Sopimus henkilötietojen käsittelystä tilitoimistossa

Sopimus henkilötietojen käsittelystä tilitoimistossa

Tilitoimiston toimeksiantosopimuksen liite nro 1 Tilitoimisto: Relipe Oy

Aluksi

Tilitoimisto ja asiakas ovat tehneet toimeksianto- sopimuksen, jolla asiakas hankkii toimeksianto- sopimuksessa kuvatut taloushallinnon palvelut tilitoimistolta. Näiden palveluiden yhteydessä ti- litoimisto käsittelee asiakkaan henkilötietoja. Tässä sopimuksessa sovitaan ehdoista, joiden mukaisesti tilitoimisto käsittelee asiakkaan hen- kilötietoja. Käsittelytoimet kuvataan yksityiskoh- taisemmin liitteessä 1A, jota osapuolet tarvit- taessa päivittävät sopimuksen voimassaoloaika- na.

”Henkilötiedolla” tarkoitetaan kaikkia tunnistet- tuun tai tunnistettavissa olevaan luonnolliseen henkilöön (jäljempänä ”rekisteröity”) liittyviä tietoja.

”Henkilötietojen käsittelyllä” tarkoitetaan toi- mintoa tai toimintoja, joita kohdistetaan henkilö- tietoihin tai henkilötietoja sisältäviin tietojouk- koihin.

Tilitoimiston asiakas on rekisterinpitäjä, joka määrittelee henkilötietojen käsittelyn tarkoituk- set ja keinot. Tilitoimisto on käsittelijä, joka käsit- telee henkilötietoja rekisterinpitäjän lukuun.

Tämä sopimus sisältää seuraavat liitteet, joita so- velletaan seuraavassa järjestyksessä:

1A Seloste käsittelytoimista

1B Tietoturvatoimet tilitoimistossa

1C Asiakkaan antama ohjeistus henkilötietojen käsittelystä

Yleiset oikeudet ja velvollisuudet

Asiakkaan yleiset oikeudet ja velvollisuudet rekisterinpitäjänä

a) Asiakas vastaa henkilötietojen keräämisestä.

b) Asiakas käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa nou- dattaen sekä toimii muutoinkin niin, ettei rekis- teröityjen yksityiselämän suojaa ja muita yksityi- syyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.

c) Asiakas määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot sekä antaa tilitoimistolle kirjalliset ohjeet henkilötietojen käsittelystä. Henkilötietojen käsittelyn tarkoituksesta tulee il- metä, minkälaisissa tehtävissä (mm. palkanlas- kenta) henkilötietoja käsitellään.

d) Asiakas vastaa siitä, että rekisteröidyille toimi- tetaan kaikki lainsäädännön edellyttämät henki- lötietojen käsittelyä koskevat ilmoitukset ja tie- dot.

e) Asiakas vastaa rekisteröityjen oikeuksien to- teutumisesta.

f) Asiakas varmistaa, että henkilötietojen siirtä- minen tilitoimistolle sekä henkilötietojen käsitte- ly tämän sopimuksen mukaisesti on lainmukaista koko sopimuksen voimassaolon ajan.

g) Asiakas vakuuttaa, että jos se edustaa tässä so- pimuksessa konserniyhtiöitään tai kolmansia osapuolia, sillä on oikeus sitoutua tähän sopi- mukseen ja antaa tilitoimistolle oikeus käsitellä

henkilötietoja tämän sopimuksen ja toimeksi- antosopimuksen mukaisesti.

h) Asiakas vahvistaa ja vastaa siitä, että tämän so- pimuksen mukainen henkilötietojen käsittely on lainsäädännössä asetettujen vaatimusten mu- kaista, mukaan lukien tietoturvavaatimukset.

i) Asiakas vahvistaa, että se on antanut tilitoimis- tolle kaikki tarvittavat tiedot, jotta tilitoimisto voi täyttää tässä sopimuksessa ja toimeksiantosopi- muksessa sille asetetut velvoitteet tietosuojalain- säädännön vaatimusten mukaisesti.

j) Asiakas tai sen valtuuttama ulkopuolinen tar- kastaja voi auditoida tilitoimiston tai tämän ali- hankkijoiden tämän sopimuksen alaista toimin- taa.

k) Asiakas vastaa siitä, että korjaukset, poistot ja muutokset henkilötietoihin toimitetaan viivytyk- settä tilitoimistolle.

l) Xxxxxxx pidättää itsellään kaikki omistusoikeu- det, immateriaalioikeudet ja muut oikeudet hen- kilötietoihin.

Jos osapuolet ovat sopineet, että tilitoimisto avustaa asiakasta tämän lainmukaisten selostei- den laatimisessa, asiakkaan tulee antaa tilitoi- mistolle tämän sitä varten tarvitsemat tiedot. Ti- litoimisto toimittaa selosteet vain asiakkaalle.

Tilitoimiston yleiset oikeudet ja velvollisuudet käsittelijänä

a) Xxxxxxxxxxxx käsittelee henkilötietoja ainoas- taan toimeksiantosopimuksessa ja tässä sopi- muksessa määriteltyihin tarkoituksiin, vain siinä laajuudessa kuin on tarpeen asiakkaan toimeksi- annosta tapahtuvaa palvelua varten ja ainoas- taan tämän sopimuksen voimassaoloajan, ellei pakottavasta lainsäädännöstä muuta johdu. Tili- toimistolla ei ole oikeutta käyttää toimeksianto- suhteessa saamiaan henkilötietoja omassa toi- minnassaan, luovuttaa niitä, käsitellä niitä, eikä yhdistää tietoja muuhun hallussaan olevaan

aineistoon muutoin kuin toimeksiantosopimuk- sen tarkoittamassa laajuudessa ja sen mukaista tehtävää hoitaessaan.

b) Tilitoimisto käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa nou- dattaen sekä toimii muutoinkin niin, ettei rekis- teröityjen yksityiselämän suojaa ja muita yksityi- syyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.

c) Tilitoimisto käsittelee ja varmistaa alaisuudes- saan toimivan henkilön, jolla on pääsy henkilötie- toihin, käsittelevän henkilötietoja ainoastaan asiakkaan antamien dokumentoitujen, lainmu- kaisten ja kohtuullisten ohjeiden mukaisesti, paitsi jos sovellettavassa laissa toisin vaaditaan. Siinä tilanteessa tilitoimisto informoi asiakasta välittömästi tästä oikeudellisesta vaatimuksesta, edellyttäen, ettei sovellettava lainsäädäntö kiellä sellaista informointia.

d) Xxxxxxxxxxxx varmistaa, että henkilötietoja kä- sittelevät vain ne henkilöt, joiden työtehtävien hoitaminen sitä edellyttää ja, että kyseiset henki- löt ovat sitoutuneet noudattamaan salassapito- velvollisuutta tai heitä sitoo asianmukainen laki- sääteinen salassapitovelvollisuus.

e) Tilitoimisto toteuttaa kaikki lainsäädännön henkilötietojen käsittelijöiltä edellyttämät tur- vallisuustoimenpiteet siten kuin tässä sopimuk- sessa on tarkemmin sovittu.

f) Tilitoimisto avustaa mahdollisuuksien mukaan ja käsittelyn luonteen huomioon ottaen asiakasta asianmukaisilla teknisillä ja organisatorisilla toi- menpiteillä täyttämään asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröity- jen oikeuksien käyttämistä.

g) Tilitoimisto avustaa käsittelyn luonteen ja tili- toimiston saatavilla olevat tiedot huomioon ot- taen asiakasta varmistamaan, että asiakkaalle laissa asetettuja velvollisuuksia, kuten turvatoi- mia, vaikutusten arviointia ja ennakkokuulemis- ta, noudatetaan. Tilitoimisto on velvollinen avus-

tamaan asiakasta vain sovellettavan lainsäädän- nön tilitoimistolle käsittelijänä asettamien vel- voitteiden mukaisessa laajuudessa.

h) Tilitoimisto huomioi asiakkaan toimittamat tietojen korjaukset, poistot ja muutokset ilman aiheetonta viivytystä henkilötietojen käsittelys- sä.

i) Tämän sopimuksen aikana tai sen päätyttyä ti- litoimisto joko tuhoaa tai palauttaa asiakkaalle asiakkaan valinnan ja ohjeiden mukaisesti kaikki henkilötiedot ja poistaa olemassa olevat jäljen- nökset, ellei pakottavasta lainsäädännöstä muuta johdu. Tuhoamista ja palauttamista koskevista käytännöistä voidaan sopia tarkemmin erikseen osapuolten kesken.

j) Tilitoimisto ylläpitää tarvittavia selosteita kä- sittelytoimista ja saattaa asiakkaan saataville kaikki sellaiset tiedot, jotka osoittavat, että ti- litoimisto noudattaa sille tässä sopimuksessa ja sovellettavassa lainsäädännössä säädettyjä vel- vollisuuksia.

k) Tilitoimisto sallii asiakkaan tai asiakkaan val- tuuttaman auditoijan suorittamat auditoinnit ja osallistuu niihin siten kuin tässä sopimuksessa on tarkemmin sovittu.

l) Tilitoimisto ilmoittaa asiakkaalle, jos tilitoimis- to katsoo, että asiakkaan antama ohjeistus rikkoo sovellettavaa lainsäädäntöä.

m) Tilitoimisto ilmoittaa asiakkaalle, jos tilitoi- misto katsoo, että asiakkaan toimintatavoissa on puutteita, ja avustaa tarvittaessa asiakasta toi- mintatapojen korjaamisessa.

Tilitoimistolla on oikeus laskuttaa yllä kuvatuista avustamis- ja korjaamistoimista, pyyntöihin vas- taamisesta, auditoinnin tuesta sekä asiakkaan ohjeistuksen muutoksista johtuvista toimista ja kustannuksista erikseen.

Tietoturva

Tilitoimisto toteuttaa ja ylläpitää asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan henkilötietojen käsittelyn riittävä turvallisuustaso ja joilla suojellaan henkilötietoja luvattomalta ja laittomalta käsittelyltä sekä ta- hattomalta menettämiseltä, tuhoamiselta, vahin- golta, muutokselta tai luovuttamiselta, ottaen huomioon erityisesti uusin tekniikka ja toteutta- miskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistu- vat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.

Tilitoimiston tämän sopimuksen johdosta toteut- tamat käsittelyn tietoturvaperiaatteet on kuvattu tarkemmin tämän sopimuksen liitteessä 1B.

Asiakas on velvollinen varmistamaan, että tilitoi- mistoa informoidaan kaikista niistä asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista (kuten riskiarvioinneista sekä erityisten henkilö- tietoryhmien käsittelystä), jotka vaikuttavat tä- män sopimuksen mukaisiin teknisiin ja organisa- torisiin toimenpiteisiin.

Tietoturvajärjestelyjä arvioidaan, tarkistetaan ja päivitetään säännöllisesti.

Alihankkijat

Tilitoimisto saa käyttää alihankkijoita henkilötie- tojen käsittelyssä tämän sopimuksen perusteella. ”Alihankkijalla” tarkoitetaan käsittelijää, joka kä- sittelee henkilötietoja tämän sopimuksen mukai- sesti, kokonaan tai osittain, käsittelijän lukuun ja tämän toimeksiannosta.

Käsittelyssä käytettävät alihankkijat sopimuksen alkaessa ilmoitetaan asiakkaan pyynnöstä. Tili- toimisto tiedottaa asiakkaalle ennalta suunnitel- luista muutoksista, joilla alihankkijoita lisätään tai vaihdetaan. Mikäli asiakas ei hyväksy suunni- teltua muutosta, asiakkaalla ja tilitoimistolla on oikeus kolmenkymmenen (30) päivän ajan muu-

toksen tiedottamisesta irtisanoa toimeksiantoso- pimus päättymään kyseisen kolmenkymmenen

(30) päivän jakson päättyessä sen palvelun osal- ta, jonka tuottamiseen alihankkijan muutos vai- kuttaa ja jossa henkilötietoja käsitellään. Mikäli alihankkijavaihdos, jota asiakas ei hyväksy ja jo- hon tilitoimisto ei voi vaikuttaa, estää tai olennai- sesti vaikeuttaa palveluntuottamista, tilitoimis- tolla ei ole velvollisuutta tuottaa sellaista palve- lua.

Tilitoimisto solmii kirjallisen käsittelysopimuk- sen alihankkijan kanssa ja edellyttää kaikkien ali- hankkijoiden noudattavan tilitoimistolle tässä sopimuksessa asetettuja tietosuojavelvoitteita tai vastaavan tietosuojan tason takaavia velvoit- teita. Xxxxxxxxxxx käsittelee henkilötietoja vain kirjallisen sopimuksen mukaisesti. Tilitoimisto vastaa käyttämiensä alihankkijoiden toimista kuin omistaan.

Henkilötietojen siirto

Tilitoimisto voi siirtää henkilötietoja Euroopan unionin, Euroopan talousalueen tai muiden mai- den, joiden Euroopan komissio on todennut ta- kaavan riittävän tietosuojan tason, ulkopuolelle ainoastaan asiakkaan etukäteisellä kirjallisella suostumuksella. Mikäli siirretään tietoja edellä mainittujen alueiden ulkopuolelle, tilitoimisto solmii sovellettavan lain edellytysten mukaisen sopimuksen henkilötietojen siirrosta tarvittavien osapuolten kanssa. Sopimus henkilötietojen siir- rosta laaditaan Euroopan komission hyväksy- mien mallisopimuslausekkeiden mukaisesti. Vaihtoehtona mallisopimuslausekkeiden käytöl- le siirto voi tapahtua muita soveltuvan lainsää- dännön hyväksymiä siirtoperusteita käyttäen tai hyödyntäen.

Mikäli mallisopimuslausekkeiden tai minkä ta- hansa muun lainmukaisen siirtoperusteen ja tä- män sopimuksen välillä on ristiriita, mallisopi- muslausekkeet ja vaihtoehtoiset siirtoperusteet saavat soveltamisjärjestyksessä aina etusijan

suhteessa toimeksiantosopimukseen ja tähän so- pimukseen.

Henkilötietojen tietoturva- loukkauksista ilmoittaminen

”Henkilötietojen tietoturvaloukkauksella” tar- koitetaan tietoturvaloukkausta, jonka seuraukse- na on siirrettyjen, tallennettujen tai muuten käsi- teltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muutta- minen, luvaton luovuttaminen taikka pääsy tie- toihin.

Tilitoimiston on ilmoitettava henkilötietojen tie- toturvaloukkauksesta asiakkaalle ilman aihee- tonta viivytystä siitä, kun tilitoimisto tai sen käyt- tämä alihankkija on saanut loukkauksen tietoon- sa. Elleivät osapuolet ole toisin sopineet, ilmoitus tulee tehdä asiakkaan ilmoittamalle yhteyshenki- lölle.

Tilitoimiston on ilman aiheetonta viivytystä toi- mitettava asiakkaalle tieto henkilötietojen tieto- turvaloukkaukseen johtaneista olosuhteista sekä muista siihen liittyvistä tilitoimiston saatavilla olevista seikoista asiakkaan kohtuullisten pyyn- töjen mukaisesti.

Siltä osin kuin kyseinen tieto on tilitoimiston saa- tavilla, on asiakkaalle tehtävässä ilmoituksessa kuvattava ainakin:

a) kuvaus henkilötietojen tietoturvaloukkauk- sesta, mukaan lukien mahdollisuuksien mu- kaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötieto- tyyppien ryhmät ja arvioidut lukumäärät;

b) sen henkilön nimi ja yhteystiedot, joka vas- taa käsittelijän tietosuoja-asioista;

c) kuvaus tietoturvaloukkauksen todennäköi- sistä seurauksista; sekä

d) kuvaus niistä toimenpiteistä, jotka tilitoimis- to ehdottaa toteutettaviksi ja/tai on toteut- tanut henkilötietojen tietoturvaloukkauksen johdosta, mukaan lukien tarvittaessa myös

toimenpiteet mahdollisten haittavaikutus- ten lieventämiseksi.

Jos ja siltä osin kuin edellä listattuja tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

Auditointi

Asiakkaalla on oikeus auditoida käsittelijän tä- män sopimuksen alainen tietojenkäsittelytoimin- ta. Asiakas on velvollinen käyttämään auditoin- nissa vain sellaisia ulkopuolisia tarkastajia, jotka eivät ole tilitoimiston kilpailijoita. Osapuolet so- pivat auditoinnin ajankohdasta ja muista yksi- tyiskohdista hyvissä ajoin ennen sen suorittamis- ta. Auditointi tulee suorittaa tavalla, joka ei hait- taa tilitoimiston sitoumuksia kolmansiin osapuo- liin nähden. Kaikkien asiakkaan edustajien ja au- ditointiin osallistuvien ulkopuolisten tarkasta- jien tulee allekirjoittaa tavanomainen salassa- pitositoumus tilitoimiston hyväksi.

Asiakas vastaa kaikista auditoinnista aiheutuvis- ta kustannuksista. Tilitoimistolla on myös oikeus laskuttaa avustamisesta auditoinnissa ja muusta auditoinnista johtuvasta lisätyöstä.

Salassapito

Tilitoimisto sitoutuu

a) pitämään luottamuksellisena kaikki asiak- kaalta vastaanottamansa henkilötiedot,

b) varmistamaan, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta, sekä

c) varmistamaan, että henkilötietoja ei siirretä tai luovuteta kolmansille osapuolille ilman asiakkaan etukäteistä kirjallista suostumus- ta, ellei käsittelijä ole velvollinen ilmaise- maan tietoja pakottavan lainsäädännön tai viranomaisen määräyksen perusteella.

Mikäli rekisteröity tai viranomainen tekee henki- lötietoja koskevan pyynnön, tilitoimiston tulee, niin pian kuin on kohtuullisesti mahdollista, il- moittaa asiakkaalle tällaisesta pyynnöstä ennen pyyntöön vastaamista tai muiden henkilötietoja koskevien toimenpiteiden suorittamista. Mikäli toimivaltainen viranomainen vaatii välitöntä vas- tausta, ilmoittaa tilitoimisto asiakkaalle pyynnös- tä niin pian kuin on mahdollista pyyntöön vastaa- misen jälkeen, ellei pakottavasta laista muuta johdu.

Vastuunrajoitus

Toimeksiantosopimuksen mukaisia vastuunra- joituksia sovelletaan myös tähän sopimukseen. Jos vastuunrajoituksista ei ole toimeksiantosopi- muksessa sovittu, noudatetaan seuraavaa.

Tilitoimisto vastaa vain huolimattomuudestaan johtuvista välittömistä vahingoista.

Tilitoimisto ei vastaa välillisistä vahingoista, ku- ten tulon, liikevaihdon tai markkinoiden mene- tyksestä, tuotannon tai palvelun keskeytymises- tä, saamatta jääneestä voitosta taikka muusta nii- hin verrattavasta vahingosta.

Jos kolmas osapuoli tekee osapuolelle henkilötie- tojenkäsittelyn perusteella korvausvaatimuksen, siitä on ilmoitettava toiselle osapuolelle viipy- mättä. Jos tilitoimisto joutuu maksamaan kol- mannelle osapuolelle vahingonkorvausta, asiak- kaan on hyvitettävä tilitoimistolle tästä aiheutu- nut menetys sikäli kuin se ei johdu tilitoimiston virheestä tai laiminlyönnistä sopimusehtojen noudattamisessa.

Tilitoimiston vastuun enimmäismäärä on kuiten- kin aina enintään 10.000 euroa yhdessä vahinko- tapahtumassa ja saman tilikauden aikana ilmen- neistä vahinkotapahtumista yhteensä enintään

20.000 euroa, ellei muusta enimmäismäärästä ole nimenomaisesti sopimuksessa sovittu. Vahin- ko katsotaan yhdeksi vahinkotapahtumaksi, vaikka siihen olisi vaikuttanut saman virheen toistuminen ja vaikka se vaikuttaisi useampaan

tilikauteen. Vahingon katsotaan ilmenneen koko- naan sen tilikauden aikana, jolloin se olennaisilta osiltaan ilmeni, vaikka jokin vahingon osa ilmeni- si muuna tilikautena. Sopimusrikkomus, virhe tai laiminlyönti eivät aiheuta tilitoimistolle muuta seuraamusta kuin mitä edellä on todettu.

Vaatimukset tilitoimistolle on tehtävä kirjallises- ti viipymättä. Jos virhe tai puute havaitaan tai on havaittavissa välittömästi, huomautus on tehtävä heti ja viimeistään neljäntoista (14) päivän ku- luessa. Jos eriteltyä vaatimusta ei ole tehty tilitoi- mistolle kuuden (6) kuukauden kuluessa vahin- gon toteamisesta, ei korvausta makseta. Korvaus- ta ei myöskään makseta, jos vaatimus tehdään, kun on kulunut yli kolme (3) vuotta kyseisestä käsittelytapahtumasta.

Kaikissa tapauksissa kumpikin osapuoli vastaa itse valvontaviranomaisen tai toimivaltaisen tuo- mioistuimen sille määräämistä hallinnollisista sanktioista, jotka ovat ko. valvontaviranomaisen tai tuomioistuimen päätöksen mukaisesti seu- rausta siitä, että kyseinen osapuoli ei ole noudat- tanut sille tietosuojalainsäädännössä asetettuja vaatimuksia tai velvoitteita.

Voimassaolo

Tämän sopimuksen voimassaolo on sidottu toi- meksiantosopimuksen voimassaoloon ja päättyy automaattisesti toimeksiantosopimuksen päät- tyessä mistä tahansa syystä.

Mikäli asiakas rikkoo tätä sopimusta, tilitoimis- tolla on oikeus purkaa toimeksiantosopimus ja tämä sopimus, mikäli asiakas ei seitsemän (7) päivän kuluessa tilitoimiston lähettämästä keho- tuksesta ole korjannut menettelyään ja huolehti- nut kaikkiin toimiin ryhtymisestä rikkomuksesta johtuvien seurausten välttämiseksi, korjaamisek- si ja korvaamiseksi.

Velvoitteet, joiden on niiden luonteen vuoksi tar- koitus säilyä voimassa tämän sopimuksen voi- massaolon päättymisestä riippumatta, jäävät voi- maan tämän sopimuksen päättymisestä riippu- matta.