CSC: Sopijapuoli vastaisi omien yhteyshenkilöidensä ohjeistamisesta toimivaltuuksien suhteen. Nämä toimivaltuudet voitaisiin tuoda tiedoksi myös toiselle osapuolelle. Korkeakoulun niin halutessa voidaan muutoksia puitesopimukseen tehdä allekirjoittamalla asiakirjat. Emme kuitenkaan muuttaisi muotoilua puitesopimukseen, sillä useat muut halunnevat pitää sähköpostitse tehtävän tarjous-tilaus menettelyn. Tavoitteenamme on pitää puitesopimuksen sisältö identtisenä kaikkien korkeakoulujen kanssa, jotta yhteisten palveluiden tuottaminen ja kehittäminen olisi mahdollisimman sujuvaa.

Sopijapuolen sisäisiä valtuutuksia ei sovittaisi puitesopimuksessa. Keskusteltiin muotoilun muuttamisesta siten, että se sisältäisi sähköiset tilausjärjestelmät; sähköisesti tai muulla erikseen sovittavalla tavalla. CSC tallentaa sähköpostitse sovitut lisäykset sopimusrekisteriinsä.

Muutostarvetta ei keskustelutilaisuuksien lopputulemana todettu.

JY: Konsultoinnin ollessa kyseessä, on erittäin oleellista, että työn tekee valittu konsultti. Konsultin vaihtaminen alihankkijaan ilman sopimista tilaajan kanssa ei ole hyväksyttävää

Metropolia: Ehdotettu seuraavaa muotoilua korvaamaan kohta 7 (1): Alihankkijan osuus, mikäli sitä käytetään, on kuvattava liitteen 3 mukaisessa palvelukuvauksessa ja/tai liitteen 2 mukaisessa palvelutilauksessa omana kohtana ja tarvittaessa siitä tulee maininta kuhunkin yksittäiseen toimitussopimukseen. Toimittajalla on Asiakkaan pyynnöstä velvollisuus viivytyksettä vaihtaa Toimittajan käyttämä Alihankkija toiseen, Asiakkaan hyväksymään Alihankkijaan.

HY: HY haluaa tiedon alihankkijoista ja mahdollisuuden vastustaa näiden käyttöä (ollessaan Tilaajan roolissa). Tilaajan hyväksyntä alihankkijoille on myös JIT Yleisten ehtojen lähtökohta, ks, JIT Yleiset ehdot kohta 4(2)–4(3).

JY 1.11.: JY toivoo pidettävän yllä listaa alihankkijoista

CSC: Yleisesti toimittajana toimiva osapuoli saa käyttää alihankkijoita harkintansa mukaan ilman tilaavan osapuolen etukäteistä hyväksyntää. Alihankkijoiden hyväksyttämiseen liittyvät menettelyt mainitaan kussakin palvelutilauksessa. CSC:n oman asiantuntijatyön hinnoista poikkevasta hinnoittelusta sovitaan palvelutilauksen yhteydessä, joten tosiasiallisesti palvelun toimittamiseen osallistuvat alihankkijat käsitellään etukäteen palvelutilauksen yhteydessä tai palvelun ohjausryhmässä, ja käsittelyn ulkopuolelle jäävät lähinnä epäsuorasti palvelun toimittamiseen osallistuvat alihankkijat (kuten CSC:n toiminnanohjausjärjestelmän toimittaja).

Kaikissa puitesopimuksen alaisissa palveluissa alihankkijoita ei voi hyväksyttää kaikilla tilaajilla erikseen, vaan palvelu toimitetaan samanlaisena kaikille (vrt. esim. CSC:n kapasiteettipalvelut, suurteholaskenta ja erilaiset sovellukset, joiden toiminnallisuudet ovat samat kaikille, kuten esim. opiskelijaksi ilmoittautumis- ja lukuvuosi-ilmoittautumispalvelu Oili).

Nimetyn asiantuntijan vaihtaminen toiseen esitettiin huolena. Toimittaja pyrkii kuitenkin hoitamaan asiat niin hyvin, että toinen Sopijapuoli on halukas tilaamaan jatkossakin.

Alihankintaketjuja, eli sitä mitä saa käyttää ei nähty ongelmallisena: kukin huolehtii omista alihankintaketjuistaan.

Oikeudesta käyttää alihankkijaa harkinnan mukaan yleisen kirjallisen ennakkoluvan perusteella seuraa tiedottamisvelvollisuus Toimittajalle ja toiselle Sopijapuolelle oikeus vastustaa. Todettiin, että olisi perusteltua pitää yllä alihankkijalistoja.

Alihankkijoista tulee sopia palvelutilauksissa erityisesti silloin, kun he käsittelevät henkilötietoja. Tämä lisätään tärkeänä huomiona muistilistalle.

Toisessa keskustelutilaisuudessa ei tullut uusia näkökulmia.

7 (2) Henkilötietojen käsittelijänä toimiessaan Sopijapuolella on yleinen kirjallinen ennakkolupa käyttää hankintalain mukaisella menettelyllä valitsemiaan alihankkijoita. (- -) alihankkijat sopimuksin noudattamaan tämän Sopimuksen liitteen 1 mukaisia henkilötietojen käsittelyn ehtoja.

JY: 7.4. – 10.2. ristiriita? Toimittaja vastaa kuin omastaan … toimittaja ei vastaa kolmansien osapuolten

Aineettomat oikeudet tilanteissa, joissa korkeakoulu on toimittaja

UEF: Haluaisimme, että puitesopimukseen laadittaisiin rajoitus JIT 2015 -yleisten ehtojen kohtein 6(1), 6(2) ja 6(6) soveltamisen osalta silloin, kun korkeakoulut toimivat palveluntuottajana. Nuo kyseiset JIT 2015 yleisten ehtojen kohdat eivät ole hyväksyttävissä useimmissa yliopistoissa niissä tapauksissa, jolloin yliopisto on myymässä palvelua. Emme voi antaa takuuta immateriaalioikeuksista ja immateriaalioikeuksien käytön on aina ja kaikissa tilanteissa tapahduttava tilaajan vastuulla. Lisäksi vastuukaton pitää koskea myös näitä vahinkoja.

Metropolia: Metropolian toimittaessa CSC – Tieteen tietotekniikan keskus Oy:lle muuta palvelua kuin konsultointia, yleisten sopimusehtojen (JIT 2015 – Yleiset ehdot) kohtaa 6 ei sovelleta.

JY 1.11.:

Sama kuin UEF esittänyt, riski kolmansien osapuolten esittämistä immateriaalioikeuksienloukkausväitteistä on sopimuksellisesti siirrettävä vastapuolelle meidän sopimuspolitiikan mukaan, myös vastuukatto tulisi saada ulotettua koskemaan immateriaalioikeusvahinkoja, nyt ne on rajattu ulkopuolelle JIT ehtojen myötä

CSC: JIT Yleisten ehtojen kohdat ovat ns. normaalin käytännön mukaisia, ja suojaavat mielestämme myös toimittajaa, sillä on vaikea ajatella, että toimittaja ei vastaisi oikeudestaan luovuttaa toimituksen kohde tilaajalle sovittuun käyttöön tapauksessa, jossa käyttäjä sen myötä mahdollisesti rikkoisi kolmannen tekijänoikeutta. JIT-ehtojen perusteella toimittaja on toki vastuussa tilaajan puolustamisen kustannuksista, mutta myös huolehtii siitä itse, kontrolloiden paremmin puolustamista ja siitä aiheutuvia kustannuksia.

Ehdotamme, että kirjaus jäisi puitesopimukseen ennalleen ja asiasta voidaan sopia aina kunkin palvelutilauksen yhteydessä palvelukohtaisesti. Tämä tarkoittaisi, että palvelua suunniteltaessa käytäisiin aina aineettomiin oikeuksiin liittyvät asiat läpi, ja sovittaisiin näistä palvelukohtaisesti.

JIT-Yleiset 11(6) rajaa vahingonkorvausvelvollisuuskaton ulkopuolelle myös immateriaalioikeuksien loukkaukset. Minusta toimittajan tulee tietää, mitä ja millä oikeuksilla on myymässä. Rajaus sopii CSC:lle.

Keskusteltiin tilanteista, joissa tarjotaan palvelua tutkijoille tai projektiryhmille ns. vapaasti käytettäväksi. Todettiin kuitenkin, että Sopijapuolten välille puitesopimuksen muotoiluun ei nähty tarvetta, vaan tapauskohtaisesti tulisi miettiä mistä voidaan antaa tällaisia vakuutuksia ja missä ei.

Keskustelutilaisuuksien lopputulemana todettiin, että mennään JIT-ehtojen mukaan, eli aineettomien oikeuksien vahingonkorvauksia ei rajoiteta.

Puitesopimuksessa immateriaalioikeudet on määritelty JIT:ien mukaisesti, sisältäen kuitenkin mahdollisuuden sopia toisin palvelukohtaisesti oikeuksien siirtymisestä tilaajalle. JITit antavat tilaajalle niin laajat rinnakkaiset oikeudet, että käytännössä ne vastaavat täysiä oikeuksia, vaikka oikeudet säilyvätkin toimittajalla. Tarjoamme myös sellaisia palveluita, joissa emme itse omista immateriaalioikeuksia, ja tästä johtuen muotoilu on otettu puitesopimukseen JIT:ien mukaisesti.

Toimittaessa JIT-konsultointi erityisehtojen mukaisesti ohjeiden yms. levittäminen CC-lisensseillä eteenpäin on mahdollista viittaamatta Toimittajan tekijänoikeuteen. Joissain erityistapauksissa tuloksena syntyvien tuotosten merkitys on kuitenkin tekijänoikeudellisesti suuri, jolloin tekijän mainitsematta jättäminen olisi hyvä todeta moraalisessa mielessä. Palvelukohtaisesti voidaan sopia, kuten esim. Oodi-palvelussa on sovittu, että tekijänoikeus muodostuu Tilaajalle, ja Toimittaja saa rinnakkaisoikeudet. Tämä on kuitenkin poikkeustapaus ja sovittava aina palvelukohtaisesti. Tällainen palvelukohtainen muotoilu on perusteltu myös henkilövuokrauksissa. Lähtökohtana on, että molemmat osapuolet kuitenkin saavat kaikessa liiketoiminnassa syntyneen osaamiseen hyödynnettyä laaja-alaisesti. 

Puitesopimuksen alle tuotavissa, olemassa olevissa palvelutilauksissa sisältöä ei muuteta, vaan oikeudet säilyvät siten kun ne on palvelujen yhteydessä määritetty.

Keskustelutilaisuuksien lopputulemana ei nähty muutostarvetta puitesopimukseen. Palvelukohtaisesti voidaan sopia toisin.

Informointivelvollisuus ja avoimen lähdekoodin ohjelmistot

CSC: Mielestämme tällainen tilanne on teoreettinen ja siitä selviäminen lähtökohtaisesti sisältyy jo muihin sopimuskokonaisuuden yhteistyötä koskeviin kirjauksiin. Olisi hyvin poikkeuksellista, että tämänkaltainen ongelma avoimen lähdekoodin käytöstä syntyisi. Olisi kohtuutonta kirjata, että kaikista palveluista on kaikki käytetyt lisenssiehdot saatavilla ilman erillistä pyytämistä. Tarvittaessa palvelukohtaisesti sovitaan millä prosessilla käytetyt lisenssiehdot käydään läpi. 

Ohjelman lisenssi ei rajoita sitä, kuka saa hyödyntää siinä myönnettyjä oikeuksia.

Sopimuskohdat kerätty sivulle Toiminnan tarkoitus ja avoimet lisenssit

13 (1) Vahigonkorvaus rajattu enintään 20% toimituksen kohteen kokonaishinnasta ja jatkuvissa palveluissa enintään 20% vuosihinnasta

mm. HY: Toivottu, että vahingonkorvausvelvollisuutta ei rajoitettaisi JIT-mallia pienemmäksi: JIT Yleiset ehdotkin takaisivat tasapuolisemmat määräykset, eikä toimittajan vastuuta olisi rajattu näin alhaiselle tasolle.

Varsinkin silloin, jos vastuu on rajattu näin alhaiselle tasolle, tulee tietosuoja- ym. vahingot rajata vastuunrajauksen ulkopuolelle. Tämä poikkeus vastuunrajaukseen toki soveltuu vain siinä tapauksessa, että osana palvelua käsitellään henkilötietoja.

Metropolia: Vastuunjako sopijapuolten välillä perustuu siihen periaatteeseen, että kumpikin sopijapuoli täyttää omat Tietosuojasääntelyn mukaiset velvoitteensa, ja että kaikista viranomaisen asettamista sakoista vastaa se sopijapuoli, joka on laiminlyönyt Tietosuojasääntelyyn perustuvat velvoitteensa tai epäonnistunut niiden täyttämisessä. Kumpikaan sopijapuoli ei vastaa sakoista tai vahingoista, jotka aiheutuvat toisen sopijapuolen menneistä tai nykyisistä toimista tai laiminlyönneistä. Vastuu tämän liitteen rikkomisesta on rajattu kaikissa tilanteissa Sopimuksen vastuunrajoitusehtojen mukaisesti. 

JY 1.11.: Vastuunrajoitusta ei tulisi ainakaan poistaa kokonaan henkilötietojen käsittelyä koskevien vahinkojen osalta.

Henkilötietojen käsittelyä koskevan vastuukaton nostaminen JIT Yleisten ehtojen tasolle. 

Lähtökohta kaikessa toiminnassa on lakien noudattaminen, ja mahdolliset vahingonkorvaukset on puolestaan sovittu puitesopimuksessa.

JITit vaihdetaan → tietosuojarikkomusten korvaukset rekisteröidylle ovat vastuunrajoitusten ulkopuolella. Tämä kohdassa JIT-Yleiset 11(7) OK

Vahingonkorvaus on nykyisellään rajattu myös henkilötietojen käsittelyyn. Tästä esitettiin huoli, ja todettiin, että asiasta tulee keskustella vielä.

Rajaus ei koske nykyiselläkään törkeitä ja tuottamuksellisia rikkomuksia. Olisi mahdollista täsmentää tätä tietosuoja-asetuksen osalta siten, että henkilötietoja käsitellessä vahngonkorvauksen rajaus on jokin muu tai ottaa käyttöön JIT-ehdot tässä.

Keskustelutilaisuuksien lopputulemana todettiin, että keskustelua kohdasta täytyy jatkaa työryhmässä.

CSC: Osapuoli sopii hankintasopimuksissa vahingonkorvauksista JIT-ehtojen mukaan, mikä on runsaampi vahingonkorvaus kuin mitä osapuoli tyypillisesti sopisi asiakkaidensa kanssa. Näin siksi, että osapuolen ja alihankkijan välissä on kyseessä normaali liiketoimintasuhde, ei non-profit ja in-house –toimintamalli. Mikäli alihankkija olisi vahingonkorvausvastuussa suhteessa esim. CSC:hen voi CSC tietenkin välittää saamansa korvauksen suoraan asiakkaalle. Ei kuitenkaan silloin, jos ei ole sovittu, että alihankkija olisi vahingonkorvausvelvollinen.

Esim. Palvelu- ja tilauskohtaisesti sovitaan tarvittaessa, että "Sopijapuolen toimiessa Toimittajana ja käyttäessä alihankkijoita on Sopijapuoli on sopinut myös vahingonkorvauksista alihankintasopimuksissa. Tilaajana toimivalla Sopijapuolella on tällaisessa tilanteessa oikeus saada vahingonkorvausta toisen Sopijapuolen alihankkijan sopimusrikkomuksesta aiheutuneesta välittömästä vahingosta JIT 2015 – Yleiset ehdot kohdan 11 mukaisesti."

JIT-ehtojen päivityksen ei tule olla automaattinen, vaan muutokset tulee tarkastella ennen ehtojen päivittämistä puitesopimukseen.

Keskustelutilaisuuksien lopputulemana todettiin, että päivitetään sopimuspäivitysten yhteydessä aina uusimmat JIT-ehdot. Huomioitiin, että uutta JIT 9 erityisehtoja ei päivitetä sopimukseen.

HAMK: Ensimmäinen kappale jää kesken: Pitäisi jatkua: Jos erimielisyyksiä ei sada neuvottelemalla ratkaistua, ne ratkaistaan Kanta-Hämeen käräjäoikeudessa.  

JY 1.11.: Ei tarvetta muuttaa nykyistä menettelytapaa.

CSC: Riidanratkaisumenettely on sama kaikille korkeakouluille. Lausekkeella on tahdottu korostaa yhdessä ja yhteistoiminnassa sopimisen merkitystä, etenkin kun puitesopimuksen alla todennäköisesti tuotetaan palveluja, joissa on monta korkeakouluja osapuolina. Kohtaa on toki mahdollista täsmentää, mutta siinä tapauksessa pitäisi löytää jokin sellainen käräjäoikeus, joka sopisi kaikille korkeakouluille.

Ehdotamme, että kohdan muotoilu pidetään nykyisellään.

UEF: Haluaisimme, että puitesopimukseen lisätään maininta siitä, että sopijapuolella olisi oikeus aina niin halutessaan saada/ottaa luovuttamansa oma data/tiedot itselleen maksutta.

CSC: JIT-ehdoissa tämä asia on käsitelty. Yleisenä lisäyksenä ehdotettu muotoilu tarkoittaisi, että kaikissa palveluissa tulisi toiminta aina suunnitella lähtökohdasta, että "omien tietojen" vetäminen pois palvelusta olisi hinnoiteltu jo palvelun toteutukseen, mikä ei olisi tarkoituksen mukaista kaikissa tapauksissa. Ehdotamme, että lisäystä ei tehdä.

"Henkilötiedoilla" tarkoitetaan mitä tahansa henkilötietoja, jotka ovat käsittelyn kohteena tämän Tietosuojaliitteen mukaisesti.  

"Tietosuojasääntelyllä" tarkoitetaan mitä tahansa kulloinkin voimassaolevaa henkilötietojen käsittelyä ja tietosuojaa koskevaa sääntelyä (mukaan lukien EU:n yleinen tietosuoja-asetus ("GDPR", 2016/679/EU), sekä tietosuojaviranomaisten ohjeita ja sitovia määräyksiä. GDPR:ssä käytettyjen määritelmien, kuten "rekisterinpitäjä", "henkilötietojen käsittelijä", "henkilötiedot", "käsittely", "rekisteröity", merkitykset tässä Tietosuojaliitteessä vastaavat GDPR:n määritelmien merkityksiä. 

JY 1.11.: Ylipäätään määritelmien lisääminen olisi suositeltavaa, Liite 1 Henkilötietojen käsittelyn ehdot ei tällä hetkellä sisällä laajempaa termien määrittelyä. Kohdissa 2.1-2.2 avataan lähinnä Tilaajan ja Toimittajan rooleja.

3.1. Toimittajalla on yleinen kirjallinen ennakkolupa käyttää hankintalain mukaisella menettelyllä valitsemiaan alihankkijoita. Toimittaja vastaa siitä, että se sitouttaa henkilötietoja käsitellessään käyttämänsä alihankkijat sopimuksin noudattamaan tämän liitteen 1 mukaisia henkilötietojen käsittelyn ehtoja. Toimittajana Sopijapuolen on tiedotettava Tilaajalle kirjallisesti henkilötietoja käsittelevistä alihankkijoistaan, niiden lisäämisestä tai vaihtamisesta, ja annettava Tilaajalle mahdollisuus vastustaa tällaisia muutoksia.  

mm. HY: Haluttu poistaa yleinen kirjallinen ennakkolupa alihankkijoiden käyttöön.

Metropolia: 3.1. Ehdotettu uusi muotoilu: ... Ennen henkilötietojen käsittelyn aloittamista Tilaajan lukuun Toimittajan on tiedotettava Tilaajalle kirjallisesti henkilötietoja käsittelevistä alihankkijoistaan. Lisäksi Toimittajan on tiedotettava kirjallisesti henkilötietoja käsittelevien alihankkijoidensa lisäämisestä̈ tai vaihtamisesta, ja annettava Tilaajalle mahdollisuus vastustaa tällaisia muutoksia.  

JY 1.11.: Yleinen kirjallinen ennakkolupa on perusteltu mainittujen hätätoimenpiteiden vuoksi. Riittävää on huolehtia, että rekisterinpitäjällä on tarvittaessa oikeus vastusta alihankkijan vaihtoa tai lisäämistä perustellusta syystä ja tämä onkin sisällytetty 3.1 ja tarvittaessa 3.4 jos toimittajan alihankkija ei täytä tietosuojavelvoitteita.

JY 1.11.: JY kannattaa tarkennusta "Lisäksi Toimittajan on tiedotettava kirjallisesti henkilötietoja käsittelevien alihankkijoidensa lisäämisestä"

CSC: Henkilötietojen käsittelyä edellyttävässä palvelussa toimittajana toimivalla osapuolella on yleinen ennakkolupa käyttää alihankkijaa ja velvollisuus tiedottaa tästä tilaajana toimivalle osapuolelle. Ennakkoon hyväksymistä ei ole, ellei palvelu- ja tilauskohtaisesti muuta sovita. Käytännössä oletusarvoisesti toisasiallisesti henkilötietojen käsittelyä koskevissa palveluissa sovitaan ennakkoon hyväksymisestä ja vähäisten henkilötietojen käsittelytoimien tai palvelun jatkuvuuden varmistamiseen liittyvien hätätoimien osalta käytettäisiin yleistä kirjallista lupaa.

Metropolia: Ehdotettu poistettavan liitteestä, ja sovittavan erikseen tarvittaessa.

JY 1.11.: Ehto ei ole tietosuoja-asetuksen edellyttämä pakollinen ehto, joten erikseen sopiminenkin on mahdollista. Haittaakaan ei ole jos ehto pidetään Sopimuksessa.

Nykyisessä muotoilussa on kerrottu melko yksityiskohtaisella tasolla, ja kenties osa voisi olla käsittelytoimien kuvauksessa. Otetaan keskusteluun jatkossa.

Keskustelutilaisuuksien lopputulemana todettiin, että erityiset velvollisuudet poistetaan liitteestä.

5.2. Ellei toisin sovita, Toimittaja on velvollinen ylläpitämään luetteloa rekisteröityjen henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista, mikäli Toimittaja tällaisia Tilaajalta vastaanottaa. Luettelo on luovutettava pyydettäessä Tilaajalle. Tilaajan pyynnöstä Toimittajan on luovutettava luettelossa mainittuja tietoja Tilaajan pyytämässä laajuudessa Tilaajan yksilöimille kolmansille tahoille.

Metropolia: Ehdotettu poistettavan liitteestä, ja sovittavan erikseen tarvittaessa.

JY 1.11.: Ehto ei ole tietosuoja-asetuksen edellyttämä pakollinen ehto, joten erikseen sopiminenkin on mahdollista. Ehto olisi kuitenkin hyvä lisä.

6.1. Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Tilaajalle ilman aiheetonta viivytystä saatuaan sen tietoonsa ja mahdollisuuksien mukaan viimeistään 72 tunnin kuluessa. Lisäksi Toimittaja sitoutuu ilmoittamaan Tilaajalle muista Toimittajan tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa, ellei Sopimuksessa tai mahdollisessa lisäsopimuksessa tai näiden liitteissä ole sovittu lyhyemmästä määräajasta.

mm. LUT, SeAMK: 72 tunnin aikaraja tietoturvaloukkausten osalta.: ko. aikarajan tulee ehdottomasti olla matalampi, sillä tietosuoja-asetuksen mukaisesti rekisterinpitäjän velvollisuuksiin kuuluu tietoturvaloukkaustilanteissa toimia 72 tunninkuluessa. Mikäli ko. aika varataan kokonaan henkilötietojen käsittelijälle, ei rekisterinpitäjä pystyy noudattamaan tietosuoja-asetuksessa säädettyä 72 tunnin aikarajaa. Henkilötietojen käsittelijän tulee ilmoittaa tietoturvaloukkauksesta 36 tunnin kuluessa ja tämän aikarajan pyydämme luonnokseen muuttamaan.

Metropolia: ...Ilmoitus on tehtävä mahdollisuuksien mukaan edellä mainitussa määräajassa...

JY 1.11.: ("mahdollisuuksien mukaan ilman aiheetonta viivytystä") Perusteltu muutos.

CSC: Tulkintamme kohdasta on siten, että tuo 72 tunnin aika lähtee juoksemaan siitä hetkestä, kun tietoturvaloukkaus tulee ilmi rekisterinpitäjälle, ei siis yleensä ilmi.  Suomenkielisessä 33(1) artiklassa on hiukan harhaanjohtavasti kirjoitettu, että "sen ilmitulosta". Englanninkielisessä ollaan tarkempia: the controller shall...after becoming aware of a personal data breach. Näin olleen olemme käyttäneet tietosuojaliitteessä samaa 72 tuntia.

Ehdotamme nyt tarkan aikamääreen muutattavan muotoon "mahdollisuuksien mukaan ilman aiheetonta viivytystä", sillä näin tietosuoja-asetus velvoittaa.

7.3. Toimittaja sitoutuu reagoimaan viimeistään 72 tunnin kuluessa Tilaajan yhteydenotosta ja vastaamaan viimeistään yhden (1) viikon kuluessa Tilaajan tietosuojaa koskeviin ilmoituksiin, reklamaatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tietoturvaloukkaukset, joihin sovelletaan edellä tässä liitteessä määritettyjä määräaikoja.

Metropolia: 7.3. Toimittaja sitoutuu reagoimaan ilman aiheetonta viivytystä Tilaajan yhteydenotosta ja vastaamaan mahdollisuuksien mukaan viimeistään yhden (1) viikon kuluessa...

JY 1.11.: molemmat muotoilut hyviä

JY: 7.4. – 10.2. ristiriita? Toimittaja vastaa kuin omastaan … toimittaja ei vastaa kolmansien osapuolten

JY 1.11.: Ristiriitaa ei siis ole.

JY: Totta on, että monelta osin lopputulosta ei voida ketterässä menettelyssä määrittää, multa siltä osin kuin tulokset on sovittavissa (esim. dokumentaation osalta), tulee niihin soveltaa hyväksymismenettelyä. Tämä taisi toistua myös puitesopimuksen tekstissä tai ainakin jossain muussa kohtaa

JY 1.11.:

(Huomiona aiemmin JY:n esitettyyn kommenttiin puitesopimuksen: Palvelun virheet ja viivästyminen kohta, joka on yhden mukainen tämän käsiteltävän kohdan kanssa.

10(3) Toimittaja selvittää yhteisesti todettujen virheiden syyn ja korjaa tällaiset virheet yhteistyössä Tilaajan kanssa ilman aiheetonta viivytystä. Jos ilmenee, että virhe johtuu Tilaajasta, on Toimittajalla oikeus veloittaa virheen selvitystyöstä voimassa olevan hinnastonsa mukaisesti, ellei Sopijapuolten kesken erikseen muuta sovita. Edellä kuvattua menettelyä ei sovelleta ketteränä toteutettaviin hankkeisiin, eikä myöskään tapauksissa, jolloin Tilaaja vastaa Palvelun sisällöllisestä johtamisesta, vaan niihin sovelletaan hankkeen sisäistä virheenkorjausmenettelyä.  )

1.4. Sopijapuolet tunnistavat toimintaansa soveltuvan voimassaolevan henkilötietojen käsittelyyn ja tietosuojaan liittyvän lainsäädännönTietosuojasääntelyn, ja lisäksi Sopijapuolet ovat ryhtyneet saattamaan henkilötietojen käsittelyn ja tietosuojan EU:n yleisen tietosuoja-asetuksen (EU)2016/679 Tietosuojasääntelyn mukaiselle vaatimustasolle 25.5.2018 mennessä̈, jolloin tietosuoja-asetuksen soveltaminen alkaa. 

Metropolia: Sopijapuolet tunnistavat toimintaansa soveltuvan Tietosuojasääntelyn ja lisäksi Sopijapuolet ovat ryhtyneet saattamaan henkilötietojen käsittelyn ja tietosuojan Tietosuojasääntelyn mukaiselle vaatimustasolle 25.5.2018 mennessä̈, jolloin tietosuoja-asetuksen soveltaminen alkaa.

Metropolia: 2.2. ... Toimittaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, silloin kun Toimittaja käsittelee Tilaajan henkilötietoja Tilaajan puolesta ja lukuun.

JY 1.11.: Nykyinen muotoilu riittävä.

2.3. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksessa, mahdollisessa lisäsopimuksessa, em. sopimusten mukaisen palvelun aikana laadittavassa ja Sopijapuolia sitovassa dokumentaatiossa.

Metropolia: 2.3. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksessa, ja/tai yksittäistä toimitusta koskevassa sitovassa dokumentaatiossa (palvelutilaus tai palvelukuvaus ja mahdollinen lisäsopimus)

JY 1.11.: Nykyinen muotoilu riittävä.

Metropolia: 2.6. Toimittaja osallistuu Tilaajan pyynnöstä tietojärjestelmä- ja tietosuojaselosteen ja muun dokumentaation laatimiseen. Toimittaja suorittaa tehtävät sekä niiden edellyttämät toimenpiteet Sopimuksen liitteen 4 Palveluhinnasto ja maksuehdot mukaisesti, ellei toisin ole sovittu.

JY 1.11.: Nykyinen muotoilu riittävä. Tietosuojaselosteen laatinen rekisterinpitäjän velvoite ja se mikäli sisältyy jo muuhun dokumentaatioon ei tarvitse välttämättä erikseen korostaa.

Metropolia: Ehdotettu nimettävän kappale 4 Henkilötietojen käsittelijän yleiset velvollisuudet uudelleen muotoon Toimittajan yleiset velvollisuudet

Metropolia: Ehdotettu korvattavan Henkilötietojen käsittelijä sanalla Toimittaja ja rekisterinpitäjä sanalla Tilaaja

JY 1.11.: kyseessä lähinnä muotoseikka

4.4. Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen, mahdollisen Lisäsopimuksen sekä Tilaajan ohjeiden mukaisesti.

Metropolia: 4.4. Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen, mahdollisen Lisäsopimuksen sekä Tilaajan ohjeiden mukaisesti sekä ainoastaan Sopimuksen ja/tai  yksittäistä toimitusta koskevan, sopijapuolia sitovan dokumentaation (palvelutilaus tai palvelukuvaus ja mahdollinen lisäsopimus) mukaisen palvelun toteuttamiseen.  Henkilötietojen käsittely Toimittajan omiin tarkoituksiin on kielletty.

JY 1.11.: Nykyinen muotoilu on riittävä.

4.8 Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Tilaajaa EU:n yleisen tietosuoja-asetuksen mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Toimittajalla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksen liitteen 4 Palveluhinnasto ja maksuehdot mukaisesti.

Metropolia: 4.8 Toimittaja sitoutuu tarvittaessa ja kohtuullisessa määrin avustamaan Tilaajaa ( - - )

JY 1.11.: nykyinen muotoilu on riittävä. Tietosuoja-asetuksessa ei puhuta kohtuullisesta avustamisesta vaan avustamisesta. Tietosuoja-asetuksessa on todettu, että henkilötietojen käsittelijä auttaa rekisterinpitäjää varmistamaan, että 32-36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot.

JY: ”poistamiseen saattaa kohdistua käytettävästä teknologiasta johtuvia rajoitteita” -> pitäisi pystyä aina poistamaan tai palauttamaan tarvittaessa.

JY 1.11.: Ei kommentoitavaa tähän liittyen, JY:n puolesta esitetty jo kommentti ja saatu vastaus.