Liite 8 TIETOSUOJAEHDOT

Liite 8 TIETOSUOJAEHDOT

1. Yleistä

1.1. ”Rekisterinpitäjän henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterin- pitäjä vastaa.

1.2. Tässä sopimusliitteessä määritellään Rekisterinpitäjää ja Käsittelijää sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Käsittelijä Rekisterinpitäjän toimeksiannosta käsittelee henkilötietoja Rekisterinpitäjän puolesta ja lukuun Sopimuksessa ole- vien sopimusehtojen lisäksi. Näissä ehdoissa kuvatuista Käsittelijän toimenpiteistä ja velvolli- suuksista ei suoriteta erillistä korvausta.

1.3. Osapuolet sitoutuvat noudattamaan toiminnassaan kulloinkin voimassaolevaa henkilötietojen kä- sittelyyn ja tietosuojaan liittyvää lainsäädäntöä ja 25.5.2018 alkaen EU:n yleistä tietosuoja-ase- tusta.

1.4. Jos Käsittelijällä ei ole tietosuojavastaavaa, Käsittelijä on velvollinen nimeämään tietosuojasta vastaavan yhteyshenkilön henkilötietojen käsittelyä varten. Käsittelijä ilmoittaa kirjallisesti tässä kohdassa tarkoitetun yhteyshenkilön tai tietosuojavastaavan yhteystiedot Rekisterinpitäjälle.

2. Osapuolten roolit henkilötietojen käsittelyssä

2.1. Rekisterinpitäjä toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoitta- mana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Osapuolet ymmärtävät, että Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen kä- sittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toi- mien täytäntöön panemiseksi niin, että käsittely täyttää voimassaolevan henkilötietojen käsitte- lyyn ja tietosuojaan liittyvän lainsäädännön vaatimukset ja 25.5.2018 alkaen EU:n yleisen tieto- suoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2.2. Ryhmittymän ollessa Käsittelijänä tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmitty- män jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

2.3. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä Rekisterinpitäjän ja Käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksen liit- teenä olevassa ”käsittelytoimien kuvauksessa” ja/tai muussa Rekisterinpitäjän kirjallisessa oh- jeistuksessa. Käsittelijä sitoutuu noudattamaan Sopimuksessa, sen liitteissä ja ohjeistuksessa olevia ehtoja ja kuvauksia. Rekisterinpitäjä vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

2.4. Jos kohdan 2.3 mukaista käsittelytoimien kuvausta ja/tai muuta kirjallista ohjeistusta ei ole tehty tai se on puutteellinen, Rekisterinpitäjä laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Käsittelijän kanssa.

2.5. Käsittelijän on ilmoitettava Rekisterinpitäjälle, jos tämän antama käsittelytoimien kuvaus tai muu ohjeistus on puutteellinen tai, jos Käsittelijä epäilee sitä lainvastaiseksi.

2.6. Käsittelijä huolehtii Sopimuksen perusteella käsittelemiensä henkilötietojen asianmukaisesta suojaamisesta omien käytäntöjensä, Sopimuksen vaatimusten ja Rekisterinpitäjän käsittelytoi- mien kuvauksen ja/tai kirjallisen ohjeistuksen mukaisesti varmistaakseen henkilötietojen luotta- muksellisuuden, eheyden ja saatavuuden.

2.7. Käsittelijä antaa Rekisterinpitäjän pyynnöstä tarvittavat tiedot Rekisterinpitäjän vastuulla olevan käsittelytoimia koskevan selosteen laatimiseksi ja ylläpitämiseksi sekä tarvittavat tiedot Rekiste- rinpitäjän muiden tiedonantovelvollisuuksien toteuttamiseksi.

3. Alihankkijat, jotka käsittelevät henkilötietoja

3.1. Xxxxx Xxxxxxxxxxxx ole sovittu alihankkijoista, Käsittelijä ei saa käyttää henkilötietojen käsittelyyn alihankkijan palveluja ilman Rekisterinpitäjän antamaa kirjallista ennakkolupaa. Käsittelijän on

tiedotettava Rekisterinpitäjälle kirjallisesti kaikista suunnitelluista muutoksista, jotka koskevat henkilötietojen käsittelijöinä toimivien alihankkijoiden lisäämistä tai vaihtamista, ja annettava Re- kisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia. Siltä osin kuin Käsittelijä käyttää toi- minnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuk- sen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.

3.2. Käsittelijä ja sen alihankkijat, jotka henkilötietojen käsittelijöinä käsittelevät Rekisterinpitäjän hen- kilötietoja Rekisterinpitäjän puolesta ja lukuun, sitoutuvat kaikki tässä sopimusliitteessä sekä kä- sittelytoimien kuvauksessa kuvattuihin henkilötietojen käsittelijää koskeviin velvollisuuksiin. Kä- sittelijällä on velvollisuus sopimuksilla sitouttaa käyttämänsä alihankkijat noudattamaan tämän sopimusliitteen ehtoja.

3.3. Jos Käsittelijän alihankkijat käsittelevät Rekisterinpitäjän henkilötietoja ja rikkovat tai laiminlyövät Sopimuksen, tämän sopimusliitteen tai sovellettavan lainsäädännön määräyksiä, Käsittelijä vas- taa näistä rikkomisista tai laiminlyönneistä kuin omistaan. Jos Rekisterinpitäjä perustellusti xxx- xxx, että Käsittelijän alihankkija ei täytä tietosuojavelvoitteitaan, Rekisterinpitäjällä on oikeus vaatia Käsittelijää vaihtamaan alihankkijaa.

4. Käsittelijän yleiset velvollisuudet

4.1. Käsittelijä noudattaa kulloinkin voimassa olevan henkilötietolainsäädännön edellyttämää hyvää tietojenkäsittelytapaa ja henkilötietojen suojaamista koskevia säännöksiä. Käsittelijä vastaa siitä, että palvelu on kulloinkin voimassa olevan henkilötietolainsäädännön ja tämän sopimuksen vaa- timusten mukainen, ottaen erityisesti huomioon, mitä on säädetty sisäänrakennetusta ja oletus- arvoisesta tietosuojasta. Käsittelijä korjaa viipymättä havaitut tietosuojaa koskevat virheet tai puutteet.

4.2. Käsittelijä käsittelee henkilötietoja Sopimuksen ja Rekisterinpitäjän antamien käsittelytoimien ku- vauksen ja/tai muiden kirjallisten ohjeiden mukaisesti.

4.3. Henkilötietoja saa käyttää vain sopimuksen mukaisten palvelujen toteuttamiseen ja silloinkin ai- noastaan tarkoituksen edellyttämässä laajuudessa ja Rekisterinpitäjän antaman ohjeistuksen mukaisesti. Henkilötietoja ei saa käyttää esimerkiksi mainontaan tai markkinointiin eikä niitä saa ilman Rekisterinpitäjän lupaa luovuttaa ulkopuolisille. Käsittelijän on säilytettävä henkilötietoja niin, että ne eivät joudu sivullisten käsiin.

4.4. Käsittelijän tulee noudattaa sopimuksen mukaisessa toiminnassa lisäksi lakia viranomaisten toi- minnan julkisuudesta (621/1999) sekä muita salassapidosta ja vaitiolovelvollisuudesta annettuja voimassa olevia säädöksiä.

4.5. Käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen Käsittelijän alaisuu- dessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan So- pimuksen ja Rekisterinpitäjän käsittelytoimien kuvauksen ja/tai muiden ohjeiden mukaisesti.

4.6. Käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. Käsittelijän tulee ohjeistaa henkilöstönsä salassapitoa ja henkilötietojen käsittelyä koskevista säännöksistä ja menettelyistä.

4.7. Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, Käsittelijä sitoutuu toteuttamaan riskiä vastaavan turval- lisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötieto- jen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskus- tannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Rekisterinpitäjän ohjeita ja mahdollisia Rekisterinpitäjän ohjeiden päivityk- siä.

4.8. Käsittelijä dokumentoi sovitut ja toteutetut toimenpiteet ja huolehtii siitä, että dokumentaatio on ajan tasalla. Osapuolet arvioivat teknisiä ja organisatorisia toimenpiteitä ja niiden riittävyyttä säännöllisesti.

4.9. Käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Rekisterinpitäjälle kaikista rekiste- röityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja- asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä.

4.10. Käsittelijä sitoutuu avustamaan Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toi- menpiteillä, jotta Rekisterinpitäjä pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Käsittelijä ymmärtää, että näiden oikeuksien käyt- tämistä koskevat pyynnöt voivat edellyttää siltä avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja/tai henkilötietojen siirtämisessä järjes- telmästä toiseen.

4.11. Käsittelijän on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, että ne voidaan automaattisesti irrottaa järjes- telmästä siirrettäväksi toiseen järjestelmään, silloin kun se on teknisesti mahdollista.

4.12. Käsittelijä sitoutuu tarvittaessa avustamaan Rekisterinpitäjää EU:n yleisen tietosuoja-asetuksen mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, mahdollisessa ennakkokuu- lemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa.

4.13. Palveluiden toimittamisen päätyttyä Käsittelijä sitoutuu Rekisterinpitäjän valinnan mukaan pois- tamaan tai palauttamaan kaikki Rekisterinpitäjän henkilötiedot Rekisterinpitäjälle. Käsittelijä pois- taa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Rekisterinpitäjä voi antaa tältä osin tarkempia ohjeita Kä- sittelijälle. Toiminnassa syntyvien asiakirjojen käsittelyssä ja arkistoinnissa noudatetaan samoja periaatteita kuin muihinkin viranomaisten asiakirjoihin. Käsittelijän sopimuksen mukaisessa toi- minnassa syntyvät asiakkuutta koskevat asiakirjat ovat Rekisterinpitäjän asiakirjoja.

4.14. Käsittelijä käsittelee Rekisterinpitäjän henkilötietoja ainoastaan sovitulla palveluntuotantoalu- eella. Mitä Sopimuksessa ja näissä ehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä. Henkilötietojen siirtäminen Euroopan talousalueen ulkopuolelle voidaan tehdä asianmukaisella siirtosopimuksella noudattaen EU-komission kulloinkin voimassa olevia mallilausekkeita ja/tai muita tuolloin voimassa olevia henkilötietojen siirtoa koskevia vaatimuksia. Ellei palveluntuotan- toalueesta ole toisin sovittu, käsittelijällä on oikeus käsitellä Rekisterinpitäjän henkilötietoja aino- astaan Euroopan talousalueella.

4.15. Käsittelijä saattaa Rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä sopimusliit- teessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Rekisterinpitäjän tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin.

5. Käsittelijän erityiset velvollisuudet

5.1. Käsittelijällä on oltava valmius asettaa ja hallinnoida tietojen luovutuksia koskevia rajoituksia, jollaisia voi aiheutua esimerkiksi väestötietolain mukaisesta rekisteröidyn turvakiellosta. Käsitte- lijän tulee pystyä rajoittamaan rekisteröidyn henkilötietojen käsittelyä osittain tai kokonaan Re- kisterinpitäjän vaatimalla tavalla. Rekisteröidyn henkilötietojen rajoittaminen ei saa johtaa muiden rekisterissä olevien henkilötietojen rajoittamiseen, ellei Rekisterinpitäjän ja Käsittelijän kesken kirjallisesti toisin sovita.

5.2. Ellei toisin sovita, Käsittelijä on velvollinen ylläpitämään luetteloa rekisteröityjen henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista. Luettelo on luovutettava pyydettäessä Rekiste- rinpitäjälle.

6. Tietoturvaloukkaukset

6.1. Käsittelijän on ilmoitettava Rekisterinpitäjälle kirjallisesti tietoonsa tulleesta henkilötietojen tieto- turvaloukkauksesta tai vastattava Rekisterinpitäjän tietoturvaloukkausta koskevaan yhteydenot- toon ilman aiheetonta viivytystä ja viimeistään 36 tunnin kuluessa. Lisäksi Käsittelijä sitoutuu ilmoittamaan Rekisterinpitäjälle ilman aiheetonta viivytystä muista Käsittelijän tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.

6.2. Käsittelijän on annettava Rekisterinpitäjälle vähintään seuraavat tiedot tietoturvaloukkauksesta:

1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asi- anomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;

3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

4) kuvattava toimenpiteet, joita Käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutus- ten lieventämiseksi.

7. Muut ehdot

7.1. Rekisterinpitäjällä on oikeus muuttaa, täydentää ja päivittää Käsittelijälle antamiaan henkilötieto- jen käsittelyä ja tietosuojaa koskevia ohjeita. Nämä ohjeet voivat olla henkilötietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia, täyden- nyksiä tai päivityksiä. Käsittelijä tekee tarvittavat muutostyöt Rekisterinpitäjän ohjeiden mukai- sesti. Käsittelijä ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan näitä muutettuja, täy- dennettyjä tai päivitettyjä ohjeita.

7.2. Ellei Sopimuksen mukaisista palvelutasovaatimuksista muuta johdu, Käsittelijä sitoutuu reagoi- maan viimeistään 72 tunnin kuluessa Rekisterinpitäjän yhteydenotosta ja vastaamaan viimeis- tään yhden (1) viikon kuluessa Rekisterinpitäjän tietosuojaa koskeviin palvelupyyntöihin tai rek- lamaatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tieto- turvaloukkaukset, joihin sovelletaan Sopimuksessa ja edellä tässä liitteessä määritettyjä määrä- aikoja.

7.3. Käsittelijän korvausvastuu on määritelty Sopimuksen lisäksi sovellettavassa lainsäädännössä.

7.4. Osapuolet ymmärtävät, että Sopimusta ja tätä sopimusliitettä tehtäessä tietosuojaa koskeva lain- säädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suo- situksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Rekisterinpitäjän ase- maan tai velvollisuuksiin tai tässä sopimusliitteessä määriteltyihin velvollisuuksiin tai vastuisiin, tätä sopimusliitettä voidaan tarvittaessa niiltä osin tarkistaa.

Liite 2 Käsittelytoimien kuvaus

1. Dokumentin tarkoitus

Rekisterinpitäjä on tehnyt Käsittelijän kanssa sopimuksen, joka koskee sellaista palvelua, jossa Käsit- telijä toimii Rekisterinpitäjän ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä.

Tässä dokumentissa kuvataan käsittelytoimet, joita Käsittelijä henkilötietojen käsittelijänä tekee Rekis- terinpitäjän puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot.

Henkilötietojen käsittelyssä on noudatettava Käsittelijän ja Rekisterinpitäjän välistä sopimusta sekä Re- kisterinpitäjän ohjeita.

2. Henkilötietojen tyypit ja rekisteröityjen ryhmät [Käsittelijä täyttää ja Rekisterinpitäjä hyväksyy]

Osapuolet ovat sopineet, että Käsittelijä käsittelee Rekisterinpitäjän puolesta Sopimuksessa sovitun palvelun tuottamiseksi seuraavia Rekisterinpitäjän henkilörekisteriin kuuluvia henkilötietoja.

- x [ohje: Kirjoita tähän mitä rekisteröityjen ryhmiä Käsittelijä käsittelee, esim. Rekisterinpitäjän työntekijät]

- x [Ohje: täydennä tähän, mitä henkilötietoja Käsittelijä käsittelee. Esim. Rekisterinpitäjän työn- tekijän nimi ja käyttäjätunnus]

3. Käsittelyn luonne ja tarkoitus [Käsittelijä täyttää ja Rekisterinpitäjä hyväksyy] Osapuolet ovat sopineet, että Käsittelijä…

Ohje: kirjoita tähän, miten ja miksi Käsittelijä käsittelee kyseisiä henkilötietoja. Esimerkiksi Rekisterin- pitäjä tilaa Käsittelijältä tietokoneiden asennuspalvelua, minkä vuoksi Käsittelijän on käsiteltävä Rekis- terinpitäjän käyttäjien tietoja tietokoneiden käyttäjäkohtaisen asennuksen loppuunsaattamiseksi.

4. Henkilötietojen käsittelyn kesto

Käsittelijä käsittelee tässä liitteessä yksilöityjä henkilötietoja sopimuskauden alusta siihen kunnes Kä- sittelijä on palauttanut tai tuhonnut henkilötiedot Sopimuksen tai Rekisterinpitäjän muun ohjeistuksen mukaisesti.