Tietojenkäsittelysopimus

Tätä sopimusta sovelletaan Sopimukseen, ja se on laadittu seuraavien Osapuolien välillä:

(i) Asiakas ("Tietojen Viejä")
(ii) IQUALIF ("Tietojen Tuoja")

Yhdessä "Osapuolet", kumpikin erikseen "Osapuoli".

Johdanto

MISSÄ Tietojen Tuoja tarjoaa ammattimaisia ohjelmistopalveluja, tietokoneita ja niihin liittyviä palveluja (kuten selaimet, joilla on edistyneitä hakutoimintoja);

MISSÄ sopimuksen mukaisesti Tietojen Tuoja on sitoutunut tarjoamaan Asiakkaalle sopimuksessa määritellyt palvelut ("Palvelut");

MISSÄ Tietojen Tuoja saa palveluja tarjoamalla pääsyn Tietojen Viejän tietoihin tai muiden henkilöiden tietoihin, joilla on (potentiaalinen) suhde Tietojen Viejään, tällaiset tiedot voidaan luokitella henkilötiedoiksi Euroopan parlamentin (EU) ja neuvoston 27 päivänä huhtikuuta annetun asetuksen 2016/679 mukaisella tavalla yksilöiden suojeluun henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta ("GDPR") sekä muusta sovellettavasta tietosuojalaista.

MISSÄ tämä sopimus sisältää ehdot, joita sovelletaan Tietojen Tuojaan keräämiin, käsittelemiin ja käyttämiin henkilötietoihin Tietojen Viejän valtuutettuna tietojenkäsittelyedustajana sen varmistamiseksi, että Osapuolet noudattavat sovellettavaa tietosuojalakia.

Tämän vuoksi ja jotta Osapuolet voivat jatkaa suhdettaan laillisesti, Osapuolet ovat laatineet tämän sopimuksen seuraavasti:

Osa 1

1. Asiakirjan rakenne ja määritelmät

1.1 Rakenne

Tämä sopimus koostuu seuraavista osista:

Osa 1:	sisältää yleisiä säännöksiä, esim. koskien tässä sopimuksessa käytettyjä määritelmiä, paikallisten lakien noudattamista, ajoitusta ja irtisanomista
Osa 2:	sisältää mallisopimuslausekkeen muuttamattoman rungon
Liite 1.1 Osassa 2:	sisältää tiedot käsittelytoimista, jotka Tietojen Tuoja on toimittanut Tietojen Viejän valtuutettuna tietojenkäsittelyagenttina (mukaan lukien käsittely, luonne ja käsittelyn tarkoitus, henkilötietojen tyyppi ja rekisteröidyn luokat) tämän sopimuksen alla
Liite 2 Osassa 2:	sisältää kuvauksen Tietojen Tuojan teknisistä ja organisatorisista turvatoimenpiteistä, joita sovelletaan kaikkiin 2. Osan Liitteessä 1.1 kuvattuihin käsittelytoimiin
Osa 3:	sisältää Osapuolten allekirjoitukset, joita tämä sopimus sitoo, ja tunnistaa jokaisen Tietojen Tuojan

1.2 Terminologia ja määritelmät

Tässä sopimuksessa sovelletaan GDPR:n käyttämää terminologiaa ja määritelmiä (Osassa 2 olevan mallisopimuslausekkeen rungossa, jossa määritelmiä ei ole kirjoitettu isoilla alkukirjaimilla).

"Jäsenvaltio"	tarkoittaa maata, joka kuuluu Euroopan unioniin tai Euroopan talousalueeseen
"Erityiset (henkilö) tietoryhmät"	viittaa henkilötietoihin, jotka paljastavat rotuun tai etniseen alkuperään, poliittisiin mielipiteisiin, uskonnollisiin tai filosofisiin vakaumuksiin taikka ammattiliittoon kuulumisen, ja geneettisiin tietoihin, biometrisiin tietoihin, jos niitä käsitellään henkilön tunnistamiseksi, terveystietoihin, henkilön seksielämään tai seksuaalisen suuntautumiseen
"Mallisopimuslauseke"	tarkoittaa mallisopimuslauseketta kolmansiin maihin sijoittautuneiden käsittelyasiamiesten henkilötietojen siirtämistä varten 5. helmikuuta 2010 tehdyn komission päätöksen 2010/87/EU nojalla, jota muutettiin komission täytäntöönpanopäätöksella (EU) 2016/2297 16. päivänä joulukuuta 2016.
“Tietojenkäsittelijä”	tarkoittaa mitä tahansa EU:n/ETA:n sisällä tai ulkopuolella sijaitsevaa käsittelyagenttia, joka suostuu vastaanottamaan henkilötietoja Tietojen Tuojalta tai muulta Tietojen Tuojan käsittelijältä yksinomaan Tietojen Viejän luovuttamien tietojen käsittelyä varten Tietojen Viejän ohjeiden, tämän sopimuksen ehtojen ja Tietojen Tuojan kanssa tehdyn sopimuksen mukaisesti

2. Tietojen Viejän velvollisuudet

2.1 Tietojen Viejällä on velvollisuus varmistaa kaikkien sovellettavien GDPR:n ja muiden Tietojen Viejään sovellettavien tietosuojalakien mukaisten velvoitteiden noudattaminen ja osoittaa, että GDPR:n 5 artiklan 2 kohdassa vaaditaan tällaista noudattamista. Tietojen Viejä takaa, että T ietojen Tuoja on saanut etukäteen suostumuksen GDPR:n 6 artiklan (a) mukaisesti ja noudattanut velvollisuuttaan tiedottaa rekisteröidyille GDPR: n 13 ja 14 artiklan mukaisesti.

2.2 Tietojen Viejän on toimitettava Tietojen Tuojalle tämän sopimuksen mukaisiin palveluihin liittyvät käsittelytapahtumat GDPR:n 30 artiklan 1 kohdan mukaisesti siltä osin kuin on tarpeen Tietojen Tuojalle tämän artiklan mukaisen velvoitteen täyttämiseksi. GDPR:n 30 artiklan 2 kohta.

2.3 Tietojen Viejän on nimitettävä tietosuojavastaava tai edustaja sovellettavan tietosuojalainsäädännön edellyttämässä laajuudessa. Tietojen Viejä on velvollinen toimittamaan tietosuojaagentin tai mahdollisen edustajan yhteystiedot Tietojen Tuojalle.

2.4. Tietojen Viejä vahvistaa ennen käsittelyn päättymistä hyväksymällä tämän sopimuksen, että Tietojen Tuojan tekniset ja organisatoriset turvatoimenpiteet, jotka on määritelty Osan 2 lisäyksessä 2, ovat asianmukaisia ja riittäviä suojaamaan rekisteröidyn oikeuksia ja vahvistaa, että Tietojen Tuoja tarjoaa riittävät suojatoimet tältä osin.

3. Paikallisen lain noudattaminen

GDPR:n 28 artiklan mukaisten käsittelyagenttien käyttöönoton vaatimusten täyttämiseksi sovelletaan seuraavia muutoksia:

3.1 Ohjeet

(i) Tietojen Viejä kehottaa Tietojen Tuojaa käsittelemään henkilötietoja vain Tietojen Viejän puolesta. Tietojen Viejän ohjeet ovat tässä tietojenkäsittelysopimuksessa ja Sopimuksessa. Tietojen Viejällä on velvollisuus varmistaa, että kaikki Tietojen Tuojalle annetut ohjeet ovat sovellettavien tietosuojalakien mukaisia. Tietojen Tuojan on käsiteltävä henkilötietoja vain Tietojen Viejän antamien ohjeiden mukaisesti, ellei Euroopan unioni tai jäsenvaltion laki toisin edellytä (jälkimmäisessä tapauksessa sovelletaan Osan 1 lausekkeen 3.2 (iv) (c) alakohtaa).
(ii) Kaikki muut ohjeet, jotka ylittävät tämän sopimuksen tai Sopimuksen ohjeet, on sisällytettävä tämän sopimuksen ja Sopimuksen aiheeseen. Jos tämän lisäohjeen toteuttaminen aiheuttaa Tietojen Tuojalle kustannuksia, Tietojen Tuojan on ilmoitettava Tietojen Viejälle tällaisista kustannuksista ja annettava selitys ennen ohjeen toteuttamista. Vasta sen jälkeen, kun Tietojen Viejä on vahvistanut näiden kustannusten hyväksymisen ohjeiden toteuttamisesta, Tietojen Tuojan on pantava tämä lisäohje täytäntöön. Tietojen Viejän on annettava lisäohjeet kirjallisesti, ellei kiireellisyys tai muut erityiset olosuhteet edellytä muuta lomaketta (esim. suullinen, sähköinen). Ohjeet muussa kuin kirjallisessa muodossa on Tietojen Viejän toimesta vahvistettava kirjallisessa muodossa viipymättä.
1. Ellei Tietojen Viejä pysty itse suorittamaan henkilötietojen oikaisua, poistamista tai rajoittamista, ohjeet voivat liittyä myös henkilötietojen oikaisemiseen, poistamiseen ja/tai rajoittamiseen Osan 1 lausekkeen 3.3 mukaisesti.
2. Tietojen Tuojan on välittömästi ilmoitettava Tietojen Viejälle, jos hänen mielestään Ohje rikkoo GDPR:ää tai muita sovellettavia Euroopan unionin tai jäsenvaltion tietosuojasäännöksiä ("Kiistanalainen ohje"). Jos Tietojen Tuoja uskoo, että ohje loukkaa GDPR:ää tai muita sovellettavia Euroopan unionin tai jäsenvaltion tietosuojamääräyksiä, Tiretojen Tuojalla ei ole velvollisuutta noudattaa Kiistanalaista ohjetta. Jos Tietojen Viejä vahvistaa Kiistanalaisen ohjeen saatuaan tietoja Tietojen Tuojalta ja myöntää olevansa vastuussa Kiistanalaisesta ohjeesta, Tietojen Tuoja panee täytäntöön Kiistanalaisen ohjeen, ellei Kiistanalainen ohje (i) liity teknisten ja organisatoristen toimenpiteiden toteuttamiseen, (ii) rekisteröityjen oikeuksiin tai (iii) tietojenkäsittelijöiden sitoutumiseen. Tapauksissa (i) - (iii) Tietojen Tuoja voi ottaa yhteyttä toimivaltaiseen valvontaviranomaiseen saadakseen Kiistanalaisen ohjeen laillisesti arvioitavaksi. Jos valvontaviranomainen toteaa haastetun ohjeiston lailliseksi, Tietojen Tuojan on pantava Kiistanalainen ohje täytäntöön. Osan 1, lausekkeen 3.1 (ii) säännöksiä sovelletaan edelleen.

3.2 Tietojen Tuojan velvollisuudet

(i) Tietojen Tuojan on varmistettava, että henkilöt, jotka Tietojen Tuoja on valtuuttanut käsittelemään henkilötietoja Tietojen Viejän puolesta, erityisesti Tietojen Tuojan työntekijät ja minkä tahansa alihankkijan työntekijät, ovat sitoutuneet noudattamaan luottamuksellisuutta tai että heihin sovelletaan asianmukaisia lakisääteisiä säännöksiä ja salassapitovelvollisuutta ja että henkilöt, joilla on pääsy henkilötietoihin, käsittelevät niitä Tietojen Viejän ohjeiden mukaisesti.
(ii) Tietojen Tuojan on toteutettava tekniset ja organisatoriset turvatoimenpiteet, jotka on määritelty Osan 2 lisäyksessä 2, ennen kuin henkilötietoja käsitellään Tietojen Viejän puolesta. Tietojen Tuoja voi ajoittain muuttaa teknisiä ja organisatorisia turvatoimenpiteitä, jos ne eivät tarjoa vähemmän suojaa kuin Osan 2 lisäyksessä 2 esitetyt.
(iii) Tietojen Tuojan on asetettava Tietojen Viejän saataville Tietojen Viejän pyynnöstä tiedot siitä, että tämän sopimuksen velvoitteita noudatetaan Tietojen Tuojan toimesta. Osapuolet sopivat, että tämä tiedonantovelvollisuus täytetään toimittamalla Tietojen Viejälle tarkastusraportti (joka kattaa periaatteiden turvallisuuden, järjestelmän saatavuuden ja luottamuksellisuuden) ("Tarkastusraportti"). Jos laillisesti vaaditaan ylimääräisiä tarkastustoimia, Tietojen Viejä voi pyytää Tietojen Viejän tai muun nimeämänsä tilintarkastajan suorittamia tarkastuksia edellyttäen, että kyseinen tilintarkastaja tekee Tietojen Tuojan kanssa luottamuksellisuussopimuksen joka täyttää Tietojen Tuojan kohtuullisen tyydytyksen ("Tilintarkastus"). Tähän Tilintarkastukseen sovelletaan seuraavia ehtoja: (i) Tietojen Tuojan etukäteen antama kirjallinen suostumus; ja (ii) Tietojen Viejä vastaa kaikista kustannuksista, jotka liittyvät Tietojen Viejän ja Tietojen Tuojan paikan päällä tapahtuvaan tilintarkastukseen. Tietojen Viejän on luotava tarkastuskertomus, joka sisältää yhteenvedon paikan päällä suoritettavan tarkastuksen tuloksista ja havainnoista ("Paikan päällä tehtävä tarkastusraportti"). Paikan päällä tehdyt tarkastusraportit ja tarkastusraportit ovat Tietojen Tuojan luottamuksellisia tietoja, eikä niitä saa paljastaa kolmansille osapuolille, ellei sovellettava tietosuojalainsäädäntö sitä vaadi tai Tietojen Tuoja myönnä siihen suostumusta.
(iv) Tietojen Tuojalla on velvollisuus ilmoittaa Tietojen Viejälle viipymättä:
1. a. lainvalvontaviranomaisen oikeudellisesti sitovista henkilötietojen paljastamista koskevista pyynnöistä, ellei toisin kielletä, kuten rikoslain mukainen kielto lainvalvontatutkinnan luottamuksellisuuden suojaamiseksi
2. b. suoraan rekisteröidyltä vastaanotetuista valituksista ja pyynnöistä (esim. pääsystä, oikaisemisesta, poistamisesta, käsittelyn rajoittamisesta, tietojen siirrettävyydestä, vastustamisesta tietojenkäsittelyyn, automaattisesta päätöksenteosta) vastaamatta kyseiseen pyyntöön, ellei Tietojen Tuoja ole valtuutettu tekemään niin
3. c. jos Tietojen Tuoja tai tietojenkäsittelijä on Euroopan unionin tai sen jäsenvaltion lainsäädännön mukaan velvollinen käsittelemään henkilötietoja, jotka ylittävät Tietojen Viejän ohjeet, ennen tällaisen ohjeet ylittävän käsittelyn suorittamista, ellei Euroopan unionin tai jäsenvaltion lainsäädännössä kielletä tällaista käsittelyä elintärkeän yleisen edun vuoksi, jolloin Tietojen Viejää koskevassa ilmoituksessa on täsmennettävä kyseisen Euroopan unionin tai jäsenvaltion lain mukainen oikeudellinen vaatimus; tai
4. d. jos Tietojen Tuoja havaitsee henkilötietojen rikkomisen yksinomaan itsensä tai alihankkijansa vuoksi, mikä vaikuttaisi Tietojen Viejän tämän sopimuksen kattamiin henkilötietoihin, jolloin Tietojen Tuoja auttaa Tietojen Viejää sen velvollisuudessa, sovellettavaan tietosuojalainsäädäntöön nähden tiedottaa rekisteröidyille ja soveltuvin osin valvontaviranomaisille toimittamalla käytössään olevat tiedot GDPR:n 33 artiklan 3 kohdan mukaisesti.
5. (v) Tietojen Viejän pyynnöstä Tietojen Tuojan on pakko avustaa Tietojen Viejää sen velvollisuudessa suorittaa tietosuojavaikutusten arviointi, jota voidaan vaatia GDPR:n 35 artiklassa, ja ennakkoon kuulemisessa, jota voidaan vaatia GDPR:n artiklassa 36 koskien palveluita, joita Tietojen Tuoja tarjoaa Tietojen Viejälle tämän sopimuksen mukaisesti ja joka tarjoaa tarvittavat ja tiedot Tietojen Viejälle. Tietojen Tuoja on velvollinen tarjoamaan tällaista apua vain, jos Tietojen Viejä ei pysty täyttämään velvollisuuttaan muilla tavoin. Tietojen Tuoja neuvoo Tietojen Viejää tällaisen avun kustannuksista. Heti kun Tietojen Viejä on vahvistanut kykenevänsä vastaamaan näistä kustannuksista, Tietojen Tuoja antaa Tietojen Viejälle tämän avun.
6. (vi) Palvelujen tarjoamisen päättyessä Tietojen Viejä voi pyytää Tietojen Tuojalta tämän liitteen mukaisesti käsittelemien henkilötietojen palauttamista kuukauden kuluessa palveluista. Ellei jäsenvaltion tai Euroopan unionin lainsäädännössä vaadita Tietojen Tuojaa tallentamaan tai säilyttämään tällaisia henkilötietoja, Tietojen Tuoja poistaa kaikki tällaiset henkilötiedot tai muut kuin henkilötiedot yhden kuukauden kuluttua siitä, onko ne palautettu Tietojen Viejälle pyynnöstä tai ei.

3.3 Asianomaisten henkilöiden oikeudet

1. (i) Tietojen Viejä hallinnoi rekisteröityjen pyyntöjä ja vastaa niihin. Tietojen Tuoja ei ole velvollinen vastaamaan suoraan rekisteröidyille.
2. (ii) Jos Tietojen Viejä tarvitsee Tietojen Tuojan apua rekisteröidyn pyyntöjen käsittelyssä ja niihin vastaamisessa, Tietojen Viejä antaa ohjeen Osan 1 lausekkeen 3.1 (ii) mukaisesti. Tietojen Tuoja auttaa Tietojen Viejää seuraavissa asioissa: asianmukaiset ja tekniset organisatoriset toimenpiteet vastaamiseksi GDPR: n III luvussa esitettyihin rekisteröidyn oikeuksien käyttämistä koskeviin pyyntöihin seuraavasti:
3. a. Tietopyyntöjen osalta Tietojen Tuoja toimittaa Tietojen Viejälle PGRD:n 13 ja 14 artiklassa vaadittuja tietoja, joita sillä voi olla käytettävissään, ellei Tietojen Viejä löydä niitä itse.
4. b. Tietopyyntöjen osalta (GDPR:n 15 artikla) Tietojen Tuoja toimittaa Tietojen Viejälle vain tiedot, joiden oletetaan toimitettavan rekisteröidylle mainittua käyttöoikeuspyyntöä varten ja jotka sillä voi olla käytettävissään mikäli jälkimmäinen ei löydä sitä yksin.
5. c. Mitä tulee oikaisupyyntöihin (GDPR:n 16 artikla), poistopyyntöihin (GDPR:n 17 artikla), käsittelypyyntöjen rajoittamiseen (GDPR:n 18 artikla) tai siirrettävyyspyyntöihin (GDPR:n 20 artikla), ja vain jos Tietojen Viejä ei voi itse oikaista, poistaa, rajoittaa tai välittää henkilötietoja toiselle kolmannelle osapuolelle, Tietojen Tuoja tarjoaa Tiedon Viejälle mahdollisuuden oikaista tai poistaa, rajoittaa tai välittää kyseisiä henkilötietoja toiselle kolmannelle osapuolelle, tai jos tämä ei ole mahdollista, se tarjoaa apua kyseisten henkilötietojen oikaisemiseksi tai poistamiseksi, rajoittamiseksi tai välittämiseksi toiselle kolmannelle osapuolelle.
6. d. Oikaisemiseen, poistamiseen tai käsittelyn rajoittamiseen liittyvästä ilmoituksesta (GDPR:n 19 artikla) Tietojen Tuoja auttaa Tietojen Viejää ilmoittamalla kaikille henkilöille, joille Tietojen Tuoja on käsitellyt henkilötietoja, jos Tietojen Viejä sitä pyytää jos Tietojen Viejä ei pysty korjaamaan tilannetta yksin.
7. e. Rekisteröidyn käyttämästä vastustamisoikeudesta (GDPR:n 21 ja 22 artikla) Tietojen Viejä määrittää, onko väite laillinen ja miten se käsitellään.
8. (iii) Tietojen Tuojan avunantovelvoitteet rajoittuvat henkilötietoihin, joita käsitellään sen infrastruktuurissa (esim. Tietokannat, järjestelmät, Tietojen Tuojan omistamat tai toimittamat sovellukset).
9. (iv) Tietojen Viejä päättää, voiko rekisteröity käyttää tämän Osan 1 lausekkeessa 3.1 määriteltyjä rekisteröityjen oikeuksia, ja neuvoo Tiedon Tuojaa siinä määrin, mikä on määritelty Osan 1 Lausekkeessa 3.3. (ii), (iii) välttämättömäksi.
10. (v) Jos Tietojen Viejä pyytää lisää tai muokattuja teknisiä ja organisatorisia toimenpiteitä rekisteröidyn oikeuksien saavuttamiseksi, mikä ylittää Tietojen Tuojan tarjoaman Osan 1 Lausekkeen 3.3 (ii), (iii) mukaisen avun, Tietojen Tuojan on ilmoitettava siitä Tietojen Viejälle tällaisten lisä- tai muutettujen teknisten ja organisatoristen toimenpiteiden toteuttamisesta aiheutuvat kustannukset. Heti kun Tietojen Viejä on vahvistanut kykenevänsä vastaamaan näistä kustannuksista, Tietojen Tuojan on toteutettava tällaiset lisä- tai muutetut tekniset ja organisatoriset toimenpiteet auttaakseen Tiedon Viejää vastaamaan rekisteröityjen pyyntöihin.
11. (vi) Rajoittamatta 1 Osan lausekkeen 3.3 (v) soveltamisalaa, Tietojen Viejä on velvollinen korvaamaan Tietojen Tuojalle kohtuulliset kulut, jotka aiheutuvat vastaamisesta rekisteröityjen pyyntöihin.

3.4 Jatkokäsittely

1. (i) Tietojen Viejä valtuuttaa Tietojen Tuojan käyttämään alihankkijoita palvelujen tarjoamiseen tämän liitteen mukaisesti. Tietojen Tuojan on valittava tällaiset tietojenkäsittelijät huolellisesti. Tietojen Viejä hyväksyy tietojenkäsittelijät, jotka on lueteltu liitteessä 1.1 Osan 2 lopussa.
2. (ii) Tietojen Tuojan on siirrettävä tämän Sopimuksen mukaiset velvoitteensa tietojenkäsittelijöille tai alihankintapalveluihin sovellettavassa laajuudessa.
3. (iii) Tietojen Tuoja voi erottaa, korvata tai nimetä toisen sopivan ja luotettavan tietojenkäsittelijän harkintansa mukaan. Jos Tietojen Viejä pyytää sitä kirjallisesti, Tietojen Tuojan on noudatettava seuraavaa menettelyä:
1. a. Tietojen Tuojan on ilmoitettava Tietojen Viejälle ennen muutosten tekemistä 1 Osan Lausekkeessa 3.4 (i) tarkoitettuun tietojenkäsittelijöiden luetteloon. Jos Tietojen Viejä ei vastusta Osan 1 Lausekkeen 3.4 (b) nojalla kolmenkymmenen päivän kuluttua Tietojen Tuojan ilmoituksen vastaanottamisesta ylimääräisten tietojenkäsittelijöiden katsotaan hyväksytyiksi.
2. b. Jos Tietojen Viejällä on perusteltu syy vastustaa ylimääräistä tietojenkäsittelijää, se ilmoittaa asiasta etukäteen kirjallisesti Tietojen Tuojalle 30 päivän kuluessa Tietojen Tuojan ilmoituksen vastaanottamisesta ja ennen Tietojen Tuojan palvelun käyttöönottoa. Jos Tietojen Viejä vastustaa ylimääräisen tietojenkäsittelijän käyttöä, Tietojen Tuoja voi puhdistaa vastaväitteen jollakin seuraavista vaihtoehdoista (valittu oman harkintansa mukaan): (A) Tietojen Tuoja peruu suunnitelmansa käyttää ylimääräistä prosessoria koskien Tietojen Viejän henkilötietoja; (B) Tietojen Tuoja ryhtyy Tietojen Viejän väitteessään pyytämiin korjaaviin toimenpiteisiin (peruuttaa vastaväitteen) ja käyttää ylimääräistä prosessoria Tietojen Viejän henkilötietoihin liittyen; (C) Tietojen Tuoja voi lopettaa tarjoamisen tai Tietojen Viejä voi suostua olemaan käyttämättä (väliaikaisesti tai pysyvästi) palvelun tiettyä osa-aluetta, joka edellyttäisi Tietojen Viejän jatkokäsittelijän Tietojen Viejän henkilötietojen käyttöä.
1. (iv) jos tietojenkäsittelijä sijaitsee EU:n ja ETA:n ulkopuolella maassa, jonka ei tunnusteta tarjoavan riittävää tietosuojaa Euroopan komission päätöksen jälkeen, Tietojen Tuoja ryhtyy toimenpiteisiin riittävän tietosuojatason noudattamiseksi GDPR:n mukaisesti (tällaisiin toimenpiteisiin voi sisältyä muun muassa EU-mallin lausekkeisiin perustuvien tietojenkäsittelysopimusten käyttö, siirto itsesertifioiduille tietojenkäsittelijöille EU:n ja Yhdysvaltojen suojakilven puitteissa tai vastaava ohjelma).

3.5 Vanheneminen

Tämän sopimuksen voimassaolo päättyy vastaavan Sopimuksen voimassaolon päättymispäivän kanssa. Ellei tässä sopimuksessa toisin määrätä, irtisanomiseen liittyvät oikeudet ja velvollisuudet ovat samat kuin Sopimuksessa.

4. Vastuun rajoitus

4.1 Kumpikin Osapuoli hoitaa tämän sopimuksen ja sovellettavan tietosuojalainsäädännön mukaiset velvoitteensa.

4.2 Vastuuseen, joka liittyy tämän sopimuksen tai sovellettavan tietosuojalainsäädännön mukaisten velvoitteiden rikkomiseen, sovelletaan ja säännellään Sopimuksessa vahvistettujen tai siihen sovellettavien vastuuvelvollisuuksien osalta, jollei tässä sopimuksessa toisin määrätä. Jos vastuuseen sovelletaan Sopimuksessa määrättyjä tai Sopimukseen sovellettavia vastuuta koskevia säännöksiä, vastuurajojen laskemiseksi tai muiden vastuurajoitusten soveltamisen määrittämiseksi, minkä tahansa tämän sopimuksen perusteella syntyvän vastuun katsotaan aiheutuvan Sopimuksesta.

5. Yleiset säännökset

5.1 Jos tämän sopimuksen Osien 1 ja 2 välillä on epäjohdonmukaisuuksia tai ristiriitaisuuksia, sovelletaan Osaa 2. Jopa tällaisessa tapauksessa Osa 1, joka yksinkertaisesti ylittää Osan 2 (ts. mallisopimuslausekkeen ehdot) ristiriidassa sen kanssa, pysyy voimassa.

5.2 Jos tämän sopimuksen ja Osapuolten sitovien muiden sopimusten määräysten välillä ilmenee ristiriitaisuuksia, Osapuolten tietosuojavelvoitteiden suhteen sovelletaan tätä sopimusta. Jos epäillään, koskevatko muiden sopimusten lausekkeet osapuolten tietosuojavelvoitteita, tämä sopimus on ensisijainen.

5.3 Jos tämän sopimuksen jotkin määräykset ovat pätemättömiä tai täytäntöönpanokelvottomia, loppuosa tästä sopimuksesta pysyy kokonaisuudessaan voimassa. Pätemätöntä tai täytäntöönpanokelvotonta säännöstä (i) muutetaan sen pätevyyden ja täytäntöönpanokelpoisuuden varmistamiseksi säilyttäen samalla Osapuolten tahto mahdollisimman pitkälle tai - jos se ei ole mahdollista - (ii) tulkitaan ikään kuin pätemätön tai täytäntöönpanokelvoton osa olisi ei ole koskaan ollut osa sopimusta. Edellä olevaa sovelletaan myös, jos tässä sopimuksessa on puutteita.

5.5 Tarvittaessa Osapuolet voivat pyytää muutoksia 1 Osan 3 lausekkeeseen (Paikallisen lain noudattaminen) tai muihin sopimuksen osiin noudattaakseen unionin tai jäsenvaltion toimivaltaisten viranomaisten antamia tulkintoja, direktiivejä tai määräyksiä, kansallisia täytäntöönpanosäännöksiä tai mitä tahansa muuta oikeudellista kehitystä, joka koskee GDPR:tä tai muita tietojen käsittelyyn osallistuville tahoille siirtämisen ehtoja ja erityisesti yleisten sopimuslausekkeiden käyttöä GDPR:ssä. Mallisopimuslausekkeiden ehtoja ei saa muuttaa tai korvata, ellei Euroopan komissio nimenomaisesti hyväksy niitä (esim. Uusilla riittävillä lausekkeilla ja tietosuojastandardeilla).

5.6 Kaikki tämän sopimuksen viittaukset "lausekkeisiin" on ymmärrettävä viittaavan kaikkiin tämän sopimuksen määräyksiin, ellei toisin mainita.

5.7 Lain valinta Osan 2 lausekkeessa 9 koskee koko Sopimusta.

6. Osapuolten henkilökohtaisiin tarkoituksiin lähettämät ja käsittelemät henkilötiedot (siirto rekisterinpitäjältä rekisterinpitäjälle)

6.1 Osapuolet tietävät täysin, että tietyt henkilötiedot siirretään Tietojen Viejältä Tietojen Tuojalle ja päinvastoin ja että kumpikin Osapuoli käsittelee tällaisia tietoja omiin tarkoituksiinsa. Tällaisten henkilötietojen osalta se ei vaikuta tämän liitteen muihin määräyksiin (lukuun ottamatta tätä lauseketta 6).

6.2 Tietojen Viejä voi siirtää Tietojen Tuojan henkilöstöön liittyviä henkilötietoja Tietojen Tuojalle, mukaan lukien tiedot tietoturvaloukkauksista, tai muita asiakirjoja tai tiedostoja, jotka Tietojen Viejä on luonut tai perustanut Tietojen Tuojan henkilökunnan tarjoamien palvelujen yhteydessä. Tietojen Tuoja voi käsitellä tällaisia henkilötietoja omiin tarkoituksiinsa, erityisesti ammattisuhteissaan Tietojen Tuojan henkilöstöön, laadunvalvontaan ja koulutukseen tai liiketoiminnallisiin tarkoituksiin.

6.3. Tietojen Tuoja voi siirtää henkilötietoja Tietojen Viejälle, mukaan lukien Tietojen Tuojan henkilöstön nimi ja yhteystiedot. Tietojen Viejä voi käsitellä tällaisia henkilötietoja omiin tarkoituksiinsa.

6.4 Molempien Osapuolten on noudatettava kaikkia sovellettavia tietosuojalakeja, GDPR mukaan lukien, kerätessään, käsitellessään ja käyttäessään toisen Osapuolen 1 Osan 1 lausekkeen nojalla saamia henkilötietoja. Molemmat Osapuolet toteuttavat erityisesti riittävät turvatoimet tarjoamalla samanlaisen suojaustason kuin 2 Osan liitteessä 2 vahvistetuilla turvatoimenpiteillä. Tällaisten henkilötietojen käyttö on rajoitettava tarpeeseen tietää ne.

6.5 Molempien Osapuolten on poistettava tällaiset henkilötiedot mahdollisimman pian tavoitteiden saavuttamisen jälkeen.

Osa 2

KOMISSION PÄÄTÖS

5. helmikuuta 2010

mallisopimuslausekkeista henkilötietojen siirtämiseksi kolmansiin osapuoliin sijoittautuneille tietojenkäsittelijöille Euroopan parlamentin ja neuvoston direktiivin 95/46/EC nojalla

Lauseke 1

Määritelmät

Lausekkeiden mukaisesti:

a) 'henkilötiedoilla', 'erityisillä tietoryhmillä', 'käsittelyllä/käsittelyllä', 'rekisterinpitäjällä', 'henkilötietojen käsittelijällä', 'rekisteröidyllä' ja 'valvontaviranomaisella' on sama merkitys kuin Euroopan parlamentissa ja neuvostossa 24 päivänä lokakuuta 1998 annetussa direktiivissä 95/46/EY yksilöiden suojelusta, henkilötietojen käsittelystä ja näiden tietojen vapaasta liikkuvuudesta (1);

b) 'Tietojen Viejä' on henkilötietoja siirtävä rekisterinpitäjä;

c) 'Tietojen Tuoja' on henkilötietojen käsittelijä, joka suostuu vastaanottamaan Tietojen Viejältä henkilötietoja, jotka on tarkoitettu käsiteltäviksi Tietojen Viejän puolesta siirron jälkeen sen ohjeiden ja näiden lausekkeiden ehtojen mukaisesti ja jolle ei sovelleta kolmannen maan mekanismia, jolla varmistetaan riittävä suoja direktiivin 95/46/EY 25 (1) artiklan kohdassa tarkoitetulla tavalla; (d) 'tietojenkäsittelijällä' tarkoitetaan tietojenkäsittelijää, jonka Tietojen Tuoja tai jokin muu Tietojen Tuojan tietojenkäsittelijä on sitoutunut vastaanottamaan henkilötietoja Tietojen Tuojalta tai muulta Tietojen Tuojan tietojenkäsittelijältä henkilötietoja yksinomaan suoritettavia käsittelytoimia varten Tietojen Viejän puolesta siirron jälkeen Tietojen Viejän ohjeiden mukaisesti, näissä lausekkeissa esitetyin ehdoin ja tietojenkäsittelysopimuksen kirjallisen alihankinnan ehtojen mukaisesti;

e) "sovellettavalla tietosuojalailla" tarkoitetaan lainsäädäntöä, joka suojaa yksilöiden perusoikeuksia ja -vapauksia, mukaan lukien oikeus yksityisyyteen henkilötietojen käsittelyssä, ja sitä sovelletaan rekisterinpitäjään jäsenvaltiossa, johon Tietojen Viejä on sijoittautunut;

f) 'Turvallisuuteen liittyvillä teknisillä ja organisatorisilla toimenpiteillä' tarkoitetaan toimenpiteitä, joiden tarkoituksena on suojata henkilötietoja tahattomalta tai laittomalta tuhoamiselta tai vahingossa tapahtuvalta katoamiselta, muuttamiselta, luvattomalta paljastamiselta tai pääsyltä, erityisesti jos käsittelyyn liittyy tietojen siirtämistä verkkojen kautta, ja kaikilta muilta laittomilta käsittelyn muodot.

Lauseke 2

Tiedot siirrosta

Siirron yksityiskohdat, mukaan lukien tarvittaessa erityiset henkilötietoryhmät, on määritelty Liitteessä 1, joka on olennainen osa näitä lausekkeita.

Lauseke 3

Kolmannen osapuolen edunsaajalauseke

1. Rekisteröity voi panna täytäntöön tiedonviejää vastaan tämän Sopimuksen, Lausekkeen 4 (b) - (i), Lausekkeen 5 (a) - (e) ja (g) - (j), Lausekkeen 6 (1) ja (2), Lausekkeen 7, Lausekkeen 8 (2) ja Lausekkeet 9-12 ulkopuolisena edunsaajana.

2. Rekisteröity voi panna täytäntöön tämän Lausekkeen, Lausekkeen 5 (a) - (e) ja (g), Lausekkeen 6, Lausekkeen 7, Lausekkeen 8 (2) ja Lausekkeen 9 - 12 täytäntöön Tietojen Tuojaa vastaan, jos Tietojen Viejä on fyysisesti kadonnut tai on lakannut olemasta lain mukainen, ellei kaikkia hänen laillisia velvoitteitaan ole siirretty sopimuksella tai lain nojalla seuraajalle, jolle Tietojen Viejän oikeudet ja velvollisuudet näin ollen palautuvat, ja jota vastaan rekisteröity voi sen vuoksi panna täytäntöön mainitut lausekkeet.

Rekisteröity voi panna tämän Lausekkeen, Lausekkeen 5 (a) - (e) ja (g), Lausekkeen 6, Lausekkeen 7, Lausekkeen 8 (2) ja Lausekkeen 9 - 12 täytäntöön tietojenkäsittelijää vastaan, mutta vain tapauksissa, joissa Tietojen Viejä ja Tietojen Tuoja ovat fyysisesti kadonneet, lakanneet lakasta olemasta tai muuttuneet maksukyvyttömiksi, elleivät kaikki Tietojen Viejän oikeudelliset velvoitteet ole siirretty sopimuksella tai lain nojalla oikeuden seuraajalle, jolle oikeudet ja oikeudet on siirretty sopimuksella tai lain nojalla, ja jolle Tietojen Viejän velvollisuudet on omistettu, ja häntä vastaan rekisteröidyt voivat sen vuoksi panna täytäntöön tällaiset lausekkeet. Tällainen tietojenkäsittelijän vastuu on rajoitettava sen omiin käsittelytoimiin näiden lausekkeiden mukaisesti.

4. Osapuolet eivät vastusta sitä, että rekisteröityä edustaa yhdistys tai muu elin, jos hän niin haluaa ja jos kansallinen lainsäädäntö sen sallii.

Lauseke 4

Tietojen Viejän velvollisuudet

Tietojen Viejä hyväksyy ja takaa seuraavat:

a) käsittely, mukaan lukien varsinainen henkilötietojen siirto, on suoritettu ja tulee jatkamaan sovellettavan tietosuojalainsäädännön asiaankuuluvien säännösten mukaisesti (ja tarvittaessa siitä on ilmoitettu sen jäsenvaltion toimivaltaisille viranomaisille, jossa Tietojen Viejä toimii) eikä riko kyseisen valtion asiaankuuluvia säännöksiä;

b) he ovat ohjeistaneet ja ohjaavat henkilötietojen käsittelypalvelujen ajan Tietojen Tuojaa käsittelemään siirrettyjä henkilötietoja yksinomaan Tietojen Viejän puolesta ja sovellettavan tietosuojalainsäädännön ja näiden lausekkeiden mukaisesti;

c) Tietojen Tuoja antaa riittävät takeet tämän sopimuksen liitteessä 2 määritellyistä teknisistä ja organisatorisista turvatoimenpiteistä;

d) arvioituaan sovellettavan tietosuojalainsäädännön vaatimuksia, turvatoimet ovat riittävät henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta tai vahingossa tapahtuvalta katoamiselta, muuttamiselta, luvattomalta paljastamiselta tai pääsyltä, varsinkin kun käsittelyyn liittyy tietojen siirtämistä tietyn verkon kautta, verkkoa vastaan ja kaikkia muita laitonta käsittelyä vastaan ja varmistettava tietoturvan taso, joka vastaa käsittelyn aiheuttamia riskejä ja suojattavien tietojen luonnetta ottaen huomioon tekniikan taso ja toteutuskustannukset;

e) varmistavat turvatoimenpiteiden noudattamisen;

f) jos siirto liittyy erityisiin tietoluokkiin, rekisteröidylle on ilmoitettu tai hänelle ilmoitetaan ennen siirtoa tai mahdollisimman pian siirron jälkeen, että hänen tietonsa voidaan siirtää kolmanteen maahan, joka ei tarjoa direktiivin 95/46/EY mukaista riittävää suojauksen tasoa.

g) ne välittävät kaikki Tietojen Tuojalta tai muilta tietojenkäsittelijöiltä 5 Lausekkeen (b) ja 8 (3) mukaisesti saadut ilmoitukset tietosuojavalvontaviranomaiselle, jos se päättää jatkaa siirtämistä tai peruuttaa keskeytyksen;

h) heidän on asetettava rekisteröityjen saataville pyynnöstä jäljennös näistä Lausekkeista, lukuun ottamatta Liitettä 2, yhteenveto turvatoimista ja jäljennös muista näiden Lausekkeiden nojalla tehdyistä alihankintasopimuksista, elleivät Lausekkeet tai sopimus sisällä kaupallisia tietoja, jolloin hän voi peruuttaa nämä tiedot;

i) jos kyseessä on alihankinta tietojenkäsittelyprosessista, tietojenkäsittelijä suorittaa käsittelyn Lausekkeen 11 mukaisesti, joka tarjoaa vähintään saman suojan henkilötietojen ja rekisteröidyn oikeuksille kuin näiden Tietojen Tuoja; ja

j) it will ensure compliance with Clause 4 (a) to (i).

Lauseke 5

Tietojen Tuojan velvollisuudet

Tietojen Tuoja hyväksyy ja takaa seuraavat:

a) he käsittelevät henkilötietoja vain Tietojen Viejän puolesta ja Tietojen Viejän ohjeiden ja näiden lausekkeiden mukaisesti; jos se ei jostain syystä pysty noudattamaan vaatimuksia, se sitoutuu ilmoittamaan Tiedon Viejälle kyvyttömyydestään mahdollisimman pian, jolloin Tietojen Vejä voi keskeyttää tiedonsiirron ja/tai irtisanoa sopimuksen;

b) heillä ei ole mitään syytä uskoa, että heihin sovellettava laki estää häntä täyttämästä Tietojen Viejän antamia ohjeita ja hänelle sopimuksen nojalla kuuluvia velvoitteita, ja jos tällaiseen lakiin tehdään muutoksia, joilla voi olla olennainen kielteinen vaikutus Lausekkeiden mukaisiin takuisiin ja velvollisuuksiin, hänen on ilmoitettava muutoksesta Tietojen Viejälle viipymättä saatuaan siitä tiedon, jolloin Tietojen Viejä voi keskeyttää tiedonsiirron ja/tai irtisanoa sopimuksen; c) he ovat toteuttaneet Liitteessä 2 määritellyt tekniset ja organisatoriset turvatoimenpiteet ennen siirrettyjen henkilötietojen käsittelyä;

d) he ilmoittavat Tiedon Viejälle viipymättä:

i) lainvalvontaviranomaisen tekemät sitovat pyynnöt henkilötietojen paljastamiseksi, ellei toisin mainita, kuten rikoskielto, jonka tarkoituksena on poliisitutkinnan salaisuuden säilyttäminen;

ii) satunnaisesta tai luvattomasta pääsystä; ja

iii) kaikista pyynnöistä, jotka on saatu suoraan asianomaisilta henkilöiltä vastaamatta niihin, ellei hänellä ole siihen valtuutusta; järjestelmänvalvojat

e) ne käsittelevät nopeasti ja asianmukaisesti kaikki Tietojen Viejän tekemät tiedustelut koskien siirrettävien henkilötietojen käsittelyä ja toimivat valvontaviranomaisen lausunnon nojalla siirrettyjen tietojen käsittelystä;

f) ne vievät Tietojen Viejän pyynnöstä tietojenkäsittelylaitoksilleen näiden lausekkeiden soveltamisalaan kuuluvien käsittelytoimien tarkastuksen, jonka suorittaa Tietojen Viejä tai valvontaelin, joka muodostuu riippumattomista jäsenistä, joilla on vaadittu ammatillinen pätevyys salassapitovelvollisuuden alainen ja Tietojen Viejän valitsema, tarvittaessa valvontaviranomaisen suostumuksella;

g) ne asettavat rekisteröidyn saataville, jos tämä sitä pyytää, kopion näistä Lausekkeista tai olemassa olevista alihankinnoista tietojenkäsittelysopimuksen, jollei Lausekkeet tai sopimus sisällä kaupallisia tietoja, jolloin se voi poistaa tällaiset tiedot, lukuun ottamatta Liitettä 2, joka korvataan tiivistelmällä turvatoimista, jos rekisteröity ei voi saada kopiota Tietojen Viejältä;

h) jos tietojenkäsittely on alihankittu luottamuksellisesti, hänen on varmistettava, että hän ilmoittaa asiasta Tietojen Viejälle etukäteen ja hankkii Tietojen Viejän kirjallisen suostumuksen;

i) tietojenkäsittelijän tarjoamien käsittelypalveluiden on oltava Lausekkeen 11 mukaisia;

j) he lähettävät viipymättä kopion kaikista näiden lausekkeiden nojalla solmimastaan tietojenkäsittelysopimuksen alihankinnasta Tietojen Viejälle.

Lauseke 6

Vastuu

1. Osapuolet sopivat, että jokainen rekisteröity, jolle on aiheutunut vahinkoa sen vuoksi, että yksi Osapuoli tai tietojenkäsittelijä rikkoo Lausekkeessa 3 tai 11 tarkoitettuja velvoitteita, voi saada korvauksen Tietojen Viejältä aiheutuneesta vahingosta.

2. Jos rekisteröityä estetään nostamasta 1 kohdassa tarkoitettua vahingonkorvauskannetta Tietojen Viejää vastaan, koska Tietojen Tuoja tai sen henkilötietojen käsittelijä ei ole noudattanut mitään Lausekkeestaan 3 tai 11 johtuvia velvoitteitaan, koska Tietojen Viejä on fyysisesti kadonnut, lakannut olemasta lakisääteinen tai muuttunut maksukyvyttömäksi, Tietojen Tuoja suostuu siihen, että rekisteröity voi tehdä siitä valituksen ikään kuin se olisi Tietojen Viejä, ellei kaikkia Tietojen Viejän laillisia velvoitteita ole siirretty sopimuksella tai lain noudattamisesta sen seuraajalle, jota vastaan rekisteröity voi sitten panna täytäntöön oikeutensa. Tietojen Tuoja ei voi vedota siihen, että tietojenkäsittelijä rikkoo velvoitteitaan välttääkseen oman vastuunsa.

3. Jos rekisteröityä estetään nostamasta 1 ja 2 kohdassa tarkoitettua kannetta Tietojen Viejää tai Tuojaa Vastaan, koska tietojenkäsittelijä rikkoo Lausekkeen 3 tai Lausekkeen 11 mukaisia velvoitteitaan, koska Tietojen Viejä ja Tietojen Tuoja ovat fyysisesti kadonnut, lakannut olemasta lakisääteinen tai muuttunut maksukyvyttömäksi, rekisterinpitäjä suostuu siihen, että rekisteröity voi tehdä valituksen häntä koskevasta omasta käsittelytoiminnastaan näiden lausekkeiden mukaisesti ikään kuin hän olisi Tietojen Viejä tai Tietojen Tuoja, ellei kaikkia Tietojen Viejän tai Tietojen Tuojan oikeudellisia velvoitteita ole siirretty sopimuksella tai lain nojalla oikeudelliselle seuraajalle, jota vastaan rekisteröity voi sitten vedota oikeuksiinsa. Tietojenkäsittelijän vastuu on rajoitettava sen omiin käsittelytoimiin näiden lausekkeiden mukaisesti.

Lauseke 7

Sovittelu ja toimivalta

1. Tietojen Tuoja suostuu siihen, että jos lausekkeiden nojalla rekisteröity vetoaa häneen kolmannen osapuolen edunsaajan oikeuteen ja/tai vaatii korvausta kärsimästään vahingosta, hän hyväksyy rekisteröidyn päätöksen:

a) saattaa riita riippumattoman henkilön tai tarvittaessa valvontaviranomaisen sovitteluun;

b) saattaa riita sen jäsenvaltion tuomioistuimeen, jossa Tietojen Viejä on.

2. Osapuolet sopivat, että rekisteröidyn tekemä valinta ei vaikuta rekisteröidyn menettelylliseen tai aineelliseen oikeuteen saada muutoksenhakua kansallisen tai kansainvälisen oikeuden muiden säännösten mukaisesti.

Lauseke 8

Yhteistyö valvontaviranomaisten kanssa

1. Tietojen Viejä suostuu tallettamaan kopion nykyisestä sopimuksesta valvontaviranomaiselle, jos tämä sitä vaatii tai jos sovellettavasta tietosuojalaista säädetään tällaisesta talletuksesta.

2. Osapuolet sopivat, että valvontaviranomainen voi suorittaa tarkastuksia Tietojen Tuojalla ja muilla tietojenkäsittelijöillä samassa laajuudessa ja samoin ehdoin kuin Tietojen Viejällä sovellettavan tietosuojalain mukaisesti.

3. Tietojen Tuojan on ilmoitettava Tietojen Viejälle mahdollisimman pian Tietojen Tuojaa tai sellaista tietojenkäsittelijää koskevasta lainsäädännöstä, joka estää Tietojen Tuojan tai minkä tahansa tietojenkäsittelijän varmennusta 2 kohdan mukaisesti. Tällaisessa tapauksessa Tietojen Viejä voi toteuttaa Lausekkeessa 5 (b) säädetyt toimenpiteet.

Lauseke 9

Sovellettava laki

Lausekkeita sovelletaan ja niihin sovelletaan sen jäsenvaltion lakia, jossaTietojen Viejä sijaitsee.

Lauseke 10

Sopimuksen muuttaminen

Osapuolet sitoutuvat olemaan muuttamatta nykyisiä lausekkeita. Osapuolet voivat vapaasti sisällyttää muita tarpeellisiksi katsomiaan kaupallisia lausekkeita edellyttäen, että ne eivät ole ristiriidassa nykyisten lausekkeiden kanssa.

Lauseke 11

Myöhempi alihankinta

1. Tietojen Tuoja ei saa alihankkijana suorittaa mitään Tietojen Viejän puolesta näiden lausekkeiden nojalla suorittamiaan käsittelytoimia ilman Tietojen Viejän etukäteen antamaa kirjallista lupaa. Tietojen Tuoja saa antaa alihankintana näiden lausekkeiden mukaiset velvoitteensa vain Tietojen Viejän suostumuksella kirjallisella sopimuksella tietojenkäsittelijän kanssa asettamalla tietojenkäsittelijälle samat velvoitteet kuin näiden Tietojen Tuojille näiden lausekkeiden nojalla.) Jos tietojenkäsittelijä ei voi täyttää kyseisen kirjallisen sopimuksen mukaisia tietosuojavelvoitteitaan, Tietojen Tuoja on täysin vastuussa Tietojen Viejälle näiden velvoitteiden täyttämisestä.

2. Tietojen Tuojan ja tietojenkäsittelijän väliseen aikaisempaan kirjalliseen sopimukseen on sisällytettävä myös Lausekkeessa 3 tarkoitettu kolmannen osapuolen edunsaajalauseke tapauksissa, joissa rekisteröityä estetään nostamasta Lausekkeessa 6 (1) tarkoitettua vahingonkorvausvaatimusta Tietojen Viejää tai Tietojen Tuojaa vastaan, koska Tietojen Viejä tai Tietojen Tuoja on kadonnut fyysisesti, lakannut olemasta lakisääteinen tai muuttunut maksukyvyttömäksi eikä kaikkia Tietojen Viejän tai Tietojen Tuojan oikeudellisia velvoitteita ole siirretty sopimuksella tai toiminnalla lain seurauksena toiselle seuraajalle. Tietojenkäsittelijän vastuu on rajoitettava sen omiin käsittelytoimiin näiden lausekkeiden mukaisesti.

3. Edellä 1 kohdassa tarkoitettuun sopimuksen tietojenkäsittelyn alihankintaan liittyviin tietosuojaan liittyviin säännöksiin sovelletaan sen jäsenvaltion lakia, johon Tietojen Viejä on sijoittautunut.

4. Tietojen Viejän on pidettävä luetteloa näiden lausekkeiden nojalla tehdyistä tietojenkäsittelysopimusten alihankinnoista, joista Tietojen Tuoja on ilmoittanut Lausekkeen 5 (j) mukaisesti ja joka on päivitettävä vähintään kerran vuodessa. Tämä luettelo on asetettava Tietojen Viejän tietosuojavalvontaviranomaisen saataville.

Lauseke 12

Velvollisuus henkilötietojen käsittelypalvelujen lopettamisen jälkeen

1. Osapuolet sopivat, että tietojenkäsittelypalvelujen päätyttyä Tietojen Tuoja ja tietojenkäsittelijä palauttavat Tietojen Viejän mukavuudessa kaikki siirretyt henkilötiedot ja niiden kopiot Tietojen Viejälle tai tuhoavat kaikki tällaiset tiedot ja esittävät todisteita tuhoamisesta Tietojen Viejälle, ellei Tietojen Tuojalle asetettu lainsäädäntö estä sitä palauttamasta tai tuhoamasta kaikkia tai osittain siirrettyjä henkilötietoja. Siinä tapauksessa Tietojen Tuoja takaa, että se varmistaa siirrettyjen henkilötietojen luottamuksellisuuden ja että se ei enää käsittele tietoja aktiivisesti.

2. Tietojen Tuojan ja tietojenkäsittelijän on varmistettava, että Tietojen Viejän ja/tai valvontaviranomaisen niin pyytäessä he tarkastavat tietojenkäsittelykeinonsa 1 kohdassa tarkoitetuissa toimenpiteissä.

2 Osan Liite 1.1

Tiedot siirrosta

Tietojen Viejä

Tietojen Viejä on Sopimuksessa määritelty asiakas.

Tietojen Tuoja

Tietojen Tuoja on IQUALIF ja se on määrätty käsittelemään tietoja tarjoamalla palveluja Tietojen Viejälle.

Tietojen kohteet

Siirretyt henkilötiedot koskevat seuraavia rekisteröityjen ryhmiä:

☒ yleishakemistossa luetellut puhelintilaajat

☐ Muut, mukaan lukien:

Tietoluokat

Siirretyt henkilötiedot koskevat seuraavia tietoryhmiä:

Erityisesti Tietojen Viejän rekisteröityjen henkilötietojen luokat,

☒ Koko nimi

☒ Postiosoite

☒ Yhteystiedot (sähköposti, puhelin, IP-osoite jne.)

☒ Tiedot puhelintilaajaan liittyvästä markkinointitoiminnasta

☒ Muut, mukaan lukien asumistyyppi, tulot ja anonyymi keskimääräinen kaupunkikohtainen ikä

Erityiset tietoryhmät (tarvittaessa)

Siirretyt henkilötiedot koskevat seuraavia erityisiä tietoryhmiä:

☒ Erityisten tietoryhmien siirtoa ei ole suunniteltu

☐ Rotu tai etninen alkuperä

☐ Uskonnolliset tai filosofiset uskomukset

☐ Ammattiliittojen jäsenyys

☐ Poliittiset näkemykset

☐ Geneettiset tiedot

☐ Biometriset tiedot

☐ Tietoja seksuaalisesta suuntautumisesta tai seksielämästä

☐ Terveystiedot

Käsittelytoiminnot

Siirrettyihin henkilötietoihin sovelletaan seuraavia perustoimintoja:

- • Käsittelyn tarkoitus

Tietojen Viejän puolesta suoritettava käsittely perustuu erityisesti seuraaviin aiheisiin:

☒ Tietojen Viejän tarjoamien tuotteiden tai palveluiden hallinta

☒ Tuotteen tai palvelun tarjous, jota soitettu henkilö voi pyytää

☒ Soitetuilta henkilöiltä saadut tilaukset ja näiden tilausten jatkokäsittely

☒ Tutkimuslomakkeet ja analyysit

☒ Telemarkkinointi

☐ Muut, mukaan lukien:

- • Käsittelyn luonne ja tarkoitus

Tietojen Tuoja käsittelee rekisteröityjen henkilötietoja Tietojen Viejän puolesta tarjotakseen seuraavat palvelut ja erityisesti:

☒ Myynti ja markkinointi

☒ Muut, mukaan lukien kaupungintalojen ja poliittisten puolueiden tietokantojen päivittäminen

- • Palvelujen tarjoaminen ja palveluntarjoajien työllistäminen

IQUALIF yhdistää, keskittää ja tarjoaa palveluja pääasiassa Tietojen Viejälle. Nimetyn palveluntarjoajan tarjoamat palvelut voidaan rakentaa (tarvittaessa ja muunmuuassa) seuraavien lisäpalvelujen ympärille: (i) sovellusten, työkalujen, järjestelmien ja IT-infrastruktuurin tarjoaminen suhteessa käytettyihin tietojenkäsittelykeskuksiin, tarjotakseen ja tukeakseen palveluja, mukaan lukien rekisteröityjen henkilötietojen käsittelyä edellä kuvatulla tavalla, sellaisilla sovelluksilla, työkaluilla ja järjestelmillä, (ii) IT-tuen, ylläpidon ja muiden palveluiden tarjoaminen, jotka liittyvät tällaisiin sovelluksiin, työkaluihin, järjestelmiin ja IT-infrastruktuuriin, mukaan lukien mahdollinen pääsy tällaisiin sovelluksiin, työkaluihin ja järjestelmiin, tallennettuihin henkilötietoihin, ja (iii) tietosuojapalvelujen, suojauksen seurannan ja tapahtumien torjuntapalvelujen tarjoaminen, mukaan lukien potentiaalinen pääsy henkilötietoihin tarjotessaan tällaisia suojauspalveluja. IQUALIF voi sitoa tietojenkäsittelijät, kuten alla mainitut, tarjoamaan palveluita, mukaan lukien oheispalvelut.

- • Ulkoiset kolmannen osapuolen palveluntarjoajat tietojenkäsittelyyn osoitettuina alayksiköinä

IQUALIF sitouttaa ulkopuolisia ja ulkopuolisia palveluntarjoajia, jotka eivät ole IQUALIFin tytäryhtiöitä, tukemaan palvelujen tarjoamista Tietojen Viejälle. Tietojen Viejä hyväksyy ulkopuoliset ulkopuoliset palveluntarjoajat tietojenkäsittelyyn osoitetuiksi alayksiköiksi.

Jos tietojenkäsittelyyn osallistuva alayksikkö sijaitsee EU:n/ETA:n ulkopuolella maassa, jolla ei katsota olevan riittävää tietosuojatasoa Euroopan komission päätöksen nojalla, TietojenTuoja ryhtyy toimiin riittävän tietosuojan saamiseksi tietosuoja GDPR:n ja Osan 1 kohdan 3.4 (iv) mukaisesti.

Liite 2, Osa 2

Tekniset ja organisatoriset suojatoimenpiteet

Tietojen Tuojan on toteutettava seuraavat Tietojen Viejän vahvistamat tekniset ja organisatoriset suojatoimenpiteet, jotta taataan yksilöiden oikeuksille ja vapauksille sopiva turvallisuustaso riskeistä riippuen. Arvioidessaan kyseistä suojaustasoa Tietojen Viejä on ottanut huomioon erityisesti käsittelyyn liittyvät riskit, mukaan lukien vahingossa tapahtunut tai laiton tuhoaminen, muuttaminen, luvaton paljastaminen tai pääsy siirrettyihin, tallennettuihin tai muutoin käsitellyihin henkilötietoihin. Selvennys: Nämä tekniset ja organisatoriset suojatoimenpiteet eivät koske Tietojen Viejän tarjoamia sovelluksia, työkaluja, järjestelmiä ja/tai IT-infrastruktuuria.

1 Yleiset tekniset ja organisatoriset suojatoimenpiteet

1.1 Yleiset tiedot ja tietosuojastrategiat

Seuraavat vaiheet olisi toteutettava yleisten tietosuojastrategioiden noudattamiseksi:

a) toteutettava toimenpiteitä arvioidakseen teknisen ja organisatorisen suojan toteutumista;

b) tarjota koulutusta työntekijöiden tietoisuuden lisäämiseksi;

c) sinulla on kuvaus kyseisistä järjestelmistä ja myönnettävä pääsy työntekijöille;

d) luoda virallinen dokumentointiprosessi aina, kun järjestelmiä toteutetaan tai muutetaan

e) dokumentoida organisaatiorakenne, prosessit, vastuut ja vastaavat arvioinnit;

1.2 Tietosuojan järjestäminen

Seuraavat toimenpiteet olisi toteutettava tieto- ja tietosuojatoimien koordinoimiseksi:

a) määritelty vastuu tietojen ja tietojen suojaamisesta (esim. tietosuojahallintapolitiikan kautta);

b) tarvittava asiantuntemus käytettävissä olevien tietojen suojaamisesta;

c) kaikki työntekijät ovat sitoutuneet varmistamaan, että henkilötiedot pidetään luottamuksellisina, ja heille on ilmoitettu sitoumuksen rikkomisen mahdollisista seurauksista.

1.3 Pääsyn hallinta käsittelyalueille

Seuraavat toimenpiteet on toteutettava estääkseen luvattomia henkilöitä pääsemästä tietojenkäsittelyjärjestelmiin (erityisesti ohjelmistoihin ja laitteistoihin), kun henkilötietoja käsitellään, varastoidaan tai lähetetään:

a) perustaa turvalliset alueet;

b) suojata ja rajoittaa pääsyä tietojenkäsittelyjärjestelmiin;

c) perustaa työntekijöille ja kolmansille osapuolille pääsyluvat, mukaan lukien vastaavat asiakirjat;

d) kaikki pääsy tietojenkäsittelykeskuksiin, joihin henkilötiedot on tallennettu, on kirjattava.

1.4 Tietojenkäsittelyjärjestelmien kulunvalvonta

Seuraavat toimenpiteet on toteutettava luvattoman pääsyn estämiseksi tietojenkäsittelyjärjestelmiin:

a) käyttäjän todennustavat ja -menettelyt;

b) salasanojen käyttö kaikissa tietokonejärjestelmissä;

c) verkon etäkäyttö vaatii monivaiheisen todennuksen, ja se myönnetään asianomaiselle henkilölle heidän vastuualueidensa ja valtuutuksensa mukaisesti;

d) pääsy tiettyihin toimintoihin perustuu työtoimintoihin ja/tai käyttäjän tilille erikseen määritettyihin määritteisiin;

e) henkilötietoihin liittyviä käyttöoikeuksia tarkistetaan säännöllisesti;

f) rekisterit käyttöoikeuksien muutoksista pidetään ajan tasalla.

1.5 Tietojenkäsittelyjärjestelmien tietyille käyttöalueille pääsyn hallinta

Seuraavat toimenpiteet on toteutettava sen varmistamiseksi, että valtuutetut henkilöt, joilla on käyttöoikeus tietojenkäsittelyjärjestelmään, voivat käyttää tietoja vain vastuualueidensa ja käyttöoikeuksiensa rajoissa ja että henkilötietoja ei voida lukea, kopioida, muuttaa tai poistaa ilman lupaa:

1. a) työntekijöiden toimintaperiaatteet, ohjeet ja koulutus, jotka koskevat jokaisen työntekijän luottamuksellisuutta koskevia velvoitteita, henkilötietojen käyttöoikeuksia ja henkilötietojen käsittelyn laajuutta;

b) kurinpitotoimet henkilöitä vastaan, jotka pääsevät henkilötietoihin ilman lupaa;

c) pääsy henkilötietoihin myönnetään vain valtuutetuille henkilöille tietotarpeen perusteella;

d) ylläpitää luetteloa järjestelmänvalvojista ja toteuttamaan asianmukaiset toimenpiteet järjestelmänvalvojien seuraamiseksi;

e) ei kopioida tai jäljennetä henkilötietoja mistään tallennusjärjestelmästä, jotta luvattomat henkilöt voisivat poistaa luovuttajan tiedot;

f) tietojen hallittu ja dokumentoitu poistaminen tai tuhoaminen;

g) säilyttää kaikki henkilötiedot, jotka on säilytettävä oikeudellisista tai lainsäädännöllisistä syistä (esim. tietojen säilyttämistä koskevat velvoitteet), ja vain niin kauan kuin laki vaatii.

1.6 Lähetysten hallinta

Seuraavat toimenpiteet on toteutettava, jotta luvattomat kolmannet osapuolet eivät voi lukea, kopioida, muuttaa tai poistaa henkilötietoja tietojen tallennuslaitteiden siirron tai kuljetuksen aikana (riippuen suoritetusta henkilötietojen käsittelystä):

1. a) palomuurien käyttö;

b) henkilötietojen tallentamisen välttäminen liikkuviin tallennuslaitteisiin kuljetustarkoituksiin tai laitteiden salaaminen;
c) kannettavien tietokoneiden ja muiden mobiililaitteiden käyttö vasta, kun salaussuoja on aktivoitu;

d) henkilötietojen siirron kirjaaminen.

1.7 Tietojen syöttö

Seuraavat toimenpiteet on toteutettava sen varmistamiseksi, että on mahdollista tarkistaa ja määrittää, ovatko henkilötiedot syötetty tai poistettu tietojenkäsittelyjärjestelmistä ja kenen toimesta:

1. a) käytäntö tallennettujen tietojen lukemisen, muuttamisen ja poistamisen sallimiseksi;

b) suojatoimenpiteet, jotka koskevat tallennettujen tietojen lukemista, muuttamista ja poistamista.

1.8 Työnohjaus

Jos henkilötietoja käsitellään delegoidusti, on toteutettava seuraavat toimenpiteet sen varmistamiseksi, että tällaisia tietoja käsitellään valvojan ohjeiden mukaisesti:

1. a) tietojenkäsittelyyn osoitetut yhteisöt tai alayksiköt on valittu huolella (palveluntarjoajat, jotka käsittelevät henkilötietoja rekisterinpitäjän puolesta);

b) ohjeet henkilötietojen käsittelyn laajuudesta työntekijöille, yhteisöille tai alayksiköille, jotka on määrätty tietojenkäsittelyyn;

c) tietojenkäsittelyyn osoitettujen yhteisöjen tai alayksikköjen kanssa sovitut tarkastusoikeudet;

d) tietojen käsittelyä varten nimettyjen yhteisöjen tai alayksikköjen kanssa tehdyt sopimukset.

1.9 Erottaminen käsittelystä muihin tarkoituksiin

Seuraavat toimenpiteet on toteutettava sen varmistamiseksi, että muihin tarkoituksiin kerättyjä tietoja voidaan käsitellä erikseen:

1. a) erillinen pääsy henkilötietoihin käyttäjien olemassa olevien oikeuksien mukaisesti;

b) rajapinnat, eräkäsittely ja raportointi ovat muita tarkoituksia ja toimintoja varten, jotta muihin tarkoituksiin kerättyjä tietoja voidaan käsitellä erikseen.

1.10 Salanimet

Seuraavat toimenpiteet on toteutettava henkilötietojen pseudonymisoinnin suhteen:

1. a) Jos Tietojen Viejä tilaa tietyn käsittelytoimen tai jos Tietojen Tuoja pitää sitä sopivana tiettyjä käsittelytoimia koskevien voimassa olevien tietosuojalakien mukaisesti, henkilötietojen käsittely suoritetaan siten, että tietoja ei voida enää yhdistöää tiettyyn henkilöön ilman lisätietojen käyttöä. Nämä lisätiedot säilytetään erikseen.

b) salanimitystekniikoiden käyttö, mukaan lukien allokointiluettelon satunnaistaminen; arvojen luominen terävyyden muodossa.

1.11 Salaus

Seuraavat vaiheet tulisi suorittaa henkilötietojen salaamiseksi salausta tukevissa sovelluksissa ja lähetyksissä:

1. a) salaustekniikoiden käyttö;

b) salauksenhallinnan luominen käytettäväksi hyväksyttyjen salaustekniikoiden tukemiseksi;

c) salakirjoituksen käytön tukeminen menettelytapojen ja protokollien avulla salausavainten luomiseen, muokkaamiseen, peruuttamiseen, tuhoamiseen, jakeluun, varmentamiseen, varastointiin, sieppaamiseen, käyttöön ja arkistointiin luvattoman muokkaamisen ja paljastamisen estämiseksi.

1.12 Tietojenkäsittelyjärjestelmien ja -palveluiden täydellisyys

Seuraavat toimenpiteet on toteutettava tietojenkäsittelyjärjestelmien ja -palveluiden täydellisyyden varmistamiseksi:

a) tietojenkäsittelyjärjestelmien suojaaminen manipulointia tai tuhoamista vastaan asianmukaisin keinoin (esim. virustentorjuntaohjelmisto, tietojen menetyksen esto-ohjelmisto ja ohjelmisto haittaohjelmilta, ohjelmistopaketit, palomuurit ja hallittu työpöydän suojaus);

b) tietojenkäsittelyjärjestelmille tai palveluille haitallisen palvelun tai ohjelmiston asentamisen tai henkilötietojen käsittelyn kielto;

c) verkon tunkeutumisen havaitsemis- ja estämisjärjestelmän käyttö verkon omassa rakenteessa.

1.13 Tietojenkäsittelyjärjestelmien ja -palveluiden saatavuus ja mahdollisuus palauttaa pääsy henkilötietoihin ja niiden käyttö aineellisen tai teknisen tapahtuman sattuessa

Seuraavat toimenpiteet on toteutettava tietojenkäsittelyjärjestelmien saatavuuden varmistamiseksi sekä henkilötietojen saatavuuden ja pääsyn palauttamiseksi nopeasti aineellisen tai teknisen vaaratilanteen sattuessa (erityisesti varmistamalla, että henkilötiedot on suojattu vahingossa tapahtuvalta tuhoutumiselta tai katoamiselta)

a) hallintavälineet ja kontrolli varmuuskopioiden säilyttämiseksi ja kadonneiden tai poistettujen tietojen palauttamiseksi;

b) infrastruktuurin redundanssi ja suorituskyvyn testaus;

c) tietokoneresurssien fyysinen suojaaminen;

d) työkalujen käyttö sisäisen verkon tilan ja saatavuuden seuraamiseen;

e) tapahtumien raportointi- ja reagointipolitiikat, jotka ohjaavat tapahtumien hallintamenettelyä, ja toistaminen näiden periaatteiden noudattamisesta osana säännöllistä koulutusta

f) varmuuskopiot (joskus muualla kuin paikan päällä) järjestelmän palauttamiseksi, jotta se voi suorittaa toimintojaan uudelleen;

g) liiketoiminnan jatkuvuuden/katastrofien elvytyssuunnitelmat

1.14 Tietojenkäsittelyjärjestelmien ja -palvelujen sietokyky

Seuraavat toimenpiteet on toteutettava tietojenkäsittelyjärjestelmien ja -palvelujen joustavuuden varmistamiseksi:

a) järjestelmät ja harmoninen konfigurointi, käyttäen hyväksyttyjä suojausparametreja;

b) verkon redundanssi;

c) kriittisten järjestelmien suojaus.

1.15 Menettely teknisten ja organisatoristen toimenpiteiden tehokkuuden säännöllisen testaamiseksi ja arvioimiseksi tietojen käsittelyn turvallisuuden varmistamiseksi

Menettely tietojen käsittelyn suojaamiseksi tarvittavien teknisten ja organisatoristen toimenpiteiden tehokkuuden testaamiseksi ja arvioimiseksi säännöllisesti.

a) toteutettava tarvittavat toimenpiteet riskien ja lieventämisstrategioiden arvioimiseksi;

b) IT-osaston palveluanalyysikokoukset ajankohtaisten kysymysten käsittelemiseksi;

c) liiketoiminnan jatkuvuuden/katastrofien elvytyssuunnitelmat päivitetään säännöllisesti.

Osa 3

Osapuolten allekirjoitukset ja luettelo tietojen tuojista

Kun täytät verkkotilauslomakkeen ja vahvistat sen valitsemalla valintaruudun, joka hyväksyy yleiset käyttöehdot, asiakkaan ja IQUALIFin välistä suhdetta säätelevä sopimus vahvistetaan.

Maksun lähettäminen IQUALIFille näkee sopimuksen sovituksi ja tunnuste

Ota huomioon: Tämä teksti on käännetty ranskan kieleltä. Alkuperäinen ranskankielinen versio, joka on pätevä ja oikeudellisesti rajoittava, on saatavana täällä.