ICT-hankintojen Tietoturvallisuussopimus [Tilaaja] ja [Toimittaja] Tähän malliin on jätetty muokkausmerkinnällä keskeiset muutokset verrattuna edelliseen malliversioon.

Shape2











ICT-hankintojen

Tietoturvallisuussopimus



12/2018





[Tilaaja]



ja



[Toimittaja]



Tähän malliin on jätetty muokkausmerkinnällä keskeiset muutokset verrattuna edelliseen malliversioon.











SISÄLLYSLUETTELO




1Sopijapuolet

        1. Sopijapuolet ovat:


1. [nimi] (jäljempänä ”Tilaaja”)

Osoite

Y-tunnus




2. [nimi] (jäljempänä ”Toimittaja”)

Osoite

Y-tunnus



        1. Tämän sopimuksen yhteyshenkilöt ja heidän vastuunsa on määritelty tämän sopimuksen liitteessä. Ellei muuta ole sovittu, yhteyshenkilöt vastaavat tähän sopimukseen ja Pääsopimukseen liittyvästä tietoturvallisuuden hallinnasta ja koordinoinnista, kuten tietoturvapoikkeamien raportoinnista, mahdollisten tarkastusten toteutuksesta sekä sovittujen korjaustoimenpiteiden toteutumisen seurannasta.

2Määritelmät

        1. Alihankkija tarkoittaa Palvelun tuottamiseen osallistuvaa kolmatta osapuolta, jonka toiminnasta Toimittaja vastaa kuin omastaan. Tässä tarkoitetuksi alihankkijaksi katsotaan myös Toimittajan Palvelun tuottamisessa käyttämät ICT-laitteiston huolto- ja korjaustehtäviä suorittavat alihankkijat, ellei toisin sovita.

        2. Henkilötieto tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja.

        3. Käsittely (tietojen käsittely) tarkoittaa tietojen keräämistä, tallettamista, kopiointia, järjestämistä, käyttöä, lukemista, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita tietoihin kohdistuvia toimenpiteitä.

        4. Palvelu tarkoittaa sitä palvelua, josta Tilaaja ja Toimittaja ovat sopineet Pääsopimuksessa. Mitä tässä sopimuksessa todetaan Xxxxxxxxxx, sovelletaan soveltuvin osin myös Pääsopimuksessa sovittuun tavarahankintaan.

        5. Pääsopimus tarkoittaa kohdassa 3.1 yksilöityä Toimittajan ja Tilaajan välistä sopimusta liitteineen.

        6. Salassa pidettävä tieto tarkoittaa kaikkea sellaista asiakirjamuotoista tai muuta tietoa, joka on määritelty salassa pidettäväksi laissa viranomaisten toiminnan julkisuudesta (621/1999, jäljempänä ”julkisuuslaki”) tai muussa lainsäädännössä, ja jonka Tilaaja on tällaiseksi tiedoksi ilmoittanut tai jonka Toimittaja tiesi tai olisi pitänyt tietää kuuluvan tällaisiin tietoihin.

Salassa pidettävää tietoa voivat olla esimerkiksi Tilaajan henkilöstöön, asiakkaisiin, alihankkijoihin, prosesseihin, palveluihin, tiloihin, tietojärjestelmiin, tietokantoihin, ohjelmistoihin, rekistereihin, turvallisuus- ja varautumisjärjestelyihin sekä liikesalaisuuksiin (ml. tekniset ohjeet) liittyvät tiedot samoin kuin näiden tietojen muotoiluun, rakenteeseen ja metatietoon liittyvät tiedot.

Xxxxxxx pidettävää ei ole tieto, a) joka on ollut yleisesti saatavilla tai julkista tai jonka sopijapuoli on saanut laillisesti haltuunsa muuten kuin toiselta sopijapuoleltatiedossa tai tulee myöhemmin yleiseen tietoon muutoin kuin Toimittajan vastuulla olevasta syystä; b) joka on ollut todistettavasti vastaanottajan hallussa ilman sitä koskevaa salassapitovelvollisuutta ennen tiedon vastaanottamista luovuttajalta ja jota vastaanottaja ei ole välittömästi tai välillisesti hankkinut kolmannelta; c) jonka vastaanottaja on saanut haltuunsa kolmansilta ilman salassapitovelvollisuutta ja jonka ilmaisemiseen tai luovuttamiseen näillä kolmansilla on ollut oikeus salassapitovelvoitteen estämättä; db) jonka luovuttamisen ja käyttämisen luovuttaja on nimenomaan hyväksynyt; ja/tai ec) joka pakottavan lain, säädöksen tai tuomioistuimen päätöksen tai tuomioistuimen antaman sitovan määräyksen mukaisesti on luovutettavissa olevaa.

        1. Tekninen tukijärjestelmä tarkoittaa pääosin Toimittajan omaan käyttöön tarkoitettua tietojärjestelmää, joka ei sisälly Palvelun toimitukseen, mutta jota Toimittaja käyttää Palvelun tuottamiseen tai jossa käsitellään Tilaajan aineistoa, kuten esimerkiksi sähköposti-, tiketöinti-, työryhmä-, toiminnanohjaus-, konfiguraationhallinta- tai vastaavaa tietojärjestelmää.

        2. Tietojärjestelmä tarkoittaa tiettyä käyttötarkoitusta varten kerätyistä tiedoista muodostettua automaattisen tietojenkäsittelyn avulla pidettyä tiedostoa tai tietovarantoa, jonka avulla käyttäjä voi tuottaa palveluja tai suorittaa muita tehtäviä järjestelmän käyttötarkoituksen ja tietojen käsittelyä koskevien vaatimusten mukaisesti

        3. Tietotekninen laitetila (IT-laitetila) tarkoittaa erityisesti konesalia, palvelinhotellia, viestiasemaa, tietoverkon valvomo- tai hallintatilaa tai muuta erillistä teknistä tilaa.

        4. Tilaajan aineisto tarkoittaa Pääsopimuksen mukaisen tuotteen toimituksen tai Palvelun yhteydessä käytettävää tai niihin sisältyvää Tilaajan asiakirjaa, kirjallisia tietoja, rekistereitä, tietokantoja ja ohjelmistoja, sekä muuta aineistoa, jonka Tilaaja on luovuttanut Toimittajalle tuotteen tai Palvelun tuottamista varten, sekä lisäksi Palvelua tai tuotetta käytettäessä syntynyttä Tilaajan tietoaineistoa, tämän muotoilua, rakennetta ja metatietoa.

Tietoaineiston rakenteella ei tarkoiteta tietosisällön tallennusteknistä rakennetta, vaan sen käsitteellistä muotoilua ja jäsennystä Tilaajan tarkoitusta varten. Tietoaineisto voi olla tallennusteknisesti tiedostoissa, tietokannoissa tai muissa tallennusmuodoissa. Tässä määritelmässä tietosisällöllä ja tiedolla tarkoitetaan sekä raakatietoa että jalostettua tietoa.

        1. Toimitila tarkoittaa joko yksittäistä huonetta tai niistä muodostuvaa kokonaisuutta sekä tietoteknisiä laitetiloja, joissa suoritetaan Pääsopimuksessa sovittuja tai siihen liittyviä tehtäviä.

3sopimuksen tavoite ja kohde

        1. Toimittaja ja Tilaaja ovat tehneet Pääsopimuksen nro [XXX] [sopimuksen kohde] [pvm].

        2. Tämän sopimuksen tavoitteena on varmistaa Pääsopimuksella hankittavien tuotteiden ja palveluiden elinkaaren kattava tietoturvallisuus, Toimittajan toiminnan vaatimustenmukaisuus ja palvelutuotannon jatkuvuus erilaisissa häiriötilanteissa. Tavoitteena on lisäksi varmistaa Tilaajan aineiston luottamuksellisuus, eheys ja saatavuus Pääsopimuksen mukaisessa palvelutuotannossa siitä riippumatta, onko Tilaajan aineisto tämän sopimuksen perusteella Xxxxxxx pidettävää tietoa.

        3. Tässä sopimuksessa sovitaan turvallisuusjärjestelyistä, salassapidosta, tietosuojasta ja muusta tietoturvallisuudesta Palveluiden tuottamisessa sekä kaikessa Pääsopimukseen liittyvässä Tilaajan ja Toimittajan välisessä yhteistyössä. Tämän sopimuksen tarkoituksena on täydentää Pääsopimuksen ehtoja.

        4. Tämän sopimuksen, Pääsopimuksen ja sen muiden liitteiden soveltamisjärjestys määräytyy Pääsopimuksen ehtojen mukaisesti.

        5. Jos tämä sopimus ei ole Pääsopimuksen liiteasiakirja, tämän sopimuksen ehtoja sovelletaan ristiriitatilanteessa ennen Pääsopimuksen ehtoja.

        6. Pääsopimuksessa sovittuja vahingonkorvauksen vastuunrajoituksia ei sovelleta tämän sopimuksen perusteella syntyvään vahingonkorvausvastuuseen, pois lukien se, mitä on sovittu tietosuojaloukkauksista aiheutuneiden vahinkojen korvaamisesta, vaan vastuunrajoitukset määräytyvät aina tämän sopimuksen luvun 14 mukaisesti. Tätä kohtaa ja tämän sopimuksen mukaisia vastuunrajoituksia ei kuitenkaan sovelleta siihen, mitä Pääsopimuksessa on sovittu tai tietosuojalainsäädännössä on säädetty tietosuojaloukkauksista aiheutuneiden vahinkojen korvaamisesta.

        7. Viittaus ”tähän sopimukseen” tarkoittaa aina myös viittausta tämän sopimuksen liitteisiin, ellei nimenomaisesti toisin ole todettu.

4Alihankkijat

        1. Mitä tässä sopimuksessa on sovittu Toimittajasta ja Toimittajan henkilöistä, sovelletaan myös alihankkijaan ja alihankkijan henkilöihin. Mitä tässä sopimuksessa sovitaan alihankkijasta, koskee myös sellaisia Toimittajan konserniyhtiöitä, jotka osallistuvat sovitusti Tilaajalle tuotettaviin Palveluihin.

        2. Toimittaja voi käyttää sopimuksessa tarkoitetun palvelun tuottamiseen vain tilaajan hyväksymiä alihankkijoita. Tilaaja ei voi kieltäytyä antamasta hyväksyntäänsä ilman perusteltua syytä. Toimittajalla ei ole oikeutta vaihtaa Pääsopimuksessa nimettyä alihankkijaa tai olennaisten sopimusvelvoitteiden täyttämiseen osallistuvaa alihankkijaa ilman Xxxxxxxx suostumusta.

        3. Toimittajan tulee huolehtia siitä, että se pystyy noudattamaan tätä sopimusta myös käyttäessään alihankkijoita. Toimittajan on tiedotettava alihankkijalleen, että turvallisuusjärjestelyjen saattamisesta tämän sopimuksen edellyttämälle tasolle saattaa syntyä kustannuksia. Tilaaja ei vastaa näistä kustannuksista.

        4. Toimittaja vastaa alihankkijoiden toiminnasta kuin omastaan ja siitä, että alihankkijat toimivat tämän sopimuksen ehtojen mukaisesti.

        5. Tilaajan pyynnöstä Toimittajan tulee tehdä tämän sopimuksen ehtoja vastaava sopimus käyttämänsä alihankkijan kanssa ja Toimittajan on asetettava alihankkijalleen vastaava velvollisuus tämän käyttämän alihankkijan osalta.

5salassapito ja vaitiolovelvollisuus

        1. Tällä sopimuksella ei poiketa lainsäädännön asettamista pakottavista velvoitteista. Tällaisia velvoitteita voi sopijapuolille aiheutua esimerkiksi viranomaisten toiminnan julkisuudesta annetusta laista (621/1999), valtioneuvoston asetuksesta tietoturvallisuudesta valtionhallinnossa (681/2010; jäljempänä tietoturvallisuusasetus) sekä muussa lainsäädännössä olevista salassapitoa ja julkisuutta koskevista säännöksistä.

        2. Toimittaja sitoutuu pitämään Xxxxxxx pidettävän tiedon salassa ja käsittelemään sitä tämän sopimuksen ja Pääsopimuksen vaatimusten mukaisesti.

        3. Toimittaja ei käytä taikka hyödynnä Tilaajan aineistoa muuhun kuin Pääsopimuksen täyttämisen mukaiseen tarkoitukseen ja silloinkin ainoastaan siinä laajuudessa kuin se kulloinkin on tarpeen.

        4. Toimittaja saa luovuttaa Xxxxxxxx aineistoa vain niille henkilöille, jotka tarvitsevat tietoja Xxxxxxxx tuottamiseen liittyvissä työtehtävissään. ja joilla on tämän sopimuksen mukainen Xxxxxxx pidettävien tietojen käsittelyoikeus. Tilaajan aineistoa ei saa oikeudetta näyttää eikä luovuttaa sivulliselle eikä antaa sitä oikeudetta teknisen käyttöyhteyden avulla tai muulla tavalla sivullisen nähtäväksi tai käytettäväksi.

        5. Ellei toisin sovita, Toimittajan henkilön on täytettävä seuraavat edellytykset saadakseen oikeuden käsitellä Salassa pidettävää tietoa, joka on tietoturvallisuusasetuksen nojalla suojaustaso- tai turvallisuusluokiteltu tasolle III tai korkeampi:

a) Toimittaja on hyväksyttänyt henkilön Tilaajalla etukäteen;

b) henkilöllä on voimassa oleva 1.1.2015 jälkeen tehty turvallisuusselvitys;

c) henkilö on tietoinen tämän sopimuksen mukaisista velvoitteistaan; ja

d) henkilö on Tilaajan pyynnöstä allekirjoittanut vaitiolositoumuksen.

        1. Tilaaja voi edellyttää soveltuvan lainsäädännön mukaista henkilöturvallisuusselvitysmenettelyä myös henkilöiltä, joilla on käsittelyoikeus suojaus- tai turvallisuustason IV tietoon.

        2. Toimittajan on Tilaajan pyynnöstä Palvelua käynnistettäessä laadittava luettelo sellaisista Palvelun tuottamiseen osallistuvista Toimittajan tai sen alihankkijan henkilöistä, joilla on pääsy Xxxxxxxx Xxxxxxx pidettävään tietoon. Toimittajan on muutosten tapahtuessa päivitettävä luettelo ja toimitettava se Tilaajalle.

        3. Tarpeettomat tiedostot ja tulosteet tulee tuhota suojaustasoluokituksen edellyttämällä tavalla, ellei Tilaaja ole antanut asiasta tarkempaa ohjeistusta.

        4. Toimittaja sitoutuu noudattamaan tämän sopimuksen liitteenä olevaa Xxxxxxxx ohjeistusta Xxxxxxx pidettävän tiedon käsittelystä.

        5. Toimittaja vastaa siitä, että Toimittajan tai sen alihankkijan Palvelun tuottamiseen osallistuvat henkilöt allekirjoittavat Xxxxxxxx pyynnöstä tämän sopimuksen liitteenä olevan tai Tilaajan muuten toimittaman turvallisuusvelvoitteiden tiedoksisaantitodistuksen (vaitiolositoumuksen) ennen kuin heille myönnetään oikeus käsitellä Salassa pidettäviä tietoja.

        6. Ellei Pääsopimuksessa ole toisin sovittu, Toimittajalla ei ole oikeutta käyttää sopimusta referenssinä ilman Tilaajan kirjallista lupaa. Referenssioikeuden myöntäminen ei vapauta Toimittajaa sovituista salassapitovelvoitteista.

        7. Toimittaja tiedostaa, että Xxxxxxx pidettävän tiedon luvaton paljastaminen tai oikeudeton käsittely saattaa olla rikoslain mukaan rangaistava teko. Tilaaja valvoo lainsäädännön sallimin keinoin salassapitovelvoitteiden noudattamista.

6Tietosuoja

        1. Toimittaja noudattaa voimassa olevaa tietosuojalainsäädännön edellyttämiä menettelytapoja ja henkilötietojen käsittelyä ja suojaamista koskevia säännöksiä. Toimittaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön ja sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.

        2. Mikäli Palveluun tai muuhun osapuolen väliseen yhteistyöhön sisältyy henkilötietojen käsittelyä, vastaavat sopijapuolet omista lakiin perustuvista velvoitteistaan joko rekisterinpitäjänä tai henkilötietojen käsittelijänä. Jos Toimittaja käsittelee henkilötietoja rekisterinpitäjänä olevan Tilaajan lukuun, Sopijapuolet sitoutuvat noudattamaan JIT 2015 – Erityisehtoja henkilötietojen käsittelystä (JIT 2015 – Henkilötiedot), ellei henkilötietojen käsittelyä koskevista ehdoista ole toisin kirjallisesti sovittu.

        3. Henkilötietojen käsittelyyn ja siirtämiseen sovelletaan lisäksi kohtia 7.6-7.8.


7hallinnollinen ja fyysinen tietoturvallisuus

Yleiset vaatimukset

        1. Toimittaja sitoutuu toteuttamaan sovitut tekniset ja organisatoriset toimenpiteet, joita tarvitaan Tilaajan aineiston suojaamiseksi luvattomalta tietoihin pääsyltä tai tietojen tuhoutumiselta tai muuttumiselta.

        2. Tilaaja on määrittänyt Palveluun ja Toimittajan toimintaan liittyvät tietoturvavaatimukset, jotka Toimittajan tulee täyttää. Vaatimukset on esitetty [Pääsopimuksen liitteessä X/tämän sopimuksen liitteessä X.]. Vaatimukset täydentävät tämän sopimuksen mukaisia vaatimuksia, jotka asettavat vähimmäistason Palvelun tietoturvallisuudelle.

        3. Toimittaja sitoutuu noudattamaan tietoturva-asetuksen mukaisia käsittelysääntöjä suojaustaso- tai turvallisuusluokitellun tiedon osalta. Xxxxx Xxxxxxx pidettävää tietoa ole luokiteltu eikä Tilaaja ole muutoin ohjeistanut Toimittajaa Xxxxxxx pidettävän käsittelystä, Xxxxxxx pidettävää tietoa käsitellään kuin se olisi luokiteltu suojaustasolle IV.

        4. Toimittaja sitoutuu ylläpitämään liitteenä olevan turvallisuudenhallinnan kuvauksen mukaiset menettelyt.

        5. Toimittaja on velvollinen ilmoittamaan Tilaajalle, jos Toimittajan on noudatettava Pääsopimuksen mukaisessa toiminnassaan muuta kuin Suomen tai Euroopan unionin lainsäädäntöä, joka voi muodostaa ristiriidan tämän sopimuksen ehtojen kanssa.


Tilaajan aineiston sijainti

        1. Ellei palvelun tuottamispaikasta tai Tilaajan aineiston käsittelystä ole toisin sovittu, Toimittajalla on oikeus käsitellä Tilaajan aineistoa ainoastaan Euroopan talousalueella. Mitä Pääsopimuksessa ja tässä sopimuksessa sovitaan Tilaajan aineiston käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan aineistoon esimerkiksi hallinta- ja valvontayhteyden välityksellä. Toimittaja tiedostaa tämän vaatimuksen koskevan myös erilaisia teknisiä tukijärjestelmiä, joita se hyödyntää Palvelujen tuotannossa.

        2. Toimittaja on pyynnöstä velvollinen ilmoittamaan Tilaajalle kaikki ne toimipisteet ja valtiot, joista Toimittaja tuottaa Palvelua ja/tai käsittelee Tilaajan aineistoa.

        3. Toimittaja voi siirtää Tilaajan aineistoa sovitusta palvelun tuottamispaikasta ainoastaan Tilaajan etukäteen antaman kirjallisen luvan perusteella. Henkilötietojen siirrossa Sopijapuolet huolehtivat siitä, että siirto toteutetaan tietosuojalainsäädännön mukaisesti. Jos tietosuojalainsäädäntö edellyttää erillistä sopimista, Toimittaja valmistelee kustannuksellaan riittävät tiedonsiirtosopimukset tiedon siirtämiseksi Euroopan talousalueelta kolmansiin maihin tai pääsyn mahdollistamiseksi Euroopan talousalueella olevaan Tilaajan aineistoon Euroopan talousalueen ulkopuolelta. Henkilötietojen siirron osalta hyödynnetään EU:n komission mallisopimuslausekkeita, elleivät sopijapuolet sovi vaihtoehtoisista malleista henkilötietojen lain mukaiseksi siirtämiseksi.

Tilaajan toimitilojen turvallisuus

        1. Toimittaja vastaa siitä, ettei Xxxxxxxx toimitilojen tai toiminnan turvallisuus vaarannu Toimittajan henkilöstön huolimattomuuden, virheellisten työtapojen tai muun tämän sopimuksen tai Pääsopimuksen vastaisen toiminnan johdosta.

        2. Ellei toisin sovita, pääsyoikeus muihin kuin Tilaajan julkisiin tiloihin annetaan vain niille Toimittajan henkilöille, jotka

a) Toimittaja on hyväksyttänyt Tilaajalla etukäteen,

b) joista on tarvittaessa tehty henkilöturvallisuusselvitys ja

c) jotka ovat tietoisia tämän sopimuksen velvoitteistaan ja tiloissa liikkumisesta annetuista ohjeista.

        1. Ellei toisin sovita, Toimittajan henkilöillä on oltava Tilaajan tiloissa liikkuessaan näkyvillä tunniste, kuten Toimittajan tai Tilaajan myöntämä henkilö- tai vierailijakortti.


Toimittajan toimitilojen turvallisuus

        1. Ellei toisin sovita, Toimittajan toimitilojen tulee olla Salassa pidettävän tiedon suojaustason tai turvallisuusluokituksen asettamat vaatimukset huomioon ottaen asianmukaisesti suojattu lukituksella ja muilla tarpeellisilla toimenpiteillä luvattoman pääsyn estämiseksi toimitiloihin ja siellä olevaan Salassa pidettävään tietoon.

        2. Ellei toisin sovita, kulunvalvonta IT-laitetiloihin, joissa käsitellään Salassa pidettävää tietoa, on järjestettävä siten, ettei kukaan pääse saapumaan tai poistumaan tulematta rekisteröidyksi (sähköinen/kirjallinen loki tai vastaava).

        3. Toimittajan tulee Tilaajan pyynnöstä hyväksyttää Tilaajalla kaikki henkilöt, joille on tarpeen myöntää pääsyoikeus yksinomaan Tilaajan Palvelujen tuottamiseen varattuun Toimittajan tilaan, jossa käsitellään Xxxxxxx pidettävää tietoa ja joka on sovitulla tavalla eriytetty Toimittajan muusta toiminnasta. Tässä kohdassa tarkoitetuista henkilöistä on Tilaajan niin vaatiessa ja lainsäädännön edellytysten täyttyessä teetettävä henkilöturvallisuusselvitys.

8tietojärjestelmIEN hallinnan vaatimukset

        1. Toimittaja on Tilaajan pyynnöstä velvollinen hyväksyttämään Tilaajalla sellaiset Toimittajan henkilöt, jotka voivat pääsyoikeuksiensa perusteella keskeyttää tai vaarantaa Tilaajan tietojärjestelmien toiminnan taikka vaarantaa tietojärjestelmän tietoturvallisuuden. Tilaaja voi hakea tällaisista henkilöistä tarvittaessa henkilöturvallisuusselvityksen.

        2. Ellei toisin sovita, Toimittajan tulee huolehtia Toimittajan vastuulla olevien palveluympäristöjen osalta siitä, että:

  • sen henkilöstön oikeudet ja valtuudet Palvelun tuottamisessa käytettävissä tietojärjestelmissä rajataan vain työtehtävien edellyttämään laajuuteen,

  • pääsyoikeuksien myöntämisen, muuttamisen ja poistamisen osalta noudatetaan prosessia, joka kattaa toimitilat, tietojärjestelmät ja palvelut,

  • pääsyoikeudet tietojärjestelmiin, joissa käsitellään Tilaajan aineistoa, ovat henkilökohtaisia,

  • Toimittajan henkilölle myönnetyt Xxxxxxxx avaimet, henkilökortit ja kulkuluvat palautetaan Tilaajalle sekä käyttäjätunnukset ja pääsyoikeudet poistetaan ilman viivytystä, kun henkilö ei enää osallistu Palvelun tuottamiseen ja;

  • Sopimuksen päätyttyä Toimittaja palauttaa ilman viivytystä Tilaajalle tämän avaimet, henkilökortit, kulkuluvat, salausavaimet, lisenssit, kulkukoodit, käyttäjätunnukset, salasanat, muut tunnistautumisvälineet sekä muun Tilaajan luovuttaman omaisuuden ja sulkee sopimuksen nojalla avaamansa tietoliikenne-, tietojärjestelmä-, tiedonsiirto- sekä etäkäyttöyhteydet.




9ohjelmistoturvallisuus

        1. Toimittaja vastaa Palvelun osalta siitä, että:

  • sen toimittamiin tietojärjestelmäpalveluihin, ohjelmistokomponentteihin tai medioihin ei sisälly haittaohjelmia tai muuta tahallista haitallista toiminnallisuutta,

  • se seuraa Palvelun tuottamiseen liittyviin ohjelmistoihin, kolmannen osapuolen komponentteihin ja sen osana oleviin valmisohjelmistoihin liittyviä tietoturvallisuustiedotteita, julkaistuja tietoturvapäivityksiä ja haavoittuvuuksia,

  • se tiedottaa Tilaajaa viivytyksettä Palvelun tuottamiseen liittyvien ohjelmistojen tietoturvahaavoittuvuuksista sekä tietoturvapäivityksistä.



10jatkuvuuden varmistaminen

        1. Tilaaja on määrittänyt ICT-varautumisvaatimukset, jotka Toimittajan tulee täyttää. Vaatimukset on esitetty [Pääsopimuksen liitteessä X/tämän sopimuksen liitteessä X.]. Vaatimukset täydentävät tämän sopimuksen mukaisia vaatimuksia, jotka asettavat vähimmäistason ICT-varautumiselle.

        2. Palvelun jatkuvuuden varmistamiseksi Toimittaja vastaa siitä, että:

  • sillä on asianmukaiset voimassa olevat suunnitelmat, järjestelyt ja vakuutukset toimintansa jatkuvuuden varmistamiseksi ja keskeytyksiltä suojautumiseksi,

  • jatkuvuuden varmistamisen toimenpiteet ja suunnitelmat on koulutettu, harjoiteltu ja otettu käyttöön palvelutuotannossa ja;

  • Palvelun saatavuuden ja häiriöstä tai vikatilanteesta toipumisen (ml. varmuuskopioinnin) prosessit sekä niiden tekniset toteutukset on suunniteltu siten, että palautumisvalmius vastaa sovittuja vaatimuksia.


11Turvallisuusselvitykset

        1. Tämän sopimuksen tarkoittamalla turvallisuusselvityksellä tarkoitetaan turvallisuusselvityslain (726/2014) mukaista yritysturvallisuusselvitystä ja henkilöturvallisuusselvitystä taikka niitä vastaavia, Suomen kansallisen turvallisuusviranomaisen (National Security Authority, NSA) kautta hankittua ja ulkomaan turvallisuusviranomaisen myöntämää yritysturvallisuustodistusta ja henkilöturvallisuustodistusta.



Yritysturvallisuusselvitykset

        1. Tilaaja voi hakea Toimittajasta turvallisuusselvityslain mukaisen yritysturvallisuusselvityksen tai kansainvälisten tietoturvallisuusvelvoitteiden edellyttämän yritysturvallisuusselvityksen (Facility Security Clearance, FSC).

        2. Yritysturvallisuusselvityksen hakemisen edellytyksistä on säädetty turvallisuusselvityslain 33 §:ssä. FSC:n hakemisen edellytyksistä on säädetty laissa kansainvälisistä tietoturvavelvoitteista sekä sovittu Suomea sitovissa kansainvälisissä sopimuksissa.

        3. Yritysturvallisuusselvityksen ja FSC:n edellytyksenä on, että Toimittaja on antanut siihen etukäteisen suostumuksen. Tilaajalla on kohdan 16.3 mukainen irtisanomisoikeus, jos Toimittaja kieltäytyy antamasta suostumuksensa yritysturvallisuusselvityksen hakemiselle.

        4. Turvallisuusselvityslain perusteella tehtävien yritysturvallisuusselvitysten hakemisesta vastaa Tilaaja. Sopijapuolet sopivat erikseen menettelystä FSC:n hankkimiseksi.

        5. Ellei Pääsopimuksessa toisin sovita, Toimittaja vastaa kaikista yritysturvallisuusselvitysmenettelyyn (ml. FSC-menettely) liittyvistä kustannuksista. Toimittaja vastaa myös alihankkijansa yritysturvallisuusselvitykseen liittyvistä kustannuksista.

        6. Jos lainsäädännön tai Suomea velvoittavien sopimusten edellytykset FSC:n hakemiselle eivät täyty sen vuoksi, että Palvelussa ei käsitellä turvallisuusluokiteltua tietoa, mutta Palvelun yhteydessä Toimittaja käsittelee kuitenkin suojaustasoon I–III kuuluvaksi luokiteltuja asiakirjoja, Tilaajalla on oikeus pyytää Toimittajaa toimittamaan turvallisuusselvityslain 37 §:ssä säädetyt tiedot Tilaajalle. Tiedot on toimitettava siinä laajuudessa kuin Toimittaja on voimassa lainsäädännön mukaan oikeutettu niitä käsittelemään. Jos Toimittaja kieltäytyy toimittamasta vaadittuja tietoja tämän sopimuksen mukaisessa laajuudessa, Tilaajalla on kohdan 16.3 mukainen irtisanomisoikeus. Tilaaja on oikeutettu käyttämään toimitettuja tietoja tehdäkseen itse tai toimivaltaisen viranomaisen avustuksella kohdan 11.8 mukaisen arvioinnin. Tilaajan tämän kohdan mukaiseen vaitiolovelvollisuuteen ja hyväksikäyttökieltoon sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 22—24§:ää.

        7. Tilaajalla on oikeus arvioida yritysturvallisuusselvityksen sisältö ja yrityksen tai sen vastuuhenkilöiden luotettavuus, yrityksen tietoturvallisuuden taso sekä kyky hoitaa Pääsopimuksen ja tämän sopimuksen mukaiset sitoumukset. Sopimuksen irtisanomisoikeudesta muun muassa yritysturvallisuusselvityksessä ilmenneiden seikkojen vuoksi on sovittu kohdassa 16.4.

Henkilöturvallisuusselvitykset

        1. Tilaajalla on oikeus hakea turvallisuusselvityslaissa tarkoitettu henkilöturvallisuusselvitys Toimittajan henkilöistä turvallisuusselvityslain mukaisessa laajuudessa. Toimittaja vastaa turvallisuusselvityksen kohteena olevan henkilön suostumuksen hankkimisesta.

        2. Toimittajan tulee toimittaa henkilöturvallisuusselvityksen kohteena olevan henkilön täyttämä ja allekirjoittama lomake Tilaajalle henkilöturvallisuusselvityksen hakemista varten.

        3. Ellei toisin sovita, turvallisuusselvityslain mukaista henkilöturvallisuusselvitystä vastaavaksi selvitykseksi hyväksytään toisen valtion antama henkilöturvallisuustodistus (Personal Security Clearance, PSC). Tilaaja voi myös hyväksyä vastaavan toisen valtion viranomaisen tekemän henkilöturvallisuusselvityksen.

        4. Jos henkilöturvallisuusselvitystä tai -todistusta tai PSC-todistusta ei ole saatavissa selvityksen kohteena olevasta henkilöstä, mutta turvallisuusselvityslain mukaiset edellytykset henkilön luotettavuuden ja nuhteettomuuden arvioimiseksi ovat olemassa, Toimittaja toimittaa pyynnöstä kyseisen henkilön rikosrekisteriotteen, liiketoimintakieltorekisteriotteen sekä sakkorekisteriotteen tai vastaavat toisen valtion viranomaisen pitämiin rekistereihin perustuvat otteet Tilaajalle. Tiedot on toimitettava siinä laajuudessa kuin Toimittaja on voimassa lainsäädännön mukaan oikeutettu niitä käsittelemään.

        5. Toimittaja on velvollinen hankkimaan selvityksen kohteena olevan henkilön suostumuksen kohdassa 11.12 mainittujen selvitysten toimittamiseksi Xxxxxxxxxx. Tilaaja on oikeutettu käyttämään saamiaan tietoja ainoastaan tehdäkseen 11.15 mukaisen arvioinnin. Tilaajan tämän kohdan mukaiseen vaitiolovelvollisuuteen ja hyväksikäyttökieltoon sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 22—24§:ää.

        6. Tilaaja vastaa Suomessa tehtyjen henkilöturvallisuusselvitysten kustannuksista. Mikäli henkilöturvallisuusselvitys tulee uudelleen tehtäväksi sen vuoksi, että Toimittajan henkilöstössä tapahtuu vaihdos tai Tilaajasta riippumaton lisäys, Toimittaja vastaa uuden henkilön henkilöturvallisuusselvityksen teettämisen tai todistuksen antamisen kustannuksista. Toimittaja vastaa PSC:n tai vastaavan toisen valtion viranomaisen antamien selvitysten ja todistusten kustannuksista.

        7. Tilaajalla on henkilöturvallisuusselvityksestä tai muusta vastaavasta selvityksestä ilmenneestä syystä oikeus olla hyväksymättä Toimittajan ehdottamia henkilöitä Pääsopimuksen mukaisten Palvelujen tuottamiseen. Toimittajan on myös viivytyksettä ja veloituksetta vaihdettava henkilö, jota Xxxxxxx ei edellä mainituista syistä enää hyväksy kyseiseen tehtävään. Toimittaja vastaa henkilövaihdoksen ja uuden henkilön perehdyttämisen aiheuttamista kuluista. Toimittaja ei veloita Xxxxxxxx antamaan perehdytykseen osallistumisesta. Korvaavalla henkilöllä on oltava vastaava pätevyys ja ammattitaito ja Xxxxxxxx hyväksyntä. Tilaaja ei saa evätä hyväksyntäänsä ilman pätevää syytä.


12Tarkastukset

        1. Tilaajalla tai Tilaajalta toimeksi saaneella riippumattomalla kolmannella taholla, on oikeus tarkastaa etukäteen ilmoitettuna ajankohtana Toimittajan turvallisuusjärjestelyt tätä sopimusta sekä Pääsopimusta koskevilta osin.

        2. Kohdan 12.1 mukainen tarkastus voidaan lain edellytysten täyttyessä suorittaa myös viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011, jälj. auditointilaki) mukaisena arviointina tai valtiovarainministeriön teettämänä selvityksenä. Tämän kohdan mukaisen tarkastuksen toteuttamisesta päättää yksinomaan Xxxxxxx, ellei kyse ole auditointilain 5 §:n tarkoittamasta valtiovarainministeriön teettämästä selvityksestä.

        3. Sopijapuolet pyrkivät myötävaikuttamaan tarkastuksen suorittamiseen siten, ettei tarkastustoimenpiteistä aiheudu kohtuutonta haittaa Toimittajan palvelutuotannolle tai sovitulle palvelutasolle. Tilaaja tai sopijapuolet yhdessä laativat tarkastusta koskevan tarkastussuunnitelman, jonka sopijapuolet katselmoivat. Tarkastukset eivät saa vaarantaa Toimittajan tietoturvallisuutta tai Toimittajan salassapitovelvoitteita muita asiakkaita kohtaan enempää kuin mikä on välttämätöntä tarkastuksen tarkoituksen toteuttamiseksi tämän sopimuksen vaatimustenmukaisuuden selvittämiseksi.

        4. Ellei turvallisuusselvityslaista tai auditointilaista muuta johdu tai elleivät sopijapuolet ole toisin sopineet, Tilaaja vastaa tarkastusten ja arviointien ja todistuksen antamisesta aiheutuvista maksuista, kuten tarkastajan työkustannuksesta. Selvyyden vuoksi todetaan, että Toimittaja vastaa kaikista niistä kuluista ja kustannuksista, joita sille tai sen alihankkijalle aiheutuu tarkastuksiin käytetystä työajasta, havaittujen puutteiden korjaamisesta ja kuluista, jotka aiheutuvat Palvelun saattamiseksi sovittujen vaatimusten mukaisiksi.

        5. Ellei toisin ole sovittu, Xxxxxxxx on ilmoitettava tahdostaan suorittaa tarkastus viimeistään neljätoista (14) päivää ennen ehdotettua tarkastuspäivää. Toimittaja voi ehdottaa uutta päivää tarkastukselle. Uusi päivä ei kuitenkaan saa olla myöhemmin kuin 10 (päivää) Xxxxxxxx ilmoittaman päivän jälkeen. Haavoittuvuusskannauksia voidaan kuitenkin tehdä edellä mainitusta määräajasta riippumatta erikseen sovittavina ajankohtina.

        6. Toimittajan tulee huolehtia sopimusjärjestelyin siitä, että Tilaajalla on mahdollisuus tarkastaa Toimittajan alihankkijan turvallisuusjärjestelyt.

        7. Jos tarkastuksessa havaitaan, ettei Toimittajan toiminta täytä sovittuja vaatimuksia, Toimittaja laatii viipymättä aikataulutetun suunnitelman tilanteen korjaamiseksi ilman eri veloitusta. Ellei sopijapuolten hyväksymästä suunnitelmasta muuta johdu, Toimittajan tulee korjata tarkastuksessa havaitut puutteet viivytyksettä Tilaajan kirjallisesta ilmoituksesta. Olennaiset puutteet, jotka muodostavat ilmeisen uhkan tietoturvallisuudelle, on korjattava heti tai Xxxxxxxx asettamassa aikataulussa. Tilaaja ei vastaa edellä mainituista korjauksista aiheutuvista kuluista ja kustannuksista.

        8. Mikäli tarkastuksessa havaitaan, ettei Toimittajan toiminta täytä sovittuja vaatimuksia ja Tilaaja edellyttää virheen korjaamisen todentamiseksi uusintatarkastusta, Toimittaja korvaa Tilaajalle uusintatarkastuksesta aiheutuneet kustannukset.

        9. Tilaajalla on oikeus tehdä tässä kohdassa tarkoitettu tarkastus myös tämän sopimuksen tai Pääsopimuksen päättymisen jälkeen. Tilaaja voi tarkastaa erityisesti sen, että Toimittaja on sopimuksen mukaisesti tuhonnut tietoturvallisesti kaiken Pääsopimuksen ja tämän sopimuksen perusteella käsittelemänsä Tilaajan aineiston.

        10. Tilaajalla on oikeus luovuttaa muille viranomaisille tieto siitä, että tämän luvun mukainen tarkastus on suoritettu ja siitä, ovatko Toimittajan turvallisuusjärjestelyt todettu vaatimusten mukaisiksi. Tilaajalla ei kuitenkaan ole ilman Toimittajan lupaa oikeutta luovuttaa tietoa tarkastuksen yksityiskohtaisista havainnoista, ellei pakottavasta lainsäädännöstä muuta johdu.

13Raportointi ja viestintä

        1. Toimittaja on velvollinen kirjallisesti ilmoittamaan Tilaajalle, jos Toimittajan tai sen alihankkijan tämän turvallisuussopimuksen kannalta keskeisissä toiminnoissa tapahtuu olennaisia muutoksia tai jos Toimittajan tai sen alihankkijan määräämisvallassa taikka yhtiörakenteessa tapahtuu muutoksia. Määräysvallan muutosta arvioidaan kirjanpitolain (1336/1997) 1 luvun 5 §:n perusteella.

        2. Toimittaja on tietoinen ulkomaalaisten yritysostojen seurannasta annetun lain (172/2012) mukaisista velvoitteista. Sen lisäksi mitä sanotussa laissa säädetään yritysoston ilmoittamisesta toimivaltaiselle viranomaiselle, Toimittaja ilmoittaa Tilaajalle lain 2 §:n 1 momentin 5 kohdassa tarkoitetusta yritysostosta viipymättä yritysoston toteutumisen jälkeen ja antaa Tilaajalle tarvittavat tiedot ulkomaisesta omistajasta sekä yritysoston keskeisestä sisällöstä.

        3. Toimittaja valvoo tämän sopimuksen edellyttämän turvallisuustason toteutumista ja vaatimuksen mukaisuutta toiminnassaan säännöllisesti ja suunnitelmallisesti, kirjaa mahdolliset poikkeamat ja raportoi ne Tilaajalle viivytyksettä sekä aloittaa korjaustoimet ensi tilassa. Toimittaja ei veloita tämän kohdan mukaisista toimenpiteistä, ellei toisin ole sovittu.

        4. Toimittaja on viipymättä velvollinen ilmoittamaan Tilaajalle, mikäli Toimittajaan kohdistuu Tilaajaa mahdollisesti uhkaavia yhteydenottoja tai uhkatilanteita.

        5. Tilaaja seuraa tietoturvallisuuteen ja ICT-varautumiseen liittyviä muutoksia ja ilmoittaa Toimittajalle muutostarpeista. Muutosten toteuttamisesta ja kustannuksista sovitaan erikseen.

        6. Tilaaja vastaa omaan toimintaansa liittyvästä viestinnästä. Sopijapuolet voivat tehdä Palvelun osalta viestintäsuunnitelman.

        7. Ellei toisin sovita, Toimittajan on toimitettava Tilaajan hyväksyttäväksi Toimittajan sisäisille tai ulkoisille sidosryhmille osoitettavat julkaisut tai markkinointimateriaali, jotka liittyvät Pääsopimuksen mukaiseen yhteistyöhön. Edellä sovittua ei kuitenkaan sovelleta pörssitiedotteisiin tai muihin vastaaviin lainsäädäntöön perustuviin tiedottamisvelvoitteisiin.


14Sopimussakko ja vahingonkorvaus

(Ohje: Muokkaa sopimussakon määrä hankinnan kohteeseen ja siihen liitty­viin riskeihin soveltuvaksi.)

Sopimussakko

        1. Tilaajalla on oikeus saada Toimittajalta sopimussakkoa, jos Tilaaja osoittaa Toimittajan rikkoneen tai laiminlyöneen kohdissa 14.214.3 mainittuja velvoitteita. Tilaajalla on oikeus sopimussakkoon ilman velvollisuutta näyttää toteen sille rikkomuksesta aiheutunutta vahinkoa. Tilaaja voi pidättää sopimussakon Toimittajalle suoritettavista Pääsopimuksen mukaisista korvauksista.

        2. Sopimussakon määrä jokaista salassapitovelvoitteen rikkomusta tai laiminlyöntiä kohden on suurin seuraavista: (i) 10.000 euroa tai (ii) 1,5 % Pääsopimuksen tai siihen liittyvän sopimuksen toimituksen arvosta taikka (iii) 1,5 % Pääsopimuksen tai siihen liittyvän sopimuksen toistuvaismaksujen laskennallisesta 12 kuukauden hinnasta. Sopimussakkoon oikeuttava salassapitovelvoitteen rikkominen tai laiminlyönti voi perustua ainoastaan tämän sopimuksen luvun 5 mukaisiin ehtoihin ja/tai allekirjoitettuun vaitiolositoumukseen.

        3. Muissa tietoturvallisuussopimuksen rikkomus- ja laiminlyöntitilanteissa sopimussakon määrä jokaista rikkomusta kohden on 10.000 euroa. Sopimussakkoon oikeuttava tietoturvallisuussopimuksen rikkominen tai laiminlyönti voi perustua ainoastaan tämän sopimuksen lukujen 4, 6–10 tai 13 ehtoihin tai näissä luvuissa mainittujen liitteiden ehtoihin. Jos samalla teolla rikotaan salassapitovelvoitetta, sopimussakko määräytyy kohdan 14.2 mukaisesti.

        4. Tilaajalla ei ole oikeutta saada kohtaan 14.3 perustuvaa sopimussakkoa, jos Toimittaja korjaa turvallisuusvelvoitteen rikkomuksen tai laiminlyönnin 14 vuorokauden kuluessa tai muuna sovittuna aikana siitä, kun se on havainnut rikkomuksen tai laiminlyönnin. Oikeus sopimussakkoon kuitenkin säilyy, jos rikkomuksesta tai laiminlyönnistä on aiheutunut Xxxxxxxxxx vahinkoa tai muita ylimääräisiä kustannuksia taikka Toimittaja on aiemmin syyllistynyt vastaavaan rikkomukseen tai laiminlyöntiin.

        5. Ennen sopimussakon perimistä Xxxxxxxx tulee ilmoittaa Toimittajalle kirjallisesti tämän sopimuksen rikkomuksesta. Jos sopijapuoli kirjallisesti pyytää, käsitellään rikkomus lisäksi Xxxxxxxx ja Toimittajan välisissä neuvotteluissa.

        6. Sopimussakko ei rajoita Xxxxxxxx oikeutta saada Toimittajalta vahingonkorvausta siltä osin kuin rikkomuksesta Tilaajalle aiheutunut vahinko ylittää sopimussakon määrän.

Vahingonkorvaus

        1. Sopijapuolella on oikeus saada vahingonkorvausta toisen sopijapuolen tähän sopimukseen perustuvasta sopimusrikkomuksesta aiheutuneesta välittömästä vahingosta.

        2. Jos Toimittajalla on velvollisuus suorittaa sopimussakkoa tai hyvitystä tämän sopimuksen mukaisesti, on Toimittajalla velvollisuus suorittaa lisäksi vahingonkorvausta siltä osin kuin vahingon määrä ylittää sopimussakot tai hyvitykset.

        3. Tähän sopimukseen perustuva sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on mahdolliset kohdan 14.3 mukaiset sopimussakot tai muut hyvitykset mukaan lukien yhteensä enintään Pääsopimuksen mukaisen toimituksen kokonaishinta. Pääsopimuksen mukaisen toimituksen kokonaishintana pidetään sitä yhteenlaskettua arvonlisäverotonta hintaa, joka muodostuu Pääsopimuksessa sovituista tuotteiden ja Palveluiden toimituksista, lisätöistä ja jatkuvista palveluista laskettuna 12 kuukaudelle. Jos pääsopimus on ollut vahingon ilmenemishetkellä voimassa alle 12 kuukautta, jatkuvien palvelujen 12 kuukauden veloitus lasketaan sopimuksen mukaisesta kuukausiveloituksesta kerrottuna 12:lla.

        4. Sopijapuoli ei vastaa toisen sopijapuolen tietojen tai tiedostojen tuhoutumisesta, katoamisesta tai muuttumisesta ja tästä aiheutuneista kuluista, kuten tietojen ja tiedostojen uudelleen luomisen aiheuttamista kustannuksista. Tätä kohtaa ei kuitenkaan sovelleta, jos sopijapuolen velvollisuutena on Pääsopimuksen mukaan toisen sopijapuolen tietojen ja tiedostojen käytettävyydestä ja saatavuudesta huolehtiminen, ja sopijapuoli on rikkonut tätä velvollisuuttaan.

        5. Tilaaja ei vastaa vahingosta, joka Toimittajalle on aiheutunut tämän sopimuksen mukaisen tarkastustoimenpiteen suorittamisesta.

        6. Sopijapuoli ei vastaa välillisestä vahingosta.

        7. Näiden ehtojen mukaiset vahingonkorvausvelvollisuuden rajoitukset eivät koske tapausta, jossa sopijapuoli on aiheuttanut vahingon tahallisesti tai törkeällä huolimattomuudella tai rikkonut Pääsopimukseen, tämän sopimuksen lukuun 5 ja/tai allekirjoitettuun vaitiolositoumukseen perustuvan salassapitovelvollisuuden.

        8. Näiden ehtojen mukaisia vahingonkorvausvelvollisuuden rajoituksia ei sovelleta siihen, mitä Pääsopimuksessa on sovittu tai tietosuojalainsäädännössä on säädetty tietosuojaloukkauksista aiheutuneiden vahinkojen korvaamisesta.


15Sopimusmuutokset

        1. Tietoturvallisuussopimuksen yhteyshenkilöt vastaavat tämän sopimuksen päivittämistarpeen seuraamisesta.

        2. Tähän sopimukseen tai sen liitteisiin tehtävät muutokset tulee tehdä kirjallisesti ja molempien sopijapuolten vahvistaa allekirjoituksellaan. Tämän sopimuksen muutokseksi ei katsota yhteyshenkilöiden vaihtumista.

16Sopimuksen irtisanominen JA PURKAMINEN

        1. Xxxxxxxxxxx voi irtisanoa tämän sopimuksen päättymään noudattaen Pääsopimuksessa sovittua irtisanomisaikaa. Ellei muuta ole sovittu irtisanomisajan pituudesta, irtisanomisaika on kolme (3) kuukautta sitä koskevasta ilmoituksesta. Sopijapuolella ei kuitenkaan ole oikeutta irtisanoa tätä sopimusta päättymään ennen Pääsopimuksen määräaikaisen sopimuskauden päättymistä.

        2. Jos Toimittaja irtisanoo tämän sopimuksen, Tilaajalla on oikeus irtisanoa Pääsopimus päättymään samanaikaisesti tämän sopimuksen kanssa.

        3. Tilaajalla on oikeus irtisanoa tämä sopimus ja Pääsopimus päättymään välittömästi, mikäli Toimittaja tai sen alihankkija ei anna suostumustaan yritysturvallisuusselvityksen tai FSC:n toteuttamiselle tai Toimittaja ei pyynnöstä toimita kohdassa 11.7 tarkoitettuja tietoja.

        4. Tilaajalla on oikeus irtisanoa tämä sopimus ja Pääsopimus päättymään välittömästi, mikäli Tilaajalla on tehdyn yritysturvallisuusselvityksen tai muun tiedon perusteella syytä epäillä Toimittajan taikka sen johtohenkilön tai edustus-, päätös- tai valvontavaltaa käyttävien henkilöiden toimivan tavalla, joka voi vahingoittaa valtion turvallisuutta, maanpuolustusta, Suomen kansainvälisiä suhteita, yleistä turvallisuutta tai muuta niihin verrattavaa yleistä etua taikka erittäin merkittävää yksityistä taloudellista etua taikka edellä tarkoitettujen etujen suojaamiseksi toteutettavia turvallisuusjärjestelyjä.

        5. Tilaajalla on oikeus irtisanoa tämä sopimus ja Pääsopimus päättymään välittömästi, mikäli Toimittajan kirjanpitolain 1 luvun 5 §:ssä tarkoitettu määräysvalta siirtyy tai on siirtynyt muun kuin Tilaajan kirjallisesti hyväksymän tahon haltuun.

        6. Tilaajalla on oikeus irtisanoa tämä sopimus ja Pääsopimus päättymään välittömästi, jos ulkomaalaisten yritysostojen seurannasta annetun lain 2 §:n 1 momentin 3 kohdassa tarkoitettu ostaja (Ulkomainen omistaja) hankkii tai on hankkinut vähintään yhden kymmenesosan, vähintään yhden kolmasosan tai vähintään puolet yhtiön kaikkien osakkeiden yhteenlasketusta äänimäärästä tai vastaavan tosiasiallisen vaikutusvallan Toimittajasta tai sen alihankkijasta ilman Tilaajan kirjallista hyväksyntää.

        7. Xxxxxxxxxxx saa purkaa tämän sopimuksen ja Pääsopimuksen, mikäli toinen sopijapuoli on olennaisesti rikkonut sopimusvelvoitteitaan. Mikäli sopimusrikkomus on korjattavissa, sopijapuoli voi purkaa sopimuksen vain, mikäli sopimusrikkomukseen syyllistynyt sopijapuoli ei ole korjannut sopimusrikkomustaan kohtuullisessa ajassa siitä, kun sopijapuoli on kirjallisesti huomauttanut rikkomuksesta ja aikomuksestaan purkaa sopimus. Lisäksi jos Toimittaja on rikkonut tätä sopimusta vähintään kolme kertaa siten, että Tilaajalle on syntynyt oikeus vaatia luvussa 14 tarkoitettua sopimussakkoa, Tilaajalla on aina oikeus purkaa tai irtisanoa tämä sopimus ja Pääsopimus.

        8. Irtisanominen ja purkaminen tulee tehdä kirjallisesti.

        9. Irtisanominen ja purkaminen ei poista velvollisuutta täyttää ennen irtisanomista syntyneitä tämän sopimuksen mukaisia velvoitteita.

        10. Tämän sopimuksen päättymisestä huolimatta Toimittajan on maksettava päättymisen perusteena olevista rikkomuksista tämän sopimuksen mukaiset sanktiot.

17Sopimuksen Voimassaolo

        1. Tämä sopimus on voimassa niin kauan kuin Tilaajan ja Toimittajan välinen Pääsopimus on voimassa.

        2. Tämä sopimus tulee voimaan, kun kumpikin sopijapuoli on sen allekirjoittanut.

        3. Tämän sopimuksen mukainen salassapitovelvollisuus on voimassa myös sen jälkeen, kun tämä sopimus tai Pääsopimus on päättynyt.

        4. Ellei Pääsopimuksessa ole toisin sovittu, Toimittaja palauttaa tämän sopimuksen päätyttyä 30 päivän kuluessa Tilaajan aineiston. Erikseen kirjallisesti niin sovittaessa Toimittaja voi myös tuhota edellä mainitun materiaalin. Tilaajalla on oikeus tarkastaa tämän kohdan velvoitteiden noudattaminen luvun 12 mukaisesti myös sopimuksen päätyttyä.

18Sovellettava laki ja erimielisyyksien ratkaiseminen

        1. Tähän sopimukseen sovelletaan Suomen lakia, lukuun ottamatta sellaisia lainvalintasäännöksiä, jotka johtavat vieraan maan lain soveltamiseen.

Tästä sopimuksesta aiheutuvat erimielisyydet pyritään ensisijaisesti ratkaisemaan sopijapuolten välisin neuvotteluin. Mikäli sopijapuolet eivät pääse sovinnolliseen ratkaisuun, erimielisyydet jätetään ratkaistavaksi Pääsopimuksessa sovittuun oikeuspaikkaan.

19Sopimusasiakirjat ja niiden pätemisjärjestys

        1. Tämä sopimus muodostuu tästä sopimusasiakirjasta ja seuraavista liitteistä:


Liite 1 Tietoturvallisuussopimuksen yhteyshenkilöt ja heidän vastuut


Liite 2 Xxxx Xxxxxxx pidettävien tietojen käsittelystä ja säilyttämisestä

[Liite 3 Tietoturvallisuusvaatimukset (ja ICT-varautumisen vaatimukset)]


Liite 4 Todistus tietoturvavelvoitteiden tiedoksisaannista (vaitiolositoumus)

Liite 5 [Toimittajan turvallisuudenhallinnan kuvaus [/Selvitys Palveluun liittyvistä tietoturvamenettelyistä]

Ohje: Liitteessä [2] kuvataan Xxxxxxxx hyväksymät menettelyt, määräykset ja ohjeet eri suojaustasoluokkiin kuuluvan tiedon, asiakirjojen ja muun tietoaineiston käsittelystä. Liitteessä [3] esitetään Palveluun kohdistuvat tietoturva-, toimitila-, IT-laitetila-, ICT-varautumisvaatimukset yms. Nämä vaatimukset voivat olla myös Pääsopimuksen liitteenä.

Toimittaja vastaa kustannuksellaan liitteen [5] ylläpidosta. Liitteen tulee vastata voimassa olevaa tilannetta.

Mikäli tämän sopimusasiakirjan ja sen liitteiden välillä on ristiriitaa, ratkaisee sopimusasiakirjan sanamuoto. Mikäli liitteiden välillä on ristiriitaa, noudatetaan soveltamisjärjestyksenä niiden numerojärjestystä siten, että ristiriitatilanteessa sovelletaan sitä liitettä, jonka järjestysnumero on pienempi.

20Sopimuskappaleet ja allekirjoitukset

        1. Tämä sopimus on laadittu kahtena (2) samasanaisena kappaleena, yksi (1) kummallekin sopijapuolelle.

[paikka ja aika] [paikka ja aika]

[TILAAJA] [TOIMITTAJA]


___________________ ___________________

[allekirjoittaja] [allekirjoittaja]



ICT-TURVALLISUUSSOPIMUKSEN LIITE 4



VAITIOLOSITOUMUS


Täytä Tilaajan nimi (jäljempänä Xxxxxxxx) Täytä Sopimuksen nimi/Palvelun nimi tuottamiseen osallistuvana henkilönä sitoudun pitämään salassa laatimani, minulle luovutetut tai muuten tietooni tulleet salassa pidettävät tiedot (suojaustasot IV, III, II, I) tai muut salassa pidettäväksi merkityt tiedot tai tiedot, jotka on sellaisiksi ymmärrettävä.


Sitoudun siihen, etten paljasta Tilaajan tietoja tai tietooni tulleita kolmannen osapuolen tietoja sivullisille. Sivullisiksi tässä yhteydessä katsotaan myös ne Tilaajalla tai sen yhteistyökumppaneilla työskentelevät henkilöt, jotka eivät heille määrättyjen tai sovittujen tehtävien perusteella tarvitse asiaa tietoonsa. Vaitiolovelvollisuus sitoo minua senkin jälkeen, kun osallistumiseni sopimuksen mukaisiin tehtäviin on päättynyt.


Suojaustason IV ja III piiriin kuuluvia tietoja ovat esimerkiksi Tilaajan tai sen sopimuskumppanien liike- ja ammattisalaisuudet, yksityisten ihmisten yksityisyyden suojan piiriin kuuluvat sekä turvallisuusjärjestelyihin ja tiloihin liittyvät tiedot. Salassapitoon ei vaikuta tiedon tallennus- tai välitystapa. Suojaustasoon II tai I kuuluvien asiakirjojen (esimerkiksi poikkeusolojen varautuminen, suhteet ulkomaisiin valtioihin) tai tallenteiden monentaminen, kuvaaminen tai vieminen pois toimitiloista sekä muistiinpanojen tekeminen niistä on kielletty.


Sitoudun palauttamaan Tilaajalle tai hävittämään luotettavasti kaiken saamani salassa pidettävän aineiston välittömästi Tilaajan niin vaatiessa, kuitenkin viimeistään yhteistyön päätyttyä tai mikäli osapuolet eivät päädy yhteistyöhön, neuvottelujen päätyttyä.


Tilaaja voi teettää minusta taustatarkastuksen tarpeelliseksi katsomassaan laajuudessa ja Tilaajalla on oikeus saada käyttöönsä tähän tarvitsemansa, minua koskevat rekisteritiedot.


Olen perehtynyt viranomaisen tietojen, henkilötietojen ja liikesalaisuuksien salassapitoa koskeviin ohjeisiin ja määräyksiin ja käsittelen tietoja Tilaajan ohjeiden mukaisesti. Olen lukenut ja ymmärtänyt edellä kuvatun vaitiolo- ja salassapitovelvollisuuteni ja sitoudun mainittuja velvollisuuksia noudattamaan.


________________ __.__.201_

Paikkakunta Pvm



__________________________ ____________________

Etunimi Sukunimi (henkilötunnus)


__________________________

Arvo tai nimike


__________________________

Yritys



________________________

Allekirjoitus




Keskeisimmät säädökset

Laki viranomaisten toiminnan julkisuudesta 21.5.1999/621

Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 1.7.2010/681

Tietoyhteiskuntakaari 7.11.2014/917


Document Metadata

Filed: April 10th, 2019