sopimusta ja kulloinkin voimassa olevaa hinnastoa.
Liitos pääsopimukseen
Tämä sopimus on osa Osapuolten välistä palvelusopimusta (jäljempänä "Pääsopimus") ja muodostaa Pääsopimuksen liitteen. Tähän sopimukseen sovelletaan Pääsopimuksen ehtoja niiltä osin kuin tässä sopimuksessa ei ole muuta sovittu. Mikäli tämän sopimuksen ja Pääsopimuksen välillä ilmenee ristiriita, sovelletaan henkilötietojen käsittelyn osalta ensisijaisesti tätä sopimusta.
Sitoutuminen lain noudattamiseen
Osapuolet sitoutuvat noudattamaan Suomessa ja EU:ssa kulloinkin voimassa olevaa henkilötietojen käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän sopimuksen ehtoja niiden mukaiseksi.
2. Henkilötietojen käsittelyn tarkoitus
2.1. Toimittajan henkilötietojen käsittelyn luonne ja tarkoitus
Toimittajan henkilötietojen käsittelyn tarkoituksena on 1) Pääsopimuksessa kuvatun palvelun tarjoaminen; 2) varmistaa Asiakkaan palveluun tallentamien tietojen saatavuus ja eheys (mm. varmuuskopiointi ja lokitus); 3) Asiakkaan palveluun kutsumien käyttäjien turvallinen tunnistaminen; sekä 4) pyynnöstä Asiakkaan auttaminen erilaisissa ongelmatilanteissa ja rekisteröidyn oikeuksien toteuttamisessa.
Lisäykset
Käsittelyn kesto
Toimittaja käsittelee henkilötietoja sopimuksen voimassaolon ajan, elleivät osapuolet ole muuta sopineet
2.2. Toimittajan käsittelemien henkilötietojen tyyppi ja rekisteröityjen ryhmät
Toimittaja käsittelee 1) asiakkaan pääkäyttäjien; sekä 2) pääkäyttäjän kutsumien muiden käyttäjien henkilötietoja. Henkilötiedot ovat tyypiltään 1) yhteystietoja (nimi, sähköpostiosoite); 2) teknisiä tunnisteita ja lokeja (IP-osoitteet, kirjautumisloki, muutosloki); sekä 3) henkilöiden itse tallentamaa sisältöä.
3. Henkilötietojen käsittelyn periaatteet, vastuut ja ohjeistus
3.1. Asiakkaan oikeus ja vastuu käsittelyn ohjeistamisessa
Asiakkaalla on oikeus antaa toimittajalle sitovia kirjallisia ohjeita henkilötietojen käsittelystä. Toimittajan ja Toimittajan henkilöstön tulee käsitellä henkilötietoja soveltuvan tietosuojalainsäädännön mukaisesti sekä sopijapuolten sopimuksen ja asiakkaan toimittajalle toimittamien kirjallisten ohjeiden mukaisesti. Liitteessä tarkennetaan henkilötietojen käyttötarkoituksia, jotka nähdään oletuksellisesti Asiakkaan Toimittajalle ohjeistamiksi.
3.2. Asiakkaan vastuu käsittelyn lainmukaisuudesta
Asiakas vastaa Toimittajalle antamiensa henkilötietojen oikeellisuudesta ja käsittelyn lainmukaisuudesta.
3.3. Tietojen siirto EU:n tai ETA:n ulkopuolelle
Toimittajalla on oikeus käsitellä Asiakkaan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Asiakkaan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
3.4. Toimittajan velvollisuus huomauttaa lainvastaisista ohjeista
Toimittaja ilmoittaa ilman aiheetonta viivytystä Asiakkaalle, jos Asiakkaan antamat ohjeet ovat puutteellisia tai jos Toimittaja epäilee niitä lainvastaisiksi.
Lisäykset
Toimittajan velvollisuus noudattaa ohjeita
Toimittaja sitoutuu käsittelemään henkilötietoja Asiakkaan ohjeiden ja sopimusehtojen mukaan. Ryhmittymän ollessa käsittelijänä tämän sopimuksen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
Toimittajan oikeus käyttää anonymisoitua tietoa
Toimittaja saa käsittelyn aikana ja sen päätyttyä säilyttää ja käyttää hyväksi henkilötiedoista anonymisoimalla syntyneitä tietoja toimintansa ja tuotteidensa kehittämisessä. Anonymisoinnilla tarkoitetaan tietojen muokkaamista siten, ettei niistä voida millään toimenpiteillä enää tunnistaa henkilöitä.
Käyttökielto muuhun käyttöön
Toimittaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.
4. Toisen henkilötiedon käsittelijän käyttö
4.1. Oikeus alihankkijoiden käyttöön
Jos Toimittajan alihankkija käsittelee Asiakkaan henkilötietoja, alihankkijan käyttäminen edellyttää Asiakkaan ennakkoon kirjallisesti antamaa lupaa.
4.2. Ilmoitus alihankkijoiden lisäämisestä tai vaihtamisesta
Toimittaja ilmoittaa Asiakkaalle, jos se suunnittelee vaihtavansa tai lisäävänsä henkilötietojen käsittelyyn osallistuvia alihankkijoita.
Asiakkaalla on oikeus vastustaa tällaisia muutoksia perustellusta syystä. Asiakkaan on ilmoitettava vastustamisesta ilman aiheetonta viivytystä sen jälkeen, kun se sai Toimittajalta tiedon asiasta.
Xxx Xxxxxxx ei hyväksy alihankkijan vaihtamista tai lisäämistä, Toimittajalla on oikeus irtisanoa Sopimus 30 päivän irtisanomisajalla.
4.3. Vastuu alihankkijan toiminnasta
Toimittaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset henkilötietojen käsittelystä. Toimittaja vastaa alihankkijoiden toimista ja laiminlyönneistä suhteessa Asiakkaaseen.
Lisäykset
Nykyiset alihankkijat
Mikäli Toimittaja käyttää sopimushetkellä alihankkijoita henkilötietojen käsittelyyn, on alihankkijat listattu kirjalliseksi liitteeksi Pääsopimukseen.
Toimittajan velvollisuus toimittaa pyydettäessä kirjallinen kooste alihankkijoista
Toimittaja tiedottaa Asiakkaan kirjallisen pyynnön perusteella Asiakkaalle kirjallisesti käyttämänsä alihankkijoista
5. Henkilötietojen salassapito
5.1. Salassapitovelvollisuuden järjestäminen
Toimittaja varmistaa, että henkilötietojen käsittelyyn osallistuva Toimittajan henkilöstö noudattaa asianmukaista salassapitovelvollisuutta tai heitä koskee lakisääteinen salassapitovelvollisuus.
6. Henkilötietojen suojaaminen
6.1. Toteutettavat turvallisuuskäytännöt
Toimittajan tulee tehdä asianmukaiset tekniset ja organisatoriset toimenpiteet torjuakseen ja ehkäistäkseen henkilötietojen luvattoman ja laittoman käsittelyn sekä torjuakseen henkilötietojen tahattoman katoamisen, muutoksen, tuhoutumisen tai vahingoittumisen.
Lisäykset
Asiakkaan ilmoitus turvallisuuteen vaikuttavista seikoista
Xxxxxxx on velvollinen varmistamaan, että Toimittajalle tiedotetaan kaikista niistä Asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat sopimuksen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin.
7. Rekisteröidyn oikeuksien toteuttamisen auttaminen
7.1. Avustaminen pyynnön käsittelyssä
Toimittajan tulee ilman viivytystä Asiakkaan pyynnöstä tarjota asiakkaalle kaikki sellaiset tiedot, sisältäen pääsyoikeudet, jotka vaaditaan rekisteröityjen oikeuksien turvaamiseksi tai noudattaakseen tietosuojaviranomaisten vaatimuksia.
7.2. Ilmoitusvelvollisuus vastaanotettaessa pyyntö
Toimittaja ilmoittaa viipymättä asiakkaalle kaikista rekisteröityjen, tietosuojavaltuutetun tai muun viranomaisen vaatimuksista ja tiedusteluista.
Toimittaja ei itse vastaa näihin pyyntöihin.
Asiakkaan velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta.
7.3. Veloitus avustamisesta
Toimittajalla on oikeus veloittaa Asiakasta kaikista rekisteröidyn oikeuksien toteuttamista koskevista toimenpiteistä tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.
7.4. Tietosuojaviranomaisten tiedustelut
Toimittajan tulee ilmoittaa Asiakkaalle viipymättä tietosuojaviranomaisen tai muun viranomaisten vaatimuksista tai tiedusteluista. Toimittajalla ei ole valtuuksia edustaa Asiakasta tai toimia Asiakkaan puolesta Asiakasta valvovien tietosuojaviranomaisten kanssa.
8. Tietoturvaloukkausten informoinnin, vaikutustenarvioinnin sekä ennakkokuulemisen auttaminen
8.1. Tietoturvaloukkauksesta ilmoittaminen
Sopijapuolen on ilmoitettava toiselle Sopijapuolelle ilman aiheetonta viivytystä tietoonsa tulleesta tietoturvaloukkauksesta. Asiakkaan on tietoturvaloukkauksen ilmoittamisen yhteydessä toimitettava Toimittajalle kaikki se tieto, jonka voidaan katsoa auttavan tietoturvaloukkauksen selvittämisessä, rajaamisessa tai estämisessä.
8.2. Tietoturvaloukkausta koskevan ilmoituksen sisältö
Toimittajan on aina tietoturvaloukkauksen ilmoittamisen yhteydessä toimitettava Asiakkaalle seuraavat tietoturvaloukkaukseen liittyvät tiedot: a) kuvaus Tietoturvaloukkauksesta, sisältäen mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät (siltä osin kuin kyseiset tiedot ovat Toimittajan saatavilla); b) Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätietoja; c) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista; ja d) kuvaus toimenpiteistä, jotka Toimittaja on toteuttanut Tietoturvaloukkauksen johdosta ja mahdolliset toimenpiteet, jotka Toimittaja on tehnyt Tietoturvaloukkauksen haittavaikutusten lieventämiseksi.
Lisäykset
Toiminta tietoturvaloukkaus havaittaessa
Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.
Tietoturvaloukkausten dokumentointi
Toimittajan tulee dokumentoida kaikki tietoturvaloukkaukset, niiden vaikutukset sekä korjaavat toimenpiteet.
Vastuu ilmoittamisesta viranomaisille
Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaisille.
Asiakkaan vastuu tietoturvaloukkauksen kustannuksista
Jos Tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta syystä, Asiakas vastaa Toimittajalle Tietoturvaloukkauksesta ja niitä koskevista ilmoituksista aiheutuvista kustannuksista. Toimittajalla on oikeus laskuttaa Asiakasta aiheettomiksi todetuista Asiakkaan pyynnöstä käynnistetyistä selvitystöistä muodostuvista kustannuksista kulloinkin voimassa olevan Toimittajan hinnaston mukaisesti.
9. Avoin tiedonjako ja auditointioikeus
9.1. Oikeus auditointiin
Asiakkaalla tai tämän valtuuttamallaan auditoijalla on oikeus tarkastaa Toimittajan tai tämän käyttämien alihankkijoiden henkilötietojen käsittelyn velvollisuuksien noudattaminen. Toimittajan on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.
Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 työpäivää ennen tarkastusta.
9.2. Tiedonjako ja toimittajan osallistuminen
Toimittaja osallistuu tarkastuksen toteuttamiseen ja antaa tarkastajalle ne tiedot, jotka ovat tarpeen osoittamaan, että Toimittaja noudattaa tässä sopimuksessa sille määriteltyjä velvollisuuksia.
Tarkastajalla ei ole oikeutta saada pääsyä Toimittajan asiakkaiden tai yhteistyökumppaneiden tietoihin.
9.3. Auditoinnin kustannukset
Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkastuksista aiheutuneet kustannukset. Mikäli tarkastukset paljastavat merkittäviä puutteita Toimittajan toiminnoissa, Toimittaja vastaa tarkastuksista aiheutuvista omista kustannuksistaan.
Lisäykset
Auditointi ei ole vastuuvapautus
Mahdolliset asiakkaan suorittamat tarkastukset eivät rajoita toimittajan tai sen alihankkijoiden näiden erityisehtojen tai sopimuksen mukaisia velvollisuuksia ja vastuita.
10.Henkilötietojen poistaminen tai palauttaminen rekisterinpitäjälle käsittelyn päättyessä
10.1. Poistaminen sopimuksen päätyttyä
Sopimuksen päättyessä tai purkautuessa Toimittaja poistaa tai palauttaa henkilötiedot Asiakkaan kirjallisen pyynnön mukaisesti sekä poistaa kaikki kopiot niistä.
Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toimittaja säilyttää henkilötiedot.
Toimittajalla on oikeus veloittaa Asiakasta henkilötietojen palauttamisesta tai tuhoamisesta tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.
Lisäykset
Poistaminen käsittelyn aikana
Sopimuksen voimassaoloaikana Toimittaja ei saa poistaa Asiakkaan lukuun käsittelemiään henkilötietoja ilman Asiakkaan nimenomaista pyyntöä. Tämä ei kuitenkaan sisällä lokitietoja, jotka poistuvat automaattisesti vuoden kuluttua niiden luomisesta.
Säilytysvelvollisuus sopimuksen päätyttyä
Jos Asiakas ei sopimuksen päätyttyä pyydä poistamaan henkilötietoja, tulee Toimittajan säilyttää niitä kuusi (6) kuukautta ennen kuin poistaa ne, ellei lainsäädännöstä muuta johdu.
11. Vahingonkorvaukset ja riitojenratkaisu
11.1. Vahingonkorvaukset ja hallinnolliset sakot rekisteröidylle aiheutuneesta vahingosta
Jos rekisteröidylle aiheutuu tietosuoja-asetuksen tai sopimuksen loukkauksista aineellista tai aineetonta vahinkoa, Toimittaja on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tietosuoja-asetuksen tai tämän sopimuksen velvoitteita.
11.2. Vahingonkorvaukset sopijapuolten välillä
Sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on yhteensä enintään 40 prosenttia toimituksen kohteen arvonlisäverottomasta kokonaishinnasta.
Sopijapuoli ei vastaa välillisestä vahingosta. Välillisenä vahinkona pidetään esimerkiksi saamatta jäänyttä voittoa tai vahinkoa, joka johtuu tuotannon tai liikevaihdon vähentymisestä tai keskeytymisestä.
Vastuunrajoitukset eivät koske vahinkoa, joka on aiheutettu toimituksen kohteen lain tai sopimuksen vastaisella luovutuksella, kopioinnilla tai käytöllä, immateriaalioikeuksien loukkaamiselle, salassapitoa rikkomalla, tahallisesti tai törkeällä huolimattomuudella.
12. Sopimuksen voimaantulo
12.1. Allekirjoitukset
Tämä sopimus tulee voimaan, kun molemmat osapuolet ovat allekirjoittaneet pääsopimuksen.
12.2. Sopimuksen päättyminen
Sopimus on voimassa a) niin pitkään kuin pääsopimus on voimassa tai b) osapuolilla on henkilötietojen käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.
Lisäykset
Muutokset sopimukseen
Sopimukseen tehdyt muutokset ovat päteviä vain, jos ne on tehty kirjallisesti ja jos molemmat sopijapuolet ovat vahvistaneet ne allekirjoituksillaan tai sähköpostitse lähetetyllä muutosta koskevalla vahvistuksella.
Toimittajan kyky vastata sopimukseen
Toimittaja tiedottaa Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä sopimusta ja Asiakkaan antamia kirjallisia ohjeita.
Velvoitteet sopimuksen jälkeen
Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän sopimuksen voimassaolon päättymisestä riippumatta, jäävät voimaan sopimuksen päättymisen jälkeen.