GSGroupin tietosuojaehdot – henkilötietojen käsittelysopimus

GSGroupin tietosuojaehdot – henkilötietojen käsittelysopimus

Asetuksen 2016/679 (yleinen tietosuoja-asetus) 28 artiklan 3 kohdan mukaisesti sopijapuolina

asiakas, sopijapuolten välisessä sopimuksessa määritetyllä tavalla (rekisterinpitäjä)

sekä

GSGroup AS

963 299 850

Nordre Kullerød 5B 3241 Sandefjord Norja1

(henkilötietojen käsittelijä)

jäljempänä erikseen ”sopijapuoli” ja yhdessä ”sopijapuolet”

OVAT SOLMINEET seuraavan henkilötietojen käsittelysopimuksen täyttääkseen GDPR-asetuksen vaatimukset ja varmistaakseen rekisteröidyn oikeuksien suojelun.

1 Sekä sen tytäryhtiöt: GSGroup Danmark AS (27047599), GSGroup AB (556445-6704), GSGroup Deutschland GmbH (DE258074748), GSGroup Finland Oy (0973454-5), GSGroup Innovation Centre Zrt (25416866-2-43), GSGroup MyFleet Zrt (01-10-048455), Guard Systems Estonia OÜ (11165968), Guard Systems Latvia SIA (40003797354), UAB Guard Systems (300574578), Flextrack ApS (19670546), GSGroup DK ApS (41551526).

Vakiosopimuslausekkeet, joulukuu 2019

1. Sisällys

Page 2 of 15

2. Johdanto 3

3. Rekisterinpitäjän oikeudet ja velvollisuudet 4

4. Henkilötietojen käsittelijä toimii ohjeiden mukaisesti 4

5. Salassapitovelvollisuus 5

6. Käsittelyn turvallisuus 5

7. Alikäsittelijöiden käyttö 5

8. Tietojen siirtäminen ETA-maiden ulkopuolisiin maihin tai kansainvälisille järjestöille 6

9. Rekisterinpitäjän avustaminen 7

10. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen 8

11. Tietojen poistaminen ja palauttaminen 8

12. Auditoinnit ja tarkastukset 8

13. Vahingonkorvaukset ja vastuunrajoitukset 9

14. Voimaantulo ja päättyminen 9

15. Rekisterinpitäjän ja henkilötietojen käsittelijän yhteystiedot/yhteyspisteet 9

Liite A: GSGroupin sensoriratkaisut – Tietoa käsittelystä 10

Liite B: GSGroupin sensoriratkaisut – Tietoa käsittelystä 13

2. Johdanto

Page 3 of 15

1. Tässä henkilötietojen käsittelysopimuksessa määritetään rekisterinpitäjän ja henkilötietojen käsittelijän oikeudet ja velvollisuudet käsiteltäessä henkilötietoja rekisterinpitäjän puolesta osana GSGroupin palveluja.

2. Tämän henkilötietojen käsittelysopimuksen tarkoituksena on varmistaa, että sopijapuolet noudattavat luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen 2016/679 (EU) (yleinen tietosuoja-asetus) 28 artiklan 3 kohtaa. Tämä henkilötietojen käsittelysopimus perustuu Norjan ja Tanskan valvontaviranomaisten hyväksymään standardiin.

3. Sopijapuolten välisen sopimuksen (jäljempänä ”sopimus”) mukaisesti henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta tämän henkilötietojen käsittelysopimuksen mukaisesti GSGroupin asiakkaalle kulloinkin tarjottavien palvelujen yhteydessä. Tämä henkilötietojen käsittelysopimus on olennainen osa sopimusta.

4. Tämä henkilötietojen käsittelysopimus on ensisijainen muihin, mahdollisesti sopijapuolten kesken solmittujen sopimusten vastaaviin määräyksiin nähden.

5. Tähän henkilötietojen käsittelysopimukseen liittyy kaksi liitettä, jotka muodostavat tämä henkilötietojen käsittelysopimuksen erottamattoman osan.

6. Liitteessä A on seuraavat GSGroupin sensoriratkaisuja koskevat tiedot:

a. Tiedot henkilötietojen käsittelystä, käsittelyn tarkoitus ja luonne mukaan lukien, henkilötietojen tyyppi, rekisteröityjen ryhmät sekä käsittelyn kesto.

b. Tiedot henkilötietojen käsittelijän alikäsittelijöiden käytöstä.

c. Tiedot sovituista turvatoimenpiteistä, jotka henkilötietojen käsittelijän on vähintään toteutettava, sekä tiedot sijainnista, jossa käsittely suoritetaan.

7. Liitteessä B on seuraavat tiedot GSGroupin kenttätyönohjausratkaisuista:

a. Tiedot henkilötietojen käsittelystä, käsittelyn tarkoitus ja luonne mukaan lukien, henkilötietojen tyyppi, rekisteröityjen ryhmät sekä käsittelyn kesto.

b. Tiedot henkilötietojen käsittelijän alikäsittelijöiden käytöstä.

c. Tiedot sovituista turvatoimenpiteistä, jotka henkilötietojen käsittelijän on vähintään toteutettava, sekä tiedot sijainnista, jossa käsittely suoritetaan.

8. Molempien sopijapuolten on säilytettävä tämä henkilötietojen käsittelysopimus sekä sen liitteet kirjallisessa, mukaan lukien elektronisessa muodossa.

9. Tämä henkilötietojen käsittelysopimus ei vapauta henkilötietojen käsittelijää yleisen tietosuoja- asetuksen (GDPR) tai minkään muun lainsäädännön edellyttämistä velvoitteista.

3. Rekisterinpitäjän oikeudet ja velvollisuudet

Page 4 of 15

1. Rekisterinpitäjä on rekisterinpitäjä ja henkilötietojen käsittelijä on henkilötietojen käsittelijä GDPR- asetuksen tarkoittamalla tavalla sekä siihen liittyvien EU- ja ETA-jäsenvaltioiden lakien mukaisesti.

2. Rekisterinpitäjän vastuulla on varmistaa, että henkilötietoja käsitellään tietosuoja-asetuksen (katso GDPR-asetuksen 24 artikla), sovellettavien EU- tai ETA:n jäsenvaltioiden tietosuojasäädösten sekä tämän henkilötietojen käsittelysopimuksen mukaisesti.

3. Rekisterinpitäjällä on oikeus ja velvollisuus tehdä päätöksiä henkilötietojen käsittelyn tarkoituksista ja keinoista.

4. Rekisterinpitäjän vastuulla on muun muassa varmistaa, että sen henkilötietojen käsittelijällä teettämällä henkilötietojen käsittelyllä on oikeusperuste. Siinä määrin, kun sovellettavat lait niin vaativat tai jos henkilötietojen käsittelyn oikeusperusteena käytetään suostumusta, rekisterinpitäjän vastuulla on huolehtia, että kyseessä olevat rekisteröidyt ovat antaneet tietoisen, vapaaehtoisesti annetun, nimenomaisen ja yksiselitteisen suostumuksensa ennen henkilötietojen käsittelyä sekä varmistaa, että tällaisen suostumuksen antaminen pystytään osoittamaan.

4. Henkilötietojen käsittelijä toimii ohjeiden mukaisesti

1. Henkilötietojen käsittelijä saa käsitellä henkilötietoja vain rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, ellei käsittelijää koskeva EU- tai ETA-jäsenvaltion laki toisin edellytä. Nämä ohjeet määritetään A- ja B-liitteissä. Rekisterinpitäjä voi antaa myös muita ohjeita koko henkilötietojen käsittelyn ajan, mutta tällaiset ohjeet on aina dokumentoitava ja säilytettävä kirjallisessa, mukaan lukien sähköisessä muodossa, tämän henkilötietojen käsittelysopimuksen yhteydessä.

2. Jos kolmannen osapuolen integrointipalveluntarjoajaa käytetään varmistamaan, että rekisterinpitäjä pystyy käyttämään GSGroupin palveluja, rekisterinpitäjä antaa henkilötietojen käsittelijälle ohjeet tällaisen kolmannen osapuolen integrointipalveluntarjoajan palveluihin liittyvästä henkilötietojen käsittelystä GSGroupin palvelujen toimittamista varten. Henkilötietojen käsittelijä ei ole vastuussa mistään kolmannen osapuolen integrointipalveluntarjoajan toimien, laiminlyöntien tai virheiden seuraamuksista. Selvyyden vuoksi tällainen mahdollinen kolmannen osapuolen palveluntarjoaja toimii rekisterinpitäjän omana henkilötietojen käsittelijänä eikä henkilötietojen käsittelijän alikäsittelijänä, elleivät sopijapuolet kirjallisesti toisin sovi.

3. Henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos henkilötietojen käsittelijä katsoo, että rekisterinpitäjän antamat ohjeet ovat GDPR-asetuksen tai sovellettavien EU- tai ETA- jäsenvaltion tietosuojasäännösten vastaisia siltä osin kuin henkilötietojen käsittelijä on tietoinen tai hänen voidaan kohtuudella odottaa olevan tietoinen tällaisesta ristiriidasta. Tällaisessa tilanteessa henkilötietojen käsittelijää ei vaadita noudattamaan rekisterinpitäjän ohjeita, ellei rekisterinpitäjä toimita henkilötietojen käsittelijälle hyvämaineisen lakitoimiston juridista lausuntoa, jolla vahvistetaan, että nämä ohjeet ovat GDPR-asetuksen ja kaikkien muiden sovellettavien tietosuojasäännösten mukaisia.

4. Mikäli sovellettavaan tietosuojalainsäädäntöön tulee muutoksia, rekisterinpitäjällä on oikeus muuttaa tässä henkilötietojen käsittelysopimuksessa määritettyjä ohjeita antamalla kirjallinen ilmoitus 30 päivää etukäteen uusien kirjallisten ohjeiden antamisesta henkilötietojen käsittelijälle.

5. Henkilötietojen käsittelijä voi käsitellä anonymisoituja tietoja tilastollisiin, analyyttisiin ja muihin tarkoituksiin. Muita tällaisia tarkoituksia voivat olla GSGroupin palvelujen parantaminen, tukeminen ja käyttäminen. Tällaisten tietojen ei tarvitse olla muodossa, joka mahdollistaa tunnistamisen tai uudelleentunnistamisen.

5. Salassapitovelvollisuus

Page 5 of 15

1. Henkilötietojen käsittelijä saa antaa pääsyn rekisterinpitäjän puolesta käsiteltäviin henkilötietoihin vain henkilötietojen käsittelijän alaisuudessa oleville henkilöille, jotka ovat sitoutuneet luottamuksellisuuteen tai joita sitoo soveltuva lakisääteinen salassapitovelvoite, ja ainoastaan tiedonsaantitarpeen perusteella. Luetteloa henkilöistä, jolle henkilötietojen käsittelijä on antanut pääsyn, on tarkistettava säännöllisesti. Tämän tarkistuksen perusteella pääsy henkilötietoihin voidaan perua, jos pääsy ei ole enää tarpeen, jolloin kyseisillä henkilöillä ei enää ole pääsyä henkilötietoihin.

2. Henkilötietojen käsittelijän on rekisterinpitäjän pyynnöstä osoitettava, että kyseisiä henkilötietojen käsittelijän alaisia henkilöitä koskee edellä mainittu luottamuksellisuus.

3. Rekisterinpitäjällä ei ole minkäänlaista henkilötietojen käsittelijän kenellekään henkilölle luottamuksellisiin tietoihin myöntämään pääsyyn liittyvää vastuutta tai korvausvelvollisuutta.

6. Käsittelyn turvallisuus

1. GDPR-asetuksen 32 artiklassa säädetään, että ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet.

2. Rekisterinpitäjän on arvioitava käsittelystä luonnollisten henkilöiden oikeuksiin ja vapauksiin aiheutuvat riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi.

3. Tietosuoja-asetuksen 32 artiklan mukaan henkilötietojen käsittelijän on myös – rekisterinpitäjän arvioinnista riippumatta – arvioitava käsittelyyn liittyvät luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi. Tätä varten rekisterinpitäjän on annettava henkilötietojen käsittelijälle kaikki tällaisten riskien tunnistamiseen ja arvioimiseen tarvittavat tiedot.

4. Lisäksi rekisterinpitäjän on autettava rekisterinpitäjää GDPR-asetuksen 32 artiklan mukaisten velvoitteiden noudattamisessa muun muassa antamalla rekisterinpitäjälle tiedot henkilötietojen käsittelijän GDRP-asetuksen 32 artiklan nojalla jo toteuttamista teknisistä ja organisatorisista toimenpiteistä sekä kaikista muista tiedoista, joita rekisterinpitäjä tarvitsee tietosuoja-asetuksen 32 artiklan mukaisten velvoitteiden noudattamiseen.

5. Jos sitten rekisterinpitäjän arvioiden mukaan tunnistettujen riskien lieventämiseen vaaditaan lisää henkilötietojen käsittelijän toimenpiteitä henkilötietojen käsittelijän GDPR-asetuksen 32 artiklan mukaisesti jo toteuttamien toimenpiteiden lisäksi, rekisterinpitäjän on määritettävä nämä toteutettavat lisätoimenpiteet kirjallisesti. Henkilötietojen käsittelijän ei tarvitse noudattaa tällaista rekisterinpitäjän pyyntöä, elleivät rekisterinpitäjän pyytämät lisätoimenpiteet ole kohtuullisia ja oikeasuhtaisia kaikissa olosuhteissa.

7. Alikäsittelijöiden käyttö

1. Henkilötietojen käsittelijän on täytettävä GDPR-asetuksen 28 artiklan 2 ja 4 kohdassa määritetyt vaatimukset voidakseen käyttää toista henkilötietojen käsittelijää (alikäsittelijää).

2. Henkilötietojen käsittelijä ei saa siten käyttää toista henkilötietojen käsittelijääPage 6 of 15 (alikäsittelijää) tämän henkilötietojen käsittelysopimuksen velvollisuuksien täyttämiseen ilman rekisterinpitäjän etukäteen kirjallisesti antamaa suostumusta.

3. Henkilötietojen käsittelijällä on rekisterinpitäjän yleinen valtuutus alikäsittelijöiden käyttöön. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle kirjallisesti alikäsittelijän lisäämiseen tai vaihtoon liittyvistä muutoksista vähintään 14 päivää etukäteen, jolloin rekisterinpitäjä saa mahdollisuuden vastustaa näitä muutoksia ennen kyseisten alikäsittelijöiden rekrytointia. Rekisterinpitäjän verkkosivulla on luettelo rekisterinpitäjän jo valtuuttamista alikäsittelijöistä.

Kun henkilötietojen käsittelijä käyttää alikäsittelijän palveluksia erityisten käsittelytoimintojen suorittamiseksi rekisterinpitäjän puolesta, kyseiseen alikäsittelijään sovelletaan tämän henkilötietojen käsittelysopimuksen mukaisesti samoja tietosuojavelvoitteita, jotka on vahvistettu sopimuksessa tai muussa EU- tai ETA-jäsenvaltion lainsäädännön mukaisessa oikeudellisessa asiakirjassa erityisesti antaen riittävät takeet siitä, että käsittelyyn liittyvät asianmukaiset tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää tämän henkilötietojen käsittelysopimuksen ja GDPR-asetuksen vaatimukset. Henkilötietojen käsittelijän vastuulla on siis varmistaa, että alikäsittelijä noudattaa vähintään henkilötietojen käsittelijään sovellettavia, tämän henkilötietojen käsittelysopimuksen ja GDPR-asetuksen mukaisia velvoitteita.

4. Kopio tällaisesta alikäsittelijän sopimuksesta sekä siihen myöhemmin tehtävistä muutoksista on – rekisterinpitäjän pyynnöstä – toimitettava rekisterinpitäjälle, jolloin rekisterinpitäjä saa mahdollisuuden varmistaa, että alikäsittelijää koskevat tämän henkilötietojen käsittelysopimuksen ehtoja vastaavat tietosuojavelvoitteet. Sellaisia liiketoimintaan liittyviä seikkoja koskevia kohtia, jotka eivät vaikuta alikäsittelijäsopimuksen lakisääteiseen tietosuojasisältöön, ei tarvitse lähettää rekisterinpitäjälle.

5. Ellei alikäsittelijä täytä tietosuojavelvoitteitaan, henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa alikäsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään. Tämä ei vaikuta GDPR-asetuksen mukaisiin rekisteröityjen oikeuksiin – etenkään sen 79 ja 82 artiklassa määritettyihin – jotka kohdistuvat rekisterinpitäjään ja henkilötietojen käsittelijään, alikäsittelijä mukaan lukien.

6. Henkilötietojen käsittelijän hankkimia palveluja, jotka ovat henkilötietojen käsittelijän rekisterinpitäjälle tarjoamien palvelujen liitännäisiä tai oheispalveluja, ei tule katsoa alikäsittelyksi tässä kohdassa 7 tarkoitetulla tavalla. Näihin lukeutuvat esimerkiksi televiestintäpalvelut, ylläpito-, ja käyttäjäpalvelut, siivouspalvelut, tilintarkastukset, lakipalvelut, tiedontallennusvälineiden hävittäminen, yrityksen toiminnanohjaus ja kirjanpitopalvelut (NetSuite ja Visma Netvisor) sekä back office- ja hallintojärjestelmät. Henkilötietojen käsittelijä on kuitenkin velvollinen solmimaan soveltuvat sopimukset tällaisten kolmansien osapuolten oheispalvelujen toimittajien kanssa sekä varmistamaan rekisterinpitäjän puolesta käsiteltyjen tietojen suojelun.

8. Tietojen siirtäminen ETA-maiden ulkopuolisiin maihin tai kansainvälisille järjestöille

1. Henkilötietoja saa siirtää ETA-alueen ulkopuolisiin maihin tai kansainvälisille järjestöille vain rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, ja näissä siirroissa on aina noudatettava GDPR-asetuksen V lukua.

2. Jos henkilötietojen käsittelijään sovellettavassa EU- tai ETA-jäsenmaan lainsäädännössä vaaditaan tietojen siirtoa ETA-alueen ulkopuolisiin maihin tai kansainvälisille järjestöille eikä rekisterinpitäjä ole ohjeistanut henkilötietojen käsittelijää tekemään niin, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi.

Page 7 of 15

3. Henkilötietojen käsittelijä ei siis voi tämän henkilötietojen käsittelysopimuksen puitteissa ilman rekisterinpitäjän dokumentoituja ohjeita tehdä mitään seuraavista:

a. siirtää henkilötietoja rekisterinpitäjälle tai henkilötietojen käsittelijälle ETA-alueen ulkopuoliseen maahan tai kansainväliselle järjestölle

b. siirtää henkilötietojen käsittelyä alihankkijalle ETA-alueen ulkopuoliseen maahan

c. teettää henkilötietojen käsittelyä ETA-alueen ulkopuolisessa maassa toimivalla henkilötietojen käsittelijällä.

4. Rekisterinpitäjän ohjeet henkilötietojen siirrosta ETA-alueen ulkopuoliseen maahan on määritettävä kirjallisesti, mukaan lukien GDPR-asetuksen V luvun mukainen siirtoväline, johon ne perustuvat.

5. Tätä henkilötietojen käsittelysopimusta ei tule sekoittaa GDPR-asetuksen 46 artiklan 2 kohdassa c ja d alakohdassa tarkoitettuihin tietosuojaa koskeviin vakiolausekkeisiin, eivätkä sopijapuolet voi käyttää tätä henkilötietojen käsittelysopimusta GDPR-asetuksen V luvun mukaisena siirtovälineenä.

9. Rekisterinpitäjän avustaminen

1. Kyseisen tietojenkäsittelyn luonne huomioon ottaen henkilötietojen käsittelijän on avustettava rekisterinpitäjää asianmukaisin teknisin ja organisatorisin toimenpitein, mikäli se on mahdollista, GDPR-asetuksen III luvussa määritettyjen rekisteröidyn oikeuksien käyttämiseen liittyvien rekisterinpitäjän velvoitteiden täyttämisessä.

Tämä tarkoittaa, että henkilötietojen käsittelijän on mahdollisuuksien mukaan avustettava rekisterinpitäjää tämän seuraavien vaatimusten noudattamisessa:

a. oikeus saada ilmoitus, kun rekisteröidyltä kerätään henkilötietoja

b. oikeus saada ilmoitus, kun henkilötietoja ei ole saatu rekisteröidyltä

c. rekisteröidyn oikeus saada pääsy tietoihin

d. oikeus tietojen oikaisemiseen

e. oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)

f. oikeus käsittelyn rajoittamiseen

g. henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus

h. oikeus siirtää tiedot järjestelmästä toiseen

i. oikeus vastustaa tietojen käsittelyä

j. oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka on tehty yksinomaan automaattisen tietojenkäsittelyn perusteella, profilointi mukaan lukien.

2. Sen lisäksi, että henkilötietojen käsittelijällä on velvoite avustaa rekisterinpitäjää kohdan 6.3 mukaisesti, henkilötietojen käsittelijän on lisäksi käsittelyn luonne ja henkilötietojen käsittelijän käytettävissä olevat tiedot huomioon ottaen autettava rekisterinpitäjää varmistamaan seuraavien vaatimusten noudattaminen:

a. Rekisterinpitäjän velvoite ilmoittaa henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.

b. Rekisterinpitäjän velvoite ilmoittaa henkilötietojen tietosuojaloukkauksestaPage 8 of 15 rekisteröidylle viipymättä, jos tämä tietosuojaloukkaus todennäköisesti aiheuttaa luonnollisen henkilön oikeuksia ja vapauksia koskevan suuren riskin.

c. Rekisterinpitäjän velvoite toteuttaa arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle (tietosuojaa koskeva vaikutustenarviointi).

d. Rekisterinpitäjän velvoite kuulla valvontaviranomaista ennen käsittelyä, jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi.

10. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen

1. Saatuaan tietoonsa henkilötietojen tietoturvaloukkauksen henkilötietojen käsittelijän on ilmoitettava siitä rekisterinpitäjälle ilman aiheetonta viivytystä.

2. Henkilötietojen käsittelijän ilmoitus rekisterinpitäjälle on tehtävä, jos mahdollista, 36 tunnin kuluessa siitä, kun henkilötietojen tietoturvaloukkaus on tullut ilmi, jotta rekisterinpitäjä pystyy noudattamaan rekisterinpitäjän velvoitetta ilmoittaa henkilötietojen tietoturvaloukkauksesta toimivaltaiselle viranomaiselle GDPR-asetuksen 33 artiklan mukaisesti.

3. Kohdan 9 alakohdan 2(a) mukaan henkilötietojen käsittelijän on avustettava rekisterinpitäjää henkilötietojen tietoturvaloukkauksesta ilmoittamisessa toimivaltaiselle viranomaiselle. Se tarkoittaa, että henkilötietojen käsittelijän on avustettava jäljempänä lueteltujen tietojen hankkimisessa, jotka GDPR-asetuksen 33 artiklan 3 kohdan mukaan on ilmoitettava rekisterinpitäjän ilmoituksessa valvontaviranomaiselle:

a. henkilötietojen luonne, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät

b. henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset

c. toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

11. Tietojen poistaminen ja palauttaminen

1. Sopimuksen päättyessä henkilötietojen käsittelijällä on velvollisuus rekisterinpitäjän pyynnöstä palauttaa kaikki henkilötiedot rekisteröidylle ja poistaa kaikki olemassa olevat kopiot, elleivät EU- tai ETA-jäsenvaltion lait edellytä henkilötietojen säilytystä.

12. Auditoinnit ja tarkastukset

1. Henkilötietojen käsittelijän on tarjottava rekisterinpitäjälle kaikki tiedot, joita tarvitaan 28 artiklan ja tämän henkilötietojen käsittelysopimuksen velvoitteiden noudattamisen osoittamiseen, sallittava rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman tarkastajan suorittamat auditoinnit ja tarkastukset sekä osallistuttava niihin.

2. Henkilötietojen käsittelijän on tarjottava valvontaviranomaisille, joilla sovellettavan lainsäädännön nojalla on pääsy rekisterinpitäjän ja henkilötietojen käsittelijän tiloihin, tai näiden

valvontaviranomaisten nimissä toimiville edustajille pääsy rekisterinpitäjän fyysisiin tiloihinPage 9 of 15

asianmukaisen henkilötodistuksen esittämistä vastaan.

13. Vahingonkorvaukset ja vastuunrajoitukset

1. Rekisterinpitäjä sitoutuu korvaamaan ja puolustamaan omalla kustannuksellaan henkilötietojen käsittelijää kaikilta kustannuksilta, vaateilta, vaurioita tai kuluilta, joita henkilötietojen käsittelijälle aiheutuu tai joista henkilötietojen käsittelijä voi joutua vastuuseen johtuen rekisterinpitäjän tai sen työntekijöiden/edustajien virheestä tai laiminlyönnistä sovellettavien lakien tai tämän henkilötietojen käsittelysopimuksen velvoitteiden noudattamisessa.

2. Henkilötietojen käsittelijä sitoutuu korvaamaan ja puolustamaan omalla kustannuksellaan rekisterinpitäjää kaikilta kustannuksilta, vaateilta, vaurioilta tai kuluilta, joita rekisterinpitäjälle on aiheutunut tai joista rekisterinpitäjä voi joutua vastuuseen johtuen henkilötietojen käsittelijän tai sen työntekijöiden/edustajien virheestä tai laiminlyönnistä sovellettavien lakien tai tämän henkilötietojen käsittelysopimuksen noudattamisessa.

3. Tämän henkilötietojen käsittelysopimuksen ehdot eivät vaikuta GSGroupin yleisiin liiketoimintaehtoihin, joita sovelletaan täysimääräisesti. Henkilötietojen käsittelijän vastuuvelvollisuus rajoittuu joka tapauksessa summaan, jonka rekisterinpitäjä on maksanut GSGroupin palveluista henkilötietojen käsittelijälle sopimusrikettä välittömästi edeltävien 12 kuukauden aikana, tai 100 000 euroon sen mukaan, kumpi summa on pienempi.

14. Voimaantulo ja päättyminen

1. Tämä henkilötietojen käsittelysopimus tulee voimaan sinä päivänä, jona rekisterinpitäjä hyväksy sopimuksen tai tämän henkilötietojen käsittelysopimuksen sen mukaan, kumpi tapahtuu ensin. Tätä henkilötietojen käsittelysopimusta ei tarvitse allekirjoittaa, jotta se on voimassa.

2. Henkilötietojen käsittelijällä on oikeus muuttaa tätä henkilötietojen käsittelysopimusta, jos lainsäädännön muutokset, tämän henkilötietojen käsittelysopimuksen tarkoituksenmukaisuus tai muut vaatimustenmukaisuuteen liittyvät seikat antavat aihetta tällaiselle muutokselle.

3. Tämä henkilötietojen käsittelysopimus on voimassa koko sopimuksen ajan. Tätä henkilötietojen käsittelysopimusta ei voida irtisanoa sopimuksen aikana, ellei sopijapuolten kesken ole laadittu sopimukseen liittyvää toista tietojenkäsittelysopimusta.

4. Jos sopimus irtisanotaan ja henkilötiedot poistetaan kohdan 11.1 mukaisesti, kumpi tahansa sopijapuoli voi irtisanoa tämän henkilötietojen käsittelysopimuksen kirjallisella ilmoituksella.

15. Rekisterinpitäjän ja henkilötietojen käsittelijän yhteystiedot/yhteyspisteet

1. Sopijapuolet voivat ottaa yhteyttä toisiinsa yhteystietojen/yhteyspisteiden avulla. Rekisterinpitäjän on annettava henkilötietojen käsittelijälle vähintään kaksi yhteystietoa/yhteyspistettä, kun mikä tahansa GSGroupin palvelujen hankintaan liittyvä sopimus tulee voimaan. Henkilötietojen käsittelijän yhteyspiste tähän henkilötietojen käsittelysopimukseen liittyvissä asioissa: xxxxxxx@xxxxxxxxxx.xxx. Sopijapuolia sitoo jatkuva velvoite tiedottaa toisilleen yhteystietojen/yhteyspisteiden muutoksista,ja heillä on oikeus ottaa toisiinsa yhteys kohtuullisin väliajoin varmistaakseen, että yhteystiedot/yhteyspisteet ovat ajan tasalla.

Liite A: GSGroupin sensoriratkaisut – Tietoa käsittelystä

Page 10 of 15

Tämä liite on osa rekisterinpitäjän henkilötietojen käsittelijälle antamia, henkilötietojen käsittelijän rekisterinpitäjän puolesta tekemään tietojenkäsittelyyn liittyviä ohjeita.

1. Henkilötietojen käsittelijän rekisterinpitäjän puolesta suorittaman henkilötietojen käsittelyn tarkoitus:

Sopimuksen mukaisten palvelujen tarjoaminen.

2. Henkilötietojen käsittelijän rekisterinpitäjän puolesta tekemään henkilötietojen käsittelyyn sisältyy pääasiassa seuraavia toimia (käsittelyn luonne):

Tietojen kerääminen, säilyttäminen, tallentaminen, jäsentäminen, muuntaminen, tietojen tarjoaminen asiakkaan ja sen käyttäjien saataville sopimuksen mukaisten palvelujen tarjoamiseksi.

Tietojen tarjoaminen GSGroupin teknisen ja tukihenkilöstön saataville sopimukseen sisältyvien palvelujen tarjoamiseksi.

Tietojen kerääminen ja analysointi GSGroupin palvelujen käytöstä tarkoituksena parantaa sopimukseen sisältyvien palvelujen tarjoamista.

Tietojen anonymisointi, pseudonymisointi ja poistaminen.

3. Käsittely sisältää seuraavia rekisteröityjen henkilötietojen tyyppejä:2

Nimi ja yhteystiedot, sisäänkirjautumistiedot (sisäänkirjautumisaika, käyttäjätunnus ja salasana), kohteeseen liittyvät tiedot, kohteen käyttö, tunnustiedot, ajokortti, työntekijänumero, asema, sijaintitiedot, matkatiedot alku- ja loppusijainnit mukaan lukien, nopeus, suunta, kesto, välimatka, lämpötila, digitaalinen allekirjoitus, kuljettajan toiminnot (esim. ajo ja lepo), tietullien läpiajo mukaan lukien tiedot ajasta, tietulliasemista sekä niiden omistajasta sekä maksettavan tietullin määrä.

Käyttö-/käyttäjämallien kirjaus, tilastot ja analyysitiedot, IP-osoite mukaan lukien.

Käsittely voi sisältää vain osan eikä välttämättä kaikkia edellä mainituista henkilötiedoista, asiakkaan ostamasta tarkasta tuotteesta/palvelusta riippuen. Jos jokin on epäselvää, rekisterinpitäjän on otettava yhteys henkilötietojen käsittelijään.

4. Käsittely sisältää seuraavat rekisteröityjen luokat:

Asiakkaat

Asiakkaan työntekijät

Asiakkaan asiakkaat (ja kaikki muut henkilöt, joiden tietojen käsittelystä asiakas päättää osana GSGroupin palveluja)

2 Sopijapuolet sopivat, että henkilötietojen käsittelijä voi käsitellä muuntyyppisiä henkilötietoja, joita rekisterinpitäjä sille antaa GSGroupin palvelujen tarjoamista varten. Rekisterinpitäjä ohjeistaa täten henkilötietojen käsittelijää kaikkien näiden mahdollisten tietotyyppien käsittelyyn tämän henkilötietojen käsittelysopimuksen mukaisesti kyseiseen tarkoitukseen.

5. Henkilötietojen käsittelijän rekisterinpitäjän puolesta tekemä henkilötietojen käsittelyPage 11 of 15 voidaan aloittaa, kun tämä henkilötietojen käsittelysopimus tulee voimaan. Käsittelyn kesto on seuraava:

Henkilötietojen käsittelijä voi käsitellä henkilötietoja rekisterinpitäjän puolesta, kunnes rekisterinpitäjä pyytää kirjallisesti henkilötietojen käsittelijää palauttamaan kaikki henkilötiedot rekisterinpitäjälle ja poistamaan olemassa olevat kopiot (katso edellä kohta 11 tietojen poistamisesta sopimuksen irtisanomisen yhteydessä), ellei EU- tai ETA-jäsenvaltion laki edellytä henkilötietojen säilyttämistä.

6. Valtuutetut alikäsittelijät ja käsittelyn sijainti

Rekisterinpitäjä antaa valtuutuksen henkilötietojen käsittelijän verkkosivuilla lueteltujen alikäsittelijöiden käyttöön henkilötietojen käsittelyssä osana GSGroupin sensoriratkaisuja. Tämä käsittely suoritetaan henkilötietojen käsittelijän verkkosivustolla määritetyissä sijainneissa.

7. Käsittelyn turvallisuutta koskevat vähimmäistoimenpiteet

Ottaen huomioon henkilötietojen määrän ja sen, että suurin osa niistä ei kokonaisuudessaan sisälly mihinkään GDPR-asetuksen 9 artiklan tarkoittamiin erityisiin henkilötietoryhmiin GSGroupin sensoriratkaisujen tarjoamisen yhteydessä ja siihen tarkoitukseen, jossa henkilötietojen käsittely on henkilötietojen käsittelijän palvelujen satunnainen/välillinen osa, sekä yleisesti tällaisten tietojen käsittelystä aiheutuvan vähäisen luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riskin sopijapuolet sopivat, että henkilötietojen käsittelijä voi tehdä oman harkintansa mukaan päätöksiä teknisistä ja organisatorisista turvatoimenpiteistä, joita sovelletaan tarvittavan ja sovitun tietoturvan tason saavuttamiseksi. Henkilötietojen käsittelijän on kuitenkin – joka tapauksessa ja vähintään – otettava käyttöön seuraavat toimenpiteet, joista on sovittu rekisterinpitäjän kanssa:

• GSGroupin työntekijöiden on noudatettava luottamuksellisuusvelvoitteita ja osallistuttava säännölliseen koulutukseen GDPR-vaatimuksenmukaisuudesta.

• Siirrettävät tiedot on salattava (HTTPS, TLS 1.2 tai uudempi menetelmä), ellei asiakas pyydä tietojen toimittamista salaamattomassa muodossa.

• GSGroup toteuttaa teknisiä toimenpiteitä, joilla voidaan palauttaa tietojen saatavuus ja pääsy tietoihin hyvissä ajoin mahdollisen fyysisen tai teknisen ongelman jälkeen, muun muassa: päivittäiset ja automaattiset varmuuskopioinnit, häiriöttömästä virransyötöstä huolehtiminen, konesalien lämpötilan ja kosteuden valvontaan tarkoitetut laitteet, konesalien palon- ja savunvaroitinjärjestelmät, ilmastointilaitteet sekä hälytykset konesalien valtuuttamattoman pääsyn varalta.

• GSGroup toteuttaa asianmukaisia teknisiä toimia, jotta voidaan varmistaa asiakkaan puolesta käsiteltävien tietojen paikkansapitävyys.

• Pääsyä asiakkaan tietoihin on rajoitettava ja hallittava sekä fyysisesti (mukaan lukien hälytys- ja lukitusjärjestelmällä) ja digitaalisesti (valtuutus käyttäjätunnuksella ja salasanalla).

• GSGroupin on otettava käyttöön kirjautuminen käyttöympäristöissä, joissa asiakkaan tietoja käsitellään.

• GSGroupin on käytettävä VPN-teknologiaa käyttöympäristöihin pääsyssä.

• Säilytetyt tiedot on suojattava palomuureilla.

• Säilytettävistä tiedoista on oltava varmuuskopiot vähintään yhdessä erillisessä jaPage 12 of 15

turvallisessa paikassa niiden tavallisen sijaintipaikan ulkopuolella.

• GSGroupin käyttöympäristöt ovat erillisiä GSGroupin hallintaympäristöistä.

• Vain valtuutettu henkilöstö, joka tarvitsee pääsyn työnsä vuoksi sekä asiakkaat, joilla on rajoitetut käyttöoikeudet, saavat pääsyn käyttöympäristöihin. Valtuutetun henkilöstön salasanat on salattu, ja niitä myös säilytetään salattuina.

• GSGroupin on toteutettava viruksia, haittaohjelmia ja roskapostia torjuvia teknisiä toimenpiteitä.

• GSGroupin on varmistettava, että sillä on yrityksessään riittävä ammattitaitoa GDPR- vaatimustenmukaisuudesta.

• GSGroup-sensoriratkaisuissa on toteutettu sisäänrakennettu tietosuoja antamalla asiakkaalle järjestelmänvalvojan oikeudet.

• GSGroupin on huolehdittava, että sillä on käytännöt tietojen silppuamiseen, työpöydän pitämiseen siistinä ja työkoneen näytön suojaamiseen (clean-desk/clean-screen).

Liite B: GSGroupin sensoriratkaisut – Tietoa käsittelystä

Page 13 of 15

Tämä liite on osa rekisterinpitäjän henkilötietojen käsittelijälle antamia, henkilötietojen käsittelijän rekisterinpitäjän puolesta tekemään tietojenkäsittelyyn liittyviä ohjeita.

1. Henkilötietojen käsittelijän rekisterinpitäjän puolesta suorittaman henkilötietojen käsittelyn tarkoitus:

Sopimuksen mukaisten palvelujen tarjoaminen.

2. Henkilötietojen käsittelijän rekisterinpitäjän puolesta tekemään henkilötietojen käsittelyyn sisältyy pääasiassa seuraavia toimia (käsittelyn luonne):

Tietojen kerääminen, säilyttäminen, tallentaminen, jäsentäminen, muuntaminen, tietojen tarjoaminen asiakkaan ja sen käyttäjien saataville sopimuksen mukaisten palvelujen tarjoamiseksi.

Tietojen tarjoaminen GSGroupin teknisen ja tukihenkilöstön saataville sopimukseen sisältyvien palvelujen tarjoamiseksi.

Tietojen kerääminen ja analysointi GSGroupin palvelujen käytöstä tarkoituksena parantaa sopimukseen sisältyvien palvelujen tarjoamista.

Tietojen anonymisointi, pseudonymisointi ja poistaminen.

3. Käsittely sisältää seuraavia rekisteröityjen henkilötietojen tyyppejä:3

Nimi ja yhteystiedot, sisäänkirjautumistiedot (sisäänkirjautumisaika, käyttäjätunnus ja salasana), kieli, valtuutukset (lisenssit, luvat ja vastaavat), tietojen syötön päivämäärä ja aika, henkilötodistuksen tiedot, ajokortti, syntymäaika, työntekijänumero, asema, tuntilomakkeet, työntekijäluettelot, tarkistuslistat, materiaalien käyttö, valokuvat, turvallisuus- ja ympäristötiedot, tiedot lähiomaisista, sijaintitiedot, suunnitellut ja henkilökohtaiset tehtävät, synkronointien ajoitus, mobiililaitteiden IP-osoite, mobiililaitteen merkki ja malli, loma ja sairasloma.

Jos asiakas ostaa mitä tahansa GSGroupin sensoriratkaisuja osana GSGroupin kenttätyönohjausratkaisuja (esim. sensorimoduuli), henkilötietojen käsittelijän käsittelemien henkilötietojen tyyppejä ovat tämän henkilötietojen käsittelysopimuksen liitteessä A määritetyt tiedot (katso liitteestä A myös rekisteröityjen luokat ja muut henkilötietojen käsittelyyn liittyvät tiedot).

Käyttäjämallien kirjaus, tilastot ja analyysitiedot, IP-osoite mukaan lukien.

Käsittely voi sisältää vain osan eikä välttämättä kaikkia edellä mainituista henkilötiedoista, asiakkaan ostamasta tarkasta tuotteesta/palvelusta riippuen. Jos jokin on epäselvää, rekisterinpitäjän on otettava yhteys henkilötietojen käsittelijään.

4. Käsittely sisältää seuraavat rekisteröityjen luokat:

Asiakkaat

3 Sopijapuolet sopivat, että henkilötietojen käsittelijä voi käsitellä muuntyyppisiä henkilötietoja, joita rekisterinpitäjä sille antaa GSGroupin palvelujen tarjoamista varten. Rekisterinpitäjä ohjeistaa täten henkilötietojen käsittelijää kaikkien näiden mahdollisten tietotyyppien käsittelyyn tämän henkilötietojen käsittelysopimuksen mukaisesti kyseiseen tarkoitukseen.

Asiakkaan työntekijät

Page 14 of 15

Asiakkaan asiakkaat (ja kaikki muut henkilöt, joiden tietojen käsittelystä asiakas päättää osana GSGroupin palveluja)

5. Henkilötietojen käsittelijän rekisterinpitäjän puolesta tekemä henkilötietojen käsittely voidaan aloittaa, kun tämä henkilötietojen käsittelysopimus tulee voimaan. Käsittelyn kesto on seuraava:

Henkilötietojen käsittelijä voi käsitellä henkilötietoja rekisterinpitäjän puolesta, kunnes rekisterinpitäjä pyytää kirjallisesti henkilötietojen käsittelijää palauttamaan kaikki henkilötiedot rekisterinpitäjälle ja poistamaan olemassa olevat kopiot (katso edellä kohta 11 tietojen poistamisesta sopimuksen irtisanomisen yhteydessä), ellei EU- tai ETA-jäsenvaltion laki edellytä henkilötietojen säilyttämistä.

6. Valtuutetut alikäsittelijät ja käsittelyn sijainti

Rekisterinpitäjä antaa valtuutuksen henkilötietojen käsittelijän verkkosivuilla lueteltujen alikäsittelijöiden käyttöön henkilötietojen käsittelyssä osana GSGroupin kenttätyönohjausratkaisuja. Tämä käsittely suoritetaan henkilötietojen käsittelijän verkkosivustolla määritetyissä sijainneissa. Tämä käsittely voidaan myös suorittaa rekisterinpitäjän IT-ympäristön/tietokannan sijaintipaikassa.

7. Käsittelyn turvallisuutta koskevat vähimmäistoimenpiteet

Ottaen huomioon henkilötietojen määrän ja sen, että suurin osa niistä ei kokonaisuudessaan sisälly mihinkään GDPR-asetuksen 9 artiklan tarkoittamiin erityisiin henkilötietoryhmiin GSGroupin kenttätyönohjausratkaisujen tarjoamisen yhteydessä ja siihen tarkoitukseen, jossa henkilötietojen käsittely on henkilötietojen käsittelijän toimintojen satunnainen/välillinen osa, sekä yleisesti tällaisten tietojen käsittelystä aiheutuvan vähäisen luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvan riskin sopijapuolet sopivat, että henkilötietojen käsittelijä voi tehdä oman harkintansa mukaan päätöksiä teknisistä ja organisatorisista turvatoimenpiteistä, joita sovelletaan tarvittavan ja sovitun tietoturvan tason saavuttamiseksi. Henkilötietojen käsittelijän on kuitenkin – joka tapauksessa ja vähintään – otettava käyttöön seuraavat toimenpiteet, joista on sovittu rekisterinpitäjän kanssa:

• GSGroupin työntekijöiden on noudatettava luottamuksellisuusvelvoitteita ja osallistuttava säännölliseen koulutukseen GDPR-vaatimuksenmukaisuudesta.

• GSGroup toteuttaa teknisiä toimenpiteitä, joilla voidaan palauttaa tietojen saatavuus ja pääsy tietoihin hyvissä ajoin mahdollisen fyysisen tai teknisen ongelman jälkeen, muun muassa: päivittäiset ja automaattiset varmuuskopioinnit, häiriöttömästä virransyötöstä huolehtiminen, konesalien lämpötilan ja kosteuden valvontaan tarkoitetut laitteet, konesalien palon- ja savunvaroitinjärjestelmät, ilmastointilaitteet sekä hälytykset konesalien valtuuttamattoman pääsyn varalta.

• GSGroup toteuttaa asianmukaisia teknisiä toimia, jotta voidaan varmistaa asiakkaan puolesta käsiteltävien tietojen paikkansapitävyys.

• Pääsyä asiakkaan tietoihin on rajoitettava ja hallittava sekä fyysisesti (mukaan lukien hälytys- ja lukitusjärjestelmällä) ja digitaalisesti (valtuutus käyttäjätunnuksella ja salasanalla).

• GSGroupin on otettava käyttöön kirjautuminen käyttöympäristöissä, joissa asiakkaan tietoja käsitellään.

• GSGroupin on käytettävä VPN-teknologiaa käyttöympäristöihin pääsyssä.

• Säilytetyt tiedot on suojattava palomuureilla.

Page 15 of 15

• Säilytettävistä tiedoista on oltava varmuuskopiot vähintään yhdessä erillisessä ja turvallisessa paikassa niiden tavallisen sijaintipaikan ulkopuolella.

• GSGroupin käyttöympäristöt ovat erillisiä GSGroupin hallintaympäristöistä.

• Vain valtuutettu henkilöstö, joka tarvitsee pääsyn työnsä vuoksi sekä asiakkaat, joilla on rajoitetut käyttöoikeudet, saavat pääsyn käyttöympäristöihin. Valtuutetun henkilöstön salasanat on salattu, ja niitä myös säilytetään salattuina.

• GSGroupin on toteutettava viruksia, haittaohjelmia ja roskapostia torjuvia teknisiä toimenpiteitä.

• GSGroupin on varmistettava, että sillä on yrityksessään riittävä ammattitaitoa GDPR- vaatimustenmukaisuudesta.

• GSGroup-kenttätyönohjausratkaisuissa on toteutettu sisäänrakennettu tietosuoja antamalla asiakkaalle järjestelmänvalvojan oikeudet.

• GSGroupin on huolehdittava, että sillä on käytännöt tietojen silppuamiseen, työpöydän pitämiseen siistinä ja työkoneen näytön suojaamiseen (clean-desk/clean-screen).