HENKILÖTIETOJEN KÄSITTELYSOPIMUS
HENKILÖTIETOJEN KÄSITTELYSOPIMUS
1. Johdanto
Tämä henkilötietojen käsittelysopimus (”Liite”) on erottamaton osa MOSH Web Design:n (”Palveluntarjoaja”) ja asiakkaan (”Asiakas”) välillä olevaa sopimusta Yleiset sopimusehdot (”Sopimus”) .
Tämän Liitteen tarkoituksena on sopia Asiakkaan Henkilötietojen tietosuojasta ja tietoturvasta Palveluntarjoajan palveluissa. Tämä Liite muodostaa osapuolten välille EU:n yleisen tietosuojaasetuksen (679/2016) mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä. Välittömästi EU:n tietosuoja- asetukseen perustuvat velvollisuudet ja oikeudet tulevat voimaan vasta, kun EU:n tietosuoja-asetuksen soveltaminen alkaa 25.5.2018.
Sopimuksen mukaan Palveluntarjoaja tarjoaa Palveluita asiakkaalle. Palvelua voidaan käyttää tietojen tallentamiseen ja/tai käsittelyyn. Asiakas toimii Rekisterinpitäjänä kun palveluun tallennetaan henkilötietoja. Palveluntarjoaja toimii tällaisten Henkilötietojen Käsittelijänä.
Jos tämän Liitteen ja Sopimuksen henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, osapuolet soveltavat ensisijaisesti tämän Liitteen ehtoja.
2. Määritelmät
Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti
“Rekisterinpitäjällä” sitä, joka määrittelee Henkilötietojen Käsittelyn tarkoitukset ja keinot ja jolla on voimassaoleva Sopimus Palveluntarjoajan kanssa eli Palveluntarjoajan Asiakas tai on tällaisen Asiakkaan toimeksiantaja. Jäljempänä käytetään tässä Henkilötietojen käsittelysopimuksessa Asiakkaasta tai Asiakkaan toimeksiantajasta nimitystä Rekisterinpitäjä.
“Käsittelijällä” Palveluntarjoajaa, joka Käsittelee Henkilötietoja Rekisterinpitäjän lukuun Sopimuksen perusteella. Jäljempänä käytetään tässä Henkilötietojen käsittelysopimuksessa Palveluntarjoajasta nimitystä Käsittelijä.
“Käsittelyllä” ja ”Käsittelytoimilla” toimintoa tai toimintoja, joita kohdistetaan Henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
“Henkilötiedoilla” kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ”Rekisteröityyn”, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen,
geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
“Henkilötietojen tietoturvaloukkauksella” tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten Käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
"Palvelulla" tarkoitetaan Palveluntarjoajan tarjoamia, mukaan lukien mutta ei yksinomaan, Hostingpalveluita ja/tai tukipalveluita Asiakkaalle.
3. Tietosuoja ja Henkilötietojen Käsittely
3.1. Käsittelijän ja Rekisterinpitäjän vastuut
Käsittelijä Käsittelee Rekisterinpitäjän Henkilötietoja Rekisterinpitäjän lukuun ja tämän toimeksiannosta Sopimuksen perusteella. Osapuolet sitoutuvat noudattamaan Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa Henkilötietojen Käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän Liitteen ehtoja niiden mukaiseksi. Käsittelijällä on oikeus Käsitellä Rekisterinpitäjän Henkilötietoja ja muita Rekisterinpitäjän tietoja vain Sopimuksen, tämän Liitteen ja vain siltä osin ja siten kuin on tarpeellista palveluiden toimittamiseksi.
Rekisterinpitäjä on vastuussa siitä, että sillä on tarvittavat oikeudet ja suostumukset Sopimuksen mukaiseen Henkilötietojen Käsittelyyn. Rekisterinpitäjä vastaa tietosuojaselosteen laatimisesta ja saatavilla pidosta sekä Rekisteröityjen informoinnista ja ilmoituksista tietosuojaviranomaisille.
Käsittelijä ei määrittele Rekisterinpitäjän Palveluun varastoitujen henkilötietojen tyyppiä. Käsittelijä ei myöskään vastaa siitä, miten kyseiset tiedot luokitellaan, miten ne ovat saatavilla tai miten niitä vaihdetaan muiden osapuolten kanssa tai muutoin Käsitellään. Käsittelijä Käsittelee Henkilötietoja ainoastaan Rekisterinpitäjän puolesta, ja vain siinä määrin ja tavalla, kuin Sopimuksessa ja Liitteessä erikseen määrätään tai Rekisterinpitäjä on erikseen ohjeistanut. Rekisterinpitäjän erilliset ohjeistukset tulee dokumentoida Tilauksen, Palvelukuvauksen, tukipyynnön tai muun kirjallisen viestinnän yhteydessä ja ohjeistus tulee olla Käsittelijän hyväksymä. Mikäli Käsittelijällä on kohtuullinen syy epäillä, että Rekisterinpitäjän antamat ohjeet ovat ristiriidassa: (i) sovellettavien lakien tai määräysten, ja/tai (ii) Sopimuksen tai tämän Liitteen määräysten kanssa, ilmoittaa Käsittelijä tästä Rekisterinpitäjälle ilman aiheetonta viivytystä. Käsittelijällä on oikeus lykätä kyseisen ohjeistuksen täytäntöönpanoa siihen asti, että Rekisterinpitäjä muuttaa ohjeistustaan tai että täytäntöönpanosta on erikseen sovittu Käsittelijän ja Rekisterinpitäjän välillä.
Käsittelijä ylläpitää palvelun kuvausta tai muuta EU:n tietosuoja-asetuksen vaatimaa selostetta palvelussa suoritettavista Käsittelytoimista, mikäli voimassa oleva lainsäädäntö niin edellyttää. Käsittelijällä on oikeus kerätä Sopimuksen mukaisten palvelujen käytöstä anonyymiä ja tilastollista tietoa, joka ei yksilöi Rekisterinpitäjää eikä Rekisteröityjä ja käyttää sitä palvelujensa analysointiin ja kehittämiseen.
Rekisterinpitäjä on omalta osaltaan vastuussa turvatoimien ja muiden teknisten sekä organisatoristen
suojatoimien toteuttamisesta ja ylläpidosta. Toimenpiteiden tulee olla suhteessa Rekisterinpitäjä tallentamien ja/tai muuten Käsittelemien Henkilötietojen luonteeseen ja määrään nähden. Rekisterinpitäjä on myös vastuussa Palvelua käyttävistä työntekijöistään ja henkilöistä, joille Rekisterinpitäjä on antanut pääsy- tai käyttöoikeuden Palveluihin. Rekisterinpitäjä on vastuussa myös, mikäli kolmas osapuoli pääsee käsiksi sen Henkilötietoihin tai Palveluun, vaikka Rekisterinpitäjä ei olisi antanut tälle lupaa tietojen Käsittelyyn, jos Rekisterinpitäjä ei ole suorittanut tarpeellisia turvallisuustoimenpiteitä.
3.2. Tietojen poistaminen/palauttaminen
Sopimuksen päätyttyä Käsittelijä mahdollistaa Rekisterinpitäjälle Rekisterinpitäjän Henkilötietojen noutamisen tai poistaa ne olemassa olevine jäljennöksineen 2 viikon kuluessa, Rekisterinpitäjän antaman ohjeistuksen mukaisesti, ellei sovellettava lainsäädäntö edellytä Henkilötietojen säilyttämistä. Sopimuksen päättyessä Käsittelijä poistaa Rekisterinpitäjän hankkimat palvelut ja niihin liittyvät Henkilötiedot eivätkä ne ole poistamisen jälkeen saatavissa. Käsittelijä voi kuitenkin vielä pitää henkilötietoja sisältäviä varmuuskopioita maksimissaan kahden viikon ajan.
3.3. Alihankkijat
Käsittelijällä on oikeus käyttää alihankkijoita Rekisterinpitäjän Henkilötietojen Käsittelyssä. Käsittelijä vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset Henkilötietojen Käsittelystä. Käsittelijä ilmoittaa pyydettäessä Rekisterinpitäjälle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen Henkilötietojen Käsittelyyn. Rekisterinpitäjällä on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä. Mikäli Rekisterinpitäjä ei kirjallisesti vastusta alihankkijan lisäämistä tai vaihtamista, tulkitaan se kyseisen alihankkijan vaihdoksen hyväksymisenä. Jos osapuolet eivät pääse yksimielisyyteen uuden alihankkijan käyttämisestä, Rekisterinpitäjällä on oikeus irtisanoa Sopimus kolmenkymmenen (30) päivän irtisanomisajalla siltä osin, kun alihankkijan muutos vaikuttaa Sopimuksen mukaiseen Henkilötietojen Käsittelyyn.
3.4. Käsittelijän avustamisvelvollisuus
Käsittelijä siirtää välittömästi Rekisterinpitäjälle kaikki Rekisteröidyiltä tai viranomaiselta saamansa Henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden Käsittelyn kieltämistä koskevat pyynnöt tai muut Rekisteröidyltä saamansa pyynnöt jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten Rekisteröidyn oikeuksien käyttämistä. Rekisterinpitäjän velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta. Ottaen huomioon Käsittelytoimen luonteen, Käsittelijä auttaa Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Rekisterinpitäjän velvollisuuden vastata Rekisteröidyn pyyntöihin.
Käsittelijä on velvollinen, ottaen huomioon Henkilötietojen Käsittelyn luonteen ja sen saatavilla olevat tiedot, auttamaan Rekisterinpitäjää varmistamaan, että sille laissa asetettuja velvollisuuksia noudatetaan. Nämä velvollisuudet voivat käsittää tietoturvallisuutta, tietoturvaloukkauksista ilmoittamista, tietosuojaa koskevaa vaikutustenarviointia ja ennakkokuulemista koskevia velvoitteita. Käsittelijä on velvollinen avustamaan
Rekisterinpitäjää ainoastaan sovellettavan tietosuojalainsäädännön Henkilötiedon Käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Ellei toisin sovita, Käsittelijällä on oikeus laskuttaa tämän sopimuskohdan 3.3 mukaisista toimista aiheutuvat kustannukset voimassa olevan hinnastonsa mukaisesti. Lisäksi Käsittelijälle tulee antaa kohtuullinen aika auttaa Rekisterinpitäjän avustamisessa.
Käsittelijä ohjaa kaikki tietosuojaviranomaisten tiedustelut suoraan Rekisterinpitäjälle, eikä Käsittelijällä ole valtuuksia edustaa Rekisterinpitäjää tai toimia Rekisterinpitäjän puolesta Rekisterinpitäjää valvovien tietosuojaviranomaisten kanssa.
4. Käsittely EU:n ja ETA:n ulkopuolella
Käsittelijä ja sen alihankkijat saattavat käsitellä Henkilötietoja EU-/ETA-alueen ulkopuolella.
Sikäli kuin Käsittelijä ja/tai sen alihankkija käsittelee henkilötietoja EU-/ETA-alueen ulkopuolella, Käsittelijä huolehtii, että EU:n tietosuojavakiolausekkeet 2010/87/EU henkilötietojen siirrosta EU:n/ETA-alueen ulkopuolelle tai Asetuksen hyväksymä vastaava oikeudellinen suoja soveltuvat tällaiseen siirtoon tai Käsittelyyn. Rekisterinpitäjä täten myöntää oikeudet Käsittelijälle, jotta Käsittelijä voi sitoutua tällaisiin mallisopimuslausekkeisiin Rekisterinpitäjän nimissä ja Rekisterinpitäjän lukuun. Edelleen, Rekisterinpitäjä nimenomaisesti hyväksyy Käsittelijän myös edustamaan kyseessä olevaa alihankkijaa sitoutuessaan tietosuojavakiolausekkeisiin.
5. Auditointi
Rekisterinpitäjällä tai tämän valtuuttamalla auditoijalla (ei kuitenkaan Käsittelijän kilpailija) on oikeus auditoida tämän Liitteen alainen toiminta. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 työpäivää ennen tarkastusta. Auditointi tulee suorittaa tavalla, joka ei haittaa Käsittelijän ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden.
Rekisterinpitäjän edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.
Rekisterinpitäjä vastaa kaikista auditoinnin kustannuksista. Käsittelijällä on oikeus laskuttaa Rekisterinpitäjää auditoinnin aiheuttamasta työstä.
6. Tietoturva
Käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Rekisterinpitäjän Henkilötietojen suojaamiseksi ottaen huomioon Käsittelyn sisältämät riskit, joita ovat erityisesti siirrettyjen, tallennettujen tai muuten Käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy. Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin, sekä Käsiteltävien Henkilötietojen arkaluonteisuuteen.
Rekisterinpitäjä on velvollinen varmistamaan, että Käsittelijälle tiedotetaan kaikista niistä Rekisterinpitäjän
toimittamiin Henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat tämän Liitteen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin. Käsittelijä varmistaa, että Henkilötietojen Käsittelyyn osallistuva Käsittelijän tai Käsittelijän käyttämän alihankkijan henkilöstö noudattaa asianmukaista salassapitovelvollisuutta.
Rekisterinpitäjä on vastuussa palvelua käyttävistä työntekijöistään ja henkilöistä, joille Rekisterinpitäjä on antanut pääsy- tai käyttöoikeuden palveluihin. Asiakas on vastuussa myös, mikäli kolmas osapuoli pääsee käsiksi sen Henkilötietoihin tai palveluun, vaikka Rekisterinpitäjä ei olisi antanut tälle lupaa tietojen käsittelyyn, jos Asiakas ei ole suorittanut tarpeellisia turvallisuustoimenpiteitä.
7. Tietoturvaloukkausten ilmoittaminen
Käsittelijän on ilmoitettava Rekisterinpitäjälle kaikista Henkilötietoihin kohdistuneista tietoturvaloukkauksista ilman aiheetonta viivytystä saatuaan tiedon loukkauksesta tai kun Käsittelijän käyttämä alihankkija on saanut loukkauksen tietoonsa. Rekisterinpitäjä vastaa tarvittavista ilmoituksista tietosuojaviranomaisille.
Rekisterinpitäjä on myös velvoitettu ilmoittamaan Käsittelijälle vastaavasti kohtaamistaan tietoturvaloukkauksista.
Rekisterinpitäjän pyynnöstä Käsittelijän tulee ilman aiheetonta viivytystä toimittaa Rekisterinpitäjälle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Siltä osin kuin kyseinen tieto on Käsittelijän saatavilla, Käsittelijän on Rekisterinpitäjälle tehtävässä ilmoituksessa kuvattava vähintään:
• tapahtunut tietoturvaloukkaus
• kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista
• kuvaus korjaavista toimenpiteistä, jotka Käsittelijä on suorittanut tai tulee suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa jos tietoturvaloukkaus on johtunut Käsittelijästästa, sekä tarvittaessa myös toimenpiteet mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi
Käsittelijä dokumentoi ja raportoi selvityksen tulokset ja suoritetut toimenpiteet Rekisterinpitäjälle.
8. Muut ehdot
Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen tai Liitteen loukkauksista aineellista tai aineetonta vahinkoa, Käsittelijä on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti sille osoitettuja EU:n tietosuoja-asetuksen tai tämän Liitteen velvoitteita.
Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollista sakoista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Muilta osin osapuolten vastuu määräytyy Sopimuksen perusteella.
Käsittelijä tiedottaa Rekisterinpitäjää kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä Liitettä ja Rekisterinpitäjän antamia kirjallisia ohjeita. Osapuolet sopivat kaikki lisäykset ja muutokset tähän Liitteeseen kirjallisesti.
Liite on voimassa (i) niin pitkään kuin Sopimus on voimassa tai (ii) osapuolilla on Henkilötietojen Käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.
Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Liitteen voimassaolon päättymisestä riippumatta, jäävät voimaan Liitteen päättymisen jälkeen.