PARTNERISOPIMUS 1. SOPIJAPUOLET
(V26.3.2018)
PARTNERISOPIMUS
1. SOPIJAPUOLET
Partnerin nimi: (”Partneri”) Y-tunnus:
Osoite:
Laskutusosoite:
Laskutusviite:
Suomen Tilaajavastuu Oy (”STV”) y-tunnus 2327327-1)
Xxxxxxxxxxxxxxxx 00 B
02600 Espoo
2. YHTEYSHENKILÖT
Partneri:
Kaupallinen yhteyshenkilö:
Tekninen yhteyshenkilö:
Tietosuoja- ja tietoturva-asioista vastaavat henkilö:
Partnerin asiakaspalvelun yhteystiedot ja palveluajat:
STV:
Kaupallinen yhteyshenkilö: Xxxxx-Xxxxxx X. Xxxxxxx, Partneriohjelmasta vastaava johtaja,
xxxxx-xxxxxx.xxxxxxx@xxxxxxxxxxxxx.xx
Tekninen yhteyshenkilö: Xxxx Xxxxxxx
Tietosuojavastaava: Xxxxx Xxxxx-Xxxxxx (3.4.2018 alkaen)
Tukipalvelut: xxxxxxxxx@xxxxxxxxxxxxx.xx
Kriittiset ongelmatilanteet: 0600 301 339 (arkisin ma-pe 8-16)
3. VALITTU PARTNERIOHJELMAN TASO
Sopimuksen allekirjoitushetkellä Partneri on mukana partneriohjelmassa seuraavalla tasolla:
☐ Technology Partner
(edellyttää Partnerin järjestelmän hyväksyttyä auditointia tilaajavastuuraporttien välityspalvelun vaatimuksia vastaan)
☐Technology Plus
(edellyttää selvitystä Partnerin tietosuojavelvoitteiden hoitamisesta (liite 2) ja Partnerin järjestelmän hyväksyttyä auditointia henkilötietoja käsittelevän järjestelmän vaatimuksia vastaan (liite 3))
☐ SignSpace Partner
(edellyttää selvitystä Partnerin tietosuojavelvoitteiden hoitamisesta (liite 2) ja Partnerin järjestelmän hyväksyttyä auditointia SignSpace-vaatimuksia vastaan ja SignSpace-partneruuden erityisehtojen hyväksymistä)
4. LIITTEET
Tähän sopimukseen kuuluu erottamattomana osana seuraavat liitteet:
1. Partneriohjelman sopimusehdot
2. Tietosuojavelvoitteet
3. Partnerin järjestelmälle ja laitteille asetetut vaatimukset
Jos sopimuksen ja sen liitteiden välillä on ristiriitoja, sopimusasiakirjoja tulkitaan seuraavassa järjestyksessä:
1. tämä sopimus
2. liitteet numerojärjestyksessä pienin numero ensin
5. ALLEKIRJOITUKSET
Tämä sopimus on tehty kahtena samanlaisena kappaleena, yksi kummallekin sopijapuolelle.
Paikka: Paikka:
Aika: Aika:
Partneri: Suomen Tilaajavastuu Oy
Xxxx Xxxxxx, toimitusjohtaja
LIITE 1 PARTNERIOHJELMAN SOPIMUSEHDOT
1. SOPIJAPUOLET
5. PARTNERIN VELVOLLISUUDET
(V26.3.2018)
Tämän partnerisopimuksen sopijapuolet ovat sopimuksessa nimetty y-tunnuksella yksilöity yritys tai yhteisö (myöhemmin ”Partneri”) ja
Suomen Tilaajavastuu Oy (y-tunnus 2327327-1) xxx.xxxxxxxxxxxxx.xx, Xxxxxxxxxxxxxxxx 00 X, 00000 Xxxxx (myöhemmin ”STV”).
2. SOPIMUKSEN TARKOITUS JA KOHDE
3. PARTNERIOHJELMAAN SISÄLTYVÄT PALVELUT
STV:n partneriohjelman kulloinkin voimassa oleva sisältö on kuvattu aina STV:n verkkosivuilla.
Vuosittaisia partneriohjelman maksuja vastaan Partneri saa kulloinkin voimassa olevan partneriohjelman mukaiset palvelut ja oikeuden tarjota tämän sopimuksen mukaisin ehdoin Partnerin loppuasiakkaalle rajapintayhteyden STV:n verkkopalveluihin (jäljempänä ”Palvelut”) käyttäen Partnerin tarjoamaa ja STV:n partneriohjelmaan hyväksymää laitetta ja/tai järjestelmää.
Partnerisopimus ei anna Partnerille mitään yksinoikeutta rajapintojen tai muiden partneriohjelman etujen käyttöön.
4. PARTNERIOHJELMAN TASOT
Partneri voi valita STV:n Partneriohjelmassa sellaiset STV:n kulloinkin tarjoamat partneriohjelman tasot, joiden vaatimukset Partneri ja sen tarjoamat laitteet tai järjestelmät täyttävät STV:n hyväksymällä tavalla. Partneriohjelman tasot määritellään ensimmäisen kerran partnerisopimuksen hyväksymisen yhteydessä ja sen jälkeen aina vuosittain tehtävän partneristatuksen vahvistuksen yhteydessä. Partneritason säilyttämisen edellytyksenä on, että Partner noudattaa kaikkia partnerisopimuksen ehtoja ja että sen tarjoamat järjestelmät ja laitteet pysyvät STV:n kulloinkin asettamien kirjallisten vaatimusten mukaisina. Allekirjoitushetkellä voimassaolevat vaatimukset on kuvattu sopimuksen liitteessä 3.
Partnerin tulee varmistaa, että Partneri ja sen loppuasiakkaat hakevat ja käyttävät STV:ltä rajapinnan kautta haettuja yritys- ja henkilötietoja vain laillisiin ja Palveluiden voimassaolevien käyttöehtojen ja tietosuojaselosteen mukaisiin käyttötarkoituksiin noudattaen kulloinkin voimassaolevaa henkilötietojen suojaa koskevaa lainsäädäntöä. Tämän vuoksi Partnerisopimuksen voimassaolon edellytyksenä on seuraavien velvoitteiden täyttäminen:
5.1 Partnerin omien tietosuojavelvoitteiden noudattaminen
Partneriohjelman eri tasoilla pääsyn edellytyksenä voi olla se, että Partneri osoittaa vuosittain noudattavansa Partneria koskevia tietosuoja- velvoitteita sopimuksen liitteessä 2 kuvatulla tavalla.
Partnerin tulee viipymättä ilmoittaa kirjallisesti STV:n tietosuojavastaavalle, jos se suunnittelee muuttavansa omia palveluitaan tai järjestelmiään siten, että Partneri muuttuu loppuasiakkaan puolesta toimivan henkilötietojen käsittelijän sijasta itsenäiseksi rekisterinpitäjäksi, joka hakee STV:ltä henkilötietoja Partnerin omiin käyttötarkoituksiin.
5.2 Loppuasiakkaiden kanssa tehtävät sopimukset
Kullakin Loppuasiakkailla tulee olla voimassa oleva sopimus STV:n kanssa kaikista niistä STV:n Palveluista, joita Loppuasiakas käyttää Partnerin tarjoamien laitteiden tai järjestelmien avulla rajapintaa käyttäen.
Partnerin tulee edellyttää omassa Loppuasiakkaan kanssa tekemässään palvelusopimuksessa, että Loppuasiakas käsittelee STV:ltä haettuja yritys- ja henkilötietoja vain laillisiin ja Palveluiden voimassaolevien käyttöehtojen ja tietosuojaselosteen mukaisiin käyttötarkoituksiin noudattaen kulloinkin voimassaolevaa henkilötietojen suojaa koskevaa lainsäädäntöä.
Partnerin tulee ilmoittaa ST:lle välittömästi havaitsemistaan mahdollisista STV:n Palveluiden väärinkäyttötilanteista.
5.3 Partneriyhteistyöstä vastaava yhteyshenkilöt
Partnerin tulee nimetä STV:lle partneriyhteistyöstä vastaava kaupallisen yhteyshenkilö sekä henkilö, joka on vastaa Partnerin organisaatiossa tietosuoja- ja tietoturva-asioista.
5.4 Luotettava Kumppani
Partneriohjelmassa mukana olon edellytyksenä on, että Partneri omalta osaltaan sitoutuu Tilaajavastuu-palveluiden yleiseen tavoitteeseen torjua harmaata taloutta, talousrikollisuutta ja edistää reilua kilpailua lakisääteiset velvoitteensa asianmukaisesti hoitavien yritysten kesken. Siksi Partnerin tulee ottaa käyttöönsä Luotettava Kumppani -palvelu ja säilyttää siinä koko ajan ”OK”- status. Vaihtoehtoisesti Partneri voi toimittaa STV:lle muulla tavalla ja vähintään kolmen kuukauden välein tilaajavastuulain 5 §:ssä tarkoitetun selvityksen.
Luotettava Kumppani -palvelun vuosimaksu ei sisälly partneriohjelman vuosimaksuun.
5.5 Vuosittainen yhteistyön arviointi ja jatkosopimuksen edellytysten tarkastus
Partnerin tulee uusia partnerisopimus vuosittain toukokuun loppuun mennessä, ensimmäisen kerran sopimuksen allekirjoitusvuotta seuraavan vuoden toukokuun loppuun mennessä. Sopimuksen uusimisen edellytyksenä on, että Partneri antaa STV:lle partneriohjelman valittujen tason edellyttymät ajantasaiset tiedot liitteiden 2-3 mukaisesti, vastaa STV:n esittämiin kohtuullisiin tarkentaviin kysymyksiin ja täyttää STV:n arvion mukaan partneriohjelman vaatimukset.
5.6 Partnerin järjestelmien ja/tai laitteiden auditointi
Partnerisopimuksen solmimisen edellytyksenä on, että Partnerin järjestelmä ja/tai laite läpäisee STV:n auditointitarkastuksen.
Partnerisopimuksen vuosittaisen uusimisen edellytyksenä on, että järjestelmä/laitteet pysyvät STV:n kulloinkin voimassaolevien auditointivaatimusten mukaisina ja uudet järjestelmäversiot/laitteet aina auditoidaan ennen version käyttöönottoa.
STV:llä on uusien versioiden auditoinnin lisäksi oikeus milloin tahansa auditoida Partnerin laitteiden, järjestelmien ja palveluiden sopimuksen
mukainen toiminta ilmoittamalla tästä Partnerille kirjallisesti vähintään 10 päivää etukäteen. Auditoinnin voi suorittaa joko STV:n oma asiantuntija tai riippumaton ulkopuolinen auditoija, joka ei ole Partnerin kilpailija ja on sitoutunut salassapitoon kirjallisella salassapitositoumuksella. Kumpikin sopijapuoli vastaa omista auditointikustannuksistaan.
5.7 Partnerin järjestelmien ja/tai laitteiden sertifiointi
Partneri voi lisämaksua vastaan pyytää STV:ltä Partnerin järjestelmän ja/tai laitteen sertifiointitarkastuksen, jossa järjestelmän tai laitteen vaatimustenmukaisuus tarkastetaan STV:n kulloinkin voimassa olevia sertifiointivaatimuksia vastaan. Jos järjestelmä tai laite täyttää sertifiointivaatimukset, STV listaa järjestelmän tai laitteen sertifioitujen järjestelmien ja laitteiden listallaan ja Partneri voi käyttää järjestelmän/laitteen markkinoinnissa STV:n antamaa sertifikaattia.
Sertifiointi on voimassa määritellun maksimiajan kullekin sertifiointitarkastuksen läpäisseelle järjestelmä ja/tai laiteversiolle ja vain niin kauan kuin se pysyy voimassaolevien sertifiointi- vaatimusten mukaisena.
6. TUKIPALVELUT
STV tarjoaa Partnerille kohtuullisessa määrin maksutonta tukea STV:n ja Partnerin palveluiden yhteentoimivuuteen liittyvissä ongelmatilanteissa. Partneri voi myös tilata maksullisia tukipalveluita.
Partnerin tulee tarjota omille asiakkailleen Partnerin järjestelmien, laitteiden ja palveluiden käyttäjätuki ja ohjeistaa asiakkaiden käyttäjät ottamaan yhteyttä ensin Partnerin asiakastukeen. Jos Partnerin arvion mukaan asiakkaan ilmoittama ongelma voi liittyä STV:n järjestelmiin tai STV:n välittämään dataan, Partnerin yhteyshenkilö voi pyytää sähköpostitse (xxxxxxxxx@xxxxxxxxxxxxx.xx) tukea STV:n asiakaspalvelusta. Kriittisissä ongelma- tilanteissa, joissa Palveluiden käyttö on keskeytyy kokonaan tai osittain, Partnerin on otettava yhteyttä puhelimitse STV:n asiakaspalveluun 0600 301 339.
Jos Partnerin asiakas ottaa yhteyttä suoraan STV:n asiakaspalveluun ja STV tunnistaa, että asiakas on Partnerin asiakas, eikä asiakkaan ilmoittama ongelmatilanne ole suoraan STV:n ratkaistavissa,
STV ilmoittaa tukipyynnöstä Partnerin asiakaspalveluun ja jatkaa tukipyynnön selvittämistä yhdessä Partnerin kanssa.
STV tarjoaa tukipalveluita arkisin ma - pe klo 8-16 välillä pois lukien suomalaiset arkipyhät ja muut yleiset vapaapäivät.
7. PARTNERIOHJELMAN MAKSUT
STV laskuttaa partneriohjelman vuosimaksut vuosittain etukäteen. ST ei palauta maksettuja vuosimaksuja tai muita ennakkomaksuja, jos Partneri irtisanoo partnerisopimuksen päättymään ennen maksetun kauden loppua.
Mahdolliset muut maksut ja kulut laskutetaan partneriohjelman kuvauksessa mainitulla tavalla tai STV:n kulloinkin voimassaolevan hinnaston mukaisesti. Maksuehto kaikille laskuille on 14 päivää laskun päivämäärästä. Viivästyskorko on korkolain mukainen.
Partneriohjelman vuosimaksut laskutetaan ensimmäisen kerran heti tämän sopimuksen allekirjoituksen jälkeen ja sen jälkeen vuosittain aina tammikuun aikana. Jos Partneri menettää partneriaseman kesken maksetun kauden muusta syystä kuin Partnerin sopimusrikkomuksen vuoksi, STV palauttaa Partnerille sen osan maksetusta vuosimaksusta, jonka ajalta Partneri ei enää ole partneriohjelmassa.
8. RAJAPINNAT
STV vahvistaa Partnerin järjestelmän ja STV:n Palveluiden välille tarjolla olevat sovellusrajapinnat (API:t) Partnerin laitteiden ja/tai järjestelmien ensiauditoinnin ja aina uuden version auditoinnin jälkeen.
Partneriohjelmaan vuosimaksuun sisältyy oikeus vain STV:n kulloinkin tarjoamien vakiomallisten rajapintojen käyttöön. Muiden kuin vakiomallisten rajapintojen käytöstä ja käyttömaksuista on sovittava kirjallisesti erikseen.
STV voi muuttaa tarjolla olevaa API:a tai korvata sen toisella. STV tulee informoida Partneria suunnitelluista API-muutoksista sähköpostitse etukäteen ja varata Partnerille kohtuullinen aika, kuitenkin aina vähintään 90 päivää, toteuttaa vaadittavat muutokset Partnerin järjestelmään ja/tai laitteisiin.
Partneri vastaa API-muutoksien edellyttämistä muutoksista ja niiden kustannuksista Partnerin omiin tietojärjestelmiin ja palveluihin.
9. IMMATERIAALIOIKEUDET
Tekijänoikeudet ja muut immateriaalioikeudet STV:n Palveluihin ja Palveluiden tuottamisessa käytettyihin tietokantoihin kuuluvat yksin STV:lle tai sen lisenssinantajille.
Tekijänoikeudet ja muut immateriaalioikeudet STV:n Palveluihin, Palveluiden tuottamisessa käytettyihin ohjelmistoihin ja tietokantoihin, palvelukuvauksiin, dokumentaatioon ja tavaramerkkeihin kuuluvat yksin STV:lle tai sen lisenssinantajille.
Partnerilla on oikeus käyttää markkinoinnissaan STV:n partneriohjelman tunnuksia ja muita tavaramerkkejä partneriohjelman kuvauksessa kulloinkin ohjeistetulla tavalla.
Partnerin loppuasiakkaan oikeudet käyttää STV:n Palveluista haettuja yritys- ja henkilötietoja on kuvattu STV Palveluiden käyttöehdoissa. Ellei kirjallisesti ole sovittu toisin, Partnerilla ei ole oikeutta käyttää STV:n Palveluita tai Palveluista haettuja yritys- ja henkilötietoja muihin tarkoituksiin kuin Partnerin loppuasiakkaille tarjottavan palvelun tuottamiseksi.
Partneri voi halutessaan antaa Palveluihin liittyvää palautetta ja parannus- ja kehitysehdotuksia STV:lle. STV voi hyödyntää harkintansa mukaan ja rajoituksetta Partnerin antamia parannus- ja kehitysehdotuksia. Kehitystyön lopputuloksien tekijänoikeudet ja muut immateriaalioikeudet kuuluvat aina yksin STV:lle riippumatta siitä missä määrin Partneri on osallistunut kehitystyöhön.
10. VASTUUT
10.1 STV tarjoaa Partnerille sopimuksen mukaiset API:t sellaisena kuin se on ilman mitään takuita rajapintojen toimivuudesta, käytettävyydestä, tietoja katkeamattomasta saatavuudesta rajapintojen kautta tai välitettyjen tietojen sisällön virheettömyydestä.
10.2 Kumpikaan sopijapuoli ei ole vastuussa välillisistä vahingoista. Välillisinä vahinkoina pidetään esimerkiksi saamatta jäänyttä voittoa tai vahinkoa, joka johtuu toiminnan tai palvelun keskeytymisestä. Sopimukseen perustuva sopijapuolen vahingonkorvausvelvollisuus toiselle
sopijapuolelle on rajattu summaan, joka vastaa Partnerin kuluvalta sopimuskaudelta maksamaa Partneriohjelman vuosimaksua ilman arvonlisäveroa.
10.3 Kohdan 10.2 mukainen vastuunrajoitus ei koske kohtiin 9 (Immateriaalioikeudet), 11 (Salassapito) ja 14. (Kilpailukielto) perustuvaa vastuuta tai vahinkoa, joka on aiheutettu tahallisesti tai törkeällä huolimattomuudella.
11. SALASSAPITO
Sopijapuolet sitoutuvat pitämään luottamuksellisina toisiltaan saamansa luottamukselliset tiedot ja aineistot ja olemaan käyttämättä toisen sopijapuolen luottamuksellisia tietoja muuhun kuin tämän sopimuksen mukaiseen tarkoitukseen sekä olemaan luovuttamatta luottamuksellisia tietoja kolmannelle ilman tiedot luovuttaneen sopijapuolen etukäteen antamaa kirjallista suostumusta. Salassapitovelvoite on voimassa sopimuksen päättymisen jälkeenkin siihen asti, kunnes tieto tulee yleiseen tietoon ilman sitä koskevan salassapitovelvoitteen rikkomista.
Sopijapuoli ei saa julkistaa partneriohjelman alla tehtyä yhteistyötä lehdistötiedotteella, omilla verkkosivuillaan tai muuten, ellei toinen sopijapuoli ole hyväksynyt julkaisun sisältöä kirjallisesti etukäteen.
12. TIETOTURVA
Kummankin sopijapuolen on omalta osaltaan huolehdittava, että sen vastuulla olevat tietojärjestelmät, laitteet, palvelinympäristöt, viestintäverkko, palvelutuotannon tilat ja toimitilat, joissa käsitellään STV:n välittämiä yritys- ja henkilötietoja on asianmukaisten tietoturvakäytäntöjen mukaisesti suojattu tietoturvariskejä vastaan ja että suojaukseen ja tiedonvarmistukseen liittyviä menettelyjä noudatetaan. Kumpikaan sopijapuoli ei vastaa yleisen viestintäverkon tietoturvasta tai siellä mahdollisesti ilmenevistä häiriöistä.
Sopijapuolella on velvollisuus ilmoittaa toiselle sopijapuolelle ilman aiheetonta viivytystä havaitsemistaan STV:n tai Partnerin palveluita tai niiden käyttöä vaarantavista merkittävistä tietoturvariskeistä, tietoturvaloukkauksista tai niiden epäilyistä. Sopijapuolen tulee osaltaan ryhtyä välittömästi toimenpiteisiin tietoturvaloukkauksen vaikutuksen poistamiseksi
tai pienentämiseksi. Sopijapuolella on velvollisuus myötävaikuttaa tietoturvaloukkausten tutkintaan.
Jos STV perustellusta syystä epäilee, että STV:n tarjoamassa API:ssa tai sitä käyttävässä tietojärjestelmässä voi olla kriittinen haavoittuvuus tai että STV:n API:n kautta välittämiin yritys- tai henkilötietoihin kohdistuu merkittävä tietoturvariski, STV voi keskeyttää olemassaolevan API:n tarjoamisen ilman ennakkoilmoitusta Partnerille ja ilman mitään velvollisuutta maksaa korvauksia rajapinnan käytön keskeyttämisestä, kunnes on joko todettu, että haavoittuvuutta tai merkittävää tietoturvariskiä ei ole tai että havaittu haavoittuvuus tai tietoturvariski on korjattu STV:n ja Partnerin yhdessä hyväksymällä tavalla. API:n tarjoamisen keskeytyksestä on ilmoitettava viipymättä Partnerin yhteyshenkilölle.
13. HENKILÖTIETOJEN KÄSITTELY
STV luovuttaa henkilötietoja Partnerin loppuasiakkaalle rekisteristä riippuen joko rekisterinpitäjän roolissa tai käsittelijän roolissa rekisterinpitäjänä toimivan STV:n asiakkaan lukuun ja puolesta.
Partneri on henkilötietojen käsittelijä, joka toimii rekisterinpitäjänä toimivan loppuasiakkaansa lukuun ja puolesta.
Sopijapuolten on noudatettava henkilötietojen käsittelyssään kulloinkin voimassaolevia lakeja. STV:n Partnerin loppuasiakkaalle välittämiä henkilötietoja saa käyttää vain laillisiin ja STV:n Palveluiden voimassaolevien käyttöehtojen ja tietosuojaselosteen mukaisiin käyttötarkoituksiin.
14. KILPAILUKIELTO
Partneri ei saa tämän sopimuksen voimassaoloaikana kehittää, myydä tai markkinoida STV:n yritystietopalveluiden kanssa suoraan kilpailevia tietopalveluita. Kilpailevana toimintana ei kuitenkaan pidetä loppuasiakkaille tarjottavia STV:n tarjoamaa täydentäviä palveluja, jotka toteutetaan ilman, että Partneri käyttää palvelun tuottamiseen kilpailevaa yritystietopalvelua.
15. LAITTEET, OHJELMISTOT JA YHTEYDET
Partneri vastaa itse palvelun käyttämisen edellyttämien laitteiden, ohjelmistojen ja verkkoyhteyksien hankkimisesta, toimivuudesta ja niiden aiheuttamista kustannuksista. Ne eivät saa
aiheuttaa häiriötä tai muuta haittaa palvelulle tai muille verkon käyttäjille.
16. YLIVOIMAINEN ESTE
Ylivoimainen este (force majeure) vapauttaa STV:n palveluun liittyvistä velvoitteista, mikäli se estää palveluun liittyvän suorituksen tai kohtuuttomasti haittaa sitä. Ylivoimaisena esteenä pidetään tulipaloa, maanjäristystä, tulvaa, räjähdystä, lakkoa tai muuta työnseisausta, viranomaisen määräystä, energian toimituksessa esiintyviä häiriötä, raaka- aine- tai tarvikepulaa, ulkopuolisen aiheuttamaa tai ulkopuolisesta johtuvaa kaapeli- tai muu tietoliikennehäiriötä tai muuta sen kaltaista syytä, joka ei ole ollut tiedossa ja johon ei ole kohtuudella voitu varautua ennalta.
STV ilmoittaa ylivoimaisesta esteestä palvelun sivuilla heti sen jälkeen, kun se on ilmennyt, mikäli ilmoittaminen on mahdollista.
17. SOPIMUSEHTOJEN MUUTTAMINEN
STV:llä on oikeus muuttaa näitä sopimusehtoja ilmoittamalla muutoksesta Partnerin ilmoittamaan sähköpostiosoitteeseen vähintään 30 päivää ennen muutoksen voimaantuloa.
18. SOPIMUKSEN SIIRTO
Partnerilla ei ole oikeutta siirtää tätä sopimusta kolmannelle ilman STV:n kirjallista suostumusta.
STV:llä on oikeus siirtää tämä sopimus sellaiselle kolmannelle osapuolelle, jolle STV samaan aikaan siirtää sopimuksen kattaman liiketoiminnan. Sopimuksen siirrosta on ilmoitettava kirjallisesti etukäteen Partnerille.
19. SOPIMUKSEN PURKU
Xxxxxxxxxxx voi purkaa tämän sopimuksen päättymään välittömästi kirjallisella ilmoituksella toiselle sopijapuolelle, jos tämä on olennaisesti rikkonut tämän sopimuksen ehtoja, eikä, jos sopimusrikkomus on korjattavissa, ole korjannut rikkomustaan 30 päivän sisällä kirjallisesta korjauskehotuksesta. Olennaisena sopimusrikkomuksena pidetään aina rajapinnan ja STV:n välittämien yritys- ja henkilötietojen käyttöä muuhun kuin tämän sopimuksen mukaiseen tarkoitukseen tai kohdan 14 mukaisen kilpailukiellon rikkomista.
20. VOIMASSAOLO
Tämä partnerisopimus on voimassa toistaiseksi siitä päivästä alkaen, kun ST on allekirjoittanut tai sähköisesti hyväksynyt Partnerin allekirjoittaman tai sähköisesti hyväksymän sopimuksen. Tämä partnerisopimus korvaa kaikki osapuolten väliset aiemmat sopimukset STV:n Partnerille tarjoaminen rajapintojen käytöstä.
Sopijapuoli voi milloin tahansa irtisanoa sopimuksen päättymään 90 päivän irtisanomisajalla. Jos Partneri päättää irtisanoa sopimuksen ennen jo maksetun kauden päättymistä, STV:llä ei ole velvollisuutta palauttaa vuosimaksua tai sen osaa.
STV voi lisäksi irtisanoa sopimuksen päättymään välittömin vaikutuksin seuraavissa tilanteissa:
(i) Partneri ei ole läpäissyt kohdan 5.6 mukaista vuositarkastusta 31.5. mennessä, eikä ole 14 päivän sisällä ST:n kirjallisesta vaatimuksesta esittänyt STV:lle hyväksyttävää vaihtoehtoista tapaa todentaa yritys- ja henkilötietojen tietoturvallinen ja voimassaolevien lakien ja Palvelun käyttöehtojen mukainen käsittely Partnerin palveluissa, laitteissa ja järjestelmissä;
(ii) Partneri on laiminlyönyt maksaa erääntyneet partneriohjelman vuosimaksut ja muut STV:n laskut STV:n lähettämän toisen maksumuistutuksen jälkeenkin; tai
(iii) Partneri on laiminlyönyt lakisääteiset velvoitteensa siten, että Partnerin status Luotettava Kumppani ohjelmassa ei ole enää ”OK”, eikä Partneri ole korjannut tilannetta 14 päivän sisällä STV:n kirjallisesta huomautuksesta.
Irtisanomisesta on ilmoitettava kirjallisesti, esimerkiksi sähköpostitse toiselle sopijapuolelle.
21. LAINVALINTA JA RIIDANRATKAISU
Tähän sopimukseen sovelletaan Suomen lakia. Sopijapuolet pyrkivät ratkaisemaan mahdolliset erimielisyydet ensisijaisesti keskinäisin neuvotteluin yhden kuukauden kuluessa. Mikäli tässä ei onnistuta, ratkaistaan riita välimies- menettelyssä Keskuskauppakamarin välityslauta- kunnan nopeutettua välimiesmenettelyä koskevien sääntöjen mukaisesti yhden välimiehen välimiesoikeudessa. Välimiesmenettelyn paikka on Helsinki ja välimiesmenettelyn kieli on suomi. Välimiesmenettelyssä todistusaineistoa voi esittää suomen ja/tai englannin kielellä.
(V26.3.2018)
LIITE 2 TIETOSUOJAVELVOITTEISTA HUOLEHTIMINEN
Ennen partnerisopimuksen solmimista ja vuosittain 31.5. mennessä Partnerin tulee osoittaa kykynsä huolehtia omista tietosuojavelvoitteistaan seuraavalla tavalla:
1. Partnerin toimittaa STV:lle kirjallisen selvityksen siitä, miten Partneri huolehtii tietosuojavelvoitteistaan. Selvitykseksi hyväksytään:
tietotilinpäätös vai vastaava selvitys
todistus, että Partneri noudattaa Partnerisopimuksen alaisessa toiminnassaan tietosuoja-asetuksen 40 artiklassa tarkoitettua hyväksyttyä käytännesääntöä, tai
todistus, että Partnerille on myönnetty tietosuoja-asetuksen 42 artiklan mukainen sertifiointi.
2. Partneri on vastannut tyydyttävällä tavalla STV:n esittämiin kirjallisiin kysymyksiin siitä, miten Partnerin järjestelmässä käsitellään STV:n palveluista haettuja henkilötietoja.
3. Partneri on nimennyt tietosuoja- ja tietoturva-asioista vastaavan yhteyshenkilön ja nimetyllä yhteyshenkilöllä on riittävä ymmärrys voimassaolevasta henkilötietojen suojaa koskevasta lainsäädännöstä, Partnerin järjestelmästä ja siitä missä tarkoituksissa henkilötietoja käsitellään Partnerin järjestelmässä.
4. Partnerin käyttämä järjestelmä- ja/tai laiteversio on läpäissyt liitteen 3 mukaiset vaatimukset STV:n tekemässä järjestelmä- ja/tai laiteauditoinnissa.
(V26.3.2018)
Liite 3 Vaatimukset partnerin järjestelmälle, johon haetaan henkilötietoja Suomen Tilaajavastuu Oy:n henkilötietovarastoista Versio 6.3.2018
1. Henkilö- ja työntekijätietoja käsittelevät järjestelmät
# | Kriteeri/kontrollitavoite | Vaatimus/kontrolli | Todentamiskeino(t) | Poikkeamat | Siirtymäaika |
1 | Henkilötietojen luovuttamiselle STV:n tietovarastosta Partnerin loppuasiakkaalle on laillinen peruste | Loppuasiakas ja loppuasiakkaan rooli(t) on tunnistettu. Loppuasiakkaan oikeus käsitellä henkilötietoja on varmistettu. Rajapintahaun yhteydessä loppuasiakas kertoo käsittelyperusteen. | Loppuasiakkaan tulee hyväksyä STV:n käyttöehdot ja siinä yhteydessä vahvistaa STV:lle, mikä on loppuasiakkaan peruste henkilötietojen käsittelylle (esim. loppuasiakas toimii säännöllisesti rakennustyömaan pääurakoitsijana/päätoteuttajana ja hakee tietoja tätä varten). Rajapintahaun yhteydessä loppuasiakas ilmoittaa asiakastunnisteensa ja työmaan/työkohteen tunnisteen (tai vastaavan palvelukohtaisen tunnisteen). | Ei sallita | Ei sallita |
2 | Käsittely henkilötietojen vastaanottajan päässä suoritetaan lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (lainmukaisuus, kohtuullisuus ja läpinäkyvyys) | Järjestelmän käyttöehdoissa on käyttö rajattu sallittuihin laillisiin käyttötarkoituksiin. Loppukäyttäjä pitää rekisteröityjen saatavilla tietosuojaselostetta tai rekisteriselostetta. | Auditoinnin yhteydessä tarkastetaan käyttöehdot. Järjestelmätoimittaja tarjoaa loppuasiakkailleen tietosuoja/rekisteriselosteen mallin. Auditoinnin yhteydessä tarkastetaan mallin olemassaolo ja sisällön yhteensopivuus STV:n rekisteriselosteiden kanssa. | ||
3 | Partnerin järjestelmässä henkilötietoja käsitellään | STV:ltä saatuja henkilö- ja yritystietoja saa käyttää vain | Tarkastetaan järjestelmäauditoinnin yhteydessä partnerin järjestelmän |
tavalla, joka on yhteensopiva STV:n tietosuojaselosteen ja käyttöehtojen kanssa – (käyttötarkoitussidonnaisuus) | STV:n listaamiin sallittuihin käyttötarkoituksiin. Partnerin järjestelmässä rajapintaoikeudet saa tarjota vain sellaiselle loppuasiakkaalle, joka täyttää STV:n asiakaskriteerit ja hyväksyy STV:n palveluiden käyttöehdot. | toiminnallisuudet ja järjestelmän käyttöehdot ja niiden yhteensopivuus sallittujen käyttötarkoitusten kanssa. On sovittu prosessi, miten partneri selvittää loppuasiakkaan taustat ja miten partnerin loppuasiakkaat hyväksyvät STV:n palveluiden sopimusehdot. | |||
4 | Partnerin järjestelmässä henkilötiedot ovat asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista käyttötarkoitukseen nähden (tietojen minimointi) | Partnerin järjestelmästä tehtävillä rajapintahauilla ei haeta tietoja, joille ei ole käyttötarvetta tai käyttöperustetta. | Tarkastetaan järjestelmäauditoinnin yhteydessä partnerin järjestelmän toiminnallisuudet, tiedon käyttötarkoitukset ja että STV:ltä haettava henkilötieto rajataan vain tarpeelliseen tietoon valitsemalla käyttötarkoitukseen sopiva rajapintahaku. | ||
5 | Käsiteltävien henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (täsmällisyys) | Partnerin ja loppuasiakkaan välillä sovittuna, miten epätarkat tai virheelliset tiedot korjataan ohjeistamalla työnantajayritys korjaamaan virheellliset tiedot myös STV:n Ilmoita-palveluun ja/tai Taitorekisteriin. Partnerin järjestelmässä on toteutettu STV:ltä haettujen tietojen päivitysmahdollisuus. Partnerin järjestelmässä on toteutettuna Valttikorttien sulkulistan (ja muiden vastaavien sulkulistojen) hyödyntäminen. | Tarkastetaan auditoinnin yhteydessä järjestelmän käyttöohjeet tai vastaava käyttäjäohjeistus. Tarkastetaan tietojen päivityshakujen toiminnallisuus. Tarkastetaan, että sulkulistat haetaan ja että esim. kulunvalvontajärjestelmässä on toiminnallisuus, joka tunnistaa sulkulistalla olevat Valttikortit. | ||
6 | Henkilötietoja säilytetään vain niin kauan kuin tarpeen | Henkilötietojen säilytysajoille on olemassa ohjeistus ja | Auditoinnin yhteydessä tarkastetaan säilytysaikaa koskevan ohjeistuksen | Rakennusalan ilmoitusvelvollisuude | Työmaarekisteritiet ojen massapoiston |
käyttötarkoitusta varten (säilytyksen rajoittaminen) | järjestelmässä on työkalut, joilla voidaan tunnistaa, milloin lakisääteinen vähimmäissäilytysaika on päättynyt ja poistaa sellaiset henkilötiedot, joiden käsittelylle ei ole enää muuta perustetta. | yhteensopivuus STV:n sallittujen käyttötarkoituksien listan kanssa. Auditoinnin yhteydessä tarkastetaan, että on toiminnallisuus, jolla poistetaan henkilötiedot joita ei enää tarvita. | n piiriin kuuluvat työmaakohtaiset henkilörekisterit: lakisääteinen minimisäilytysaika päättyy aikaisintaan 31.12.2020. | toiminnallisuus oltava olemassa 31.12.2020 mennessä. | |
7. | Henkilötietoja käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”). | Partnerilla tai sen järjestelmällä/palvelulla on ISO 27001 sertifiointi tai Partnerin järjestelmä täyttää alla olevat minimivaatimukset | Auditoinnin yhteydessä tarkastetaan ISO 27001 sertifioinnin voimassaolo tai tarkastetaan kohtien 7.1-7.6 täyttäminen. | ||
7.1 | Käyttäjän tunnistaminen | Järjestelmän käyttäjä (loppuasiakasyritys ja käyttäjä) tulee tunnistaa vähintään käyttäjätunnuksella ja (vahvalla) salasanalla. Järjestelmässä ei saa olla jaettuja käyttäjätunnuksia. Ylläpito-oikeudet toteutettu siten, että ylläpitotehtävän suorittaja tunnistetaan | Käyttäjän tunnistaminen ja salasanakäytännöt tarkastetaan auditoinnin yhteydessä. | ||
7.2 | Käyttövaltuushallinta | Järjestelmä mahdollistaa käyttöoikeuksien rajaamisen käyttäjäryhmittäin ja käyttäjän | Tarkastetaan järjestelmän auditoinnin yhteydessä. |
työtehtävien perusteella esimerkiksi siten, että työnjohtaja-roolissa on pääsy vain oman työmaan tietoihin. Pääkäyttäjä tai ylläpito-oikeuksia annetaan ja käytetään vain poikkeustilanteiden ratkaisemiseen ja ylläpitotehtävien suorittamiseen. Pääkäyttäjällä/ylläpitäjällä on oikeus päästä vain oman organisaationsa tietoihin. Koko järjestelmän palveluntuottajalla on oikeus tarkistaa virhetilanteissa sen organisaation tietoja, jolle palveluntuottaja tarjoaa palveluita. | |||||
7.3 | Lokitiedot | Järjestelmä pitää riittävän yksityiskohtaista käyttölokia henkilötietojen hakemisesta, käsittelystä ja luovuttamisesta edelleen, jotta Partnerin loppuasiakas voi tietojen pohjalta vastata rekisteröidyn tietopyyntöihin. Pääkäyttäjän/ylläpitäjän toimenpiteet lokitetaan. | Tarkistetaan järjestelmäauditoinnin yhteydessä |
Lokitietoja säilytetään vähintään 2 vuotta. Xxxxx on pystyttävä hakemaan saataville säännöllistä seurantaa ja valvontaa varten (esim. tarkistus, onko sellaisten henkilöiden henkilötietoja haettu, joita ei ole raportoitu Verohallinnon työntekijäraportille). | |||||
7.4 | Istunnon aikakatkaisu | Partnerin järjestelmässä on toteutettu istunnon automaattinen aikakatkaisu. | Tarkistetaan järjestelmäauditoinnin yhteydessä | ||
7.5 | Tiedonsiirron salaus | (Henkilö)tietojen siirto laitteiden ja Partnerin järjestelmän välillä ja käytetyissä rajapintahauissa on suojattu asianmukaisesti huomioiden kulloinkin käytössä olevan teknologia. | Tarkistetaan järjestelmäauditoinnin yhteydessä (mm. sertifikaattien voimassaolo) | ||
7.6 | STV:n APIen käyttö | Partnerijärjestelmä käyttää rajapintoja STV:n rajapintaohjeistuksen mukaisesti ja huomioiden mm. vaatimukset henkilötietojen käsittelyn käyttötarkoitussidonnaisuudesta ja tietojen minimoinnista. | Tarkistetaan järjestelmäauditoinnin yhteydessä ohjeistuksen mukainen toiminta. | ||
7.6 | Sovellusturvallisuus ja privacy by design | Selvitys, miten tietoturvauhat ja - riskit on tunnistettu ja huomioitu sovelluskehityksessä | Järjestelmäauditoinnin yhteydessä haastatellaan järjestelmäarkkitehtia ja/tai perehdytään järjestelmädokumentaatioon ja toimittajan laatu- ja tietoturvaprosesseihin. Tarkastetaan järjestelmän tietoturvan testaus- ja auditointiraportit. |
7.6 | Poikkeavan toiminnan monitorointi | Järjestelmässä tulee olla menettely, jolla luvaton käyttö ja luvattomat käyttöyritykset voidaan havaita. | Järjestelmäauditoinnin yhteydessä selvitetään millaisia poikkeavan toiminnan monitorointeja toteutettu, millaisia havaintoja tehty ja millaisia kehitysajatuksia. |
2. Tilaajavastuuraporttien haku rajapinnan kautta (sisältää kohdeyrityksen johtavassa asemassa olevien henkilöiden henkilötietoja)
# | Kriteeri/kontrollitavoite | Vaatimus/kontrolli | Todentamiskeino(t) | Poikkeamat | Siirtymäaika |
1. | Partneri ei saa muodostaa omaa itsenäistä rekisteriä tilaajavastuuraporteista | Rajapinnan yli ei haeta koko tilaajavastuuraporttimassaa. | Tarkastetaan järjestelmän auditoinnin yhteydessä | ||
2. | Partnerin järjestelmästä ei saa hakea takautuvasti toisen käyttäjäyrityksen hakemia vanhoja tilaajavastuuraportteja (järjestelmän luottettavuus) | Kukin käyttäjäyritys hakee tilaajavastuuraportit vain omaa käyttöään varten ja pääsee vain itse hakemiinsa tilaajavastuuraportteihin. | Tarkastetaan järjestelmän auditoinnin yhteydessä | ||
3. | Partnerin loppuasiakkaalla on laillinen käyttötarkoitus raportille | Käyttäjäyritys on aina tunnistettu. Käyttäjäyrityksen tekemät raporttihaut tallennetaan. Lokitiedot säilytetään vähintään 2 vuotta. Käyttäjäyritys ja sen käyttäjät sijaitsevat Euroopan talousalueella ja käyttävät tilaajavastuuraportteja vain laillisiin käyttötarkoituksiin. Jos käyttäjäyritys sijaitsee Euroopan talousalueen ulkopuolella, Partnerin tulee varmistaa, että | Tarkastetaan järjestelmän auditoinnin yhteydessä järjestelmän toiminta ja käyttöehdot. |
käyttäjäyrityksellä on sellaista liiketoimintaa Euroopan talousalueella, että käyttäjäyrityksellä on lailliset käyttöperusteet tiedolle (esim. toimii Suomessa tilaajavastuulaissa tarkoitettuna tilaajana). |
3. STV:ltä haetun kuvan tai muun tiedon käyttö biometrisenä tunnisteena ja muu erityisiin henkilötietoryhmiin kuluvan tiedon käsittely
# | Kriteeri/kontrollitavoite | Vaatimus/kontrolli | Todentamiskeino(t) | Poikkeamat | Siirtymäaika |
1. | Biometrisen tunnisteen tai muun erityisiin henkilötietoryhmiin kuuluvan tiedon käsittelyn laillisuus on varmistettu | STV:ta saatua kuvaa ei saa käyttää biometrisenä tunnisteena ilman, että käsittelyn lainmukaisuus varmistettu. | Selvitys, milloin käytölle on suoraan lakiin perustuva syy ja milloin käyttö perustuu rekisteröidyn suostumukseen. Selvitys, miten suostumukset haetaan. | ||
2. | Rekisterinpitäjä (Partnerin asiakas) ja käsittelijä (Partneri) ovat toteuttaneet asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi | Rekisterinpitäjän ja käsittelijän toimittava tietosuoja-asetuksen 9 artiklan ja tietosuojalain 6 §:n mukaisesti | Selvitys, miten asianmukaiset ja erityiset toimenpiteet suoritettu: 1) toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty; 2) toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista; 3) tietosuojavastaavan nimittäminen; 4) rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin; 5) henkilötietojen pseudonymisointi; 6) henkilötietojen salaaminen; |
7) toimenpiteet, joilla käsittelyjärjestelmien ja henkilötietojen käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan, mukaan lukien kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; 8) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi; 9) erityiset menettelysäännöt, joilla varmistetaan tietosuoja-asetuksen ja tämän lain noudattaminen siirrettäessä henkilötietoja tai käsiteltäessä henkilötietoja muuhun tarkoitukseen; 10) tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskevan vaikutustenarvioinnin laatiminen; 11) muut tekniset, menettelylliset ja organisatoriset toimenpiteet. |