Sopimus henkilötietojen käsittelystä

1. Sopimuksen kohde ja soveltaminen

1.1. Sopimuksen kohde

Tätä sopimusta sovelletaan, kun toimittaja käsittelee henkilötietoja asiakkaan lukuun sopijapuolten välisen sopimuksen perusteella.

1.2. Osapuolten roolit

Asiakas on Sopimuksessa sovitun palvelun yhteydessä käsiteltävien asiakkaan henkilötietojen rekisterinpitäjä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Toimittaja on henkilötietojen käsittelijä, joka käsittelee kyseisiä henkilötietoja asiakkaan lukuun ja toimeksiannosta tässä käsittelysopimuksessa sovitulla tavalla. Sopijapuolet tarkentavat sopimuksessa käsittelyn luonnetta, rekisteröityjen ryhmiä, henkilötietojen tyyppejä, toimittajan käsittelytoimia sekä tietoturvamenettelyitä.

Osapuolet sitoutuvat noudattamaan Suomessa ja EU:ssa kulloinkin voimassa olevaa henkilötietojen käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän sopimuksen ehtoja niiden mukaiseksi.

2. Henkilötietojen käsittelyn tarkoitus

2.1. Toimittajan henkilötietojen käsittelyn luonne ja tarkoitus

Toimittajan henkilötietojen käsittelyn tarkoituksena on 1) varmistaa Asiakkaan palveluun tallentamien tietojen saatavuus ja eheys (mm. varmuuskopiointi ja lokitus); 2) Asiakkaan palveluun kutsumien käyttäjien sekä palvelun loppukäyttäjien turvallinen tunnistaminen; sekä 3) pyynnöstä Asiakkaan auttaminen erilaisissa ongelmatilanteissa.

2.2. Toimittajan käsittelemien henkilötietojen tyyppi ja rekisteröityjen ryhmät

Toimittaja käsittelee 1) asiakkaan pääkäyttäjien; 2) pääkäyttäjän kutsumien muiden käyttäjien ja 3) palvelun käyttäjien henkilötietoja. Henkilötiedot ovat tyypiltään 1) yhteystietoja (nimi, sähköpostiosoite, puhelinnumero); 2) teknisiä tunnisteita ja lokeja (IP-osoitteet, kirjautumisloki, muutosloki); sekä 3) henkilöiden itse tallentamaa sisältöä (viestit, tallennetut kuvaukset, jne.).

3. Henkilötietojen käsittelyn periaatteet, vastuut ja ohjeistus

3.1. Asiakkaan oikeus ja vastuu käsittelyn ohjeistamisessa

Asiakkaalla on oikeus antaa Toimittajalle sitovia kirjallisia ohjeita henkilötietojen käsittelystä. Toimittaja käsittelee henkilötietojen tietosuojalainsäädännön ja Asiakkaan Toimittajalle toimittamien kirjallisten ohjeiden mukaisesti.

3.2. Asiakkaan vastuu käsittelyn lainmukaisuudesta

Asiakas vastaa Toimittajalle toimitetuista henkilötiedoista ja niiden käsittelyn lainmukaisuudesta. Asiakas vastaa lisäksi siitä, että kaikille rekisteröidyille, joiden henkilötietoja käsitellään, on toimitettu tarvittavat, lainmukaiset ilmoitukset ja tiedot henkilötietojen käsittelyyn liittyen. Asiakas vastaa siitä, että henkilötietojen käsittely ja sen tarkoitus sekä perusteet ovat tietosuoja-asetuksen mukaisia. Asiakas vastaa lisäksi siitä, että henkilötiedot on kerätty tietosuoja-asetuksen mukaisesti ja että Asiakkaalla on oikeus siirtää henkilötiedot Toimittajan käsiteltäväksi tämän käsittelysopimuksen mukaisesti.

3.3. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Toimittajalla on oikeus palvelun toteuttamista varten siirtää henkilötietoja vapaasti Euroopan unionin, Euroopan talousalueen tai Euroopan Komissioin tietosuojatasoltaan riittäviksi toteamien maiden sisällä. Ellei kirjallisesti ole toisin sovittu, toimittajalla on myös oikeus siirtää henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle tietosuojalainsäädännön mukaisesti.

3.4. Toimittajan velvollisuus huomauttaa lainvastaisista ohjeista

Toimittaja ilmoittaa ilman aiheetonta viivytystä Asiakkaalle, jos Asiakkaan antamat ohjeet ovat puutteellisia tai jos Toimittaja epäilee niitä lainvastaisiksi.

Toimittajan velvollisuus noudattaa ohjeita

Toimittaja sitoutuu käsittelemään henkilötietoja Asiakkaan ohjeiden ja sopimusehtojen mukaan. Ryhmittymän ollessa käsittelijänä tämän sopimuksen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

Toimittajan oikeus käyttää anonymisoitua tietoa

Toimittaja saa käsittelyn aikana ja sen päätyttyä säilyttää ja käyttää hyväksi henkilötiedoista anonymisoimalla syntyneitä tietoja toimintansa ja tuotteidensa kehittämisessä. Anonymisoinnilla tarkoitetaan tietojen muokkaamista siten, ettei niistä voida millään toimenpiteillä enää tunnistaa henkilöitä.

Käyttökielto muuhun käyttöön

Toimittaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

Toimittajan yhteyshenkilön nimeäminen

Toimittaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Asiakkaan henkilötietoihin liittyviä yhteydenottoja varten. Toimittaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot Asiakkaalle.

4. Toisen henkilötiedon käsittelijän käyttö

4.1. Oikeus alihankkijoiden käyttöön

Ellei kirjallisesti ole toisin sovittu, toimittajalla on oikeus käyttää alihankkijoita henkilötietojen käsittelyssä.

4.2. Ilmoitus alihankkijoiden lisäämisestä tai vaihtamisesta

Toimittaja ilmoittaa pyydettäessä Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen henkilötietojen käsittelyyn.

4.3. Vastuu alihankkijan toiminnasta

Toimittaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset henkilötietojen käsittelystä. Toimittaja vastaa alihankkijoiden toimista ja laiminlyönneistä suhteessa asiakkaaseen.

Toimittajan velvollisuus toimittaa pyydettäessä kirjallinen kooste alihankkijoista

Toimittaja tiedottaa asiakkaan kirjallisen pyynnön perusteella asiakkaalle kirjallisesti käyttämänsä alihankkijat.

5. Henkilötietojen salassapito

5.1. Salassapitovelvollisuuden järjestäminen

Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Asiakkaan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksella vahvistettuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

6. Henkilötietojen suojaaminen

6.1. Toteutettavat turvallisuuskäytännöt

Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Asiakkaan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.

Asiakkaan vastuu tietoturvasta

Asiakas vastaa vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asianmukaisesta ja riittävästä tietoturvallisuudesta. Ellei toisin ole sovittu, Asiakas vastaa henkilötietojen varmuuskopioinnista ja varmuuskopioiden toimivuuden tarkastamisesta. Asiakas on velvollinen tiedottamaan Toimittajaa kaikista niistä Asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista, kuten esimerkiksi riskiarvioinneista sekä erityisten henkilötietoryhmien käsittelystä, jotka vaikuttavat tämän käsittelysopimuksen mukaisesti toteutettaviin teknisiin ja organisatorisiin toimenpiteisiin.

Asiakkaan ilmoitus turvallisuuteen vaikuttavista seikoista

Asiakas on velvollinen varmistamaan, että Toimittajalle tiedotetaan kaikista niistä Asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat sopimuksen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin.

7. Rekisteröidyn oikeuksien toteuttamisen auttaminen

7.1. Avustaminen pyynnön käsittelyssä

Ottaen huomioon käsittelytoimien luonne Toimittaja auttaa Asiakasta valitsemillaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata rekisteröidyn oikeuksia koskeviin tietopyyntöihin.

Toimittaja on velvollinen avustamaan Asiakasta ainoastaan sovellettavan tietosuojalainsäädännön henkilötiedon käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa.

7.2. Ilmoitusvelvollisuus vastaanotettaessa pyyntö

Toimittaja ilmoittaa viipymättä asiakkaalle kaikista tietosuojatiedusteluista.

7.3. Veloitus avustamisesta

Ellei toisin ole sovittu, Toimittajalla on oikeus veloittaa Asiakasta sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja Toimittajalle. Toimittaja on velvollinen ennakolta ilmoittamaan Tilaajalle mahdollisesti aiheutuvista lisäkuluista.

7.4. Tietosuojaviranomaisten tiedustelut

Toimittajan tulee ilmoittaa Asiakkaalle viipymättä tietosuojaviranomaisen tai muun viranomaisten vaatimuksista tai tiedusteluista.

8. Tietoturvaloukkausten informoinnin, vaikutustenarvioinnin sekä ennakkokuulemisen auttaminen

8.1. Tietoturvaloukkauksesta ilmoittaminen

Sopijapuolen on ilmoitettava toiselle Sopijapuolelle ilman aiheetonta viivytystä tietoonsa tulleesta tietoturvaloukkauksesta. Asiakkaan on tietoturvaloukkauksen ilmoittamisen yhteydessä toimitettava Toimittajalle kaikki se tieto, jonka voidaan katsoa auttavan tietoturvaloukkauksen selvittämisessä, rajaamisessa tai estämisessä.

8.2. Tietoturvaloukkausta koskevan ilmoituksen sisältö

Asiakkaan pyynnöstä Toimittajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Toimittajan on Asiakkaalle tehtävässä ilmoituksessa kuvattava vähintään: a) kuvaus Tietoturvaloukkauksesta, sisältäen mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät (siltä osin kuin kyseiset tiedot ovat Toimittajan saatavilla); b) Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätietoja; c) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista; ja d) kuvaus toimenpiteistä, jotka Toimittaja on toteuttanut Tietoturvaloukkauksen johdosta ja mahdolliset toimenpiteet, jotka Toimittaja on tehnyt Tietoturvaloukkauksen haittavaikutusten lieventämiseksi.

Toiminta tietoturvaloukkaus havaittaessa

Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

Tietoturvaloukkausten dokumentointi

Toimittajan tulee dokumentoida kaikki tietoturvaloukkaukset, niiden vaikutukset sekä korjaavat toimenpiteet.

Vastuu ilmoittamisesta viranomaisille

Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaisille.

Asiakkaan vastuu tietoturvaloukkauksen kustannuksista

Jos Tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta syystä, Asiakas vastaa Toimittajalle Tietoturvaloukkauksesta ja niitä koskevista ilmoituksista aiheutuvista kustannuksista. Toimittajalla on oikeus laskuttaa Asiakasta aiheettomiksi todetuista Asiakkaan pyynnöstä käynnistetyistä selvitystöistä muodostuvista kustannuksista kulloinkin voimassa olevan Toimittajan hinnaston mukaisesti.

9. Avoin tiedonjako ja auditointioikeus

9.1. Oikeus auditointiin

Asiakkaalla tai tämän valtuuttamallaan auditoijalla on oikeus tarkastaa Toimittajan tai tämän käyttämien alihankkijoiden henkilötietojen käsittelyn velvollisuuksien noudattaminen. Toimittajan on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.

Tarkastus voidaan suorittaa enintään kerran vuodessa ja siitä on ilmoitettava Toimittajalle kirjallisesti vähintään 30 päivää etukäteen.

Auditointi tulee suorittaa tavalla, joka ei haittaa Toimittajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden.

Asiakkaan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Auditoija ei voi olla Toimittajan kilpailija eikä auditointia voida suorittaa tämän sopimuksen päättymisen jälkeen.

9.2. Tiedonjako ja toimittajan osallistuminen

Toimittaja saattaa Asiakkaan saataville tämän pyynnöstä kaikki tiedot, jotka Asiakas tarvitsee rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Tilaajan vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen.

9.3. Auditoinnin kustannukset

Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkastuksista aiheutuneet kustannukset. Mikäli tarkastukset paljastavat merkittäviä puutteita Toimittajan toiminnoissa, Toimittaja vastaa tarkastuksista aiheutuvista omista kustannuksistaan.

10. Henkilötietojen poistaminen tai palauttaminen rekisterinpitäjälle käsittelyn päättyessä

10.1. Poistaminen sopimuksen päätyttyä

Sopimuksen päättyessä tai purkautuessa Toimittaja poistaa tai palauttaa henkilötiedot Asiakkaan kirjallisen pyynnön mukaisesti sekä poistaa kaikki kopiot niistä.

Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toimittaja säilyttää henkilötiedot.

Toimittajalla on oikeus veloittaa Asiakasta henkilötietojen palauttamisesta tai tuhoamisesta tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.

Poistaminen käsittelyn aikana

Sopimuksen voimassaoloaikana Toimittaja ei saa poistaa Asiakkaan lukuun käsittelemiään henkilötietoja ilman Asiakkaan nimenomaista pyyntöä.

11. Vahingonkorvaukset ja riitojenratkaisu

11.1. Vahingonkorvaukset ja hallinnolliset sakot rekisteröidylle aiheutuneesta vahingosta

Jos rekisteröidylle aiheutuu tietosuoja-asetuksen tai sopimuksen loukkauksista aineellista tai aineetonta vahinkoa, Toimittaja on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tietosuoja-asetuksen tai tämän sopimuksen velvoitteita.

11.2. Vahingonkorvaukset sopijapuolten välillä

Sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on enintään kohteen laskennallinen arvonlisäveroton kuukausihinta rikkomushetkellä kerrottuna 6:lla.

Sopijapuoli ei vastaa välillisestä vahingosta. Välillisenä vahinkona pidetään esimerkiksi saamatta jäänyttä voittoa tai vahinkoa, joka johtuu tuotannon tai liikevaihdon vähentymisestä tai keskeytymisestä.

Vastuunrajoitukset eivät koske vahinkoa, joka on aiheutettu toimituksen kohteen lain tai sopimuksen vastaisella luovutuksella, kopioinnilla tai käytöllä, immateriaalioikeuksien loukkaamiselle, salassapitoa rikkomalla, tahallisesti tai törkeällä huolimattomuudella.

12. Sopimuksen voimaantulo

12.1. Allekirjoitukset

Tämä sopimus tulee voimaan, kun molemmat osapuolet ovat allekirjoittaneet sen.

12.2. Sopimuksen päättyminen

Tämä sopimus päättyy kun pääsopimus osapuolten välillä päättyy ja asiakkaan henkilötiedot on poistettu aiemmin kuvatun toimintamallin mukaisesti.

Muutokset sopimukseen

Sopimukseen tehdyt muutokset ovat päteviä vain, jos ne on tehty kirjallisesti ja jos molemmat sopijapuolet ovat vahvistaneet ne allekirjoituksillaan tai sähköpostitse lähetetyllä muutosta koskevalla vahvistuksella.

Toimittajan kyky vastata sopimukseen

Toimittaja tiedottaa Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä sopimusta ja Asiakkaan antamia kirjallisia ohjeita.