PALVELUSOPIMUKSEN LIITE3: TURVALLISUUSSOPIMUS
28.4.2020
PALVELUSOPIMUKSEN LIITE3: TURVALLISUUSSOPIMUS
xx.x.2020
LIITE 3 2 (11)
28.4.2020
1. TURVALLISUUSSOPIMUKSEN TAUSTA JA TARKOITUS
1.1 Tässä Turvallisuussopimuksessa sovitaan Xxxxxxxx ja Toimittajan välillä nouda- tettavista turvallisuusjärjestelyistä ja Salassa pidettävää tietoa ja sen suojaa- mista koskevista järjestelyistä Palvelusopimuksen sisältämien Palveluiden tuot- tamisessa sekä kaikessa Palvelusopimukseen liittyvässä Tilaajan ja Toimittajan välisessä yhteistyössä.
1.2 Tällä Turvallisuussopimuksella sopijapuolet pyrkivät varmistamaan, että Xxxxxxx pidettävät tiedot pysyvät salassa ja että turvallisuusjärjestelyjen noudattami- sella taataan Tilaajan toiminnan turvallisuus kaikissa olosuhteissa.
1.3 Huolimatta siitä, mitä Palvelusopimuksessa tai muissa Tilaajan ja Toimittajan välisissä sopimuksissa on mahdollisesti sovittu tämän Turvallisuussopimuksen piiriin kuuluvista asioista tai niihin liittyvistä vastuista taikka sopimusten keski- näisestä pätemisjärjestyksestä, tätä Turvallisuussopimusta sovelletaan aina en- sisijaisesti tämän Turvallisuussopimuksen piiriin kuuluvissa asioissa.
2. MÄÄRITELMÄT
2.1 Henkilötieto tarkoittaa tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröity) liittyvää tietoa; tunnistettavissa olevana pidetään luon- nollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tun- nistetiedon, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetieto- jen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologien, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän pe- rusteella.
2.2 Käsittely (tietojen käsittely) tarkoittaa keräämistä, tallentamista, järjestä- mistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, ky- selyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
2.3 Palvelu tarkoittaa sitä palvelua, josta Tilaaja ja Toimittaja ovat sopineet Palve- lusopimuksessa.
2.4 Palvelusopimus tarkoittaa Toimittajan ja Tilaajan välistä sopimusta, jonka liite tämä sopimus on.
2.5 Salassa pidettävä tieto tarkoittaa kaikkea sellaista Tilaajan Toimittajalle tai tämän alihankkijalle luovuttamaa tai Toimittajalla tai tämän alihankkijalla ole- vaa Tilaajan asiakirjamuotoista tai muuta kuten suullisesti tai havainnoimalla saatua tietoa, joka on määritelty salassa pidettäväksi laissa viranomaisten toi- minnan julkisuudesta (621/1999, jäljempänä ”julkisuuslaki”) tai muussa lain- säädännössä, ja jonka Tilaaja on tällaiseksi tiedoksi merkinnyt tai jonka Toimit- taja tiesi tai olisi pitänyt tietää kuuluvan tällaisiin tietoihin. Xxxxxxx pidettäväksi tiedoksi katsotaan myös julkisuuslaissa tarkoitetun, ei vielä julkisen asiakirjan sisältämä tieto. Salassa pidettäväksi tiedoksi ei katsota sellaista tietoa, joka on julkisesti saatavilla tai jonka sopijapuoli on saanut tietoonsa laillisella tavalla
LIITE 3 3 (11)
28.4.2020
kolmannelta osapuolelta ilman sitä koskevaa salassapitovelvoitetta. Salassa pi- dettäväksi tiedoksi katsotaan myös edellä kohdassa 2.1 tarkoitettu henkilötieto.
2.6 Tilaajan tilat tarkoittavat sellaisia Tilaajan käytössä olevia tiloja, joissa säilyte- tään, käytetään tai muutoin käsitellään Salassa pidettäviä tietoja tai joissa liik- kumista on muutoin turvallisuussyistä syytä rajoittaa.
2.7 Toimittajan tilat tarkoittavat sellaisia Toimittajan tai sen alihankkijan tiloja, joissa säilytetään, käytetään tai muutoin käsitellään Salassa pidettäviä tietoja.
2.8 Turvallisuussopimus tarkoittaa tätä sopimusasiakirjaa liitteineen.
3. SOPIMUSASIAKIRJAT JA NIIDEN PÄTEMISJÄRJESTYS
3.1 Tämä Turvallisuussopimus muodostuu tästä sopimusasiakirjasta ja seuraavista liitteistä:
Liite 1 Turvallisuussopimuksen yhteyshenkilöt Liite 2 Palveluiden tietosuojaseloste.
Liite 3 Henkilöstön vaitiolositoumuksen mallipohja Liite 4 Poikkeamailmoituksen mallipohja
Liite 5 Toimittajan tietoturvapolitiikka
Palveluiden voimassa oleva tietosuojaseloste (liite2) löytyy LMJ:n verkkosivuilta osoitteesta xxx.xxxxxx.xx.
3.2 Mikäli sopimusasiakirjan ja liitteiden välillä on ristiriitaa, ratkaistaan asia sopi- musasiakirjan mukaisesti.
4. LUOTTAMUKSELLISUUS JA SALASSAPITO
4.1 Tässä Turvallisuussopimuksessa kuvattuja turvallisuusjärjestelyjä noudatetaan kaikessa osapuolten välisessä Palvelusopimuksessa määritellyssä toiminnassa ja aina Toimittajan käsitellessä Tilaajaan tai Palvelun toteutukseen liittyvää tai muuta Tilaajalta saatua Salassa pidettävää tietoa ja Toimittajan liikkuessa Tilaa- jan Tiloissa.
4.2 Tilaaja noudattaa julkisyhteisönä julkisuuslaissa sekä muussa lainsäädännössä olevia salassapitoa ja julkisuutta koskevia säännöksiä. Sopimuksella ei voida poiketa lainsäädännön Tilaajalle asettamista pakottavista velvoitteista.
4.3 Toimittaja sitoutuu pitämään salassa kaikki Tilaajan sille luovuttamat tai sillä olevat tai toimeksiannon toteuttamisessa syntyneet tai Palvelun tuottamisen yh- teydessä Toimittajan muuten havainnoimat tai haltuunsa saamat Xxxxxxx pidet- tävät tiedot, ottaen lisäksi huomioon kohdassa 4.7 sovitun. Xxxxxxx pidettäviä
LIITE 3 4 (11)
28.4.2020
tietoja ei myöskään saa käyttää omaksi tai toisen hyödyksi tai toisen vahin- goksi.
4.4 Toimittajan tulee käsitellä Xxxxxxx pidettäviä tietoja vain Xxxxxxxx tuottamisen edellyttämässä laajuudessa. Toimittaja antaa Xxxxxxx pidettäviä tietoja tai tie- toja turvallisuusjärjestelyistä vain niille henkilöille, jotka tarvitsevat Salassa pi- dettäviä tietoja tai tietoja turvallisuusjärjestelyistä Palvelun tuottamiseen liitty- vissä työtehtävissään. Toimittaja sitoutuu saattamaan Turvallisuussopimuksen vaikutusalaan kuuluvan henkilöt tietoisiksi tähän Turvallisuussopimukseen liitty- vistä velvoitteista ja antamaan ohjeistusta sekä järjestämään koulutusta erityi- sesti Xxxxxxx pidettävien tietojen asianmukaisesta käsittelystä sekä turvallisuus- järjestelyistä henkilöille, joilla on pääsy näihin tietoihin. Toimittaja sitoutuu val- vomaan, että edellä tarkoitetut henkilöt noudattavat Turvallisuusopimusta.
4.5 Toimittaja sitoutuu säilyttämään ja käsittelemään Xxxxxxx pidettäviä tietoja si- ten, että ne pysyvät vain niiden henkilöiden hallussa, joilla on oikeus Salassa pidettäviin tietoihin, eivätkä ne joudu ulkopuolisten haltuun, tutkittavaksi tai tie- toon.
4.6 Toimittaja tiedostaa, että Xxxxxxx pidettävien tietojen paljastaminen ulkopuoli- sille saattaa olla rikoslain mukaan rangaistava teko.
4.7 Tiedon antamisesta asiakirjasta, joka on saatu Tilaajalta tai laadittu Tilaajan toi- meksiantotehtävää suoritettaessa, päättää Tilaaja, jollei toimeksiannosta muuta johdu. Toimittaja ei saa ilman Xxxxxxxx lupaa luovuttaa tehtävän suorittamisen yhteydessä tietoonsa saamiaan tietoja sivulliselle. Tietojen luovuttamista koske- vat pyynnöt tulee osoittaa Tilaajalle.
4.8 Toimittaja vastaa siitä, ettei Tilaajan kohteiden tai toiminnan turvallisuus vaa- rannu Toimittajan henkilöstön huolimattomuuden, virheellisten työtapojen tai muun tämän Turvallisuussopimuksen tai palvelusopimuksen vastaisen toimin- nan johdosta.
4.9 Toimittaja ja sen alihankkijat saavat mainita referenssinä tehneensä työtä Tilaa- jalle vain, jos asiasta on erikseen kirjallisesti sovittu Toimittajan ja Xxxxxxxx vä- lillä. Toimittaja ei saa käyttää Tilaajan nimeä markkinoinnissa ilman Xxxxxxxx etukäteen antamaa kirjallista suostumusta.
4.10 Mikäli Xxxxxxx pidettäviä asiakirjoja tai tietoja käsitellään Tilaajan tilojen ulko- puolella, on Toimittajan noudatettava Tilaajan antamia toimintaohjeita ja erityi- sesti huolehdittava siitä, ettei tietoaineistojen turvallisuus vaarannu.
4.11 Tiloissa valokuvaaminen ja/tai muu kuvatallentaminen on sallittua ainoastaan työn toteuttamisen edellyttämässä suppeassa laajuudessa. Kuvaamiseen tarvi- taan aina Tilaajan etukäteen antama lupa.
4.12 Tässä turvallisuussopimuksessa kuvattujen menettelyjen lisäksi Xxxxxxxxxx on oi- keus tarvittaessa antaa turvallisuuteen liittyviä käytännön toimintaohjeita, joita Toimittajan tulee noudattaa.
LIITE 3 5 (11)
28.4.2020
5. PÄÄSY TILOIHIN
5.1 Toimittaja vastaa siitä, että pääsy Tilaajan Tiloihin annetaan vain sellaisille ni- metyille Toimittajan ja sen alihankkijan henkilöille, joista on Tilaajan niin vaa- tiessa tehty laissa säädettyjen edellytysten täyttyessä turvallisuusselvitys ja jotka ovat tietoisia tämän Turvallisuussopimuksen velvoitteista ja Tiloissa liikku- misesta annetuista ohjeista. Henkilöt, joille ei ole annettu edellä tarkoitetulla tavalla oikeutta päästä Tilaajan Tiloihin, saavat oleskella tiloissa ainoastaan Ti- laajan luvalla ja valvonnan alaisina.
5.2 Toimittajan ja sen alihankkijoiden henkilöiden, joilla on pääsy Tilaajan Tiloihin, tulee olla tunnistettavissa. Henkilöillä on oltava Tilaajan Tiloissa liikkuessaan nä- kyvillä Xxxxxxxx kanssa sovittu kuvallinen henkilötunniste. Itsenäinen kulkemi- nen Tilaajan tiloissa edellyttää, että henkilölle on annettu kulkulupa ja kulkemi- seen mahdollistava tunniste.
5.3 Toimittaja vastaa siitä, että Toimittajan henkilöstöön kuuluvat henkilöt, joilla on pääsy Tilaajan tiloihin, noudattavat tätä Turvallisuussopimusta.
5.4 Mikäli Palvelu suoritetaan tai Xxxxxxx pidettäviä tietoja käsitellään Toimittajan tai sen alihankkijan Tiloissa, Toimittajan tulee varmistaa Tilojen tarkoituksen- mukainen fyysinen turvallisuus tulipalon, sähkökatkosten, vesivaurioiden, ulko- puolisten häiriötekijöiden yms. erityistilanteiden varalta. Tilaaja ja Toimittaja sopivat tarvittaessa Palveluun liittyvistä tarkemmista vaatimuksista.
5.5 Toimittajan ja sen alihankkijan Tilojen tulee olla asianmukaisesti suojattu luki- tuksella ja muilla tarpeellisilla toimenpiteillä luvattoman pääsyn estämiseksi Ti- loihin ja siellä oleviin salassa pidettäviin tietoihin.
5.6 Henkilöt, joille ei ole myönnetty oikeutta Xxxxxxx pidettäviin tietoihin tai niitä sisältäviin järjestelmiin, saavat oleskella Toimittajan tai sen alihankkijan Tiloissa ainoastaan valvonnan alaisina. Valvontaa ei edellytetä, mikäli Xxxxxxx pidettäviä tietoja säilytetään tai käsitellään Tiloissa siten, että nämä henkilöt eivät voi päästä niihin käsiksi.
5.7 Henkilöiden, joilla on pääsy Toimittajan tai sen alihankkijan Tiloihin, tulee olla tunnistettavissa.
5.8 Asiakkaalla on oikeus vaatia turvallisuusselvityksen hakemista henkilöistä, joilla on oikeus tarvittaessa päästä Tilaajan tai Toimittajan tai tämän alihankkijan ti- loihin, joissa käsitellään Xxxxxxx pidettäviä tietoja.
5.9 Toimittaja pitää ja/tai velvoittaa tarvittaessa alihankkijansa osaltaan pitämään luetteloa henkilöistä, joille Palveluun liittyen on annettu oikeus päästä Tilaajan Tiloihin ja huolehtii luettelon ajantasaisuudesta. Toimittaja toimittaa luettelon pyynnöstä Tilaajalle.
6. PÄÄSY JÄRJESTELMIIN JA TIETOIHIN
6.1 Toimittaja vastaa siitä, että Xxxxxxx pidettäviä tietoja annetaan tai pääsy sellai- sia tietoja sisältäviin järjestelmiin sallitaan vain nimetyille Toimittajan ja sen ali- hankkijan henkilöstöön kuuluville henkilöille, joista on Tilaajan niin vaatiessa tehty laissa säädettyjen edellytysten täyttyessä turvallisuusselvitys, ja joille on
LIITE 3 6 (11)
28.4.2020
annettu oikeus päästä kyseisiin järjestelmiin ja/tai tietoihin, ja jotka ovat tietoi- sia salassapitoa koskevista velvoitteistaan. Tilaajalla on kuitenkin tarvittaessa oikeus edellyttää edellä tarkoitetun menettelyn noudattamista myös suojausta- solle IV luokiteltuihin tietoihin tai sellaisia tietoja sisältäviin järjestelmiin pääse- vien henkilöiden osalta, mikäli turvallisuusselvitykselle laissa asetetut edellytyk- set täyttyvät. Oikeuden käsitellä Xxxxxxxx Xxxxxxx pidettäviä tietoja tai päästä sellaisia tietoja sisältäviin järjestelmiin, antaa Tilaaja. Toimittajan tulee järjestää käyttöoikeuden rajaaminen ja suojaus luvatonta käyttöä vastaan mahdollisim- man pitkälti teknisin keinoin ja huolehtia siitä, että Tilaajan Salassa pidettäviä tietoja ja tietoja sisältäviä järjestelmiä koskevat yhteydenotot ja toimenpiteet ovat todennettavissa jälkikäteen. Toimittajalla on Tilaajan pyynnöstä velvolli- suus luovuttaa Tilaajalle kaikki Tilaajan Salassa pidettäviä tietoja ja tietoja sisäl- täviä järjestelmiä koskevat lokitiedot siltä osin kuin ne voidaan lain mukaan Ti- laajalle luovuttaa.
6.2 Toimittaja vastaa siitä, että Xxxxxxx pidettävien tietojen käsittelyyn osallistuvat Toimittajan tai sen alihankkijan henkilöstöön kuuluvat henkilöt, ovat tietoisia salassapitoa koskevista velvoitteistaan ja noudattavat tätä Turvallisuussopi- musta.
6.3 Tilaajan erikseen kirjallisesti vaatiessa toimittaja pitää ja/tai velvoittaa tarvitta- essa alihankkijansa osaltaan pitämään luetteloa henkilöistä, jotka käsittelevät suojaustasolle III tai IV luokiteltuja Xxxxxxx pidettäviä tietoja tai joilla on pääsy sellaisia tietoja sisältäviin järjestelmiin, huolehtii luettelon ajantasaisuudesta ja toimittaa sen pyynnöstä Tilaajalle.
6.4 Tilaajalla on perustellusta syystä oikeus kieltää Toimittajan tai sen alihankkijan yksittäisen henkilön osallistuminen sellaisen Palvelun tuottamiseen, jossa käsi- tellään Xxxxxxx pidettävien tietoja.
7. VAITIOLOSITOUMUKSET
7.1 Toimittaja vastaa siitä, että Toimittajan tai sen alihankkijan henkilölle, jolle an- netaan pääsy Tilaajan Tiloihin, joissa Xxxxxxx pidettäviä tietoja säilytetään, an- netaan pääsy Xxxxxxx pidettäviin tietoihin ja/tai jolle annetaan pääsy järjestel- miin, annetaan tieto hänen vaitiolovelvollisuudestaan. Tilaajalla on oikeus vaa- tia, että tämän todentamiseksi henkilö antaa sopimuksen liitteenä 4 olevan mal- lin mukaisen sitoumuksen (”vaitiolositoumus”) Tilaajalle ennen kuin hän saa oi- keuden päästä Tiloihin ja ennen kuin hän aloittaa mainittujen tietojen käsittelyn tai saa pääsyn mainittuihin järjestelmiin.
8. TIETOTURVALLISUUS JA TIETOSUOJA
8.1 Toimittaja noudattaa julkisuuslaissa tarkoitettua hyvää tiedonhallintapaa sekä Henkilötietoja käsitelleessään luonnollisten henkilöiden suojelusta henkilötieto- jen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (jäljempänä ”EU:n yleinen tietosuoja-asetus”), asetuksen perus- teella annetun kansallisen tietosuojalain sekä muun kulloinkin voimassa olevan henkilötietojen käsittelyä koskevan lainsäädännön edellyttämää hyvää tietojen
LIITE 3 7 (11)
28.4.2020
käsittelytapaa ja tietojen suojaamista koskevia säännöksiä sekä muuta tieto- suojaa koskevaa lainsäädäntöä palvelusopimuksen liittyvän Palvelun tuottami- sessa.
8.2 Toimittaja sitoutuu noudattamaan Tilaajan kulloinkin voimassa olevaa ohjeis- tusta Salassa pidettäviä tietoja käsitellessään.
8.3 Tilaaja ja Toimittaja sopivat toteutusprojektikohtaisesti kulloisetkin tarkemmat konkreettiset tietoturvavaatimukset eri toteutettaville ja ylläpidettäville ratkai- suille. Toimittajan tulee esittäessään toteutuksiin liittyviä teknologioita ja toteu- tusmalleja esittää myös, miten niissä toteutuu Tilaajan ja Tilaajan asiakkaiden tietoturva ja tietosuoja ja millaisia mahdollisia tietoturvaan ja tietosuojaan liitty- viä riskejä eri vaihtoehtoihin sisältyy ja miten nämä on hallittu. Osatoteutusten suunnitteluvaiheessa laaditaan toteutettavaan osatoteutukseen liittyen toteu- tuksen laajuuden ja kriittisyyden huomioon ottava konkreettinen tietoturvavaa- timusluettelo, ellei toisin ole sovittu Xxxxxxxx ja Toimittajan välillä. Toimittaja vastaa siitä, että toteutuksen ja käytön aikana esitetyt tietoturvavaatimukset täyttyvät ja että tietoturvaratkaisujen riittävyys arvioidaan säännöllisesti osana ratkaisujen ylläpitoa ja jatkokehittämistä. Osatoteutusten suunnitteluvaiheessa sovitut minimivaatimukset eivät kuitenkaan sido Tilaajaa, vaan Tilaaja tai Tilaa- jan asiakkaat voivat esittää toteutuksiin liittyen myös muita uusia tietoturva- vaatimuksia tai korottaa jo aiemmin esitettyjen vaatimusten tietoturvatasoa kunkin toteutettavan osatoteutuksen osalta siitä Toimittajalle ilmoittamalla.
8.4 Mikäli Palvelusopimuksen mukaiseen toimitukseen tai sopijapuolten väliseen yh- teystyöhön sisältyy Henkilötietojen käsittelyä, vastaavat sopijapuolet omista kulloinkin voimassa olevaan Henkilötietojen käsittelyä koskevaan lainsäädän- töön perustuvista velvoitteistaan joko rekisterinpitäjänä tai Henkilötietojen kä- sittelijänä.
8.5 Siltä osin kuin Toimittaja käsittelee Henkilötietoja Tilaajan toimeksiannosta, toi- mii Toimittaja EU:n yleisessä tietosuoja-asetuksessa tarkoitettuna Henkilötieto- jen käsittelijänä ja sitoutuu noudattamaan tämän sopimuksen liitteessä 2 olevia Henkilötietojen käsittelyä koskevia ehtoja sekä toimimaan kulloinkin voimassa olevan Henkilötietojen käsittelyä koskevan lainsäädännön sekä erikseen laadit- tavan tilaajasopimuskohtaisen henkilötietojen käsittelytoimien kuvauksen mu- kaisesti käsitellessään Henkilötietoja.
9. ALIHANKKIJAT
9.1 Toimittajan tulee hyväksyttää Tilaajalla sellainen alihankkija, jota se aikoo käyt- tää Xxxxxxx pidettävien tietojen käsittelyssä tai jolla on pääsy Tilaajan tai Toi- mittajan Tiloihin tai järjestelmiin, joissa käsitellään Salassa pidettävää tietoa. Tässä Turvallisuussopimuksessa alihankkijalla tarkoitetaan ainoastaan sellaista alihankkijaa, jota Toimittaja käyttää Xxxxxxx pidettävien tietojen käsittelyssä tai jolla on pääsy Tilaajan tai Toimittajan Tiloihin tai järjestelmiin, joissa käsitellään Xxxxxxx pidettävää tietoa.
9.2 Mitä tässä Turvallisuussopimuksessa on sovittu Toimittajan henkilöstöstä, sovel- letaan myös alihankkijan Palvelun tuottamiseen osallistuvaan henkilöstöön.
LIITE 3 8 (11)
28.4.2020
9.3 Toimittajan tulee huolehtia siitä, että se pystyy noudattamaan tätä Turvallisuus- sopimusta myös käyttäessään alihankkijoita. Toimittaja on tietoinen ja sen on tiedotettava alihankkijalleen, että turvallisuusjärjestelyjen saattamisesta tämän Turvallisuussopimuksen edellyttämälle tasolle saattaa syntyä kustannuksia.
9.4 Toimittaja vastaa alihankkijoiden toiminnasta kuin omastaan ja siitä, että sen alihankkijat toimivat tämän Turvallisuussopimuksen ehtojen mukaisesti.
9.5 Ellei toisin sovita, Toimittajan tulee tehdä tämän Turvallisuussopimuksen ehtoja vastaava sopimus kohdassa 9.1 tarkoitetun alihankkijan kanssa ja Toimittajan on asetettava alihankkijalleen vastaava velvollisuus tämän käyttämän alihankki- jan osalta.
10. TARKASTUKSET JA RAPORTOINTI
10.1 Tilaajalla, Xxxxxxxx määräämällä kolmannella taholla (joka ei ole Toimittajan suoranainen kilpailija) tai sellaisella kolmannella osapuolella, jolla on lakiin pe- rustuva oikeus tarkastaa Tilaajan toimintaa, on oikeus tarkastaa omalla kustan- nuksellaan etukäteen ilmoitettuna ajankohtana Toimittajan ja sen alihankkijoi- den turvallisuusjärjestelyt tätä Turvallisuussopimusta sekä palvelusopimusta koskevilta osin.
10.2 Tilaajan on ilmoitettava omasta aloitteestaan tehtävästä tarkastuksesta viimeis- tään neljätoista (14) päivää ennen tarkastuspäivää. Toimittaja voi ehdottaa uutta päivää tarkastukselle. Uusi ajankohta ei kuitenkaan saa olla myöhemmin kuin kymmenen (10) päivää Xxxxxxxx ilmoittaman päivän jälkeen. Tarkastus saadaan suorittaa kuitenkin enintään kolme (3) kertaa vuodessa, ellei ole erityi- sen painavia syitä useammille tarkastuksille tai toisin sovita. Haavoittuvuus- skannauksia voidaan kuitenkin tehdä edellä mainituista määräajoista riippu- matta erikseen sovittavina ajankohtina. Tarkastukset eivät saa vaarantaa Toi- mittajan tai sen alihankkijoiden tietoturvallisuutta tai Toimittajan tai sen ali- hankkijoiden salassapitovelvoitteita muita asiakkaita kohtaan. Tilaajalla on edellä tarkoitetun tarkastusoikeuden lisäksi oikeus suorittaa Tiloissaan, laitteis- saan, tietojärjestelmissään ja verkkoympäristöissään jatkuvaa valvontaa ja tehdä ennalta ilmoittamatta turvallisuustarkastuksia tässä Turvallisuussopimuk- sessa asetettujen velvoitteiden täyttymisen arvioimiseksi.
10.3 Mikäli tarkastusvaatimuksen esittää sellainen kolmas osapuoli, jolla on lakiin pe- rustuva oikeus tarkastaa Tilaajan toimintaa, on Toimittajan järjestettävä tarkas- tusmahdollisuus kolmen (3) päivän kuluessa tarkastusvaatimuksen esittämi- sestä.
10.4 Toimittajan tulee huolehtia sopimusjärjestelyin siitä, että Tilaajalla ja sellaisella kolmannella osapuolella, jolla on lakiin perustuva oikeus tarkastaa Tilaajan toi- mintaa, on mahdollisuus tarkastaa myös Toimittajan sellaisen alihankkijan tur- vallisuusjärjestelyt, joka osallistuu Salassa pidettävien tietojen käsittelyyn tai jolla on pääsy Tilaajan tai Toimittajan tiloihin tai järjestelmiin, joissa käsitellään Tilaajan salassa pidettäviä tietoja.
LIITE 3 9 (11)
28.4.2020
10.5 Mikäli tarkastuksessa havaitaan merkittäviä puutteita turvallisuusjärjestelyissä, Toimittaja korvaa Tilaajalle tarkastuksesta aiheutuneet kustannukset. Toimitta- jalla tai tämän alihankkijalla ei ole oikeutta periä Tilaajalta korvausta tarkastuk- sen suorittamiseen kuluneesta työajasta tai muista tarkastuksesta aiheutuneista kustannuksista.
10.6 Toimittajan tulee korjata tarkastuksessa tai muussa valvonnassa havaitut puut- teet viivytyksettä Tilaajan kirjallisesta ilmoituksesta. Erityisiä korjattavia toi- menpiteitä vaativat puutteet on korjattava kuitenkin viimeistään 30 vuorokau- den kuluessa Xxxxxxxx kirjallisesta ilmoituksesta, ellei siitä ole Xxxxxxxx ja Toimit- tajan välillä erikseen toisin sovittu. Olennaiset puutteet, jotka muodostavat il- meisen uhkan tietoturvallisuudelle, on korjattava heti, tai Tilaajan ilmoittamassa ajassa, mikäli Tilaaja ilmoittaa tällaisen ajan Toimittajalle. Toimittaja laatii puut- teita koskevan aikataulutetun korjaussuunnitelman, jonka Tilaaja hyväksyy.
10.7 Toimittaja on velvollinen ilmoittamaan Tilaajalle, jos Toimittajan tai sen alihank- kijan tämän Turvallisuussopimuksen kannalta keskeisissä toiminnoissa tai hen- kilöstö- tai turvallisuusjärjestelyissä tapahtuu muutoksia tai jos Toimittajan tai sen alihankkijan omistussuhteissa tapahtuu merkittäviä muutoksia.
10.8 Toimittaja valvoo tämän Turvallisuussopimuksen edellyttämän turvallisuustason toteutumista toiminnassaan säännöllisesti ja suunnitelmallisesti, kirjaa mahdolli- set poikkeamat ja raportoi ne Tilaajalle viivytyksettä sekä aloittaa korjaustoimet ensi tilassa (mallipohja liitteessä 4). Tilaaja seuraa Palvelun turvallisuustason toteutumista yhteistyössä Toimittajan kanssa.
10.9 Toimittaja on velvollinen ilmoittamaan Tilaajalle, mikäli Toimittajaan tai sen ali- hankkijaan kohdistuu Asiakasta mahdollisesti uhkaavia yhteydenottoja. Toimit- taja on velvollinen ilmoittamaan Tilaajalle sopimuksenvastaisesta tietovuodosta, tietomurtoyrityksestä tai muusta turvallisuutta vaarantavasta tapahtumasta tai seikasta. Ilmoitukset tulee tehdä viipymättä kirjallisesti.
10.10 Tilaajalla on oikeus luovuttaa muille viranomaisille tai valtion yksiköille tieto siitä, että tämän luvun mukainen tarkastus on suoritettu, mutta Tilaajalla ei kui- tenkaan ilman Toimittajan lupaa ole oikeutta luovuttaa näille tietoa tarkastuk- sen tuloksista, ellei pakottavasta lainsäädännöstä muuta johdu.
11. SOPIMUSSAKKO JA VAHINGONKORVAUS
11.1 Tilaajalla on oikeus saada Toimittajalta sopimussakkoa jokaista salassapitovel- vollisuuden rikkomusta tai Tietosuojaselosteessa olevan henkilötietojen käsitte- lyä koskevan velvoitteen rikkomusta kohden ilman velvollisuutta näyttää toteen sille rikkomuksesta aiheutunutta vahinkoa. Sopimussakko ei koske kohdassa
4.7 sovitun velvollisuuden rikkomista, mikäli kyseessä ei ole Salassa pidettävä tieto.
11.2 Sopimussakon määrä jokaista auditoinnissa havaittua tai muutoin toteennäytet- tyä salassapitovelvollisuuden rikkomusta tai tietosuojaselosteessa olevan henki- lötietojen käsittelyä koskevan velvoitteen rikkomusta kohden on kaksikymmen- tätuhatta (20.000) euroa (€).Mikäli Toimittaja muun kuin salassapitovelvollisuu-
LIITE 3 10 (11)
28.4.2020
den rikkomuksen tai tietosuojaselosteessa olevan henkilötietojen käsittelyä kos- kevan velvoitteen rikkomuksen ollessa kyseessä korjaa rikkomuksen 30 vuoro- kauden kuluessa siitä, kun se on havainnut rikkomuksen, Tilaajalla ei ole oi- keutta saada sopimussakkoa, mikäli rikkomus on luonteeltaan sellainen, että siitä ei ole voinut aiheutua Xxxxxxxxxx vahinkoa.
11.3 Jos Toimittaja samalla teolla rikkoo useita tämän Turvallisuussopimuksen vel- voitteita, se katsotaan kuitenkin vain yhdeksi sopimussakkoon oikeuttavaksi rik- komukseksi.
11.4 Ennen sopimussakon perimistä Xxxxxxxx tulee ilmoittaa Toimittajalle kirjallisesti tämän Turvallisuussopimuksen rikkomuksesta. Jos Toimittaja sitä kirjallisesti pyytää, käsitellään rikkomus lisäksi Xxxxxxxx ja Toimittajan välisessä tapaami- sessa.
11.5 Kohdissa 11.1–11.4 tarkoitettu sopimussakko ei rajoita Tilaajan oikeutta saada Toimittajalta vahingonkorvausta siltä osin kuin rikkomuksesta Tilaajalle välitön aiheutunut vahinko ylittää sopimussakon määrän.
11.6 Tilaajalla on oikeus saada korvaus kaikista niistä välittömistä vahingoista sekä kuluista ja kustannuksista, jotka sille ovat aiheutuneet Toimittajan tähän Tur- vallisuussopimukseen kohdistuvasta sopimusrikkomuksesta, ellei rikkomus ole aiheutunut palvelusopimuksessa tarkoitetusta ylivoimaisesta esteestä.
11.7 Tässä kohdassa 11 sovittu ei vaikuta sopijapuolen tai sen käyttämän alihankki- jan velvollisuuteen suorittaa vahingonkorvausta tai hallinnollisia sakkoja EU:n yleisen tietosuoja-asetuksen perusteella. Jos sopijapuoli on EU:n yleisen tieto- suoja-asetuksen 82 artiklan 4 kohdan mukaisesti maksanut rekisteröidylle kor- vauksen aiheutuneesta vahingosta, on tällä sopijapuolella oikeus sovittujen vas- tuunrajoitusten rajoittamatta periä samaan tietojen käsittelyyn osallistuneelta toiselta sopijapuolelta se osuus korvauksesta, joka vastaa kyseisen toisen sopi- japuolen tietosuoja-asetuksen mukaan määräytyvää vastuuta aiheutuneesta va- hingosta.
11.9 Toimittaja ei kuitenkaan missään tilanteessa vastaa teleoperaattorin tai muun kolmannen osapuolen, tietojärjestelmä- tai tietoliikennevirheiden ja/tai -häiriöi- den, teknisten vikojen, haitallisten ohjelmistojen (virukset yms.) tai muiden pal- veluiden virheellisen sisällön tai toimintahäiriöiden tai muiden kolmansien osa- puolien suorittamien toimenpiteiden aiheuttamista vahingoista.
12. SOPIMUSMUUTOKSET
12.1 Tähän Turvallisuussopimukseen tehtävät muutokset tulee tehdä kirjallisesti ja molempien sopijapuolten vahvistaa allekirjoituksellaan.
13. SOPIMUKSEN PURKAMINEN
13.1 Sen lisäksi mitä Palvelusopimuksessa on sovittu irtisanomisesta tai purkami- sesta, Tilaajalla on oikeus purkaa tämä Turvallisuussopimus ja se Palvelusopi- mus, johon tämä Turvallisuussopimus perustuu, mikäli Toimittaja rikkoo tähän Turvallisuussopimukseen perustuvia sopimusvelvoitteitaan niin olennaisesti, ettei Tilaajan voida kohtuudella edellyttää jatkavan sopimussuhdetta.
LIITE 3 11 (11)
28.4.2020
13.2 Purkaminen tulee tehdä kirjallisesti. Tämän Turvallisuussopimuksen päättymi- sestä huolimatta Toimittajan on maksettava päättymisen perusteena olevista rikkomuksista tämän Turvallisuussopimuksen mukaiset sanktiot.
14. SOPIMUKSEN VOIMASSAOLO
14.1 Tämä Turvallisuussopimus tulee voimaan, kun Tilaaja ja Toimittaja ovat allekir- joittaneet kohdassa 2.4 mainitun Palvelusopimuksen ja Turvallisuussopimuksen.
14.2 Tämä Turvallisuussopimus on voimassa niin kauan kuin Tilaajan ja Toimittajan välinen Palvelusopimus on voimassa.
14.3 Tämän Turvallisuussopimuksen mukainen salassapitovelvollisuus on voimassa myös sen jälkeen kuin Tilaajan ja Toimittajan välinen Palvelusopimus on päätty- nyt.
14.4 Palvelusopimuksen päätyttyä Toimittaja mahdollisine alihankkijoineen palauttaa kaikki Xxxxxxxx Xxxxxxx pidettäviä tietoja sisältävät dokumentit, tallenteet ja muun materiaalin. Erikseen kirjallisesti niin sovittaessa Toimittaja mahdollisine alihankkijoineen voi myös tuhota edellä mainitun materiaalin Tilaajan ohjeistuk- sen mukaisella tavalla. Tilaajalla on oikeus tarkastaa, että Toimittaja xxxxxxxx- sine alihankkijoineen on suorittanut edellä mainitut toimenpiteet asianmukai- sesti. Tässä kohdassa tarkoitettuun tarkastukseen sovelletaan kohdan 10 mu- kaisia ehtoja.
15. SOVELLETTAVA LAKI JA ERIMIELISYYKSIEN RATKAISEMINEN
15.1 Tähän sopimukseen sovelletaan Suomen lakia.
15.2 Tästä Sopimuksesta aiheutuvat erimielisyydet ratkaistaan ensisijaisesti yhtei- sesti neuvottelemalla. Mikäli osapuolet eivät kolmessakymmenessä (30) päi- vässä kykene saavuttamaan yksimielisyyttä, ratkaistaan tästä sopimuksesta ai- heutuvat riidat lopullisesti Tilaajan kotipaikan käräjäoikeudessa.
16. SOPIMUSKAPPALEET JA ALLEKIRJOITUKSET
16.1 Tätä sopimusta on tehty kaksi (2) samasanaista kappaletta, yksi (1) kummalle- kin sopijapuolelle.
Espoossa xx.xx.2020
TVV lippu- ja maksujärjestelmä Oy Tilaaja
Xxxx Xxxxxxxxx xxx xxxxxx
toimitusjohtaja yyyyyyyyyyyyyy
Turvallisuussopimuksen yhteyshenkilöt
Tilaajan yhteyshenkilö: NN
email puhnro
Toimittajan yhteyshenkilö: Xxxx Xxxxxxxxx xxxx.xxxxxxxxx@xxx.xx
x000 00 0000000
Toimiessani TVV lippu- ja maksujärjestelmä Oy:n palveluksessa tai toimeksiannossa sitoudun pitämän salassa kaikki tietooni tulevat tai sen sidosryhmien toimintaan liittyvät laatimani, minulle luovutetut tai muuten tietooni tulleet salassa pidettävät tiedot ja ei-julkiset tiedot tai tiedot, jotka on sellaisiksi ymmärrettävä.
Sitoudun siihen, etten paljasta Asiakkaan tietoja tai tietooni tulleita kolmannen osapuolen tietoja sivullisille. Sivullisiksi tässä yhteydessä katsotaan myös ne Asiakkaalla tai sen yhteistyökumppaneilla työskentelevät henkilöt, jotka eivät heille määrättyjen tai sovittujen tehtävien perusteella tarvitse asiaa tietoonsa. Vaitiolovelvollisuus sitoo minua senkin jälkeen, kun osallistumiseni sopimuksen mukaisiin tehtäviin on päättynyt tai erotessani alussa mainitun yrityksen palveluksesta.
Sitoudun palauttamaan Asiakkaalle tai hävittämään luotettavasti kaiken saamani salassa pidettävän aineiston välittömästi Asiakkaan niin vaatiessa, kuitenkin viimeistään yhteistyön päätyttyä tai mikäli osapuolet eivät päädy yhteistyöhön, neuvottelujen päätyttyä. Sitoudun myös säilyttämään ja käsittelemään työhön liittyviä asiakirjoja, laitteita, koneita, valokuvia, tietolevyjä tai vastaavia salassa pidettäviä tavaroita siten, että ne eivät päädy ulkopuolisten haltuun, tutkittavaksi tai tietoon.
Olen perehtynyt henkilötietojen ja ammatti- ja liikesalaisuuksien salassapitoa koskeviin Asiakkaan ohjeisiin ja käsittelen tietoja Asiakkaan ohjeiden mukaisesti. Olen lukenut ja ymmärtänyt edellä kuvatun vaitiolo- ja salassapitovelvollisuuteni ja sitoudun mainittuja velvollisuuksia noudattamaan.
. .2020
Paikkakunta Pvm
_
Etunimi Sukunimi (henkilötunnus)
_ Arvo tai nimike
_ Yritys
_ Allekirjoitus
Poikkeamailmoituksen malli
Tällä lomakkeella ilmoitetaan organisaatiossa tapahtuneesta tietoturvapoikkeamasta tai sen uhkasta.
Ilmoittaja Osasto / yksikkö / vastuualue
TIETOTURVAPOIKKEAMAN TAI SEN UHKAN KUVAUS
Tapahtuma-ajankohta |
Tapahtumapaikka / -kohde |
Poikkeaman tyyppi Palvelunestohyökkäys Haittaohjelma Järjestelmän luvaton käyttö Tiedon korruptoituminen tai tuhoutuminen Varkaus Muu poikkeama |
Tapahtumakuvaus (ajankohdat, havainnot, tehdyt toimenpiteet yms.) |
Tapahtumasta aiheutuneet vahingot ja / tai mahdollisesti seuraavat vahingot ja selvitystyöhön käytetyt henkilöresurssit |
Sisäinen ja ulkoinen viestintä |
Kokemuksesta oppiminen |
Muut tiedot |
Lisätietojen antaja ja yhteystiedot |
TVV lippu- ja maksujärjestelmä Oy:n tietoturvapolitiikka
Tässä politiikassa tietoturvalla tarkoitetaan tiedon luottamuksellisuuden, eheyden ja käytettävyyden varmistamista sen esitystavasta riippumatta. Tämä politiikka määrittelee tietoturvan perusvaatimukset ja luo pohjan politiikan mukaisen toiminnan suunnittelulle ja jalkauttamiselle. Politiikan läpiviennin tukemiseksi laaditaan lisäksi tarkempaa ohjeistusta tietoturvan eri osa-alueille. Tietoturvapolitiikka velvoittaa koko henkilökuntaa kaikissa toimintamaissa.
Tietoturvallisuutta toteutetaan ja kehitetään riskilähtöisesti käyttäen tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Tietoturvapolitiikan tarkoituksenmukaisuutta arvioidaan LMJ:n hallituksessa vuosittain osana riskienhallintaa.
Tietoturvapolitiikka yhdessä LMJ:n arvojen, riskienhallintamenettelyiden sekä tietosuojamenettelyiden kanssa ovat keskeinen osa yrityksessä noudatettavaa hyvää hallinnointia (Corporate Governance).
1. Päämäärä
Tietoturvan ensisijaisena päämääränä on LMJ:n vastuulla olevien toimintojen jatkuvuuden turvaaminen kaikissa olosuhteissa. Tarkoituksenmukainen ja tehokas tietoturva mahdollistaa LMJ:n toimintoihin liittyvien ICT-ratkaisujen käytettävyyden sekä prosesseissa, rekistereissä ja palveluissa käytettävien tietojen eheyden ja luottamuksellisuuden kaikissa olosuhteissa.
Tämän politiikka luo perustan LMJ:n tietojärjestelmien toiminnan häiriöttömyyden ja tietojenkäsittelyn turvallisuuden varmistamiselle.
LMJ:ssä asiakastietojen ja muun digitaalisten toimintojen tuottaman ja käsittelemän datan turvaaminen on olennainen osa vastuullista toimintaa, jota sekä omistajamme, asiakkaamme että yhteistyökumppanimme edellyttävät meiltä. Digitaalisuuden kasvu merkitsee sitä, että tietoturvallisuutta säännellään enenevässä määrin myös lainsäädännöillä. Jokaisen työntekijän on noudatettava tietoturvapolitiikkaa, sitä täydentäviä periaatteita ja ohjeita sekä lainsäädäntöä.
2. Tietoturvan ohjausmalli ja vastuut
Tietoturvan ohjausmalli on osa LMJ:n riskienhallinnan ohjausmallia. LMJ:n hallituksen tehtäviin kuuluu LMJ:n sisäisen valvonnan ja riskienhallintajärjestelmien tehokkuuden arviointi. Tässä roolissa hallitus vahvistaa yrityksen tietoturvapolitiikan sekä käsittelee kokouksissaan merkittävimmät tietoturvariskit.
Vastuu tietoturvan ja riskienhallinnan käytännön toteuttamisesta on yrityksen johdolla. Johto koordinoi tietoturvaprosessia ja vastaa raportoinnista sekä toteuttaa tietoturvariskien tunnistamista ja hallintatoimenpiteiden määrittämistä. Jokaisen LMJ:ssä pitää tunnistaa tietoturvaan liittyvät riskit ja reagoida niihin.
3. Tietoturvan toteuttaminen
3.1.Riskien arviointi
Tietoturvariskejä arvioidaan ja analysoidaan säännöllisesti niiden liiketoimintavaikutusten perusteella. Riskiarviointi tulee laatia myös uusien järjestelmien määrittelyvaiheessa ja merkittävien toiminnan kriittisyyteen vaikuttavien muutosten yhteydessä.
3.2.Tietojen luokittelu ja käsittely
LMJ:llä on käytössä tietojen luokittelumenetelmä, jossa ohjeistetaan, miten tiedot tulee luokitella ja määritellään tietoturvakontrollit eri luokkiin kuuluvan tiedon käsittelylle.
3.3.Henkilötietojen käsittely
Tietosuojaohjeistuksissa määritellään, kuinka asiakas- ja henkilötietoja käsitellään LMJ:ssä.
3.4.Tietoturvavaatimukset
LMJ:n tietoturvavaatimukset määrittävät sopimuskumppaneilta vaadittavan minimitason tietoturvan osalta.
3.5.Tietoturvakoulutus
Jokaisen on vähintään suoritettava tietoturvallisuuden verkkokoulutus. Koulutuksen suoritusta seurataan. Lisäksi valituille kohderyhmille järjestetään tehtäväkohtaista tietoturvakoulutusta.
3.6.Valvonta ja seuranta
Tietoturvatason parantaminen ja ylläpitäminen edellyttävät tietojärjestelmien toiminnan systemaattista ja jatkuvaa valvontaa. Valvontaa toteuttavat henkilöt ovat lain mukaan vaitiolovelvollisia työssään käsittelemistä tiedoista.
Tietoturvatilanteesta raportoidaan normaalin sisäisen valvonnan sekä sisäisten ja ulkoisten tarkastusten yhteydessä. Teknistä tietoturvaa arvioidaan jatkuvasti ja tärkeimpiin ympäristöihin tehdään erillisiä tietoturvatarkastuksia.
3.7.Tietoturvapoikkeamien käsittely
LMJ:llä on menettelytavat tietoturvapoikkeamien havaitsemiseksi. Mahdollisten tietoturvaloukkauksien käsittelyyn on määritellyt toimintamallit ja niistä raportoidaan johdolle.
3.8.Tietoturvarikkomukset
Tietoturvarikkomukseksi lasketaan tietoturvapolitiikan ja -ohjeistuksen vastainen toiminta. LMJ on määritellyt menettelytavat rikkomustilanteille.
3.9.Kommunikointi henkilöstölle ja kumppaneille
Tietoturvapolitiikka on viestitty LMJ:n henkilöstölle, sekä yhteistyökumppaneille.
Tietoturvapolitiikan hyväksyntä
LMJ:n hallitus on X.X.2020 hyväksynyt tämän politiikan ja valvoo sen toteutumista.
Tietosuojaseloste, laatimispäivä 8.5.2020 EU:n Tietosuoja-asetus (2016/679)
1. Rekisterinpitäjä
TVV lippu- ja maksujärjestelmä Oy
Yhteystiedot
TVV lippu- ja maksujärjestelmä Oy
Alberga Business Park, Xxxxxx Xxxxxx aukio 0, 00000 Xxxxx xxxx@xxx.xx
2. Yhteyshenkilö rekisteriä koskevissa asioissa
Tietosuojavastaava Xxxx Xxxxx
Alberga Business Park, Xxxxxx Xxxxxx aukio 0, 00000 Xxxxx xxxx@xxx.xx
3. Rekisterin nimi
Waltti- matkakorttijärjestelmän asiakasrekisteri
Waltti- matkakorttijärjestelmän verkko- ja mobiilipalveluiden asiakasrekisteri WalttiPRO – etuusrekisteri
Kehittäjäportaalin käyttäjien rekisteri
4. Henkilötietojen käsittelyn tarkoitus ja peruste
Matkakorttijärjestelmän asiakasrekisteri
tietoja käytetään Waltin toimivaltaisten viranomaisten (jatkossa TVV) joukkoliikenteen ja asiakkaan välisen asiakassuhteen hoitamiseen ja palvelun toteutukseen. Asiakkaan yksilöintitietoja käytetään henkilökohtaisen matkakortin osto-oikeuden tarkistamiseksi ja asiakkaan henkilökohtaisen asioinnin oikeellisuuden varmistamiseksi.
Henkilötunnuksen käytön perusteina on asiakkaan luotettava tunnistaminen yksilöidysti rekisteristä hänen ja TVV:n oikeuksien ja velvollisuuksien toteuttamisen varmistamiseksi
henkilökohtaisen matkakortin luovutuksessa, jossa todetaan ja perustetaan asiakkaan osto-oikeus.
asiakkaan kuntalaisuuden tarkistuksessa.
o Henkilökohtaisen subventoidun matkakortin luovutus edellyttää, että asiakas asuu TVV alueeseen kuuluvassa kunnassa.
o Asiakkaan kuntalaisuus voidaan joutua tarkistamaan sopimussuhteen kestäessä, asiakkaan kuntalaisuus voi muuttua kortin voimassaolon aikana. Asiakkaan velvollisuutena on päivittää tieto kuntalaisuuden muutoksesta matkakortille sen jälkeen, kun tieto on päivittynyt väestörekisterikeskuksen väestörekisteriin.
o Alennus maksuperusteessa vaihtelee kuntakohtaisesti.
o Kuntalaisuus tarkistetaan väestörekisterikeskuksen väestötietojärjestelmästä.
kadonneen matkakortin sulkemisessa ja kortilla jäljellä olevien lipputietojen selvittämisessä.
vioittuneen matkakortin vaihtamisessa ja kortilla jäljellä olevien lipputietojen selvittämisessä.
löytyneen matkakortin omistajan tunnistamisessa.
asiakkaan tunnistamisessa matkakortilla olevien lipputuotteiden hyvittämistilanteissa ja virhetilanteiden selvityksen yhteydessä.
asiakkaan matkakortin lataustapahtumien ja mahdollisten näyttötapahtumien tarkistamisessa.
henkilökohtaisen matkakortin tietojen tuomisessa verkkopalvelusovellukseen asiakkaan hakupyynnön perusteella. Korttitietojen haku edellyttää asiakkaalta vahvaa tunnistautumista verkkopankkitunnuksilla.
matkakortin sulkemisessa asiakassuhteen päättyessä.
asiakkaan tunnistamisessa asiakassuhdetta päätettäessä Matkakorttijärjestelmän asiakasrekisterissä TVV lippu- ja maksujärjestelmä Oy toimii henkilötietojen käsittelijän roolissa.
Verkkopalvelun ja mobiilipalvelun asiakasrekisteri
tietoja käytetään Waltin toimivaltaisten viranomaisten (jatkossa TVV) palvelun tuottamiseen ja toteutukseen (matkakortille tai lipputunnisteelle ladattavat tuotteet), sekä asiakkuuteen liittyvässä yhteydenpidossa. Asiakkaan yksilöintitietoja käytetään asiakkaan henkilökohtaisen asioinnin oikeellisuuden varmistamiseksi.
Henkilötunnuksen käytön perusteina on asiakkaan luotettava tunnistaminen yksilöidysti rekisteristä hänen ja rekisterinpitäjän sekä joukkoliikenneviranomaisten oikeuksien ja velvollisuuksien toteuttamisen varmistamiseksi
asiakkaan matkakortin/lipputunnisteen lataustapahtumien ja mahdollisten näyttötapahtumien tarkistamisessa.
henkilökohtaisen matkakortin/tunnisteen tietojen tuomisessa verkkopalvelusovellukseen asiakkaan hakupyynnön perusteella. Kortti-
/tunnistetietojen haku edellyttää asiakkaalta tunnistautumista.
asiakkaan tunnistamisessa asiakassuhdetta päätettäessä.
Muu käyttö: Asiakasrekisterin tietoja voidaan käyttää suoramarkkinointiin asiakkaan nimenomaisella suostumuksella.
Henkilötietojen käsittelyperusteena ovat ensisijaisesti sopimuksen täytäntöön paneminen ja TVV:n, rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut ja niiden toteuttaminen. Käsittely voi olla tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi ja/tai rekisterinkäyttäjälle kuuluvan julkisen vallan käyttämiseksi.
Tietoja voidaan käyttää myös rekisterinpitäjän oman toiminnan suunnittelu-, kehittämis- ja tilastointitarpeisiin.
Verkkopalvelun ja mobiilipalvelun asiakasrekisterissä TVV lippu- ja maksujärjestelmä Oy toimii rekisterinpitäjänä.
Waltti PRO – etuusrekisteri
tietoja käytetään, kun tarkoituksena on
mahdollistaa matkustajalle yrityksen tai viranomaisen myöntämän etuuden käyttö matkustustuotteiden hankinnassa
Kehittäjäportaalin käyttäjien rekisteri
tietoja käytetään, kun tarkoituksena on
tiedottaa kehittäjäportaalissa tai datarajapinnoissa tapahtuvista muutoksista
rajoittaa mahdollisia rajapintoihin kohdistuvia väärinkäytöksiä, sekä suorittaa kuormanhallintaa käyttäjien rajapinta-avaimien perusteella
5. Rekisterin tietosisältö
Matkakorttijärjestelmän asiakasrekisteri:
sisältää TVV joukkoliikenteen asiakkaita koskevat seuraavat tiedot (tietoihin ei sisälly paikannustietoa sisältävää matkustustietoa):
Asiakastiedot
asiakkuuden alkamis- ja päättymispäivämäärä
asiakkaan yksilöintitiedot: nimi, henkilötunnuksen loppuosa, syntymäaika, koti- ja asuinkunta, osoite, sukupuoli, kielisyys
yritys- ja yhteisöasiakkaiden yhtiö- tai yhteisötunnus sekä yhteystiedot
mahdolliset puhelinnumerot ja sähköpostiosoite
mahdollinen asiakkaan nimenomainen suostumus suoramarkkinointiin
mahdolliset laskutus- tai toistuvaisveloitussopimukset
mahdolliset valtuutukset
Matkakortin perustiedot
matkakortin numero
matkakortin luontipäivämäärä
asiakkaan matkakorttikohtainen käyttäjäryhmä (osto-oikeudet) ja sen mahdollinen määräaikainen voimassaoloaika
matkakortin lopetuspäivämäärä sekä syykoodi matkakortin lopettamiselle
Matkakortin tapahtumahistoria
o toteutuma- ja rahatapahtumatiedot
matkakortin luovutushetki
matkakortille tehdyt lataukset
arvolipulla tehdyt arvoveloitukset: päivämäärä, kellonaika, lipputuote, veloitettu summa ja historiatietona matkakortin saldo ennen käyttöä ja käytön jälkeen
kausiluonteisten lipputuotteiden käyttöönottotiedot (lipun voimassaolotieto)
sarjaluonteisten ja laskutettavien lipputuotteiden tapahtumatiedot
viimeinen käyttötapahtuma (päivämäärä, kellonaika ja lipputuote sekä linja, jolla korttia on käytetty)
mahdolliset käyttöyritykset (leimaus kortinlukijalla ei ole onnistunut, syykoodi)
o matkakortin tilatiedot (suljettu, avattu, löytynyt, viallinen, korvattu uudella tms.)
Verkkopalvelun ja mobiilipalvelun asiakasrekisteri:
sisältää asiakkaita koskevat seuraavat tiedot (tietoihin ei sisälly paikannustietoa sisältävää matkustustietoa):
Asiakastiedot
asiakkuuden alkamis- ja päättymispäivämäärä
asiakkaan yksilöintitiedot: nimi, henkilötunnuksen loppuosa, syntymäaika, koti- ja asuinkunta, osoite, sukupuoli, kielisyys, mikäli asiakas on vahvasti tunnistautunut
yritys- ja yhteisöasiakkaiden yhtiö- tai yhteisötunnus sekä yhteystiedot
mahdolliset puhelinnumerot ja sähköpostiosoite
mahdollinen asiakkaan nimenomainen suostumus suoramarkkinointiin
mahdolliset laskutus- tai toistuvaisveloitussopimukset
mahdolliset valtuutukset
Matkakortin/tunnisteen perustiedot
matkakortin/tunnisteen numero
asiakkaan matkakortti-/tunnistekohtainen käyttäjäryhmä (osto- oikeudet) ja sen mahdollinen määräaikainen voimassaoloaika
Matkakortin/tunnisteen tapahtumahistoria
o toteutuma- ja rahatapahtumatiedot
matkakortille/tunnisteelle tehdyt lataukset
arvolipulla tehdyt arvoveloitukset: päivämäärä, kellonaika, lipputuote, veloitettu summa ja historiatietona matkakortin/tunnisteen saldo ennen käyttöä ja käytön jälkeen
kausiluonteisten lipputuotteiden käyttöönottotiedot (lipun voimassaolotieto)
sarjaluonteisten ja laskutettavien lipputuotteiden tapahtumatiedot
viimeinen käyttötapahtuma (päivämäärä, kellonaika ja lipputuote sekä linja, jolla korttia on käytetty)
o matkakortin/tunnisteen tilatiedot (suljettu, avattu, löytynyt, viallinen, korvattu uudella tms.)
Waltti PRO – etuusrekisteri
Xxxxxx myönnetystä etuudesta
o etunimi, sukunimi, henkilötunnus
o etuuden määrä
Kehittäjäportaalin käyttäjien rekisteri:
Asiakastiedot
o etunimi, sukunimi, sähköposti
o puhelinnumero (vapaaehtoinen)
o käyttäjätunnus ja salasana (rekisterin ylläpitäjä ei näe salasanaa)
6. Säännönmukaiset tietolähteet
Asiakasrekistereiden asiakastiedot saadaan asiakkaan suostumuksella häneltä itseltään, alaikäisen huoltajalta, asiakkaan valtuuttamalta henkilöltä tai väestörekisterikeskuksen väestötietojärjestelmästä. Henkilötietoja voidaan päivittää edellä mainituista järjestelmistä.
7. Tietojen säännönmukaiset luovutukset ja vastaanottajien ryhmät
Tietoja on mahdollisuus luovuttaa rekisterinpitäjälle, viranomaiskäyttäjille, verkkopalvelussa myytävien tuotteiden tuoteomistajille ja järjestelmäpalveluiden tuottajille tämän tietosuojaselosteen kohdassa 4 kuvattuihin käyttötarkoituksiin.
Kaikkia KELA-tuotteisiin liittyviä tietoja voidaan luovuttaa KELA:lle.
Kaikkia koulutuotteita koskevia tietoja voidaan luovuttaa kouluviranomaisille.
8. Tietojen siirto Euroopan talousalueen ulkopuolelle
Ei tietojen siirtoa ETA-alueen ulkopuolelle.
9. Rekisterin suojauksen periaatteet ja henkilötietojen säilytysaika
Matkakorttijärjestelmän asiakasrekisteri, Xxxxxx PRO ja kehittäjäportaalin käyttäjien rekisteri:
Rekisterinpitäjän ja järjestelmäntoimittajien kesken on tehty sopimus tietosuojasta. Järjestelmäntoimittajat hoitavat asiakasrekisterin ja siihen sisältyvien tietojen säilytyksen hyvän tietojenkäsittelytavan mukaisesti ja noudattavat ehdotonta vaitioloja salassapitovelvollisuutta.
Asiakkuuden päättyessä asiakastiedot poistetaan heti, jollei muut lainsäädännölliset velvoitteet estä tietojen poistamista. Tietojen poistamisen jälkeen reklamointi, hyvitykset ja virhetilanteiden selvittäminen ei ole enää mahdollista.
Verkkopalvelun ja mobiilipalvelun asiakasrekisteri:
Rekisterinpitäjän, viranomaiskäyttäjien, kaupassa myytävien tuotteiden tuoteomistajien ja järjestelmäntoimittajien kesken on tehty sopimus tietosuojasta. Järjestelmäntoimittajat hoitavat asiakasrekisterin ja siihen sisältyvien tietojen säilytyksen hyvän tietojenkäsittelytavan mukaisesti ja noudattavat ehdotonta vaitioloja salassapitovelvollisuutta.
Asiakkuuden päättyessä asiakastiedot poistetaan heti, jollei muut lainsäädännölliset velvoitteet estä tietojen poistamista. Tietojen poistamisen jälkeen reklamointi, hyvitykset ja virhetilanteiden selvittäminen ei ole enää mahdollista.
Xxxxxx PRO asiakasrekisteri:
Rekisterinpitäjän, viranomaiskäyttäjien, sopimusyritysten ja järjestelmäntoimittajien kesken on tehty sopimus tietosuojasta. Järjestelmäntoimittajat hoitavat asiakasrekisterin ja siihen sisältyvien tietojen säilytyksen hyvän tietojenkäsittelytavan mukaisesti ja noudattavat ehdotonta vaitioloja salassapitovelvollisuutta.
Asiakkuuden päättyessä asiakastiedot poistetaan heti, jollei muut lainsäädännölliset velvoitteet estä tietojen poistamista. Tietojen poistamisen jälkeen reklamointi, hyvitykset ja virhetilanteiden selvittäminen ei ole enää mahdollista.
Käyttöoikeudet ja niiden hallinta
Käyttöoikeudet asiakasrekistereihin sitä työtehtävissään tarvitseville joukkoliikenneyksikön ja sen asiakaspalvelupisteiden henkilökunnalle määrittelee <TVV> pääkäyttäjä ja hänen valtuuttamansa vastuuhenkilöt.
Toimeksiantoon perustuen asiakasrekistereiden tietoja käsittelevien henkilöiden (esim. muut mahdolliset palvelupisteet) käyttöoikeudet määritellään toimeksisaajan ja <TVV> välisessä toimeksiantosopimuksessa mainituin periaattein.
Käsittelijät noudattavat ehdotonta vaitioloja salassapitovelvollisuutta. Käyttöoikeus päättyy henkilön siirtyessä pois niistä tehtävistä, joita varten hänelle on myönnetty käyttöoikeus.
Vaitiolo- ja salassapitovelvollisuus jatkuu asiakastietojen käsittelyä sisältävien työtehtävien tai palvelussuhteen päätyttyä.
Kehittäjäportaalin käyttäjien rekisterissä järjestelmän pääkäyttäjä on TVV lippu- ja maksujärjestelmä Oy.
Käytön valvonta
Käytön valvonnan rekisterillä valvotaan työtehtävien mukaista rekisterin käyttöä ja käytön yrityksiä. Valvontaan tarvittavia tietoja tallennetaan sekä tietokantaan että tiedostomuotoiseen lokiin. Palvelun osajärjestelmät muodostavat lokia ohjausparametrien mukaisesti. Lokitiedostoja säilytetään tiedostojärjestelmässä, johon on käyttöoikeuksin rajattu pääsy (luku- tai kirjoitusoikeudet) palvelun ylläpidosta vastaavilla henkilöille.
Lokitiedostoja säilytetään pääsääntöisesti yhdeksän (9) kuukauden ajan.
Rekistereiden käytöstä talletetaan tietokantaan tiedot käytönvalvontaa varten (käyttäjätunnus, aikaleima, hakuehto ja syy). Tietokantaan tallennettujen tietojen avulla voidaan seurata ja raportoida asiakasrekistereiden asianmukaista käyttöä. Tiedoista tuotetaan käytön seurantaan tarvittavat raportit. Tiedostomuotoiseen lokiin talletetaan käyttäjä- ja päiväkohtaisesti asiakastietoihin tehdyt haut ja muutokset sekä kyselyn tehneen käyttäjän yksilöintitiedot.
Tekninen ylläpito
Järjestelmäntoimittajat vastaavat, että asiakasrekisteri säilyy teknisesti eheänä. Järjestelmään liittyen teknistä tietoa tarvitaan järjestelmän teknisen käytettävyyden ja eheyden ylläpitoon ja varmistamiseen. Teknisinä tietoina tallentuvat laitteen tuottamat tapahtumat. Teknisinä tietoina ei kerätä eikä talleteta henkilötietoja.
Käytettävyyden varmistaminen
Tiedot suojataan tahalliselta ja tahattomalta tuhoutumiselta (mm. keskuslaitteet ovat lukituissa tiloissa, joihin on kulunvalvonta ja tiedostoista varmuuskopiot erillisessä paloturvallisuusosastossa) ja tietojen eheys hoitamalla suojaus teknisen ylläpitotietojen ja tapahtumatietojen kautta. Järjestelmän sisäiset tietoyhteydet on toteutettu suljetuin verkoin. Ulkopuoliset yhteydet on suojattu palomuurein. Järjestelmää ja sen tietoyhteyksiä valvotaan 24 tuntia vuorokaudessa.
10. Muut henkilötietojen käsittelyyn liittyvät rekisteröidyn oikeudet
Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)
Kirjautuessaan sisään Verkkopalveluun tai mobiilipalvelun, rekisteröidyllä on aina nähtävillä suurin osa niistä tiedoista, joita palvelu hänestä sisältää.
Rekisteröidyllä on myös oikeus tarkistaa, mitä Matkakorttijärjestelmän asiakasrekisterin hänestä on tallennettu. Tarkistuspyyntö tulee tehdä tämän tietosuojaselosteen kohdan 11 mukaisesti. Tarkistusoikeuden käyttäminen on lähtökohtaisesti maksutonta.
Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai kieltäytyä suorittamasta pyydettyä toimea. Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus
Rekisteröidyn oikeus vaatia tiedon oikaisemista, poistamista tai käsittelyn rajoittamista
Rekisteröity voi päivittää omia perustietojaan sekä Matkakorttijärjestelmän asiakasrekisteriin että Verkkopalvelun ja mobiilipalvelun asiakasrekisteriin. Siltä osin kuin rekisteröity voi toimia itse, hänen on ilman aiheetonta viivytystä, saatuaan tiedon virheestä tai, virheen itse havaittuaan, oma-aloitteisesti oikaistava, poistettava tai täydennettävä rekistereissä oleva, virheellinen, tarpeeton, puutteellinen tai vanhentunut tieto.
Siltä osin kuin rekisteröity ei pysty korjaamaan tietoja itse, korjauspyyntö tehdään tämän tietosuojaselosteen kohdan 11 mukaisesti.
Rekisteröidyn oikeus vastustaa henkilötietojen käsittelyä
Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyen vastustaa itseensä kohdistuvaa profilointia ja muita käsittelytoimia, joita TVV kohdistaa rekisteröidyn henkilötietoihin siltä osin, kun tietojen käsittelemisen perusteena on TVV ja rekisteröidyn välinen asiakassuhde. Rekisteröity voi esittää vastustamista koskevan vaatimuksensa tämän tietosuojaselosteen kohdan 11 mukaisesti. Rekisteröidyn tulee vaatimuksen yhteydessä yksilöidä se erityinen tilanne, johon perustuen hän vastustaa käsittelyä. TVV voi kieltäytyä toteuttamasta vastustamista koskevaa pyyntöä laissa säädetyin perustein.
Rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen
Siltä osin, kun rekisteröity on itse toimittanut Matkakorttijärjestelmän asiakasrekisteriin sekä Verkkopalvelun ja mobiilipalvelun asiakasrekisteriin tietoja, joita käsitellään rekisteröidyn antaman suostumuksen nojalla, rekisteröidyllä on oikeus saada tällaiset tiedot itselleen pääsääntöisesti koneluettavassa muodossa ja oikeus siirtää nämä tiedot toiselle rekisterinpitäjälle.
Rekisteröidyn oikeus tehdä valitus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle, jos rekisterinpitäjä ei ole noudattanut toiminnassaan soveltuvaa tietosuojasääntelyä.
Muut oikeudet
Mikäli henkilötietoja käsitellään rekisteröidyn suostumukseen perustuen, rekisteröidyllä on oikeus peruuttaa suostumuksensa ilmoittamalla tästä oman alueensa toimivaltaiselle viranomaiselle tämän tietosuojaselosteen kohdan 11 mukaisesti.
11. Yhteydenotot
Kaikissa henkilötietojen käsittelyyn liittyvissä kysymyksissä ja omien oikeuksien käyttämiseen liittyvissä tilanteissa rekisteröidyn tulee ottaa yhteyttä oman alueen Waltin toimivaltaisen viranomaisen palvelupisteeseen tai postitse osoitteeseen:
TVV lippu- ja maksujärjestelmä Oy, Alberga Business Park, Xxxxxx Xxxxxx aukio 0, 00000 Xxxxx.
TVV voi pyytää tarvittaessa pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa).