HENKILÖTIETOJEN KÄSITTELYSOPIMUS

HENKILÖTIETOJEN KÄSITTELYSOPIMUS

1 Johdanto

Tätä henkilötietojen käsittelysopimusta (”Sopimus”) sovelletaan DEFA Oy:n jälleenmyyjän (”Toimittaja”) DEFA Oy:lle (”Asiakas”) kulloisenakin ajankohtana toimittamiin henkilötietoihin, jotka Toimittaja kerää Asiakkaan puolesta ja lukuun myydessään omille asiakkailleen Asiakkaan tuottamaa sähköautojen latausasemaa (”Toimittajan palvelu”).

Tämän Sopimuksen tarkoituksena on sopia Asiakkaan Henkilötietojen tietosuojasta ja tietoturvasta Toimittajan palvelussa. Tämä Sopimus muodostaa osapuolten välille EU:n yleisen tietosuoja-asetuksen (2016/679), ”Tietosuoja-asetus”) mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä.

Jos tämän Sopimuksen ja minkä tahansa muun osapuolten solmiman sopimuksen, tilauksen tai muun asiakirjan henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, osapuolet soveltavat ensisijaisesti tämän Sopimuksen ehtoja.

2 Määritelmät

Tässä Sopimuksessa käytetyt tietosuojaan tai tietoturvaan viittaavat määritelmät (kuten Rekisterinpitäjä, Käsittelijä, Rekisteröity, Henkilötieto, Henkilötietojen Käsittely ja Tietoturvaloukkaus) ovat Tietosuoja-asetuksen mukaisia.

3 Toimittajan yleiset tietosuojaa ja tietoturvaa koskevat vaatimukset

Toimittajalla tulee olla toiminnassaan dokumentoidut prosessit ja toimintamallit riskienhallintaa varten. Toimittaja on vastuussa palveluita koskevien tietosuoja- ja tietoturvallisuusriskien havaitsemisesta ja tunnistamisesta sekä tarvittavista toimenpiteistä tällaisten riskien torjumiseksi ja minimoimiseksi.

Toimittajalla tulee olla asiantuntemukseltaan ja määrältään riittävät resurssit toteuttamaan tässä Sopimuksessa määritellyt tietoturva- ja tietosuojatoimenpiteet. Toimittajan tulee toimia tarvittaessa yhteistyössä Asiakkaan tietosuojasta ja

-turvallisuudesta vastaavan henkilöstön kanssa.

4 Tietosuoja ja Henkilötietojen Käsittely

4.1 Toimittajan ja Asiakkaan vastuut

Toimittaja Käsittelee Rekisterinpitäjän Henkilötietoja Rekisterinpitäjän lukuun ja tämän toimeksiannosta Sopimuksen perusteella. Käsittelyn kohteena olevat henkilötiedot näkyvät tämän Sopimuksen liitteenä olevasta Sähköauton latausaseman tilauskaavakkeesta (Liite). Xxxxxxx tai tämän

toimeksiantaja on palvelussa Käsiteltävien Henkilötietojen Rekisterinpitäjä ja Toimittaja Käsittelijä. Osapuolet sitoutuvat noudattamaan Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa Henkilötietojen Käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän Sopimuksen ehtoja niiden mukaiseksi.

Rekisterinpitäjä on vastuussa siitä, että sillä on tarvittavat oikeudet ja että se on hankkinut tarvittavat suostumukset Henkilötietojen Käsittelyyn. Rekisterinpitäjä vastaa tietosuojaselosteen laatimisesta ja saatavilla pidosta sekä Rekisteröityjen informoinnista.

Rekisterinpitäjällä on oikeus ja velvollisuus määrittää Henkilötietojen Käsittelyn tarkoitus ja keinot. Käsittelyn kohde, luonne ja tarkoitus on määritelty tässä Sopimuksessa ja sen Liitteessä 1. Toimittajan Käsittelyn sisältö on tämän Sopimuksen Liitteen 1 täydentäminen Asiakkaan puolesta ja lukuun. Käsiteltävien Henkilötietojen tyypit liittyvät latausaseman toimittamiseen ja asentamiseen, ja ne sisältyvät Liitteeseen 1. Rekisteröityjen ryhmät muodostuvat latausasemia ostavista Toimittajan yksityisasiakkaista.

Toimittajalla on oikeus käsitellä Rekisterinpitäjän Henkilötietoja ja muita Rekisterinpitäjän tietoja vain tämän Sopimuksen ja Asiakkaan kirjallisten ohjeiden mukaisesti ja vain siltä osin ja siten kuin on tarpeellista palveluiden toimittamiseksi.

4.2 Alihankkijat

Toimittaja ei saa käyttää Rekisterinpitäjän Henkilötietojen Käsittelyssä alihankkijoita ilman Asiakkaan alihankkijakohtaista ennakkolupaa. Lisäksi Toimittajan on tiedotettava Asiakkaalle kaikista alihankkijoistaan ja niitä koskevista muutoksista. Asiakkaalla on perustellusta syystä oikeus kieltää uusien alihankkijoiden käyttö.

Toimittaja tekee alihankkijoidensa kanssa kirjallisen sopimuksen ja vastaa siitä, että sen käyttämät alihankkijat noudattavat tämän Sopimuksen ehtoja. Toimittaja on velvollinen säännöllisesti valvomaan alihankkijoidensa toimintaa ja vastaa alihankkijoidensa toiminnasta kuin omastaan.

4.3 Käsittely EU-/ETA-alueen ulkopuolella

Toimittaja ja sen alihankkijat eivät käsittele Henkilötietoja EU-/ETA-alueen ulkopuolella ilman Asiakkaan kirjallista suostumusta.

Osapuolet sopivat kirjallisesti etukäteen kaikista Asiakkaan tietojen siirroista tai Käsittelystä EU-/ETA-alueen ulkopuolella, jos Henkilötietojen siirrolle tai Käsittelylle EU-/ETA-alueen ulkopuolella on tarve esimerkiksi IT- hallinnon teknisen tuen tarjoamisen takia. Tällaisiin Henkilötietojen siirtoihin sovelletaan lähtökohtaisesti Euroopan Unionin hyväksymiä päivitettyjä (4.6.2021) vakiolausekkeita Henkilötietojen siirroista EU-/ETA- alueen ulkopuolelle tai muuta Tietosuoja-asetuksen 46 artiklan määrittelemää asianmukaista suojamekanismia.

4.4 Henkilötietoja koskevat yhteydenotot

Toimittajan on välittömästi siirrettävä Asiakkaalle kaikki Rekisteröidyiltä saamansa henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden käsittelyn kieltämistä koskevat tai muut pyynnöt. Asiakkaan pyynnöstä Toimittajan on tuettava Asiakasta Rekisteröityjen esittämien pyyntöjen täyttämisessä. Toimittaja vastaa siitä, että pystyy toteuttamaan Rekisteröidyn lakisääteiset pyynnöt.

Toimittaja ohjaa kaikki tietosuojaviranomaisten tiedustelut suoraan Asiakkaalle ja jää odottamaan lisäohjeistusta Asiakkaalta. Ellei muuta ole sovittu, Toimittajalla ei ole valtuuksia edustaa Asiakasta tai toimia Asiakkaan puolesta Asiakasta valvovien viranomaisten kanssa.

4.5 Auditointi

Toimittaja on velvollinen pyydettäessä osoittamaan, että se ja sen alihankkijat noudattavat tämän Sopimuksen ehtoja. Asiakkaan 14 työpäivää etukäteen kirjallisesti esittämän ilmoituksen perusteella Asiakas tai tämän valtuuttama auditoija (ei kuitenkaan Toimittajan kilpailija) voi tarkastaa vuosittain, että Toimittaja ja sen alihankkijat käsittelevät Asiakkaan tietoja tämän Sopimuksen mukaisesti. Toimittaja korjaa havaitut virheet ja puutteet viipymättä. Kumpikin osapuoli vastaa itselleen auditoinnista aiheutuvista kustannuksista. Jos tarkastus osoittaa Toimittajan toimineen olennaisesti tämän Sopimuksen vastaisesti, Toimittaja korvaa Asiakkaalle tarkastuksesta ja sen perusteella tehtyjen korjausten tarkastuksesta aiheutuneet ulkopuoliset kustannukset auditoijan laskun mukaan.

5 Tietoturva

Toimittaja on velvollinen toteuttamaan soveltuvan tietosuojalainsäädännön määräämät asianmukaiset tekniset ja organisatoriset suojatoimenpiteet Käsittelemiensä Henkilötietojen suojaamiseksi. Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja käsillä olevaan tietojenkäsittelyyn liittyvät erityiset riskit. Käsittelyssä on noudatettava esim. seuraavia sääntöjä:

1) Tietojen Käsittelyyn osallistuvan Toimittajan tai Toimittajan käyttämän alihankkijan henkilöstön on sitouduttava noudattamaan tietojen salassapitovelvollisuutta.

2) Rekisterinpitäjän tietojen Käsittelyssä käytettävät järjestelmät ja tietoliikenne ovat suojattuja asianmukaisilla ja ajantasaisilla tietoturvaratkaisuilla alan parhaiden käytäntöjen mukaisesti.

3) Henkilötietoja ei käytetä Toimittajan omien palvelujen kehittämisessä tai testauksessa tai muissa Toimittajan omissa käyttötarkoituksissa.

Toimittaja vastaa käsittelemiensä Rekisterinpitäjän tietojen varmuuskopioinnista, ellei erikseen ole toisin sovittu.

6 Tietoturvaloukkaukset

Toimittaja ilmoittaa Asiakkaalle viipymättä tietoonsa saamistaan tietoturvaloukkauksista, kuten tietomurroista, vahingossa tapahtuneesta tai lainvastaisesta tietojen tuhoamisesta, hävittämisestä, muuttamisesta, luvattomasta luovuttamisesta taikka pääsystä tietoihin. Ilmoituksessa on mahdollisuuksien mukaan kuvattava, mitä on tapahtunut, kenen tietoja ja mitä tietoja loukkaus koskee sekä arvioidut lukumäärät.

Toimittaja selvittää viipymättä loukkauksen syyt ja vaikutukset ja suorittaa tarvittavat toimenpiteet loukkauksen lopettamiseksi, haittavaikutusten lieventämiseksi ja vastaavien loukkausten ehkäisemiseksi. Toimittajan on viipymättä dokumentoitava selvityksen tulokset ja suoritetut toimenpiteet Asiakkaalle.

Toimittajan on toimittava yhteistyössä Asiakkaan kanssa ja varmistettava, että Asiakkaalla on lain ja tietosuojaviranomaisten edellyttämä dokumentaatio käytössään tietoturvaloukkauksiin liittyen.

Tietoturvaloukkauksesta syntyneistä ja niiden korjaukseen liittyvistä kustannuksista vastaa se osapuoli, jonka toimista tietoturvaloukkaus on tapahtunut ja joka sovellettavan tietoturvalainsäädännön mukaisesti on tietoturvaloukkauksesta vastuussa sekä ottaen huomioon toimivaltaisen viranomaisen tai tuomioistuimen määräys tai päätös.

7 Muut ehdot

Sopimuksen päätyttyä Toimittaja palauttaa kaikki Rekisterinpitäjän tiedot Asiakkaalle Sopimuksen mukaisessa muodossa. Sen jälkeen Toimittaja huolehtii sen ja alihankkijoidensa hallussa olevien Asiakkaan tietojen kopioiden hävittämisestä ja vahvistaa niiden hävittämisen Asiakkaalle kirjallisesti.

Toimittaja on velvollinen tiedottamaan Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä Sopimusta ja Asiakkaan antamia kirjallisia ohjeita.

Toimittaja vastaa kaikista vastuista, toimista, vahingoista ja vaatimuksista (mukaan luettuna kohtuulliset asianajokulut), jotka aiheutuvat Asiakkaalle ja sen johdolle, toimihenkilöille, henkilöstölle tai sen sopimuskumppaneille siitä, että Toimittaja on käsitellyt Rekisterinpitäjän Henkilötietoja tai muita tietoja lainsäädännön, tämän Sopimuksen tai Asiakkaan kirjallisen ohjeistuksen vastaisesti.

Osapuolet sopivat kaikki lisäykset ja muutokset tähän Sopimukseen kirjallisesti.

8 Sovellettava laki ja riidanratkaisu

Sopimukseen ja siitä johtuviin riitoihin sovelletaan yksinomaan Suomen lakia lukuun ottamatta sen lainvalintaa koskevia säädöksiä.

Osapuolet pyrkivät ratkaisemaan kaikki tähän Sopimukseen liittyvät riitansa ja vaatimuksena keskinäisin neuvotteluin hyvässä yhteisymmärryksessä.

Elleivät neuvottelut johda ratkaisuun kolmenkymmenen (30) vuorokauden jälkeen neuvotteluiden alettua, kaikki tähän Sopimukseen liittyvät riidat ja vaatimukset taikka Sopimuksen rikkomiseen, irtisanomiseen ja pätevyyteen liittyvät erimielisyydet ratkaistaan lopullisesti välimiesmenettelyssä Keskuskauppakamarin välimiesmenettelysääntöjen mukaisesti. Välimiesmenettelyn paikka on Helsinki, Suomi. Välimiesmenettely käydään ja välitystuomio annetaan englanniksi, taikka, mikäli kaikki välimiesmenettelyn osapuolet ovat suomalaisia henkilöitä, suomeksi. Osapuolet sopivat, että välimiesmenettely ja kaikki siihen liittyvä aineisto ja tieto ovat luottamuksellista ja siten salassa pidettävää tietoa.

LIITTEET

1. Sähköauton latausaseman tilauskaavake (DEFA Oy)

Täytä tilauskaavakkeen kaikki kohdat, erityisesti asiakkaan tiedot, tallenna se tietokoneellesi nimet- tynä tilausviitteellä ja lähetä se sitten sähköpostilla DEFA:lle: xxxxxxxxx@xxxx.xxx

Autoliikkeen tiedot

Yrityksen nimi:

Y-tunnus:

Yhteyshenkilö:

Yhteyshenkilön puhelin:

Yhteyshenkilön sähköposti:

Auton tilausnumero (tai muu viitenumero tilaukselle): Tilatun auton merkki:

Tilatun auton malli:

Auton sovittu toimituspäivä:

Asiakkaan yhteystiedot

Nimi: Puhelinnumero: Sähköposti:

Katuosoite (asennuspaikan): Postinumero (asennuspaikan): Postitoimipaikka (asennuspaikan):