SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

Tämä sopimus henkilötietojen käsittelystä (”Liite”) muodostaa osan Yleisiä sopimusehtoja (”Sopimus”) Planeetta Internet Oy:n (”Palveluntarjoaja”) ja asiakkaan (”Asiakas”) välillä.

1. Alkutiedot

Tämän Liitteen tarkoituksena on käsitellä Palveluntarjoajan ja Asiakkaan välisiä henkilötietolainsäädännön mukaisia velvoitteita. Tämä Liite muodostaa osapuolten välille EU:n yleisen tietosuoja-asetuksen (679/2016) mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä. Välittömästi EU:n tietosuoja-asetukseen perustuvat velvollisuudet ja oikeudet tulevat voimaan vasta, kun EU:n tietosuoja-asetuksen soveltaminen alkaa 25.5.2018.

Sopimuksen mukaan Palveluntarjoaja tarjoaa palveluita (“Palvelu”), mukaan lukien mutta ei yksinomaan, Hostingpalveluita ja/tai tukipalveluita Asiakkaalle. Palvelua voidaan käyttää tietojen tallentamiseen ja/tai Käsittelyyn. Tämä koskee myös Asiakkaan Henkilötietoja. Asiakas toimii Rekisterinpitäjänä näiden Palvelussa Käsiteltävän Henkilötiedon osalta. Palveluntarjoaja toimii tällaisten Henkilötietojen Käsittelijänä.

2. Määritelmä

Tässä Liitteessä määrittelemättömiin termeihin sovelletaan niitä määritelmiä, jotka Sopimuksessa on erikseen määritelty. Lisäksi seuraaville termeille on määritelty merkitykset tässä Liitteessä:

”Rekisterinpitäjällä” tarkoitetaan Asiakasta, joka määrittää Henkilötietojen käsittelyn tarkoitukset ja keinot.

”Lainsäädännöllä” tarkoitetaan mitä tahansa kansallisia tietosuojalakeja, Euroopan Unionin tietosuoja-asetusta (2016/679, ”GDPR”) sen soveltamispäivästä alkaen (25.5.2018) ja mahdollista tulevaa, kulloinkin voimassa olevaa tietosuojalainsäädäntöä.

”Mallisopimuslausekkeilla” tarkoitetaan Euroopan komission hyväksymiä vakiomuotoisia sopimusehtoja henkilötietojen luovuttamisesta EU:n rekisterinpitäjiltä kolmansien maiden käsittelijöille (päätös 2002/16 EY).

”Henkilötiedoilla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

”Käsittelijällä” tarkoitetaan Palveluntarjoajaa, joka Käsittelee Henkilötietoja Asiakkaan lukuun.

”Käsittelyllä” tai sanalla ”Käsittely” tarkoitetaan mitä tahansa toimintaa tai toimintoja, jossa Henkilötietoja käsitellään.

”Alihankkijalla” tarkoitetaan käsittelijää, joka Palveluntarjoajan toimeksiannosta suorittaa tämän Liitteen mukaista Käsittelyä Palveluntarjoajan ja Asiakkaan lukuun.

3. Palveluntarjoajan vastuut

Xxxxxxxxxxxxxxxx Käsittelee Asiakkaan Henkilötietoja Asiakkaan lukuun ja tämän toimeksiannosta Sopimuksen perusteella. Palveluntarjoaja sitoutuu noudattamaan Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa Henkilötietojen Käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän Liitteen ehtoja niiden mukaiseksi.

Palveluntarjoaja ei määrittele Asiakkaan Palveluun varastoitujen henkilötietojen tyyppiä. Palveluntarjoaja ei myöskään vastaa siitä, miten kyseiset tiedot luokitellaan, miten ne ovat saatavilla tai miten niitä vaihdetaan muiden osapuolten kanssa tai muutoin Käsitellään.

Palveluntarjoaja Käsittelee Henkilötietoja ainoastaan Asiakkaan puolesta, ja vain siinä määrin ja tavalla, kuin Sopimuksessa ja Liitteessä erikseen määrätään tai Asiakas on erikseen ohjeistanut. Asiakkaan erilliset ohjeistukset tulee dokumentoida Tilauksen, Palvelukuvauksen, tukipyynnön tai muun kirjallisen viestinnän yhteydessä. Mikäli Palveluntarjoajalla on kohtuullinen syy epäillä, että Asiakkaan antamat ohjeet ovat ristiriidassa: (i) sovellettavien lakien tai määräysten, ja/tai (ii) Sopimuksen tai tämän Liitteen määräysten kanssa, ilmoittaa Palveluntarjoaja tästä asiakkaalle ilman aiheetonta viivytystä. Palveluntarjoajalla on oikeus

lykätä kyseisen ohjeistuksen täytäntöönpanoa siihen asti, että Asiakas muuttaa ohjeistustaan tai että täytäntöönpanosta on erikseen sovittu Xxxxxxxxxxxxxxxxx ja Asiakkaan välillä.

3.1 Rekisteröityjen tai viranomaisen pyynnöt

Palveluntarjoja siirtää välittömästi Asiakkaalle kaikki Rekisteröidyiltä tai viranomaiselta saamansa Henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden Käsittelyn kieltämistä koskevat pyynnöt tai muut Rekisteröidyltä saamansa pyynnöt jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten Rekisteröidyn oikeuksien käyttämistä. Asiakkaan velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta. Ottaen huomioon Käsittelytoimen luonteen, Palveluntarjoaja auttaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Asiakkaan velvollisuuden vastata Rekisteröidyn pyyntöihin.

Palveluntarjoaja on velvollinen, ottaen huomioon Henkilötietojen Käsittelyn luonteen ja sen saatavilla olevat tiedot, auttamaan Asiakasta varmistamaan, että sille laissa asetettuja velvollisuuksia noudatetaan. Nämä velvollisuudet voivat käsittää tietoturvallisuutta, tietoturvaloukkauksista ilmoittamista, tietosuojaa koskevaa vaikutustenarviointia ja ennakkokuulemista koskevia velvoitteita. Palveluntarjoaja on velvollinen avustamaan Asiakasta ainoastaan sovellettavan tietosuojalainsäädännön Henkilötiedon Käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Ellei toisin sovita, Xxxxxxxxxxxxxxxxxxx on oikeus laskuttaa tämän sopimuskohdan mukaisista toimista aiheutuvat kustannukset voimassa olevan hinnastonsa mukaisesti. Lisäksi Xxxxxxxxxxxxxxxxxxx tulee antaa kohtuullinen aika auttaa Asiakasta avustamisessa.

Palveluntarjoja ohjaa kaikki tietosuojaviranomaisten tiedustelut suoraan Asiakkaalle, eikä Palveluntarjoajalla ole valtuuksia edustaa Asiakasta tai toimia Asiakkaan puolesta Asiakasta valvovien tietosuojaviranomaisten kanssa.

3.2 Palveluntarjoaja ja Lainsäädännön noudattaminen

Palveluntarjoajan on noudatettava Sopimuksen mukaisia omaan toimintaansa ja Palvelujen tarjoamiseen sovellettavia määräyksiä, yksityisyyden suojaa ja turvallisuutta koskevia lakeja sekä tämän Liitteen mukaisia velvoitteita. Palveluntarjoaja ei kuitenkaan ole vastuussa Asiakkaaseen tai Asiakkaan toimialaan sovellettavan lainsäädännön noudattamisesta, jos kyseistä lainsäädäntöä ei yleisesti sovelleta informaatioteknologian palveluntarjoajiin. Lain niin vaatiessa Xxxxxxxxxxxxxxxxx on nimitettävä tietosuojavastaava, jonka tulee täyttää tehtävänsä

sovellettavan lain mukaisesti. Tietosuojavastaavan tiedot toimitetaan pyynnöstä asiakkaalle. Palveluntarjoajan on ylläpidettävä kaikkia tarpeellisia selosteita, ja Asiakkaan pyynnöstä annettava saataville kaikki sellaiset tiedot, jotka ovat tarpeen tämän Liitteen sekä Lainsäädännön mukaisten velvoitteiden noudattamisen osoittamiseksi.

4. Asiakkaan vastuut

Asiakas sitoutuu noudattamaan Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa Henkilötietojen Käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän Liitteen ehtoja niiden mukaiseksi.

Asiakas on vastuussa siitä, että sillä on tarvittavat oikeudet ja suostumukset Sopimuksen mukaiseen Henkilötietojen Käsittelyyn. Asiakas vastaa tietosuojaselosteen laatimisesta ja saatavilla pidosta sekä Rekisteröityjen informoinnista ja ilmoituksista tietosuojaviranomaisille.

Asiakas määrittelee Palveluihin tallennettujen Henkilötietojen tyypin. Asiakas määrittelee myös, miten Henkilötietoja käytetään, vaihdetaan tai muuten Käsitellään. Asiakas on vastuussa myös Henkilötietojen käsittelyn eheydestä, turvallisuudesta, ylläpidosta ja asianmukaisesta suojaamisesta sekä sen varmistamisesta, että Asiakas noudattaa kaikkia sovellettavia tietosuoja-, tietoturva- ja turvallisuuslakeja sekä määräyksiä.

5. Tekniset ja organisatoriset toimenpiteet

Palveluntarjoaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Asiakkaan Henkilötietojen suojaamiseksi ottaen huomioon Käsittelyn sisältämät riskit, joita ovat erityisesti siirrettyjen, tallennettujen tai muuten Käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy.

Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin, sekä Käsiteltävien Henkilötietojen arkaluonteisuuteen.

Asiakas on velvollinen varmistamaan, että Palveluntarjoajalle tiedotetaan kaikista niistä Rekisterinpitäjän toimittamiin Henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat tämän Liitteen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin. Palveluntarjoaja varmistaa, että Henkilötietojen Käsittelyyn

osallistuva Palveluntarjoajan tai Palveluntarjoajan käyttämän alihankkijan henkilöstö noudattaa asianmukaista salassapitovelvollisuutta.

Toteutetut tietoturvatoimenpiteet on määritelty Toimittajan tietoturvan vähimmäisvaatimuksissa, jotka on kuvailtu tarkemmin palveluntarjojan www-sivuilla (xxx.xxxxxxxxxxxxx.xx). Asiakas on velvollinen ilmoittamaan Toimittajalle kaikista sellaisista seikoista (mukaan lukien erityiset riskit tai henkilötietoryhmät), jotka edellyttävät ylimääräisten teknillisten tai organisatoristen suojaustoimenpiteiden määrittelemisestä ja sopimisesta Sopimuksessa.

Asiakas on omalta osaltaan vastuussa turvatoimien ja muiden teknisten sekä organisatoristen suojatoimien toteuttamisesta ja ylläpidosta. Toimenpiteiden tulee olla suhteessa Asiakkaan tallentamien ja/tai muuten Käsittelemien Henkilötietojen luonteeseen ja määrään nähden.

Asiakas on myös vastuussa Palvelua käyttävistä työntekijöistään ja henkilöistä, joille Asiakas on antanut pääsy- tai käyttöoikeuden Palveluihin. Asiakas on vastuussa myös, mikäli kolmas osapuoli pääsee käsiksi sen Henkilötietoihin tai Palveluun, vaikka Asiakas ei olisi antanut tälle lupaa tietojen Käsittelyyn, jos Asiakas ei ole suorittanut tarpeellisia turvallisuustoimenpiteitä.

6. Tietoturvaloukkauksesta ilmoittaminen

Palveluntarjoajan on ilmoitettava Asiakkaalle kaikista Henkilötietoihin kohdistuneista tietoturvaloukkauksista ilman aiheetonta viivytystä loukkauksesta tiedon saatuaan tai kun Xxxxxxxxxxxxxxxxx käyttämä alihankkija on saanut loukkauksen tietoonsa. Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaisille. Asiakas on myös velvoitettu ilmoittamaan Palveluntarjoajalle vastaavasti kohtaamistaan tietoturvaloukkauksista.

Asiakkaan pyynnöstä Xxxxxxxxxxxxxxxxx tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Siltä osin kuin kyseinen tieto on Palveluntarjoajan saatavilla, Palveluntarjoajan on Asiakkaalle tehtävässä ilmoituksessa kuvattava vähintään:

● tapahtunut tietoturvaloukkaus,

● kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista, ja

● kuvaus korjaavista toimenpiteistä, jotka Xxxxxxxxxxxxxxxx on suorittanut tai tulee suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa jos tietoturvaloukkaus on johtunut Palveluntarjoajasta, sekä tarvittaessa myös toimenpiteet mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi.

Palveluntarjoaja dokumentoi ja raportoi selvityksen tulokset ja suoritetut toimenpiteet Asiakkaalle.

7. Auditointi

Asiakkaalla tai tämän valtuuttamalla auditoijalla (ei kuitenkaan Palveluntarjoajan kilpailija) on oikeus auditoida tämän Liitteen alainen toiminta. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 työpäivää ennen tarkastusta. Auditointi tulee suorittaa tavalla, joka ei haittaa Palveluntarjoajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden. Asiakkaan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Asiakas vastaa kaikista auditoinnin kustannuksista. Palveluntarjoajalla on oikeus laskuttaa Asiakasta auditoinnin aiheuttamasta työstä.

7. Alihankkijat

Palveluntarjoajalla on oikeus käyttää alihankkijoita Asiakkaan Henkilötietojen Käsittelyssä. Palveluntarjoaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset Henkilötietojen Käsittelystä. Palveluntarjoaja ilmoittaa pyydettäessä Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen Henkilötietojen Käsittelyyn. Asiakkaalla on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä. Mikäli Asiakas ei kirjallisesti vastusta alihankkijan lisäämistä tai vaihtamista, tulkitaan se kyseisen alihankkijan vaihdoksen hyväksymisenä. Jos osapuolet eivät pääse yksimielisyyteen uuden alihankkijan käyttämisestä, Asiakkaalla on oikeus irtisanoa Sopimus kolmenkymmenen (30) päivän irtisanomisajalla siltä osin, kun alihankkijan muutos vaikuttaa Sopimuksen mukaiseen Henkilötietojen Käsittelyyn.

8. Palvelinkeskuksen sijainti ja tiedonsiirto

Palveluntarjoajan palvelinkeskukset, joissa kaikkia Henkilötietoja säilytetään ja Käsitellään, sijaitsevat pääsääntöisesti Suomessa. Palveluntarjoaja voi kuitenkin siirtää Henkilötietoja mille tahansa EU/ETAalueella sijaitseville palvelinkeskuksille sekä EU/ETA-alueen ulkopuolella sijaitseville palvelinkeskuksille siten kuin Palveluiden tarkemmissa kuvauksissa on kerrottu tai Sopimuksen yhteydessä on sovittu. Henkilötietojen siirtoon EU/ETA-alueen ulkopuolelle sovelletaan Mallisopimuslausekkeita, jotka liitetään tähän Liitteeseen, tai muuta Lainsäädännön mahdollistamaa siirtomekanismia. Mallisopimuslausekkeet muodostavat tämän Liitteen osan ja syrjäyttävät kaikki niiden kanssa ristiriidassa olevat Sopimuksessa tai tässä Liitteessä annetut määräykset.

9. Muut ehdot

Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen tai Liitteen loukkauksista aineellista tai aineetonta vahinkoa, Palveluntarjoaja on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti sille osoitettuja EU:n tietosuoja-asetuksen tai tämän Liitteen velvoitteita.

Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollista sakoista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Muilta osin osapuolten vastuu määräytyy Sopimuksen perusteella.

Palveluntarjoaja tiedottaa Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä Liitettä ja Asiakkaan antamia kirjallisia ohjeita. Osapuolet sopivat kaikki lisäykset ja muutokset tähän Liitteeseen kirjallisesti.

Liite on voimassa (i) niin pitkään kuin Sopimus on voimassa tai (ii) osapuolilla on Henkilötietojen Käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.

Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Liitteen voimassaolon päättymisestä riippumatta, jäävät voimaan Liitteen päättymisen jälkeen.