HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

1 Johdanto

Tämä henkilötietojen käsittelyä koskeva liite (”Tietosuojaliite”) on erottamaton osa Toimittajan (”Toimittaja”) ja Asiakkaan (”Asiakas”) välillä allekirjoitettua palvelusopimusta (”Sopimus”). Mikäli Sopimus ja sen muut liitteet ovat ristiriidassa tämän Tietosuojaliitteen kanssa, sovelletaan Asiakkaan ja Toimittajan välillä henkilötietojen käsittelyyn liittyen ensisijaisesti tässä Tietosuojaliitteessä sovittua riippumatta siitä, mitä Sopimukseen tai sen muihin liitteisiin on kirjattu. Tässä liitteessä käytetyt termit vastaavat Euroopan unionin tietosuoja-asetuksessa (”Tietosuoja-asetus”) määriteltyjä termejä. Sopijapuolet voivat yhteisellä sopimuksella muuttaa tämän liitteen ehtoja, mikäli se on lainsäädännössä tai sen tulkinnassa tapahtuneen muutoksen vuoksi perusteltua.

2 Käsiteltävät henkilötiedot, rekisterinpitäjä ja henkilötiedon käsittelijä

Toimittaja käsittelee Sopimuksen perusteella henkilötietojen käsittelijänä rekisterinpitäjänä toimivan Asiakkaan lukuun, tämän määrittämässä tarkoituksessa ja ohjeistuksen mukaisesti tässä liitteessä määriteltyjä Henkilötietoja.

Asiakas määrittää mitä henkilötietoja Toimittaja Xxxxxxxxxxx liittyen käsittelee (”Henkilötiedot”). Henkilötiedot ja niiden käsittelytoimet sekä käsittelyn kohde, tarkoitus ja luonne määritellään liitteessä 1 (”Käsittelytoimien kuvaus”).

3 Yleiset tietosuojaa ja tietoturvaa koskevat vaatimukset

Asiakas vastaa siitä, että sillä on oikeus ja tarvittavat suostumukset henkilötietojen käsittelyyn. Asiakas vastaa tarvittaessa rekisteröidyn henkilön iän varmentamisesta. Asiakas vastaa käsittelytoimiin liittyvän selosteen laatimisesta ja saataville saattamisesta sekä Tietosuoja-asetuksen perusteella tarvittavien tietojen toimittamisesta rekisteröidyille.

Toimittaja vastaa siitä, että se käsittelee Henkilötietoja asianmukaisia tietoturvaprosesseja ja voimassa olevaa lainsäädäntöä noudattaen. Toimittaja on velvollinen ilmoittamaan Asiakkaalle, mikäli Asiakkaan antamat ohjeet tai määritykset Toimittajan arvion mukaan ovat lainvastaisia, taikka mikäli Toimittaja ei kykene käsittelemään Henkilötietoja Asiakkaan antamien ohjeiden tai määritysten mukaisesti. Toimittaja takaa, että kaikki tiedonsiirto Asiakkaan tai rekisteröidyn ja Toimittajan välillä tapahtuu määritetyn alueen sisällä.

4 Tietosuojan varmistaminen ja henkilötietojen käsittely

Toimittaja toimittaa Asiakkaalle pyydettäessä tarpeelliset asiakirjat ja tiedot sekä sallii auditoinnit ja avustaa niissä sen osoittamiseksi, että Toimittaja noudattaa tämän liitteen ja tietosuojalainsäädännön määräyksiä. Toimittaja ohjaa kaikki Asiakkaaseen liittyvät tietosuojaviranomaisten tiedustelut viipymättä myös Asiakkaalle. Toimittaja ei edusta Asiakasta eikä toimi Asiakkaan puolesta tietosuojaan liittyvissä asioissa. Erityisesti sovitaan, että:

a) Toimittaja käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoa kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa EU:n oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi (dokumentoitujen ohjeiden noudattaminen);

b) Toimittaja varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus (henkilötiedon käsittelijöitä koskeva salassapitovelvoite);

c) Toimittaja vastaa siitä, että sen Henkilötietojen käsittelyyn liittyvään toimintaan sovelletaan dokumentoituja, asianmukaisia riskienhallinta- ja tietoturvaprosesseja. Toimittaja toteuttaa tietosuojalainsäädännön ja tämän Sopimuksen edellyttämät riittävät tekniset ja organisatoriset suojatoimenpiteet käsittelemiensä Henkilötietojen suojaamiseksi. Ottaen huomioon Asiakkaan määrittämän Henkilötietojen arkaluontoisuuden sekä niihin liittyvän riskitason, Toimittaja suojaa Henkilötietojen käsittelyssä käytettävät järjestelmät ja tietoliikenteen asianmukaisilla tietoturvaratkaisuilla sen varmistamiseksi, että Henkilötietojen luottamuksellisuus, eheys ja saatavuus on turvattu siihen saakka, että Henkilötiedot on Sopimuksen mukaisesti poistettu Toimittajan järjestelmästä. (käsittelyn turvallisuus ja tietoturva);

d) Toimittaja ei saa käyttää henkilötietojen käsittelyssä kolmansia osapuolia (alihankkija) ilman Asiakkaan antamaa kirjallista ennakkolupaa. Mikäli tietoja käsitellään tällaisen kolmannen osapuolen toimesta Asiakkaan antaman luvan perusteella, Toimittaja vastaa

siitä, että kyseinen taho sitoutuu tämän Tietosuojaliitteen mukaisiin Toimittajaa koskeviin vastuisiin. Toimittaja on vastuussa tällaisen kolmannen osapuolen velvoitteiden suorittamisesta suhteessa Asiakkaaseen. Toimittajan tulee antaa Asiakkaan pyynnöstä tarpeellisia tietoja Henkilötietojen käsittelyä suorittavista kolmansista osapuolista (alihankinta ja toiset käsittelijät);

e) Toimittaja, ottaen huomioon käsittelytoimen luonteen, auttaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Toimittajalla on oikeus periä avustamisesta kohtuullinen korvaus, mikäli avustaminen edellyttää Toimittajalta sen normaaliin toimintaan kuulumattomia toimenpiteitä tai sovittuun käsittelyyn liittyvää huomattavaa ylimääräistä vaivaa (rekisteröidyn oikeuksien toteutuminen);

f) Toimittaja auttaa osaltaan Asiakasta varmistamaan, että sille rekisterinpitäjänä säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot. Toimittajan on viipymättä siirrettävä Asiakkaalle kaikki rekisteröidyiltä saamansa henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden käsittelyn kieltämistä koskevat tai muut pyynnöt. Asiakkaan pyynnöstä Toimittajan on tuettava Asiakasta rekisteröityjen esittämien pyyntöjen täyttämisessä. (rekisterinpitäjän velvollisuuksien toteutuminen);

g) Toimittaja Asiakkaan valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot Asiakkaalle ja poistaa olemassa olevat jäljennökset, paitsi jos EU:n oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot; Toimittaja saa käyttää Henkilötietoja ainoastaan Sopimuksen mukaiseen tarkoitukseen, mutta Toimittaja saa käsittelyn aikana ja sen päätyttyä säilyttää ja hyväksikäyttää henkilötiedoista anonymisoimalla syntyneitä tietoja toimintansa ja tuotteidensa kehittämisessä. Anonymisoinnilla tarkoitetaan tietojen muokkaamista siten, ettei niistä voida millään toimenpiteillä enää tunnistaa henkilöitä (henkilötietojen poistaminen);

h) Toimittaja saattaa Asiakkaan saataville kaikki tiedot, jotka ovat sille kuuluvien velvollisuuksien noudattamisen osoittamista varten, ja sallii Asiakkaan tai muun tämän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Auditoinnin suorittajan on sitouduttava pitämään salassa auditoinnin yhteydessä saamansa tiedot. Toimittajalla on oikeus kieltäytyä auditoinnista, mikäli sen suorittajaksi on osoitettu Toimittajan suoraksi tai välilliseksi kilpailijaksi katsottava taho tai sellainen taho, jonka asiantuntemusta tai luotettavuutta voidaan perustellusti epäillä. Asiakas vastaa kaikista auditointien kustannuksista (sopimuksen mukaisuus ja auditointi).

5 Tietoturvaloukkausten käsittely

Toimittaja ilmoittaa Asiakkaalle viipymättä tietoonsa saamistaan tietoturvaloukkauksista, kuten tietomurroista, vahingossa tapahtuneesta tai lainvastaisesta tietojen tuhoamisesta, hävittämisestä, muuttamisesta, luvattomasta luovuttamisesta taikka pääsystä henkilötietoihin. Ilmoituksessa on mahdollisimman tarkkaan kuvattava, mitä on tapahtunut, kenen tietoja ja mitä tietoja loukkaus koskee sekä arvioidut lukumäärät.

6 Vastuu vahingoista

Sopimuksesta ilmeneviä vastuunrajoituksia soveltaen, ja pois lukien välilliset vahingot, kumpikin osapuoli korvaa toiselle osapuolelle tämän Tietosuojaliitteen vastaisella toiminnalla toiselle aiheutuneet vahingot.

Päiväys ja allekirjoitukset

ASIAKAS MAINOSTOIMISTO KUKE OY

[Nimi ja asema] [Nimi ja asema]