SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ TALENOM 23

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ TALENOM 23

1. Aluksi

1.1. Talenom ja asiakas ovat tehneet toimeksiantosopimuksen, jolla asiakas hankkii toimeksiantosopimuksessa kuvatut palvelut Talenomilta. Talenom käsittelee henkilötietoja palvelujen yhteydessä ja tässä sopimuksessa henkilötietojen käsittelystä sovitaan ehdoista, joiden mukaisesti Talenom käsittelee asiakkaan henkilötietoja. Käsittelytoimet kuvataan yksityiskohtaisemmin Talenomin verkkosivuilta löytyvässä ajantasaisessa Seloste käsittelytoimista -dokumentaatiossa.

1.2. ”Henkilötiedolla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (jäljempänä ”rekisteröity”) liittyviä tietoja, joista voidaan suoraan tai epäsuorasti tunnistaa henkilö. Henkilötiedot on lain tasolla määritelty tietosuoja-asetuksen 4. artiklassa.

1.3. ”Henkilötietojen käsittelyllä” tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

1.4. Käsiteltäessä henkilötietoja asiakas on rekisterinpitäjä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, ja Talenom on käsittelijä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

2. Asiakkaan yleiset oikeudet ja velvollisuudet rekisterinpitäjänä

2.1. Asiakas vastaa henkilötietojen keräämisestä.

2.2. Asiakas käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimii muutoinkin niin, ettei rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.

2.3. Xxxxxxx määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot sekä antaa Talenomille kirjalliset ohjeet henkilötietojen käsittelystä. Henkilötietojen käsittelyn tarkoituksesta tulee ilmetä, minkälaisissa tehtävissä (mm. palkanlaskenta) henkilötietoja käsitellään.

2.4. Asiakas vastaa siitä, että rekisteröidyille toimitetaan kaikki lainsäädännön edellyttämät henkilötietojen käsittelyä koskevat ilmoitukset ja tiedot.

2.5. Asiakas vastaa rekisteröityjen oikeuksien toteutumisesta.

2.6. Asiakas varmistaa, että henkilötietojen siirtäminen Talenomille sekä henkilötietojen käsittely tämän sopimuksen mukaisesti on lainmukaista koko sopimuksen voimassaolon ajan.

2.7. Asiakas vakuuttaa, että jos se edustaa tässä sopimuksessa konserniyhtiöitään tai kolmansia osapuolia, sillä on oikeus sitoutua tähän sopimukseen ja antaa Talenomille oikeus käsitellä henkilötietoja tämän sopimuksen ja toimeksiantosopimuksen mukaisesti.

2.8. Asiakas vahvistaa ja vastaa siitä, että tämän sopimuksen mukainen henkilötietojen käsittely on lainsäädännössä asetettujen vaatimusten mukaista, mukaan lukien tietoturvavaatimukset.

2.9. Xxxxxxx vahvistaa, että se on antanut Talenomille kaikki tarvittavat tiedot, jotta Xxxxxxx voi täyttää tässä sopimuksessa ja toimeksiantosopimuksessa sille asetetut velvoitteet tietosuojalainsäädännön vaatimusten mukaisesti.

2.10. Asiakas tai sen valtuuttama ulkopuolinen tarkastaja voi auditoida Talenomin tai tämän alihankkijoiden tämän sopimuksen alaista toimintaa.

2.11. Asiakas vastaa siitä, että korjaukset, poistot ja muutokset henkilötietoihin toimitetaan viivytyksettä Talenomille.

2.12. Xxxxxxx pidättää itsellään kaikki omistusoikeudet, immateriaalioikeudet ja muut oikeudet henkilötietoihin.

2.13. Jos osapuolet ovat sopineet, että Xxxxxxx avustaa asiakasta tämän lainmukaisten selosteiden laatimisessa, asiakkaan tulee antaa Talenomille tämän sitä varten tarvitsemat tiedot. Talenom toimittaa selosteet vain asiakkaalle.

3. Talenomin yleiset oikeudet ja velvollisuudet käsittelijänä

3.1. Talenom käsittelee henkilötietoja ainoastaan toimeksiantosopimuksessa ja tässä sopimuksessa määriteltyihin tarkoituksiin, vain siinä laajuudessa kuin on tarpeen asiakkaan toimeksiannosta tapahtuvaa palvelua varten, ja ainoastaan tämän sopimuksen voimassaoloajan, ellei pakottavasta lainsäädännöstä muuta johdu. Talenomilla ei ole oikeutta käyttää toimeksiantosuhteessa saamiaan henkilötietoja omassa toiminnassaan, luovuttaa niitä, käsitellä niitä, eikä yhdistää tietoja muuhun hallussaan olevaan aineistoon muutoin kuin toimeksiantosopimuksen tarkoittamassa laajuudessa ja sen mukaista tehtävää hoitaessaan.

3.2. Talenom käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimii muutoinkin niin, ettei rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.

3.3. Talenom käsittelee ja varmistaa alaisuudessaan toimivan henkilön, jolla on pääsy henkilötietoihin, käsittelevän henkilötietoja ainoastaan asiakkaan antamien dokumentoitujen, lainmukaisten ja kohtuullisten ohjeiden mukaisesti, paitsi jos sovellettavassa laissa toisin vaaditaan. Siinä tilanteessa Xxxxxxx informoi asiakasta välittömästi tästä oikeudellisesta vaatimuksesta, edellyttäen, ettei sovellettava lainsäädäntö kiellä sellaista informointia.

3.4. Talenom varmistaa, että henkilötietoja käsittelevät vain ne henkilöt, joiden työtehtävien hoitaminen sitä edellyttää ja, että kyseiset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus.

3.5. Talenom toteuttaa kaikki lainsäädännön henkilötietojen käsittelijöiltä edellyttämät turvallisuustoimenpiteet siten kuin tässä sopimuksessa on tarkemmin sovittu.

3.6. Talenom avustaa mahdollisuuksien mukaan ja käsittelyn luonteen huomioon ottaen asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä.

3.7. Talenom avustaa käsittelyn luonteen ja Talenomin saatavilla olevat tiedot huomioon ottaen asiakasta varmistamaan, että asiakkaalle laissa asetettuja velvollisuuksia, kuten turvatoimia, vaikutusten arviointia ja ennakkokuulemista, noudatetaan. Talenom on velvollinen avustamaan asiakasta vain sovellettavan lainsäädännön Talenomille käsittelijänä asettamien velvoitteiden mukaisessa laajuudessa.

3.8. Talenom huomioi asiakkaan toimittamat tietojen korjaukset, poistot ja muutokset ilman aiheetonta viivytystä henkilötietojen käsittelyssä.

3.9. Talenom tämän sopimuksen aikana tai sen päätyttyä joko tuhoaa tai palauttaa asiakkaalle asiakkaan valinnan ja ohjeiden mukaisesti kaikki henkilötiedot ja poistaa olemassa olevat jäljennökset, ellei pakottavasta lainsäädännöstä muuta johdu. Tuhoamista ja palauttamista koskevista käytännöistä voidaan sopia tarkemmin erikseen osapuolten kesken.

3.10. Talenom ylläpitää tarvittavia selosteita/kirjanpitoa käsittelytoimista ja saattaa asiakkaan saataville kaikki sellaiset tiedot, jotka osoittavat, että Talenom noudattaa sille tässä sopimuksessa ja sovellettavassa lainsäädännössä säädettyjä velvollisuuksia.

3.11. Talenom sallii asiakkaan tai asiakkaan valtuuttaman auditoijan suorittamat auditoinnit ja osallistuu niihin siten kuin tässä sopimuksessa on tarkemmin sovittu.

3.12. Talenom ilmoittaa asiakkaalle, jos Talenom katsoo, että asiakkaan antama ohjeistus rikkoo sovellettavaa lainsäädäntöä.

3.13. Talenom ilmoittaa asiakkaalle, jos Talenom katsoo, että asiakkaan toimintatavoissa on puutteita, ja avustaa tarvittaessa asiakasta toimintatapojen korjaamisessa.

3.14. Talenomilla on oikeus laskuttaa yllä kuvatuista avustamis-, korjaamis- ja pyyntöihin vastaamistoimista, auditoinnin tuesta sekä asiakkaan ohjeistuksen muutoksista johtuvista toimista ja kustannuksistaan erikseen.

4. Tietoturva

4.1. Talenom toteuttaa ja ylläpitää asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan henkilötietojen käsittelyn riittävä turvallisuustaso ja joilla suojellaan henkilötietoja luvattomalta ja laittomalta käsittelyltä sekä tahattomalta menettämiseltä, tuhoamiselta, vahingolta, muutokselta tai luovuttamiselta, ottaen huomioon erityisesti uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.

4.2. Talenomin tämän sopimuksen johdosta toteuttamat käsittelyn tietoturvaperiaatteet on kuvattu tarkemmin Talenomin verkkosivuilta löytyvässä ajantasaisessa Seloste käsittelytoimista -dokumentaatiossa.

4.3. Asiakas on velvollinen varmistamaan, että Xxxxxxx informoidaan kaikista niistä asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista (kuten riskiarvioinneista sekä erityisten henkilötietoryhmien käsittelystä), jotka vaikuttavat tämän sopimuksen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin.

4.4. Tietoturvajärjestelyjä arvioidaan, tarkistetaan ja päivitetään säännöllisesti.

5. Alihankkijat

5.1. Talenom saa käyttää alihankkijoita henkilötietojen käsittelyssä tämän sopimuksen perusteella. ”Alihankkijalla” tarkoitetaan käsittelijää, joka käsittelee henkilötietoja tämän sopimuksen mukaisesti, kokonaan tai osittain, käsittelijän lukuun ja tämän toimeksiannosta. Käsittelyssä käytettävät alihankkijat sopimuksen alkaessa ilmoitetaan asiakkaan pyynnöstä. Talenom tiedottaa asiakkaalle ennalta suunnitelluista merkittävistä muutoksista, joilla alihankkijoita lisätään tai vaihdetaan. Mikäli asiakas ei hyväksy suunniteltua muutosta, asiakkaalla ja Talenomilla on oikeus kolmenkymmenen (30) päivän ajan muutoksen tiedottamisesta irtisanoa toimeksiantosopimus päättymään kyseisen kolmenkymmenen

(30) päivän jakson päättyessä sen palvelun osalta, jonka tuottamiseen alihankkijan muutos vaikuttaa ja jossa henkilötietoja käsitellään. Mikäli alihankkijavaihdos, jota asiakas ei hyväksy ja johon Talenom ei voi vaikuttaa, estää tai olennaisesti vaikeuttaa palveluntuottamista, Talenomilla ei ole velvollisuutta tuottaa sellaista palvelua.

5.2. Talenom solmii kirjallisen käsittelysopimuksen alihankkijan kanssa ja edellyttää kaikkien alihankkijoiden noudattavan Talenomille tässä sopimuksessa asetettuja tietosuojavelvoitteita tai vastaavan tietosuojan tason takaavia velvoitteita. Xxxxxxxxxxx käsittelee henkilötietoja vain kirjallisen sopimuksen mukaisesti. Talenom vastaa käyttämiensä alihankkijoiden toimista kuin omistaan.

6. Henkilötietojen siirto

6.1. Talenom voi siirtää henkilötietoja Euroopan unionin, Euroopan talousalueen tai muiden maiden, joiden Euroopan komissio on todennut takaavan riittävän tietosuojan tason, ulkopuolelle ainoastaan asiakkaan etukäteisellä kirjallisella suostumuksella. Mikäli siirretään tietoja edellä mainittujen alueiden ulkopuolelle, Talenom solmii sovellettavan lain edellytysten mukaisen sopimuksen henkilötietojen siirrosta tarvittavien osapuolten kanssa. Sopimus henkilötietojen siirrosta laaditaan Euroopan komission hyväksymien mallisopimuslausekkeiden mukaisesti. Vaihtoehtona mallisopimuslausekkeiden käytölle siirto voi tapahtua muita soveltuvan lainsäädännön hyväksymiä siirtoperusteita käyttäen/hyödyntäen.

6.2. Mikäli mallisopimuslausekkeiden tai minkä tahansa muun lainmukaisen siirtoperusteen ja tämän sopimuksen välillä on ristiriita, mallisopimuslausekkeet ja vaihtoehtoiset siirtoperusteet saavat soveltamisjärjestyksessä aina etusijan suhteessa toimeksiantosopimukseen ja tähän sopimukseen.

7. Henkilötietojen tietoturvaloukkauksista ilmoittaminen

7.1. ”Henkilötietojen tietoturvaloukkauksella” tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

7.2. Talenomin on ilmoitettava henkilötietojen tietoturvaloukkauksesta asiakkaalle ilman aiheetonta viivytystä siitä, kun Talenom tai sen käyttämä alihankkija on saanut loukkauksen tietoonsa. Elleivät osapuolet ole toisin sopineet, ilmoitus tulee tehdä asiakkaan ilmoittamalle yhteyshenkilölle.

7.3. Talenomin on ilman aiheetonta viivytystä toimitettava asiakkaalle tieto henkilötietojen tietoturvaloukkaukseen johtaneista olosuhteista sekä muista siihen liittyvistä Talenomn saatavilla olevista seikoista asiakkaan kohtuullisten pyyntöjen mukaisesti.

7.4. Siltä osin kuin kyseinen tieto on Talenomin saatavilla, on asiakkaalle tehtävässä ilmoituksessa kuvattava ainakin:

7.4.1. kuvaus henkilötietojen tietoturvaloukkauksesta, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

7.4.2. sen henkilön nimi ja yhteystiedot, joka vastaa käsittelijän tietosuoja-asioista;

7.4.3. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; sekä

7.4.4. kuvaus niistä toimenpiteistä, jotka Xxxxxxx ehdottaa toteutettaviksi ja/tai on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta,

mukaan lukien tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

7.5. Jos ja siltä osin kuin edellä listattuja tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

8. Auditointi

8.1. Asiakkaalla on oikeus auditoida käsittelijän tämän sopimuksen alainen tietojenkäsittelytoiminta. Asiakas on velvollinen käyttämään auditoinnissa vain sellaisia ulkopuolisia tarkastajia, jotka eivät ole Talenomin kilpailijoita. Osapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ennen sen suorittamista. Auditointi tulee suorittaa tavalla, joka ei haittaa Talenomin sitoumuksia kolmansiin osapuoliin nähden. Kaikkien asiakkaan edustajien ja auditointiin osallistuvien ulkopuolisten tarkastajien tulee allekirjoittaa tavanomainen salassapitositoumus Talenomin hyväksi.

8.2. Asiakas vastaa kaikista auditoinnista aiheutuvista kustannuksista. Talenomilla on myös oikeus laskuttaa avustamisesta auditoinnissa ja muusta auditoinnista johtuvasta lisätyöstä.

9. Salassapito

9.1. Talenom sitoutuu

9.1.1. pitämään luottamuksellisena kaikki asiakkaalta vastaanottamansa henkilötiedot,

9.1.2. varmistamaan, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta, sekä

9.1.3. varmistamaan, että henkilötietoja ei siirretä/luovuteta kolmansille osapuolille ilman asiakkaan etukäteistä kirjallista suostumusta, ellei käsittelijä ole velvollinen ilmaisemaan tietoja pakottavan lainsäädännön tai viranomaisen määräyksen perusteella.

9.2. Mikäli rekisteröity tai viranomainen tekee henkilötietoja koskevan pyynnön, Talenomin tulee, niin pian kuin on kohtuullisesti mahdollista, ilmoittaa asiakkaalle tällaisesta pyynnöstä ennen pyyntöön vastaamista tai muiden henkilötietoja koskevien toimenpiteiden suorittamista. Mikäli toimivaltainen viranomainen vaatii välitöntä vastausta, ilmoittaa Talenom asiakkaalle pyynnöstä niin pian kuin on mahdollista pyyntöön vastaamisen jälkeen, ellei pakottavasta laista muuta johdu.

10. Vastuunrajoitus

10.1. Toimeksiantosopimuksen mukaisia vastuunrajoituksia sovelletaan myös tähän sopimukseen. Jos vastuunrajoituksista ei ole toimeksiantosopimuksessa sovittu, noudatetaan seuraavaa:

10.2. Talenom vastaa vain huolimattomuudestaan johtuvista välittömistä vahingoista.

10.3. Talenom ei vastaa välillisistä vahingoista, kuten tulon, liikevaihdon tai markkinoiden menetyksestä, tuotannon tai palvelun keskeytymisestä, saamatta jääneestä voitosta taikka muusta niihin verrattavasta vahingosta.

10.4. Jos kolmas osapuoli tekee osapuolelle henkilötietojenkäsittelyn perusteella korvausvaatimuksen, siitä on ilmoitettava toiselle osapuolelle viipymättä. Jos Xxxxxxx joutuu maksamaan kolmannelle osapuolelle vahingonkorvausta, asiakkaan on hyvitettävä Talenomille tästä aiheutunut menetys sikäli kuin se ei johdu Talenomin virheestä tai laiminlyönnistä sopimusehtojen noudattamisessa.

10.5. Talenomin vastuun enimmäismäärä on kuitenkin aina enintään

10.000 euroa yhdessä vahinkotapahtumassa ja saman tilikauden aikana ilmenneistä vahinkotapahtumista yhteensä enintään 20.000 euroa, ellei muusta enimmäismäärästä ole nimenomaisesti sopimuksessa sovittu. Vahinko katsotaan yhdeksi vahinkotapahtumaksi, vaikka siihen olisi vaikuttanut saman virheen toistuminen ja vaikka se vaikuttaisi useampaan tilikauteen. Vahingon katsotaan ilmenneen kokonaan sen tilikauden aikana, jolloin se olennaisilta osiltaan ilmeni, vaikka jokin vahingon osa ilmenisi muuna tilikautena. Sopimusrikkomus, virhe tai laiminlyönti eivät aiheuta Talenomille muuta seuraamusta kuin mitä edellä on todettu.

10.6. Vaatimukset Talenomille on tehtävä kirjallisesti viipymättä. Jos virhe tai puute havaitaan tai on havaittavissa välittömästi, huomautus on tehtävä heti ja viimeistään neljäntoista (14) päivän kuluessa. Jos eriteltyä vaatimusta ei ole tehty Talenomille kuuden (6) kuukauden kuluessa vahingon toteamisesta, ei korvausta makseta. Korvausta ei myöskään makseta, jos vaatimus tehdään, kun on kulunut yli kolme (3) vuotta kyseisestä käsittelytapahtumasta.

10.7. Todetaan selvyyden vuoksi, että tässä kohdassa sovitut vastuunrajoitukset eivät koske tilannetta, jossa osapuoli joutuu maksamaan oman rikkomuksensa perusteella 1) valvontaviranomaisen tai tuomioistuimen määräämiä hallinnollisia sanktioita tai 2) korvauksia rekisteröidylle.

11. Voimassaolo

11.1. Tämän sopimuksen voimassaolo on sidottu toimeksiantosopimuksen voimassaoloon ja päättyy automaattisesti toimeksiantosopimuksen päättyessä mistä tahansa syystä.

11.2. Mikäli asiakas rikkoo tätä sopimusta, Talenomilla on oikeus purkaa toimeksiantosopimus ja tämä sopimus, mikäli asiakas ei seitsemän (7) päivän kuluessa Xxxxxxxxx lähettämästä kehotuksesta ole korjannut menettelyään ja huolehtinut kaikkiin toimiin ryhtymisestä rikkomuksesta johtuvien seurausten välttämiseksi, korjaamiseksi ja korvaamiseksi.

11.3. Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän sopimuksen voimassaolon päättymisestä riippumatta, jäävät voimaan tämän sopimuksen päättymisestä riippumatta.