Contract

1.1.2023

TAHE‐Palvelut

HENKILÖTIETOJEN KÄSITTELYSOPIMUS

1. Sopimuksen osapuolet

Asiakas Padasjoen kunta

Y‐tunnus 0151924-2

Katuosoite Kellosalmentie 20, PL 35

Postinumero ja paikkakunta 17501 Padasjoki

Toimittaja Provincia Oy

Y-tunnus 2516653-3

Katuosoite Askonkatu 9 B Postinumero ja paikkakunta 15100 Lahti

ovat yhdessä “Osapuolet” ja kumpikin erikseen ”Osapuoli”.

2. Sopimuksen tausta ja tarkoitus

Tällä henkilötietojen käsittelysopimuksella (”Käsittelysopimus”) määritellään ehdot, joiden mukaisesti Toimittaja käsittelee Asiakkaan toimeksiannosta ja asiakkaan ohjeiden mukaisesti henkilötietoja. Tätä käsittelysopimusta sovelletaan kaikkiin Asiakkaan ja Toimittajan välisiin sopimuksiin (”Sopimukset”), joissa sovitaan Toimittajan Asiakkaalle tarjoamista palveluista (”Palvelut”). Käsittelyn kohde, kesto, luonne ja tarkoitus sekä käsiteltävien henkilötietojen tyypit ja rekisteröityjen ryhmät on määritelty tämän käsittelysopimuksen liitteessä [Henkilötietojen_käsittelyn_kohteet.xlsx].

Mikäli Sopimuksen ja Käsittelysopimuksen ehtojen välille muodostuu ristiriita, sovelletaan henkilötietojen käsittelyyn ensisijaisesti Käsittelysopimuksen ehtoja, ellei tässä Käsittelysopimuksessa erikseen toisin sovita.

Tässä Käsittelysopimuksessa tietosuojalainsäädännöllä (”Tietosuojalainsäädäntö”) tarkoitetaan kulloinkin voimassa olevaa henkilötietojen suojaan liittyvää kansallista ja EU‐ lainsäädäntöä (mukaan lukien 25.5.2018 alkaen EU:n yleinen tietosuoja‐ asetus, 2016/679, ”Tietosuoja‐asetus”).

Käsiteltäessä henkilötietoja toimittaja toimii henkilötietojen käsittelijänä ja asiakas rekisterinpitäjänä, (jotka käsitteet on määritelty tarkemmin Tietosuojalainsäädännössä), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. Henkilö, jonka henkilötietoja toimittaja käsittelee tämän käsittelysopimuksen ja sopimusten mukaisesti, on rekisteröity, mikä käsite on määritelty tarkemmin Tietosuojalainsäädännössä. Asiakkaan henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista asiakas vastaa rekisterinpitäjänä.

Osapuolet sitoutuvat ilmoittamaan toiselle osapuolelle ilman aiheetonta viivytystä kaikista sellaisista muutoksista sen toiminnassa, joka saattaa vaikuttaa olennaisesti toisen osapuolen tietosuoja‐ ja tietoturva‐asioihin.

3. Määritelmät

Termien, joita ei ole määritelty tässä Käsittelysopimuksessa tai Sopimuksessa, määritelmät ovat samat kuin kulloinkin voimassa olevassa Tietosuojalainsäädännössä.

4. Asiakkaan velvollisuudet

Asiakas:

1) käsittelee Henkilötietoja Tietosuojalainsäädännön ja kaikkien soveltuvien lakien sekä hyvän tietojenkäsittelytavan mukaisesti;

2) antaa Toimittajalle ohjeet henkilötietojen käsittelystä sekä tarvittaessa kohtuullisia Henkilötietojen käsittelyä koskevia kirjallisia lisäohjeita, jotka sitovat sekä asiakasta että Toimittajaa. Mikäli asiakkaan antamat ohjeet ovat ristiriidassa voimassa olevan lainsäännön kanssa, toimittaja ja asiakas selvittävät yhdessä tilanteen ja

ja tilaaja korjaa antamaansa ohjeistusta;

3) antaa Toimittajalle tarpeelliset tiedot tämän Käsittelysopimuksen mukaisesti

Toimittajalle toimittamistaan Henkilötiedoista;

4) säilyttää Henkilötietojen hallinnan ja valtuudet, mukaan lukien valmius vastata

Rekisteröityjen oikeuksiin liittyviin Tietosuojalainsäädännön mukaisiin pyyntöihin;

5) mahdollisuuksien mukaan avustaa Toimittajaa asianmukaisilla teknisillä ja organisatoorisilla toimenpiteillä Toimittajan tässä Käsittelysopimuksessa ja Tietosuojalainsäädännössä asetettujen velvollisuuksien täyttämiseksi.

5. Toimittajan velvollisuudet

Toimittaja:

1) käsittelee Henkilötietoja ainoastaan Asiakkaan antamien kirjallisten ohjeiden ja sopimusten mukaisesti, ellei soveltuvassa lainsäädännössä toisin vaadita.

2) llmoittaa Asiakkaalle viipymättä kaikista rekisteröityjen pyynnöstä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Toimittaja ei itse vastaa näihin pyyntöihin. Toimittaja avustaa Asiakasta valitsemillaan ja asianmukaisilla teknisillä ja organisatoorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat Tietosuoja‐asetuksen luvussa III kuvattujen Rekisteröityjen oikeuksien tai vastaavien Tietosuojalainsäädännössä säädettyjen rekisteröidyn oikeuksien käyttämisstä;

3) toteuttaa soveltuvat Tietosuoja-asetuksen 32 artiklassa vaaditut toimenpiteet; ellei Asiakas ole toimenpiteillään tai päätöksillään estänyt Toimittajaa toteuttamasta Artiklan 32 toteutumista. Tällä viitataan esimerkiksi Asiakkaan päätösvallassaan oleviin hankintapäätöksiin. Toimittaja valitsee 32 artikalassa vaaditut toimenpiteet perustuen toimialastandardeihin, markkinakäytäntöön, tekniseen kehitykseen sekä Tietosuojalainasäädännön mukaisiin erityisiin vaatimuksiin. Toimittaja voi mukauttaa

tietoturvatoimenpiteitään aika ajoin, mutta ei kuitenkaan alenna tietoturvan tasoa tämän

Käsittelysopimuksen voimassaoloaikana.

4) avustaa Asiakasta varmistamaan Tietosuoja‐asetuksen 32‐36 artikloissa säädettyjen tai vastaavien Tietosuojalainsäädännössä asetettujen velvollisuuksien noudattamisen, ottaen huomioon käsittelyyn luonteen ja Toimittajan saatavilla olevat tiedot.

6. Tietoturva

Osapuolet sitoutuvat vastuualueidensa puitteissa ottamaan käyttöön alalla yleisesti käytetyt tekniset ja organisatoriset toimenpiteet Henkilötietojen suojaamiseksi luvattomilta tai laittomalta käsittelyltä tai Henkilötietoihin pääsyltä ja päivittämään nämä toimenpiteet asianmukaisesti.

Toimittajan tulee varmistaa, että sen palveluksessa toimivat henkilöt, joilla on

pääsy Henkilötietoihin, käsittelevät Henkilötietoja soveltuvaa lainsäädäntöä noudattaen sekä

Asiakkaan antamien kirjallisten ohjeiden mukaisesti, paitsi jos Tietosuojasäädännöstä muuta johtuu.

Lisäksi Toimittajan on varmistettava, että henkilöt, joilla on oikeus käsitellä Henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

Toimittaja sitoutuu huolehtimaan sen palveluksessa toimivien henkilöiden riittävästä ja asianmukaisesta koulutuksesta.

7. Ilmoitukset tietoturvaloukkauksesta

Toimittajan on ilmoitettava Asiakkaalle Tietosuojalainsäädännön edellyttämällä tavalla sähköpostilla tai puhelimella ilman aiheetonta viivytystä sen tietoon tulleesta tietoturvaloukkauksesta, eli loukkauksesta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen Henkilötietojen vahingossa tai tahallisesti tapahtuva tai lainvastainen tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen, luvaton käyttö, luvaton tietojen siirto taikka pääsy tietoihin taikka muu voimassa olevassa lainsäädännössä kielletyksi todettu toimi tai vaikutus.

Ilmoituksen tulee sisältää Tietosuojalainsäädännön mukaisesti:

a) kuvaus Henkilötietojen tietoturvaloukkauksen luonteesta ja laajuudesta, mukaan lukien mahdollisuuksien mukaan tietoturvaloukkauksen piirissä olevien rekisteröityjen luokat ja arvioitu lukumäärä, samoin tietoturvaloukkauksen kohteena olevien Rekisterinpitäjän henkitietojen luokat ja arvioitu määrä;

b) käsittelijän tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa

c) kuvaus Henkilötietojen tietoturvaloukkauksen todennäköisistä seurauksista;

d) kuvaus toimenpiteistä, joita Toimittaja on ehdottanut tai jotka se on toteuttanut Henkilötietojen tietoturvaloukkauksen johdosta, mukaan lukien toimenpiteet sen mahdollisten haittavaikutusten minimoimiseksi.

Edellä mainitut tietoturvaloukkausta koskevat tiedot voidaan myös toimittaa vaiheittain, mikäli Toimittaja ei pysty toimittamaan niitä samaan aikaan, kun se ilmoittaa Asiakkaalle tietoturvaloukkauksesta.

Kunkin Osapuolen on omalla vastuualueellaan tehtävä kaikki tarpeelliset toimenpiteet Henkilötietojen suojaamiseksi tultuaan tietoiseksi tietoturvaloukkauksesta. Selvyyden vuoksi todettakoon, että Rekisterinpitäjä on velvollinen tiedottamaan tietoturvaluokkauksesta Valvontaviranomaisia tai Rekisteröityjä.

8. Henkilötietojen käsittelyn päättäminen

Toimittajan tulee Asiakkaan kirjallisen pyynnön mukaisesti joko poistaa kaikki ´ Henkilötiedot, tai palauttaa ne Asiakkaalle, kun Käsittelysopimus päättyy, ellei soveltuvasta lainsäädännöstä muuta johdu.

Toimittajalla on oikeus palauttaa Asiakkaalle ja tuhota kaikki tämän Käsittelysopimuksen mukaisesti käsitellyt Henkilötiedot, mikäli Asiakas ei ole pyytänyt Toimittajaa tuhoamaan tai palauttamaan Henkilötietoja kolmenkymmenen (30) päivän sisällä siitä, kun kyseinen Henkilötietojen käsittelyntarkoitus on päättynyt.

9. Henkilötietojen siirrot

Toimittajalla ei ole oikeutta siirtää Henkilötietoja EU‐ tai ETA‐

alueen ulkopuolelle muualle kuin mitä voimassa oleva lainsäädäntö mahdollistaa. Toimittajan tulee saada Asiakkaan kirjallinen hyväksyntä Henkilötietojen siirrosta ennen kuin Toimittaja voi suorittaa mitään Henkilötietojen siirtoja.

10. Alihankkijat

Xxxxxxx antaa yleisen valtuutuksensa ja suostumuksensa siihenm että se sallii Toimittajan käyttää alihankkijoita tämän Käsittelysopimuksen mukaisessa Henkilötietojen käsittelyssä, siltä osin kuin tällainen alihankkijan käyttäminen ei johda Tietosuojalainsäädännön vastaiseen toimintaan tai Toimittajan tämän Käsittelysopimuksen mukaisten velvotteiden rikkomiseen.

Toimittaja vastaa täysimääräisesti alihankkijoidensa toiminnasta. Toimittajan on solmittava alihankkijoidensa kanssa kirjalliset sopimukset, joissa alihankkijat velvoitetaan noudattamaan samoja tietosuojavelvotteita kuin ne, jotka on vahvistettu Toimittajan vastuulle tässä Käsittelysopimuksessa.

Toimittaja ilmoittaa Asiakkaalle mahdollisista alihankkijoita koskevista muutoksista, ja Asiakas voi vastustaa kyseistä muutosta ilmoittamalla tästä Toimittajalle kolmenkymmenen (30) päivän sisällä kyseisestä ilmoituksesta. Asiakas ei voi vastustaa muutoksia ilman perusteltua syytä.

vat

11. Tarkastusoikeus

Osapuolilla on velvollisuus saattaa toistensa saataville kaikki tiedot, jotka ovat tarpeen tässä Käsittelysopimuksessa ja Tietosuojalainsäädännössä asetettujen velvollisuuksien noudattamisen osoittamista varten.

Asiakkaalla tai Asiakkaan määräämällä riittävän asiantuntemuksen ja menettelytavat omaavalla riippumattomalla asiantuntijalla, jolla on taattu kokemus ja käytännöt, on oikeus tämän Käsittelysopimuksen voimassa ollessa suorittaa Toimittajalla auditointeja ja tarkastuksia sen varmistamiseksi, että Toimittaja noudattaa tätä Käsittelysopimusta ja erityisesti teknisiä ja organisatoorisia turvatoimia, joiden toteuttamista vaaditaan. Toimittajalla on oikeus olla hyväksymättä tiettyä kolmatta tahoa, mikäli kolmas taho on Toimittajan kilpailija.

Asiakkaan on annettava Toimittajalle auditoinnista kirjallinen ilmoitus viimeistään kolmekymmentä (30) kalenteripäivää ennen auditointia. Auditoinnit tulee järjestää Toimittajan normaalien työaikojen puitteissa. Toimittajan tulee avustaa Asiakasta auditoinnin suorittamisessa ja Toimittajalla on oikeus veloittaa tällaisesta avusta sopimuksessa asetettujen hinnoittelu‐ ja maksuehtojen mukaisesti.

Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista, paitsi siinä tapauksessa, että tarkistuksessa paljastuu puutteita Toimittajan toiminnoissa suhteessa siihen, mitä Osapuolet ovat kirjallisesti sopineet. Tällöin Toimittaja vastaa tarkistuksesta aiheutuneista välittömistä kustannuksista.

12. Kustannukset

Toimittajan tämän Käsittelysopimuksen mukaisesti antamasta avusta veloitetaan Palvelusopimuksessa asetettujen hinnoittelu‐ ja maksuehtojen mukaisesti.

13. Vastuut, rekisteröityjen vaatimukset ja vastuut hallinnollista sakoista

Osapuolet hyväksyvät sen, että vastuun jakautuminen Osapuolten välillä toimivaltaisen valvontaviranomaisten määräämien hallinnollisten sakkojen osalta sekä Rekisteröidyn esittämiin korvausvaatimuksin perustuvien vastuiden osalta tähän Käsittelysopimukseen liittyen, perustuu sille periaatteelle, että Osapuolet ovat vastuussa omien Tietosuojalainsäädännön mukaisten velvollisuuksiensa täyttämisestä, ja että viranomaisen määräämät hallinnolliset sakot ja vahingonkorvausvastuut Rekisteröidyille tulevat sen Osapuolen maksettavaksi, joka on epäonnistunut Tietosuojalainsäädäntöön perustuvien oikeudellisten velvollisuuksiensa täyttämisessä.

Osapuolet eivät vastaa toiselle Osapuolelle aiheutuneista välillistä vahingoista, kuten toiminnan, tuloksen tai goodwillin menetyksistä tai muista välillistä menetyksistä ja vahingoista tai toiselle Osapuolelle määrättyjen hallinnollisten seuraamusmaksujen tai vastaavien korvaamisesta. Tietojen menetys katsotaan välilliseksi vahingoksi.

14. Ilmoitukset

Kaikki tähän Käsittelysopimukseen liittyvät ilmoitukset katsotaan tehdyn pätevästi, mikäli kyseiset ilmoitukset toimitetaan postitse tai sähköpostilla seuraaviin osoitteisiin taikka Osapuolen myöhemmin ilmoittamiin osoitteisiin.

Asiakkaalle osoitetut ilmoitukset:

Yrityksen/toimijan nimi Padasjoen kunta

Yhteyshenkilö Hallintojohtaja Xxxxx Xxxxxx, IT/Xxxxxx Xxxxxxxx

Sähköpostiosoite xxxxx.xxxxxx@xxxxxxxxx.xx xxxxxx.xxxxxxxx@xxxxxxxxx.xx xxxxxxxx@xxxxxxxxx.xx

Toimittajalle osoitetut ilmoitukset:

Yrityksen/toimijan nimi Provincia Oy

Yhteyshenkilö Tietosuojavastaava, puhelin: 041 731 7260

Sähköpostiosoite xxxxxxxxxx@xxxxxxxxx.xx

15. Sopimuskausi ja sopimuksen irtisanominen

Tämä Käsittelysopimus pysyy voimassa niin kauan kuin Sopimus pysyy voimassa. Tämä Käsittelysopimus päättyy automaattisesti, kun Sopimuksen voimassaolo on päättynyt ja Toimittaja on suorittanut loppuun kaikki Sopimuksen mukaiset

velvoitteensa, edellyttäen että erillistä, Sopimukseen nähden itsenäistä, Henkilötietojen

käsittelyä koskevasta toimeksiannosta ei ole sovittu kirjallisesti Osapuolten välillä.

16. Soveltuva laki ja riidanratkaisu

Tähän Käsittelysopimukseen sovelletaan Suomen lainsäädäntöä, lukuunottamatta sen lainvalintaa koskevia sääntöjä. Riidanratkaisuun sovelletaan Sopimuksessa sovittua riidanratkaisumenettelyä.

17. Allekirjoitukset

Tätä Käsittelysopimusta on tehty kaksi (2) kappaletta, yksi (1) kummallekin Osapuolelle.

Sopimus allekirjoitetaan sähköisesti ja tulee voimaan, kun molemmat osapuolet ovat sen allekirjoittaneet.

Padasjoen kunta Provincia Oy

Xxxx Xxxxxxxx Kunnanjohtaja

Xxxx-Xxxxx Xxxxxxxx Toimitusjohtaja

Xxxxx Xxxxxx Hallintojohtaja