TIETOSUOJALIITE

TIETOSUOJALIITE

TARKOITUS JA SOVELTAMINEN

1.1 Tämä sopimusliite ”Tietosuojaliite” on osa tilintarkastuspalveluiden sopimusta (Dnro TRE:6309/2021), jäljempänä ”Sopimus”, jonka Tilaaja on tehnyt Toimittajan kanssa.

1.2 Osapuolet ovat tehneet tämän Tietosuojaliitteen EU:n yleisen tietosuoja-asetuksen (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta, jäljempänä ”Tietosuoja-asetus”) ja tietosuojaan liittyvän muun lainsäädännön (jäljempänä yhdessä ”Tietosuojalainsäädäntö”) vaatimuksiin perustuen henkilötietojen käsittelyä koskevien vastuiden ja velvollisuuksien määrittämiseksi.

1.3 Osapuolet sitoutuvat täydentämään Tietosuojaliitettä Liitteellä 1 (Kuvaus henkilötietojen käsittelytoimista).

1.4 Tässä Tietosuojaliitteessä määritellään Osapuolia sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta ja lukuun Sopimuksessa olevien sopimusehtojen ja liitteiden ehtojen ohella. Tässä Tietosuojaliitteessä kuvatuista Toimittajalta edellytettävistä toimenpiteistä ja tämän velvollisuuksista ei suoriteta Xxxxxxxx toimesta erillistä korvausta, ellei tästä ole nimenomaisesti erikseen sovittu Osapuolten välillä.

1.5 Osapuolten välisen mahdollisen yleisen tietosuojasopimuksen tai muun henkilötietojen käsittelyä ja tietosuojaa koskevan sopimuksen ja tämän Tietosuojaliitteen ristiriitatilanteessa, sovelletaan ensisijaisesti tämän Tietosuojaliitteen määräyksiä.

1.6 Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassa olevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää EU-tasoista ja kansallista lainsäädäntöä sekä käsittelemään henkilötietoja hyvän tietojenkäsittelytavan mukaisesti. Osapuolet sitoutuvat saattamaan henkilötietojen käsittelyn ja tietosuojan myös mahdollisen muun tämän Tietosuojaliitteen voimaantulon jälkeen voimaan tulevan henkilötietojen käsittelyä koskevan lainsäädännön mukaiselle vaatimustasolle.

1.7 Tilaajan toimialasta seuraa, että eräiltä osin Tietosuojaliitteen kohteena olevaan henkilötietojen käsittelyyn voi tulla sovellettavaksi myös potilastietoa koskevat käsittelyvaatimukset. Osapuolet sitoutuvat potilastietoja käsitellessään noudattamaan niihin liittyvää voimassa olevaa sääntelyä, kuten lakia potilaan asemasta ja oikeuksista (785/1992), sosiaali- ja terveysministeriön asetusta potilasasiakirjoista (298/2009) tai niitä vastaavia kulloinkin voimassa olevia säännöksiä sekä sosiaali- ja terveysministeriön ohjeita potilasasiakirjojen laatimisesta ja käsittelystä ja muita soveltuvia viranomaisohjeita. Toimittaja on tietoinen näistä vaatimuksista ja sitoutuu ottamaan ne huomioon toiminnassaan sekä tarvittaessa pyytämään Tilaajaa avustamaan niiden soveltamisessa henkilötietojen käsittelyssä.

1.8 Tätä Tietosuojaliitettä ja sen määritelmiä tulkitaan Tietosuoja-asetuksen mukaisesti.

OSAPUOLTEN ROOLIT HENKILÖTIETOJEN KÄSITTELYSSÄ

2.1 Tämä Tietosuojaliite koskee ainoastaan sellaista henkilötietojen käsittelyä, jonka osalta Tilaaja on Tietosuoja-asetuksen tarkoittama rekisterinpitäjä ja Toimittaja henkilötietojen käsittelijä.

2.2 Siltä osin kuin Osapuolten yhteistyössä tapahtuvaan käsittelyyn sisältyy muuta henkilötietojen käsittelyä kuin sellaista, jossa Tilaaja on rekisterinpitäjä ja Toimittaja käsittelijä, tekevät Osapuolet tällaisesta käsittelystä ja sen vastuunjaosta erillisen kirjallisen käsittelysopimuksen.

2.3 Osapuolet toteavat, että rekisterinpitäjänä Xxxxxxx saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimenpiteiden täytäntöön panemiseksi niin, että käsittely täyttää Tietosuojalainsäädännön vaatimukset. Kumpikin Osapuoli vastaa omalta osaltaan siitä, että henkilötietojen käsittely suoritetaan kyseiseen Osapuoleen sovellettavan lainsäädännön mukaisesti ja hyvää tietojenkäsittelytapaa noudattaen.

2.4 Alihankkijat, joita Toimittaja käyttää Sopimuksen ja tämän Tietosuojaliitteen mukaisesti ja jotka osallistuvat Tilaajan henkilötietojen käsittelyyn, toimivat myös henkilötietojen alikäsittelijöinä suhteessa Tilaajaan. Toimittaja vastaa tällaisesta vastuullaan toimivan alihankkijan toiminnasta ja sen lainmukaisuudesta kuten omastaan.

2.5 Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät kuvataan Tietosuojaliitteen liitteenä olevassa henkilötietojen käsittelyä kuvaavassa liitteessä (Liite 1: Kuvaus henkilötietojen käsittelytoimista). Jos kuvausta ei ole tehty tai se on puutteellinen, Toimittaja on Tilaajan pyynnöstä velvollinen laatimaan kuvauksen tai täydentämään sitä, sekä toimittamaan sen Tilaajalle hyväksyttäväksi.

2.6 Tilaajalla on oikeus antaa henkilötietojen käsittelyä koskevaa ohjeistusta tämän Tietosuojaliitteen mukaisesti.

TOIMITTAJAN YLEISET VELVOLLISUUDET

3.1 Toimittaja ei käsittele eikä muulla tavoin hyödynnä Sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin Sopimuksen täyttämisen mukaisessa Tilaajan määrittämässä tarkoituksessa ja laajuudessa.

3.2 Toimittaja käsittelee henkilötietoja ainoastaan tämän Tietosuojaliitteen, sen liitteiden ja Tilaajan antamien ohjeiden mukaisesti, ellei Tietosuojalainsäädäntö toisin määrää. Tilaaja voi halutessaan muuttaa tai täydentää Toimittajalle antamiaan ohjeita, jos Tietosuojalainsäädäntö ja/tai muu sovellettava lainsäädäntö sitä edellyttää tai jos muuttaminen tai täydentäminen on perusteltua Tilaajan muuttuneiden aihetta koskevien käytäntöjen, toimintamallien tai teknisten prosessien vuoksi. Jos ohjeiden muutoksista aiheutuu Sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan Sopimuksen mukaisessa muutoshallintamenettelyssä.

3.3 Toimittaja sitoutuu noudattamaan Tilaajan henkilötietojen käsittelyssä tässä Tietosuojaliitteessä ja sen liitteissä sovittuja ehtoja sekä Tilaajan antamia käsittelyä koskevia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Toimittaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Toimittaja epäilee niitä lainvastaisiksi. Toimittaja sitoutuu varmistamaan, että henkilötietojen käsittelyssä noudatetaan alan tavanomaista ja riittävää tietosuojan tasoa.

3.4 Tilaaja voi antaa henkilötietojen käsittelyyn liittyvää ohjeistusta joko yleisesti koskien kaikkia Osapuolten välisiä sopimuksia, kohdennetusti koskien tiettyä käsittelytoimea tai -tapaa, tai tiettyä Osapuolten välistä sopimusta.

3.5 Toimittaja vastaa Tilaajan antamien ohjeiden noudattamisesta aiheutuvista kustannuksista silloin, kun Xxxxxxxx ohjeistus tai sen muutos johtuu lainsäädännön tulkinnan tai viranomaisen antaman ohjeistuksen muutoksesta taikka kokonaan uudesta sääntelystä tai ohjeistuksesta. Tilaaja vastaa Toimittajalle ohjeistuksen noudattamisesta aiheutuneista kustannuksista siltä osin, kun noudattamisesta aiheutuu tavanomaista merkittävämpää vaivaa tai kustannuksia, ja Tilaajan antama ohjeistus ei perustu lainsäädännön tulkinnan tai viranomaisen antaman ohjeistuksen muutokseen, uuteen sääntelyyn tai ohjeistukseen.

3.6 Toimittaja sitoutuu varmistamaan, että kaikki henkilöt, joilla on oikeus Toimittajan tuottamien palveluiden toteuttamiseksi käsitellä Tilaajan henkilötietoja, käsittelevät niitä ainoastaan Tilaajan antamien ohjeiden ja sovellettavan lainsäädännön mukaisesti. Tämän Tietosuojaliitteen ja sen mukaisesti annettujen ohjeiden velvoitteet koskevat kaikkia Toimittajan vastuulla toimivia alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

3.7 Toimittaja sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi vähintään alan vakiintuneiden käytäntöjen mukaiset ja objektiivisesti katsoen asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen ja luvaton luovuttaminen tai henkilötietoihin pääsy, ja noudattamaan Tilaajan ohjeita ja mahdollisia Tilaajan ohjeiden päivityksiä. Siltä osin kuin kysymys on Toimittajan määrittämästä käytännöstä, on Toimittajalla velvollisuus osoittaa toimenpiteiden asianmukaisuus ja riittävyys.

3.8 Toimittaja nimeää tietosuojavastaavan tai muun tietosuojasta vastaavan yhteyshenkilön Tilaajan henkilötietoihin liittyviä yhteydenottoja varten. Toimittaja ilmoittaa kirjallisesti tietosuojavastaavan tai muun yhteyshenkilön yhteystiedot Tilaajalle Liitteessä 1.

3.9 Toimittaja saattaa Tilaajan saataville ilman erillistä korvausta Tilaajan pyynnöstä kaikki tiedot, jotka Tilaaja tarvitsee rekisterinpitäjälle ja Toimittajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten ja osallistuu pyydettäessä erikseen sovittavalla tavalla Xxxxxxxx vastuulla olevien vaikutustenarvioinnin laatimiseen ja ylläpitämiseen, mahdollisen Tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen sekä mahdollisen tietosuojaa koskevan sertifioinnin hankkimiseen.

3.10 Toimittaja ilmoittaa kirjallisesti ja välittömästi Tilaajalle kaikista rekisteröityjen pyynnöistä, jotka koskevat Tietosuoja-asetuksen ja muun voimassa olevan henkilötietojen käsittelyä koskevan lainsäädännön mukaisen rekisteröidyn oikeuksien käyttämistä ja avustaa ilman erillistä korvausta Tilaajaa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata näihin rekisteröityjen oikeuksia koskeviin pyyntöihin. Toimittajan tulee kommunikoida tällaisen pyynnön esittäneelle taholle, että pyyntö on ohjattu eteenpäin rekisterinpitäjälle, eikä Toimittaja itse voi tällaiseen pyyntöön suoraan vastata. Toimittaja sitoutuu lisäksi antamaan rekisteröidylle selvityksen siitä, keneen rekisteröity voi jatkossa olla yhteydessä pyynnön toteuttamiseksi.

3.11 Kappaleessa 3.10 kuvatut rekisteröityjen oikeuksia koskevat pyynnöt voivat edellyttää Toimittajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen.

3.12 Toimittaja avustaa Tilaajaa ilman erillistä korvausta rekisteröityjen oikeuksia koskevien pyyntöjen toteuttamisessa siltä osin, kun henkilötietojen käsittely on osa Toimittajan keskeisiä sopimusvelvoitteita, eikä avustamiseen liity tavanomaista merkittävämpää vaivaa tai kustannuksia edellyttäen, että Toimittaja on asiallisesti järjestänyt rekisteröityjen oikeuksiin liittyvät toimintatavat ja teknologiat. Toimittaja on velvollinen ennakolta ilmoittamaan Tilaajalle mahdollisesti aiheutuvista lisäkuluista sekä näiden perusteista.

TARKASTUSOIKEUS

4.1 Tilaajalla on halutessaan oikeus varmistaa, että Toimittaja ja sen tarjoamat palvelut täyttävät Tietosuojalainsäädännössä ja muussa mahdollisesti sovellettavassa lainsäädännössä asetetut sekä Tilaajan ohjeissaan asettamat vaatimukset, ja että Toimittaja on toteuttanut asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden takaamiseksi. Toimittaja antaa näistä aiheista pyydettäessä tietoja ilman erillistä kustannusta, jotta Tilaaja voi varmistua käsittelytoimien asianmukaisuudesta ja turvallisuudesta.

4.2 Toimittaja xxxxxx Xxxxxxxx tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä myötävaikuttaa niiden toteutumiseen. Ilman erityistä perustetta tarkastusmenettely toteutetaan lähtökohtaisesti 30 vuorokauden varoitusaikaa noudattaen. Mikäli Tilaaja voi osoittaa erityisen perusteen tarkastuksen toteuttamiselle, kuten kohtuulliset syyt epäillä Tietosuojalainsäädännön tai sopimuksen rikkomista tai tietoturvaloukkausta, on Tilaajalla oikeus käynnistää tarkastusmenettely 7 vuorokauden ilmoitusaikaa noudattaen sen lisäksi, mitä tässä Tietosuojaliitteessä säädetään muusta avustamisesta.

4.3 Tilaajalla tai sen nimeämällä kolmannella osapuolella on oikeus auditoida Toimittajan tai sen alihankkijoiden välisen sopimuksen, tämän Tietosuojaliitteen tai Tietosuojalainsäädännön noudattamisen varmistuakseen siitä, että Toimittaja on täyttänyt Sopimuksen ja tämän Tietosuojaliitteen mukaiset velvollisuutensa. Kumpikin Osapuoli vastaa auditoinnista itselleen aiheutuneista kustannuksista. Mikäli auditoinnissa havaitaan merkittäviä puutteita, Toimittaja vastaa

auditoinnista Toimittajalle ja Tilaajalle aiheutuneista kustannuksista sekä Tilaajan nimeämän kolmannen osapuolen palkkiosta ja kuluista. Toimittaja sitoutuu avustamaan Tilaajaa ja Xxxxxxxx nimeämää kolmatta osapuolta auditoinnin suorittamisessa.

SALASSAPITOVELVOLLISUUS

5.1 Kaikki henkilötieto (mukaan lukien potilastiedot) on luottamuksellista, mukaan lukien tieto siitä, että henkilö on Tilaajan asiakas.

5.2 Toimittaja ei saa ilman Xxxxxxxx lupaa luovuttaa salassa pidettäviä tietoja, henkilö- tai potilastietoja, tai muita luottamuksellisia tietoja kolmansille. Toimittaja vastaa siitä, ettei palveluja tuotettaessa ja Sopimuksen mukaisessa toiminnassa tietoon tullutta henkilötietoa ilmaista luvatta. Salassapitovelvollisuus on voimassa riippumatta Sopimuksen ja tämän Tietosuojaliitteen voimassaolosta.

5.3 Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt sekä alihankkijat, joilla on oikeus käsitellä Tilaajan henkilötietoja, ovat sitoutuneet noudattamaan Sopimuksessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

5.4 Toimittaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee henkilötietoja ainoastaan Sopimuksen, tämän Tietosuojaliitteen ja Tilaajan antamien ohjeiden mukaisesti.

5.5 Salassapitovelvollisuuden rikkomisena ei pidetä viranomaisten velvoittavan määräyksen vuoksi tapahtuvaa tietojen luovuttamista viranomaisille tai muulle taholle. Näistä tietojen luovuttamisista Toimittajan tulee välittömästi ilmoittaa kirjallisesti Tilaajalle sekä kertoa kenelle ja mitä tietoja on luovutettu.

ALIHANKKIJAT, JOTKA KÄSITTELEVÄT HENKILÖTIETOJA

6.1 Mitä tässä Tietosuojaliitteessä säädetään alihankkijoista, koskee vain Xxxxxxxx henkilötietoja käsitteleviä alihankkijoita.

6.2 Siltä osin kuin Toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät Tilaajan henkilötietoja, Toimittaja järjestää ja huolehtii siitä, että alihankintaan sovelletaan Toimittajan ja alihankkijan välisen muun sopimuksen lisäksi tässä Tietosuojaliitteessä kuvattuja ehtoja tai sisällöltään vähintään vastaavia ehtoja, joista Toimittaja on sopinut alihankkijan kanssa. Mikäli Toimittaja käyttää tällaisia vastaavia ehtoja suhteessa alihankkijaansa, sitoutuu Toimittaja Xxxxxxxx pyynnöstä toimittamaan kyseiset ehdot Tilaajan saataville.

6.3 Xxx Xxxxxxxxxxx alihankkija käsittelee Xxxxxxxx henkilötietoja, alihankkijan käyttäminen edellyttää Tilaajan ennakkoon kirjallisesti antamaa erityistä tai yleistä lupaa.

6.4 Tämän Tietosuojaliitteen voimaantulon myötä Tilaaja antaa Toimittajalle yleisen kirjallisen ennakkoluvan käyttää alihankkijoita, kuitenkin säilyttäen veto-oikeuden Toimittajan alihankkijoiden muutoksiin.

6.5 Toimittaja ilmoittaa kirjallisesti Tilaajalle henkilötietojen käsittelyssä käyttämänsä alihankkijat ja niissä mahdollisesti myöhemmin tapahtuvat muutokset, sekä pitää Xxxxxxxx saatavilla listaa käytetyistä alihankkijoista. Ajantasainen lista alihankkijoista on lisäksi toimitettava Tilaajalle kolmen

(3) vuorokauden sisällä siitä, kun Tilaaja tällaisen pyynnön esittää. Tilaaja voi lisäksi edellyttää, että Toimittaja lähettää Xxxxxxxx edellyttämin säännöllisin väliajoin Tilaajalle yhteenvedon käyttämistään alihankkijoista ja/tai asettaa kyseisen luettelon Tilaajan saataville sähköisesti Osapuolten sopimaan paikkaan. Toimittajan tulee ilmoittaa Tilaajalle muutoksista liittyen henkilötietoa käsitteleviin alihankkijoihin viimeistään 60 vuorokautta ennen uuden alihankkijan ottamista. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa.

6.6 Toimittajan on tiedotettava Tilaajaa kirjallisesti kaikista suunnitelluista muutoksista, jotka koskevat alihankkijoiden, eli muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista ja annettava siten Tilaajalle mahdollisuus vastustaa tällaisia muutoksia. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja Tietosuojalainsäädännön mukaisesti.

6.7 Toimittaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se velvoittaa alihankkijat noudattamaan omalta osaltaan tässä Tietosuojaliitteessä Toimittajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Toimittaja varmistaa sopimuksin, että tämän Tietosuojaliitteen mukaiset Tilaajan tarkastus- ja muut oikeudet voidaan ulottaa alihankkijaan.

6.8 Toimittaja vastaa käyttämänsä alihankkijan mahdollisista tämän Tietosuojaliitteen taikka sovellettavan EU- tai kansallisen lainsäädännön rikkomisista tai laiminlyönneistä kuin omistaan. Toimittaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Mikäli Tilaaja perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, Toimittaja on edelleen täysimääräisesti vastuussa tällaisen alihankkijan toimenpiteiden suorittamisesta ja sopimusrikkomuksista kuin omistaan. Mikäli alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa ilman aiheetonta viivytystä.

TIETOJEN LUOVUTTAMINEN EU/ETA-ALUEEN ULKOPUOLELLE

7.1 Toimittaja ei saa tuottaa tai siirtää palveluita Euroopan unionin (EU) tai Euroopan talousalueen (ETA) ulkopuolelle ilman Tilaajan etukäteen antamaa nimenomaista ja yksilöityä kirjallista suostumusta, jossa ilmenee, mikä rajat ylittävä siirto on kyseessä sekä tällaisen kirjallisen suostumuksen reunaehdot ja laillisen tiedonsiirron toteuttava järjestely.

7.2 Mitä Sopimuksessa ja tässä Tietosuojaliitteessä sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.

7.3 Kappaleen 7.1 mukainen suostumus tulee dokumentoida käyttämällä Tietosuojaliitteen Liitettä 2.

7.4 Mikäli Toimittaja saa Xxxxxxxx nimenomaisen ja kirjallisen yksilöidyn suostumuksen mukaan käsitellä henkilötietoja EU/ETA-alueen ulkopuolella, Toimittajan tulee kirjallisesti ilmoittaa tällaisen henkilötietojen käsittelyn aloittamisesta Tilaajalle viimeistään 30 päivää ennen aloitusajankohtaa.

7.5 Mikäli Toimittaja käsittelee henkilötietoja Yhdysvalloissa tai muissa kuin EU-komission listaamissa luotettavissa maissa, Toimittaja sitoutuu solmimaan ennen henkilötietojen käsittelyn aloittamista Xxxxxxxx kanssa erillisen EU-mallilausekkeiden mukaisen sopimuksen henkilötietojen käsittelystä taikka käyttämään Privacy Shield -järjestelmää. Mikäli EU-mallilausekkeiden mukaista sopimusta tai Privacy Shieldiä ei myöhemmin pidettäisi riittävänä osoituksena tietosuojaa koskevan lainsäädännön velvoitteiden täyttämisestä, Toimittaja sitoutuu yhdessä Xxxxxxxx kanssa viipymättä saattamaan henkilötietojen käsittelyn lainmukaiseksi muulla tavoin.

7.6 Toimittaja sitoutuu siirtämään ilman aiheetonta viivytystä henkilötietojen käsittelyn EU/ETA-alueelle tai luotettavaan maahan, jos käsittelymaa poistetaan luotettavien maiden listalta tai Privacy Shield

-järjestelmä ei sovellu tilanteeseen.

7.7 Toimittaja takaa saman tietoturvan ja tietosuojan tason riippumatta henkilötietojen käsittelymaasta.

TIETOTURVALOUKKAUKSET

8.1 Tietoturvaloukkauksella tarkoitetaan sellaista tietoturvaan kohdistuvaa loukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten Sopimuksen nojalla käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

8.2 Toimittajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä, kuitenkin viimeistään 12 tunnin kuluessa siitä, kun Toimittaja on tullut tietoiseksi tietoturvaloukkauksesta.

8.3 Ilmoitus Tilaajalle tulee tehdä huolimatta siitä, täyttyykö Tietosuoja-asetuksen mukainen rekisterinpitäjän ilmoitusvelvollisuus.

8.4 Mikäli Toimittajalla on epäilys loukkauksen syntymisestä, tulee Toimittajan ilman aiheetonta viivytystä kommunikoida Tilaajalle kappaleen 8.6 mukaiset tiedot, jotta Tilaaja voi ennakoivasti varautua rekisterinpitäjän velvollisuuksiinsa.

8.5 Lisäksi Toimittaja sitoutuu ilmoittamaan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen yksityisyyden suojaan, asemaan tai oikeuksiin.

8.6 Toimittajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta tai tätä koskevasta epäilystä:

(i) tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;

(ii) tietosuojavastaavan tai muun sellaisen vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;

(iii) kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja

(iv) kuvaus toimenpiteistä, joita Toimittaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

(v) Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittajan tulee ryhtyä viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

Tiedot tulee antaa välittömästi, kun ne ovat saatavilla. Tällainen tieto voi olla saatavilla osissa, jolloin osat tulee antaa sitä mukaan, kun ne ovat saatavilla.

8.7 Toimittajan tulee lisäksi toteuttaa viipymättä kaikki toimet, joita vaaditaan tieturvaloukkauksen korjaamiseksi sekä toimet, joilla ehkäistään vastaava tietoturvaloukkaus tulevaisuudessa.

HENKILÖTIETOJEN KÄSITTELYN PÄÄTTYMINEN

9.1 Sopimuksen voimassaoloaikana Toimittaja ei saa poistaa Xxxxxxxx lukuun käsittelemiään henkilötietoja ilman Xxxxxxxx nimenomaista pyyntöä.

9.2 Sopimuksen päättyessä tai purkautuessa Toimittaja sitoutuu viivytyksettä Tilaajan antaman ohjeistuksen mukaisesti joko palauttamaan tai poistamaan Xxxxxxxx lukuun käsittelemänsä henkilötiedot. Henkilötiedot tulee toimittaa Tilaajan edellyttämässä muodossa sekä poistaa mahdollisesti olemassa olevat jäljennökset. Mikäli unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot, velvollisuutta tietojen poistamiseen ei ole. Toimittajan tulee Tilaajan pyynnöstä esittää poistamisesta kohtuullinen selvitys. Tilaaja voi antaa tältä osin tarkempia ohjeita Toimittajalle.

VASTUUT HENKILÖTIETOJEN KÄSITTELYSSÄ

10.1 Sopimuksessa, johon henkilötietojen käsittely perustuu, mahdollisesti olevaa vastuunrajoituslauseketta ei sovelleta tähän Tietosuojaliitteeseen ja tässä asetettuihin velvollisuuksiin.

10.2 Toimittajan korvausvastuu on määritelty tässä Tietosuojaliitteessä ja soveltuvassa Tietosuojalainsäädännössä, mukaan lukien vahingonkorvausoikeudessa. Toimittaja on vastuussa kaikista välittömistä vahingoista aiheutuneista kustannuksista täysimääräisesti mukaan lukien hallinnollisista sakoista, jotka ovat aiheutuneet Tilaajalle tästä Tietosuojaliitteestä tai Tietosuojalainsäädännöstä johtuvien velvoitteiden rikkomisesta.

10.3 Toimittaja on vahingon havaittuaan velvollinen ryhtymään asianmukaisiin toimenpiteisiin vahingon rajoittamiseksi.

10.4 Mikäli Tilaaja on maksanut rekisteröidylle korvauksen Tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, Tilaajalla on oikeus periä samaan käsittelyyn osallistuneelta Toimittajalta tämän vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Osapuolten vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy Tietosuojalainsäädännössä olevan vastaavan määräyksen tai tuomioistuimen tuomion taikka viranomaisen päätöksen mukaan.

SOPIMUSEHTOJEN VOIMASSAOLO

11.1 Salassapitoa ja Toimittajan vastuuta koskevat sopimusehdot sekä muut sellaiset sopimusmääräykset, joiden on katsottava tarkoitetun jäämään voimaan Sopimuksen päättymisen jälkeenkin pysyvät voimassa Sopimuksen päättymisestä huolimatta.

MUUT EHDOT

12.1 Osapuolet ymmärtävät, että Sopimusta tehtäessä tietosuojaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat tässä sopimuksessa määriteltyihin Osapuolten asemaan tai velvollisuuksiin, tätä Tietosuojaliitettä voidaan niiltä osin tarkistaa.

12.2 Jos jokin tämän Tietosuojaliitteen ehto olisi Tietosuojalainsäädännön tai sen perusteella tehtyjen tulkintojen mukaan arvioituna puutteellinen, pätemätön tai mitätön, Osapuolet sitoutuvat neuvottelemaan asiasta ja muuttamaan tai täydentämään Tietosuojaliitettä tarpeellisella tavalla.

12.3 Toimittajan ilmoitukset Tilaajalle koskien tietoturvaloukkauksia tulee toimittaa tietosuojavastaavalle osoitteeseen xxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx. Henkilötietojen käsittelyä ja tietosuojaa koskevat ilmoitukset ja pyynnöt tulee toimittaa osoitteeseen xxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx.

12.4 Tietosuojaliitteen mukaiset ilmoitukset voidaan toimittaa toiselle Osapuolelle sähköisesti siten, että toinen Osapuoli omakätisesti vahvistaa vastaanottaneensa kyseisen ilmoituksen. Ilmoitus katsotaan vastaanotetuksi, kun vastaanottava Osapuoli lähettää tätä koskevan omakätisen kuittauksen.

LIITTEET

13.1 Tämä Tietosuojaliite sisältää seuraavat liitteet: Liite 1: Kuvaus henkilötietojen käsittelytoimista

Liite 2: Henkilötietojen siirto EU/EEA-alueen ulkopuolelle