Henkilötietojen käsittely ja tietosuoja
- Yleistä
Tämä liite ”Henkilötietojen käsittely ja tietosuoja” on osa Asiakkaan ja Toimittajan välistä asiakassopimusta koskien Toimittajan Asiakkaalle toimittamaa palvelua tai palveluita. Tässä sopimusliitteessä määritellään Asiakasta ja Toimittajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Asiakkaan toimeksiannosta käsittelee henkilötietoja Asiakkaan puolesta ja lukuun Sopimuksessa olevien sopimusehtojen lisäksi. Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassa olevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä.
- Osapuolten roolit henkilötietojen käsittelyssä
Asiakas toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Toimittaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Asiakkaan henkilötietoja Asiakkaan puolesta ja lukuun. Toimittajan Sopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat Asiakkaan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Asiakkaan puolesta ja lukuun.
Asiakas sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista. Toimittaja käsittelee Asiakkaan henkilötietoja Sopimuksen mukaisten palveluiden tuottamiseksi. Rekisteröityjen ryhmät ja henkilötietojen tyypit on kuvattu palvelukohtaisessa dokumentaatiossa.
Asiakas on tietoinen siitä, että avoimen tietoverkon käyttö sisältää tietoturvallisuuteen ja tietosuojaan liittyviä riskejä. Asiakas vastaa Palvelun käytössä tarvitsemiensa päätelaitteiden tietoturvasta ja suojauksesta. Asiakas vastaa siitä, että Palvelun Käyttäjä on yli 16-vuotias. Mikäli Palvelun Käyttäjä on alle 16-vuotias, Asiakas vastaa siitä, ja Asiakkaan on pystyttävä osoittamaan se, että hänen vanhempainvastuunkantajansa on antanut suostumuksensa tai valtuutuksensa alle 16-vuotiaan henkilötietojen käsittelemiseen.
- Henkilötietoja käsittelevät alihankkijat
Asiakas antaa Toimittajalle ennakkoluvan alihankkijoiden palvelujen käyttämiseksi henkilötietojen käsittelyyn. Toimittajan on tiedotettava Asiakkaalle kirjallisesti kaikista suunnitelluista muutoksista, jotka koskevat henkilötietojen käsittelijöinä toimivien alihankkijoiden lisäämistä tai vaihtamista, ja annettava Asiakkaalle mahdollisuus vastustaa tällaisia muutoksia.
Siltä osin kuin Toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja. Toimittaja ja sen alihankkijat, jotka henkilötietojen käsittelijöinä käsittelevät Asiakkaan henkilötietoja Asiakkaan puolesta ja lukuun, sitoutuvat noudattamaan tässä sopimusliitteessä kuvattuja tietosuojavelvoitteita tai vähintään muita samantasoisia tietosuojavelvoitteita.
Jos tietojen käsittelyä suorittava alihankkija ei täytä tietosuojavelvoitteitaan, Toimittaja on edelleen täysimääräisesti vastuussa suhteessa Asiakkaaseen. Jos Asiakas perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, Asiakkaalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa.
- Toimittajan yleiset velvollisuudet henkilötietojen käsittelijänä
Henkilötietojen käsittelijänä Toimittaja käsittelee henkilötietoja Sopimuksen ja Asiakkaan antamien ohjeiden mukaisesti. Tämän liitteen voimaantulopäivänä Asiakkaan antamat dokumentoidut ohjeet Toimittajalle ovat henkilötietojen käsittely ainoastaan Sopimuksen mukaisten palveluiden tuottamiseksi tässä liitteessä sovitun mukaisesti. Mikäli Asiakas haluaa antaa Toimittajalle täydentäviä ohjeita henkilötietojen käsittelystä, täydentävät ohjeet tulevat Toimittajaa sitoviksi ainoastaan, mikäli Toimittaja on hyväksynyt ne kirjallisesti. Toimittajalla on oikeus veloittaa täydentävien ohjeiden noudattamisesta aiheutuneet kohtuulliset kustannukset.
Toimittaja sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
Toimittaja sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Asiakkaan ohjeita ja mahdollisia Asiakkaan ohjeiden päivityksiä. Toimittajan on myös toteutettava toimenpiteet sen varmistamiseksi, että jokainen Toimittajan alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen ja Asiakkaan ohjeiden mukaisesti.
Toimittaja sitoutuu ilman aiheetonta viivästystä ilmoittamaan Asiakkaalle kaikista rekisteröityjen pyynnöistä, jotka koskevat voimassa olevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä. Toimittaja sitoutuu avustamaan Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Asiakas pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Toimittajalla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksessa sovituilla henkilötyöhinnoilla. Toimittaja sitoutuu tarvittaessa avustamaan Asiakasta EU:n yleisen tietosuoja-asetuksen mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Toimittajalla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksessa sovituilla henkilötyöhinnoilla.
Toimittaja sitoutuu Asiakkaan valinnan mukaan poistamaan tai palauttamaan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki Asiakkaan henkilötiedot Asiakkaalle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Asiakas voi antaa tältä osin tarkempia ohjeita Toimittajalle. Toimittajalla on oikeus veloittaa kohtuulliset työkustannukset kulloinkin voimassa olevan hinnastonsa mukaisesti.
Toimittaja saa siirtää käsiteltäviä henkilötietoja EU:n tai ETA-alueen ulkopuolelle. Henkilötietojen siirtäminen kolmansiin maihin voidaan tehdä asianmukaisella siirtosopimuksella noudattaen EU-komission kulloinkin voimassa olevia mallilausekkeita ja/tai muita tuolloin voimassa olevia henkilötietojen siirtoa koskevia vaatimuksia.
Toimittaja saattaa Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen tässä sopimusliitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Asiakkaan valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Asiakkaalla on oikeus auditoida Toimittajan henkilötietojen käsittelyä koskevat toiminnot Toimittajan normaalina työaikana annettuaan auditoinnin suorittamisesta etukäteisen kirjallisen ilmoituksen Toimittajalle vähintään neljätoista (14) päivää ennen auditoinnin suorittamista. Asiakas vastaa auditoinnin aiheuttamista kustannuksista.
- Tietoturvaloukkaukset
Toimittajan on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Asiakkaalle ilman aiheetonta viivytystä saatuaan sen tietoonsa ja mahdollisuuksien mukaan 36 tunnin kuluessa. Lisäksi Toimittaja sitoutuu ilmoittamaan Asiakkaalle muista Toimittajan tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
Toimittajan on annettava Asiakkaalle vähintään seuraavat tiedot tietoturvaloukkauksesta, siltä
osin kuin Toimittajalla on tiedot hallussaan:
1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;
3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä
4) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
- Muut ehdot
Kaikki muutokset ja lisäykset tähän liitteeseen on tehtävä kirjallisesti ollakseen sopijapuolia sitovia.
Muilta osin noudatetaan Sopimuksen ehtoja. Tämä liite tulee voimaan Sopimuksen tullessa voimaa ja pysyy voimassa niin kauan, kuin Toimittaja käsittelee Asiakkaan henkilötietoja.