HUOM. Viimeistelty versio täällä: https://wiki.eduuni.fi/x/z4IAEQ.
Tältä sivulla on Sopimuksen Henkilötietojen käsittelyn ehdot -liitteen teksti, ehdotus uudeksi muotoiluksi sekä lyhyet kommentit ehdotetusta muutoksesta.
Sopimuksen ja liitteen 5 päivitysehdotukset löytyvät omilta sivuiltaan:
| Vanha versio | Uusi versio | Kommentit |
|---|---|---|
| 1. Yleistä | 1. Yleistä | |
1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa puitesopimusta (jäljempänä liitteineen ”Sopimus”), jonka CSC – Tieteen tietotekniikan keskus Oy ja Korkeakoulu ovat solmineet ja jonka puitteissa edellä mainitut Sopijapuolet ovat sopineet tuottavansa ja kehittävänsä yhteistyössä suomalaisen tutkimuksen, koulutuksen ja kulttuurin palveluita. | 1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa puitesopimusta (jäljempänä liitteineen ”Sopimus”), jonka Sopijapuolet ovat solmineet ja jonka puitteissa Sopijapuolet ovat sopineet tuottavansa ja kehittävänsä yhteistyössä suomalaisen tutkimuksen, koulutuksen ja kulttuurin palveluita. | Sievennetty CSC – Tieteen tietotekniikan keskus Oy ja Korkeakoulu/Tutkimuslaitos → Sopijapuolet |
| 1.2. Osana edellä mainittua puitesopimusjärjestelyä, näitä henkilötietojen käsittelyn ehtoja sovelletaan kaikissa Sopimuksen kohteena olevien palveluiden tuottamisessa, silloin kun Toimittaja käsittelee palvelun yhteydessä henkilötietoja Tilaajan puolesta ja lukuun. Selvyyden vuoksi todetaan, että Sopimuksen mukaisesti kumpi tahansa Sopijapuolista voi toimitettavasta palvelusta riippuen toimia joko Tilaajan tai Toimittajan roolissa. Sopijapuolten kulloinenkin rooli määritellään Sopimukseen liitettävissä palvelutilauksissa ja palvelukuvauksissa sekä mahdollisessa lisäsopimuksessa. | 1.2. Osana edellä mainittua puitesopimusjärjestelyä, näitä henkilötietojen käsittelyn ehtoja sovelletaan kaikissa Sopimuksen kohteena olevien palveluiden tuottamisessa, silloin kun Toimittaja käsittelee palvelun yhteydessä henkilötietoja Tilaajan puolesta ja lukuun. Selvyyden vuoksi todetaan, että Sopimuksen mukaisesti kumpi tahansa Sopijapuolista voi toimitettavasta palvelusta riippuen toimia joko Tilaajan tai Toimittajan roolissa. Sopijapuolten kulloinenkin rooli määritellään Sopimukseen liitettävissä Palvelutilauksissa ja Palvelukuvauksissa sekä mahdollisessa Lisäsopimuksessa. | |
| 1.3. Tässä sopimusliitteessä määritellään Tilaajaa ja Toimittajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Tilaajan toimeksiannosta käsittelee henkilötietoja Tilaajan puolesta ja lukuun Sopimuksessa sekä mahdollisessa lisäsopimuksessa olevien sopimusehtojen lisäksi. | 1.3. Tässä sopimusliitteessä määritellään Tilaajaa ja Toimittajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Tilaajan toimeksiannosta käsittelee henkilötietoja Tilaajan puolesta ja lukuun Sopimuksessa sekä mahdollisessa Lisäsopimuksessa olevien sopimusehtojen lisäksi. | |
2. Sopijapuolten roolit henkilötietojen käsittelyssä | 2. Sopijapuolten roolit henkilötietojen käsittelyssä | |
2.1. Tilaaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Sopijapuolet ymmärtävät, että rekisterinpitäjänä Tilaaja saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää voimassaolevan henkilötietojen käsittelyyn ja tietosuojaan liittyvän lainsäädännön vaatimukset ja 25.5.2018 alkaen EU:n yleisen tietosuoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu. | 2.1 Tilaaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä silloin, kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Kun Tilaaja käsittelee henkilötietoja kolmannen osapuolen puolesta ja lukuun, se toimii tietosuojaa koskevan lainsäädännön tarkoittamana käsittelijänä. | Lisätty rooli, jossa tilaaja toimii käsittelijänä kolmannen puolesta ja lukuun. Poistettu siirtymävaiheen lause tietosuojalainsäädännön soveltamisesta. |
2.2. Toimittaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Tilaajan henkilötietoja Tilaajan puolesta ja lukuun. Toimittajan Sopimuksen, mahdollisen lisäsopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat Tilaajan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Tilaajan puolesta ja lukuun. | 2.2 Tilaajan ollessa rekisterinpitäjä Toimittaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Tilaajan henkilötietoja Tilaajan puolesta ja lukuun. Tilaajan ollessa kolmannelle osapuolelle käsittelijä myös Toimittaja ja sen alihankkijat toimivat henkilötietojen käsittelijöinä rekisterinpitäjän puolesta ja lukuun. Toimittajan Sopimuksen ja tämän asiakirjan mukaisesti käyttämät alihankkijat, jotka osallistuvat Tilaajan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Tilaajan puolesta ja lukuun. | Selvennetään rooleista, että Toimittaja tai sen alihankkija toimii käsittelijän roolissa käsittelyketjussa myös, jos Tilaaja on käsittelijä kolmannen puolesta. |
| 2.3. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksessa, mahdollisessa lisäsopimuksessa, em. sopimusten mukaisen palvelun aikana laadittavassa ja Sopijapuolia sitovassa dokumentaatiossa. | 2.3 Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksessa, mahdollisessa Lisäsopimuksessa, em. sopimusten mukaisen palvelun aikana laadittavassa ja Sopijapuolia sitovassa dokumentaatiossa tai muussa Tilaajan ohjeistuksessa. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta. | Laajennettu huomiolla mahdollisesta muusta Tilaajan ohjeistuksesta ja tarkennettu Tilaajan vastuuta ohjeistukseen liittyen. |
| 2.4 Mikäli kyseessä on korkeakoulujen yhdessä hallinnoima palvelu, jota CSC Toimittajan roolissa tuottaa ja jota Korkeakoulu yhdessä muiden korkeakoulujen kanssa kukin omien henkilötietojensa rekisterinpitäjinä käyttävät, sitoutuu Tilaaja sopimaan ohjeistuksesta ja ohjeistuksen muutoksista muiden korkeakoulujen kanssa ennen CSC:n ohjeistamista. | 2.4 Mikäli kyseessä on monen Tilaajan yhdessä hallinnoima palvelu, jota Toimittaja tuottaa ja jota Tilaaja yhdessä muiden tilaajien kanssa kukin omien henkilötietojensa rekisterinpitäjinä käyttää, sitoutuu Tilaaja sopimaan yhdenmukaisesta ohjeistuksesta ja ohjeistuksen muutoksista muiden tilaajien kanssa ennen Toimittajan ohjeistamista, mikäli ohjeistuksen kohteena olevat yhdelle Sopijapuolelle suoritettavat käsittelytoimet eivät ole erotettavissa muille tilaajille toteutettavasta palvelusta. | Sievennetty Sopijapuolten nimet Toimittajaksi/Tilaajaksi. Lisätty "yhdenmukaisesta". TY:n tietosuojajuristilta kommentti 28.4.2022: Yhteisestä ohjeistuksesta voitaisiin mahdollisesti sopia, jos kyseessä on yhteisrekisterinpitäjyys. Mutta jos ovat erillisiä rekisterinpitäjiä, katsoisin, että lähtökohtaisesti kullakin erillisellä rekisterinpitäjällä olisi oikeus ja velvollisuuskin ohjeistaa itsenäisesti. 2022-05-13 CSC tuottaa korkeakouluille useita palveluita, joita ohjaa esim. korkeakoulujen muodostamat konsortiot. Korkeakoulut toimivat kukin omien henkilötietojensa rekisterinpitäjinä, eivätkä korkeakoulut ole muodostaneet näissä yhteisrekisterinpitäjyyttä. CSC tuottaa palvelun samanlaisena kaikille, eikä palvelua ole mahdollista tuottaa eriävin henkilötietojen käsittelyn ohjeistuksin. Yhteisrekisterinpitäjyys on tietenkin mahdollinen suunta joissakin palveluissa, mutta siitä sopiminen ei liene ainakaan helpompaa kuin käsittelytoimista sopiminen. Ehdotettu lisäys: mikäli ohjeistuksen kohteena olevat yhdelle Sopijapuolelle suoritettavat käsittelytoimet eivät ole erotettavissa muille tilaajille toteutettavasta palvelusta. |
| 2.5. Jos kohdan 2.4 mukaista kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää kuvausta tarvittaessa yhteistyössä Toimittajan kanssa. Toimittajan on ilmoitettava Tilaajalle, jos tämän antama ohjeistus on puutteellinen tai jos Toimittaja epäilee sitä lainvastaiseksi. | 2.5 Jos kohdan 2.3 ja 2.4 mukaista kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää kuvausta tarvittaessa yhteistyössä Toimittajan kanssa. | Lisätty viittaus myös kohtaan 2.3. Siirretty Toimittajan ilmoitusvelvollisuus uudeksi kohdaksi 2.7. |
| 2.6. Toimittaja osallistuu Tilaajan pyynnöstä tietojärjestelmäselosteen ja muun dokumentaation laatimiseen. Toimittaja suorittaa tehtävät sekä niiden edellyttämät toimenpiteet Sopimuksen liitteen 4 Palveluhinnasto ja maksuehdot mukaisesti, ellei toisin ole sovittu. | 2.6 Toimittaja osallistuu pyynnöstä Tilaajan tarvitsemaan henkilötietojen käsittelyyn liittyvän dokumentaation laatimiseen. Toimittaja suorittaa tehtävät sekä niiden edellyttämät toimenpiteet Sopimuksen ehtojen mukaisesti. | Poistettu tarpeettomana (Kuntaliiton 1. mallin mukainen) rajaus "tietojärjestelmäselosteeseen", mikäli mahdollisesti Toimittaja osallistuu Tilaajan tarvitseman dokumentaation laadintaan. Yleistetty myös huomio, että tällöin toimittaisiin tämän Sopimuksen mukaisesti. |
2.7 Toimittajan on ilmoitettava Tilaajalle, jos tämän antama ohjeistus on puutteellinen tai jos Toimittaja epäilee sitä lainvastaiseksi. Mikäli Toimittajalla on perusteltu syy epäillä Tilaajan ohjeistuksen olevan lainvastainen, Toimittajalla on oikeus kieltäytyä sen noudattamisesta asian selvittämisen ajaksi. | Tuotu omaksi kohdakseen alkuperäisestä 2.5 kohdasta Toimittajan ilmoitusvelvollisuus sekä lisätty selvennys Toimittajan oikeus kieltäytyä laittomuuksista. | |
3. Alihankkijat, jotka käsittelevät henkilötietoja | 4. Alihankkijat, jotka käsittelevät henkilötietoja | HUOM. Uudessa versiossa kappaleet 3 ja 4 päinvastaisessa järjestyksessä. |
3.1. Toimittajalla on yleinen kirjallinen ennakkolupa käyttää hankintalain mukaisella menettelyllä valitsemiaan alihankkijoita. Toimittaja vastaa siitä, että se sitouttaa henkilötietoja käsitellessään käyttämänsä alihankkijat sopimuksin noudattamaan tämän liitteen 1 mukaisia henkilötietojen käsittelyn ehtoja. Toimittajana Sopijapuolen on tiedotettava Tilaajalle kirjallisesti henkilötietoja käsittelevistä alihankkijoistaan, niiden lisäämisestä tai vaihtamisesta, ja annettava Tilaajalle mahdollisuus vastustaa tällaisia muutoksia. | 4.1 Toimittajalla on yleinen kirjallinen ennakkolupa käyttää hankintalain mukaisella menettelyllä valitsemiaan alihankkijoita Sopimuksen 8. luvun mukaisesti. | Sievennetty kohtaa 4.1 (entinen 3.1), sisältö löytyy Sopimuksen 8. luvusta. |
3.2. Siltä osin kuin Toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen sekä mahdollisen lisäsopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja. | 4.2 Toimittaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijan noudattamaan omalta osaltaan Sopimuksessa Toimittajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. | Siirretty kohdasta 4.1 (entinen 3.1) kirjallinen sopiminen ja muotoiltu uudelleen ohjeistusta. Sievennetty kohdat 3.2 ja 3.3 yhdeksi kohdaksi. |
| 3.3. Toimittaja ja sen alihankkijat, jotka henkilötietojen käsittelijöinä käsittelevät Tilaajan henkilötietoja Tilaajan puolesta ja lukuun, sitoutuvat tässä sopimusliitteessä kuvattuihin henkilötietojen käsittelijää koskeviin velvollisuuksiin. Toimittajalla on velvollisuus sopimuksilla sitouttaa käyttämänsä alihankkijat noudattamaan tämän sopimusliitteen ehtoja. | 4.3 Toimittaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Toimittaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Jos Tilaaja perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa. | Muotoiltu uudelleen vastuista alihankkijoista (entinen kohta 3.4). |
| 3.4. Toimittaja on vastuussa mahdollisista Tilaajan henkilötietoja käsittelevien Toimittajan alihankkijoiden Sopimuksen, mahdollisen lisäsopimuksen, tämän sopimusliitteen tai EU:n yleisen tietosuoja-asetuksen rikkomisista tai laiminlyönneistä. Jos tilaaja perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa. | ||
4. Henkilötietojen käsittelijän yleiset velvollisuudet | 3. Henkilötietojen käsittelijän yleiset velvollisuudet | |
4.1. Henkilötietojen käsittelijä käsittelee henkilötietoja Sopimuksen, mahdollisen lisäsopimuksen sekä Tilaajan antamien ohjeiden mukaisesti. | 3.1 Henkilötietojen käsittelijä käsittelee henkilötietoja vain Sopimuksen, mahdollisen Lisäsopimuksen ja Tilaajan antamien ohjeiden mukaisesti, ellei lainsäädännöstä muuta johdu. 3.2 Henkilötietojen käsittelijä ei käsittele eikä hyödynnä Sopimuksen perusteella käsittelemiään henkilötietoja kuin Sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa. 3.3 Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat Käyttäjät, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. 3.4 Henkilötietojen käsittelijä toteuttaa toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen ja Tilaajan ohjeiden mukaisesti. 3.5 Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja hallinnolliset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Tilaajan ohjeita ja mahdollisia Tilaajan ohjeiden päivityksiä. 3.6 Toimittajan on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat mahdollisuuksien mukaan sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, että ne voidaan siirtää järjestelmästä toiseen. 3.7 Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA:n ulkopuolelle, ellei asiasta sovita kirjallisesti rekisterinpitäjän kanssa. Jos henkilötietoja halutaan siirtää Euroopan talousalueen ulkopuolelle, on siirrossa noudatettava tietosuoja-asetuksessa määriteltyjä tiedonsiirron periaatteita. 3.8 Tilaaja ja Toimittaja ilmoittavat toisilleen tietosuojavastaaviensa yhteystiedot. 3.9 Henkilötietojen käsittelijä ilmoittaa ilman aiheetonta viivästystä Tilaajalle kaikista vastaanottamistaan rekisteröidyiltä tulleista pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. 3.10 Henkilötietojen käsittelijä avustaa mahdollisuuksien mukaan Tilaajaa rekisteröityjen oikeuksien käyttämistä koskeviin pyyntöihin vastaamisessa. Jos avustaminen ei sisälly Sopimuksen mukaisiin palveluihin ja niistä veloitettaviin maksuihin, Toimittajalla on oikeus veloittaa kohtuulliset kustannukset Sopimuksen ehtojen mukaisesti. 3.11 Henkilötietojen käsittelijä saattaa Tilaajan saataville kaikki tiedot, jotka ovat tarpeen henkilötietojen käsittelijää koskevien velvollisuuksien noudattamisen osoittamista varten. 3.12 Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Tilaajaa tietosuojalainsäädännön mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, ennakkokuulemisessa ja tietosuojaa koskevan sertifioinnin hankkimisessa. Toimittajalla on oikeus veloittaa kohtuulliset kustannukset Sopimuksen ehtojen mukaisesti. 3.13 Palvelun loputtua henkilötietojen käsittelijä Tilaajan ohjeiden mukaisesti tuhoaa kaikki henkilötiedot tai palauttaa ne Tilaajalle sekä tuhoaa mahdolliset tietojen jäljennökset, ellei niiden säilyttämiseen ole lainsäädännöllistä velvollisuutta. Henkilötietojen tuhoamiseen ja palauttamiseen sekä olemassa olevien jäljennösten tuhoamiseen saattaa kohdistua käytettävästä teknologiasta johtuvia rajoitteita. 3.14 Henkilötietojen käsittelijä sallii Tilaajan valtuuttaman hyväksytyn tarkastuslaitoksen suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Auditoinnin aikataulusta, kustannuksista ja muista yksityiskohdista tulee sopia vähintään 30 vuorokautta ennen auditointia. Auditointi toteutetaan Tilaajan kustannuksella. | Lukua muotoiltu uudestaan. Entinen kohta 4.1 laajennettu kohdiksi 3.1 ja 3.2. Entinen 4.2 → 3.3 Entinen 4.3 → 3.5 Entinen 4.4 → 3.4 Entinen 4.5 → 3.9 Entinen 4.6 → 3.10 Entinen 4.7 → 3.6 Entinen 4.8 → 3.12 Entinen 4.9 → 3.13 Entinen 4.10 → 3.7 Entinen 4.11 → 3.14, alku erotettu omaksi kohdakseen 3.11 Ari Savander, Humak 22.4.2022: Jos olet rekisterinpitäjä, sinun edellytetään antavan ohjeet henkilötietojen käsittelystä. Nämä ohjeet saattava olla korkeakoulukohtaisia. Tämän kohdan sisältö näyttäisi olevan tuon ohjeen perustekstejä. Näiden lisäksi tulisi voida toimittajan kanssa sopia mahdollisista omista, korkeakoulukohtaisista lisäohjeista mikäli ne ovat tarpeen. Tällainen sopimus henkilötiedon käsittelystä on tosiaan hyvä olla omana puitesopimuksen liitteenä. 2022-05-17 Muokattu kohdassa 3.3 "henkilöt" → "Käyttäjät" 2022-08-17 Kohtien 3.10. ja 3.12. avustamisten tulee olla maksutonta Tilaajalle tai kuulua Sopimuksen mukaisiin palveluihin vähintään niiltä osin, kun on kyse lakisääteisestä avustamisvelvollisuudesta, paitsi jos avustaminen on selkeästi työllistävä, esim. yli 1 htp:n verran per Toimittajan työntekijä. (TSA 28.3f ja 28.3h) Kohdan 3.13 sanamuodon tulisi olla "Palvelun loputtua henkilötietojen käsittelijä Tilaajan ohjeiden mukaisesti _joko_ tuhoaa kaikki henkilötiedot tai...". Tietosuoja-asetuksen mukaisesti valinnan tekee Tilaaja, ei Henkilötietojen käsittelijä ja sen takia tätä tulisi myös painottaa. Kohta 3.14 (ja muissa Sopimuksen osissa tai liitteissä): Toimittajan tulee huolehtia, että auditointien ulottaminen on mahdollistettu heidän alihankkijoihin myös heidän ja heidän alihankkijoiden välisissä sopimuksissa. (TSA 28.4) Luvussa 3 ei käydä erikseen läpi minkälaisia seuraamuksia Toimittajalle tulee auditoinnissa esille tulleiden puutteiden osalta. 2022-10-13 vastaus kommenttiin: Kohtien 3.10. ja 3.12. oikeus laskuttaa kohtuulliset kustannukset hinnaston mukaisesti on varattu oikeus, ei velvollisuus. Ei ole taloudellisesti järkevää laskuttaa vähäisiä muutaman tunnin töitä (laskujen käsittelyn hinta vs. laskutettava summa). Oikeus laskuttaa on kaikille osapuolille tasapuolinen ehto. Kohdan 3.13 sanamuotoa voisi tarkentaa, mutta muutosta ei ole järkevää enää tehdä, koska on joka tapauksessa selvää, että Tilaaja ohjeistaa, miten toimitaan. Lisäksi toimittajan on tuhottava Tilaajan aineisto, jonka käsittelyyn Toimittajalla ei ole perustetta. Tilaaja voi ohjeistaa tietojen palauttamisesta Tilaajalle ennen tietojen tuhoamista. Valinnan asiassa tekee Tilaaja. Kohtaan 3.14 liittyen alihankkijoiden ja heidän alihankkijoidensa mainitseminen ei ole erikseen tarpeen, koska Sopimuksen 8. Alihankkijat -luvun mukaisesti on jo määritetty, että Toimittaja vastaa alihankkijan työstä kuin omastaan ja sitouttaa alihankkijat noudattamaan tämän liitteen 1 mukaisia henkilötietojen käsittelyn ehtoja. Luvussa 3 ei ole tarpeen sopia auditoinnin poikkeamaseuraamuksista erikseen. Mahdolliset sopimusrikkomukset käsitellään Sopimuksen mukaisesti. Pääsääntöisesti mahdolliset auditoinnissa esille tulleet puutteet korjataan palvelunkohtaisen ohjausmekanismin mukaisesti. |
| 4.2. Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan Sopimuksen (erit. Sopimuksen liitteen 5 Turvallisuussopimus) mukaista salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. | ||
| 4.3. Sen lisäksi, mitä Sopimuksessa ja mahdollisessa lisäsopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Tilaajan ohjeita ja mahdollisia Tilaajan ohjeiden päivityksiä. | ||
| 4.4. Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen, mahdollisen Lisäsopimuksen sekä Tilaajan ohjeiden mukaisesti. | ||
| 4.5. Henkilötietojen käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Tilaajalle kaikista mahdollisesti vastaanottamistaan rekisteröityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä. | ||
| 4.6. Henkilötietojen käsittelijä sitoutuu mahdollisuuksien mukaan avustamaan Tilaajaa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä, mikäli toimenpiteistä ei aiheudu kohtuutonta ajanhukkaa tai kustannuksia. Henkilötietojen käsittelijä ymmärtää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä mahdollisuuksien mukaan avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja/tai henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei näiden tehtävien ole sovittu sisältyvän Sopimuksen tai mahdollisen lisäsopimuksen mukaisiin palveluihin ja niistä veloitettaviin maksuihin, Toimittajalla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksen liitteen 4 Palveluhinnasto ja maksuehdot mukaisesti. | ||
| 4.7. Toimittajan on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat mahdollisuuksien mukaan sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, että ne voidaan automaattisesti irrottaa järjestelmästä siirrettäväksi toiseen järjestelmään. | ||
| 4.8 Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Tilaajaa EU:n yleisen tietosuoja-asetuksen mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Toimittajalla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksen liitteen 4 Palveluhinnasto ja maksuehdot mukaisesti. | ||
4.9. Henkilötietojen käsittelijä sitoutuu Tilaajan valinnan mukaan poistamaan tai palauttamaan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki Tilaajan henkilötiedot Tilaajalle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Tilaaja voi antaa tältä osin tarkempia ohjeita henkilötietojen käsittelijälle. Sopijapuolet toteavat, että henkilötietojen poistamiseen ja palauttamiseen ja olemassa olevien jäljennösten poistamiseen saattaa kohdistua käytettävästä teknologiasta johtuvia rajoitteita. | ||
| 4.10. Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle mikäli asiasta ei kirjallisesti sovita rekisterinpitäjän kanssa. Henkilötietojen siirtäminen kolmansiin maihin voidaan tehdä asianmukaisella siirtosopimuksella noudattaen EU-komission kulloinkin voimassa olevia mallilausekkeita ja/tai muita tuolloin voimassaolevia henkilötietojen siirtoa koskevia vaatimuksia. | ||
| 4.11. Henkilötietojen käsittelijä saattaa Tilaajan saataville kaikki tiedot, jotka ovat tarpeen tässä sopimusliitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Tilaajan valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Auditoinnit tulee toteuttaa hyväksytyn tarkastuslaitoksen toimesta, auditoinnin tilaajan kustannuksella ja auditoinnin aikataulusta tulee sopia vähintään 30 vuorokautta ennen auditointia. | ||
5. Tietoturvaloukkaukset | 5. Tietoturvaloukkaukset | |
5.1. Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Tilaajalle mahdollisuuksien mukaan ilman aiheetonta viivytystä saatuaan sen. Lisäksi Toimittaja sitoutuu ilmoittamaan Tilaajalle muista Toimittajan tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa, ellei Sopimuksessa tai mahdollisessa lisäsopimuksessa tai näiden liitteissä ole sovittu lyhyemmästä määräajasta. | 5.1 Toimittajan on ilmoitettava kirjallisesti Tilaajalle kaikista henkilötietojen tietoturvaloukkauksista ilman aiheetonta viivytystä saatuaan niistä itse tiedon. Lisäksi Toimittaja ilmoittaa Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa, ellei Sopimuksessa tai mahdollisessa Lisäsopimuksessa tai näiden liitteissä ole sovittu lyhyemmästä määräajasta. | |
5.2. Henkilötietojen käsittelijän on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta: 1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät; 2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja; 3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä 4) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi. | 5.2 Toimittajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta: 1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät; 2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö̈, jolta voi saada asiassa lisätietoja; 3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä 4) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi. | |
| 5.3 Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä Sopimuksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi. | Lisätty kohta 5.3. | |
6. Muita vaatimuksia | 6. Muita vaatimuksia | |
6.1. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Toimittajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita hyvien tietosuojakäytänteiden ja yhteisesti sovittujen menettelytapojen mukaisesti. Nämä ohjeet voivat olla henkilötietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia, täydennyksiä tai päivityksiä. Toimittaja tekee tarvittavat muutostyöt Tilaajan ohjeiden mukaisesti. Jos Tilaajan ohjeet aiheuttavat Toimittajalle lisäkustannuksia, vastaa niistä Tilaaja Sopimuksen liitteen 4 Palveluhinnasto ja maksuehdot mukaisesti. Toimittaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan näitä muutettuja, täydennettyjä tai päivitettyjä ohjeita. | 6.1 Tilaajalla on oikeus muuttaa, täydentää ja päivittää Toimittajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita yhteisesti sovittujen menettelytapojen mukaisesti. Tilaaja vastaa muutoksista aiheutuvista Sopimuksen palveluun sisältymättömistä kustannuksista. | Sievennetty kohtaa 6.1. |
| 6.2 Toimittajan tulee viipymättä tiedottaa Tilaajalle, mikäli se katsoo Tilaajan ohjeistuksen tai Toimittajaa sitovaksi tarkoitetun dokumentaation tai niihin tehtävien muutosten olevan mahdoton tai kohtuuttoman hankala toteuttaa tai mikäli ohjeistus, dokumentaatio tai niiden muutos olisi omiaan vaikuttamaan oleellisesti käsittelyn aikatauluun tai hintaan. Toimittajan on ilmoitettava Tilaajalle myös, jos muutos edellyttäisi Toimittajalta lisäselvityksiä taikka -suunnittelua. | 6.2 Toimittajan tulee viipymättä tiedottaa Tilaajalle, mikäli se katsoo Tilaajan ohjeistuksen tai Toimittajaa sitovaksi tarkoitetun dokumentaation tai niihin tehtävien muutosten olevan mahdoton tai kohtuuttoman hankala toteuttaa tai mikäli ohjeistus, dokumentaatio tai niiden muutos olisi omiaan vaikuttamaan oleellisesti käsittelyn aikatauluun tai hintaan. Toimittajan on ilmoitettava Tilaajalle myös, jos muutos edellyttäisi Toimittajalta lisäselvityksiä tai -suunnittelua. | |
| 6.3. Toimittaja sitoutuu reagoimaan mahdollisuuksien mukaan viimeistään yhden (1) viikon kuluessa Tilaajan tietosuojaa koskeviin ilmoituksiin, reklamaatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tietoturvaloukkaukset, joihin sovelletaan edellä tässä liitteessä määritettyjä määräaikoja. | - | Poistettu kohta 6.3. |
| 6.4. Sopijapuolet ymmärtävät, että Sopimusta ja tätä sopimusliitettä tehtäessä tietosuojaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Tilaajan asemaan tai velvollisuuksiin tai tässä sopimusliitteessä määriteltyihin velvollisuuksiin tai vastuisiin, tätä sopimusliitettä voidaan tarvittaessa niiltä osin puitesopimuksessa sovitulla menettelyllä tarkistaa. Jos tähän sopimusliitteeseen tehdään sellaisia muutoksia, joista aiheutuu Toimittajalle lisäkustannuksia, sovelletaan niiden korvaamiseen erikseen Sopimuksen hintaliitteen hintoja tai hinnoitteluperiaatteita, jos soveltuvia hintoja ei ole määritelty. Toimittaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan kyseistä tarkistettua sopimusliitettä. | - | Poistettu kohta 6.4. |
1 Comment
user-f502c
Sep 01, 2022Hautumaan ajatus: Käytettäisiinkö nyt solmittavan puitesopimuksen jälkeen solmittavaan seuraavaan puitesopimukseen EC:n DPA SCC:ta...? → Tekokas sopiminen.