HENKILÖTIETOJEN KÄSITTELYSOPIMUS

#425945

HENKILÖTIETOJEN KÄSITTELYSOPIMUS

1. Sopijapuolet

1.1

Porin kaupunki (jäljempänä ”Asiakas” tai ”Rekisterinpitäjä”) Xxxxxxxxxxxx 00, 00000 Xxxx

Y-tunnus: 0137323-9

Yhteyshenkilö (tietosuojavastaava tai muu tietosuoja-asioiden yhteyshenkilö):

Senaatti-kiinteistöt (jäljempänä ”Senaatti” tai ”Käsittelijä”) PL 237

Xxxxxxxxxxxxxxx 0 X, 00000 Xxxxxxxx Y-tunnus:

Yhteyshenkilö: asiakirjahallinnon päällikkö, tietosuojavastaava Xxxxx Xxxxxxxxx, petri.kontti- xxx@xxxxxxxx.xx, p. 040 5764840

1.2. Sopijapuoli ilmoittaa kirjallisesti yhteyshenkilön muutoksesta toiselle sopijapuolelle.

2. Määritelmät

2.1. ”Käsittelysopimuksella” tarkoitetaan tätä henkilötietojen käsittelysopimusta.

2.2. ”Palvelusopimuksella” tarkoitetaan Asiakkaan ja Senaatin välistä, Käsittelysopimuksen voi- maantulohetkellä voimassa olevaa tai myöhemmin voimaan tulevaa sellaista vuokrasopi- musta, palvelusopimusta tai tilausta, jonka perusteella Senaatti toimii Asiakkaan henkilötieto- jen käsittelijänä Asiakkaan puolesta ja lukuun. Palvelusopimuksia voi olla useita.

2.3. ”Asiakkaan henkilötiedoilla” tarkoitetaan henkilötietoja, joista Asiakas vastaa rekisterinpitä- jänä.

2.4. ”Rekisterinpitäjällä” tarkoitetaan Asiakasta, joka määrittelee henkilötietojen käsittelyn tar- koitukset ja keinot.

2.5. ”Käsittelijällä” tarkoitetaan Asiakkaan henkilötietojen käsittelijänä toimivaa Senaatti-kiinteis- töjä.

3. Sopimuksen tarkoitus

3.1. Tämän Käsittelysopimuksen tarkoituksena on sopia Asiakkaan henkilötietojen käsittelystä ja tietosuojasta Senaatin Asiakkaalle Palvelusopimusten perusteella tuottamissa palveluissa.

3.2. Käsittelysopimuksessa määritellään Asiakasta ja Senaattia sitovasti ne henkilötietojen käsitte- lyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Senaatti Asiakkaan toimeksian- nosta käsittelee henkilötietoja Asiakkaan puolesta ja lukuun sopijapuolten välisissä Palveluso- pimuksissa olevien sopimusehtojen lisäksi.

3.3. Käsittelysopimus on ilman erillistä viittausta erottamaton osa Asiakkaan ja Senaatin välisiä Pal- velusopimuksia. Palvelusopimuksia voi olla useita.

3.4. Näissä ehdoissa kuvatuista Senaatin toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.

3.5. Käsittelysopimus muodostaa sopijapuolten välille EU:n yleisen tietosuoja-asetuksen (EU) 2016/679 mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä. Sopijapuolet tiedosta- vat ja hyväksyvät, että lainsäädännön tai viranomaisohjeistuksen muuttuessa tämän Käsittely- sopimuksen ehtoja tarkistetaan vastaamaan muuttuneita vaatimuksia.

3.6. Sopijapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassa olevaa henkilötie- tojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä, ja lisäksi sopijapuolet sitoutuvat saat- tamaan henkilötietojen käsittelyn ja tietosuojan EU:n yleisen tietosuoja-asetuksen (EU)2016/679 mukaiselle vaatimustasolle 25.5.2018 mennessä, jolloin tietosuoja-asetuksen soveltaminen alkaa.

3.7 Senaatti pyrkii käytettävissään olevin keinoin tekemään tätä Käsittelysopimusta olennaisilta osin vastaavan sopimuksen myös kaikkien sellaisten Senaattiin tämän Käsittelysopimuksen voi- maantulohetkellä jo sopimussuhteessa olevien palveluntuottajien ja valtion ulkopuolisten vuokranantajien kanssa, joiden voimassa olevien sopimusten mukaisiin tehtäviin kuuluu Asi- akkaan henkilötietojen käsittelyä. Asiakas on kuitenkin tietoinen ja ymmärtää, että Senaatin jo voimassa olevia alihankintasopimuksia tai sisäänvuokrasopimuksia koskevien henkilötietojen käsittelysopimusten tekeminen edellyttää palveluntuottajien/valtion ulkopuolisten vuokran- antajien hyväksyntää eikä ole Senaatin yksinomaisen vaikutusmahdollisuuden piirissä. Se- naatti informoi Asiakasta tällaisten henkilötietojen käsittelysopimusten tekemiseen liittyvistä

mahdollisista ongelmatilanteista ja Senaatti ja Asiakas pyrkivät hyvässä yhteisymmärryksessä löytämään ratkaisun sopimussuhteen jatkamiseksi EU:n yleisen tietosuoja-asetuksen velvoit- teet täyttäen.

4. Sopijapuolten roolit henkilötietojen käsittelyssä

4.1 Asiakas toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Sopijapuolet ymmärtävät, että rekisterinpitäjänä Asiakas saa käyttää ainoastaan sellaisia hen- kilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöön panemiseksi niin, että käsittely täyttää voimassaolevan henkilötietojen käsittelyyn ja tietosuojaan liittyvän lainsäädännön vaatimukset ja 25.5.2018 alkaen EU:n yleisen tietosuoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu.

4.2. Ryhmittymän ollessa Käsittelijänä tämän Käsittelysopimuksen velvoitteet koskevat kaikkia ryh- mittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

4.3. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus, henkilötietojen tyypit ja rekisteröityjen ryhmät sekä Rekisterinpitäjän ja Käsittelijän velvollisuudet ja oikeudet kuvataan Palvelusopi- muksen lisäksi tässä Käsittelysopimuksessa ja sen kohdassa 10 olevassa käsittelytoimien ku- vauksessa sekä muussa Asiakkaan mahdollisesti Käsittelijälle antamassa kirjallisessa ohjeistuk- sessa. Käsittelijä sitoutuu noudattamaan Palvelusopimuksessa, Käsittelysopimuksessa, käsitte- lytoimien kuvauksessa ja Asiakkaan antamassa kirjallisessa ohjeistuksessa olevia ehtoja ja ku- vauksia. Asiakas vastaa antamansa ohjeistuksen ylläpidosta ja antamisesta kirjallisesti Käsitte- lijälle.

4.4. Jos kohdan 4.3 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Asiakas laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Käsittelijän kanssa.

4.5. Käsittelijän on ilmoitettava Asiakkaalle, jos tämän antama ohjeistus on puutteellinen tai jos Käsittelijä epäilee sitä lainvastaiseksi.

4.6. Käsittelijä huolehtii Palvelusopimuksen perusteella käsittelemiensä henkilötietojen asianmu- kaisesta suojaamisesta omien käytäntöjensä, Käsittelysopimuksen ja Palvelusopimuksen vaa- timusten ja Asiakkaan kirjallisen ohjeistuksen mukaisesti varmistaakseen henkilötietojen luot- tamuksellisuuden, eheyden ja saatavuuden.

4.7. Käsittelijä antaa Asiakkaan pyynnöstä tarvittavat tiedot Rekisterinpitäjän vastuulla olevan kä- sittelytoimia koskevan selosteen laatimiseksi ja ylläpitämiseksi sekä tarvittavat tiedot Rekiste- rinpitäjän muiden tiedonantovelvollisuuksien toteuttamiseksi.

5. Alihankkijat ja valtion ulkopuoliset vuokranantajat, jotka käsittelevät henkilötietoja

5.1. Käsittelijä saa käyttää henkilötietojen käsittelyyn vain Palvelusopimuksessa sovittuja Asiakkaan hyväksymiä palveluntuottajia (alihankkijoita) ja valtion ulkopuolisia vuokranantajia ja näiden alihankkijoita. Xxxxx Xxxxxxxxxxxxxxxxxxx ole sovittu alihankkijoista tai valtion ulkopuolisesta vuokranantajasta, Käsittelijä ei saa käyttää henkilötietojen käsittelyyn alihankkijan tai valtion ulkopuolisen vuokranantajan palveluja ilman Asiakkaan antamaa kirjallista ennakkolupaa. Xxxxxxx antaa tällä Käsittelysopimuksella edellä tarkoitetun kirjallisen ennakkoluvan käyttää Asiakkaan henkilötietojen käsittelyssä tämän Käsittelysopimuksen voimaantulohetkellä voi- massa oleviin Käsittelijän alihankintasopimuksiin ja (sisään)vuokrasopimuksiin liittyviä alihank- kijoita ja valtion ulkopuolisia vuokranantajia. Käsittelijä saa ilmaista henkilötietoja alihankki- jalle vain siinä määrin kuin se on tarpeellista alihankkijan Palvelusopimuksen mukaisten tehtä- vien kannalta. Käsittelijän on tiedotettava Asiakkaalle kirjallisesti kaikista suunnitelluista muu- toksista, jotka koskevat henkilötietojen käsittelijöinä toimivien alihankkijoiden lisäämistä tai vaihtamista, ja annettava Asiakkaalle mahdollisuus vastustaa tällaisia muutoksia.

5.2. Siltä osin kuin Käsittelijä käyttää toiminnassaan alihankkijoita tai valtion ulkopuolisia vuokran- antajia, jotka käsittelevät henkilötietoja, alihankintaan ja sisäänvuokraukseen sovelletaan Pal- velusopimuksen lisäksi tässä Käsittelysopimuksessa kuvattuja ehtoja.

5.3. Käsittelijä ja sen alihankkijat ja valtion ulkopuoliset vuokranantajat, jotka henkilötietojen käsit- telijöinä käsittelevät Asiakkaan henkilötietoja Asiakkaan puolesta ja lukuun, sitoutuvat kaikki tässä Käsittelysopimuksessa kuvattuihin henkilötietojen käsittelijää koskeviin velvollisuuksiin. Käsittelijällä on velvollisuus kirjallisilla sopimuksilla sitouttaa käyttämänsä alihankkijat ja val- tion ulkopuoliset vuokranantajat noudattamaan tämän Käsittelysopimuksen ehtoja.

5.4. Käsittelijä vastaa käyttämiensä alihankkijoiden ja Käsittelijään sopimussuhteessa olevien val- tion ulkopuolisten vuokranantajien toimista kuin omistaan tämän Käsittelysopimuksen velvoit- teiden osalta. Jos Käsittelijän alihankkijat tai valtion ulkopuoliset vuokranantajat käsittelevät Asiakkaan henkilötietoja ja rikkovat tai laiminlyövät Palvelusopimuksen, Käsittelysopimuksen, sovellettavan lainsäädännön tai Asiakkaan antaman kirjallisen ohjeistuksen määräyksiä, Käsit- telijä vastaa näistä rikkomisista tai laiminlyönneistä kuin omistaan. Jos tietoja käsittelevä ali- hankkija tai valtion ulkopuolinen vuokranantaja ei täytä tietosuojavelvoitteitaan, Käsittelijä on edelleen täysimääräisesti vastuussa suhteessa Asiakkaaseen. Xxx Xxxxxxx perustellusti katsoo, että Käsittelijän alihankkija ei täytä tietosuojavelvoitteitaan, Asiakkaalla on oikeus vaatia Kä- sittelijää vaihtamaan alihankkijaa.

6. Käsittelijän yleiset velvollisuudet

6.1. Käsittelijä käsittelee henkilötietoja Palvelusopimuksen, Käsittelysopimuksen ja Asiakkaan an- tamien kirjallisten ohjeiden mukaisesti.

6.2. Käsittelijä ei käytä taikka muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään Asi- akkaan henkilötietoja muuhun kuin Palvelu- ja Käsittelysopimuksen täyttämisen mukaiseen tarkoitukseen ja silloinkin ainoastaan tarkoituksen edellyttämässä laajuudessa ja Palvelusopi- muksen, Käsittelysopimuksen ja Asiakkaan antaman kirjallisen ohjeistuksen mukaisesti. Käsit- telijä ei luovuta tai muutoin ilmaise henkilötietoja kolmansille osapuolille ilman Asiakkaan etu- käteistä kirjallista suostumusta, ellei Käsittelijä ole velvollinen ilmaisemaan tietoja pakottavan lainsäädännön tai viranomaisen määräyksen perusteella.

6.3. Käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oi- keus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

6.4. Sen lisäksi, mitä Palvelusopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, Käsittelijä sitoutuu toteuttamaan riskiä vastaa- van turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnol- listen henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudel- taan vaihtelevat riskit sekä noudattamaan Asiakkaan kirjallisia ohjeita ja mahdollisia Asiakkaan ohjeiden päivityksiä. Käsittelijä noudattaa julkisyhteisönä kulloinkin voimassa olevaa lainsää- däntöä viranomaisten toiminnan julkisuudesta ja on sitoutunut noudattamaan tietoturvalli- suudesta valtionhallinnossa annetun asetuksen mukaisia vaatimuksia vähintään tietoturvalli- suuden perustason vaatimukset täyttäen. Käsittelijän turvallisuuden hallinnan periaatteet ja keinot on kuvattu Senaatti-kiinteistöjen turvallisuuspolitiikassa, turvallisuusperiaatteissa ja tie- toturvallisuutta koskevissa ohjeissa.

6.5. Käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen Käsittelijän alai- suudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoas- taan Palvelusopimuksen, Käsittelysopimuksen ja Asiakkaan kirjallisten ohjeiden mukaisesti.

6.6. Käsittelijä dokumentoi sovitut ja toteutetut toimenpiteet ja huolehtii siitä, että dokumentaatio on ajan tasalla. Sopijapuolet arvioivat teknisiä ja organisatorisia toimenpiteitä ja niiden riittä- vyyttä säännöllisesti osana normaalia asiakkuudenhoitoa.

6.7. Käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Asiakkaalle kaikista rekisteröity- jen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja- asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä sekä kaikista toimivaltaisten viran- omaisten Asiakkaan henkilötietoja koskevista pyynnöistä.

6.8. Käsittelijä sitoutuu avustamaan Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimen- piteillä, jotta Asiakas pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat re- kisteröidyn oikeuksien käyttämistä tai toimivaltaisten viranomaisten pyyntöjä. Käsittelijä ym- märtää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä avusta- mista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttami- sessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttami- sessa ja/tai henkilötietojen siirtämisessä järjestelmästä toiseen.

6.9. Käsittelijän on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, että ne voidaan automaattisesti irrottaa jär- jestelmästä siirrettäväksi toiseen järjestelmään, silloin kun se on teknisesti mahdollista.

6.10. Käsittelijä sitoutuu tarvittaessa avustamaan Asiakasta EU:n yleisen tietosuoja-asetuksen mu- kaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, mahdollisessa ennakkokuule- misessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Käsittelijällä on oi- keus veloittaa erikseen sovittavat kohtuulliset työkustannukset.

6.11. Palveluiden tarjoamisen päätyttyä Käsittelijä sitoutuu Asiakkaan valinnan mukaan poista- maan tai palauttamaan kaikki Asiakkaan henkilötiedot Asiakkaalle. Käsittelijä poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Asiakas voi antaa tältä osin kirjallisesti tarkempia ohjeita Käsitteli- jälle.

6.12. Käsittelijä käsittelee Asiakkaan henkilötietoja ainoastaan Palvelusopimuksessa sovitulla pal- veluntuotantoalueella. Mitä Palvelusopimuksessa ja Käsittelysopimuksessa sovitaan henkilö- tietojen käsittelystä, koskee myös pääsyn mahdollistamista henkilötietoihin esimerkiksi hal- linta- ja valvontayhteyden välityksellä. Ellei palveluntuotantoalueesta ole Palvelusopimuksessa toisin sovittu, Käsittelijällä on oikeus käsitellä Asiakkaan henkilötietoja ainoastaan Euroopan Unionin alueella ja Euroopan talousalueella. Kaikesta henkilötietojen siirtämisestä EU:n/ETA:n ulkopuolelle on sovittava etukäteen kirjallisesti Asiakkaan kanssa. Henkilötietojen siirtäminen Euroopan Unionin tai Euroopan talousalueen ulkopuolelle voidaan tehdä tarvittavien osapuol- ten (mukaan lukien Asiakas) kanssa asianmukaisella siirtosopimuksella noudattaen EU-komis- sion kulloinkin voimassa olevia mallilausekkeita ja/tai muita tuolloin voimassa olevia henkilö- tietojen siirtoa koskevia vaatimuksia.

6.13. Käsittelijä laatii ja ylläpitää EU:n tietosuoja-asetuksen vaatimaa Käsittelijän vastuulla olevaa selostetta palvelussa Rekisterinpitäjän lukuun suoritettavista käsittelytoimista.

6.14. Käsittelijä saattaa Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen tässä Käsittelysopi- muksessa kuvattujen velvollisuuksien noudattamisen osoittamista varten. Käsittelijä sallii Asi- akkaan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkas- tusmenettelyä koskevat tarkemmat ehdot ovat Palvelusopimuksessa. Käsittelijän tulee aina sallia Asiakkaan toimintaa valvovan viranomaisen suorittamat Käsittelijän toimintojen audi- toinnit.

7. Käsittelijän erityiset velvollisuudet

7.1. Käsittelijällä on oltava valmius asettaa ja hallinnoida tietojen luovutuksia koskevia rajoituksia, jollaisia voi aiheutua esimerkiksi väestötietolain mukaisesta rekisteröidyn turvakiellosta. Käsit- telijän tulee mahdollisuuksien mukaan pystyä rajoittamaan rekisteröidyn henkilötietojen käsit- telyä osittain tai kokonaan Asiakkaan vaatimalla tavalla. Rekisteröidyn henkilötietojen rajoitta- minen ei saa johtaa muiden rekisterissä olevien henkilötietojen rajoittamiseen, ellei Asiakkaan ja Käsittelijän kesken kirjallisesti toisin sovita.

7.2. Ellei toisin sovita, Käsittelijä on velvollinen ylläpitämään luetteloa rekisteröityjen henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista. Luettelo on luovutettava pyydettäessä Asiak- kaalle.

8. Tietoturvaloukkaukset

8.1. Käsittelijän on ilmoitettava Asiakkaalle kirjallisesti tietoonsa tulleesta henkilötietojen tietotur- valoukkauksesta ilman aiheetonta viivytystä. Lisäksi Käsittelijä sitoutuu ilmoittamaan Asiak- kaalle kirjallisesti ilman aiheetonta viivytystä muista Käsittelijän tuottaman palvelun olennai- sista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuk- siin. Ilmoitukset voivat sisältää salassa pidettäviä tietoja, mistä syystä ilmoitus lähetetään Asi- akkaalle salattuna sähköpostina osoitteesta xxxxxxxxxx@xxxxxxxx.xx. Ilmoituksen otsikosta on käytävä selvästi ilmi, liittyykö ilmoitus henkilötietojen tietoturvaloukkaukseen vai muuhun häi- riö- tai ongelmatilanteeseen.

8.2. Käsittelijän on annettava Asiakkaalle vähintään seuraavat tiedot tietoturvaloukkauksesta tai vastaavat tiedot muusta olennaisesta häiriö- tai ongelmatilanteesta:

1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asi- anomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;

3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

4) kuvattava toimenpiteet, joita Käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaiku- tusten lieventämiseksi.

Käsittelijän on dokumentoitava henkilötietojen tietoturvaloukkaukset ja niihin liittyvät toi- menpiteet ja säilytettävä dokumentaatiota siten, että se on pyynnöstä Asiakkaan saatavilla.

9. Muut ehdot

9.1. Asiakkaalla on oikeus muuttaa, täydentää ja päivittää Käsittelijälle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia kirjallisia ohjeita. Nämä ohjeet voivat olla henkilötietojen kä- sittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutok- sia, täydennyksiä tai päivityksiä. Käsittelijä tekee tarvittavat muutostyöt Asiakkaan ohjeiden mukaisesti. Jos Asiakkaan Käsittelijälle antamat ohjeet tai niiden muutokset edellyttävät Pal- velusopimuksen muuttamista, tehdään sopimusmuutos Palvelusopimuksessa sovitun menet- telyn mukaisesti. Jos Asiakkaan ohjeet aiheuttavat Käsittelijälle olennaisia muutostöitä (yli yksi

(1) henkilötyöpäivää), Asiakas vastaa lisäkustannuksista erikseen sovittavalla tavalla. Käsittelijä ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan näitä muutettuja, täydennettyjä tai päivitettyjä ohjeita.

9.2. Ellei Palvelusopimuksen mukaisista palvelutasovaatimuksista muuta johdu, Käsittelijä sitoutuu reagoimaan viimeistään 72 tunnin kuluessa Asiakkaan yhteydenotosta ja vastaamaan viimeis- tään 10 päivän kuluessa tietosuojaa koskeviin Asiakkaan palvelupyyntöihin tai reklamaatioihin. Tietoturvaloukkauksiin sovelletaan kuitenkin edellä todettua.

9.3. Sopijapuolet ymmärtävät, että Käsittelysopimusta tehtäessä tietosuojaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Asiakkaan asemaan tai velvol- lisuuksiin tai tässä Käsittelysopimuksessa määriteltyihin velvollisuuksiin tai vastuisiin, tätä Kä- sittelysopimusta voidaan tarvittaessa niiltä osin tarkistaa. Jos tähän Käsittelysopimukseen teh- dään sellaisia muutoksia, joista aiheutuu Käsittelijälle olennaisia lisäkustannuksia (yli yksi (1) henkilötyöpäivää), niiden korvaamisesta voidaan sopia erikseen. Käsittelijä ja muut henkilötie- tojen käsittelijät sitoutuvat noudattamaan kyseistä tarkistettua Käsittelysopimusta.

9.4. Käsittelijän vahingonkorvausvastuu on määritelty Palvelusopimuksen lisäksi sovellettavassa lainsäädännössä. Toimivaltaisten viranomaisten määräämien hallinnollisten sanktioiden tai re- kisteröidyn tämän Käsittelysopimuksen perusteella esittämien vahingonkorvausvaatimusten

vastuut kohdentuvat henkilötietojen rekisterinpitäjälle ja käsittelijälle lainsäädännössä sääde- tyn mukaisesti. Jos sopijapuoli on EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 kohdan mu- kaisesti maksanut rekisteröidylle korvauksen aiheutuneesta vahingosta, on tällä sopijapuolella oikeus Palvelusopimuksessa sovittujen vastuunrajoitusten rajoittamatta periä samaan tieto- jenkäsittelyyn osallistuneelta toiselta sopijapuolelta se osuus korvauksesta, joka vastaa kysei- sen toisen sopijapuolen tietosuoja-asetuksen mukaan määräytyvää vastuuta aiheutuneesta vahingosta.

9.5. Kaikkia Palvelusopimuksen ehtoja, mukaan lukien lain valintaa ja riidanratkaisua koskevat eh- dot, sovelletaan tähän Käsittelysopimukseen. Palvelusopimuksessa voidaan täsmentää tämän Käsittelysopimuksen ehtoja. Jos Käsittelysopimuksen ja Palvelusopimuksen ehdot ovat ristirii- dassa keskenään, sovelletaan ensisijaisesti Käsittelysopimuksen ehtoja.

10. Käsittelytoimien kuvaus

10.1. Kohdassa 10. kuvataan yleisellä tasolla käsittelytoimet, joita Käsittelijä henkilötietojen käsit- telijänä voi tehdä Asiakkaan puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Käsittelytoimet kuvataan tarkemmin Palvelusopimuksessa.

10.2. Käsittelyn luonne ja tarkoitus: Käsittelijä käsittelee Asiakkaan lukuun henkilötietoja Palve- lusopimuksessa sovitun toimitilojen vuokrauksen tai toimitiloja koskevien palvelujen tuotta- miseksi (esim. kulunvalvonnan pääkäyttöpalvelut, aula- ja vartioimispalvelut, kokousvaraus- järjestelmät, vierailijajärjestelmän henkilötiedot, hallinnon tilahallinnan henkilötiedot, avain- ten hallinnan henkilötiedot).

10.3. Käsittelijä käsittelee Asiakkaan puolesta Palvelusopimuksessa sovitun palvelun tuotta- miseksi seuraavia Asiakkaan henkilörekisteriin/henkilörekistereihin kuuluvia:

o rekisteröityjen ryhmiä: mm. Asiakkaan työntekijät tai muut henkilöt, joiden tietoja Asiakas on antanut Käsittelijälle Palvelusopimuksen täyttämiseen liittyen.

o henkilötietoja: mm. Asiakkaan työntekijän tai muun henkilön nimi, puhelinnumero, sähköpostiosoite, asema, tehtävä ja toimipaikka organisaatiossaan, käyttäjätunnus, henkilötunnus, kiinteistön teknisten valvontajärjestelmien sisältämät tiedot, auton rekisteritunnus.

10.4. Henkilötietojen käsittelyn kesto: Käsittelijä käsittelee tässä liitteessä yksilöityjä henkilötie- toja korkeintaan Palvelusopimuksessa sovitun sopimuskauden ajan.

11. Voimassaolo ja sopimusmuutokset

11.1. Käsittelysopimus tulee voimaan, kun molemmat sopijapuolet ovat sen allekirjoittaneet.

11.2. Kaikista muutoksista tai lisäyksistä tähän Käsittelysopimukseen sovitaan kirjallisesti.

11.3. Käsittelysopimuksen voimassaolo päättyy kunkin Palvelusopimuksen osalta, kun Palveluso- pimuksen voimassaolo päättyy Palvelusopimuksen päättymistä koskevan ehdon mukaisesti tai se irtisanotaan tai puretaan Palvelusopimuksen ehtojen mukaisesti ja Palvelusopimukseen perustuva henkilötietojen käsittely on päättynyt. Käsittelysopimus on voimassa niin kauan kuin Asiakkaan ja Käsittelijän välillä on voimassaolevia Palvelusopimuksia tai sopijapuolilla on henkilötietojen käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.

11.4. Kumpikin sopijapuoli voi irtisanoa Käsittelysopimuksen 12 kuukauden irtisanomisajalla. Mi- käli Käsittelysopimus irtisanotaan, sopivat sopijapuolet hyvässä yhteisymmärryksessä henki- lötietojen käsittelystä EU:n tietosuoja-asetuksessa tarkoitetulla tavalla ja asetuksen velvoit- teet täyttäen.

11.5. Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Käsittelysopi- muksen voimassaolon päättymisestä riippumatta, jäävät voimaan Käsittelysopimuksen päättymisen jälkeen.

11.6. Selvyyden vuoksi todetaan, että Käsittelijän tämän Käsittelysopimuksen ehtoja koskeva so- pimusrikkomus katsotaan myös Palvelusopimuksen rikkomukseksi ja siihen sovelletaan Pal- velusopimuksen sopimusrikkomusta koskevia ehtoja.

12. Sopimuskappaleet ja allekirjoitukset

Tätä Käsittelysopimusta on tehty kaksi samasanaista kappaletta, yksi kummallekin sopijapuo- lelle.

Tampereella . . 2021 . . 2021 SENAATTI-KIINTEISTÖT PORIN KAUPUNKI

                     _    Xxxxx Xxxxxxxxx Xxxxx Xxxxxx

aluejohtaja toimialajohtaja