CORELY
rev 1.0a
CORELY
TIETOJENKÄSITTELYSOPIMUS
LEGAL – LAKITIEDOT
TIETOJENKÄSITTELYSOPIMUS
VIIMEKSI PÄIVITETTY: 3.5.2022
Tämä Tietojenkäsittelysopimus on osa Saidok Oy:n (y- tunnus 1947986–7, Harmaalinnantie 2 LH 1, FI- 28430 PORI) (“Toimittaja”) ja Asiakkaan välistä toi- mitussopimusta.
1. SOPIMUKSEN KOHDE JA TARKOITUS
1.1. Tätä Tietojenkäsittelysopimusta sovelle- taan kaikkeen Toimitussopimuksen nojalla tapahtuvaan Henkilötietojen Käsittelyyn.
1.2. Tämä Tietojenkäsittelysopimus muodostaa Tietosuojalainsäädännön edellyttämän sito- van Henkilötietojen Käsittelyä koskevan so- pimuksen Osapuolten välille.
1.3. Termien, joita ei ole määritelty tässä Tieto- jenkäsittelysopimuksessa tai Toimitussopi- muksessa, määritelmät ovat samat kuin kul- loisessakin Tietosuojalainsäädännössä.
1.4. Toimittaja toimii Henkilötietojen Käsitteli- jänä ja Asiakas Rekisterinpitäjänä. Henkilö, jonka Henkilötietoja Toimittaja käsittelee tämän Tietojenkäsittelysopimuksen mukai- sesti, on Rekisteröity.
1.5. Käsittelijän suorittama Käsittely rajautuu Toimitussopimuksen mukaisiin käsittely- toimiin ja Palvelun tai Ohjelmiston toimin- nallisuuksiin. Rekisterinpitäjä määrittelee Palvelussa tai Ohjelmistossa Käsiteltävien Henkilötietojen tyypin ja määrän, rekiste- röityjen ryhmät sekä Henkilötietojen käyt- tötarkoitukset ja keinot.
2. KÄSITTELIJÄN OIKEUDET JA VELVOLLISUUDET
2.1. Käsittelijä sitoutuu noudattamaan Henkilö- tietojen Käsittelyssä Tietosuojalainsäädän- nössä asetettuja velvoitteita ja hyvää tieto- jenkäsittelytapaa.
2.2. Käsittelijällä on velvollisuus Käsitellä Palve- luun tai Ohjelmistoon talletettuja Henkilö- tietoja Rekisterinpitäjän antamien doku- mentoitujen, lainmukaisten ja kohtuullisten ohjeiden mukaisesti. Selvyyden vuoksi
todetaan, että Rekisterinpitäjän katsotaan aina ohjeistaneen Käsittelijää suorittamaan Toimitussopimuksen mukaiset käsittelytoi- met. Mikäli Rekisterinpitäjän ohjeen ja Tie- tosuojalainsäädännöstä johtuvan oikeudel- lisen vaatimuksen välillä on ristiriita, Käsit- telijällä on velvollisuus noudattaa ensisijai- sesti Tietosuojalainsäädännöstä johtuvaa oikeudellista vaatimusta, missä tapauksessa Käsittelijä tiedottaa Rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta edellyttäen, että Tietosuojalainsäädännössä ei kielletä tällaista tiedottamista.
2.3. Käsittelijä varmistaa, että henkilöt, joilla on oikeus Käsitellä Henkilötietoja Käsittelijän puolesta ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapito- velvollisuus, joka on voimassa myös Toimi- tussopimuksen päättymisen jälkeen.
2.4. Käsittelijä varmistaa, että Henkilötietoja ei luovuteta kolmansille osapuolille ilman Re- kisterinpitäjän etukäteistä kirjallista suostu- musta, ellei Käsittelijä ole velvollinen ilmai- semaan tietoja pakottavan lainsäädännön tai viranomaisen määräyksen perusteella.
2.7. Käsittelijä ylläpitää tarvittavia selosteita kä- sittelytoimista ja saattaa Rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen Käsittelijälle säädettyjen velvollisuuksien- noudattamisen osoittamiseksi Tietosuoja- lainsäädännön mukaisesti.
2.8. Ellei toisin ole sovittu, Käsittelijällä on oi- keus veloittaa yllä 2.5 ja 2.6 kohdissa kuva- tuista toimista aiheutuvat kustannukset Re- kisterinpitäjältä.
3. REKISTERINPITÄJÄN VELVOLLISUUDET
3.1. Käyttäessään Palvelua tai Ohjelmistoa Re- kisterinpitäjä sitoutuu noudattamaan Hen- kilötietojen Käsittelyssä Tietosuojalainsää- dännössä ja muussa pakottavassa lainsää- dännössä asetettuja velvoitteita sekä hyvää tietojenkäsittelytapaa.
3.2. Rekisterinpitäjällä on velvollisuus antaa Kä- sittelijälle dokumentoidussa muodossa Kä- sittelyä koskevat kattavat ja lainmukaiset ohjeet. Toimitussopimuksesta poikkeavista ohjeista on aina sovittava Osapuolten välillä kirjallisesti erikseen ja Käsittelijä voi laskut- taa Rekisterinpitäjää niiden toteuttamisesta erikseen.
3.3. Rekisterinpitäjä on vastuussa siitä, että kai- kille rekisteröidyille, joiden Henkilötietoja Palvelun tai Ohjelmiston avulla Käsitellään, on toimitettu Tietosuojalainsäädännön edellyttämät tiedot ja että Henkilötietojen Käsittely, mukaan lukien Palvelun tai Ohjel- miston käytön mahdollisesti edellyttämä Henkilötietojen siirtäminen Käsittelijälle, on lainmukaista koko Toimitussopimuksen ja tämän Tietojenkäsittelysopimuksen voi- massaolon ajan.
3.4. Rekisterinpitäjä on velvollinen varmista- maan ennen Toimitussopimuksen ja tämän Tietojenkäsittelysopimuksen solmimista, että tämän Tietojenkäsittelysopimuksen mukainen Henkilötietojen Käsittely täyttää Rekisterinpitäjälle asetetut Henkilötietojen Käsittelyä koskevat vaatimukset, mukaan lukien tietoturvavaatimukset.
4. KÄSITTELYN TURVALLISUUS JA HENKILÖ- TIETOJEN TIETOTURVALOUKKAUKSET
4.1. Käsittelijä toteuttaa ja ylläpitää asianmukai- set tekniset ja organisatoriset toimenpiteet Henkilötietojen suojaamiseksi Henkilötieto- jen vahingossa tapahtuvalta tai laittomalta tuhoamiselta, häviämiseltä, muuttamiselta tai luvattomalta luovuttamiselta tai pää- syltä Henkilötietoihin.
4.2. Käsittelijä sitoutuu ilman aiheetonta viivy- tystä ilmoittamaan Rekisterinpitäjälle kai- kista Käsittelijän tai sen käyttämän Alihank- kijan havaitsemista Henkilötietojen tieto- turvaloukkauksista, jotka kohdistuvat Toi- mitussopimuksen nojalla Käsiteltäviin Hen- kilötietoihin. Elleivät Osapuolet ole toisin sopineet, ilmoitus tulee tehdä Rekisterinpi- täjän ilmoittamalle yhteyshenkilölle.
5. ALIHANKKIJAT
5.1. Toimittajalla on oikeus käyttää nykyisiä ali- käsittelijöitä, jotka näkyvät liitteessä B.
5.2. Käsittelijä varmistaa, että sen mahdollisesti käyttämät Alihankkijat sitoutuvat Käsittele- mään Henkilötietoja Tietosuojalainsäädän- nön, tämän Tietojenkäsittelysopimuksen ja Rekisterinpitäjän antamien ohjeiden mukai- sesti.
5.3. Käsittelijällä on oikeus käyttää Alihankki- joita tämän Tietojenkäsittelysopimuksen mukaisessa Henkilötietojen käsittelyssä. Kä- sittelijä sitoutuu solmimaan kirjallisen sopi- muksen Alihankkijoiden kanssa käyttäes- sään Alihankkijoita tämän sopimuksen mu- kaiseen Käsittelyyn. Käsittelijä vastaa käyt- tämiensä Alihankkijoiden Tietojenkäsittely- sopimuksen mukaisten velvoitteiden täyttä- misestä suhteessa Rekisterinpitäjään. Tämä ei vaikuta rekisteröityjen oikeuksiin GDPR:n nojalla.
5.4. Käsittelijä tiedottaa Rekisterinpitäjälle en- nalta kaikista suunnitelluista muutoksista, jotka koskevat Alihankkijoiden lisäämistä tai vaihtamista. Mikäli Rekisterinpitäjä ei hy- väksy suunniteltua muutosta ja Alihankkijan
muutos vaikuttaa Toimitussopimuksen mu- kaiseen Henkilötietojen Käsittelyyn, Käsitte- lijällä on oikeus irtisanoa Toimitussopimus noudattaen kolmenkymmenen (30) päivän irtisanomisaikaa.
6. HENKILÖTIETOJEN SIIRTÄMINEN EU:N TAI ETA:N ULKOPUOLELLE
6.1. Käsittelijä voi siirtää Henkilötietoja Euroo- pan unionin (”EU”), Euroopan talousalueen (”ETA”) tai muiden maiden, joiden Euroo- pan Komissio on todennut xxxxxxxx xxxxxx- vän tietosuojan tason (yhdessä ”Hyväksytyt Alueet”), ulkopuolelle Toimitussopimuksen ehtojen mukaisesti. Käsittelijä noudattaa valvontaviranomaisten tai muiden viran- omaisten asettamia vaatimuksia, jotka ovat edellytyksenä sellaisen viranomaisluvan saamiselle, jonka nojalla Henkilötietoja voi- daan siirtää Hyväksyttyjen Alueiden ulko- puolelle.
6.2. Ennen Henkilötietojen siirtoa Hyväksyttyjen Alueiden ulkopuolelle Käsittelijä toteuttaa asianmukaiset Tietosuojalainsäädännön edellyttämät suojatoimet ja mikäli tarpeen, solmii käyttämänsä Xxxxxxxxxxxx kanssa so- pimuksen Henkilötietojen siirrosta käyttäen Euroopan Komission hyväksymiä mallisopi- muslausekkeita (”Mallisopimuslausek- keet”). Rekisterinpitäjä valtuuttaa Käsitteli- jän sopimaan mallisopimuslausekkeiden so- veltamisesta Hyväksyttyjen Alueiden ulko- puolelle sijoittautuneen Xxxxxxxxxxxx kanssa Rekisterinpitäjän puolesta.
7. TURVATOIMET
7.1. Toimittajan on täytettävä tietosuojalainsää- dännön mukaiset turvatoimia koskevat vaa- timukset ja pystyttävä dokumentoimaan hallintakeinot ja muut toimenpiteet näiden tavoitteiden täyttämiseksi.
7.2. Toimittaja noudattaa mm. seuraavia tieto- turvan hallintakeinoja.
(i) Kaikki asiakastiedot ovat aina salat- tuja.
(ii) Kaikki tietoliikenne on aina salat- tua.
(iii) Toimittaja hyödyntää verkon seg- mentointia kaikissa tuotantoympä- ristöissä.
(iv) Kaikki Toimittajan infrastruktuurit pidetään ajan tasalla alihankkijoi- den julkaisemien uusimpien tieto- turvakorjausten avulla.
(v) Toimittaja noudattaa vähimpien oi- keuksien periaatetta (PoLP) halli- takseen pääsyä järjestelmiin ja tie- toihin asianmukaisen kulunvalvon- nan varmistamiseksi.
(vi) Toimittaja varmistaa redundanssin kaikissa infrastruktuureissa ja jär- jestelmissä käyttämällä alihankki- joita, jotka toimittavat alan standar- diratkaisuja korkealla käytettävyys- asteella.
8. AUDITOINTI
8.1. Rekisterinpitäjällä on omalla kustannuksel- laan oikeus auditoida Käsittelijän Tietojen- käsittelysopimuksen alainen toiminta (”Au- ditointi”). Rekisterinpitäjän on myös korvat- tava Käsittelijälle Auditoinnista mahdolli- sesti aiheutuneet kustannukset.
8.2. Osapuolet sopivat Auditoinnin ajankoh- dasta ja muista yksityiskohdista hyvissä ajoin ennen sen suorittamista. Kaikkien Au- ditointiin osallistuvien henkilöiden tulee al- lekirjoittaa Käsittelijän edellyttämä salassa- pitositoumus Käsittelijän hyväksi. Mikäli Tietosuojalainsäädännössä ei toisin edelly- tetä, Rekisterinpitäjällä on oikeus suorittaa korkeintaan yksi Auditointi kahdentoista
(12) kuukauden ajanjaksoa kohden.
9. VASTUU
9.1. Osapuolet ovat vastuussa Tietosuojalain- säädännöstä, muusta pakottavasta lainsää- dännöstä sekä tästä Tietojenkäsittelysopi- muksesta johtuvien velvoitteiden täyttämi- sestä omassa toiminnassaan. Kumpikin
Osapuoli vastaa siten itse valvontaviran- omaisen määräämistä hallinnollisista sa- koista tai toimivaltaisen tuomioistuimen re- kisteröityjen tai muiden kolmansien vaati- muksien johdosta tuomitsemista vahingon- korvauksista, jotka ovat asianomaisen vi- ranomaisen tai tuomioistuimen päätöksen mukaan seurausta Tietosuojalainsäädän- nöstä, muusta pakottavasta lainsäädän- nöstä tai tästä Tietojenkäsittelysopimuk- sesta johtuvien velvoitteiden vastaisesta Osapuolen toiminnasta tai laiminlyönnistä. Muilta osin vastuu Osapuolten välillä mää- räytyy Toimitussopimuksessa sovittujen vastuu- ja vastuunrajoitusehtojen mukai- sesti.
10. SOPIMUKSEN VOIMASSAOLO
10.1. Tämä Tietojenkäsittelysopimus on voimassa niin pitkään kuin Toimitussopimus on voi- massa tai niin pitkään, kuin Käsittelijä lopet- taa Käsittelyn, soveltaen näistä myöhäisem- pää ajankohtaa.
10.2. Toimitussopimuksen päätyttyä Käsittelijä si- toutuu Rekisterinpitäjän ohjeiden mukai- sesti poistamaan tai palauttamaan kaikki Henkilötiedot Rekisterinpitäjälle ja poista- maan olemassa olevat jäljennökset, paitsi jos sovellettava pakottava lainsäädäntö vaatii säilyttämään Henkilötiedot. Poista- mista ja palauttamista koskevista käytän- nöistä voidaan sopia tarkemmin Osapuol- ten välillä. Käsittelijällä on joka tapauksessa oikeus poistaa Henkilötiedot ilman erillistä ilmoitusta viimeistään kahden (2) kuukau- den kuluttua Toimitussopimuksen päätty- misestä.
11. MÄÄRITELMÄT
”Asiakas” tarkoittaa Toimitussopimuksessa yksilöityä asiakasta.
”Alihankkija” tarkoittaa käsittelijää, joka Käsittelee Toimitussopimuksen alaisia Hen- kilötietoja kokonaan tai osittain Käsittelijän lukuun ja tämän toimeksiannosta. ”Henkilö- tieto” tarkoittaa kaikkia tunnistettuuntai
tunnistettavissa olevaan luonnolliseen hen- kilöön liittyviä tietoja.
”Käsittelijä” tarkoittaa Toimittajaa, joka kä- sittelee Henkilötietoja Rekisterinpitäjän toi- meksiannosta yksinomaan Toimituksen to- teuttamiseksi ja Toimitussopimuksen voi- massaolon ajan.
”Käsittelyllä” tarkoitetaan toimintoa tai toi- mintoja, joita kohdistetaan Henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyt- täen tai manuaalisesti, kuten tietojen kerää- mistä, tallentamista, järjestämistä, jäsentä- mistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tieto- jen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tieto- jen yhteensovittamista tai yhdistämistä, ra- joittamista, poistamista tai tuhoamista.
”Ohjelmisto” tarkoittaa Toimittajan valmis- ohjelmiston ohjelmistoversiota ja -laa- juutta, joka on yksilöity Toimitussopimuk- sessa.
”Osapuolet” tarkoittaa Toimittajaa ja Asia- kasta yhdessä, kukin erikseen ”Osapuoli”.
”Palvelut” tarkoittaa Toimitussopimuk- sessa yksilöityä palvelua, siihen liittyvää konsultointia tai muuta palvelua.
”Rekisterinpitäjä” tarkoittaa Asiakasta, joka määrittelee Käsittelyn tarkoitukset ja keinot.
”Tietosuojalainsäädäntö” tarkoittaa tieto- suojalakia (1050/2018) tai muuta sovellet- tavaa, kulloinkin voimassa olevaa tietosuo- jalainsäädäntöä (mukaan lukien muun mu- assa EU:n yleinen tietosuoja-asetus ”GDPR” (2016/679)) ja tietosuojaviranomaisten si- tovia määräyksiä.
”Tietojenkäsittelysopimus” (engl. Data Pro- cessing Agreement, DPA) tarkoittaa sopi- musta, joka solmitaan Toimittajan ja Asiak- kaan välillä, ja se määrittää GDPR:n edellyt- tämällä tavalla muun muassa sen, kuka
pääsee Palvelussa tai Ohjelmistossa olevaan tietoon käsiksi.
”Toimitus” tarkoittaa Toimitussopimuk- sessa yksilöityä Ohjelmiston ja Palveluiden toimitusta.
“Toimitussopimus” tarkoittaa Toimittajan ja Asiakkaan välillä tehtyä Toimitusta koske- vaa sopimusta.
A. REKISTERÖITYJEN HENKILÖIDEN RYHMÄT JA KÄSITELTÄVIEN HENKILÖTIETOJEN TYYPIT
Tämän liitteen mukaisesti käsiteltävät Rekisteröityjen henkilöiden ryhmät ja käsiteltävien henkilötie- tojen tyypit
i) Rekisteröityjen henkilöiden ryhmät
a. Asiakkaan määrittelemät käyttäjät
b. Asiakkaan yhteyshenkilöt
ii) Käsiteltävien henkilötietojen tyypit
a. Yhteystiedot
b. Käyttäjien lokitiedot ja IP osoitteet
Tämän sopimuksen puitteissa ei käsitellä arkaluontoisia henkilötietoja.
B. ALIHANKKIJOIDEN TIEDOT
Toimittajan nykyiset alihankkijat, jotka osallistuvat palvelun tuottamiseen ja näin käsittelevät Asiak- kaan palveluun tallentamia henkilötietoja tämän liitteen hyväksymisen jälkeen, ovat listattuna alla.
Käsittelijä | Sijainti/maa | Rooli |
Amazon Web Services EMEA SARL (AWS Europe) | Palvelinkeskusinfrastruktuuri ja palvelut |