Skanskan vaatimukset ja sopimusehdot henkilötietojen käsittelylle alihankintasopimuksissa
Skanskan vaatimukset ja sopimusehdot henkilötietojen käsittelylle alihankintasopimuksissa
1
12.06.2023
Skanskan vaatimukset ja sopimusehdot henkilötietojen käsittelylle alihankintasopimuksissa
Sisällysluettelo
11. Sovellettava laki ja riidanratkaisu 7
Tähän liitteeseen on koottu Skanskan vaatimukset ja sopimusehdot henkilötietojen käsittelylle ja luottamuksellisuuden varmistamiselle tilanteissa, joissa Skanska on soveltuvan tietosuojalainsäädännön mukainen rekisterinpitäjä ja toimittaja / urakoitsija / alihankkija ”sopimuskumppani” on käsittelijä. Sopimuskumppanin on sitouduttava noudattamaan tässä liitteessä esitettyjä vaatimuksia ja huolehdittava siitä, että myös sen mahdolliset alihankkijat osaltaan noudattavat vaatimuksia. Nämä ehdot liitetään tietojenkäsittelysopimuksen ”TKS” muodossa osaksi Skanskan ja sopimuskumppanin välistä toimeksianto-, alihankinta tms. sopimusta ”sopimus”.
Tietojenkäsittelysopimus laaditaan Skanskan (”rekisterinpitäjä”) ja sen sopimuskumppanin (”käsittelijä”) välille. Sopimuskumppanilla on näissä ehdoissa esitetyin edellytyksin mahdollisuus käyttää alihankkijoita. Näistä alihankkijoista tulee Skanskan sopimuskumppanin tavoin henkilötiedon käsittelijöitä suhteessa Skanskaan. Skanskan sopimuskumppani vastaa siitä, että alihankkijoiden kanssa on sovittu henkilötiedon käsittelystä kirjallisesti ja että soveltuva lainsäädäntö sekä Skanskan vaatimukset ja ohjeistukset huomioidaan myös alihankkijoiden toiminnassa.
Rekisterinpitäjän ja käsittelijän välisen TKS:n tavoitteena on täyttää tietosuojalainsäädännössä rekisterinpitäjän ja käsittelijän väliselle sopimukselle asetetut vähimmäisvaatimukset.
TKS:ssa käytetyillä termeillä tarkoitetaan samaa kuin Tietosuojalainsäädännössä, mikä merkitsee muun muassa, että:
(a) Termillä henkilötieto tarkoitetaan mitä tahansa tietoa, joka on suoraan tai välillisesti yhdistettävissä luonnolliseen henkilöön;
(b) Termillä käsittely tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;
(c) Termillä rekisterinpitäjä tarkoitetaan toimijaa, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot;
(d) Termillä henkilötietojen käsittelijä tarkoitetaan toimijaa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;
(e) Termillä alihankkija tarkoitetaan Käsittelijän alihankkijaa. Xxxxxxxxxxx käsittelee henkilötietoja Rekisterinpitäjän lukuun alihankkijan Käsittelijän kanssa sopimien velvoitteiden mukaisesti;
(f) Termillä Euroopan komission mallisopimuslausekkeet tarkoitetaan henkilötietojen kolmansiin maihin siirtämistä säänteleviä mallisopimuslausekkeita, jotka Euroopan komissio on hyväksynyt 4 päivänä kesäkuuta 2021, tai vastaavalla kyseisen päätöksen korvaavalla päätöksellä; ja
(g) Termillä Tietosuojalainsäädäntö tarkoitetaan soveltuvaa tietosuojalainsäädäntöä. Soveltuvalla tietosuojalainsäädännöllä tarkoitetaan 25. toukokuuta 2018 lähtien Euroopan parlamentin ja neuvoston 27 päivänä huhtikuuta 2016 antamaa asetusta (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus; "GDPR") ja sellaista kansallista lainsäädäntöä, jolla yleinen tietosuoja-asetus pannaan täytäntöön.
Käsittelijä sitoutuu käsittelemään henkilötietoja, joihin sillä on Sopimuksen nojalla pääsy, Rekisterinpitäjän lukuun Sopimuksen toteuttamiseksi ja Sopimuksen voimassaolon ajan. Käsittelijä sitoutuu lisäksi:
(a) Käsittelemään henkilötietoja Tietosuojalainsäädännön, Sopimuksen, TKS:n sekä muiden Rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti. Käsittelijä voi kuitenkin käsitellä tietoja ilman erillisiä ohjeita, mikäli Käsittelijään sovellettavassa Euroopan unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa Käsittelijä tiedottaa Rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;
(b) Olemaan käyttämättä TKS:n nojalla sille siirrettyjä tai sen siirtämiä, sille kerättyjä tai sen keräämiä, sille tuotettuja tai sen tuottamia tai sen muulla tavoin käsittelemiä henkilötietoja omassa liiketoiminnassaan;
(c) Xxxxxxxx henkilötiedot salassa ja olemaan luovuttamatta henkilötietoja kolmannelle osapuolelle sekä olemaan käyttämättä henkilötietoja muillakaan tavoin Sopimuksen ja TKS:n kanssa ristiriidassa olevalla tavalla. Käsittelijän tulee myös varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;
(d) Ottaen huomioon käsittelytoimen luonteen, auttamaan Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Rekisterinpitäjän velvollisuuden vastata rekisteröidyn pyyntöihin, jotka koskevat GDPR:n III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä; ja
(e) Auttamaan Rekisterinpitäjää varmistamaan, että tietosuoja-asetuksen 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan (ml. turvatoimien toteutus, henkilötietoloukkausten hallinta, tietosuojaa koskevan vaikutustenarvioinnin suorittaminen ja valvontaviranomaisen ennakkokuulemisiin osallistuminen) ottaen huomioon käsittelyn luonteen ja Käsittelijän saatavilla olevat tiedot.
Käsittelijä ei saa siirtää henkilötietoja kolmansiin maihin tai EU:n tai ETA:n ulkopuoliseen kansainväliseen organisaatioon (yhdessä "Kolmannet maat"), ellei Rekisterinpitäjä ole nimenomaisesti vaatinut näin tai antanut siihen suostumustaan. Tällainen suostumus tulee pyytää ja antaa kirjallisesti, jokaiselle siirtojen vastaanottajalle ja/tai siirron vastaanottajan sijaintipaikalle erikseen.
Käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Tietosuojalainsäädännön vaatiman turvallisuustason varmistamiseksi (yleisen tietosuoja- asetuksen 32 artikla (Henkilötietolain (523/1999) 32 §) sekä muut tarpeelliset toimenpiteet Käsittelijälle asetettujen tai Rekisterinpitäjän TKS:n perusteella muutoin asettamien turvallisuusvaatimusten noudattamiseksi.)
Käsittelijä sitoutuu tiedottamaan Rekisterinpitäjälle niistä teknisistä ja organisatorisista toimenpiteistä, jotka se toteuttaa turvatakseen Rekisterinpitäjän lukuun käsittelemänsä henkilötiedot. Mikäli Käsittelijä aikoo tehdä muutoksia, joilla voi olla vaikutusta henkilötietojen suojaukseen, Käsittelijän tulee tiedottaa Rekisterinpitäjää tästä etukäteen siten, että Rekisterinpitäjälle varataan tosiasiallinen mahdollisuus vastustaa em. muutoksia.
Käsittelijä ilmoittaa mahdollisesta tai tapahtuneesta Henkilötietojen tietoturvaloukkauksesta tai muusta Tietosuojalainsäädännön, TKS:n tai Rekisterinpitäjän ohjeiden vastaisesta käsittelystä Rekisterinpitäjälle viipymättä, kun se on saanut tiedon loukkauksesta. Käsittelijän tulee ilmoituksen antaa Rekisterinpitäjälle kaikki tarpeelliset tiedot kyseisestä häiriötilanteesta ja siihen liittyvistä toimenpiteistä, erityisesti:
(a) kuvaus henkilötietojen tietoturvaloukkauksen luonteesta, sisältäen tiedot sellaisten rekisteröityjen ja henkilörekisterien ryhmistä ja arvioiduista määristä, joihin loukkaus vaikuttaa, sekä muut Tietosuojalainsäädännön asettamat vaatimukset;
(b) tarpeelliset tiedot Rekisterinpitäjän lakisääteisten velvoitteiden ja sopimusvelvoitteiden täyttämisen kannalta. Nämä velvoitteet voivat perustua muun muassa Tietosuojalainsäädäntöön, kolmannen osapuolen kanssa tehtyihin sopimuksiin ja/tai valvontaviranomaisen tai tuomioistuimen antamaan pyyntöön, ohjeistukseen ja/tai päätökseen; ja
(c) tarpeelliset tiedot vastaavien henkilötietojen tietoturvaloukkausten ehkäisemiseksi sekä valvontaviranomaiselle, rekisteröidyille ja mahdollisille kolmansille osapuolille tehtävien ilmoitusten tekemiseksi.
Käsittelijän tulee sallia Rekisterinpitäjälle pääsy kaikkeen vaadittuun tietoon TKS:n mukaisten velvollisuuksien noudattamisen varmistamiseksi. Käsittelijän tulee sallia Rekisterinpitäjän, viranomaisen tai Rekisterinpitäjän valtuuttaman kolmannen osapuolen suorittamat auditoinnit, mukaan lukien tarkastukset, ja osallistua niihin. Mikäli auditoinnin suorittaa Rekisterinpitäjän valtuuttama kolmas osapuoli, tämä osapuoli ei saa olla Käsittelijän kilpailija ja sen tulee sitoutua salassapitovelvollisuuteen koskien Käsittelijän tietoja.
Käsittelijän tulee tiedottaa ja kuulla Rekisterinpitäjää välittömästi, mikäli valvontaviranomainen käynnistää tai toteuttaa minkään toimenpiteen Käsittelijää koskien Sopimuksen tai TKS:n alaiseen henkilötietojen käsittelyyn liittyen.
Käsittelijä ei saa käyttää alihankkijoita Rekisterinpitäjän TKS:n alaisen henkilötietojen käsittelyn suorittamiseksi, tai vaihtaa tällaista alihankkijaa, ilman Rekisterinpitäjän kirjallista ennakkolupaa.
Käsittelijän tulee rajoituksetta puolustaa Rekisterinpitäjää sellaiselta vahingolta, joka on seurausta Käsittelijän suorittamasta henkilötietojen käsittelystä vastoin TKS:sta tai Tietosuojalainsäädäntöä. Selvyyden vuoksi todetaan, että hallinnolliset sakot määrätään velvollisuuksiaan rikkoneelle Osapuolelle, eikä kumpikaan Osapuoli tämän johdosta vastaa toisen Osapuolen hallinnollisista sakoista.
Käsittelijälle suoritettavat korvaukset sisältävät korvauksen kaikista Käsittelijän TKS:n alaisista sitoumuksista. Näin ollen käsittelijällä ei ole oikeutta veloittaa Rekisterinpitäjää TKS:n mukaisten velvoitteiden täyttämisestä aiheutuvista kustannuksista.
Sopimusliitteeksi liitetty TKS on erottamaton osa Sopimusta. Mikäli Sopimuksen ehdot ja TKS:n ehdot ovat keskenään eriäviä tai muutoin ristiriidassa, sovelletaan TKS:ta.
TKS astuu voimaan sen allekirjoituksesta ja on voimassa sen ajan, kun Käsittelijä käsittelee henkilötietoja Rekisterinpitäjän lukuun.
Mikäli Käsittelijä rikkoo TKS:n tai Tietosuojalainsäädännön mukaisia velvollisuuksiaan eikä korjaa rikkomustaan kolmenkymmenen (30) päivän, tai Osapuolten erikseen sopiman määräajan sisällä siitä, kun Käsittelijä on tullut tietoiseksi rikkomuksesta, Rekisterinpitäjällä on oikeus irtisanoa Sopimus välittömästi tai ilmoittamallaan pidemmällä irtisanomisajalla.
Käsittelijän tulee Sopimuksen rauetessa tai päättyessä, Rekisterinpitäjän ohjeiden mukaan, joko poistaa tai palauttaa kaikki henkilötiedot ilman erillistä maksua Rekisterinpitäjälle, ja poistaa olemassa olevat jäljennökset, paitsi jos Euroopan unionin oikeudessa tai jäsenvaltion kansallisessa lainsäädännössä vaaditaan säilyttämään henkilötiedot. Käsittelijä sitoutuu pyytämään Rekisterinpitäjältä tarvittavat ohjeet aktiivisesti ja viivytyksettä.
11. Sovellettava laki ja riidanratkaisu
TKS:een sovelletaan Suomen lakia, lain valintaa koskevia säännöksiä lukuun ottamatta.
Erimielisyydet liittyen TKS:n tulkintaan ja soveltamiseen ratkaistaan Sopimuksen riidanratkaisua koskevien ehtojen mukaan.
Riidanratkaisua koskevien ehtojen puuttuessa Sopimuksesta sovelletaan tätä kohtaa: Sopimuksesta aiheutuvat riidat ratkaistaan lopullisesti välimiesmenettelyssä Lain välimiesmenettelystä (967/1992, tai sellaisena kuin se on muutettuna) mukaisesti.
Välimiesoikeus on yksijäseninen. Välimiesmenettelyn paikka on Helsinki, Suomi.
Välimiesmenettelyn kieli on suomi, mutta kirjelmät, todistelu sekä todistajien kuuleminen voidaan toimittaa joko suomeksi, ruotsiksi tai englanniksi. Salassapito koskee välimiesmenettelyprosessia sekä välitystuomiota.