LIITE: VARMENNEPALVELUJEN ASIAKASSOPIMUKSEEN

LIITE: VARMENNEPALVELUJEN ASIAKASSOPIMUKSEEN

1 Yleistä

1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa varmennepalvelujen asiakassopimusta, jäljempänä ”Sopimus”, jonka Digi- ja väestötietovirasto (DVV) on tehnyt leimavarmenneasiakkaan (Asiakas) kanssa, jäljempänä yhdessä ”Osapuolet”.

1.2. Osapuolet hyväksyvät nämä ehdot varmistaakseen EU:n yleisen tietosuoja-ase- tuksen 28 artiklan noudattamisen. Ehtoja ei saa tulkita tavalla, joka on ristiriidassa EU:n yleisen tietosuoja-asetuksen kanssa.

1.3. Tässä sopimusliitteessä määritellään Osapuolia sitovasti ne henkilötietojen käsit- telyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti DVV Asiakkaan toi- meksiannosta käsittelee henkilötietoja Asiakkaan puolesta ja lukuun Sopimuksessa olevien sopimusehtojen lisäksi. DVV on tällöin henkilötietojen käsittelijän roolissa ja Asiakas on rekisterinpitäjän roolissa.

1.4. Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassa olevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä (mm. EU:n yleistä tietosuoja-asetusta (EU)2016/679).

2 Osapuolten roolit henkilötietojen käsittelyssä

2.1. Osapuoli toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä silloin, kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. DVV toimii rekisterinpitäjänä ja määrittelee henkilötietojen käsit- telyn tarkoitukset ja keinot roolissaan varmentajana, henkilötietojen käsittelyn kohdis- tuessa varmenteiden myöntämiseen, tuotantoon ja palveluhallintaan. Asiakas toimii rekisterinpitäjänä ja määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot DVV:n tarjoamassa leimapalvelussa leimattavien Asiakkaan asiakirjojen sisältämien henkilö- tietojen käsittelyn osalta.

2.2. DVV toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tar- koittamana henkilötietojen käsittelijänä, joka käsittelee DVV:n tarjoamassa leimapal- velussa Asiakkaan henkilötietoja Asiakkaan puolesta ja lukuun. DVV:n Sopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat Asiak- kaan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Asiakkaan puolesta ja lukuun.

2.3. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet, oikeudet ja vastuut kuvataan Sopimuksessa, sopimuksen mukaisen palvelun aikana laaditta- vassa ja Osapuolia sitovassa dokumentaatiossa tai muussa ohjeistuksessa. Lisäksi edellä mainittuja oikeuksia, velvollisuuksia ja vastuita voidaan tuoda esille erikseen sovitusti järjestettävissä koulutuksissa. Osapuolet sitoutuvat noudattamaan Sopimuk- sessa, dokumentaatiossa ja ohjeistuksessa olevia henkilötietojen käsittelyä koskevia

Puh. 0295 536 000 (vaihde) Yhteystiedot, katso xxx.xxx.xx

ehtoja ja kuvauksia. Osapuolet vastaavat laatimansa ohjeistuksen ylläpidosta ja saa- tavuudesta.

2.4. Jos kohdan 2.3 mukaisia ohjeita ja kuvauksia ei ole tehty tai ne ovat puutteellisia, Osapuolet laativat tai täydentävät ohjeita ja kuvauksia tarvittaessa yhteistyössä. Osa- puolen on ilmoitettava toiselle Osapuolelle, jos tämän antama ohjeistus on puutteelli- nen tai jos Osapuoli epäilee sitä lainvastaiseksi.

3 Alikäsittelijöiden käyttö

3.1. DVV:llä on oikeus käyttää henkilötietojen käsittelyyn alikäsittelijöitä, ellei kirjalli- sesti ole toisin sovittu. DVV on velvollinen ilmoittamaan Asiakkaalle kirjallisesti henki- lötietojen käsittelijöinä toimivien alikäsittelijöiden käyttämisestä. Asiakkaalle on annet- tava mahdollisuus perustellusta syystä vastustaa alikäsittelijöitä koskevia muutoksia.

3.2. Siltä osin kuin DVV käyttää toiminnassaan alikäsittelijöitä, jotka käsittelevät hen- kilötietoja, alikäsittelyyn sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä ku- vattuja ehtoja.

3.3. DVV ja sen alikäsittelijät, jotka henkilötietojen käsittelijöinä käsittelevät Asiakkaan henkilötietoja Asiakkaan puolesta ja lukuun, sitoutuvat kaikki tässä sopimusliitteessä kuvattuihin henkilötietojen käsittelijää koskeviin velvollisuuksiin ja vastuisiin. DVV:llä on velvollisuus sopimuksilla sitouttaa käyttämänsä alikäsittelijätt noudattamaan tä- män sopimusliitteen ehtoja.

3.4. DVV on vastuussa mahdollisista Asiakkaan henkilötietoja käsittelevien DVV:n alikäsittelijöiden Sopimuksen, tämän sopimusliitteen tai sovellettavan lainsäädännön rikkomisista tai laiminlyönneistä kuin omistaan. Jos tietojen käsittelyä suorittava DVV:n alikäsittelijä ei täytä tietosuojavelvoitteitaan, DVV on vastuussa suhteessa Asi- akkaaseen. Jos Asiakas perustellusti katsoo, että DVV:n alikäsittelijä ei täytä tieto- suojavelvoitteitaan, Asiakkaalla on oikeus vaatia DVV:tä vaihtamaan alikäsittelijää. Mikäli DVV ei suostu Asiakkaan pyynnöstä huolimatta vaihtamaan alikäsittelijää, on olemassa sopimuksen mukainen irtisanomisperuste.

4 Henkilötietojen käsittelijän yleiset velvollisuudet ja vastuut

4.1. Henkilötietojen käsittelijä käsittelee henkilötietoja Sopimuksen ja rekisterinpitäjän antamien ohjeiden mukaisesti.

4.2. Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudatta- maan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassa- pitovelvollisuus.

4.3. Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvalli- suutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä si- toutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukai- set tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsitte- lyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden

oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihte- levat riskit sekä noudattamaan voimassa olevia rekisterinpitäjän ohjeita.

4.4. Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmista- miseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen ja re- kisterinpitäjän ohjeiden mukaisesti.

4.5. Henkilötietojen käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan rekis- terinpitäjälle tämän ohjeistuksen mukaisesti kaikista rekisteröityjen pyynnöistä, jotka koskevat sovellettavan lainsäädännön mukaisten rekisteröidyn oikeuksien käyttä- mistä.

4.6. Henkilötietojen käsittelijä sitoutuu avustamaan rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta rekisterinpitäjä pystyy täyttämään vel- vollisuutensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Henkilötietojen käsittelijä ymmärtää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä avustamista esimerkiksi rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaise- misessa tai poistamisessa.

4.7. Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan rekisterinpitäjää EU:n yleisen tietosuoja-asetuksen mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koske- van sertifioinnin hankkimisessa. Henkilötietojen käsittelijällä on oikeus veloittaa koh- tuulliset työkustannukset Osapuolten erikseen sopimalla tavalla.

4.8. Henkilötietojen käsittelijä ei lähtökohtaisesti saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle.

4.9. Henkilötietojen käsittelijä saattaa rekisterinpitäjän saataville kaikki tiedot ja ai- neiston, jotka ovat tarpeen tässä sopimusliitteessä kuvattujen velvollisuuksien nou- dattamisen osoittamista varten, ja sallii rekisterinpitäjän valtuuttaman auditoijan suo- rittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

5 Tietoturva

5.1. Henkilötietojen käsittelijän on toteutettava Sopimuksessa eritellyt tekniset ja or- ganisatoriset toimenpiteet henkilötietojen asianmukaisen turvallisuuden varmista- miseksi. Vaatimus koskee niin henkilötietojen eheyttä, luottamuksellisuutta kuin saa- tavuuttakin. Tähän sisältyy tietojen suojaaminen tietoturvaloukkauksilta. Asianmukai- sen turvallisuustason ja sen toteuttamiseksi tarvittavien toimenpiteiden arvioinnissa on huomioitava uusin tekniikka, täytäntöönpanokustannukset, käsittelyn luonne, laa- juus, asiayhteys ja tarkoitukset sekä rekisteröidylle aiheutuvat riskit.

5.2. Henkilötietojen käsittelijä antaa henkilötietoja lukuunsa työskenteleville henkilöille vain siinä määrin kuin se on ehdottoman välttämätöntä osapuolten välisen sopimuk- sen täytäntöönpanoa, hallinnointia ja seurantaa varten. Henkilötietojen käsittelijä var- mistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudat- tamaan salassapitovelvollisuutta, tai että heitä koskee lakisääteinen salassapitovel- vollisuus.

5.3. Henkilötietojen käsittelijä ilmoittaa rekisterinpitäjälle viipymättä, jos se havaitsee, että käsiteltävät henkilötiedot ovat virheellisiä, vanhentuneita tai niiden käsittely on muutoin lainvastaista. Osapuolet ilmoittavat viipymättä toisilleen tunnistamistaan hen- kilötietojen käsittelyyn liittyvistä uusista riskeistä.

5.4. Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturva- loukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Lisäksi DVV sitoutuu ilmoittamaan Asiakkaalle muista DVV:n tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen ase- maan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa (ilman aihee- tonta viivytystä), ellei Sopimuksessa tai sen liitteissä ole sovittu muusta määräajasta.

5.5. Henkilötietojen käsittelijän on annettava rekisterinpitäjälle vähintään seuraavat tiedot tietoturvaloukkauksesta:

1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mu- kaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötieto- tyyppien ryhmät ja arvioidut lukumäärät;

2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisä- tietoja;

3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

4) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

6 Muita vaatimuksia

6.1. Rekisterinpitäjällä on oikeus muuttaa, täydentää ja päivittää henkilötietojen käsit- telijälle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Nämä oh- jeet voivat olla henkilötietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organi- satorisiin toimenpiteisiin liittyviä muutoksia, täydennyksiä tai päivityksiä.

Henkilötietojen käsittelijä tekee tarvittavat muutokset rekisterinpitäjän ohjeiden mukai- sesti. Jos rekisterinpitäjän ohjeet aiheuttavat henkilötietojen käsittelijälle olennaisia muutostöitä (yli yksi (1) henkilötyöpäivää), Osapuolet sopivat tarvittaessa kustannuk- sista erikseen. DVV ja henkilötietojen alikäsittelijät sitoutuvat noudattamaan näitä muutettuja, täydennettyjä tai päivitettyjä ohjeita.

6.2. Henkilötietojen käsittelijä sitoutuu reagoimaan viimeistään 72 tunnin kuluessa re- kisterinpitäjän yhteydenotosta ja vastaamaan viimeistään yhden (1) viikon kuluessa rekisterinpitäjän tietosuojaa koskeviin ilmoituksiin, reklamaatioihin tai muihin viestei- hin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tietoturvaloukkaukset, joihin sovelletaan Sopimuksessa ja edellä tässä liitteessä määritettyjä määräaikoja. Mikäli Osapuolet ovat muun erityislainsäädännön nojalla sopineet tai sopivat muista määräajoista, noudatetaan näitä muita määräaikoja ensisijaisesti.

6.3. Jos henkilötietojen käsittelijä laiminlyö tai rikkoo tätä sopimusliitettä, Sopimusta muilta osin tai sovellettavaa lainsäädäntöä, henkilötietojen käsittelijän korvausvastuu on määritelty Sopimuksen lisäksi sovellettavassa lainsäädännössä. Lisäksi tällainen

laiminlyönti tai rikkomus voi muodostaa Sopimuksessa tarkoitetun olennaisen sopi- musrikkomuksen, jonka seurauksena rekisterinpitäjällä on mahdollisuus turvautua Sopimuksessa määriteltyihin oikeussuojakeinoihin.

6.4. Jos tähän sopimusliitteeseen tehdään sellaisia muutoksia, joista aiheutuu henki- lötietojen käsittelijälle olennaisia lisäkustannuksia (yli yksi (1) henkilötyöpäivää), nii- den korvaamisesta voidaan tarvittaessa sopia erikseen. DVV ja henkilötietojen alikä- sittelijät sitoutuvat noudattamaan myös tarkistettua sopimusliitettä.