TIETOJENKÄSITTELYLIITE
ver. 2024-04
TIETOJENKÄSITTELYLIITE
(A) Tämä tietojenkäsittelyliite (jäljempänä ”Sopimus”) on osa tilaajan (jäljempänä ”Rekisterinpitäjä”) ja Swecon (jäljempänä ”Henkilötietojen Käsittelijä”) välistä sopimusta, jossa on sovittu Swecon tilaajalle suorittamasta toimeksiannosta ja siihen sisältyvistä palveluista tai muista tehtävistä (jäljempänä ”Palvelusopimus”), jonka puitteissa Henkilötietojen Käsittelijä käsittelee henkilötietoja Rekisterinpitäjän lukuun Palvelusopimuksessa määritetyn palvelutoimituksen yhteydessä. Rekisterinpitäjään ja Henkilötietojen Käsittelijään viitataan tekstissä erikseen käsitteellä ”Osapuoli” ja yhdessä käsitteellä ”Osapuolet”.
(B) Rekisterinpitäjä toimii Tietojen käsittelyn rekisterinpitäjänä ja Henkilötietojen Käsittelijä käsittelee Tietoja Rekisterinpitäjän puolesta henkilötietojen käsittelijänä.
1 ASIAKIRJAT
Tämä Sopimus koostuu tästä pääasiakirjasta ja seuraavista liitteistä: Liite 1: Ohjeet Henkilötietojen Käsittelijälle
Liite 2: Turvatoimet
Liite 3: Hyväksytyt Alikäsittelijät
2 MÄÄRITYKSET JA TULKINTA
2.1 Tässä Sopimuksessa käytetyillä termeillä on alla määritetyt merkitykset tai jos niitä ei alla ole määritetty, ne merkitykset kuin Sovellettavassa Lainsäädännössä niille on annettu.
EU GDPR | tarkoittaa Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 sekä sen mahdollisia muutoksia, täydennyksiä ja/tai päivityksiä. |
GDPR | tarkoittaa EU GDPR:ää ja/tai UK GDPR:ää soveltuvin osin |
Palvelusopimus | määritetty tämän Sopimuksen kohdassa ”Tausta”. |
Sovellettava Lainsäädäntö | tarkoittaa GDPR:ää, UK GDPR:ää ja soveltuvaa GDPR:ää ja UK GDPR:ää täydentävää lainsäädäntöä. |
Tiedot | tarkoittaa henkilötietoja Sovellettavan Lainsäädännön määritelmien mukaisesti. |
UK GDPR | tarkoittaa EU-oikeuden versiota yleisestä tietosuoja-asetuksesta ((EU) 2016/679, EU GDPR)) siltä osin kuin se on pidetty voimassa Englannin, Walesin, Skotlannin ja Pohjois-Irlannin eroa Euroopan Unionista koskevan lain (European Union (Withdrawal) Act 2018) kohdan 3 nojalla sekä sen mahdollisia muutoksia, täydennyksiä ja/tai päivityksiä |
2.2 Osapuolien tulee vilpittömässä mielessä neuvotella ja sopia tähän Sopimukseen ja sen alaiseen henkilötietojen käsittelyyn tehtävistä muutoksista ja päivityksistä, jotta varmistetaan, että Sopimus noudattaa Sovellettavaa Lainsäädäntöä koko voimassaolonsa ajan.
3 OHJEET
3.1 Henkilötietojen Käsittelijän tulee käsitellä Tietoja Rekisterinpitäjän kirjallisten Liitteessä 1 annettujen ohjeiden mukaisesti. Ohjeiden tulee sisältää vähintään seuraavat tiedot:
(i) käsittelyn tarkoitus;
(ii) käsittelyn luonne;
(iii) käsittelyn kesto, tai miten kesto päätetään;
(iv) Tietoihin sisältyvät henkilötietojen tyypit; ja
(v) käsittelyyn sisältyvät rekisteröityjen ryhmät.
3.2 Henkilötietojen Käsittelijä ei saa käsitellä Tietoja mihinkään tarkoitukseen tai millään tavalla, joka poikkeaa Rekisterinpitäjän kulloinkin antamista voimassa olevista kirjallisista ohjeista. Osapuolien tulee päivittää uudet tai muokatut ohjeet Liitteeseen
1. Henkilötietojen Käsittelijällä on oikeus laskuttaa Rekisterinpitäjän ohjeiden noudattamiseksi suorittamansa työt aika- ja materiaaliperusteisesti normaalien konsultointihintojensa mukaisesti.
3.3 Yllä mainitusta huolimatta Henkilötietojen Käsittelijä voi käyttää Tietoja päivittäisissä toimissa myös saamatta Rekisterinpitäjältä erityisiä kirjallisia ohjeita, jos käsittely tapahtuu Liitteessä 1 määritettyjen tarkoitusten toteuttamiseksi ja puitteissa.
3.4 Mikäli Henkilötietojen Käsittelijä katsoo, että ohjeet ovat ristiriidassa Sovellettavan Lainsäädännön kanssa, sen tulee jättää noudattamatta kyseisiä ohjeita, ilmoittaa asiasta viipymättä Rekisterinpitäjälle ja jäädä odottamaan muokattuja ohjeita.
4 REKISTERINPITÄJÄN VELVOLLISUUS KÄSITELLÄ TIETOJA LAINMUKAISESTI
4.1 Rekisterinpitäjän tulee hankkia henkilötietojen käsittelylle jokaisen rekisteröidyn nimenomainen ja lain mukaan pätevä suostumus tai varmistaa, että Tietojen käsittelylle on muu Sovellettavassa Lainsäädännössä tunnustettu oikeudellinen peruste. Rekisterinpitäjän on myös täytettävä kaikki Sovellettavassa Lainsäädännössä määritetyt Rekisterinpitäjän velvoitteet (sisältäen velvollisuuden ilmoittaa rekisteröidyille asianmukaisesti heitä koskevien henkilötietojen käsittelystä).
4.2 Rekisterinpitäjän tietojenkäsittelyohjeiden tulee noudattaa Sovellettavaa Lainsäädäntöä. Rekisterinpitäjä on yksin vastuussa käsiteltävien Tietojen täsmällisyydestä, laadusta, lainmukaisuudesta ja hankintatavasta.
5 TURVATOIMET
5.1 Henkilötietojen Käsittelijän tulee pitää yllä riittäviä turvatoimia, joilla varmistetaan, että Xxxxxx suojataan luvatonta tuhoamista, muokkaamista ja levittämistä vastaan. Henkilötietojen Käsittelijän on lisäksi varmistettava, että Tiedot suojataan luvattomalta käytöltä ja että käsittelijät voidaan jäljittää. Turvatoimet on kuvattu Liitteessä 2. Rekisterinpitäjä hyväksyy nämä turvatoimet riittäviksi ja asianmukaisiksi.
5.2 Henkilötietojen Käsittelijän tulee varmistaa, että (i) Tietoihin pääsevät käsiksi vain siihen valtuutetut työntekijät, (ii) valtuutetut työntekijät käsittelevät Tietoja ainoastaan tämän Sopimuksen ja Rekisterinpitäjän ohjeiden mukaisesti ja (iii) jokainen valtuutettu työntekijä on sitoutettu salassapitovelvoitteeseen Xxxxxxxxxxxxxxx Käsittelijää kohtaan Tietojen salassapidosta.
5.3 Henkilötietojen Käsittelijän tulee ilmoittaa Rekisterinpitäjälle ilman aiheetonta viivytystä tietoonsa tulleista tietoturvaloukkauksista. Lisäksi Henkilötietojen Käsittelijän on autettava Rekisterinpitäjää varmistamaan seuraaviin seikkoihin kohdistuvien Rekisterinpitäjän velvollisuuksien noudattaminen: (i) henkilötietojen tietoturvaloukkausten dokumentointi, (ii) henkilötietojen tietoturvaloukkausten raportointi toimivaltaiselle valvontaviranomaiselle ja (iii) rekisteröidyille ilmoittaminen mainituista henkilötietojen tietoturvaloukkauksista, Sovellettavan Lainsäädännön mukaisesti.
6 HENKILÖTIETOJEN KÄSITTELIJÄN AVUSTUSVELVOLLISUUS
6.1 Henkilötietojen Käsittelijän tulee asianmukaisilla teknisillä ja organisatorisilla toimilla auttaa Rekisterinpitäjää täyttämään velvollisuutensa varmistaa, että rekisteröidyillä on mahdollisuus käyttää Sovellettavassa Lainsäädännössä määritettyjä oikeuksiaan.
Rekisteröityjen oikeuksiin kuuluu (i) oikeus vastustaa henkilötietojen käsittelyä ja saada Tiedot poistettua, (ii) oikeus pyytää tietoa omista henkilötiedoistaan ja päästä niihin käsiksi, (iii) oikeus siirtää Tiedot yhdeltä rekisterinpitäjältä toiselle, mikäli tämä on teknisesti mahdollista, ja (iv) oikeus pyytää Tietojen oikaisua.
6.2 Henkilötietojen Käsittelijän tulee lisäksi avustaa Rekisterinpitäjää GDPR:n artikloissa 32–36 määritettyihin velvollisuuksiin liittyen (näihin velvollisuuksiin kuuluvat (i) käsittelyn turvallisuuden varmistaminen, (ii) tietosuojaa koskeva vaikutustenarviointi ja (iii) ennakkokuulemiset).
7 ALIKÄSITTELIJÄT
7.1 Henkilötietojen Käsittelijä saa käyttää kolmansia osapuolia (”Alikäsittelijöitä”) Tietojen tai niiden osien käsittelyssä puolestaan edellyttäen, että Rekisterinpitäjälle on ilmoitettu asiasta kirjallisesti eikä se ole vastustanut järjestelyä kirjallisesti 10 päivän sisällä ilmoituksesta (tällöin alihankkijoista tulee ”Hyväksyttyjä Alikäsittelijöitä”). Hyväksytyt Alikäsittelijät on lueteltu Liitteessä 3 (jota muokataan, mikäli Hyväksyttyihin Alikäsittelijöihin tulee muutoksia). Liitteessä 3 tulee antaa seuraavat tiedot jokaisesta Hyväksytystä Alikäsittelijästä:
(i) nimi, yhteystiedot, yritysmuoto ja maantieteellinen sijainti,
(ii) kuvaus Hyväksytyn Alikäsittelijän tarjoamista palveluista,
(iii) Hyväksytyn Alikäsittelijän käsittelemien Tietojen sijainti.
7.2 Henkilötietojen käsittelijän tulee tehdä jokaisen Alikäsittelijän kanssa kirjallinen Sopimus, jossa Alikäsittelijä sitoutuu vähintään vastaaviin velvoitteisiin kuin Henkilötietojen Käsittelijä tässä Sopimuksessa.
7.3 Mikäli Rekisterinpitäjä vastustaa uuden Alikäsittelijän määrittämistä Hyväksytyksi Alikäsittelijäksi yllä olevan osion 7.1 mukaisesti, Henkilötietojen Käsittelijän tulee pidättäytyä käyttämästä kyseistä Alikäsittelijää Tietojen käsittelyyn ja tulee käyttää kohtuullisia keinoja tarjotakseen Rekisterinpitäjälle vaihtoehtoista palvelua tai suositella taloudellisesti kohtuullista muutosta Rekisterinpitäjän palveluiden määrityksiin tai käyttöön, jotta Tietoja ei luovuteta Rekisterinpitäjän vastustaman uuden Alikäsittelijän käsiteltäviksi eikä Rekisterinpitäjälle aiheudu asiasta kohtuutonta haittaa. Mikäli mainittua muutosta ei voida käytännöllisistä tai kaupallisista syistä toteuttaa kohtuullisessa ajassa (enintään kolmessakymmenessä (30) päivässä), Henkilötietojen Käsittelijällä on oikeus harkintansa mukaan joko (i) saada Rekisterinpitäjältä korvaus vastustamisen sille aiheuttamista lisäkustannuksista tai (ii) irtisanoa Sopimus neljänkymmenenviiden (45) päivän irtisanomisajalla. Henkilötietojen Käsittelijän tulee ilmoittaa Rekisterinpitäjälle neljänkymmenen (40) päivän kuluessa vastustamisilmoituksen saamisesta, haluaako se valita vaihtoehdon
(i) vai (ii).
7.4 Annettuaan tietylle Alikäsittelijälle hyväksyntänsä Rekisterinpitäjä ei voi enää vastustaa kyseistä Alikäsittelijää.
8 SIIRROT KOLMANSIIN MAIHIN
8.1 Henkilötietojen Käsittelijä ei saa siirtää henkilötietoja EU:n/ETA:n ulkopuolelle tai käyttää Alikäsittelijää Tietojen käsittelyyn EU:n/ETA:n ulkopuolella ilman Rekisterinpitäjän kirjallista hyväksyntää. Lisäksi vähintään yhden seuraavista edellytyksistä on täytyttävä:
(i) Euroopan komissio on päätöksellään todennut, että vastaanottava maa varmistaa riittävän tietosuojan tason,
(ii) Rekisterinpitäjä vahvistaa, että rekisteröity on antanut siirrolle suostumuksensa,
(iii) siirto perustuu Euroopan komission vakiolausekkeisiin, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin, tai
(iv) Henkilötietojen Käsittelijä ja Xxxxxx vastaanottava kolmannen maan osapuoli noudattavat yrityksiä koskevia sitovia sääntöjä.
9 AUDITOINTI
9.1 Henkilötietojen Käsittelijän tulee Rekisterinpitäjän pyynnöstä esittää Rekisterinpitäjälle tarvittavat tiedot, jotka osoittavat Henkilötietojen Käsittelijän noudattavan Sovellettavaa Lainsäädäntöä.
9.2 Ilmoitettuaan asiasta kirjallisesti 10 päivää etukäteen Rekisterinpitäjällä on oikeus auditoida Henkilötietojen Käsittelijän Tietojen käsittelytoiminta sekä siihen liittyvät muut tiedot. Henkilötietojen Käsittelijän tulee avustaa Rekisterinpitäjää luovuttamalla kaikki sellaiset tiedot, joita Rekisterinpitäjä tarvitsee auditoinnin suorittamiseen. Rekisterinpitäjän tulee kattaa mainitun auditoinnin kustannukset.
9.3 Jos tietosuojaviranomainen tarkastaa Henkilötietojen Käsittelijän toiminnan, mihin saattaa sisältyä tässä Sopimuksessa tarkoitettujen Tietojen käsittelyä, Henkilötietojen Käsittelijän tulee ilmoittaa asiasta Rekisterinpitäjälle viipymättä.
10 KUSTANNUKSET
10.1 Rekisterinpitäjä vastaa kaikista lisäkustannuksista, joita Henkilötietojen Käsittelijälle aiheutuu Tietojen käsittelyyn liittyvien ohjeiden muutoksista tai lisäyksistä sekä Sovellettavan Lainsäädännön tai muiden sovellettavien määräysten muutoksista. Henkilötietojen Käsittelijällä on lisäksi oikeus saada korvaus kaikista toimista, jotka se toteuttaa joko Rekisterinpitäjän puolesta tai sen ohjeiden mukaan.
11 VASTUUNRAJOITUS
Henkilötietojen Käsittelijän vastuuseen tämän Sopimuksen puitteissa tai sen yhteydessä Sovelletaan Palvelusopimuksessa määritettyjä vastuunrajoitusehtoja.
12 LUOTTAMUKSELLISUUS
12.2 Yllä olevasta kohdasta 12.1 huolimatta Henkilötietojen Käsittelijä voi luovuttaa mainittuja Tietoja lain, tuomioistuimen päätöksen tai toimivaltaisen viranomaisen päätöksen niin velvoittaessa. Velvoitteen syntyessä Henkilötietojen Käsittelijän tulee kirjallisesti ilmoittaa Rekisterinpitäjälle tästä ennen tiedon luovutusta, ellei Sovellettava Lainsäädäntö kiellä ilmoittamista.
12.3 Salassapitovelvollisuus pysyy voimassa rajoittamattoman ajan myös tämän Sopimuksen päätyttyä.
13 TIETOJEN PALAUTUS JA POISTO
Rekisterinpitäjän tulee Sopimuksen päättyessä ohjeistaa Henkilötietojen Käsittelijää siitä, tuleeko sen siirtää Tiedot Rekisterinpitäjälle vai ei (Tiedot tulee siirtää yleisessä koneellisesti luettavassa muodossa). Henkilötietojen Käsittelijän tulee poistaa Tiedot järjestelmistään aikaisintaan kolmenkymmentä (30) päivää ja viimeistään neljäkymmentä (40) päivää Palvelusopimuksen päättymispäivän jälkeen.
14 VOIMASSAOLO
Palvelusopimuksen voimassaoloajasta riippumatta tämä Sopimus astuu voimaan Henkilötietojen Käsittelijän aloittaessa Sopimuksen mukaisten Tietojen käsittelyn Rekisterinpitäjän lukuun ja päättyy, kun Henkilötietojen Käsittelijä on poistanut Tiedot yllä olevan kohdan 13 mukaisesti.
LIITE 1 – OHJEET HENKILÖTIETOJEN KÄSITTELIJÄLLE
Henkilötietojen Käsittelijän tulee aina käsitellä Tietoja seuraavien ohjeiden mukaisesti. Mikäli Henkilötietojen Käsittelijä käsittelee Tietoja näiden ohjeiden vastaisesti, se katsotaan rekisterinpitäjäksi.
OHJEET | |
Käsittelyn tarkoitus ja luonne | Henkilötietojen käsittelyn tarkoitus, luonne, kesto ja kohde sekä henkilötietojen tyypit ja rekisteröityjen ryhmät kuvataan tarkemmin Palvelusopimuksessa ja Palvelun toteutuksen aikana syntyvässä dokumentaatiossa. Rekisterinpitäjä ja Henkilötietojen käsittelijä sitoutuvat tarvittaessa täydentämään tietojenkäsittelyn kuvausta. |
Käsittelyaika | Henkilötietojen käsittelijä käsittelee henkilötietoja Palvelusopimuksen keston ajan sekä kunkin tiedon kannalta tarpeellisen arkistointiajan. |
Tietojen tyypit | Käsiteltävät tiedot voivat sisältää seuraaviin henkilötietoryhmiin kuuluvia tietoja: Nimi, yhteystiedot, valokuvat sekä muut Palvelun suorittamisen kannalta tarpeelliset tiedot. |
Rekisteröityjen ryhmät | Tietojen käsittely voi koskea seuraavia rekisteröityjen ryhmiä: Rekisterinpitäjän työntekijät, asiakkaat ja/tai yhteistyökumppanit sekä muut henkilöt, joiden henkilötietoja Palvelun suorittamisen yhteydessä käsitellään. |
Mahdolliset muut ohjeet | Xxxxxx tässä liitteessä kuvatut käsittelyyn liittyvät ohjeet ovat Rekisterinpitäjän näkemyksestä puutteelliset tai virheelliset, Rekisterinpitäjä sitoutuu ilmoittamaan asiasta viipymättä kirjallisesti Käsittelijälle. |
LIITE 2 – TURVATOIMET
1. Auttaakseen Rekisterinpitäjää täyttämään oikeudelliset velvoitteensa rekisteröityjä kohtaan Henkilötietojen Käsittelijän tulee toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla varmistetaan käsiteltävien henkilötietojen suojaus ja Rekisterinpitäjän ajoittain toimittamien kirjallisten turvavaatimusten ja -ohjeiden noudattaminen. Toimenpiteillä on saavutettava asianmukainen turvataso vähintään seuraavat seikat huomioiden:
(i) nykyiset tekniset mahdollisuudet;
(ii) toimenpiteiden toteutuskustannukset;
(iii) henkilötietojen käsittelyyn liittyvät riskit; ja
(iv) käsiteltävien henkilötietojen arkaluontoisuus.
2. Henkilötietojen Käsittelijällä tulee olla käytössään turvallisuudenhallintajärjestelmä, joka kattaa hallinnon, roolit, vastuut ja asianmukaiset ohjaustoimet. Lisäksi on laadittava tietoturvamenettely, jolle on hankittava yrityksen johdon hyväksyntä. Henkilötietojen Käsittelijän on aina toteutettava asianmukaiset ja uusimman tekniikan mukaiset tekniset ja organisatoriset toimet tietojen suojaamiseksi. Sen tulee myös varmistaa, että tiedot suojataan aina ajantasaisilla, uusimman tekniikan mukaisilla, turvatoimilla tuhoutumista, muokkausta, levittämistä ja luvatonta käyttöä vastaan. Henkilötiedot tulee myös suojata asianmukaisilla turvamenetelmillä, kuten:
i) henkilötietojen pseudonymisointi ja xxxxxx;
ii) kyky taata käsittelyjärjestelmien ja -palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
iii) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; ja
iv) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
3. Osiossa 2 määritettyjen teknisten ja organisatoristen toimien lisäksi Henkilötietojen Käsittelijän on toteutettava seuraavat toimet:
(i) Fyysinen suojaus – mikäli henkilötietoja sisältävä tietokone tai siirrettävä tallennusväline jätetään valvomatta, Henkilötietojen Käsittelijän tulee sijoittaa se lukittuun tilaan luvattoman käytön, peukaloinnin ja varkauden estämiseksi.
(ii) Henkilötiedoista on otettava säännöllisiä varmuuskopioita. Kopiot tulee pitää erillään ja hyvin suojattuina, jotta tietojen palautus on mahdollista häiriötilanteen jälkeen. Henkilötietojen Käsittelijän tulee laatia tietojenpalautusmenettely.
(iii) Henkilötietojen Käsittelijällä on oltava myös päivitystenhallintamenettely, jolla varmistetaan, että järjestelmät ovat aina ajan tasalla.
(iv) Henkilötietojen Käsittelijän tulee hallita pääsyä henkilötietoihin teknisellä järjestelmällä ja käyttöoikeusmenettelyllä. Käyttöoikeuksia ei saa luovuttaa muille kuin niille, jotka tarvitsevat henkilötietoja työtehtävissään. Kunkin käyttäjätunnuksen ja salasanan on oltava yksilöllinen, eikä niitä saa luovuttaa toisille. Käyttöoikeuksien luovuttamiselle ja peruuttamiselle tulee olla asianmukaiset käytännöt.
(v) Etuoikeutettujen käyttöoikeuksien myöntämistä ja käyttöä tulee rajoittaa ja valvoa. Henkilötietojen Käsittelijällä tulee olla käytäntö, jolla hallitaan järjestelmänvalvojatason käyttöoikeuksia tai tavallista korkeamman tason etuoikeuksia. Käytännön tulee vastata seuraaviin vaatimuksiin:
a) Etuoikeutettu käyttäjätili tulisi olla vain järjestelmänvalvojalla.
b) Kaikki etuoikeustasot jokaisessa sovelluksessa tulee tunnistaa ja kirjata ylös, samoin kuin henkilöstöryhmät, joille niitä myönnetään.
c) Etuoikeuksia myönnetään vain pienin tarvittava määrä ja vain rajoitetuksi ajaksi.
d) Jokaiselle myönnetylle etuoikeustasolle kirjataan valtuutus, ja etuoikeuden saaminen vaatii valtuutusta.
e) Etuoikeudet myönnetään eri käyttäjätunnuksille kuin normaalissa liiketoimintakäytössä tarvittavat käyttöoikeudet, ja tavallista korkeammista etuoikeuksista tulee pitää kirjaa.
f) Xxxxxxx etuoikeutetut käyttäjätunnukset tulee dokumentoida. Lisäksi järjestelmänvalvojan tulee valvoa niiden käyttöä soveltuvin osin.
vi) Henkilötietojen käyttöä on pystyttävä jäljittämään ja todentamaan henkilötietojen käyttö dokumentaation avulla ja raportoimaan asiasta Rekisterinpitäjälle.
(vi) Ulkoiset tiedonsiirtoyhteydet tulee suojata teknisillä toiminnoilla, jotka varmistavat, että Henkilötietojen Käsittelijän valvomien järjestelmien ulkopuolella siirrettävät tiedot turvataan valtuutuksilla ja salataan riittävän tehokkaasti.
(vii) Kun henkilötietojen säilytykseen käytetty kiinteä tai siirrettävä tallennusväline poistetaan käytöstä, henkilötiedot on pystyttävä tuhoamaan niin, ettei niiden palautus ole mahdollista.
(viii) Henkilötietojen Käsittelijällä tulee olla käytäntö, jonka mukaisesti henkilötietojen säilytykseen käytettäviä IT-laitteistoja huoltavien ja korjaavien palveluntarjoajien kanssa solmitaan salassapitosopimus.
(ix) Henkilötietojen Käsittelijällä tulee olla käytäntö, jolla valvotaan toimittajien palveluntarjontatoimia sen toimitiloissa. Henkilötietoja sisältävät tallennusvälineet tulee poistaa käytöstä, jos valvonta ei ole mahdollista.
LIITE 3 – HYVÄKSYTYT ALIKÄSITTELIJÄT
Tuote/palvelu | Henkilötietojen alikäsittelijän tiedot | Kuvaus alikäsittelystä | ||
Tuote / palvelun nimi | Alikäsittelijän nimi | Käsittelyn maantieteellinen sijainti | Kansainvälisen siirron ollessa kyseessä, mikä siirron edellytyksistä täyttyy** | Käsittelyn kuvaus, tarkoitus ja toimenpiteet |
Swecon konserniyritykset | EU/ETA | N/A | Tiedostojen ja tietojärjestelmien ylläpito ja hallinta, arkistointi, tiedostoihin pääsy osana mahdollista projektin konsultointia | |
**)
A) Euroopan komissio on päätöksellään todennut, että vastaanottava maa varmistaa riittävän tietosuojan tason,
B) Rekisterinpitäjä vahvistaa, että rekisteröity on antanut siirrolle suostumuksensa,
C) siirto perustuu Euroopan komission vakiolausekkeisiin, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin,
D) Henkilötietojen Käsittelijä ja Tiedot vastaanottava kolmannen maan osapuoli noudattavat yrityksiä koskevia sitovia sääntöjä.