Henkilötietojen käsittelyn ehdot

Henkilötietojen käsittelyn ehdot

1. Yleistä

1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa              sopimusta (Nro        ), jäljempänä ”Sopimus”, jonka Xxxxxxx on tehnyt Toimittajan kanssa.

1.2. Tässä sopimusliitteessä, jäljempänä myös ”erityisehdot”, määritellään Tilaajaa ja Toimittajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta. Näissä erityisehdoissa kuvatuista Toimittajan velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.

2. Määritelmät

2.1. Henkilötiedot: Määrittely on tietosuoja-asetuksen 4 artiklan mukainen. Henkilötietoina pidetään kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, joista voidaan suoraan tai epäsuorasti tunnistaa henkilö.

2.2. Henkilötietojen käsittely: Määrittely on tietosuoja-asetuksen 4 artiklan mukainen.

Henkilötietojen käsittelynä pidetään esimerkiksi toimittajan mahdollisuutta päästä näkemään henkilötietoja sopimuksen kohteen toteuttamisen yhteydessä.

2.3. Henkilötietolainsäädäntö: EU:n yleinen tietosuoja-asetus (2016/679), tietosuojalaki

(1050/2018), henkilötietojen käsittelyyn sovellettava kansallinen lainsäädäntö sekä muu kulloinkin voimassa oleva ja velvoittava henkilötietolainsäädäntö sekä sitovat viranomaisen määräykset.

2.4. Järjestelmä: Sopimuksen kohteena oleva tietojärjestelmä, sovellus, ohjelmistopalvelu tai vastaava. Järjestelmää koskevia ehtoja sovelletaan myös ohjelmistoja sisältäviin laitteisiin.

2.5. Käsittelijä tai Toimittaja: Henkilötietolainsäädännön mukainen henkilötietojen käsittelijä, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.

2.6. Käsittelytoimien kuvaus: Xxxxxxxx laatima kuvaus niistä henkilötiedoista, joita Toimittaja käsittelee Xxxxxxxx lukuun Sopimuksen perusteella. Tilaaja määrittelee henkilötietojen käsittelyn ja tarkoituksen.

2.7. Rekisteröity: Tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, jonka

henkilötietoja käsitellään Toimittajan toimesta tämän sopimusliitteen ja Sopimuksen mukaisesti.

2.8. Rekisterinpitäjä tai Tilaaja: Henkilötietolainsäädännön mukainen rekisterinpitäjä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

2.9. Tietosuoja-asetus: Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta

liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta.

2.10. Tietoturvaloukkaus: Tietoturvaloukkaus on tilanne, jonka seurauksena henkilötietoja vahingossa tai lainvastaisesti tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti taikka henkilötietoihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.

2.11. Toimittajan seloste käsittelytoimista: Toimittajan esittämä kirjallinen kuvaus niistä käsittelytoimista, joita suoritetaan rekisterinpitäjänä toimivan Tilaajan lukuun, sisältäen Toimittajan edustajan yhteystiedot, käsittelyiden ryhmät, mahdolliset henkilötietojen

siirrot sekä tekniset ja organisatoriset suojauskeinot.

Päijät-Hämeen hyvinvointialue Y-tunnus 3221309-4

Xxxxxxxxxxxxxxxxxxx 0

15850 Lahti

3. Osapuolten roolit henkilötietojen käsittelyssä

3.1. Käsiteltäessä henkilötietoja Xxxxxxx on rekisterinpitäjä ja Toimittaja on henkilötietojen käsittelijä (jäljempänä myös ”Käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vastaa rekisterinpitäjänä.

3.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet

kuvataan Sopimuksessa, näiden erityisehtojen liitteessä 1 olevassa Käsittelytoimien kuvauksessa tai muussa Xxxxxxxx kirjallisessa ohjeistuksessa. Toimittaja sitoutuu noudattamaan Sopimuksessa, Käsittelytoimien kuvauksessa ja muussa Xxxxxxxx kirjallisessa ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

3.3. Jos kohdan 3.2 mukaista Käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen eikä Tilaaja ole antanut muuta kirjallista oheistusta, Tilaaja laatii tai täydentää Käsittelytoimien

kuvausta tarvittaessa yhteistyössä Toimittajan kanssa.

3.4. Sopijapuolet vastaavat, että Sopimuksen mukaiset tehtävät suoritetaan huolellisesti, ja ettei Tilaajan aineiston tai luottamuksellisten tietojen luottamuksellisuus, saatavuus tai eheys vaarannu osapuolten henkilöstön huolimattomuuden, virheellisten työtapojen tai muun sopimuksen vastaisen toiminnan johdosta.

3.5. Sopijapuolten tulee määritellä omassa organisaatiossaan tietoturvallisuuteen liittyvät tehtävät ja vastuut. Osapuolten tulee nimetä tietosuojavastaava tai tietosuojasta vastaava yhteyshenkilö Tilaajan henkilötietoihin liittyviä yhteydenottoja varten. Osapuolten tulee ilmoittaa kirjallisesti ja ilman aiheetonta viivytystä tietosuojavastaavan tai yhteyshenkilön tai näiden yhteystietojen muutoksesta toiselle osapuolelle.

3.6. Sopijapuolilla voi olla erillisiä tietosuojaan liittyviä sisäisiä ohjeita. Sopijapuolten tulee noudattaa niitä siltä osin kuin ne eivät ole ristiriidassa Sopimuksen kanssa. Sopijapuolet pyrkivät mahdollisuuksien mukaan huomioimaan toistensa tietosuojaan liittyvät sisäiset ohjeet.

4. Toimittajan yleiset velvollisuudet

4.1. Toimittaja noudattaa Tilaajan aineistoa käsitellessään julkisuuslaissa (621/1999) tarkoitettua hyvää tiedonhallintatapaa, henkilötietolainsäädännön edellyttämää hyvää tietojen käsittelytapaa sekä muuta tietojen suojaamista ja tietosuojaa koskevaa lainsäädäntöä. Toimittaja käsittelee henkilötietoja Sopimuksen, tämän sopimusliitteen ja Xxxxxxxx antamien ohjeiden mukaisesti. Ryhmittymän ollessa Käsittelijänä, tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

4.2. Toimittajan tulee arvioida henkilötietojen käsittelyyn rekisteröityjen kannalta liittyvät riskit

sekä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Tilaajan henkilötietojen käsittely tapahtuu henkilötietolainsäädännön, Sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus. Toimittajan tulee laatia teknisistä ja organisatorisista toimista kirjallinen dokumentaatio, joka on pidettävä ajan tasalla.

4.3. Toimittaja saa käyttää Tilaajan aineistoa vain Sopimuksen kohteen toteuttamiseen ja vain sopimuksen kohteen toteuttamisen edellyttämässä laajuudessa. Toimittajan tulee huolehtia siitä, että Tilaajan aineistoa käsittelevät vain ne toimittajan alaisuudessa työskentelevät henkilöt, joiden työtehtävien suorittamiseen Tilaajan aineiston käsittely kuuluu.

4.4. Toimittajalla tulee olla valmius asettaa ja hallinnoida tietojen luovutuksia koskevia rajoituksia, jollaisia voi aiheutua esimerkiksi väestötietolain mukaisesta rekisteröidyn turvakiellosta. Toimittajan tulee pystyä rajoittamaan rekisteröidyn henkilötietojen käsittelyä osittain tai kokonaan Xxxxxxxx vaatimalla tavalla. Rekisteröidyn henkilötietojen rajoittaminen ei saa johtaa muiden rekisteröityjen henkilötietojen rajoittamiseen, ellei Tilaajan ja Toimittajan kesken kirjallisesti toisin sovita.

4.5. Mikäli Tilaaja rekisterinpitäjänä on arvioinut henkilötietojen käsittelyn perustuvan ainoastaan rekisteröidyn antamaan suostumukseen, tulee Toimittajalla olla valmius hallinnoida rekisteröityjen antamia suostumuksia. Toimittajan tulee teknisesti pystyä poistamaan Xxxxxxxxxx suostumuksen peruttaneen rekisteröidyn henkilötiedot omilta taltioiltaan.

4.6. Toimittaja saattaa Xxxxxxxx saataville tämän pyynnöstä kaikki tiedot, jotka Xxxxxxx tarvitsee rekisterinpitäjälle ja Toimittajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Xxxxxxxx vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Ellei toisin ole sovittu, Toimittaja tekee nämä tehtävät Sopimuksessa tai sen hintaliitteessä sovituilla hinnoilla.

4.7. Toimittaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat

rekisteröidyn oikeuksien käyttämistä. Toimittaja ei itse vastaa näihin pyyntöihin. Toimittaja avustaa Tilaajaa, jotta Xxxxxxx pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin tietosuojalainsäädännön mukaisissa määräajoissa. Pyynnöt voivat edellyttää Toimittajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei toisin ole sovittu, Toimittajalla on oikeus laskuttaa Xxxxxxxx Sopimuksessa tai sen hintaliitteessä sovituilla hinnoilla, jos avustaminen aiheuttaa Toimittajalle lisäkuluja. Toimittaja on velvollinen ennakolta ilmoittamaan Tilaajalle mahdollisesti aiheutuvista lisäkuluista.

4.8. Toimittaja sitoutuu reagoimaan ilman aiheetonta viivästystä Tilaajan yhteydenottoon ja vastaamaan viimeistään yhden (1) viikon kuluessa Tilaajan tietosuojaa koskeviin ilmoituksiin, reklamaatioihin ja muihin viesteihin, pois lukien EU:n yleisen tietosuoja- asetuksen mukaiset tietoturvaloukkaukset, joihin sovelletaan tämän sopimusliitteen alaluvussa 9.1 määritettyjä määräaikoja.

4.9. Toimittaja xxxxxx Xxxxxxxx tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä

osallistuu niihin. Tarkastus tulee suorittaa siten, ettei se johda Toimittajan salassapitoa koskevien velvoitteiden rikkomiseen suhteessa kolmansiin osapuoliin tai vaaranna sen tietoturvaa. Tarkastus ei saa aiheuttaa haittaa Toimittajan toiminnalle. Ellei tarkastusmenettelyä koskevista ehdoista ole Sopimuksessa toisin sovittu, sopijapuolet vastaavat kumpikin tarkastuksesta aiheutuvista omista kustannuksistaan.

5. Xxxxxxxx xxxxxx

5.1. Toimittaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä Sopimuksessa ja näissä erityisehdoissa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Toimittaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Toimittaja epäilee niitä lainvastaisiksi.

5.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan

henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksenmukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan sopimuksenmukaisessa muutoshallintamenettelyssä tai muutoshallintamenettelyn puuttuessa kirjallisella muutossopimuksella. Toimittajalle merkittävää lisätyötä aiheuttavien muutosten lisäkustannuksista sovitaan erikseen

Sopimuksen tai sen hintaliitteen hintojen mukaisesti.

5.3. Toimittajalla on oikeus keskeyttää tai rajoittaa Xxxxxxxx henkilötietojen käsittely tai olla noudattamatta Tilaajan antamia kirjallisia ohjeita siltä osin, kuin henkilötietojen käsittely Tilaajan ohjeita noudattaen olisi ilmeisen lainvastaista. Henkilötietojen käsittelyn keskeyttäminen tai rajoittaminen on sallittu ainoastaan tilanteen selvittämisen ajaksi. Toimittajan edellä tässä alaluvussa 5.3 kuvattuaja toimia ei pidetä Sopimuksen, näiden erityisehtojen tai Tilaajan ohjeiden mukaisten Toimittajan velvollisuuksien laiminlyöntinä, viivästyksenä, virheenä tai sopimusrikkomuksena.

5.4. Tilaajalla on oikeus niin halutessaan määritellä Tilaajan aineistolle eri tietosuojatasoja ja sen mukaisia erityisiä tietoturvatoimenpiteitä ja ohjeita. Toimittaja käsittelee Tilaajan aineistoa sen tietoturvallisuustason edellyttämällä tavalla. Jos tietosuojan tasojen muutokset aiheuttavat Toimittajalle merkittävää lisätyötä, lisäkustannuksista sovitaan erikseen Sopimuksen tai sen hintaliitteen hintojen mukaisesti.

6. Palveluhenkilöstö

6.1. Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Tilaajan henkilötietoja, ovat sitoutuneet noudattamaan Sopimuksessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

6.2. Toimittaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy

Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan sekä Tilaajaa koskevista lakisääteisistä käyttövaltuuksien ja käyttölokien seurantavelvollisuuksista ja käsittelee niitä ainoastaan Sopimuksen, näiden erityisehtojen ja Tilaajan ohjeiden mukaisesti.

6.3. Toimittaja esittää pyynnöstä viivytyksettä yksilöityinä henkilöt, jotka käsittelevät Tilaajan henkilötietoja.

7. Alihankkijat, jotka käsittelevät henkilötietoja

7.1. Siltä osin kuin Toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi näissä erityisehdoissa kuvattuja ehtoja.

7.2. Jos Toimittajan muu kuin Sopimuksessa mainittu alihankkija käsittelee Xxxxxxxx henkilötietoja, alihankkijan käyttäminen edellyttää Tilaajan ennakkoon kirjallisesti antamaa lupaa.

7.3. Toimittaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan Sopimuksessa ja näissä erityisehdoissa Toimittajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin

voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Toimittaja varmistaa, että Xxxxxxxx tarkastusoikeus voidaan ulottaa alihankkijaan.

7.4. Toimittaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Toimittaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja

velvoitteita. Xxx Xxxxxxx perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa.

7.5. Henkilötietojen käsittelijöinä toimivan alihankkijan lisäämisestä tai vaihtamisesta on ilmoitettava Tilaajalle etukäteen. Ilmoituksen tulee sisältää Toimittajan seloste

käsittelytoimista ja siinä tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja henkilötietolainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa.

7.6. Jos Toimittaja ei edellä alaluvussa 7.4 määritellyn mukaisesti suostu vaihtamaan

alihankkijaa Xxxxxxxx vaatimuksesta huolimatta tai tekee alaluvussa 7.5 kuvatun mukaisesti alihankkijamuutoksen Xxxxxxxx vastustamisesta huolimatta, voi Tilaaja 30 päivän kuluttua vaatimuksen tai vastustamisen kirjallisesta ilmoittamisesta irtisanoa tai muutoin päättää Sopimuksen ilmoittamalla tästä kirjallisesti Toimittajalle.

8. Palvelun paikka

8.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, Toimittajalla ja sen alihankkijalla on oikeus käsitellä Tilaajan henkilötietoja ainoastaan Euroopan talousalueella. Mitä Sopimuksessa ja näissä erityisehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.

8.2. Jos sopijapuolet sopivat, että Toimittaja tai sen alihankkija saa käsitellä Tilaajan henkilötietoja Euroopan talousalueen ulkopuolella, sopijapuolet huolehtivat yhdessä siitä, että henkilötietojen käsittely toteutetaan lainsäädännön mukaisesti. Toimittajan tulee kirjallisesti ilmoittaa tällaisen käsittelyn aloittamisesta Tilaajalle viimeistään 30 päivää ennen suunniteltua aloitusajankohtaa. Mikäli Xxxxxxxx rekisterinpitäjänä suorittama Sopimuksen alainen henkilötietojen käsittely perustuu rekisteröidyn suostumukseen, tulee Toimittajan ilmoittaa henkilötietojen käsittelyn aloittamisesta Euroopan talousalueen ulkopuolella viimeistään kuusikymmentä (60) päivää ennen suunniteltua aloitusajankohtaa, jotta Xxxxxxx rekisterinpitäjä pystyy informoimaan rekisteröityjä sekä hankkimaan uuden suostumuksen tai suostumuksen peruutuksen.

8.3. Toimittaja sitoutuu siirtämään henkilötietojen käsittelyn Euroopan talousalueelle ilman aiheetonta viivästystä, jos henkilötietojen käsittelyn lainmukaisuus Euroopan talousalueen ulkopuolisessa käsittelypaikassa vaarantuu tai osoittautuu henkilötietolainsäädännön velvoitteiden vastaiseksi. Toimittaja vastaa siirrosta aiheutuneista kustannuksista.

8.4. Toimittaja takaa saman tietoturvan ja tietosuojan tason riippumatta henkilötietojen käsittelymaasta.

9. Tietoturvaloukkaukset

9.1. Toimittajan on ilmoitettava tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta Tilaajalle kirjallisesti ilman aiheetonta viivytystä ja viimeistään 36 tunnin kuluessa siitä, kun tietoturvaloukkauksesta on saatu varmistettu tai testattu tieto. Lisäksi Toimittaja sitoutuu ilmoittamaan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä tässä alaluvussa mainitussa määräajassa, ellei Sopimuksessa ole sovittu lyhemmästä määräajasta.

9.2. Toimittajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:

1) tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;

2) tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;

3) kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja

4) kuvaus toimenpiteistä, joita Toimittaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

9.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä Sopimuksessa sovittuihin tai muihin tarvittaviin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

9.4. Tilaajan on ilmoitettava Toimittajalle ilman aiheetonta viivästystä, jos Tilaajan tietoon tulee

tietoturvaloukkaus, joka koskee Toimittajan käsittelemiä Tilaajan henkilötietoja. Tilaajan on lisäksi ilmoitettava Toimittajalle ilman aiheetonta viivästystä Sopimuksen kohteeseen liittyvistä väärinkäytöksistä tai havaitsemistaan turvallisuusongelmista.

10. Vahingonkorvaus

10.1. Tilaajalla on velvollisuus huolehtia siitä, että henkilötietojen käsittely on järjestetty tietosuojalainsäädännön sekä mahdollisen muun lainsäädännön vaatimusten mukaisesti. Tilaajalla on lisäksi velvollisuus huolehtia rekisteröityjen oikeuksien toteutumisesta. Jos Toimittajaa kohtaan esitetään näitä aiheita koskevia vaatimuksia tai jos Toimittaja joutuu näissä aiheissa korvausvelvolliseksi rekisteröityä kohtaan ja korvausvelvollisuus on aiheutunut Tilaajasta johtuvasta syystä, Xxxxxxx sitoutuu korvaamaan Toimittajalle kaikki Toimittajalle aiheutuneet välittömät vahingot, mukaan lukien mahdollisesta asian selvittelystä Toimittajalle aiheutuneet kohtuulliset kulut.

10.2. Jos Toimittaja on toiminut EU:n yleisen tietosuoja-asetuksen, muun henkilötietolainsäädännön, Sopimuksen, tämä sopimusliitteen tai Tilaajan laillisten ohjeiden vastaisesti ja tästä on aiheutunut Tilaajalle tai rekisteröidylle aineellista tai aineetonta vahinkoa, on Toimittaja velvollinen korvaamaan kyseisen välittömän vahingon täysimääräisesti Sopimuksessa mahdollisesti olevasta vastuunrajoituksesta riippumatta. Lisäksi edellä kuvattu toiminta muodostaa Sopimuksessa tarkoitetun olennaisen sopimusrikkomuksen, jonka seurauksena Tilaajalla on halutessaan oikeus turvautua Sopimuksessa määriteltyihin muihin oikeussuojakeinoihin tai purkaa sopimus.

10.3. Selvyyden nimissä todetaan, ettei kumpikaan osapuoli ole velvollinen korvaamaan toiselle osapuolelle aiheutuneita välillisiä vahinkoja.

11. Henkilötietojen käsittelyn päättyminen

11.1. Toimittaja saa käsitellä Xxxxxxxx henkilötietoja vain Sopimuksen voimassaolon ajan.

11.2. Sopimuksen voimassaoloaikana Toimittaja ei saa poistaa Xxxxxxxx lukuun käsittelemiään henkilötietoja ilman Tilaajan nimenomaista pyyntöä.

11.3. Sopimuksen päättyessä tai purkautuessa Toimittaja palauttaa tietoturvallisella tavalla Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot 30 päivän kuluessa tai erikseen sovitun ajanjakson aikana. Tilaajan henkilötiedot tulee palauttaa yleisesti käytetyssä muodossa ja niiden tulee olla käsiteltävissä myös muilla kuin Toimittajan käytössä olevilla tietojärjestelmillä ilman rojalteja ja lisenssimaksuja tai muita käsittelyä rajoittavia ehtoja. Toimittajalla ei ole oikeutta erillisveloitukseen Tilaajan aineiston palauttamisesta.

11.4. Toimittajalla on velvollisuus omalla kustannuksellaan tietoturvallisella tavalla hävittää omilta taltioiltaan mahdolliset kopiot Tilaajan henkilötiedoista, ellei muuta ole sovittu. Toimittajan tulee Tilaajan pyynnöstä ilman erillisveloitusta esittää hävittämisestä kohtuullinen selvitys.

11.5. Tilaajan henkilötietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toimittaja säilyttää nämä henkilötiedot.

12. Muut ehdot

12.1. Tämä sopimusliite on erottamaton osa Sopimusta. Mikäli Sopimuksen ja tämän sopimusliitteen välillä on ristiriitoja, noudatetaan tätä sopimusliitettä ensisijaisena.

12.2. Kaikki muutokset tähän sopimusliitteeseen on tehtävä kirjallisesti ja sovittava Sopijapuolten kesken yhteisymmärryksessä. Jotta muutokset olisivat päteviä, molempien Sopijapuolten edustajien on allekirjoitettava ne.

12.3. Mikäli henkilötietolainsäädäntöön tai sen tulkintaa koskeviin viranomaisen päätöksiin tai määräyksiin tulee sellaisia muutoksia, jotka vaikuttavat Tilaajan asemaan tai velvollisuuksiin, tässä sopimusliitteessä määriteltyihin velvollisuuksiin tai vastuisiin tai

johtaisivat siihen, ettei tämä sopimusliite vastaisi henkilötietolainsäädännön vaatimuksia, Sopijapuolet sitoutuvat tekemään tältä osin tarvittavat muutokset kirjallisesti tähän sopimusliitteeseen. Jos nämä muutokset aiheuttavat Toimittajalle olennaisia lisäkustannuksia, niiden korvaamisesta voidaan sopia erikseen Sopimuksen hintaliitteen hintojen mukaisesti.

12.4. Siltä osin, kuin tässä sopimusliitteessä ei nimenomaisesti ole muuta sovittu, sovelletaan tähän sopimusliitteeseen Sopimuksen yleisiä ehtoja sekä määräyksiä sovellettavasta laista ja riitojen ratkaisusta.

12.5. Osapuolten yhteyshenkilöinä Tilaajan henkilötietoja koskevissa asioissa toimivat seuraavat

henkilöt:

Tilaaja:

Yhteystiedot:

Toimittaja:

Yhteystiedot:

Yhteyshenkilön muutoksista tulee ilmoittaa toiselle Sopijapuolelle kirjallisesti ilman aiheetonta viivytystä.

Liitteet:

1) Seloste käsittelytoimista