TIETOSUOJASOPIMUS
TIETOSUOJASOPIMUS
Sopimus henkilötietojen käsittelystä
1. Yleistä
1.1. Tämä sopimus henkilötietojen käsittelystä, jäljempänä ”Tietosuojasopimus”, on osa sopimusta,
jäljempänä ”Pääsopimus”, jonka tilaaja on tehnyt palveluntuottajan kanssa.
1.2. Tässä tietosuojasopimuksessa määritellään tilaajaa ja palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti palveluntuottaja tilaajan toimeksiannosta käsittelee henkilötietoja tilaajan puolesta ja lukuun pääsopimuksessa olevien sopimusehtojen lisäksi. Tietosuojasopimuksessa kuvatuista palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.
1.3. Palveluntuottaja noudattaa voimassa olevan tietosuojalainsäädännön edellyttämiä menettelytapoja ja henkilötietojen käsittelyä ja suojaamista koskevia säännöksiä. Palveluntuottaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön, pääsopimuksen ja tämän tietosuojasopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.
1.4. Tämän tietosuojasopimuksen tavoitteena on varmistaa pääsopimuksella hankittavien tuotteiden ja palveluiden elinkaaren kattava tietoturvallisuus, palveluntuottajan ja tilaajan toiminnan vaatimustenmukaisuus ja palvelutuotannon jatkuvuus erilaisissa häiriötilanteissa. Tavoitteena on lisäksi varmistaa tilaajan aineiston luottamuksellisuus, eheys ja saatavuus pääsopimuksen mukaisessa palvelutuotannossa.
1.5. Tässä tietosuojasopimuksessa sovitaan turvallisuusjärjestelyistä, salassapidosta, tietosuojasta ja muusta tietoturvallisuudesta palveluiden tuottamisessa sekä kaikessa pääsopimukseen liittyvässä tilaajan ja palveluntuottajan välisessä yhteistyössä. Tämän tietosuojasopimuksen tarkoituksena on täydentää pääsopimuksen ehtoja.
1.6. Tämän tietosuojasopimuksen, pääsopimuksen ja sen muiden liitteiden soveltamisjärjestys määräytyy pääsopimuksen ehtojen mukaisesti. Pääsopimuksessa sovittuja vahingonkorvauksen vastuunrajoituksia ei kuitenkaan sovelleta tämän tietosuojasopimuksen perusteella syntyvään vahingonkorvausvastuuseen, vaan vastuunrajoitukset määräytyvät aina tämän tietosuojasopimuksen mukaisesti. Edellä mainittua noudatetaan myös palveluntuottajan alihankkijan osalta.
1.7. Viittaus ”tähän tietosuojasopimukseen ” tarkoittaa aina myös viittausta tämän tietosuojasopimuksen liiteasiakirjoihin esim. käsittelytoimien kuvaukseen ja henkilötietojen käsittelyä koskevaan ohjeeseen, ellei nimenomaisesti toisin ole todettu. Mikäli tietosuojasopimuksen liiteasiakirjat ovat ristiriidassa tietosuojasopimuksen ehtojen kanssa, noudatetaan ensisijaisesti tietosuojasopimuksen ehtoja.
2. Osapuolten roolit henkilötietojen käsittelyssä
2.1. Käsiteltäessä henkilötietoja tilaaja on rekisterinpitäjä ja palveluntuottaja on henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista tilaaja vastaa.
Palveluntuottaja sitoutuu noudattamaan, tietosuojasopimuksessa, käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.
2.3. Jos kohdan 2.2 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä palveluntuottajan kanssa.
3. Palveluntuottajan yleiset velvollisuudet
3.1. Palveluntuottaja käsittelee henkilötietoja tietosuojasopimuksen, pääsopimuksen ja tilaajan antamien kirjallisten henkilötietojen käsittelyä koskevien ohjeiden mukaisesti. Ryhmittymän ollessa käsittelijänä tämän tietosuojasopimuksen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
3.2. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että tilaajan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.
3.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä pääsopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin pääsopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa ja pääsopimuksen tai siihen liittyvän asiakaskohtaisen sopimuksen voimassaoloajan.
3.4. Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön tilaajan henkilötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot tilaajalle.
3.5. Palveluntuottaja saattaa tilaajan saataville tämän pyynnöstä kaikki tiedot, jotka tilaaja tarvitsee rekisterinpitäjälle ja palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla tilaajan vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Palveluntuottaja tekee nämä tehtävät sopimuksen mukaisilla hinnoilla, ellei toisin erikseen kirjallisesti sovita.
3.6. Palveluntuottaja ilmoittaa tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Palveluntuottaja avustaa tilaajaa, jotta tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää palveluntuottajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Tämän kohdan mukaiset käsittelijän velvoitteet sisältyvät pääsopimuksen mukaisten palveluiden hintoihin eikä niistä suoriteta eri korvausta.
3.7. Palveluntuottaja on velvollinen ilmoittamaan tilaajalle, jos tämän tietosuojasopimuksen kannalta keskeisissä toiminnoissa tai pääsopimukseen liittyvissä riskeissä tapahtuu muutoksia.
3.8. Ellei toisin sovita, palveluntuottaja on velvollinen ylläpitämään luetteloa rekisteröityjen henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista. Luettelo on luovutettava pyydettäessä tilaajalle.
4. Tarkastukset
4.1. Tilaajalla tai tilaajalta toimeksi saaneella riippumattomalla kolmannella taholla, on oikeus tarkastaa etukäteen ilmoitettuna ajankohtana palveluntuottajan turvallisuusjärjestelyt tätä tietosuojasopimusta sekä pääsopimusta koskevilta osin.
4.2. Sopijapuolet pyrkivät myötävaikuttamaan tarkastuksen suorittamiseen siten, ettei tarkastustoimenpiteistä aiheudu kohtuutonta haittaa palveluntuottajalle. Tilaaja tai sopijapuolet yhdessä laativat tarkastusta koskevan tarkastussuunnitelman, jonka sopijapuolet katselmoivat. Tarkastukset eivät saa vaarantaa palveluntuottajan tietoturvallisuutta tai salassapitovelvoitteita muita asiakkaita kohtaan enempää kuin mikä on välttämätöntä tarkastuksen tarkoituksen
toteuttamiseksi tämän tietosuojasopimuksen ja pääsopimuksen vaatimustenmukaisuuden selvittämiseksi.
4.3. Ellei turvallisuusselvityslaista (726/2014) tai auditointilaista (1406/2011) muuta johdu tai elleivät sopijapuolet ole toisin sopineet, tilaaja vastaa tarkastusten ja arviointien ja todistuksen antamisesta aiheutuvista maksuista, kuten tarkastajan työkustannuksesta. Palveluntuottaja vastaa kaikista niistä kuluista ja kustannuksista, joita sille tai sen alihankkijalle aiheutuu tarkastuksiin käytetystä työajasta, havaittujen puutteiden korjaamisesta ja kuluista, jotka aiheutuvat palvelun saattamiseksi sovittujen vaatimusten mukaisiksi.
4.4. Jos tarkastuksessa havaitaan, ettei palveluntuottajan toiminta täytä sovittuja vaatimuksia, palveluntuottaja laatii viipymättä aikataulutetun suunnitelman tilanteen korjaamiseksi ilman eri veloitusta. Ellei sopijapuolten hyväksymästä suunnitelmasta muuta johdu, palveluntuottajan tulee korjata tarkastuksessa havaitut puutteet viivytyksettä tilaajan kirjallisesta ilmoituksesta. Olennaiset puutteet, jotka muodostavat ilmeisen uhan tietoturvallisuudelle, on korjattava heti tai tilaajan asettamassa aikataulussa. Tilaaja ei vastaa edellä mainituista korjauksista aiheutuvista kuluista ja kustannuksista.
4.5. Mikäli tarkastuksessa havaitaan, ettei palveluntuottajan toiminta täytä sovittuja vaatimuksia ja tilaaja edellyttää virheen korjaamisen todentamiseksi uusintatarkastusta, palveluntuottaja korvaa tilaajalle uusintatarkastuksesta aiheutuneet kustannukset.
4.6. Tilaajalla on oikeus luovuttaa muille viranomaisille tieto siitä, että tämän luvun mukainen tarkastus on suoritettu ja tieto siitä, ovatko palveluntuottajan turvallisuusjärjestelyt todettu vaatimusten mukaisiksi.
4.7. Jos tarkastusvaatimuksen esittää tilaajalle sellainen kolmas osapuoli, jolla on lainsäädäntöön perustuva oikeus tarkastaa tilaajan toimintaa ja tietojärjestelmiä palveluiden piiriin kuuluvilta osin, palveluntuottajan on järjestettävä tarkastusmahdollisuus.
5. Xxxxxxxx xxxxxx
5.1. Palveluntuottaja noudattaa tilaajan henkilötietojen käsittelyssä pääsopimuksessa ja tässä tietosuojasopimuksessa sovittuja ehtoja sekä tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä tilaajalle, jos tilaajan antamat ohjeet ovat puutteellisia tai jos palveluntuottaja epäilee niitä lainvastaisiksi.
5.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Nämä ohjeet voivat olla henkilötietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia tai täydennyksiä. Palveluntuottaja tekee tarvittavat muutostyöt tilaajan ohjeen mukaisesti. Jos muutokset aiheuttavat palveluntuottajalle olennaisia muutostöitä (enemmän kuin yksi henkilötyöpäivä) lisäkustannuksista sovitaan erikseen pääsopimuksen hintoihin perustuen. Palveluntuottaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan tarkistettuja ohjeita.
5.3. Jos tietosuojalainsäädäntöön tai sen tulkintaan tulee muutoksia, jotka vaikuttavat tilaajan asemaan tai velvollisuuksiin tai tässä tietosuojasopimuksessa määriteltyihin velvollisuuksiin tai vastuisiin, tätä tietosuojasopimusta voidaan tarkistaa. Jos tietosuojasopimukseen tehdään muutoksia, joista aiheutuu palveluntuottajalle olennaisia lisäkustannuksia (enemmän kuin 1 henkilötyöpäivä) niiden korvaamisesta voidaan sopia erikseen pääsopimuksen hintoihin perustuen. Palveluntuottaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan tarkistettua tietosuojasopimusta.
5.4. Tähän tietosuojasopimukseen tehtävät muutokset tulee tehdä kirjallisesti ja molempien sopijapuolten vahvistaa allekirjoituksellaan.
6. Henkilöstö ja salassapito
6.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä tilaajan henkilötietoja, ovat sitoutuneet noudattamaan pääsopimuksessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.
6.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan pääsopimuksen, tämän tietosuojasopimuksen ehtojen ja tilaajan ohjeiden mukaisesti.
6.3. Palveluntuottaja sitoutuu pitämään salassa pidettävän tiedon salassa ja käsittelemään sitä tämän tietosuojasopimuksen ja pääsopimuksen vaatimusten mukaisesti.
6.4. Palveluntuottaja saa luovuttaa tilaajan aineistoa vain niille henkilöille, jotka tarvitsevat tietoja palvelun tuottamiseen liittyvissä työtehtävissään ja joilla on tämän sopimuksen mukainen salassa pidettävien tietojen käsittelyoikeus. Tilaajan aineistoa ei saa oikeudetta näyttää eikä luovuttaa sivulliselle eikä antaa sitä oikeudetta teknisen käyttöyhteyden avulla tai muulla tavalla sivullisen nähtäväksi tai käytettäväksi.
6.5 Palveluntuottajan toimitilojen tulee olla asianmukaisesti suojattu ulkopuolisilta. Palveluntuottajan on lukituksella ja muilla tarpeellisilla toimenpiteillä estettävä luvaton pääsy toimitiloihin ja siellä olevaan salassa pidettävään tietoon. Tarpeettomat tiedostot ja tulosteet tulee tuhota tietoturvallisesti.
7. Alihankkijat, jotka käsittelevät henkilötietoja
7.1. Siltä osin kuin palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan pääsopimuksen lisäksi tässä tietosuojasopimuksessa kuvattuja ehtoja.
7.2. Jos palveluntuottajan alihankkija käsittelee tilaajan henkilötietoja, alihankkijan käyttäminen edellyttää tilaajan ennakkoon kirjallisesti antamaa lupaa.
7.3. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan pääsopimuksessa palveluntuottajalle asetettuja velvoitteita sekä tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottajan tulee huolehtia sopimusjärjestelyin myös siitä, että tilaajalla on mahdollisuus tarkastaa palveluntuottajan alihankkijan turvallisuusjärjestelyt.
7.4. Palveluntuottaja vastaa siitä, että sen tai sen alihankkijan palvelun tuottamiseen osallistuvat henkilöt allekirjoittavat vaitiolositoumuksen ennen kuin heille myönnetään oikeus käsitellä salassa pidettäviä tietoja.
7.5. Palveluntuottajan tulee huolehtia siitä, että se pystyy noudattamaan tätä tietosuojasopimusta myös käyttäessään alihankkijoita. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan ja siitä, että alihankkijat toimivat pääsopimuksen ja tämän tietosuojasopimuksen mukaisesti ja noudattavat henkilötietojen käsittelijälle asetettuja velvoitteita. Mikäli alihankkija ei noudata velvoitteitaan, palveluntuottaja on täysimääräisesti vastuussa suhteessa tilaajaan. Jos tilaaja perustellusti katsoo, että palveluntuottajan alihankkija ei täytä tietosuojavelvoitteitaan, tilaajalla on oikeus vaatia palveluntuottajaa vaihtamaan alihankkija.
7.6. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee tilaajan henkilötietoja tietosuojalainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa.
7.7. Palveluntuottajan on tiedotettava alihankkijalleen, että turvallisuusjärjestelyjen saattamisesta pääsopimuksen ja tämän tietosuojasopimuksen edellyttämälle tasolle saattaa syntyä kustannuksia. Tilaaja ei vastaa näistä kustannuksista.
8. Palvelun paikka
8.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, palveluntuottajalla on oikeus käsitellä tilaajan henkilötietoja ainoastaan Euroopan talousalueella. Mitä pääsopimuksessa ja tässä tietosuojasopimuksessa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
8.2. Jos sopijapuolet sopivat, että palveluntuottajaa saa siirtää tilaajan henkilötietoja Euroopan talousalueen ulkopuolelle, sopijapuolet huolehtivat siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukaisesti.
9. Tietoturvaloukkaukset
9.1. Palveluntuottajan on ilmoitettava tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi palveluntuottaja sitoutuu ilmoittamaan tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
9.2. Palveluntuottajan on annettava tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:
a) tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
b) tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;
c) kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
d) kuvaus toimenpiteistä, joita palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
9.3. Henkilötietojen tietoturvaloukkauksen havaittuaan palveluntuottaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.
10. Sopimussakko ja vahingonkorvaus
10.1. Tilaajalla on oikeus saada palveluntuottajalta sopimussakkoa, jos tilaaja osoittaa palveluntuottajan rikkoneen tai laiminlyöneen tässä tietosuojasopimuksessa mainittuja velvoitteita. Tilaajalla on oikeus sopimussakkoon ilman velvollisuutta näyttää toteen sille rikkomuksesta aiheutunutta vahinkoa. Tilaaja voi pidättää sopimussakon palveluntuottajalle suoritettavista pääsopimuksen mukaisista korvauksista.
10.2. Sopimussakon määrä jokaista salassapitovelvoitteen rikkomusta tai laiminlyöntiä kohden on suurin seuraavista: (i) 10.000 euroa tai (ii) 1,5 % pääsopimuksen tai siihen liittyvän sopimuksen toimituksen arvosta tai (iii) 1,5 % pääsopimuksen tai siihen liittyvän sopimuksen toistuvaismaksujen laskennallisesta 12 kuukauden hinnasta. Sopimussakkoon oikeuttava salassapitovelvoitteen rikkominen tai laiminlyönti voi perustua ainoastaan tietosuojasopimuksen ehtoihin ja/tai allekirjoitettuun vaitiolositoumukseen.
10.3. Muissa tietoturvaa tai tietosuojaa koskevissa rikkomus- ja laiminlyöntitilanteissa sopimussakon määrä jokaista rikkomusta kohden on 10.000 euroa. Tilaajalla ei ole oikeutta saada sopimussakkoa, jos palveluntuottaja korjaa turvallisuusvelvoitteen rikkomuksen tai laiminlyönnin 14 vuorokauden kuluessa tai muuna sovittuna aikana siitä, kun se on havainnut rikkomuksen tai laiminlyönnin. Oikeus sopimussakkoon kuitenkin säilyy, jos rikkomuksesta tai laiminlyönnistä on aiheutunut tilaajalle vahinkoa tai muita ylimääräisiä kustannuksia taikka palveluntuottaja on aiemmin syyllistynyt vastaavaan rikkomukseen tai laiminlyöntiin.
10.4. Ennen sopimussakon perimistä tilaajan tulee ilmoittaa palveluntuottajalle kirjallisesti tietosuojasopimuksen rikkomuksesta tai laiminlyönnistä. Sopimussakko ei rajoita tilaajan oikeutta saada palveluntuottajalta vahingonkorvausta siltä osin kuin rikkomuksesta tilaajalle aiheutunut vahinko ylittää sopimussakon määrän.
10.5. Jos toimittaja samalla teolla yhtä aikaa rikkoo useita tämän tietosuojasopimuksen velvoitteita, katsotaan se kuitenkin vain yhdeksi sopimussakkoon oikeuttavaksi rikkomukseksi.
10.6. Sopijapuolella on oikeus saada vahingonkorvausta toisen sopijapuolen tietosuojasopimukseen perustuvasta sopimusrikkomuksesta aiheutuneesta välittömästä vahingosta. Näiden ehtojen
mukaiset vahingonkorvausvelvollisuuden rajoitukset eivät koske tapausta, jossa sopijapuoli on aiheuttanut vahingon tahallisesti tai törkeällä huolimattomuudella.
10.7. Jos palveluntuottajalla on velvollisuus suorittaa sopimussakkoa tai hyvitystä pääsopimuksen tai tämän tietosuojasopimuksen mukaisesti, palveluntuottajalla on velvollisuus suorittaa lisäksi vahingonkorvausta siltä osin kuin vahingon määrä ylittää sopimussakot tai hyvitykset.
10.8. Jos tilaaja on maksanut rekisteröidylle korvauksen tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, tilaajalla on oikeus sovittujen vastuunrajoitusten rajoittamatta periä samaan tietojenkäsittelyyn osallistuneelta toiselta sopijapuolelta tämän vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Sopijapuolen vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan.
11. Tietosuojasopimuksen voimassaolo ja henkilötietojen käsittelyn päättyminen
11.1. Tämä tietosuojasopimus on voimassa niin kauan kuin tilaajan ja palveluntuottajan välinen pääsopimus on voimassa. Tämä tietosuojasopimus tulee voimaan, kun kumpikin sopijapuoli on allekirjoittanut pääsopimuksen. Tämän tietosuojasopimuksen ja pääsopimuksen mukainen salassapitovelvollisuus sanktioineen on voimassa myös sen jälkeen, kun pääsopimus on päättynyt.
11.2. Pääsopimuksen voimassaoloaikana palveluntuottaja ei saa poistaa tilaajan lukuun käsittelemiään henkilötietoja ilman tilaajan nimenomaista pyyntöä.
11.3. Pääsopimuksen päättyessä tai purkautuessa palveluntuottaja palauttaa tilaajalle kaikki tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että palveluntuottaja säilyttää henkilötiedot.
11.4. Käsittelijän on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, että ne voidaan automaattisesti irrottaa järjestelmästä siirrettäväksi toiseen järjestelmään, silloin kun se on teknisesti mahdollista.
12. Sovellettava laki ja erimielisyyksien ratkaiseminen
12.1. Tähän tietosuojasopimukseen sovelletaan Suomen lakia, lukuun ottamatta sen kansainvälistä lainvalintaa koskevia säännöksiä. Tästä tietosuojasopimuksesta aiheutuvat erimielisyydet pyritään ensisijaisesti ratkaisemaan sopijapuolten välisin neuvotteluin. Mikäli sopijapuolet eivät pääse sovinnolliseen ratkaisuun, erimielisyydet jätetään ratkaistavaksi tilaajan kotipaikan käräjäoikeuteen tai pääsopimuksessa sovittuun oikeuspaikkaan.
Liitteet
Henkilötietojen käsittelyohje