Tietojenkäsittelysopimus



Tietojenkäsittelysopimus




[asiakas]


JA


Webropol Oy


välillä




[Päiväys]




Liitteet

Liite 1

Alihankkijat

Liite 2

Mallisopimuslausekkeet


Mikäli tämän Tietojenkäsittelysopimuksen ja Webropol Xxxxxxxx Yleisten Ehtojen välillä on ristiriitoja, sovelletaan tämän Tietojenkäsittelysopimuksen määräyksiä. Mikäli tämän Tietojenkäsittelysopimuksen sisältö on ristiriidassa Mallisopimuslausekkeiden kanssa, sovelletaan Mallisopimuslausekkeita. Webropol Palvelun Yleisten Ehtojen ollessa ristiriidassa Mallisopimuslausekkeiden kanssa sovelletaan Mallisopimuslausekkeita.


Tämä tietojenkäsittelysopimus on tehty ___._______ 2017 ("Voimaantulopäivä").


Osapuolet

  1. [Asiakkaan nimi] ("Asiakas")

(y-tunnus [XXXXXX-X])

[osoite

ja

  1. Webropol Oy ("Webropol")

(y-tunnus 177960-2)

Xxxxxxxx 0, 00000, Xxxxxxxx, Xxxxxxx

(1) – (2) yhdessä "Osapuolet" ja kumpikin erikseen "Osapuoli".

Tausta ja tarkoitus

  1. Tämä Tietojenkäsittelysopimus määrittää Webropolin Asiakkaan ja sen Tytäryhtiöiden puolesta suoritetun Henkilötietojen käsittelyn ehdot, joita sovelletaan kaikkiin Asiakkaan ja sen Tytäryhtiöiden ja Webropolin välillä solmittuihin sopimuksiin ("Sopimus"), joiden perusteella Asiakas ja sen tytäryhtiöt hankkivat Palvelun Webropolilta ja Webropol tarjoaa kyseisen Palvelun Asiakkaalle ja sen tytäryhtiöille.

  2. Webropol toimii Tietosuojasääntelyn mukaisena Henkilötietojen Käsittelijänä ja Asiakas Rekisterinpitäjänä. Tietojenkäsittelysopimuksessa käytettyjen monikkomuotojen katsotaan sisältävän yksikkömuodot ja päinvastoin. Esimerkiksi "Henkilötietojen Käsittelijä" tarkoittaa kyseisessä ominaisuudessa kulloinkin toimivaa, soveltuvaa toimijaa.

  3. Tämän Tietojenkäsittelysopimuksen voimaantulohetkellä EU:n tietosuojalainsäädäntöä uudistetaan. Osapuolet tiedostavat, että määritelmää "Tietosuojasääntely" tullaan vastaavasti muuttamaan automaattisesti kappaleen 1 alla mukaisesti riippumatta siitä, mitä Sopimuksessa on muutoin tästä poiketen sovittu.

  1. Määritelmät

Rekisterinpitäjä

tarkoittaa Tietosuojasääntelyn määritelmän mukaista rekisterinpitäjää;

Käsittelijä

tarkoittaa Tietosuojasääntelyn määritelmän mukaista käsittelijää;

Tytäryhtiö

Osapuolen tytäryhtiöllä tarkoitetaan toimijaa (i) joka suoraan tai epäsuorasti on Osapuolen määräysvallan alaisena; (ii) joka on saman toimijan suorassa tai epäsuorassa omistuksessa tai määräysvallassa kuin kyseinen Osapuoli; (iii) joka suoraan tai epäsuoraan on kyseisen Osapuolen omistuksessa tai määräysvallassa. Yhtiö on edellä tarkoitetulla tavalla toisen määräysvallassa, mikäli toimijalla on hallinnassaan yli viisikymmentä prosenttia (50 %) tai enemmän kyseisen yhtiön äänistä, toimija kykenee päättämään yhtiön toimista ja/tai hallituksen tai muun vastaavan elimen kokoonpanosta;

Tietosuojasääntely

tarkoittaa kaikkia sovellettavia henkilötietojen suojaa koskevia säännöksiä, mukaan lukien lait, joilla on saatettu voimaan direktiivi 95/46/EU ja direktiivi 2002/58/EU, Tietosuoja-asetusta 2016/679/EU (soveltuvin osin), sekä kaikkia niihin tehtyjä muutoksia;

Rekisteröity

tarkoittaa Tietosuojasääntelyn määritelmän mukaista rekisteröityä;

Henkilötieto

tarkoittaa Tietosuojasääntelyn määritelmän mukaista henkilötietoa;

Tietoturvaloukkaus

tarkoittaa Webropolista johtuvaa tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin;

Palvelu

tarkoittaa mitä tahansa Webropolin Asiakkaalle tai sen Tytäryhtiöille Sopimuksen mukaan tai yhteydessä tarjoamaa palvelua;

Mallisopimuslausekkeet

tarkoittavat Euroopan komission päätöksen 2010/87/EU (ja siihen tehtyjen muutosten) mukaisia mallisopimuslausekkeita henkilötietojen siirrosta kolmansiin maihin; ja

Valvontaviranomainen

tarkoittaa Tietosuojasääntelyn nojalla toimivaltaista viranomaista.




  1. aSIAKKAAN OIKEUDET JA VELVOLLISUUDET

    1. Asiakas Rekisterinpitäjänä sitoutuu noudattamaan Tietosuojasääntelyä eikä anna Webropolille Tietosuojasääntelyn vastaisia ohjeita. Osapuolet sopivat, että tämä Tietojenkäsittelysopimus muodostaan kokonaisuudessaan Asiakkaan Rekisterinpitäjänä Webropolille antamat kirjalliset ohjeet. Lisäohjeiden antaminen edellyttää Osapuolten etukäteistä kirjallista sopimusta.

  2. Webropolin velvollisuudet

    1. Henkilötietojen käsittelyyn sovellettavat yleiset periaatteet

      1. Käsittelijällä ei ole oikeutta käyttää Henkilötietoja muuhun kuin Sopimuksessa ja Tietojenkäsittelysopimuksessa määritettyyn käyttötarkoitukseen

      2. Webropol sitoutuu

  1. käsittelemään Henkilötietoja sovellettavan Tietosuojasääntelyn mukaisesti;

  2. käsittelemään Henkilötietoja Asiakkaan kirjallisten ohjeiden mukaan, ellei Webropol ole Tietosuojasääntelyn nojalla velvollinen toimimaan toisin;

  3. avustamaan Asiakasta sen Tietosuojasääntelyn mukaisten Rekisterinpitäjän velvoitteiden täyttämisessä. Webropolilla on oikeus veloittaa ylimääräisestä työstä ja kuluista ja kustannuksista, joita Webropolille pyyntöihin vastaamisesta aiheutunut;

  4. antamaan Asiakkaalle tiedot, jotka ovat tarpeen tämän Tietojenkäsittelysopimuksen ja Tietosuojasääntelyn mukaisten velvoitteiden noudattamisen osoittamiseksi sekä sallimaan ja myötävaikuttamaan Asiakkaan suorittamiin auditointeihin, tarkastukset mukaan lukien. Webropolilla on oikeus veloittaa ylimääräisestä työstä ja kuluista ja kustannuksista, jotka sille on avustamisesta aiheutunut.

  5. Webropol sitoutuu varmistamaan, että sen työntekijät tai muu Webropolin valtuutuksella toimiva henkilö on sitoutunut Sopimuksessa edellytettyjä salassapitovaatimuksia vastaaviin vaatimuksiin.

    1. Henkilötietoryhmät ja Rekisteröityjen ryhmät

      1. Asiakas voi Palvelun yhteydessä toimittaa Webropolin käsiteltäväksi Henkilötietoja, jotka saattavat sisältää, mutta niihin rajoittumatta, seuraavia Rekisteröityjen ryhmiä:

(i) kuluttajat;

(ii) potentiaaliset asiakkaat ja asiakkaat (jotka ovat luonnollisia henkilöitä) sekä Asiakkaan mahdollisten ostajien tai asiakkaiden työntekijät tai yhteyshenkilöt;

(iii) Asiakkaan liikekumppanit ja myyjät (jotka ovat luonnollisia henkilöitä) tai Asiakkaan potentiaalisten asiakkaiden, asiakkaiden, liikekumppanien tai ostajien työntekijät tai yhteyshenkilöt;

(iv) Asiakkaan työntekijät, agentit, neuvonantajat, urakoitsijat, toimittajat (jotka ovat luonnollisia henkilöitä) tai;

(v) Asiakkaan verkkosivuston, verkkokaupan tai sovellusten käyttäjät.

      1. Asiakas voi laittaa Palveluun Henkilötietoja, jotka saattavat sisältää, mutta niihin rajoittumatta, seuraavia Henkilötietoryhmiä:

(i)-(iii) Etu- ja sukunimi, yhteystiedot (kuten sähköposti, puhelinnumero, osoite); ostotiedot, markkinointi ja muut preferenssit sekä vastaava asiakastieto;

(iv) Etu- ja sukunimi, ammatti, asema, työntekijä, yhteystiedot (yritys, sähköposti, puhelin, fyysinen liikeosoite), tunnistetiedot, ammatilliset tiedot, välitystiedot ja sijaintitiedot; ja/tai

(v) IP -osoite, mahdollinen evästeiden kautta saatu Henkilötieto.

    1. Tietoturva

      1. Webropolin tulee toteuttaa tarvittavat tekniset, fyysiset ja organisatoriset toimenpiteet asianmukaisen tietoturvatason varmistamiseksi ja Henkilötietojen suojaamiseksi asiattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta, vahingoittumiselta, muutattamiselta tai luovuttamiselta. Webropolin turvatoimien tulee täyttää soveltuvat Tietosuojasääntelyn vaatimukset.

    2. Dokumentointivelvollisuus ja ilmoittaminen

      1. Webropolin on ylläpidettävä selostetta vastuullaan olevista toimista Tietosuojasääntelyn edellyttämien Käsittelijän velvoitteidensa täyttämisen osoittamiseksi. Webropol sitoutuu antamaan dokumentaation Asiakkaan sataville siinä laajuudessa, kuin se on Webropolin Tietosuojasääntelyn ja tämän Tietojenkäsittelysopimuksen mukaisten velvoitteiden noudattamisen osoittamiseksi tarpeellista.

      2. Tietosuojasääntelyn mukaisesti Webropolin suorittaman Henkilötietojen käsittelyä koskevan selosteen tulee sisältää (i) Webropolin yhteystiedot; (ii) henkilötietoryhmät, joita käsitellään Asiakkaan puolesta; (iii) tiedot henkilötietojen siirrosta EU:n ja/tai ETA:n ulkopuolelle; (iv) kuvaus toteutetuista teknisistä ja organisatorisista tietoturvatoimenpiteistä; (v) lista alihankkijoista, joita käytetään Henkilötietojen käsittelyssä.

      1. Webropolin on ilmoitettava Asiakkaalle kaikista Rekisteröityjen ja Valvontaviranomaisen Tietosuojasääntelyn perusteella tekemistä Henkilötietojen käsittelyä koskevista pyynnöistä ennen pyyntöön vastaamista tai muihin toimenpiteisiin ryhtymistä niin pian kuin käytännössä kohtuullista tai, milloin Tietosuojasääntely edellyttää välitöntä vastaamista, jälkikäteen kohtuullisessa ajassa.

      2. Webropolin on ilmoitettava Asiakkaalle olennaisista muutoksista, joilla saattaa olla haitallinen vaikutus Asiakkaan puolesta käsiteltyjen Henkilötietojen suojan tai tietoturvan tasoon.

    1. Ilmoitus Tietoturvaloukkauksesta

      1. Webropolin on ilmoitettava Asiakkaalle Tietoturvaloukkauksesta ilman aiheetonta viivytystä siitä, kun Webropol on tullut siitä tietoiseksi, ja riittävässä ajassa Rekisterinpitäjän Tietosuojasääntelyn mukaisten ilmoitusvelvollisuuksien täyttämiseksi, asianmukaisella ja täsmällisellä tavalla (esim. puhelimitse tai sähköpostitse).

      2. Ilmoitukseen on sisällytettävä ainakin seuraavat tiedot:

  1. kuvaus Tietoturvaloukkauksesta, mahdollisuuksien mukaan tiedot siitä, mitä Rekisteröityjen ryhmiä ja henkilörekistereitä Tietoruvaloukkaus on koskenut ja niiden arvioitu lukumäärä;

  2. Käsittelijän tietosuoja-asioista vastaavan yhteyshenkilön nimi ja yhteystiedot;

  3. kuvaus todennäköisistä seurauksista ja/tai Tietoturvaloukkauksen toteutuneet seuraukset;

  4. kuvaus toimenpiteistä, joihin on ryhdytty Tietoturvaloukkauksen johdosta ja sen haittavaikutusten lieventämiseksi.

      1. Webropolin on dokumentoitava Tietoturvaloukkaukset ja toimitettava dokumentaatio pyynnöstä Asiakkaalle.

      2. Webropolin on ryhdyttävä kaikkiin tarpeellisiin toimenpiteisiin, tultuaan tietoiseksi Tietoturvaloukkauksesta, Henkilötietojen suojaamiseksi ja toteutettava tarvittavat toimenpiteet Henkilötiedon suojan varmistamiseksi sekä lieventää Rekisteröidyille aiheutuvia vahinkoja. Webropol toimii yhteistyössä Asiakkaan kanssa Tietoturvaloukkausten koskevan ilmoituksen laatimiseksi.

    1. Henkilötietojen palauttaminen tai tuhoaminen

      1. Tämän Tietojenkäsittelysopimuksen päättyessä tai Asiakkaan kirjallisesta pyynnöstä Webropolin on joko poistettava tai palautettava Henkilötiedot Asiakkaalle tai Asiakkaan kirjallisesti nimeämälle kolmannelle osapuolelle, ellei Tietosuojasääntely edellytä säilyttämään Henkilötiedot.

  1. Henkilötietojen siirrot

    1. Webropolilla ei saa siirtää Henkilötietoja kolmansille osapuolille, paitsi alihankkijoille joista Osapuolet ovat sopineet. Xxxxxxx on tämän Tietojenkäsittelysopimuksen voimaantulohetkellä antanut hyväksyntänsä Xxxxxxxx 1 mukaisille alihankkijoille. Mikäli Asiakas edellyttää tai hyväksyy, että Henkilötietoja siirretään EU:n tai ETA:n ulkopuolelle, Webropol solmii sopimuksen asiaankuuluvan kolmannen osapuolen kanssa Asiakkaan puolesta ja nimissä ("Sopimus Henkilötietojen siirrosta"). Henkilötietojen siirtoa koskevan sopimuksen tulee sisältää Xxxxxxxxxxxxxxxxxxxxxx, jotka ovat tämän Tietojenkäsittelysopimuksen Liitteenä 2.

    2. Edellä kohdassa 4.1 esitetystä huolimatta Webropolilla on oikeus siirtää Henkilötietoja Tytäryhtiölle edellyttäen, että Henkilötietojen siirto Tytäryhtiölle täyttää Tietosuojasääntelyssä ja tämän kohdan 4 edellytykset. Asiakas ymmärtää, että edellä tarkoitettu siirto voi perustua myös muuhun suojamekanismiin, joka on hyväksytty Tietosuojasääntelyssä.

  2. Sovellettava laki

Tähän Tietojenkäsittelysopimukseen sovelletaan Suomen lakia, lainvalintaa koskevat säännöt ja periaatteet pois lukien.

  1. Voimassaolo ja Sopimuksen päättäminen

Tämä Tietojenkäsittelysopimus astuu voimaan, kun kumpikin Osapuoli on sen allekirjoittanut ja päättyy automaattisesti vasta kun Osapuolten välillä solmittujen Sopimusten voimassaolo päättyy.

  1. Allekirjoitukset

Tästä Tietojenkäsittelysopimuksesta on Voimaantulopäivänä laadittu kaksi (2) samansanaista kappaletta, yksi kummallekin osapuolelle.

[Aika ja paikka]


[Aika ja paikka]

[Asiakas]


WEBROPOL



____________________________




_____________________________

Nimi

Asema


Nimi

Asema

Liite 1 Lista Webropolin alihankkijoista























































LIITE 2 MALLISOPIMUSLAUSEKKEET




Shape1

Komission päätös C(2010)593


Mallisopimuslausekkeet (Henkilötietojen käsittelijät)


Direktiivin 95/46/EY 26 artiklan 2 kohdassa tarkoitetut lausekkeet, joita käytetään henkilötietojen siirrossa sellaisiin kolmansiin maihin sijoittautuneille käsittelijöille, joissa ei taata tietosuojan riittävää tasoa


Tietojen viejänä toimivan organisaation nimi: .......................................................................

Osoite:....................................................................................................................................

Puhelin: .........................................................; faksi: .................................................... ....;

sähköposti: .........................................................


Muut organisaation yksilöintitiedot:

.............................................................................................................................................

(”tietojen viejä”)


ja


Tietojen tuojana toimivan organisaation nimi: .......................................................................

Osoite:....................................................................................................................................

Puhelin: .........................................................; faksi: .................................................... ....;

sähköposti: .........................................................


Muut organisaation yksilöintitiedot:

...............................................................................................................................................

(”tietojen tuoja”),


joista kumpikin ovat ”sopimuspuolia”, yhdessä ”sopimuspuolet’,


OVAT SOPINEET seuraavista sopimuslausekkeista, jäljempänä ’lausekkeet’, riittävien takeiden antamiseksi yksilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta lisäyksessä 1 mainittujen henkilötietojen siirrossa tietojen viejältä tietojen tuojalle.



Lauseke 1

Määritelmät


Lausekkeissa tarkoitetaan:


  1. henkilötiedoilla’, ’erityisillä tietoryhmillä’, ’käsittelyllä’, ’rekisterinpitäjällä’, ’käsittelijällä’, ’rekisteröidyllä’ ja ’valvontaviranomaisella’ samaa kuin yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY1,

  2. tietojen viejällä’ rekisterinpitäjää, joka siirtää henkilötietoja,

  3. tietojen tuojalla’ käsittelijää, joka hyväksyy vastaanottavansa tietojen viejältä henkilötietoja, jotka on siirron jälkeen tarkoitus käsitellä tietojen viejän puolesta tämän antamien ohjeiden mukaisesti ja lausekkeiden mukaisia edellytyksiä noudattaen, ja jota ei koske direktiivin 95/46/EY 25 artiklan 1 kohdassa tarkoitettu riittävän tietosuojan takaava kolmannen maan järjestelmä,

  4. alihankkijana toimivalla käsittelijällä’ tietojen tuojan tai jonkin muun alihankkijana toimivan käsittelijän toimeksiannosta toimivaa käsittelijää, joka hyväksyy vastaanottavansa tietojen tuojalta tai joltakin muulta tietojen tuojan alihankkijana toimivalta käsittelijältä henkilötietoja, jotka on siirron jälkeen tarkoitettu ainoastaan käsiteltäviksi tietojen viejän puolesta tämän antamien ohjeiden, lausekkeiden mukaisten edellytysten ja kirjallisen alihankintasopimuksen ehtojen mukaisesti,

  5. sovellettavalla tietosuojalainsäädännöllä’ lainsäädäntöä, jolla suojataan yksilöiden perusoikeudet ja -vapaudet ja erityisesti näiden yksilöiden oikeus yksityisyyteen henkilötietojen käsittelyssä ja jota sovelletaan rekisterinpitäjään siinä jäsenvaltioissa, johon tietojen viejä on sijoittautunut,

  6. teknisillä ja organisatorisilla turvatoimilla’ toimenpiteitä, joiden tavoitteena on suojata henkilötietoja tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä erityisesti kun tietoja siirretään verkossa käsittelyn yhteydessä, sekä muulta henkilötietojen laittomalta käsittelytavalta.


Lauseke 2

Siirron yksityiskohdat


Siirron yksityiskohdat, erityisesti tarvittaessa henkilötietojen erityisryhmät, esitetään lisäyksessä 1, joka on näiden lausekkeiden erottamaton osa.


Lauseke 3

Kolmatta osapuolta suojaava edunsaajalauseke


  1. Rekisteröity voi panna täytäntöön tämän lausekkeen, lausekkeen 4 kohdan b–i, lausekkeen 5 kohdan a–e sekä kohdan g–j, lausekkeen 6 kohdan 1 ja 2, lausekkeen 7, lausekkeen 8 kohdan 2 ja lausekkeen 9–12 tietojen viejää vastaan edunsaajana olevan kolmannen osapuolen ominaisuudessa.

  2. Rekisteröity voi panna täytäntöön tämän lausekkeen, lausekkeen 5 kohdan a–e ja g, lausekkeen 6 ja 7, lausekkeen 8 kohdan 2 ja lausekkeen 9–12 tietojen tuojaa vastaan tapauksissa, joissa tietojen viejä on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, minkä tuloksena se ottaa vastaan tietojen viejän oikeudet ja velvoitteet, jolloin rekisteröity voi panna lausekkeet täytäntöön tällaista seuraajaa vastaan.

  3. Rekisteröity voi panna täytäntöön tämän lausekkeen, lausekkeen 5 kohdan a–e ja g, lausekkeen 6 ja 7, lausekkeen 8 kohdan 2 ja lausekkeen 9–12 alihankkijana toimivaa käsittelijää vastaan tapauksissa, joissa sekä tietojen viejä että tietojen tuoja on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta taikka menettänyt maksukykynsä, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, minkä tuloksena se ottaa vastaan tietojen viejän oikeudet ja velvoitteet, jolloin rekisteröity voi panna lausekkeet täytäntöön tällaista seuraajaa vastaan. Tällainen alihankkijana toimivan käsittelijän yksityisoikeudellinen vastuu koskee ainoastaan sen lausekkeiden mukaista omaa käsittelytoimintaa.

  4. Sopimuspuolet eivät vastusta sitä, että rekisteröityä edustaa yhteenliittymä tai muu elin, jos rekisteröity niin nimenomaan haluaa ja jos se on kansallisen lainsäädännön mukaan sallittua.


Lauseke 4

Tietojen viejän velvollisuudet


Tietojen viejä hyväksyy ja takaa, että


  1. henkilötietojen käsittely, mukaan luettuna itse siirto, on suoritettu ja suoritetaan edelleen sovellettavan tietosuojalain ä säädännön asiaankuuluvien säännösten mukaisesti (ja siitä on tarvittaessa ilmoitettu sen jäsenvaltion toimivaltaisille viranomaisille, johon tietojen viejä on sijoittautunut), ja ettei siirrolla rikota kyseisen valtion asiaankuuluvia säännöksiä,

  2. tietojen viejä on antanut ohjeet ja antaa koko henkilötietojen käsittelypalvelun kestoajan ohjeita tietojen tuojalle siitä, että tämä käsittelee siirrettyjä henkilötietoja ainoastaan tietojen viejän puolesta ja sovellettavan tietosuojalainsäädännön ja lausekkeiden mukaisesti,



  1. tietojen tuoja antaa riittävät takeet tämän sopimuksen lisäyksen 2 mukaisista teknisistä ja organisatorisista turvatoimista,

  2. sen jälkeen kun sovellettavan tietosuojalainsäädännön mukaiset vaatimukset on arvioitu, kyseisten turvatoimien avulla henkilötiedot voidaan asianmukaisesti suojata tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä erityisesti kun tietoja siirretään verkossa käsittelyn yhteydessä, ja muulta henkilötietojen laittomalta käsittelytavalta, ja että nämä toimet takaavat käsittelyyn liittyviä riskejä ja suojattavien tietojen luonnetta vastaavan turvallisuuden tason, kun otetaan huomioon nykyinen tekninen taso ja toimenpiteiden toteuttamisen kustannukset,

  3. tietojen viejä varmistaa kyseisten turvatoimien noudattamisen,

  4. jos siirto koskee erityisiä tietoryhmiä, rekisteröidyille on ilmoitettu tai ilmoitetaan ennen siirtoa tai mahdollisimman pian sen jälkeen, että niiden tietoja voidaan siirtää kolmanteen maahan, jossa ei taata direktiivissä 95/46/EY tarkoitettua tietosuojan riittävää tasoa,

  5. tietojen viejä toimittaa tietojen tuojalta tai alihankkijana toimivalta käsittelijältä lausekkeen 5 kohdan b ja lausekkeen 8 kohdan 3 mukaisesti saadun tiedon tietosuojaviranomaisille, kun se päättää jatkaa siirtoa tai lopettaa lykkäyksen,

  6. tietojen viejä saattaa rekisteröityjen saataville pyynnöstä jäljennöksen lausekkeista, paitsi lisäyksestä 2, ja yleisen kuvauksen turvatoimista, sekä jäljennöksen mahdollisesta alihankintana suoritettavia käsittelypalveluita koskevasta sopimuksesta, joka on tehtävä lausekkeiden mukaisesti, elleivät lausekkeet tai sopimus sisällä kaupallisia tietoja, jolloin tietojen viejä voi poistaa tällaiset kaupalliset tiedot,

  7. jos käsittely suoritetaan alihankintana, alihankkijana toimiva käsittelijä suorittaa käsittelytoiminnan lausekkeen 11 mukaisesti ja suojaa rekisteröidyn henkilötiedot ja oikeudet vähintään yhtä hyvin kuin tietojen tuoja näiden lausekkeiden mukaisesti, ja

  8. tietojen viejä varmistaa lausekkeen 4 kohdan a–i noudattamisen.



Lauseke 5

Tietojen tuojan velvollisuudet2


Tietojen tuoja hyväksyy ja takaa, että

  1. tietojen tuoja käsittelee henkilötietoja ainoastaan tietojen viejän puolesta tämän antamien ohjeiden ja lausekkeiden mukaisesti, ja jos se ei voi noudattaa näitä ohjeita ja sääntöjä mistä tahansa syystä, se ilmoittaa tästä viipymättä tietojen viejälle, jolloin tietojen viejällä on oikeus lykätä tietojen siirtoa ja/tai irtisanoa sopimus,

  2. tietojen tuojalla ei ole mitään syytä olettaa, että siihen sovellettava lainsäädäntö estäisi tietojen viejältä saatujen ohjeiden noudattamisen ja tietojen tuojalle sopimuksen mukaan kuuluvien velvoitteiden täyttämisen, ja jos kyseistä lainsäädäntöä muutetaan ja muutoksella on todennäköisesti merkittävä haitallinen vaikutus lausekkeilla annettaviin takeisiin ja lausekkeiden mukaisiin velvoitteisiin, tietojen tuoja antaa muutoksen tiedoksi tietojen viejälle viipymättä saatuaan itse tiedon siitä, jolloin tietojen viejällä on oikeus lykätä tietojen siirtoa ja/tai irtisanoa sopimus,

  3. tietojen tuoja on pannut täytäntöön lisäyksessä 2 määritellyt tekniset ja organisatoriset turvatoimet ennen siirrettyjen henkilötietojen käsittelyä,

  4. tietojen tuoja ilmoittaa viipymättä tietojen viejälle seuraavista seikoista:

  1. säännösten täytäntöönpanosta vastaavan viranomaisen oikeudellisesti sitovasta pyynnöstä luovuttaa henkilötietoja, ellei sitä muutoin kielletä esimerkiksi rikoslainsäädännön mukaisella kiellolla lainvalvontaan liittyvien tutkimusten luottamuksellisuuden säilyttämiseksi,

  2. kaikista tahattomista tai luvattomista pääsyistä tietoihin, ja

  3. rekisteröidyiltä suoraan saaduista tiedusteluista niihin vastaamatta, ellei siihen muutoin anneta lupaa,

  1. tietojen tuoja hoitaa tietojen viejältä saadut siirrettävien henkilötietojen käsittelyyn liittyvät tiedustelut viipymättä ja asianmukaisesti ja noudattaa siirrettyjen tietojen käsittelyssä valvontaviranomaisen neuvoja,

  2. tietojen tuoja antaa tietojen viejän vaatimuksesta tietojenkäsittelyjärjestelmänsä tarkastettavaksi lausekkeiden piiriin kuuluvien käsittelytoimien osalta. Tarkastuksen suorittaa tietojen viejä tai vaaditun ammattipätevyyden omaavien ja salassapitovelvollisuuden alaisten riippumattomien jäsenten muodostama tarkastuselin, jonka tietojen viejä valitsee mahdollisesti valvontaviranomaisen kanssa,

  3. tietojen tuoja saattaa rekisteröityjen saataville pyynnöstä jäljennöksen lausekkeista sekä jäljennöksen mahdollisesta alihankintana suoritettavia käsittelypalveluita koskevasta sopimuksesta, elleivät lausekkeet tai sopimus sisällä kaupallisia tietoja, jolloin tietojen tuoja voi poistaa tällaiset kaupalliset tiedot, paitsi lisäyksestä 2, joka korvataan yleisellä kuva ä uksella turvatoimista siinä tapauksessa, että rekisteröity ei pysty saamaan jäljennöstä tietojen viejältä,

  4. tietojen tuoja on ilmoittanut alihankintana suoritettavasta käsittelystä etukäteen tietojen viejälle ja saanut tältä ennakkoon kirjallisen suostumuksen,

  5. alihankkijana toimiva käsittelijä suorittaa käsittelypalvelut lausekkeen 11 mukaisesti,

  6. tietojen tuoja lähettää viipymättä jäljennöksen kaikista lausekkeiden mukaisesti tekemistään alihankintana suoritettavaa käsittelyä koskevista sopimuksista tietojen viejälle.


Lauseke 6

Vastuu


  1. Sopimuspuolet sopivat, että rekisteröidyllä, jolle on koitunut vahinkoa jonkin sopimuspuolen tai alihankkijana toimivan käsittelijän rikottua lausekkeessa 3 tai lausekkeessa 11 tarkoitettuja velvoitteita, on oikeus saada tietojen viejältä korvaus aiheutuneista vahingoista.

  2. Jos rekisteröity ei voi nostaa kohdan 1 mukaista vahingonkorvauskannetta tietojen viejää vastaan, kun tietojen tuoja tai sen alihankkijana toimiva käsittelijä ei ole täyttänyt lausekkeessa 3 tai 11 tarkoitettuja velvoitteitaan, sen vuoksi, että tietojen viejä on tosiasiallisesti lakkautettu, lakannut oikeudellisesti olemasta tai todettu maksukyvyttömäksi, tietojen tuoja hyväksyy, että rekisteröity voi nostaa kanteen tietojen tuojaa vastaan samaan tapaan kuin tietojen viejää vastaan, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, jolloin rekisteröity voi panna oikeutensa täytäntöön tällaista seuraajaa vastaan.


Tietojen tuoja ei voi vetäytyä vastuustaan vetoamalla siihen, että alihankkijana toimiva käsittelijä ei ole täyttänyt velvoitteitaan.


  1. Jos rekisteröity ei voi nostaa kohdassa 1 ja 2 tarkoitettua kannetta tietojen viejää tai tietojen tuojaa vastaan, kun alihankkijana toimiva käsittelijä ei ole täyttänyt lausekkeessa 3 tai 11 tarkoitettuja velvoitteitaan, sen vuoksi, että sekä tietojen viejä että tietojen tuoja on tosiasiallisesti lakkautettu, lakannut oikeudellisesti olemasta tai todettu maksukyvyttömiksi, alihankkijana toimiva käsittelijä hyväksyy, että rekisteröity voi nostaa sen lausekkeiden mukaista omaa käsittelytoimintaa koskevan kanteen sitä vastaan samaan tapaan kuin tietojen viejää tai tietojen tuojaa vastaan, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän tai tietojen tuojan kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, jolloin rekisteröity voi panna oikeutensa täytäntöön tällaista seuraajaa vastaan. Tällainen alihankkijana toimivan käsittelijän vastuu koskee ainoastaan sen näiden lausekkeiden mukaista omaa käsittelytoimintaa.


Lauseke 7

Sovittelu ja toimivaltainen tuomioistuin


  1. Jos rekisteröity vetoaa kolmannen osapuolen etua suojaavaan oikeuteen ja/tai vaatii vahingonkorvausta lausekkeiden nojalla, tietojen tuoja hyväksyy rekisteröidyn päätöksen

  1. saattaa riita käsiteltäväksi sovittelumenettelyssä, jossa on mukana riippumaton henkilö tai tarvittaessa valvontaviranomainen,

  2. saattaa riita sen jäsenvaltion tuomioistuinten ratkaistavaksi, johon tietojen viejä on sijoittautunut.

  1. Sopimuspuolet sopivat, että rekisteröidyn tekemä valinta ei vaikuta rekisteröidyn oikeuteen hakea tilanteeseen korjausta asiasisällön tai menettelyn osalta kansallisen tai kansainvälisen yksityisoikeuden muiden säännösten mukaisesti.


Lauseke 8

Yhteistyö valvontaviranomaisten kanssa


  1. Tietojen viejä suostuu tallettamaan tämän sopimuksen jäljennöksen valvontaviranomaisen huostaan, jos tämä sitä vaatii tai jos sovellettava tietosuojalainsäädäntö sisältää vaatimuksen tallettamisesta

  2. Sopimuspuolet sopivat, että valvontaviranomaisella on oikeus tehdä tietojen tuojaan ja kaikkiin alihankkijoina toimiviin käsittelijöihin kohdistuvia tarkastuksia samassa laajuudessa ja samoin edellytyksin kuin se voisi tehdä tietojen viejään kohdistuvia tarkastuksia sovellettavan tietosuojalainsäädännön nojalla.

  3. Tietojen tuoja ilmoittaa viipymättä tietojen viejälle siihen tai johonkin alihankkijana toimivaan käsittelijään sovellettavasta lainsäädännöstä, joka estää tietojen tuojaa tai jotakin alihankkijana toimivaa käsittelijää koskevan, kohdan 2 mukaisen tarkastuksen suorittamisen. Tässä tapauksessa tietojen viejällä on oikeus ryhtyä lausekkeen 5 kohdassa b tarkoitettuihin toimenpiteisiin.



Lauseke 9

Sovellettava laki


Lausekkeisiin sovelletaan sen jäsenvaltion lakia, johon tietojen viejä on sijoittautunut ja joka on...........................


Lauseke 10

Sopimuksen mukauttaminen


Sopimuspuolet sitoutuvat olemaan mukauttamatta tai muuttamatta lausekkeita. Tämä ei estä sopimuspuolia tarvittaessa lisäämästä lausekkeita yritystoimintaan liittyvistä kysymyksistä, kunhan nämä lausekkeet eivät ole ristiriidassa lausekkeiden kanssa.


Lauseke 11

Alihankintana suoritettava käsittely


  1. Tietojen tuoja ei xxxx xxxxxxxxxxxxx suoritettavaksi mitään tietojen viejän puolesta lausekkeiden mukaisesti hoidettavia käsittelytoimintoja ilman tietojen viejän ennakkoon antamaa kirjallista suostumusta. Jos tietojen tuoja antaa näiden lausekkeiden mukaisia velvoitteitaan suoritettaviksi alihankintana tietojen viejän suostumuksella, sen on tehtävä alihankkijana toimivan käsittelijän kanssa kirjallinen sopimus, jossa tälle määrätään samat velvoitteet kuin lausekkeiden nojalla määrätään tietojen xxxxxxxx0. Xxx xxxxxxxxxxxxx toimiva käsittelijä ei täytä tällaisen kirjallisen sopimuksen mukaisia tietosuojavelvoitteitaan, tietojen tuoja on edelleen täysimääräisesti vastuussa alihankkijana toimivan käsittelijän tällaisen sopimuksen mukaisten velvoitteiden täyttämisestä suhteessa tietojen viejään.

  2. Ennakkoon tehdyssä tietojen tuojan ja alihankkijana toimivan käsittelijän välisessä kirjallisessa sopimuksessa on myös oltava lausekkeessa 3 määrätty kolmatta osapuolta suojaava edunsaajalauseke niitä tapauksia varten, joissa rekisteröity ei voi nostaa lausekkeen 6 kohdassa 1 tarkoitettua vahingonkorvauskannetta tietojen viejää tai tietojen tuojaa vastaan, koska ne on tosiasiallisesti lakkautettu, ovat lakanneet oikeudellisesti olemasta tai ne on todettu maksukyvyttö­miksi, eikä mikään seuraaja ole ottanut hoitaakseen tietojen viejän tai tietojen tuojan kaikkia oikeudellisia velvoitteita sopimuksen tai lain perusteella. Tällainen alihankkijana toimivan käsittelijän yksityisoikeudellinen vastuu koskee ainoastaan sen lausekkeiden mukaista omaa käsittelytoimintaa.

  3. Kohdassa 1 tarkoitetun sopimuksen säännöksiin, jotka koskevat alihankintana suoritettavan käsittelyn tietosuojanä­kökohtia, sovelletaan sen jäsenvaltion lakia, johon tietojen viejä on sijoittautunut ja joka on ..................................................

  4. Tietojen viejän on pidettävä luetteloa lausekkeiden nojalla tehdyistä, tietojen tuojan lausekkeen 5 kohdan j mukaisesti ilmoittamista alihankintana suoritettavaa käsittelyä koskevista sopimuksista, ja luettelo on saatettava ajan tasalle vähintään kerran vuodessa. Luettelon on oltava tietojen viejän tietosuojavalvontaviranomaisen saatavilla.


Lauseke 12

Tietojen käsittelypalvelujen päättymisen jälkeiset velvoitteet


  1. Sopimuspuolet sopivat, että tietojen käsittelypalvelujen päättymisen jälkeen tietojen tuojan ja alihankkijana toimivan käsittelijän on tietojen viejän valinnan mukaan palautettava kaikki siirretyt henkilötiedot ja jäljennökset näistä tiedoista tietojen viejälle tai hävitettävä kaikki henkilötiedot ja annettava tietojen viejälle todistus tästä, jollei tietojen tuojaan sovellettavalla lainsäädännöllä estetä tietojen tuojaa palauttamasta tai hävittämästä siirrettyjä henkilötietoja kokonaan tai osittain. Siinä tapauksessa tietojen tuoja takaa varmistavansa siirrettyjen henkilötietojen luottamuksellisuuden sekä sen, ettei se enää aktiivisesti käsittele siirrettyjä henkilötietoja.

  2. Tietojen tuoja ja alihankkijana toimiva käsittelijä takaavat, että ne antavat tietojen viejän ja/tai valvontaviranomaisen vaatimuksesta tietojenkäsittelyjärjestelmänsä tarkastettavaksi kohdassa 1 tarkoitettujen toimenpiteiden tarkastusta varten.



Tietojen viejän puolesta:


Xxxx (täydellinen):..............................................................................................................

Asema:......................................................................................................................

Osoite: ......................................................................................................................


Muut (mahdolliset) tiedot, jotka vaaditaan sopimuksen sitovuuden vahvistamiseksi:

Allekirjoitus ...............................................................................................................


(organisaation leima)


Tietojen tuojan puolesta:


Nimi (täydellinen):......................................................................................................

Asema:.......................................................................................................................

Osoite:........................................................................................................................


Muut (mahdolliset) tiedot, jotka vaaditaan sopimuksen sitovuuden vahvistamiseksi:

Allekirjoitus ................................................................................................................


(organisaation leima)

Lisäys 1

Mallisopimuslausekkeisiin


Tämä lisäys on osa mallisopimuslausekkeita, ja sopimuspuolten on täytettävä ja allekirjoitettava se.

Jäsenvaltiot voivat täydentää tai eritellä kansallisten menettelyjensä mukaisesti tietoja, jotka on tarpeen sisällyttää tähän lisäykseen.


Tietojen viejä

Tietojen viejä (lyhyt kuvaus tiedonsiirtoon liittyvistä tehtävistä):

.........................................................................................................................................................................................................................................................................................................................................................................................................


Tietojen tuoja

Tietojen tuoja (lyhyt kuvaus tiedonsiirtoon liittyvistä tehtävistä):

.........................................................................................................................................................................................................................................................................................................................................................................................................


Rekisteröidyt

Siirrettävät henkilötiedot koskevat seuraavia rekisteröityjen ryhmiä (erittely):

.........................................................................................................................................................................................................................................................................................................................................................................................................


Tietoryhmät

Siirrettävät henkilötiedot koskevat seuraavia tietoryhmiä (erittely):

.........................................................................................................................................................................................................................................................................................................................................................................................................


Erityiset tietoryhmät (tarvittaessa)

Siirrettävät henkilötiedot koskevat seuraavia erityisiä tietoryhmiä (erittely):

.........................................................................................................................................................................................................................................................................................................................................................................................................


Käsittelytoiminnat

Siirretyille henkilötiedoille suoritetaan seuraavat peruskäsittelytoiminnat (erittely):

.........................................................................................................................................................................................................................................................................................................................................................................................................



TIETOJEN VIEJÄ


Nimi: .....................................................................................................................


Valtuutetun henkilön allekirjoitus .......................................................................



TIETOJEN TUOJA


Nimi: .....................................................................................................................


Valtuutetun henkilön allekirjoitus .......................................................................







Lisäys 2

Mallisopimuslausekkeisiin


Tämä lisäys on osa mallisopimuslausekkeita, ja sopimuspuolten on täytettävä ja allekirjoitettava se.


Selvitys teknisistä ja organisatorisista turvatoimista, jotka tietojen tuoja on pannut täytäntöön lausekkeen 4 kohdan d ja lausekkeen 5 kohdan c mukaisesti (tai oheistetaan kyseinen asiakirja/lainsäädäntö):

............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................









1 Sopimuspuolet voivat mainita direktiivin 95/46/EY sisältämät määritelmät ja niiden selitykset tässä lausekkeessa, jos ne pitävät parempana sitä, että sopimus on itsenäinen kokonaisuus.

2 Tietojen tuojaan sovellettavat kansallisen lainsäädännön sisältämät pakolliset vaatimukset, jotka eivät mene pitemmälle kuin on tarpeen demokraattisessa yhteiskunnassa direktiivin 95/46/EY 13 artiklan 1 kohdassa lueteltujen etujen perusteella, toisin sanoen vaatimukset, jotka ovat välttämättömiä, jotta varmistettaisiin valtion turvallisuus, puolustus, yleinen turvallisuus, rikosten tai, säännellyn ammattitoiminnan osalta, ammattietiikan rikkomusten torjunta, tutkinta, selvittäminen ja syyteharkinta, valtion tärkeä taloudellinen tai rahoituksellinen etu tai rekisteröidyn suojelu tai muiden oikeudet ja vapaudet, ja jotka eivät ole ristiriidassa mallisopimuslausekkeiden kanssa. Esimerkkejä tällaisista pakollisista vaatimuksista, jotka eivät mene pitemmälle kuin on tarpeen demokraattisessa yhteiskunnassa, ovat kansainvälisesti tunnustetut pakotteet, raportointivaatimukset verotusta varten ja raportointivaatimukset rahanpesun torjumiseksi.

3 Tämä edellytys voidaan täyttää siten, että myös alihankkijana toimiva käsittelijä allekirjoittaa tietojen viejän ja tietojen tuojan tämän päätöksen mukaisesti tekemän sopimuksen.


Document Metadata

Filed: October 6th, 2017