LUPAPISTE PALVELUSOPIMUS
LUPAPISTE PALVELUSOPIMUS
Lestijärven kunta 10.05.2023
1. Osapuolet ja yhteyshenkilöt
Asiakas
Lestijärven kunta (jäljempänä ”Asiakas”)
Lestintie 39, 69440 Lestijärvi
Y-tunnus: 0180774-6 Yhteyshenkilö: Xxxx Xxxx
Toimittaja
Cloudpermit Oy (jäljempänä ”Toimittaja” tai ”Cloudpermit”)
Xxxxxxxxxx 00x X0, 00000 Xxxxxxx Y-tunnus 2795153-5
Yhteyshenkilö: Xxxx Xxxx
Yhdessä ”Sopijapuolet” ja kumpikin yksin myös ”Sopijapuoli”.
Palvelu on Toimittajan tuottama ja asiakkailleen tarjoama ohjelmistopalvelu, jossa kansalaiset, yritykset ja yhteisöt hoitavat lupa- ja ilmoitusasiansa vuorovaikutuksessa viranomaisten ja muiden osapuolten kanssa. Toimittaja tuottaa palvelua vakiomuotoisena ratkaisukuvauksessa (liite 3) tarkemmin kuvatulla tavalla ("Palvelu").
Asiakas ja Toimittaja sopivat tällä sopimuksella Palvelun toimittamisesta Asiakkaalle palveluna. Xxxxxxx on halukas tilaamaan Toimittajalta ja Toimittaja on halukas toimittamaan Asiakkaalle tämän sopimuksen voimassaolon ajaksi liitteessä 1 määritellyt Palvelun osiot.
Toimittaja myöntää käyttöoikeuden ja tarjoaa Palvelun Asiakkaalle tämän sopimuksen ja sen liitteiden mukaisesti.
Toimittaja vastaa siitä, että Toimittajan vastuulla olevat tehtävät tehdään tämän Sopimuksen ehtojen mukaisesti, huolellisesti ja tehtävien edellyttämällä ammattitaidolla.
Mikäli Palvelussa on virheitä tai puutteita, Toimittajalla on oikeus ja velvollisuus korjata virheet. Toimittaja suorittaa Toimittajan vastuulla olevat tehtävät käyttäen omia työmenetelmiään.
Toimittajan on viipymättä ilmoitettava Asiakkaalle tietoonsa tulleesta seikasta, joka saattaa estää Xxxxxxxx sopimuksenmukaisen käyttämisen.
Asiakas vastaa siitä, että Asiakkaan vastuulla olevat tehtävät tehdään Sopimuksen mukaisesti ja huolellisesti.
Asiakas vastaa sovittujen palvelumaksujen maksamisesta.
Asiakas vastaa Palvelun käyttämiseen tarvitsemiensa laitteiden, tietoliikenneyhteyksien ja ohjelmistojen hankinnasta, toimintakunnosta ja suojauksista, mikäli ne eivät Sopimuksen mukaan kuulu Toimittajan vastuulle.
Asiakkaan tulee antaa Toimittajalle riittävät ja oikeat Tiedot Palvelun tuottamista varten ja muutoinkin parhaalla mahdollisella tavalla myötävaikutettava Palvelun toimittamiseen. Asiakas vastaa Toimittajalle antamistaan tiedoista sekä niiden ajantasaisuudesta.
Asiakkaan on ilmoitettava havaitsemistaan vioista ja muista Sopimuksen täyttämisen kannalta merkityksellisistä asioista Toimittajalle viipymättä.
5. Palvelun käytön aloittaminen
Toimittajan tulee antaa Asiakkaalle riittävät ohjeet Palvelun käytön aloittamiseksi kohtuullisen ajan kuluessa ennen Palvelun käytön aloittamista.
Toimittajan on käynnistettävä Palvelu sovittuna toimituspäivänä tai sovitun ajan kuluessa. Jos toimitusaikaa tai -päivää ei ole sovittu, Toimittaja käynnistää Palvelun kohtuullisen ajan kuluessa Sopimuksen allekirjoittamisesta tai tilausvahvistuksesta. Palvelu on käynnistetty, kun Palvelu on käytettävissä ja Toimittaja on ilmoittanut siitä Asiakkaalle.
Asiakas on velvollinen neljäntoista (14) vuorokauden kuluessa toimituspäivästä lukien reklamoimaan mahdollisista virheistä ja puutteista Palvelussa. Jos Asiakas ei ole reklamoinut edellä mainitussa ajassa, Palvelu katsotaan hyväksytyksi ja Sopimuksen mukaan toimitetuksi. Asiakkaan vastuulle kuuluvat seikat eivät voi estää Xxxxxxxx hyväksymistä.
Palvelu on käytettävissä jatkuvasti 24/7. Palveluaika on arkisin klo 9:00 – 15:30 (”Palveluaika”).
Palveluajalla tarkoitetaan aikaa, jolloin Palvelun käyttäjätukipalvelut ovat Asiakkaan nimetyn Palvelun pääkäyttäjän tavoitettavissa. Tukipalvelu sisältää palvelun järjestelmäteknisessä käytössä avustamisen. Tukipalveluita tarjotaan Toimittajan kulloinkin määrittelemillä tavoilla, esimerkiksi puhelimitse, sähköpostitse, verkkolomakkeella tai muulla vastaavalla tavalla. Tukipalvelua tarjotaan suomen ja ruotsin kielellä.
7. Asennus-, muutos- tai huoltotoimenpiteet
Toimittajalla on oikeus keskeyttää Palvelun tuottaminen huolto-, muutos-, korjaus- ja asennustöiden ajaksi. Mainitut katkokset pyritään suorittamaan viikonloppuisin ja iltaisin, jolloin Asiakkaalle aiheutuu mahdollisimman vähän haittaa käyttökatkoksista. Toimittaja ilmoittaa
suunnitelluista käyttökatkoksista Asiakkaalle etukäteen. Toimittajan on pyrittävä siihen, että keskeytyksestä aiheutuvat haitat jäävät mahdollisimman vähäisiksi.
Toimittajalla on oikeus keskeyttää Palvelun tuottaminen yleisen tietoliikenneverkon asennus-, muutos- tai huoltotoimenpiteiden, Palveluun kohdistuvan vakavan tietoturvauhan, Palvelun perusteltujen väärinkäyttöepäilyjen tai ylivoimaisen esteen vuoksi taikka jos laki tai viranomaismääräys tätä edellyttää.
Toimittajalla on oikeus vapaasti jatkokehittää ja muuttaa Palvelua tämän Sopimuksen sitä mitenkään rajoittamatta. Toimittaja ilmoittaa käytön kannalta merkittävistä muutoksista Asiakkaalle kohtuullisessa ajassa ennen muutoksen käyttöönottoa.
Mikäli Toimittaja julkistaa Palvelusta päivitysversion, Asiakas on velvollinen ottamaan päivitysversion käyttöönsä kustannuksellaan.
Palvelun hinnoista, maksuehdoista ja laskutuksesta on sovittu liitteessä 1.
Toimittajalla on oikeus muuttaa Hinnastoa ja Xxxxxxxx hintaa yleisen hintatason, kustannuskehityksen, valuuttakurssien, Palvelun hintaan vaikuttavien lakien, viranomaismääräysten tai verojen muuttuessa. Toimittaja ilmoittaa Xxxxxxxxx ja Xxxxxxxx hinnanmuutoksista Asiakkaalle vähintään kolmea (3) kuukautta ennen muutoksen voimaan tuloa.
Toimittajalla on oikeus tehdä hinnankorotuksia vain niihin Palvelun osiin, joista on sovittu liitteessä 1 ja joiden laskutus on käynnistynyt yli 12 kk aiemmin.
Hintojen korotus voi olla korkeintaan kaksi (2) prosenttia vuodessa.
Toimittajalla on oikeus käyttää alihankkijoita. Toimittaja on velvollinen ilmoittamaan Asiakkaalle käyttämistään alihankkijoista Asiakkaan pyynnöstä.
Toimittaja vastaa käyttämänsä alihankkijan toimista kuin omistaan. Toimittajan tulee huolehtia siitä, että sen alihankkijaa sitovat tämän Sopimuksen mukaiset turvallisuutta ja tietojen luottamuksellista käsittelyä koskevat ehdot.
Kumpikin Sopijapuoli on velvollinen pitämään salassa kaikki toisen Sopijapuolen liike- ja ammattisalaisuudet ja muut luottamukselliset tiedot, säilyttämään niitä huolellisesti sekä olemaan käyttämättä niitä muissa kuin tämän Sopimuksen mukaisissa tarkoituksissa. Myös tämän Sopimuksen sisältöä pidetään luottamuksellisena tietona.
Salassapitovelvollisuus jatkuu myös tämän Sopimuksen päättymisen jälkeen.
Toimittajalla on salassapitovelvollisuuksiensa estämättä oikeus mainita referenssinään Xxxxxxx ja tämän Sopimuksen yleinen tarkoitus.
11. Omistus- ja immateriaalioikeudet
Omistusoikeudet Asiakkaan aineistoihin kuuluvat Asiakkaalle tai kolmansille osapuolille, eikä Toimittajalla ole niihin muuta käyttöoikeutta kuin mitä Palvelun tuottaminen edellyttää, sisältäen kuitenkin oikeuden erinäisten raporttien laatimiseen ja myyntiin Toimittajan asiakkaille. Asiakas myöntää Toimittajalle oikeuden kopioida ja saattaa yleisön saataville Asiakkaan luovuttamaa materiaalia.
Omistus- ja kaikki immateriaalioikeudet Palveluun ja siihen liittyviin Toimittajan aineistoihin kuuluvat Toimittajalle tai kolmansille osapuolille.
Toimittajan käyttämät menetelmät ja apuvälineet ovat Toimittajan tai kolmannen osapuolen omaisuutta. Xxxxxxx ei saa käyttää niitä ilman Toimittajan kirjallista suostumusta muutoin kuin osana Palvelua.
12. Immateriaalioikeuksien loukkaukset
Mikäli kolmas osapuoli esittää väitteen siitä, että Xxxxxxx loukkaa sen immateriaalioikeuksia, Sopijapuolet sitoutuvat toimimaan seuraavasti: Asiakas ilmoittaa väitteestä Toimittajalle ja mikäli väite on perusteltu, Toimittaja ryhtyy parhaaksi katsomiinsa toimenpiteisiin loukkauksen välttämiseksi. Tässä tarkoituksessa Toimittaja voi valintansa mukaan esimerkiksi joko hankkia Asiakkaalle tarvittavat lisenssit, muuttaa Palvelua niin, ettei loukkausta tapahdu tai purkaa tämän sopimuksen.
Sopimuksen liitteenä (liite 2) on erillinen tietojenkäsittelysopimus.
14. Korvausvelvollisuus ja vastuunrajoitukset
Sopimukseen perustuva Toimittajan vahingonkorvausvelvollisuus Asiakkaalle on yhteensä enintään Palvelun laskennallinen arvonlisäveroton kuukausihinta rikkomushetkellä kerrottuna kuudella. Laskennallinen kuukausihinta määritetään edellisen kuuden kuukauden keskimääräisen kuukausilaskutuksen mukaan.
Sopijapuoli ei vastaa toisen Sopijapuolen tietojen tai tiedostojen tuhoutumisesta, katoamisesta tai muuttumisesta tai tästä aiheutuneista kuluista, kuten tietojen ja tiedostojen uudelleen luomisen aiheuttamista kustannuksista.
Kumpikaan Sopijapuoli ei vastaa toiselle Sopijapuolelle mahdollisesti aiheutuneista välillisistä vahingoista, kuten saamatta jääneestä voitosta tai liikevaihdosta.
Vastuunrajoitukset eivät koske vahinkoja, jotka on aiheutettu tahallaan tai törkeällä tuottamuksella.
Kumpikaan Sopijapuoli ei vastaa viivästyksistä ja vahingoista, jotka johtuvat ylivoimaisesta esteestä.
Sopijapuoli ei vastaa viivästyksestä tai vahingosta, joka johtuu Sopijapuolen vaikutus- mahdollisuuksien ulkopuolella olevasta esteestä, jota Sopijapuolen ei kohtuudella voida edellyttää ottaneen huomioon sopimuksentekohetkellä ja jonka seurauksia Sopijapuoli ei myöskään kohtuudella olisi voinut välttää tai voittaa. Ylivoimaisena esteenä pidetään, ellei toisin näytetä, esimerkiksi sotaa tai kapinaa, maanjäristystä, tulvaa tai muuta niihin verrattavaa luonnonmullistusta, yleisen liikenteen, yleisen tietoliikenteen tai yleisen sähkönjakelun keskeytystä, tuonti- tai vientikieltoa, lakkoa, työsulkua, boikottia tai muuta niihin verrattavaa työtaistelutoimenpidettä. Lakko, työsulku, boikotti tai muu niihin verrattava työtaistelutoimenpide katsotaan, ellei toisin näytetä, ylivoimaiseksi esteeksi myös silloin, kun Sopijapuoli on itse sen kohteena tai siihen osallisena.
Sopijapuolen alihankkijaa kohdannut ylivoimainen este katsotaan myös Sopijapuolen ylivoimaiseksi esteeksi, jos alihankinnan kohteena olevaa suoritusta ei voida ilman kohtuuttomia kustannuksia tai olennaista viivästystä tehdä tai hankkia muualta.
Sopijapuolen on viipymättä ilmoitettava ylivoimaisesta esteestä sekä esteen lakkaamisesta kirjallisesti toiselle Sopijapuolelle.
Asiakkaalla on oikeus minkään tässä Sopimuksessa todetun sitä estämättä tai rajoittamatta siirtää tämä Sopimus tai siihen perustuvat oikeutensa ja velvollisuutensa kokonaan tai osittain toisille julkishallinnon yhteisöille, joille Asiakkaan toiminta tai osa siitä siirretään tai siirtyy lakien ja/tai viranomaismääräysten nojalla, ilmoittamalla siirrosta kirjallisesti Toimittajalle.
Toimittajalla on oikeus Palvelua koskevan liiketoiminnan siirtyessä kokonaisuudessaan siirtää tämä Sopimus tai siihen perustuvat oikeutensa ja velvollisuutensa kolmannelle taholle.
Siltä osin, kun tässä Sopimuksessa ei ole muuta sovittu, Sopimuksen muuttaminen on mahdollista vain kummankin Sopijapuolen allekirjoittamalla muutossopimuksella.
18. Sopimuksen voimassaolo ja päättyminen
Tämä Sopimus tulee voimaan, kun se on molemmin puolin allekirjoitettu ja jatkuu toistaiseksi voimassa olevana. Asiakkaalla on oikeus irtisanoa sopimus noudattamalla kolmen (3) kuukauden irtisanomisaikaa. Toimittajalla on oikeus irtisanoa sopimus noudattamalla kuuden (6) kuukauden irtisanomisaikaa.
Mikäli Asiakkaan sopimus Toimittajan kanssa Palvelusta päättyy irtisanomisen tai purkamisen johdosta, päättyy tämä Sopimus automaattisesti samana päivänä.
Xxxxxxxxxxx saa lisäksi purkaa tämän Sopimuksen päättymään välittömästi, jos:
1. toinen Sopijapuoli olennaisesti rikkoo tämän Sopimuksen ehtoja, eikä korjaa rikkomustaan kirjallisesta huomautuksesta huolimatta kolmenkymmenen (30) päivän kuluessa mainitun huomautuksen vastaanottamisesta; tai
2. toinen Sopijapuoli joutuu konkurssiin tai selvitystilaan tai muuten vakaviin taloudellisiin tai liiketoiminnallisiin vaikeuksiin, eikä tämän johdosta kykene suorittamaan Sopimuksen mukaisia velvoitteitaan eikä myöskään aseta riittävää vakuutta näiden täyttämisestä.
Mikäli Asiakkaan riidaton maksusuoritus on viivästynyt ilman perusteltua ja hyväksyttävää syytä yli 30 päivää eräpäivästä, Toimittajalla on oikeus ilman seuraamuksia pidättäytyä suorituksistaan, kunnes Asiakas on suorittanut kaikki erääntyneet maksut Toimittajalle sekä halutessaan purkaa Sopimus.
Mikäli Sopimus puretaan, suorittaa Asiakas Toimittajalle korvauksen siihen mennessä toimitetusta Palvelusta, josta ei ole vielä laskutettu. Toimittaja ei ole velvollinen palauttamaan saamiaan ennakkoon laskutettuja maksuja sopimuksen päättyessä, eikä maksamaan Asiakkaalle muutakaan korvausta Sopimuksen ennenaikaisen päättymisen vuoksi.
Irtisanomisaikaa noudatettaessa irtisanominen ei vaadi erillisiä perusteluja. Irtisanomis- tai purkuilmoitus on tehtävä kirjallisesti.
Sopimuksen päättyessä Toimittajalla on velvollisuus kohtuudella myötävaikuttaa Palvelussa Toimittajan hallussa Sopimuksen perusteella tallessa olevan Asiakkaan Aineiston siirtoon Asiakkaalle itselleen tai toiselle toimittajalle.
Myötävaikutusvelvollisuus ei koske Asiakkaan muissa järjestelmissä olevaa aineistoa. Myötävaikutusvelvollisuus päättyy, kun kolme (3) kuukautta on kulunut Sopimuksen päättymisestä. Toimittajan myötävaikutusvelvollisuuteen liittyvissä palveluissa noudatetaan sovittuja veloitusperusteita.
20. Liitteet ja pätemisjärjestys
Tähän Sopimukseen kuuluvat erottamattomina osina seuraavat liitteet:
Liite 1 Asiakkaan palvelut ja hinnasto Liite 2 Henkilötietojen käsittelysopimus Liite 3 Palvelukuvaus
Mikäli tämän sopimusasiakirjan sisältö poikkeaa liitteiden sisällöstä, on tämän sopimusasiakirjan
teksti määräävä. Tulkintajärjestys liitteiden osalta on numerojärjestyksessä pienimmästä suurimpaan.
21. Sovellettava laki ja riitojen ratkaiseminen
Tähän Sopimukseen sovelletaan Suomen lakia.
Tästä Sopimuksesta mahdollisesti aiheutuvat erimielisyydet ratkaistaan ensisijaisesti neuvotteluteitse Sopijapuolten välillä. Jollei neuvotteluissa päästä Sopijapuolia tyydyttävään ratkaisuun, tästä Sopimuksesta aiheutuvat riitaisuudet ratkaistaan Pirkanmaan käräjäoikeudessa. Mikäli Sopijapuolet yksittäisen riidan osalta niin yhdessä sopivat, asia voidaan jättää myös välimiesoikeuden ratkaistavaksi.
22. Sopimuskappaleet ja allekirjoitus
Sopimus allekirjoitetaan sähköisesti ja kumpikin osapuoli saa samasanaiset sähköisesti allekirjoitetut dokumentit haltuunsa.
Xxxxxxx vahvistaa tutustuneensa tässä sopimuksessa yksilöityihin liitteisiin ja hyväksyy ne osaksi tätä sopimusta.
Lestijärven kunta Cloudpermit Oy
Xxxx Xxxx Xxxx Xxxx
Vt. rakennustarkastaja Product director
LIITE 2 HENKILÖTIETOJEN KÄSITTELYSOPIMUS
1. Soveltamisala
Tämä on Sopimus, joka koskee henkilötietojen käsittelyä osana Toimittajan palvelujen toimittamista Asiakkaalle siten, kuin Asiakkaan ja Toimittajan välisissä muissa sopimuksessa sekä kaikissa näihin sisällytetyissä asiakirjoissa ja liitteissä on tarkemmin määritelty.
2. Määritelmät
”Rekisterinpitäjä” tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. “Henkilötietojen tietoturvaloukkaus” tarkoittaa tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka saanti. “Tietosuojalainsäädäntö” tarkoittaa henkilötietolakia (523/1999 muutoksineen ja korvaavine säädöksineen, kuten asetusta (EU) 2016/679) ja muuta kulloinkin voimassaolevaa ja sovellettavaa tietosuojalainsäädäntöä sekä tietosuojaviranomaisten ohjeita ja sitovia määräyksiä. “Henkilötieto” tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ”Rekisteröity”, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
”Käsittely” tarkoittaa toimintoa tai toimintoja, joita kohdistetaan Henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin Palveluiden tarjoamisen yhteydessä joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
”Käsittelijä” tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. ”Alikäsittelijä” tarkoittaa Käsittelijään sopimussuhteessa olevaa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee Henkilötietoja osana Palveluiden suorittamista.
Käsitteet, joita ei ole määritelty yllä, saavat saman merkityssisällön, jonka kulloinkin voimassa oleva Tietosuojalainsäädäntö niille antaa.
3. Osapuolten roolit ja käsittelytoimenpiteet
Tämän Sopimuksen mukaisia tarkoituksia varten Toimittaja toimii Tietosuojalainsäädännössä määriteltynä Käsittelijänä ja Asiakas Rekisterinpitäjänä. Asiakas omistaa Sopimuksen kohteena olevat Henkilötiedot. Käsiteltävien Henkilötietojen ryhmät sekä käsittelytoimenpiteet on määritelty tarkemmin liitteessä 1A.
4. Toimittajan velvollisuudet
4.1. Yleiset velvollisuudet
Toimittaja ei saa käyttää Henkilötietoja muihin kuin tässä Sopimuksessa määriteltyyn tarkoitukseen. Toimittajan on: a) käsiteltävä Henkilötietoja asianmukaisella huolellisuudella Tietosuojalainsäädäntöä noudattaen; b) käsiteltävä Henkilötietoja ainoastaan Asiakkaan antamien, Tietosuojalainsäädäntöön perustuvien kirjallisten ohjeiden mukaisesti; c) avustettava Asiakasta varmistamaan Rekisterinpitäjälle Tietosuojalain-säädännössä säädettyjen velvollisuuksien noudattaminen; d) saatettava Asiakkaan saataville kaikki sellainen tarpeellinen tieto, joka osoittaa, että Toimittaja noudattaa sille tässä Sopimuksessa ja Tietosuojalainsäädännössä säädettyjä velvollisuuksia; ja e) ilmoitettava viipymättä Asiakkaalle viranomaisten tietopyynnöistä Henkilötietoihin liittyen, ellei se ole pakottavan lainsäädännön vastaista.
4.2. Alikäsittelijöiden käyttö
Toimittaja voi käyttää Alikäsittelijöitä ilmoittamalla siitä etukäteen kirjallisesti Asiakkaalle. Asiakkaalla on oikeus perustellusta syystä vastustaa Alikäsittelijän käyttämistä. Alikäsittelijän kanssa on tehtävä kirjallinen sopimus Henkilötietojen käsittelystä, ja sopimuksessa on edellytettävä vähintään tämän Sopimuksen mukaisten velvollisuuksien ja Tietosuojalainsäädännön noudattamista. Toimittaja vastaa Alikäsittelijöiden työstään kuin omastaan.
xxxxxxxxxxx.xxx 9
4.3. Henkilötietojen siirtäminen
Toimittaja ei saa siirtää Henkilötietoja Euroopan Unionin tai Euroopan talousalueen ulkopuolelle ilman Asiakkaan etukäteistä kirjallista suostumusta ja noudattamatta Tietosuojalainsäädännön edellytyksiä. Toimittajalle sallitaan etäyhteydellä pääsy Henkilötietoihin Euroopan Unionin tai Euroopan talousalueen ulkopuolelta.
Toimittajan on toteutettava asianmukaiset tekniset, fyysiset ja organisatoriset toimenpiteet, joilla varmistetaan Aineiston korkea turvallisuustaso ja suojellaan Aineistoa luvattomalta tai laittomalta käsittelyltä sekä tahattomalta menettämiseltä, tuhoamiselta, vahingolta, muutokselta tai luovuttamiselta Asiakkaan ohjeistuksen ja liitteen 1B mukaisesti. Toimittajan on varmistettava, että vain sellaisilla sen puolesta toimivilla henkilöillä, joilla on tarve saada Henkilötietoihin pääsy tämän Sopimuksen täyttämiseksi, on Aineistoon pääsy, ja että heitä sitoo asianmukainen salassapitovelvollisuus.
4.5. Henkilötietojen tietoturvaloukkaukset
Toimittajan on ilmoitettava Asiakkaalle Henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Toimittajan tulee avustaa Asiakasta Henkilötietojen tietoturvaloukkauksen selvittämisessä, jatkovahinkojen estämisessä sekä Rekisteröidyille tai viranomaisillle tehtävien ilmoitusten tekemisessä Tietosuoja-lainsäädännön edellyttämin tavoin.
Mikäli Asiakas pyytää ja on tarpeen Tietosuoja-lainsäädännön noudattamiseksi, Toimittajan tulee maksutta a) antaa Asiakkaalle kopio Rekisteröidyn Henkilötiedoista; b) korjata, estää Käsittely tai poistaa Rekisteröidyn Henkilötiedot; c) tarjota Asiakkaalle muuta sellaista tietoa tai palvelua Rekisteröityjen oikeuksien toteuttamiseen liittyen, joita Asiakas voi kohtuudella pyytää.
4.7. Henkilötietojen poistaminen
Kohtuullisen ajan kuluessa Palveluiden tarjoamisen päätyttyä taikka Asiakkaan pyynnöstä Toimittajan (ja sen Alikäsittelijöiden) on palautettava Asiakkaalle ja sen jälkeen poistettava Henkilötiedot ja niiden kaikki mahdolliset kopiot.
5. Muut ehdot
Asiakas (tai riippumaton kolmas osapuoli sen puolesta) voi auditoida Palvelut, kuten tuotantoympäristön ja -prosessit, tietoturvatoimenpiteet ja Toimittajan tilat, kerran vuodessa hyväksytyn auditointisuunnitelman mukaisesti ilmoittamalla siitä vähintään kymmenen (10) työpäivää aikaisemmin varmistaakseen, että Toimittaja noudattaa tätä Sopimusta ja Tietosuojalainsäädäntöä. Auditointi suoritetaan normaalina työaikana ja se ei saa häiritä tarpeettomasti Toimittajan toimintaa. Asiakas on vastuussa sen aloitteesta tehdyn auditoinnin kustannuksista (ml. Toimittajan auditointiin käyttämä työaika).
5.2 Voimassaoloaika ja päättäminen
Tämä Sopimus on voimassa niin kauan kuin on tarpeen Käsittelyn päättämiseksi (ml. Henkilötietojen poistaminen). Sopimuksen päättymisestä huolimatta Sopimuksen määräykset, jotka ovat luonteeltaan sellaisia, että ne on ilmeisesti tarkoitettu jäävän voimaan Sopimuksen päättymisestä riippumatta, jäävät voimaan.
5.3 Pätemisjärjestys
Mikäli tämän Sopimuksen ja Asiakkaan ja Toimittajan solmiman asiakaskohtaisessa palvelusopimuksen ehtojen välillä on ristiriitaa, sovelletaan asiakaskohtaisen palvelusopimuksen ehtoja.
Kaikki muutokset tähän Sopimukseen sovitaan kirjallisesti osapuolten kesken.
Liitetiedostot:
1A - Henkilötietojen käsittelyä koskevat yksityiskohdat
1B - Kuvaus teknisistä ja organisatorisista tietoturvatoimenpiteistä
xxxxxxxxxxx.xxx 10
Henkilötietojen käsittelyä koskevat yksityiskohdat
Henkilötiedot, joita käsitellään, koostuvat seuraavista rekisteröityjen ryhmistä:
Lupa-asiakirjojen sisältämät hakijoiden tiedot ja muut hakemustietoihin kirjatut luvanhakijat, hankkeisiin liittyvät ammatinharjoittajat ja asiamiehet, hankkeiden naapurit ja muut asianosaiset.
Henkilötiedot, joita käsitellään, koostuvat seuraavista henkilötiedoista:
Rajapinnan kautta siirretään viranomaistoiminnan kannalta tarpeellisia asiakirjoja, jotka sisältävät henkilö tiedoiksi luokiteltavia tietoja. Näitä tietoja ovat: Etunimi, Sukunimi, Katuosoite, Postinumero, Postitoimipaikka, Puhelinnumero, Sähköpostiosoite, Henkilötunnus, Ammattipätevyystiedot, Käyttäjän tallentamat tutkintotodistukset, CV:t ja muut liitedokumentit. Lisäksi hankekohtaisesti muut viranomaisen vaatimat henkilötiedoksi luokiteltavat tiedot.
Henkilötiedot, joita käsitellään, sisältävät seuraavia arkaluonteisia henkilötietoja (erityisiä henkilötietoryhmiä):
Rajapinnan kautta siirrettävät dokumentit eivät pääsääntöisesti sisällä arkaluontoisia henkilötietoja. Kunnan viranomainen on vastuussa siitä, mitä asiakirjoja rajapinnan kautta siirretään ja voi tarvittaessa estää tietyn tyyppisten asiakirjojen päätymisen rajapintaan.
Käsittely on tarpeen, jotta toimittaja voisi suorittaa seuraavat toimenpiteet
Toimittajan online-palvelun toimittaminen Asiakkaalle siten, kuin online-palveluiden käyttöä koskevassa Asiakkaan ja Toimittajan välisessä sopimuksessa sekä kaikissa siihen sisällytetyissä asiakirjoissa ja liitteissä on tarkemmin määritelty.
Henkilötietoja voidaan siirtää seuraaville vastaanottajille:
Henkilötietoja voidaan siirtää Toimittajan alikäsittelijöille. Toimittaja voi käyttää Alikäsittelijöitä ilmoittamalla siitä etukäteen kirjallisesti Asiakkaalle. Alikäsittelijän kanssa on tehtävä kirjallinen sopimus Henkilötietojen käsittelystä, ja sopimuksessa on edellytettävä vähintään Toimittajan ja Asiakkaan allekirjoittaman tietojenkäsittelysopimuksen mukaisten velvollisuuksien ja Tietosuojalainsäädännön noudattamista. Toimittaja vastaa Alikäsittelijöiden työstään kuin omastaan. Henkilötietoja ei siirretä Toimittajan toimesta muille vastaanottajille ilman eri sopimista Toimittajan ja Asiakkaan kesken.
Henkilötietoja voidaan siirtää EU/ETA-alueen ulkopuolelle seuraavin perustein:
Henkilötietoja voidaan siirtää EU/ETA-alueen tai Euroopan talousalueen ulkopuolella ainoastaan Asiakkaan etukäteisellä kirjallisella suostumuksella ja noudattamalla Tietosuojalainsäädännön edellytyksiä.
Toimittaja saa säilyttää henkilötietoja korkeintaan:
Xxxxxxx määrää omassa rekisterissään olevien henkilötietojen säilyttämisestä.
Kuvaus teknisistä ja organisatorisista tietoturvatoimenpiteistä
Organisatoriset tietoturvatoimenpiteet
Toimittaja myöntää pääsyn Palvelun henkilötietoihin vain sellaisille työntekijöilleen ja alihankkijoilleen, joilla on tehtävänsä puolesta tunnistettu tarve nähdä palvelun sisältämää tietoa. Toimittaja edellyttää työsopimuksessaan tietojen luottamuksellista käsittelyä. Toimittaja vaatii alihankkijoiltaan salassapitosopimuksen (NDA, Non-disclosure agreement). Toimittaja huolehtii, että henkilöstölle, uusille työntekijöille ja alihankkijoille järjestetään tietoturvaperehdytys. Toimittaja on nimennyt henkilöstöstään tietosuojavastaavan.
Tekniset tietoturvatoimenpiteet Kuvaus tietoturvan huomioimisesta
Järjestelmä on toteutettu siten, että kaikkien pyyntöjen pääsy- ja käyttöoikeudet tarkastetaan keskitetysti. Oikeus syntyy käyttäjäroolin ja haettavan sisällön mukaisesti. Sovelluksen toteuttamisessa on kiinnitetty huomiota siihen, ettei järjestelmään pääse syntymään tunnettuja haavoittuvuuksia, kuten syöteinjektio- tai XSS-haavoittuvuuksia. Tätä lähestymistapaa tukevat sovelluksen toteuttamiseen valitut kirjastot. Palvelun kehittämisessä tietoturvaohjeena noudatetaan tietoturvamääräyksiä, jotka pohjautuvat valtionhallinnon tietoturvasuosituksiin (VAHTI).
Verkkopalvelun käyttäjien pyynnöt kulkevat edustapalvelun kautta. Edustapalvelin huolehtii pyyntöjenohjaamisesta sivuja tuottavalle palvelimille. Ainoastaan erikseen määritellyt pyynnöt välitetään sovellukselle. Sovelluspalvelun tehtävä on toimia ajoalustana järjestelmän liiketoimintalogiikalle sekä integraatiopisteenä sisäisiin ja ulkoisiin tietolähteisiin. Järjestelmän
xxxxxxxxxxx.xxx 11
sisäisenä tietolähteenä käytetään tietokantaa. Järjestelmää voi käyttää ainoastaan salattuja tietoliikenneprotokollia käyttäen. Erityisesti, kaikki käyttäjäautentikaatioon liittyvä ja tunnistautumisen jälkeen tapahtuva liikenne salataan. Loppukäyttäjille tarjottava WWW-sovellus on saatavilla ainoastaan HTTPS-yhteydellä. Palvelun tarjoamat tiedostopohjaiset integraatiot tarjotaan SFTP-yhteydellä. Pääsy integraatiorajapintoihin suojataan lisäksi IP-pohjaisilla palomuurisäännöillä. Edustapalvelu, sovelluspalvelut ja tietokannat on asennettu omille palvelimilleen. Loppukäyttäjille on avattu tietoliikenneyhteys ainoastaan edustapalvelimille. Palvelua tuotetaan virtuaali- ja levypalvelimilta, jotka ovat sijoitettu yksityiseen virtuaalialiverkkoon (VLAN). Kukin palvelin suojataan palomuurilla, joka sallii vain tarvittavat yhteydet.
Fyysinen tietoturva
Palvelun ajoympäristönä ovat Ficolo Oy:n ylläpitämä virtuaalipalvelinalusta ja tiedostopalvelimet, jotka sijaitsevat fyysisesti Ficolon konesalissa Suomessa. Vuoden 2021 kuluessa ajoympäristö tullaan siirtämään Google Cloud Platform alustalle. Palvelun data tulee jatkossakin sijaitsemaan vaatimusten mukaisesti EU tai ETA-alueella. Varmuuskopiointi on toteutettu kahdentamalla data kahteen eri paikkaan, asetettujen vaatimusten mukaisesti. Konesalialue on jaettu useisiin erillisiin palotiloihin.
Käytössä olevat laitteistot on hajautettu kolmeen erilliseen palotilaan. Jokaisessa erillisessä tilassa on oma tulipalon havaitsemis- ja automaattinen sammutuslaitteisto. Kaikki hälytykset ohjautuvat aina myös hätäkeskukseen. Varavoima turvattu erillisillä generaattoreilla. Erillinen UPS-järjestelmä on liitettypääkytkimiin suojaamaan lyhyiltä sähkökatkoilta ja virtapiikeiltä. Verkkoyhteyksiin on käytössä kolmen eri operaattorin runkoverkot. Runkoverkot saapuvat konesaliin erillisiä linjoja pitkin ja riittävän etäällä toisistaan.
Henkilöturvallisuus
Konesali on pääsyrajattu alue. Kaikkia alueen sisällä olevia alueita valvotaan 24/7 ihmisen toimesta. Kaikista tunnistautumisista jää merkintä sähköiseen kulunvalvontatietokantaan. Rakennus on kallion sisäinen tila, johon on vähäinen määrä sisäänkäyntejä ja joita valvotaan 24/7. Jokaiselta sisääntulijalta vaaditaan tunnistautuminen henkilökohtaisilla avaimilla ja koodilla. Laitetilaan pääsy vaatii useiden eri tunnistautumisvälineiden käyttöä, kuten biometrinen tunnistaminen. Laitetilaan pääsee vain valvonnan alaisena.
Pääsynhallinta palveluun
Palvelun tuottamiseen käytettävää ympäristöä hallinnoivat Cloudpermitin ylläpitotiimi ja ylläpidosta vastaavat Cloudpermitin sopimuskumppanit. Kaikki hallinnointitapahtumat lokitetaan ja ovat jäljitettävissä. Vain operaattoreilla pääsy kaikille virtuaalipalvelimille. Palvelun virtuaalipalvelimille on pääsy myös palvelun omalla ylläpitotiimillä. Kaikki kirjautumistunnukset ovat henkilökohtaisia. Kaikki salasanat ovat turvallisen hallintaprosessin piirissä. Kaikki kriittiset toiminnallisuudet ovat useamman tunnistautumisvaiheen takana.
Tietojen säilytys
Palvelun tietoja säilytetään Suomessa sijaitsevilla palvelimilla, jotka on suojattu tarkoituksenmukaisesti muun muassa palomuureilla ja pääsynrajauksilla. Varmuuskopioita säilytetään erillisessä palotilassa, vastaavan fyysisen tietoturvan ympäristössä kuin palvelu itse. Varmuuskopioita säilytetään kaksi viikkoa.
Lokitiedot kopioidaan erilliseen Suomessa sijaitsevaan pilvipalveluun. Xxxxxx säilytyspalvelu takaa niiden muuttumattomuuden. Lokitietoihin on pääsy vain erikseen määritetyillä henkilöillä.
xxxxxxxxxxx.xxx 12