Sopimus henkilötietojen käsittelystä (GDPR)

EU:n yleisen tietosuoja-asetuksen (GDPR) mukaan henkilötietojen käsittelystä on tehtävä sopimus silloin, kun joku muu taho käsittelee rekisterinpitäjän hallussa olevia henkilötietoja. Tästä on kyse esimerkiksi silloin, kun Innowise käsittelee asiakkaidensa hallussa olevia henkilötietoja. Tavallisia esimerkkejä ovat tilanteet, joissa asiakkaamme lähettävät meille omien asiakkaidensa tietoja, tai kun tuotamme, ylläpidämme tai kehitämme asiakkaillemme tietojärjestelmiä, jotka sisältävät henkilötietoja.

Ohjeet sopimuksen tekoon

Asiakkaanamme voit tehdä kanssamme sopimuksen henkilötietojen käsittelystä alla olevalla lomakkeella tai lataamalla sopimuksen tulostettavan version (PDF), täyttämällä sen ja lähettämällä sen meille.

Vahvistamme osaltamme sopimuksen sähköpostitse. Vahvistus sisältää alla antamasi tiedot ja sopimusehdot.

Huomioitavaa ennen sopimuksen tekoa:

  • Sopimuksessa asiakas on rekisterinpitäjä, jonka hallussa olevista henkilötiedoista on kyse, ja Innowise on henkilötietojen käsittelijä.
  • Selvitä, ketkä ovat yhteyshenkilöitänne henkilötietojen käsittelyä koskevissa asioissa.
  • Selvitä ennen sopimuksen tekoa, mistä rekisteröityjen ryhmästä tai henkilötiedoista on kyse.
  • Selvitä, missä tarkoituksessa Innowise käsittelee henkilötietoja. Tarkoituksena voi olla esimerkiksi olemassa olevan sopimuksen täyttäminen.
  • Selvitä, mitä ohjeita haluatte Innowiselle antaa henkilötietojen käsittelyyn. Sopimus sisältää valmiiksi yleisiä ohjeita/määräyksiä henkilötietojen käsittelyyn, mutta voitte halutessanne antaa lisäohjeita.
  

Sopimus henkilötietojen käsittelystä

Sopimuksen osapuolet

Palveluntarjoaja (henkilötietojen käsittelijä)
Yritys: Innowise, 1919750-1
Osoite: Teknologiantie 1, 90590 OULU
Yhteyshenkilö: Harto Pönkä, harto.ponka@innowise.fi, 0400500315
   
Asiakas (rekisterinpitäjä)
Yritys: pakollinen
Y-tunnus: pakollinen
Osoite: pakollinen
Yhteyshenkilöt:

Sopimusehdot

1. Yleistä

a. Tällä sopimuksella vahvistetaan, että asiakas on EU:n yleisen tietosuoja-asetuksen (GDPR) tarkoittama rekisterinpitäjä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, ja palveluntarjoaja on henkilötietojen käsittelijä, joka saa haltuunsa ja käsittelee osapuolten välisen suhteen osana henkilötietoja rekisterinpitäjän lukuun.
b. "Henkilötiedoilla", "henkilötietojen käsittelyllä" ja "rekisteröidyillä" tarkoitetaan GDPR:n artikla 4:ssä tarkemmin määriteltyjä tunnistettaviin henkilöihin liittyviä tietoja, niiden käsittelyä eri tavoin ja henkilöitä, joiden tiedoista on kyse.
c. Palveluntarjoaja ja asiakas ovat sopimus-, toimeksianto- tai muussa suhteessa. Osana tätä suhdetta palveluntarjoaja käsittelee asiakkaan hallussa olevia henkilötietoja. Kyseiset henkilötiedot ja niiden käsittely ovat tämän sopimuksen kohde.

2. Asiakkaan yleiset velvollisuudet ja oikeudet

a. Asiakkaan velvollisuutena on täyttää yleisen tietosuoja-asetuksen mukaiset rekisterinpitäjän velvoitteet koskien tämän sopimuksen henkilötietoja ja rekisteröityjä. Asiakkaalle kuuluvia rekisterinpitäjän velvollisuuksia ei siirry palveluntarjoajalle.
b. Asiakkaan velvollisuutena on antaa palveluntarjoajalle kirjalliset ohjeet tämän sopimuksen perusteella tehdylle henkilötietojen käsittelylle, mukaan lukien tietoturvavaatimukset.
c. Asiakkaan velvollisuutena on varmistaa sopimuksen voimassaolon ajan, että henkilötietojen siirtäminen palveluntarjoajalle sekä henkilötietojen käsittely tämän sopimuksen mukaisesti on lainmukaista.
d. Asiakas on vastuussa siitä, että korjaukset, poistot ja muutokset henkilötietoihin toimitetaan viivytyksettä palveluntarjoajalle.
e. Asiakkaalla on oikeus saada palveluntarjoajalta kaikki tiedot, jotka ovat tarpeen yleisen tietosuoja-asetuksen noudattamisen osoittamista varten.
f. Asiakkaalla tai tämän valtuuttamalla taholla on oikeus tehdä tarkastuksia ja auditointeja, jotka kohdistuvat tämän sopimuksen tarkoittamaan palveluntarjoajan tekemään henkilötietojen käsittelyyn.

3. Palveluntarjoajan yleiset velvollisuudet ja oikeudet

a. Palveluntarjoaja käsittelee henkilötietoja ainoastaan tässä sopimuksessa ja mahdollisissa muissa osapuolten välisissä sopimuksissa määriteltyihin tarkoituksiin, vain siinä laajuudessa kuin on tarpeen asiakkaan toimeksiannosta tapahtuvaa palvelua varten, ja ainoastaan tämän sopimuksen voimassaoloajan, ellei pakottavasta lainsäädännöstä muuta johdu.
b. Palveluntarjoaja käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimii muutoinkin niin, ettei rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.
c. Palveluntarjoajalla ei ole oikeutta käyttää asiakkaalta saamiaan henkilötietoja omassa toiminnassaan, luovuttaa niitä, käsitellä niitä, eikä yhdistää tietoja muuhun hallussaan olevaan aineistoon muutoin kuin osapuolten välisissä sopimuksissa tarkoitetussa laajuudessa ja niiden mukaisia tehtäviä hoitaessaan.
d. Palveluntarjoaja käsittelee henkilötietoja asiakkaan antamien ohjeiden mukaisesti, paitsi jos sovellettavassa laissa toisin vaaditaan. Siinä tilanteessa palveluntarjoaja informoi asiakasta välittömästi tästä oikeudellisesta vaatimuksesta, edellyttäen, ettei sovellettava lainsäädäntö kiellä sellaista informointia.
e. Palveluntarjoaja varmistaa, että henkilötietoja käsittelevät vain ne henkilöt, joiden työtehtäviin se kuuluu, ja että kyseiset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo lakisääteinen salassapitovelvollisuus.
f. Palveluntarjoaja avustaa mahdollisuuksien mukaan ja käsittelyn luonteen huomioon ottaen asiakasta täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä.
g. Palveluntarjoaja auttaa asiakasta varmistamaan, että yleisen tietosuoja-asetuksen 32–36 artiklassa säädettyjä velvollisuuksia käsittelyn turvallisuudesta, tietoturvaloukkauksista ilmoittamista ja tietosuojaa koskevasta vaikutustenarvioinnista noudatetaan ottaen huomioon käsittelyn luonteen ja palveluntarjoajan saatavilla olevat tiedot.
h. Palveluntarjoaja suorittaa asiakkaan toimittamat tietojen korjaukset, poistot ja muutokset ilman aiheetonta viivästystä henkilötietojen käsittelyssä.
i. Palveluntarjoaja tuhoaa tai palauttaa asiakkaalle tämän sopimuksen aikana tai sen päätyttyä asiakkaan valinnan ja ohjeiden mukaisesti kaikki henkilötiedot ja poistaa olemassa olevat jäljennökset, ellei pakottavasta lainsäädännöstä muuta johdu.
j. Palveluntarjoaja ylläpitää tarvittavia selosteita tai kirjanpitoa käsittelytoimista ja saattaa asiakkaan saataville kaikki sellaiset tiedot, jotka osoittavat, että palveluntarjoaja noudattaa sille tässä sopimuksessa ja sovellettavassa lainsäädännössä säädettyjä velvollisuuksia.
k. Palveluntarjoaja sallii asiakkaan tai tämän valtuuttaman tahon suorittamat tarkastukset ja auditoinnit sekä osallistuu niihin.
l. Palveluntarjoaja ilmoittaa asiakkaalle, jos se katsoo, että asiakkaan antama ohjeistus rikkoo sovellettavaa lainsäädäntöä.
m. Palveluntarjoaja ilmoittaa asiakkaalle, jos se katsoo, että asiakkaan toimintatavoissa on puutteita, ja avustaa tarvittaessa asiakasta toimintatapojen korjaamisessa.
n. Palveluntarjoajalla on oikeus laskuttaa yllä kuvatuista avustamis-, korjaamis- ja pyyntöihin vastaamistoimista, auditoinnin tuesta sekä asiakkaan ohjeistuksen muutoksista johtuvista toimista ja kustannuksistaan erikseen.

4. Tietoturva

a. Palveluntarjoaja toteuttaa ja ylläpitää asianmukaiset tekniset ja organisatoriset suojatoimet, joilla varmistetaan henkilötietojen käsittelyn riittävä turvallisuustaso, ja joilla suojataan henkilötietoja luvattomalta ja laittomalta käsittelyltä sekä tahattomalta häviämiseltä, poistamiselta, muutokselta tai luovuttamiselta. Palveluntarjoaja päättää toimenpiteistä ottaen huomioon käsittelyn luonne ja tarkoitukset sekä henkilötietoihin ja rekisteröityihin kohdistuvat riskit, joita voidaan palveluntarjoajan arvion perusteella pitää todennäköisinä.
b. Palveluntarjoaja noudattaa henkilötietojen käsittelyssä vähintään seuraavia teknisiä ja organisatorisia suojatoimia:

  • i. Asiakkaan ja palveluntarjoajan välisessä yhteydenpidossa ja muussa asioinnissa varmistetaan asiakkaan edustajan henkilöllisyys ja oikeus kyseiseen henkilötietojen käsittelytoimeen, mikäli kyse on muusta kuin asiakkaan nimeämästä yhteyshenkilöstä.
  • ii. Henkilötietoja säilytetään tiloissa, joihin ulkopuolisilla ei ole pääsyä ilman palveluntarjoajan tai tämän valtuuttaman muun tahon tekemää valvontaa.
  • iii. Henkilötietoja käsittelee vain ne palveluntarjoajan työntekijät, joiden työtehtäviin se kuuluu. Henkilötietojen käsittelylle on kirjallinen ohjeistus, ja samalla huomioidaan tähän sopimukseen liittyvät asiakkaan antamat kirjalliset ohjeet.
  • iv. Henkilötietoja käsitellään kaikissa tilanteissa niin, etteivät ne ole luvatta tai laittomasti ulkopuolisten saatavissa.
  • v. Käytettävissä tietojärjestelmissä huolehditaan siitä, että henkilötiedot ovat vain niiden palveluntarjoajan työntekijöiden saatavissa, joiden työtehtäviin se kuuluu. Käyttäjätunnuksille ja salasanoille on määritelty laatuvaatimukset.
  • vi. Käytettävien palvelimien, tietokoneiden ja muiden laitteiden sekä niiden verkkoyhteyksien tietoturvasta huolehditaan asianmukaisesti.
  • vii. Henkilötietojen tuhoaminen tehdään turvallisesti.

c. Asiakas on velvollinen varmistamaan, että palveluntarjoajalle kerrotaan kaikista henkilötietoihin liittyvistä seikoista (esim. arkaluontoisuus, tehdyt riskiarviot ja vaikutustenarvioinnit), jotka vaikuttavat henkilötietojen käsittelyssä vaadittaviin teknisiin ja organisatorisiin suojatoimiin.

5. Alihankkijat ja pilvipalvelujen käyttö käsittelyssä

a. Palveluntarjoaja saa käyttää alihankkijoita tämän sopimuksen tarkoittamassa henkilötietojen käsittelyssä. ”Alihankkijalla” tarkoitetaan yritystä tai muuta tahoa, joka käsittelee tässä sopimuksessa tarkoitettuja henkilötietoja palveluntarjoajan lukuun tämän toimeksiannosta tai tehdyn palvelusopimuksen perusteella.
b. Palveluntarjoaja voi käyttää vain sellaisia alihankkijoita, jotka ovat sitoutuneet noudattamaan yleisen tietosuoja-asetuksen velvoitteita, tämän sopimuksen ehtoja tai vastaavan tietosuojan tason takaavia velvoitteita.
c. Alihankkija voi toimia EU:n ulkopuolella, mikäli se on sitoutunut noudattamaan Privacy Shield -sopimusjärjestelmän (lisätietoa: https://www.privacyshield.gov) vaatimuksia tai se täyttää muulla tavoin yleisen tietosuoja-asetuksen edellytykset, joilla varmistetaan riittävä tietosuoja EU-maiden kansalaisten henkilötietojen käsittelylle. Asiakas hyväksyy henkilötietojen siirron EU:n ulkopuolelle siltä osin kuin se liittyy tämän sopimuksen tarkoittamaan henkilötietojen käsittelyyn.
d. Asiakkaalla on oikeus saada tietää, mitä alihankkijoita palveluntarjoaja käyttää henkilötietojen käsittelyssä. Sopimuksen laatimishetkellä palveluntarjoaja käyttää mm. seuraavia alihankkijoita: UpCloud (palvelimet), Google (pilvipalvelut), Dropbox (pilvipalvelut), Basecamp (verkkopohjainen projektinhallintaohjelma).

6. Henkilötietojen tietoturvaloukkauksista ilmoittaminen

a. "Henkilötietojen tietoturvaloukkauksella" tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen,
muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Palveluntarjoajan on ilmoitettava henkilötietojen tietoturvaloukkauksesta asiakkaalle ilman aiheetonta viivytystä siitä, kun palveluntarjoaja tai sen käyttämä alihankkija on saanut loukkauksen tietoonsa. Elleivät osapuolet ole toisin sopineet, ilmoitus tulee tehdä asiakkaan nimeämälle yhteyshenkilölle.
b. Palveluntarjoajan on ilman aiheetonta viivytystä toimitettava asiakkaalle tieto henkilötietojen tietoturvaloukkaukseen johtaneista olosuhteista, loukkauksen kohteena olevista henkilötiedoista ja rekisteröidyistä sekä muista siihen liittyvistä sekoista, jotka ovat kohtuudella palveluntarjoajan saatavissa. Tiedot voidaan toimittaa vaiheittain selvitystyön edetessä.

7. Salassapito

a. Palveluntarjoaja sitoutuu a) pitämään luottamuksellisena kaikki asiakkaalta vastaanottamansa henkilötiedot, b) varmistamaan, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta, sekä c) varmistamaan, että henkilötietoja ei siirretä kolmansille osapuolille ilman asiakkaan etukäteistä kirjallista suostumusta, ellei palveluntarjoaja ole velvollinen ilmaisemaan tietoja pakottavan lainsäädännön tai viranomaisen määräyksen perusteella.
b. Mikäli rekisteröity tai viranomainen tekee henkilötietoja koskevan pyynnön, palveluntarjoajan tulee, niin pian kuin on kohtuullisesti mahdollista, ilmoittaa asiakkaalle tällaisesta pyynnöstä ennen pyyntöön vastaamista tai muiden henkilötietoja koskevien toimenpiteiden suorittamista. Mikäli toimivaltainen viranomainen vaatii välitöntä vastausta, ilmoittaa palveluntarjoaja asiakkaalle pyynnöstä niin pian kuin on mahdollista pyyntöön vastaamisen jälkeen, ellei pakottavasta laista muuta johdu.

8. Vastuunrajoitus

a. Tähän sopimukseen sovelletaan ensisijaisesti tämän sopimuksen allekirjoitushetkellä mahdollisesti osapuolten välillä voimassaolevien muiden sopimusten mukaista vastuunrajoitusta ja vahingonkorvausvelvollisuutta.
b. Muussa tapauksessa palveluntarjoaja vastaa vain huolimattomuudestaan johtuvista välittömistä asiakkaan osoittamista vahingoista. Palveluntarjoaja ei vastaa välillisistä tai kolmansien osapuolten vahingoista.
c. Palveluntarjoajan vahingonkorvausvastuu rajoittuu enintään 10 %:iin palveluntarjoajan vahingon toteamista edeltävän vuoden aikana asiakkaalta laskuttamien palvelujen ja tuotteiden verottomasta myyntihinnasta.
d. Vaatimukset palveluntarjoajalle on tehtävä kirjallisesti viipymättä. Jos virhe tai puute havaitaan tai on havaittavissa välittömästi, huomautus on tehtävä heti ja viimeistään 14 päivän kuluessa. Jos eriteltyä vaatimusta ei ole tehty palveluntarjoajalle kolmen kuukauden kuluessa vahingon toteamisesta sekä viimeistään vuoden kuluessa kyseisestä henkilötietojen käsittelytoimesta, ei korvausta makseta.
e. Kaikissa tapauksissa kumpikin osapuoli vastaa itse valvontaviranomaisen tai toimivaltaisen tuomioistuimen sille määräämistä hallinnollisista sanktioista, jotka ovat ko. valvontaviranomaisen tai tuomioistuimen päätöksen mukaisesti seurausta siitä, että kyseinen osapuoli ei ole noudattanut sille tietosuojalainsäädännössä asetettuja vaatimuksia tai velvoitteita.

9. Voimassaolo ja sopimuksen purkaminen

a. Tämä sopimus on voimassa toistaiseksi niin kauaa, kun osapuolten välillä vallitsee sopimuksessa tarkoitettu suhde, johon liittyy asiakkaan henkilötietojen käsittelyä.
b. Asiakkaalla on oikeus purkaa sopimus 14 päivän irtisanomisajalla. Irtisanomisajan päättymisen jälkeen palveluntarjoaja saa tehdä henkilötiedoille vain välttämättömiä toimenpiteitä, jotka liittyvät käsittelyn lopettamiseen.
c. Mikäli asiakas rikkoo tätä sopimusta, palveluntarjoajalla on oikeus purkaa sopimus, mikäli asiakas ei 7 päivän kuluessa palveluntarjoajan kehotuksesta ole korjannut menettelyään ja huolehtinut kaikkiin toimiin ryhtymisestä rikkomuksesta johtuvien seurausten välttämiseksi tai korjaamiseksi.
d. Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän sopimuksen voimassaolon päättymisestä riippumatta, jäävät voimaan tämän sopimuksen päättymisestä riippumatta.

Tarkennukset ja ohjeet henkilötietojen käsittelyyn

Käsiteltävät rekisteröityjen ryhmät ja/tai henkilötiedot:
   
Henkilötietojen käsittelyn tarkoitus:

   
Asiakkaan antamat ohjeet henkilötietojen käsittelylle:


Ohjetiedosto:
 

Sopimuksen hyväksyjän nimi pakollinen
Sopimuksen hyväksyjän sähköpostiosoite pakollinen
Lähetämme vahvistuksen sopimuksesta tähän sähköpostiosoitteeseen