TIETOJENKÄSITTELYSOPIMUS
TIETOJENKÄSITTELYSOPIMUS
OSAPUOLET:
Epassi Finland Oy (Y-tunnus: 3220764-7) ja Epassi Clearing Oy (Y-tunnus: 2872241-9), jotka toimivat yhteisrekisterinpitäjinä (jäljempänä molempiin viitataan asiayhteydestä riippuen yhdessä tai erikseen nimityksellä ”Epassi”), toimivat henkilötietojen käsittelijöinä Xxxxxxx kanssa Palvelusopimuksen tehneen asiakkaan (”Asiakas” tai ”Rekisterinpitäjä”) lukuun tässä sopimuksessa jäljempänä kuvatusti.
Epassista ja Asiakkaasta käytetään jäljempänä erikseen nimitystä ”Osapuoli” ja yhdessä nimitystä ”Osapuolet”.
1. KOHDE JA TARKOITUS
Tätä tietojenkäsittelysopimusta (jäljempänä ”Tietojenkäsittelysopimus”) sovelletaan henkilötietojen käsittelyyn osana työnantaja-asiakkaiden Epassi-palvelusopimusta (”Palvelusopimus”), jonka mukaisesti Epassi tarjoaa asiakkaalle tiettyjä, Palvelusopimuksessa määriteltyjä palveluita (”Palvelut”).
Tässä Tietojenkäsittelysopimuksessa määritellään Osapuolten tietosuojaa ja tietosuojalainsäädännön noudattamista koskevat velvollisuudet. Osapuolten (ja näiden edustajien) on noudatettava tätä Tietojenkäsittelysopimusta Palvelusopimuksen mukaisten velvollisuuksiensa suorittamisen yhteydessä.
Käsittelyn laajuus kuvataan tarkemmin Liitteessä A (Kuvaus Henkilötietojen käsittelystä ja luettelo hyväksytyistä Henkilötietojen alikäsittelijöistä). Kaikesta ylimääräisestä henkilötietojen käsittelystä on sovittava erikseen. Osapuolten on tarvittaessa täydennettävä Palvelusopimusta erillisellä asiakirjalla, jossa kuvataan tarkemmin Palvelusopimuksen puitteissa suoritettava henkilötietojen käsittely.
2. MÄÄRITELMÄT
”Henkilötiedoilla” tarkoitetaan tietosuojalainsäädännön määritelmän mukaisia henkilötietoja.
”Tietoturvaloukkauksella” tarkoitetaan tietosuojalainsäädännön määritelmän mukaista
tietoturvaloukkausta.
”Rekisteröidyllä” tarkoitetaan tietosuojalainsäädännön määritelmän mukaista luonnollista henkilöä, jonka
Henkilötietoja Epassi käsittelee Palvelusopimuksen puitteissa.
”Tietosuojalainsäädännöllä” tarkoitetaan tietosuojaa koskevaa kansallista ja EU:n lainsäädäntöä, kuten
yleistä tietosuoja-asetusta (”GDPR”, EU 2016/679).
Tietosuojaan liittyviä termejä, joita ei ole määritelty tässä Tietojenkäsittelysopimuksessa, käytetään GDPR:n mukaisessa merkityksessä.
3. VAATIMUSTENMUKAISUUS JA ASIAKKAAN OHJEET
Epassin Palveluiden tarjonnassa noudatetaan aina Tietosuojalainsäädäntöä.
Siltä osin kuin Xxxxxx käsittelee Henkilötietoja Asiakkaan lukuun, Epassi käsittelee Henkilötietoja ainoastaan siinä laajuudessa kuin on tarpeen sen Palvelusopimuksen mukaisten velvollisuuksien täyttämiseksi ja Palvelusopimuksessa tai tässä Tietojenkäsittelysopimuksessa nimenomaisesti mainittujen dokumentoitujen ja lainmukaisten ohjeiden mukaisesti.
Mikäli jokin tuleva Asiakkaan kirjallinen ohje ylittää sen, mitä laissa on säädetty tarpeelliseksi, tai jos Asiakas lähettää uusia ohjeita tätä Tietojenkäsittelysopimusta ja Palvelusopimusta koskevien ohjeiden lisäksi, Epassilla on oikeus kohtuulliseen korvaukseen Epassin kulloinkin voimassa olevan hinnaston tai aiheutuneiden kulujen mukaisesti tai sen mukaan, mitä on erikseen sovittu Osapuolten välillä.
Epassi varmistaa, että sen alikäsittelijät noudattavat samoja Henkilötietoja koskevia vaatimuksia.
Jos Epassi ei voi täyttää tämän Tietojenkäsittelysopimuksen mukaisia velvoitteitaan tai jos se katsoo, että Henkilötietojen käsittelyä koskeva ohje on sovellettavan Tietolainsäädännön vastainen, Epassi ilmoittaa asiasta Asiakkaalle edellyttäen, että mikään sovellettava lainsäädäntö ei kiellä Epassia ilmoittamasta Asiakkaalle.
4. KOLMANSIEN OSAPUOLTEN KÄYTTÄMINEN KÄSITTELYSSÄ
Epassi voi käyttää Henkilötietojen käsittelyyn alikäsittelijöitä sillä edellytyksellä, että
(i) alikäsittelystä sovitaan kirjallisella tietojenkäsittelysopimuksella
(ii) alikäsittelijän kanssa solmittavaan tietojenkäsittelysopimukseen sisältyy velvoitteita, jotka vastaavat tässä Tietojenkäsittelysopimuksessa määriteltyjä velvoitteita ja jotka eivät ole tässä Tietojenkäsittelysopimuksessa määriteltyjä velvoitteita vähemmän rajoittavia.
Epassi ilmoittaa Asiakkaalle kirjallisesti ja viipymättä uuden alikäsittelijän käytöstä. Epassi vastaa alikäsittelijöidensä suorittamasta Henkilötietojen käsittelystä kuin omasta tämän Tietojenkäsittelysopimuksen mukaisesta käsittelystään. Käytetyt alikäsittelijät määritellään tämän Tietojenkäsittelysopimuksen Liitteessä A (Kuvaus Henkilötietojen käsittelystä ja luettelo hyväksytyistä Henkilötietojen alikäsittelijöistä).
5. HENKILÖTIETOJEN KÄSITTELY EU:N/ETA:N ULKOPUOLELLA
Tällä Tietojenkäsittelysopimuksella Asiakas valtuuttaa kaikki nykyiset Palveluiden tarjoamisen kannalta välttämättömät siirrot kolmansiin maihin. Sijainnit, joihin Henkilötietoja voidaan siirtää, on lueteltu tämän Tietojenkäsittelysopimuksen Liitteessä A (Kuvaus Henkilötietojen käsittelystä ja luettelo hyväksytyistä Henkilötietojen alikäsittelijöistä).
Mikäli Palveluiden tarjoamisen yhteydessä tietoja siirretään EU:n/ETA:n ulkopuoliseen maahan, Epassi varmistaa, että kaikkien kyseisten Henkilötietojen siirtojen yhteydessä noudatetaan Tietosuojalainsäädäntöä. Mikäli kyseinen kolmas maa ei pysty tarjoamaan riittävää tietosuojan tasoa, Epassi toteuttaa Henkilötietojen siirrosta kolmansiin maihin asianmukaiset sopimukselliset järjestelyt, kuten solmii sopimukset käyttäen Euroopan komission kansainvälisiin siirtoihin tarkoitettuja vakiosopimuslausekkeita ja toteuttaa mahdolliset lisätoimet, jos niiden katsotaan olevan tarpeen.
6. LUOTTAMUKSELLISUUS
Epassi pitää ja säilyttää Henkilötiedot luottamuksellisina eikä, ellei Asiakkaan kanssa nimenomaisesti ja kirjallisesti muuta sovita, luovuta tai siirrä Henkilötietoja kokonaisuudessaan tai osittain kolmannelle osapuolelle Palvelusopimuksen voimassaolon aikana tai sen jälkeen, ellei sovellettavassa lainsäädännössä muuta edellytetä tai ellei Asiakas anna etukäteen tälle kirjallista valtuutusta tai ellei se ole välttämätöntä tämän Tietojenkäsittelysopimuksen ja Palvelusopimuksen toimivuuden kannalta.
Asiakas sitoutuu pitämään kaikki tiedot, jotka se saa tietoonsa Epassin turvatoimenpiteistä, järjestelyistä, IT- järjestelmistä tai palveluntarjoajista tai jotka muuten ovat luottamukselliseksi katsottavia, täysin luottamuksellisina ja olemaan luovuttamatta mitään luottamuksellisia tietoja kolmansille osapuolille. Asiakas voi luovuttaa kyseisiä tietoja, jos sovellettavan lainsäädännön mukaan Asiakas on niin velvollinen tekemään.
7. TURVATOIMENPITEET
Kaikkina asianmukaisina ajankohtina kohtuullisesti toteutettavissa ja käytettävissä olevin toimin Epassi ylläpitää operatiivisia ja teknisiä toimenpiteitä Henkilötietojen suojaamiseksi Henkilötietojen vahingossa tapahtuvalta, luvattomalta tai laittomalta tuhoamiselta, häviämiseltä, muuttamiselta, luovuttamiselta tai Henkilötietoihin pääsyltä. Epassi toteuttaa vähintään seuraavat kohtuullisesti vaadittavat toimenpiteet soveltuvin osin:
(i) Henkilötietojen pseudonymisointi ja salaus Tietosuojalainsäädännön niin edellyttäessä
(ii) Henkilötietojen käsittelyjärjestelmien ja palveluiden jatkuvan luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden takaaminen kaikkina aikoina
(iii) Henkilötietojen saatavuuden ja niihin pääsyn palauttaminen nopeasti fyysisen tai teknisen vian sattuessa
(iv) teknisten ja organisatoristen toimenpiteiden tehokkuuden testaaminen, tutkiminen ja arvioiminen säännöllisesti Henkilötietojen käsittelyn turvallisuuden varmistamiseksi.
Xxxxxx pitää tarkkaa kirjaa kaikesta Palvelusopimuksen puitteissa suoritettavasta Henkilötietojen käsittelystä ja rajoittaa pääsyn Henkilötietoihin valtuutetulle ja asianmukaisesti koulutetulle henkilöstölle, jolla on perusteltu tarve päästä kyseisiin tietoihin ja jota sitoo asianmukaiset salassapitovelvollisuudet.
8. TIETOTURVALOUKKAUS
Tietoturvaloukkauksen sattuessa Epassi ilmoittaa asiasta Asiakkaalle kirjallisesti 48 tunnin kuluessa siitä, kun Epassi on tullut tietoiseksi Tietoturvaloukkauksesta.
Asiakkaan pyynnöstä Epassi toimittaa Asiakkaalle kohtuullisen yksityiskohtaisen kirjallisen ilmoituksen tietoonsa tulleesta Tietoturvaloukkauksesta. Tietoturvaloukkausta koskevan ilmoituksen tulee sisältää seuraavat tiedot:
(i) kuvaus Tietoturvaloukkauksen luonteesta, mukaan lukien mahdollisuuksien mukaan asianomaisten Rekisteröityjen ryhmät ja arvioidut lukumäärät sekä Henkilötietotyyppien ryhmät ja arvioidut lukumäärät
(ii) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista
(iii) kuvaus toimenpiteistä, joita Epassi on ehdottanut tai jotka se on toteuttanut Tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
9. TARKASTUSOIKEUS
Asiakkaalla on oikeus tarkastaa Xxxxxxx tämän Tietojenkäsittelysopimuksen mukaiset käsittelytoimet tutkiakseen Palvelusopimuksen nojalla käsiteltäville Henkilötiedoille tarjottavan suojan ja tietoturvan tason.
Osapuolet sopivat, että kyseistä oikeutta käyttää tunnistettu, riippumaton kolmannen osapuolen tarkastaja, jolla on todistetusti kokemusta alalta, erillisellä sopimuksella. Kolmannen osapuolen tarkastaja ei saa olla Xxxxxxx kilpailija. Ennen tarkastustoimien aloittamista, tarkastajan on allekirjoitettava Epassin kanssa solmittava salassapitosopimus, joka vastaa suurelta osin Palvelusopimukseen kuuluvia luottamuksellisuutta koskevia ehtoja.
Tarkastuksen aikataulu, tapa ja laajuus sovitaan etukäteen Osapuolten välillä. Tarkastus ei saa kuormittaa Epassia tai vaarantaa Epassia tai Epassin palvelun saatavuutta, laatua, turvallisuutta tai luottamuksellisuutta Epassin muille asiakkaille. Asiakas maksaa kaikki tarkastukseen liittyvät kustannukset. Tarkastus voidaan ajoittaa alkamaan aikaisintaan 30 kalenteripäivän kuluttua siitä, kun Xxxxxx on vastaanottanut ilmoituksen tarkastuksen suorittamisesta.
Mikäli Henkilötietojen käsittelyyn liittyvä tarkastuspyyntö saadaan suoraan toimivaltaiselta valvontaviranomaiselta, Epassi tekee huolellisesti yhteistyötä Asiakkaan kanssa kaikkiin pyyntöihin vastaamiseksi.
10. PÄÄSY HENKILÖTIETOIHIN JA REKISTERÖITYJEN OIKEUDET
Asiakkaan pyynnöstä ja Tietosuojalainsäädännön noudattamiseksi lisäpalveluille asettamilla vakiohinnoillaan Epassi (i) toimittaa Asiakkaalle jäljennöksen yksilöiden Henkilötiedoista konkreettisessa muodossa; (ii) korjaa, estää tai poistaa yksilöiden Henkilötietoja; (iii) toimittaa Asiakkaalle tämän pyytämät tiedot ja tekee tämän kohtuullisesta pyynnöstä Palvelusopimuksen mukaiseen Henkilötietojen käsittelyyn liittyen yhteistyötä esimerkiksi avustamalla Rekisteröityjen oikeuksien käyttämisen helpottamisessa ja (iv) auttaa Asiakasta tämän kohtuullisesta pyynnöstä toimittamaan Henkilötietojen käsittelyn kohteena oleville yksilöille heidän pyytämänsä käsittelyä koskevat tiedot.
Epassi auttaa Asiakasta varmistamaan, että tietosuojaa koskevasta vaikutustenarvioinnista ja mahdollisesta ennakkokuulemisesta säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja Epassin saatavilla olevat tiedot. Epassilla on oikeus veloittaa Asiakkaalta näissä toimissa avustamisesta aiheutuvat kustannukset lisäpalveluille asettamiensa vakiohintojen mukaisesti.
11. VASTUU
Palvelusopimuksen vastuuta koskevia ehtoja sovelletaan tähän Tietojenkäsittelysopimukseen.
Osapuolet sopivat, että vastuu valvontaviranomaisen määräämistä hallinnollisista sakoista tai Rekisteröityjen vaateista jakautuu Osapuolten kesken vastuiden mukaan. Näin ollen se Osapuoli, joka on
valvontaviranomaisen tai kyseisten sakkojen tai vahingonkorvausten määräämiseen valtuutetun toimivaltaisen tuomioistuimen lopullisen ratkaisun mukaan epäonnistunut Tietosuojalainsäädännön mukaisten lakisääteisten velvoitteidensa täyttämisessä, vastaa kyseessä olevien sakkojen maksamisesta tai vahinkojen korvaamisesta. Mikäli kummankin Osapuolen katsotaan epäonnistuneen velvoitteidensa täyttämisessä, maksettavat sakot tai vahingonkorvaukset jaetaan Osapuolten kesken Osapuolten syyllisyyden mukaan.
12. SOVELLETTAVA LAKI JA RIIDANRATKAISU
Palvelusopimuksen sovellettavaa lakia ja riidanratkaisua koskevia ehtoja sovelletaan myös tähän Tietojenkäsittelysopimukseen.
13. MUUT EHDOT
Tämä Tietojenkäsittelysopimus on voimassa Palvelusopimuksen voimassaoloajan sekä Palvelusopimuksen päättymisen jälkeen niin kauan kuin Henkilötietojen käsittelyyn liittyviä tehtäviä on tarpeen suorittaa.
Jotta tähän Tietojenkäsittelysopimukseen mahdollisesti tehtävät muutokset astuvat voimaan, ne on tehtävä kirjallisesti ja kummankin Osapuolen on ne asianmukaisesti hyväksyttävä.
Kummankaan Osapuolen tämän Tietojenkäsittelysopimuksen mukaisia oikeuksia tai velvollisuuksia ei voi siirtää kokonaisuudessaan tai osittain ilman toisen Osapuolen etukäteen antamaa kirjallista suostumusta, ellei tässä Tietojenkäsittelysopimuksessa toisin määrätä tai ellei kyseistä siirtoa tehdä kyseessä olevan Osapuolen koko liiketoiminnan siirron yhteydessä.
Alla mainitut liitteet ovat erottamaton osa Tietojenkäsittelysopimusta.
14. LIITTEET
Tämä Tietojenkäsittelysopimus sisältää seuraavat liitteet:
Liite A: Kuvaus Henkilötietojen käsittelystä ja luettelo hyväksytyistä Henkilötietojen käsittelijöistä
Liite A
Kuvaus Henkilötietojen käsittelystä
Epassi tarjoaa Rekisterinpitäjälle palveluita, joihin sisältyy seuraavien osalta Henkilötietojen käsittelijän suorittamaa Henkilötietojen käsittelyä alla tarkemmin määritellyn mukaisesti: (a) Henkilötietojen käsittelyn luonne ja tarkoitus, (b) Henkilötietojen tyyppi ja Rekisteröityjen ryhmät, (c) sovellettavat tietoturvatoimenpiteet ja (d) Henkilötietojen käsittelyn kesto.
(a) Henkilötietojen käsittelyn luonne ja tarkoitus
Epassi käsittelee Rekisterinpitäjän ja Epassin välisessä Palvelusopimuksessa sovitussa laajuudessa Rekisterinpitäjän työsuhdeasioihin liittyviä Henkilötietoja Palvelusopimuksessa sovitun Palvelun tarjoamiseksi Rekisterinpitäjälle. Näitä palveluita ovat muun muassa verottomien ja verotuettujen henkilöstöetujen ja/tai maksupalveluiden käytön tarjoaminen, osoittaminen, hallinnointi ja siitä raportointi.
(b) Henkilötietojen tyyppi ja Rekisteröityjen ryhmät
Rekisterinpitäjän työntekijöiden, jotka ovat Epassin Palvelun kautta tarjottavien työsuhde-etujen vastaanottajia ja edunsaajia, käsiteltäviä Henkilötietoja ovat seuraavat:
nimi, puhelinnumero, sähköpostiosoite, työntekijän tunnistenumero ja kyseiselle loppukäyttäjälle osoitettujen työsuhde-etujen määrä ja luonne.
(c) Sovellettavat tietoturvatoimenpiteet
Henkilötietoja siirretään Epassille turvallisessa kanavassa synkronoidun ja verkkopalveluun liitetyn käyttöliittymän kautta tai muulla Rekisterinpitäjän kanssa sovitulla tavalla (esimerkiksi Rekisterinpitäjän tietoturvallisen sähköpostin kautta Rekisterinpitäjän omalla vastuulla) Palvelun alkumäärityksen suorittamiseksi Rekisterinpitäjän työntekijöitä varten.
Epassi suorittaa Rekisterinpitäjälle tarkoitettujen palautustietojen jatkuvan käsittelyn ja toimittamisen verkkopalvelunsa kautta Rekisterinpitäjän valtuutetuille edustajille. Rekisterinpitäjän puolelta verkkopalvelun käyttö on suojattu valtuutettujen käyttäjätunnusten ja -salasanojen avulla. Lisätietoja Epassin verkkopalvelujärjestelmän tietoturvatoimenpiteistä toimitetaan Rekisterinpitäjälle tämän pyynnöstä.
(d) Henkilötietojen käsittelyn kesto
Henkilötietoja käsitellään koko Palvelusopimuksen keston ajan ja tämän jälkeen mahdollisen lisäajan niin kauan kuin Henkilötietojen käsittelijän tehtävien suorittamiseksi on tarpeen Palvelunsopimuksen ja sovellettavan tietosuojalainsäädännön ja/tai toimivaltaisten viranomaisten pyyntöjen mukaisesti.
Xxxxxxxx hyväksytyistä Henkilötietojen alikäsittelijöistä
Palvelun nimi | Käyttö | Yrityksen nimi ja sijainti/osoite |
Hetzner | verkkopalvelualustan isännöinti | Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen Saksa |
Microsoft 360 | Saas-palvelua koskevista asiakirjoista viestiminen ja niiden käsittely | Microsoft Ireland Operations, Ltd. Data Protection Xxx Xxxxxxxxx Xxxxx Xxxxx Xxxxxx Xxxxxxxx Xxxx Xxxxxxxxxxxx Xxxxxx 00, X00 X000, Xxxxxxx |
Epassi-palvelut asiakkaille | Asiakaspalvelu edunsaajille | Vakka-Suomen Puhelin Oy Xxxxxxxxxxxxxxxx 00 |
00000 Xxxxxxxxxxxx Xxxxx | ||
Freshworks GmbH | Tukityökalu | Freshworks GmbH Xxxx Xxxxxxxxxx 00 00000 Xxxxxx Xxxxx |
Apsis | Epassi palvelun käyttöön kiinteästi liittyvä viestintä edunsaajille | APSIS International AB Xxxxxxxxxx 0 000 00 Xxxxx Ruotsi x00 00 00 00 00 |
Telavox Oy | Tukityökalu | Telavox Oy Xxxxxxxxxxxxxxx 00-00 X |