Contract

1. TIETOSUOJAEHDOT

Tämä sopimusliite on olennainen ja erottamaton osa Tietopartio Oy:n (jäljempänä “Tietopartio”) yleisiä sopimusehtoja (IT2018 YSE). Tätä liitettä ja näitä tietosuojaehtoja sovelletaan siinä tilanteessa ja siltä osin, kun Tietopartio toimii suhteessa asiakkaaseensa EU:n tietosuoja-asetuksen (2016/679) tarkoittamana henkilötietojen käsittelijänä ja asiakas on rekisterinpitäjänä ulkoistanut henkilötietojensa käsittelyä joltain osin Tietopartiolle.

2. MÄÄRITELMÄT

Tässä liitteessä käytetyt käsitteet saavat sen merkityssisällön, joka niille on annettu Euroopan Unionin asetuksessa 2016/679 luonnollisten henkilöiden suojelusta henkilö tietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä “tietosuoja-asetus”). Tällaisia käsitteitä ovat erityisesti termit rekisterinpitäjä, henkilötietojen käsittelijä, henkilötieto, rekisteröity, käsittely ja henkilötietojen tietoturvaloukkaus.

3. TARKOITUS

Tietopartio on tietoteknisten ylläpito- ja hosting-palveluiden tarjoamista harjoittava yritys. Asiakas on yritys, elinkeinonharjoittaja tai muu organisaatio, joka tarvitsee ja hankkii ylläpito- ja/tai hosting-palveluja Tietopartiolta. Tällä liitteellä osapuolet sopivat siitä, että Tietopartio henkilötietojen käsittelijänä käsittelee sopimuksen voimassaoloaikana henkilötietoja asiakkaan, rekisterinpitäjän, lukuun.

Henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan ylläpito- ja/tai hosting- palveluiden sekä mahdollisesti muiden sopimuksessa kuvattujen velvoitteiden täyttämiseksi sekä palveluiden tarjoamiseksi ja toimittamiseksi asiakkaalle tämän antamien ohjeiden mukaisesti.

Henkilötietojen käsittelijällä ei ole oikeutta käsitellä henkilötietoja mihinkään muuhun tarkoitukseen tai kenenkään muun hyväksi. Henkilötietojen käsittelijällä on oikeus siirtää henkilötietoja EU:n tai ETA:n ulkopuolisiin maihin, edellyttäen että siirto tapahtuu tietosuoja-asetuksessa määriteltyä riittäviä suojamekanismeja käyttäen. Henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos tämä katsoo, että rekisterinpitäjän antamat käsittelyä koskevat kirjalliset ohjeistukset rikkovat tietosuoja- asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä. Tämän liitteen ehtojen lisäksi kumpikin osapuoli sitoutuu noudattamaan sovellettavia kansallisia tietosuojalakeja ja tietosuoja-asetuksen säännöksiä toimintaansa soveltuvin osin.

Käsittelyä koskevat tarkemmat tiedot, kuten käsittelyn luonne, henkilötietojen tyyppi ja rekisteröityjen ryhmät, on kuvattu jäljempänä.

4. ALIHANKINNAT

Ellei kirjallisesti ole toisin sovittu, toimittajalla on oikeus käyttää toista tietojen käsittelijää alihankkijanaan henkilötietojen käsittelyssä. Toimittaja tiedottaa asiakkaan kirjallisen pyynnön perusteella asiakkaalle kirjallisesti käyttämänsä alihankkijat.

Toimittajan käyttäessä alihankkijaa henkilötietojen käsittelyyn, seuraavat ehdot soveltuvat:

(a) sanottua toimeksiantoa säädellään kirjallisella sopimuksella; ja

(b) kirjallinen sopimus velvoittaa alihankkijan noudattamaan samoja velvollisuuksia ja sitoumuksia, jotka tämän sopimuksen ja tietosuojalainsäädännön mukaan soveltuvat toimittajaan, ja antaa asiakkaalle samat oikeudet alihankkijaa kohtaan kuin ne, jotka asiakkaalla on toimittajaa kohtaan.

Ennen kuin toimittaja vaihtaa tai lisää henkilötietojen käsittelyyn osallistuvia alihankkijoita, toimittaja ilmoittaa asiasta kirjallisesti asiakkaalle ilman aiheetonta viivästystä. Xxx xxxxxxx ei hyväksy alihankkijan vaihtamista tai lisäämistä, toimittajalla on oikeus irtisanoa sopimus 30 päivän irtisanomisajalla.

Toimittaja vastaa alihankkijoiden toimista ja laiminlyönneistä suhteessa asiakkaaseen.

5. AUDITOINNIT

Asiakkaalla tai tämän valtuuttamalla auditoijalla on oikeus tarkastaa henkilötietojen käsittelyä koskevien toimittajan velvollisuuksien noudattamisen arvioidakseen toimittajan ja sen alihankkijoiden näiden erityisehtojen velvoitteiden sekä sopimuksen muiden henkilötietojen käsittelyä koskevien velvoitteiden noudattamista.

Toimittaja takaa asiakkaalle tietosuojalainsäädännön edellyttämät oikeudet toimittajan alihankkijoiden auditointiin.

Mahdolliset asiakkaan suorittamat tarkastukset eivät rajoita toimittajan tai sen alihankkijoiden näiden erityisehtojen tai sopimuksen mukaisia velvollisuuksia ja vastuita.

Auditoinnit tulee suorittaa normaalin työajan puitteissa siten, että niistä aiheutuisi mahdollisimman vähän haittaa henkilötietojen käsittelijän liiketoiminnalle. Rekisterinpitäjän tulee ilmoittaa henkilötietojen käsittelijälle vähintään 45 päivää etukäteen auditoinnin toteuttamisesta. Auditointi tehdään aina salassapitosopimuksen alaisuudessa.

6. TIETOTURVA JA HENKILÖTIETOJEN TIETOTURVALOUKKAUKSET

Toimittajan tulee tehdä asianmukaiset tekniset ja organisatoriset toimenpiteet torjuakseen ja ehkäistäkseen henkilötietojen luvattoman ja laittoman käsittelyn.

Toimittajan tulee varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitovelvollisuuteen tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus ja että henkilötietoja käsitellään ainoastaan työtehtävien yhteydessä sovitussa käyttötarkoituksessa.

Toimittaja ilmoittaa asiakkaalle ilman aiheetonta viivästystä kirjallisesti kaikista sen tietoisuuteen tulleista henkilötietoihin kohdistuneista tietoturvaloukkauksista ja muista tapahtumista, joiden perusteella asiakkaan lukuun käsiteltyjen henkilötietojen tietoturvallisuus on vaarantunut, tai kun toimittajalla on syytä uskoa, että tietoturva on voinut vaarantua. Asiakkaan pyynnöstä toimittajan tulee tarjota asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Toimittajan tulee myös ilmoittaa asiakkaalle tietoturvaloukkauksen johdosta tehdyt toimenpiteet. Jos toimittajaa velvoittavasta lainsäädännöstä ei muuta johdu, toimittajan tietoturvaloukkausta koskeva ilmoitus asiakkaalle sisältää vähintään:

(a) kuvaus tietoturvaloukkauksen luonteesta,

(b) tietoturvaloukkauksenkohteenaolleidentietojenyksilöiminen,

(c) jos tietoturvaloukkauksen kohde sisältää henkilötietoja, kyseisten henkilöryhmienkuvaus ja vaikutuksen alaisten henkilöiden kokonaislukumäärä,

(d) kuvaus korjaavista toimenpiteistä, jotka toimittaja on suorittanut tai suorittaa tietoturva- loukkausten ennaltaehkäisemiseksi jatkossa,

(e) kuvaus tietoturvaloukkauksen aiheuttamista seurauksista, ja

(f) kuvaus toimittajan suorittamista toimista tietosuojaloukkauksen haittavaikutusten minimoimiseksi.

Toimittajan on dokumentoitava kaikki tietoturvaloukkaukset, mukaan lukien kuhunkin tietoturvaloukkaukseen liittyvät seikat, vaikutukset ja tehdyt korjaavat toimenpiteet.

7. TIETOSUOJAA KOSKEVA VAIKUTUSTEN ARVIOINTI

Mikäli henkilötietojen käsittelijä tulee tietoiseksi siitä, että suunniteltu käsittely aiheuttaisi korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta, tulee sen ilmoittaa tästä rekisterinpitäjälle ja avustaa tätä tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin toteuttamisessa.

8. REKISTERÖIDYN OIKEUKSIEN TOTEUTTAMINEN

Ottaen huomioon käsittelytoimen luonteen, henkilötietojen käsittelijän tulee kohtuudella ja ilman aiheetonta viivästystä auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat tietosuoja-asetuksessa säädettyjen rekisteröidyn oikeuksien käyttämistä. Tällaisia oikeuksia voivat olla muun muassa, sellaisina kuin ne on tietosuoja-asetuksessa määritelty, rekisteröidyn oikeus saada pääsy tietoon, oikeus saada tieto korjatuksi, oikeus kieltää käsittely, oikeus tietojen poistamiseen (ns. “oikeus tulla unohdetuksi”), oikeus käsittelyn rajoittamiseen ja oikeus saada tiedot siirretyksi järjestelmästä toiseen. Mikäli tällaisia vaatimuksia esitetään suoraan henkilötietojen käsittelijälle, sen tulee viipymättä ilmoittaa niistä rekisterinpitäjälle.

9. ASIAKKAAN AVUSTAMISVELVOLLISUUS

Sopimuksen voimassaoloaikana asiakas voi kirjallisesti pyytää, että Tietopartio avustaa häntä tietosuojalainsäädännön rekisterinpitäjää koskevien velvoitteiden täyttämisessä. Tämä edellyttää, että kyseiset velvoitteet liittyvät asiakkaan Tietopartiolta hankittuihin palveluihin ja kyseiset velvoitteet ovat sellaisia, joiden osalta Tietopartiolla on velvollisuus avustaa rekisterinpitäjää. Tämä koskee erityisesti avustamista tietosuojaloukkaustilaanteissa, rekisteröidyn oikeuksien täyttämisessä sekä tietosuojavaikutusten arviointien toteuttamisessa. Tietopartion avustaessa asiakasta, kaikista kustannuksista vastaa asiakas. Ellei muusta ole sovittu, on Tietopartio oikeutettu laskuttamaan avustamiseen käyttämänsä työaika aikaperusteisella veloituksella kulloinkin voimassa olevan hinnaston mukaisesti.

10.ASIAKKAAN VELVOLLISUUDET

Asiakas toimii rekisterinpitäjänä suhteessa näiden tietosuojaehtojen perusteella käsiteltäviin henkilötietoihin ja asiakas vastaa siitä, että se täyttää kaikki ne velvollisuudet, joita lainsäädäntö edellyttää rekisterinpitäjältä (mm. rekisteröityjen informoiminen, tietosuojaselosteiden laatiminen ja saatavilla pitäminen, riittävien ja lainmukaisten käsittelyperusteiden varmistaminen, mukaan lukien suostumusten hankkiminen, mikäli käsittely suostumusta edellyttää). Asiakas vastaa myös siitä, että tämän Tietopartiolle antamat käsittelyohjeet ovat lainmukaisia.

Asiakas on velvollinen ilmoittamaan Tietopartiolle kaikista sellaisista seikoista (mukaan lukien erityiset riskit tai henkilötietoryhmät), jotka saattavat edellyttää ylimääräisten teknillisten tai organisatoristen suojaustoimenpiteiden määrittelemisestä ja sopimista.

Asiakas yksin määrittelee ja vastaa palveluihin tallennetuista tiedoista (mukaan lukien henkilötiedoista) ja siitä, että tällä on oikeus käsitellä ja tallentaa palveluun henkilötietoja ja luovuttaa niitä Tietopartiolle. Asiakas määrittelee sekä vastaa myös siitä, mitä henkilötietoja palveluun tallennettaan, mihin tarkoitukseen ja miten niitä käytetään, vaihdetaan tai käsitellään, kenelle tietoja luovutetaan sekä miten tiedon laadusta, ajantasaisuudesta ja poistamisesta tai anonymisoinnista huolehditaan.

Asiakas vastaa itse suorittamastaan henkilötietojen käsittelystä ja palvelun käytöstä. Asiakas on vastuussa myös henkilötietojen käsittelyn eheydestä, turvallisuudesta, ylläpidosta ja asianmukaisesta suojaamisesta sekä sen varmistamisesta, että Asiakas noudattaa kaikkia sovellettavia tietosuoja-, tietoturva- ja turvallisuuslakeja sekä määräyksiä.

11.KORVAUSVELVOLLISUUS JA VASTUUNRAJOITUKSET

Elleivät sopijapuolet ole erikseen kirjallisesti toisin sopineet, näihin erityisehtoihin sovelletaan muutoin IT2018 YSE yleisten sopimusehtojen kohtaa 13.

12.LIITTEEN VOIMAANTULO JA SOPIMUKSEN PÄÄTTYMISEN VAIKUTUKSET

Tämä liite tulee voimaan osapuolten välisen ylläpito- ja/tai hosting-palvelusopimuksen voimaantulon yhteydessä ja pysyy voimassa kyseisen sopimuksen voimassaoloa koskevien ehtojen mukaisesti.

Xxxxxxxx sopimuksen päättymisestä henkilötietojen käsittelijä joko poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset sekä poistaa tunnuksensa rekisterinpitäjän tietojärjestelmiin, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Siinä tapauksessa henkilötietojen käsittelijällä on oikeus säilyttää henkilötiedot lain vaatimusten mukaisesti, jatkamatta muutoin henkilötietojen käsittelyä ja noudattaen edelleen tässä liitteessä kuvattuja salassapitovelvoitteita. Koska henkilötietojen käsittelijä viime kädessä poistaa hallussaan olevat rekisterinpitäjän henkilötiedot sopimuksen päätyttyä, tulee rekisterinpitäjän ennen sopimuksen päättymistä varmistaa, että sillä on tarvittavat kopiot tai varmuuskopiot näistä tiedoista, mikäli se niitä edelleen tarvitsee sopimuksen päättymisen jälkeen.

13.KÄSITTELYÄ KOSKEVAT VAATIMUKSET

Käsittelyn luonne: Henkilötietojen käsittely koskee Tietopartion tarjoamien palveluiden, kuten ylläpito- ja hosting-palvelun, tarjoamista ja toimittamista asiakkaalle. Tietopartio kerää, tallentaa ja käsittelee rekisterinpitäjänä toimivien asiakkaiden henkilötietoja sopimuksen, näiden ehtojen ja sovellettavan lainsäädännön mukaisesti. Koska asiakas yksinomaan päättää mitä henkilötietoja Tietopartion palveluun tallennetaan eikä Tietopartio lähtökohtaisesti millään tavoin verifioi tai tarkista näitä tietoja (eikä sillä ole tähän velvollisuutta), voi asiakas tallentaa palveluun mitä tahansa tarpeelliseksi katsomiaan tietoja.

14.SOPIMUSASIAKIRJOJEN PÄTEMISJÄRJESTYS

1. Tämä asiakirja

2. IT2018 YSE

15.SOPIMUSKAPPALEET JA ALLEKIRJOITUKSET

Sopimusta on tehty kaksi saman sanaista kappaletta, yksi kummallekin sopijapuolelle.

Paikka ja aika

Sampo Blom, Tietopartio Oy