Tietosuojasopimus

Tietosuojasopimus

liite Puhas Oy:n ja Joensuun alueellisen jätelautakunnan palvelusopimukseen

Osapuolet

Tilaaja: Joensuun alueellinen jätelautakunta

Palveluntuottaja: Puhas Oy

1. Yleistä

1.1. Tällä Tietosuojasopimuksella sovitaan 23.4.2015 allekirjoitettuun Joensuun alueellisen jätelautakunnan ja Puhas Oy:n väliseen palvelusopimukseen (jäljempänä ”Palvelusopimus”) liittyvästä henkilötietojen käsittelystä ja tämä sopimus on osa Palvelusopimusta.

1.2. Tässä Tietosuojasopimuksessa määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palveluntuottaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta. Näissä ehdoissa kuvatuista Palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta.

2. Osapuolten roolit henkilötietojen käsittelyssä

2.1. Käsiteltäessä henkilötietoja Xxxxxxx on rekisterinpitäjä ja Palveluntuottaja on henkilötietojen käsittelijä, ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vastaa rekisterinpitäjänä.

2.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudet ja oikeudet kuvataan tämän Tietosuojasopimuksen liitteessä 1 olevassa Käsittelytoimien kuvauksessa tai muussa Xxxxxxxx ohjeistuksessa. Palveluntuottaja sitoutuu noudattamaan tässä Tietosuojasopimuksessa, käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

2.3. Jos kohdan 2.2. mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Palveluntuottajan kanssa.

3. Palveluntuottajan yleiset velvollisuudet

3.1. Palveluntuottaja noudattaa voimassa olevan tietosuojalainsäädännön edellyttämiä menettelytapoja ja henkilötietojen käsittelyä ja suojaamista koskevia säännöksiä. Palveluntuottaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön ja Tietosuojasopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.

Palveluntuottaja käsittelee henkilötietoja tämän Tietosuojasopimuksen, Palvelusopimuksen ja Tilaajan antamien ohjeiden mukaisesti. Tämän Tietosuojasopimuksen velvoitteet

koskevat myös palveluntuottajan käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

3.2. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Tilaajan henkilötietojen käsittely tapahtuu Tietosuojasopimuksen ja Palvelusopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.

3.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä Palvelusopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin Palvelusopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

3.4. Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Tilaajan henkilötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot Tilaajalle.

3.5. Palveluntuottaja saattaa Xxxxxxxx saataville tämän pyynnöstä kaikki tiedot, jotka Tilaaja tarvitsee rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Xxxxxxxx vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Palveluntuottaja tekee nämä tehtävät ilman eri korvausta.

3.6. Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Palveluntuottaja avustaa Tilaajaa, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Palveluntuottajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa tai käsittelyn rajoittamisen toteuttamisessa.

3.7. Palveluntuottaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin.

4. Xxxxxxxx xxxxxx

4.1. Palveluntuottaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä tietosuojalainsäädäntöä ja tässä Tietosuojasopimuksessa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvastaisiksi.

4.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan Tilaajan ja Palveluntuottajan välillä erikseen.

5. Palveluhenkilöstö

5.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Tilaajan henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee lakisääteinen salassapitovelvollisuus.

5.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan Palvelusopimuksen, tämän Tietosuojasopimuksen ehtojen ja Tilaajan ohjeiden mukaisesti.

6. Alihankkijat, jotka käsittelevät henkilötietoja

6.1. Siltä osin kuin Palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Palvelusopimuksen lisäksi tässä Tietosuojasopimuksessa kuvattuja ehtoja.

6.2. Xxx Xxxxxxxxxxxxxxxxx alihankkija käsittelee Tilaajan henkilötietoja, alihankkijan käyttäminen ei edellytä Tilaajan ennakkoon kirjallisesti antamaa lupaa.

6.3. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan Palveluntuottajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että Xxxxxxxx tarkastusoikeus voidaan ulottaa alihankkijaan.

6.4. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palveluntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Xxx Xxxxxxx perustellusti katsoo, että Palveluntuottajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Palveluntuottajaa vaihtamaan alihankkijaa.

6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava Tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja tietosuojalainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa.

7. Palvelun paikka

7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, Palveluntuottajalla on oikeus käsitellä Tilaajan henkilötietoja ainoastaan Euroopan talousalueella. Mitä tässä Tietosuojasopimuksessa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.

8. Tietoturvaloukkaukset

8.1. Palveluntuottajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Palveluntuottaja sitoutuu

ilmoittamaan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.

8.2. Palveluntuottajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:

i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;

ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;

iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja

iv. kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

9. Henkilötietojen käsittelyn päättyminen

9.1. Palvelusopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Xxxxxxxx lukuun käsittelemiään henkilötietoja ilman Tilaajan nimenomaista pyyntöä. Tämä ei koske käsittelytoimien kuvauksen kohdassa 5 kuvattua henkilötietojen poistamista sen jälkeen, kun niiden säilyttämiseen ei jätehuoltoasiakkuuden päätyttyä verotäytäntöönpanolain ja kirjanpitolain säännökset huomioon ottaen ole enää perustetta.

9.2. Sopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot.

10. Allekirjoitukset

Päivämäärä xx.xx.2021

Xxxx Xxxxxxxx Xxxxx Xxxxxxxxx

jätehuoltosuunnittelija toimitusjohtaja Joensuun alueellinen jätelautakunta Puhas Oy

Liite 1: KÄSITTELYTOIMIEN KUVAUS

1. Osapuolet

Tilaaja, rekisterinpitäjä: Joensuun alueellinen jätelautakunta Palveluntuottaja, henkilötietojen käsittelijä: Puhas Oy

2. Dokumentin tarkoitus

Xxxxxxx on tehnyt Palveluntuottajan kanssa Palvelusopimuksen, joka koskee sellaista palvelua, jossa Palveluntuottaja toimii Xxxxxxxx ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä.

Tässä dokumentissa kuvataan käsittelytoimet, joita Palveluntuottaja henkilötietojen käsittelijänä tekee Xxxxxxxx puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämä dokumentti liitetään Puhas Oy:n ja Joensuun alueellisen jätelautakunnan Palvelusopimuksen liitteeksi.

Henkilötietojen käsittelyssä on noudatettava Palveluntuottajan ja Tilaajan välistä Tietosuojasopimusta, Palvelusopimusta sekä Tilaajan ohjeita.

3. Henkilötietojen tyypit ja rekisteröityjen ryhmät

Osapuolet ovat sopineet, että Palveluntuottaja käsittelee Xxxxxxxx puolesta Palvelusopimuksessa sovitun palvelun tuottamiseksi seuraavia jätehuollon asiakasrekisteriin kuuluvia henkilötietoja.

- rekisteröityjen ryhmä: kunnan lakisääteisen jätehuollon järjestämisvelvollisuuden piiriin kuuluvat asiakkaat Tilaajan toimialueella

- asiakkaan nimi, henkilötunnus/syntymäaika/y-tunnus, laskutus- ja muut yhteystiedot, asiakasnumero

- kiinteistö- ja rakennustiedot: osoite, rakennus- ja kiinteistötunnus, paikkatieto

- muut jätehuoltopalvelun järjestämistä koskevat ja asiakasyhteydenotoissa ilmoitettavat henkilötiedot

4. Käsittelyn luonne ja tarkoitus

Osapuolet ovat sopineet, että Palveluntuottaja ylläpitää Tilaajan hallinnoimaa jätehuollon asiakasrekisteriä. Jätelaissa kunnan velvollisuudeksi säädetään muun muassa asumisen jätehuollon järjestäminen ja jätemaksujen periminen (JäteL 32 ja 78 §:t). Palveluntuottaja käsittelee henkilötietoja Xxxxxxxx velvoitteiden hoitamiseksi sekä kunnan jätehuollon palvelutehtävien (JäteL 43 §) järjestämiseksi, joita palveluntuottaja hoitaa omistajakuntiensa lukuun. Henkilötietoja käsittelevät ja tietojen ylläpitotoimenpiteitä tietojärjestelmässä tekevät sekä Tilaajan että Palveluntuottajan henkilöstö.

5. Henkilötietojen käsittelyn kesto

Palveluntuottaja käsittelee tässä liitteessä yksilöityjä henkilötietoja toistaiseksi. Palveluntuottaja huolehtii henkilötietojen poistamisesta tietojärjestelmästä ja manuaalisesta aineistosta sen jälkeen, kun jätehuoltoasiakkuus on päättynyt ja viimeisin jätemaksulasku on vanhentunut eikä laskua tarvita myöskään kirjanpitolainsäädännön perusteella.