NRO

NRO

DVV

LIITE: VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTI- SOPIMUKSIIN NRO

1 Yleistä

1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa varmennepalvelujen asiakas- ja rekisteröintisopimuksia, jäljempänä ”Sopimus”, jonka Tilaaja (DVV) on tehnyt Toimittajan (varmennepalveluasiakas/varmennepalvelurekisteröijä) kanssa.

1.2. Tässä sopimusliitteessä määritellään Tilaajaa ja Toimittajaa sitovasti ne henkilö- tietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Xxxxxxxx toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta ja lukuun Sopi- muksessa olevien sopimusehtojen lisäksi.

1.3. Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä, ja lisäksi Osapuolet sitoutuvat saattamaan henkilötietojen käsittelyn ja tietosuojan EU:n yleisen tietosuoja- asetuksen (EU)2016/679 mukaiselle vaatimustasolle 25.5.2018 mennessä, jolloin tie- tosuoja-asetuksen soveltaminen alkaa. Edellä mainitusta kansallisesta ja EU-lainsää- dännöstä jäljempänä puhuttaessa viitataan sovellettavaan lainsäädäntöön tai henkilö- tietojen käsittelyä ja tietosuojaa koskevaan lainsäädäntöön.

2 Osapuolten roolit henkilötietojen käsittelyssä

2.1. Tilaaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tar- koittamana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tar- koitukset ja keinot. Osapuolet ymmärtävät, että rekisterinpitäjänä Xxxxxxx saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää voimassaolevan henkilötietojen käsittelyyn ja tietosuojaan liittyvän lainsäädännön vaatimukset ja 25.5.2018 alkaen EU:n yleisen tietosuoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2.2. Toimittaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Xxxxxxxx henkilötietoja Tilaa- jan puolesta ja lukuun. Toimittajan Sopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat Tilaajan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Xxxxxxxx puolesta ja lukuun. Ryhmittymän ollessa Toimittajana tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

2.4. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet, oikeudet ja

Puh. 0295 536 000 (vaihde) Yhteystiedot, katso xxx.xxx.xx

vastuut kuvataan Sopimuksessa, sopimuksen mukaisen palvelun aikana laaditta- vassa ja Toimittajaa sitovassa dokumentaatiossa tai muussa Xxxxxxxx ohjeistuksessa. Lisäksi edellä mainittuja oikeuksia, velvollisuuksia ja vastuita tuodaan esille Tilaajan järjestämissä koulutuksissa. Toimittaja sitoutuu noudattamaan Sopimuksessa, doku- mentaatiossa ja ohjeistuksessa olevia henkilötietojen käsittelyä koskevia ehtoja ja ku- vauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta

2.5. Jos kohdan 2.4 mukaista kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laa- tii tai täydentää kuvausta tarvittaessa yhteistyössä Toimittajan kanssa. Toimittajan on ilmoitettava Xxxxxxxxxx, jos tämän antama ohjeistus on puutteellinen tai jos Toimittaja epäilee sitä lainvastaiseksi.

3 Alihankkijat, jotka käsittelevät henkilötietoja

3.1. Toimittaja ei saa käyttää henkilötietojen käsittelyyn alihankkijan palveluja ilman Tilaajan antamaa kirjallista suostumusta. Toimittajan on tiedotettava Tilaajalle kirjalli- sesti kaikista suunnitelmista, jotka koskevat henkilötietojen käsittelijöinä toimivien ali- hankkijoiden käyttämistä, ja annettava Tilaajalle mahdollisuus vastustaa tällaisia muutoksia.

3.2. Siltä osin kuin Toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.

3.3. Toimittaja ja sen alihankkijat, jotka henkilötietojen käsittelijöinä käsittelevät Tilaa- jan henkilötietoja Xxxxxxxx puolesta ja lukuun, sitoutuvat kaikki tässä sopimusliitteessä kuvattuihin henkilötietojen käsittelijää koskeviin velvollisuuksiin ja vastuisiin. Toimitta- jalla on velvollisuus sopimuksilla sitouttaa käyttämänsä alihankkijat noudattamaan tämän sopimusliitteen ehtoja.

3.4. Toimittaja on vastuussa mahdollisista Xxxxxxxx henkilötietoja käsittelevien Toimit- tajan alihankkijoiden Sopimuksen, tämän sopimusliitteen tai sovellettavan lainsää- dännön taikka EU:n yleisen tietosuoja-asetuksen rikkomisista tai laiminlyönneistä kuin omistaan. Jos tietojen käsittelyä suorittava alihankkija ei täytä tietosuojavelvoit- teitaan, Toimittaja on edelleen täysimääräisesti vastuussa suhteessa Tilaajaan. Xxx Xxxxxxx perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoittei- taan, Tilaajalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa. Mikäli Toimittaja ei suostu Xxxxxxxx pyynnöstä huolimatta vaihtamaan alihankkijaa, on olemassa sopi- muksen mukainen irtisanomisperuste.

4 Henkilötietojen käsittelijän yleiset velvollisuudet ja vastuut

4.1. Henkilötietojen käsittelijä käsittelee henkilötietoja Sopimuksen ja Tilaajan anta- mien ohjeiden mukaisesti.

4.2. Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudatta- maan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassa- pitovelvollisuus.

4.3. Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvalli- suutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä si- toutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukai- set tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsitte- lyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuk- siin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan voimassa olevia Tilaajan ohjeita.

4.4. Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmista- miseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen ja Ti- laajan ohjeiden mukaisesti.

4.5. Henkilötietojen käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Ti- laajalle tämän ohjeistuksen mukaisesti kaikista rekisteröityjen pyynnöistä, jotka kos- kevat sovellettavan lainsäädännön mukaisten rekisteröidyn oikeuksien käyttämistä.

4.6. Henkilötietojen käsittelijä sitoutuu avustamaan Tilaajaa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Xxxxxxx pystyy täyttämään velvollisuutensa vas- tata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Henkilötietojen käsittelijä ymmärtää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä avustamista esimerkiksi rekisteröidylle tiedottamisessa ja viestin- nässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa.

4.7. Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Tilaajaa EU:n yleisen tietosuoja-asetuksen mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemi- sessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Toimittajalla on oikeus veloittaa kohtuulliset työkustan- nukset Osapuolten erikseen sopimalla tavalla.

4.8. Henkilötietojen käsittelijä ei lähtökohtaisesti saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle.

4.9. Henkilötietojen käsittelijä saattaa Tilaajan saataville kaikki tiedot ja aineiston, jotka ovat tarpeen tässä sopimusliitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Tilaajan valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

5 Henkilötietojen käsittelijän erityiset velvollisuudet ja vastuut

5.1. Toimittajalla on oltava valmius asettaa ja hallinnoida tietojen luovutuksia koske- via rajoituksia, jollaisia voi aiheutua esimerkiksi väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetun lain mukaisesta rekisteröidyn turva- kiellosta. Toimittajan tulee pystyä rajoittamaan rekisteröidyn henkilötietojen käsittelyä osittain tai kokonaan Xxxxxxxx vaatimalla tavalla. Rekisteröidyn henkilötietojen käsitte- lyn rajoittaminen ei saa johtaa muiden rekisterissä olevien luonnollisten henkilöiden henkilötietojen käsittelyn rajoittamiseen, xxxxx Xxxxxxxx ja Toimittajan kesken kirjalli- sesti toisin sovita.

5.2. Ellei toisin sovita, Toimittaja on velvollinen ylläpitämään ajantasaista luetteloa re- kisteröityjen henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista. Luettelo on luovutettava pyydettäessä Tilaajalle. Tilaajan pyynnöstä Toimittajan on luovutet- tava ilman aiheetonta viivytystä luettelossa mainittuja tietoja Tilaajan pyytämässä laa- juudessa Tilaajan yksilöimille kolmansille tahoille.

6 Tietoturvaloukkaukset

6.1. Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturva- loukkauksesta Tilaajalle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Lisäksi Toimittaja sitoutuu ilmoittamaan Tilaajalle muista Toimittajan tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen ase- maan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa (ilman aihee- tonta viivytystä), ellei Sopimuksessa tai sen liitteissä ole sovittu muusta määräajasta.

6.2. Henkilötietojen käsittelijän on annettava Tilaajalle vähintään seuraavat tiedot tie- toturvaloukkauksesta:

1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mu- kaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötieto- tyyppien ryhmät ja arvioidut lukumäärät;

2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisä- tietoja;

3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

4) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

7 Muita vaatimuksia

7.1. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Toimittajalle antamiaan hen- kilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Nämä ohjeet voivat olla henkilö- tietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia, täydennyksiä tai päivityksiä.

Toimittaja tekee tarvittavat muutokset Tilaajan ohjeiden mukaisesti. Jos Tilaajan oh- jeet aiheuttavat

Toimittajalle olennaisia muutostöitä (yli yksi (1) henkilötyöpäivää), Osapuolet sopivat tarvittaessa kustannuksista erikseen. Toimittaja ja muut henkilötietojen käsittelijät si- toutuvat noudattamaan näitä muutettuja, täydennettyjä tai päivitettyjä ohjeita.

7.2. Osapuolet ymmärtävät, että Sopimuksessa ja sen liitteissä käsitellään myös tie- tosuojaa koskevia aiheita.

7.3. Toimittaja sitoutuu reagoimaan viimeistään 72 tunnin kuluessa Tilaajan yhtey- denotosta ja vastaamaan viimeistään yhden (1) viikon kuluessa Tilaajan tietosuojaa

koskeviin ilmoituksiin, reklamaatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tietoturvaloukkaukset, joihin sovelletaan Sopimuk- sessa ja edellä tässä liitteessä määritettyjä määräaikoja. Mikäli Osapuolet ovat muun erityislainsäädännön nojalla sopineet tai sopivat muista määräajoista, noudatetaan näitä muita määräaikoja ensisijaisesti.

7.4. Jos Toimittaja laiminlyö tai rikkoo tätä sopimusliitettä, sopimusta muilta osin tai sovellettavaa lainsäädäntöä tai EU:n yleistä tietosuoja- asetusta, Toimittajan korvaus- vastuu on määritelty Sopimuksen lisäksi sovellettavassa lainsäädännössä. Lisäksi tällainen laiminlyönti tai rikkomus muodostaa Sopimuksessa tarkoitetun olennaisen sopimusrikkomuksen, jonka seurauksena Tilaajalla on halutessaan oikeus turvautua Sopimuksessa määriteltyihin oikeussuojakeinoihin.

7.5. Osapuolet ymmärtävät, että Sopimusta ja tätä sopimusliitettä tehtäessä tietosuo- jaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Tilaajan asemaan tai velvollisuuksiin tai tässä sopimusliitteessä määriteltyihin velvollisuuksiin tai vastuisiin, tätä sopimusliitettä voidaan tarvittaessa niiltä osin tarkistaa. Jos tähän sopimusliitteeseen tehdään sellaisia muutoksia, joista aiheutuu Toimittajalle olennaisia lisäkustannuksia (yli yksi (1) henkilötyöpäivää), nii- den korvaamisesta voidaan tarvittaessa sopia erikseen. Toimittaja ja muut henkilötie- tojen käsittelijät sitoutuvat noudattamaan kyseistä tarkistettua sopimusliitettä.