SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ 23.2.2024

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ 23.2.2024

Osapuolet

Ouman Oy (jäljempänä Ouman) ja

[Asiakas Oy] (jäljempänä Asiakas)

Ouman ja Asiakas jäljempänä kumpikin erikseen Osapuoli tai yhdessä Osapuolet.

1. Sopimuksen tausta ja tarkoitus

Tässä sopimuksessa määritellään miten Ouman voi käsitellä henkilötietojen käsittelijänä henkilötietoja, jotka Asiakas kyseisten henkilötietojen rekisterinpitäjänä luovuttaa Oumanin käsiteltäväksi Osapuolten välisten oikeuksien ja velvoitteiden sekä ylipäätään Osapuolten välisen sopimus- ja asiakassuhteen hoitamiseksi. Tätä sopimusta henkilötietojen käsittelystä ("DPA") sovelletaan Osapuolten väliseen suhteeseen siltä osin, kuin Xxxxx käsittelee henkilötietoja Asiakkaan lukuun. Ellei tässä DPA:ssa muuta ole sovittu, tässä käytetyillä termeillä on niiden GDPR:n mukainen merkitys.

Osapuolet noudattavat Suomen tietosuojalakia (1050/2018, muutoksineen) sekä Euroopan yleistä tietosuoja-asetusta (EU 2016/679, "GDPR") henkilötietojen käsittelyssä. Asiakas vastaa siitä, että sillä on henkilötietojen rekisterinpitäjänä asianmukainen voimassa oleva tietosuojaseloste.

2. Henkilötietojen käsittely

Asiakas vastaa siitä, että sillä on oikeus luovuttaa henkilötiedot Xxxxxxx käsiteltäväksi tämän DPA:n ja Osapuolten välillä solmittujen muiden sopimusten mukaisesti ja niiden edellyttämässä laajuudessa.

2.1. Asiakkaan velvollisuudet

Asiakas on rekisterinpitäjänä vastuussa siitä, että sillä on tarvittavat oikeudet ja että se on hankkinut tarvittavat suostumukset henkilötietojen keräämiseen, tallettamiseen, käsittelyyn sekä niiden mahdolliseen luovuttamiseen. Asiakas vastaa tietosuoja- ja/tai rekisteriselosteen laatimisesta, päivittämisestä ja saatavilla pidosta, rekisteröityjen informoinnista, tarkastusoikeuden toteuttamisesta ja muutoinkin henkilötietojen käsittelyn lainmukaisuudesta sekä GDPR:n noudattamisesta. Asiakas sitoutuu noudattamaan Suomessa ja Euroopan Unionissa kulloinkin voimassa olevaa henkilötietolainsäädäntöä.

Xxxxxxx ilmoittaa viipymättä Oumanille rekisteröidyn pyynnöistä koskien hänen oikeuksiensa käyttämistä, mikäli pyyntö edellyttää toimia, joihin Oumanin on ryhdyttävä.

2.2. Oumanin velvollisuudet

Ouman käsittelee Asiakkaan henkilötietoja Asiakkaan kirjallisia dokumentoituja ohjeita ja voimassa olevaa lainsäädäntöä noudattaen sekä suojaa tietojen käsittelyn alalla vallitsevan tavan ja omien tietoturvakäytänteidensä mukaisesti. Asiakas vastaa henkilötietojen käsittelyä koskevien ohjeidensa lainmukaisuudesta.

Ouman ei siirrä henkilötietoja EU/ETA -alueen ulkopuolelle ilman Asiakkaan antamaa etukäteistä kirjallista lupaa tai GDPR:n mukaista perustetta.

Ouman varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

Ottaen huomioon henkilötietojen käsittelytoimien luonteen, Ouman avustaa Asiakasta mahdollisuuksien mukaan asianmukaisin teknisin ja organisatorisin toimenpitein täyttämään Asiakkaan velvollisuuden vastata rekisteröidyn pyyntöihin koskien GDPR:n mukaisia rekisteröidyn oikeuksia. Asiakkaan tulee aina ensin käyttää palveluiden toimintoja

rekisteröidyn pyyntöihin vastaamiseksi. Siltä osin, kun Asiakas ei voi vastata rekisteröidyn pyyntöihin palveluiden toimintoja käyttäen, Oumanin tulee muutoin tarjota Asiakkaalle kaupallisesti kohtuullista avunantoa. Tällaisia edellä mainittuja rekisteröidyn oikeuksia ovat:

a) oikeus saada pääsy henkilötietoihin;

b) oikeus henkilötietojen oikaisemiseen ja poistamiseen;

c) oikeus henkilötiedon käsittelyn rajoittamiseen;

d) oikeus siirtää henkilötietoja järjestelmästä toiseen;

e) oikeus vastustaa henkilötietojen käsittelyä.

Ouman avustaa Asiakasta tämän pyynnöstä ja mahdollisuuksiensa mukaan ja kohtuullisissa määrin GDPR:ssä määriteltyjen rekisterinpitäjän velvollisuuksien täyttämisessä, kuten:

f) asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen;

g) avustaminen tietoturvaloukkauksista ilmoittamisessa valvontaviranomaiselle ja rekisteröidylle;

h) osallistuminen tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin tekemiseen ja valvontaviranomaisen ennakkokuulemiseen.

Ouman toteuttaa asianmukaisen henkilötietojen käsittelyn turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten esimerkiksi:

i) henkilötietojen pseudonymisointi ja xxxxxx;

j) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

k) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

l) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Ouman avustaa yllä mainituissa tapauksissa Asiakasta tämän esittämän pyynnön ja ilmoittamien tietojen perusteella käyttäen omia ratkaisuja, työskentelytapoja ja tietoturvaohjeita. Ouman ilmoittaa Asiakkaalle, mikäli rekisteröity on ilmoittanut suoraan Oumanille oikeuksiensa käyttämisestä. Osapuolet sopivat yhdessä siitä, miten tällaisiin pyyntöihin reagoidaan käytännössä ja kumpi taho pyyntöihin vastaa.

Oumanilla on oikeus laskuttaa Asiakasta Oumanin tehtäväksi sovituista sekä yllä mainituista toimenpiteistä palveluhinnastonsa mukaisesti.

3. Tietoturvaloukkaukset

Oumanin on ilmoitettava henkilötietojen tietoturvaloukkauksesta Asiakkaalle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Mikäli Asiakas havaitsee tietoturvaloukkauksen, tulee tämän ilmoittaa siitä Oumanille ilman aiheetonta viivästystä. Osapuolten toisilleen antamassa ilmoituksessa on:

a) kuvattava henkilötietojen tietoturvaloukkaus;

b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta.

Mikäli tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

Asiakkaan on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet.

Asiakas vastaa tarvittavien ilmoitusten tekemisestä viranomaiselle. Mikäli tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta seikasta, Oumanilla on oikeus laskuttaa Asiakasta loukkauksesta ja sen selvittämisestä aiheutuvista kustannuksista.

4. Alihankkijat

Asiakas antaa tässä kirjallisen suostumuksensa Xxxxxxxxx käyttää alihankkijoita tässä sopimuksessa kuvattujen palveluiden toteuttamisessa. Ouman ilmoittaa pyydettäessä Asiakkaalle käyttämistään alihankkijoista sekä alihankkijan mahdollisesta vaihtamisesta. Asiakkaalla on oikeus perustellusta syystä vastustaa tietyn alihankkijan käyttämistä. Ouman vastaa alihankkijoiden toiminnasta kuin omastaan.

5. Seloste käsittelytoimista

Ouman ylläpitää sähköisessä muodossa asianmukaista selostetta Asiakkaan lukuun suoritettavista käsittelytoimista.

6. Vastuunrajoitus

Osapuolen vastuu rekisteröidyn korvausvaatimuksista aiheutuviin tappioihin, kustannuksiin tai vahinkoihin määräytyy GDPR:n mukaisesti. Jos Osapuoli käsittelee henkilötietoja Suomen tietosuojalainsäädännön, tämän DPA:n tai GDPR:n vastaisesti, on kyseinen Osapuoli kuitenkin velvollinen korvaamaan ja vapauttamaan toisen Osapuolen vastuusta tällaisesta käsittelystä johtuvista rekisteröityjen korvausvaatimuksista aiheutuvista tappioista, kustannuksista tai vahingoista. Osapuolen vastuu valvontaviranomaisen määräämiin hallinnollisiin sakkoihin määräytyy GDPR:n mukaisesti. Lukuun ottamatta edellä mainittuja tappioita, kustannuksia tai vahinkoja, Osapuolten vastuuseen sovelletaan Ounet käyttö- ja sopimusehdoissa määritettyjä vastuunrajoitusta koskevia ehtoja.

7. Sopimuksen voimassaolo ja sen päättyminen

Tämä DPA on Ounet -käyttösopimuksen liite ja se astuu voimaan, kun Osapuolet ovat Ounet -käyttösopimuksen allekirjoittaneet tai Asiakas on sen alla kuvatuin tavoin muuten hyväksynyt. DPA on voimassa niin kauan, kun Ouman suorittaa Asiakkaalle Osapuolten välisissä sopimuksissa sovitun mukaisesti sellaisia toimia, joiden johdosta Oumanin voidaan katsoa toimivan Asiakkaan henkilötietojen käsittelijänä. Sopimusten ja/tai henkilötietojen käsittelyn päättyessä Ouman tuhoaa kaikki Oumanin halussa olevat Asiakkaan lukuun käsittelemät henkilötiedot, mikäli tällaisia tietoja ei ole lain mukaan säilytettävä.

Ounet-palvelun käyttäjät hyväksyvät omalta osaltaan tämän DPA:n Ounet-palvelussa sähköisesti omilla Ounet- palvelun tunnuksillaan.