Contract

1. Johdanto

Asiakas (”Asiakas”) ja Vine Oy (”Vine”) ovat solmineet Vine sovellusvuokraussopimuksen (”Sopimus”), jolla Vine tarjoaa Sopimuksessa kuvatun sovelluksen ja palvelut Asiakkaan käyttöön. Tämä henkilötietojen käsittelyä koskeva liite (”Tietosuojaliite”) on erottamaton osa Sopimusta.

Sopimuksen perusteella Xxxx toimii henkilötiedon käsittelijänä, varsinaisena rekisterinpitäjänä toimivan Asiakkaan lukuun. Tällä Tietosuojaliitteellä määritellään henkilötietojen käsittelyä koskevat yleiset ehdot ja varmistetaan, että henkilötietojen käsittelyssä nouda- tetaan Euroopan Unionin yleisen tietosuoja-asetuksen (”GDPR”) ja kansallisen lainsäädännön velvoitteita. Käytetyt termit vastaavat GDPR:ssä määriteltyjä termejä.

Henkilötietojen käsittelyn tarkoitus, käsiteltävät tiedot ja niiden säilytysaika on kuvattu dokumentissa ”Käsiteltävät henkilötiedot”. Osapuolet päivittävät liitettä tarvittaessa sopimuksen voimassaoloaikana.

Vinen toteuttamat henkilötietojen käsittelyn tietoturva- periaatteet on kuvattu tarkemmin dokumentissa: ”Tietoturva”. Tietoturvajärjestelyjä arvioidaan, tarkistetaan ja päivitetään säännöllisesti.

2. Asiakkaan yleiset oikeudet ja velvollisuudet rekisterinpitäjänä

- Vastaa henkilötietojen laillisesta, huolellisesta ja hyvää tietojenkäsittelytapaa noudattavasta keräämisestä ja rekisteröityjen oikeuksien toteutumisesta.

- Vastaa siitä, että rekisteröidyille toimitetaan kaikki lainsäädännön edellyttämät henkilötietojen käsittelyä koskevat ilmoitukset ja tiedot.

- Määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, sekä vahvistaa, että on antanut Vinelle kaikki tarvittavat tiedot ja ohjeet Tietosuojaliitteeseen ja Sopimukseen asetettujen velvollisuuksien täyttämiseen.

- Varmistaa, että henkilötietojen siirtäminen Vinelle, sekä henkilötietojen käsittely Tietosuojaliitteen mukaisesti, on lainmukaista koko Sopimuksen voimassaolon ajan.

3. Vinen yleiset oikeudet ja velvollisuudet henkilötietojen käsittelijänä

- Käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen.

- Käsittelee henkilötietoja ainoastaan Xxxxxxxxxxxx ja Tietosuojaliitteessä määriteltyihin tarkoituksiin, vain siinä laajuudessa kuin on tarpeen ja vain Sopimuksen voimassaoloajan.

- Käsittelee henkilötietoja ainoastaan Asiakkaan antamien dokumentoitujen, lainmukaisten ja kohtuullisten ohjeiden mukaisesti.

- Ilmoittaa Asiakkaalle, jos Asiakkaan antama ohjeistus rikkoo sovellettavaa lainsäädäntöä tai toimintatavoissa on puutteita ja avustaa korjaamaan asian.

- Varmistaa, että henkilötietoja käsittelevät vain ne henkilöt, joiden työtehtävien hoitaminen sitä edellyttää, salassapitovelvollisuutta noudattaen.

- Avustaa Asiakasta mahdollisuuksien mukaan toteutta- maan rekisteröityjen oikeuksia.

- Sopimuksen aikana tai sen päätyttyä joko tuhoaa tai palauttaa Asiakkaalle kaikki henkilötiedot, ja poistaa olemassa olevat jäljennökset.

4. Alihankkijat

”Alihankkijalla” tarkoitetaan käsittelijää, joka käsittelee henkilötietoja Tietosuojaliitteen mukaisesti, kokonaan tai osittain Vinen lukuun ja tämän toimeksiannosta. Vine saa käyttää alihankkijoita henkilötietojen käsittelyssä tämän Tietosuojaliitteen ehtojen mukaisesti.

Vine solmii kirjallisen käsittelysopimuksen alihankkijan kanssa ja edellyttää kaikkien alihankkijoiden noudattavan Vinelle Tietosuojaliitteessä asetettuja tietosuoja- velvoitteita. Xxxxxxxxxxx käsittelee henkilötietoja vain käsittelysopimuksen mukaisesti.

Vine vastaa käyttämiensä alihankkijoiden toimista kuin omistaan. Asiakkaan pyynnöstä Vine ilmoittaa käsittelyssä käytettävät alihankkijat.

5. Tietosuojan varmistaminen

Vine ylläpitää ja toimittaa Asiakkaalle pyydettäessä tarpeelliset asiakirjat sekä selosteet käsittelytoimista, jotka osoittavat, että Vine noudattaa Tietosuojaliitteessä säädettyjä velvollisuuksia.

Vine sallii auditoinnit, sekä avustaa niissä sen osoittamiseksi, että noudattaa Tietosuojaliitteen määrä- yksiä. Asiakas vastaa kaikista auditoinnista aiheutuvista kustannuksista.

6. Tietoturvaloukkaus

Vine ilmoittaa henkilötietojen tietoturvaloukkauksesta Asiakkaalle ilman aiheetonta viivytystä siitä, kun Vine tai sen käyttämä alihankkija on saanut loukkauksen tietoonsa. Xxxx antaa kuvauksen tietoturvaloukkauksen todennäköisistä seurauksista sekä tarvittavista toimen- piteistä haittavaikutusten lieventämiseksi.

7. Salassapito

Sopimuksen ehtoja salassapidosta sovelletaan myös Tietosuojaliitteeseen.

8. Vastuunrajoitus

Sopimuksen mukaisia vastuun- ja korvausvelvollisuuden rajoituksia sovelletaan myös Tietosuojaliitteeseen.

9. Voimassaolo

Tietosuojaliitteen voimassaolo on sidottu Sopimuksen voimassaoloon.

1. Johdanto

Tämä dokumentti kuvaa Vinen Asiakkaalle tarjoaman palvelun tietoturvaperiaatteiden ja –käytäntöjen pää- piirteet.

1.1 Palvelun yleiskuvaus

Vine tarjoaa palvelun Asiakkaalle käyttövalmiina sovellus- vuokrattuna pilvipalveluna (SaaS). Vine vastaa palveluun kuuluvasta palvelinympäristöstä (tilat, laitteet, palvelin- ohjelmistot ja tietokannat) ja sen ylläpidosta (valvonta, varmuuskopiointi, ohjelmistopäivitykset). Vine voi käyttää sopimuskumppaneita palvelun osien, esimerkiksi kone- salipalvelut, toteutukseen.

Asiakas käyttää Vinen sovelluspalvelua julkisen internet- verkon läpi joko selaimen tai erillisen asiakasohjelmiston avulla. Palveluun voi sisältyä liittymiä Asiakkaan muihin tietojärjestelmiin.

1.2 Asiakkaan vastuu tietoturvasta

Asiakkaalla on vastuu oman paikallisverkon ja internet- yhteyden toiminnasta, ylläpidosta ja turvallisuudesta. Asiakas vastaa omien työasemiensa hankinnasta ja ylläpidosta.

Asiakkaan vastuulla on käyttäjätunnusten ja salasanojen huolellinen säilytys. Asiakas vastaa kaikesta Asiakkaan käyttäjätunnuksilla tapahtuneesta järjestelmän käytöstä ja sen seurauksista.

2. Fyysinen tietoturvallisuus

Vinen kaikki palvelinlaitteet on sijoitettu sopimuskump- panin valvottuun laitetilaan pääkaupunkiseudun alueella, joka täyttää Viestintä-viraston tärkeysluokan 2 laitetiloille annetun määräyksen (54A/2012M).

3. Laitteistoturvallisuus

Käytettävät palvelinlaitteistot on pyritty rakentamaan yleisimpiä vikatilanteita (levyrikko, ym.) sietävillä ratkaisuilla. Vinellä on kattavat huolto- ja tukisopimukset käyttämiinsä palvelinlaitteistoihin.

Järjestelmän tuotantokoneelle on olemassa nimetty varakone, joka voidaan ottaa käyttöön, jos tuotantokone sattuisi rikkoutumaan.

4. Ohjelmistoturvallisuus

Kukin palvelun käyttäjä pääsee omilla käyttäjätunnuk- sillaan vain oman yrityksensä tietoihin. Asiakkaan työasemasta voi kytkeytyä järjestelmän tietokantaan vain Vinen sovellusrajapintojen kautta.

Järjestelmä on suojattu palomuureilla ja muilla tietoturvamenettelyillä luvattoman käytön ja tietoturva- hyökkäysten estämiseksi. Vine huolehtii palvelimien käyttöjärjestelmä- ja sovellustason tietoturvapäivityksistä, konfiguroinneista ja muista vastaavista töistä. Vinellä on kattavat ohjelmistojen tuki- ja ylläpitosopimukset.

Järjestelmä tallentaa erilaisiin lokitietoihin tiedot kaikista eri sovellusten sisäänkirjautumisista ja muista oleellisista tapahtumista.

5. Tietoaineistoturvallisuus

Kullakin käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana. Kaikki käyttäjät voivat itse vaihtaa salasanansa, salasana esiintyy kryptattuna tietokannassa eikä ole kenenkään selvitettävissä. Käyttäjän on vaihdettava salasana pakotetuin aikavälein. Käyttäjätunnusten ja salasanojen hallintaan käytetään Oracle-tietokanta- ohjelmiston käyttäjähallintaa.

Käyttöoikeusrajaukset määritellään asiakas- ja käyttäjä- rooli- tai käyttäjäkohtaisesti. Oikeudet rajataan sovel- luksittain, käyttöoikeuksittain ja tarvittaessa näkemä- rajauksin vain rajattuun osaa tiedoista.

Järjestelmä tallentaa kaikkien tietojen muutoshistorian, joka sisältää muutetun tiedon, muutoshetken ja muuttajan.

Tietokantaa varmuuskopioidaan reaaliaikaisesti toiseen tietokantaan eri palvelimelle ja fyysisesti eri paikkaan. Varmuuskopiointi verkon yli tapahtuu asianmukaisesti salatuilla protokollilla. Tietokannasta otetaan myös viikoittain yksi tietokantatallennus, jota säilytetään yksi viikko. Lisäksi joka kuukauden ensimmäisenä yönä otettua varmuuskopiota säilytetään yksi kuukausi. Varmuus- kopiointijärjestelmään on pääsy vain Vinen nimetyillä asiantuntijoille.

Palvelun päättyessä Vine luovuttaa Asiakkaalle teksti- tiedostoina kopion tämän tiedoista neljän viikon kuluessa sopimuksen päättymisestä. Asiakas voi tällöin omalla kustannuksellaan siirtää tiedot muuhun järjestelmään.

6. Tietoliikenneturvallisuus

Tietoliikenteessä käytetään ssh-protokollan kaltaista korkean tason salausta. Tietoliikenne on hyvin suojattu.

7. Henkilöstöturvallisuus

Sovelluspalvelua ylläpitävät nimetyt Vinen palveluksessa olevat asiantuntijat. Asiakkaan luottamukselliseen aineistoon pääsevät käsiksi vain sellaiset henkilöt, joiden työn kannalta se on välttämätöntä. Asiakkaalle voidaan tämän pyynnöstä toimittaa luettelo henkilöistä, joilla on pääsy sovelluspalvelun tietoihin.

Ylläpitohenkilöstö pitää lokikirjaa kaikista palveluun tehdyistä muutoksista ja toimenpiteistä. Lokikirjan tiedot eivät ole julkisia.

Vinen kaikkien työntekijöiden kanssa on tehty salassapitosopimukset, jotka sitovat työntekijää myös työsuhteen päättymisen jälkeen. Työsuhteen päättyessä työntekijän kaikki henkilökohtaiset käyttöoikeudet poistetaan ja mahdollisten ylläpitotunnusten salasanat vaihdetaan välittömästi.

Sopimuskumppanien kanssa on tehty vastaavat salassa- pitosopimukset.