Tietojenkäsittelysopimus

KÄYTTÖOIKEUSSOPIMUKSEN LIITE: TIETOJENKÄSITTELYSOPIMUS

TIETOJENKÄSITTELYSOPIMUS

Tämä tietojenkäsittelysopimus (”TKS”) on osa Aksios Corporation Oy:n (y-tunnus 1860232-5, Valimotie 13 A, 00380 Helsinki (“Toimittaja”) ja Asiakkaan (”Rekisterinpitäjä”) välistä Käyttöoikeussopimusta.

  1. Määritelmät

“Asiakas” tarkoittaa ohjelmiston / sovelluksen käyttöoikeuden ostanutta ja käyttöoikeussopimuksen hyväksynyttä asiakasta.

”Alihankkija” tarkoittaa käsittelijää, joka Käsittelee käyttöoikeussopimuksen alaisia henkilötietoja kokonaan tai osittain käsittelijän lukuun ja tämän toimeksiannosta.

”Henkilötieto” tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä

tietoja.

”Käsittelijä” tarkoittaa Aksiosta, joka käsittelee henkilötietoja asiakkaan hankkiman ohjelmiston / sovelluksen käyttöoikeussopimuksen voimassaolon ajan.

”Käsittelyllä” tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

”Ohjelmisto” tarkoittaa Aksioksen valmisohjelmiston ohjelmistoversiota, jonka asiakas on ostanut.

”Osapuolet” tarkoittaa Aksiosta ja asiakasta yhdessä, kukin erikseen ”Osapuoli”.

”Rekisterinpitäjä” tarkoittaa asiakasta, joka määrittelee käsittelyn tarkoitukset ja keinot.

”Tietosuojalainsäädäntö” tarkoittaa Euroopan unionin yleistä tietosuoja-asetusta (Asetus 2016/679 EU) sekä kulloinkin voimassa olevia käyttöoikeussopimukseen ja tämän TKS:n mukaiseen käsittelyyn sovellettavia tietosuojalakeja.

”Toimitus” tarkoittaa ohjelmiston käytön aloittamista.

“Käyttöoikeussopimus” tarkoittaa toimittajan ja asiakkaan välillä tehtyä toimitusta koskevaa sopimusta.

  1. Sopimuksen kohde ja tarkoitus

2.1 Tätä TKS:ta sovelletaan kaikkeen käyttöoikeussopimuksen nojalla tapahtuvaan henkilötietojen käsittelyyn.

2.2 Tämä TKS muodostaa tietosuojalainsäädännön edellyttämän sitovan henkilötietojen käsittelyä koskevan sopimuksen osapuolten välille.

2.3 Käsittelijän suorittama käsittely rajautuu käyttöoikeussopimuksen mukaisiin käsittelytoimiin ja ohjelmiston toiminnallisuuksiin. Rekisterinpitäjä määrittelee ohjelmistossa käsiteltävien henkilötietojen tyypin ja määrän, rekisteröityjen ryhmät sekä henkilötietojen käyttötarkoitukset ja keinot.

  1. Käsittelijän oikeudet ja velvollisuudet

3.1 Käsittelijä sitoutuu noudattamaan henkilötietojen käsittelyssä tietosuojalainsäädännössä asetettuja velvoitteita ja hyvää tietojenkäsittelytapaa.

3.2 Käsittelijällä on velvollisuus käsitellä ohjelmistoon talletettuja henkilötietoja rekisterinpitäjän antamien dokumentoitujen, lainmukaisten ja kohtuullisten ohjeiden mukaisesti. Selvyyden vuoksi todetaan, että rekisterinpitäjän katsotaan aina ohjeistaneen käsittelijää suorittamaan käyttöoikeussopimuksen mukaiset käsittelytoimet. Mikäli rekisterinpitäjän ohjeen ja tietosuojalainsäädännöstä johtuvan oikeudellisen vaatimuksen välillä on ristiriita, käsittelijällä on velvollisuus noudattaa ensisijaisesti tietosuojalainsäädännöstä johtuvaa oikeudellista vaatimusta, missä tapauksessa käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta edellyttäen, että tietosuojalainsäädännössä ei kielletä tällaista tiedottamista.

3.3 Käsittelijä varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja käsittelijän puolesta ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus, joka on voimassa myös käyttöoikeussopimuksen päättymisen jälkeen.

3.4 Käsittelijä varmistaa, että henkilötietoja ei luovuteta kolmansille osapuolille ilman rekisterinpitäjän etukäteistä kirjallista suostumusta, ellei käsittelijä ole velvollinen ilmaisemaan tietoja pakottavan lainsäädännön tai viranomaisen määräyksen perusteella.

3.5 Käsittelijä sitoutuu mahdollisuuksien mukaan ja ottaen huomioon käsittelyn luonteen auttamaan rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään rekisterinpitäjän velvollisuuden vastata rekisteröityjen pyyntöihin, jotka koskevat heidän tietosuojalainsäädäntöön perustuvien oikeuksiensa toteuttamista.

3.6 Käsittelijä sitoutuu ottaen huomioon käsittelyn luonteen ja käsittelijän saatavilla olevat tiedot auttamaan rekisterinpitäjää varmistamaan, että sille tietosuojalainsäädännössä asetettuja velvollisuuksia noudatetaan. Selvyyden vuoksi todetaan, että käsittelijä on velvollinen avustamaan rekisterinpitäjää vain tietosuojalainsäädännön tai muun pakottavan lainsäädännön asettamien velvoitteiden mukaisessa laajuudessa.

3.7 Käsittelijä ylläpitää tarvittavia selosteita käsittelytoimista ja saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen käsittelijälle säädettyjen velvollisuuksien noudattamisen osoittamiseksi tietosuojalainsäädännön mukaisesti.

3.8 Ellei toisin ole sovittu, käsittelijällä on oikeus veloittaa yllä 3.5 ja 3.6 kohdissa kuvatuista toimista aiheutuvat kustannukset rekisterinpitäjältä.

  1. Rekisterinpitäjän velvollisuudet

4.1 Käyttäessään ohjelmistoa rekisterinpitäjä sitoutuu noudattamaan henkilötietojen käsittelyssä tietosuojalainsäädännössä ja muussa pakottavassa lainsäädännössä asetettuja velvoitteita sekä hyvää tietojenkäsittelytapaa.

4.2 Rekisterinpitäjällä on velvollisuus antaa käsittelijälle dokumentoidussa muodossa käsittelyä koskevat kattavat ja lainmukaiset ohjeet. Käyttöoikeussopimuksesta poikkeavista ohjeista on aina sovittava osapuolten välillä kirjallisesti erikseen ja käsittelijä voi laskuttaa rekisterinpitäjää niiden toteuttamisesta erikseen.

4.3 Rekisterinpitäjä on vastuussa siitä, että kaikille rekisteröidyille, joiden henkilötietoja ohjelmiston avulla käsitellään, on toimitettu tietosuojalainsäädännön edellyttämät tiedot ja että henkilötietojen käsittely, mukaan lukien ohjelmiston käytön mahdollisesti edellyttämä henkilötietojen siirtäminen käsittelijälle, on lainmukaista koko käyttöoikeussopimuksen ja tämän TKS:n voimassaolon ajan.

4.4 Rekisterinpitäjä on velvollinen varmistamaan ennen käyttöoikeussopimuksen ja tämän TKS:n solmimista, että tämän TKS:n mukainen henkilötietojen käsittely täyttää rekisterinpitäjälle asetetut henkilötietojen käsittelyä koskevat vaatimukset, mukaan lukien tietoturvavaatimukset.

  1. Käsittelyn turvallisuus ja henkilötietojen tietoturvaloukkaukset

5.1 Käsittelijä toteuttaa ja ylläpitää asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi henkilötietojen vahingossa tapahtuvalta tai laittomalta tuhoamiselta, häviämiseltä, muuttamiselta tai luvattomalta luovuttamiselta tai pääsyltä henkilötietoihin.

5.2 Käsittelijä sitoutuu ilman aiheetonta viivytystä ilmoittamaan rekisterinpitäjälle kaikista käsittelijän tai sen käyttämän alihankkijan havaitsemista henkilötietojen tietoturvaloukkauksista, jotka kohdistuvat käyttöoikeussopimuksen nojalla käsiteltäviin henkilötietoihin. Elleivät osapuolet ole toisin sopineet, ilmoitus tulee tehdä rekisterinpitäjän ilmoittamalle yhteyshenkilölle.

  1. Alihankkijat

6.1 Käsittelijä varmistaa, että sen mahdollisesti käyttämät alihankkijat sitoutuvat käsittelemään henkilötietoja tietosuojalainsäädännön, tämän TKS:n ja rekisterinpitäjän antamien ohjeiden mukaisesti.

6.2 Käsittelijällä on oikeus käyttää alihankkijoita tämän TKS:n mukaisessa henkilötietojen käsittelyssä. käsittelijä sitoutuu solmimaan kirjallisen sopimuksen alihankkijoiden kanssa käyttäessään alihankkijoita tämän sopimuksen mukaiseen käsittelyyn. Käsittelijä vastaa käyttämiensä alihankkijoiden TKS:n mukaisten velvoitteiden täyttämisestä suhteessa rekisterinpitäjään.

6.3 Käsittelijä tiedottaa rekisterinpitäjälle ennalta kaikista suunnitelluista muutoksista, jotka koskevat alihankkijoiden lisäämistä tai vaihtamista. Mikäli rekisterinpitäjä ei hyväksy suunniteltua muutosta ja alihankkijan muutos vaikuttaa käyttöoikeussopimuksen mukaiseen henkilötietojen käsittelyyn, käsittelijällä on oikeus irtisanoa käyttöoikeussopimus noudattaen kymmenen (10) päivän irtisanomisaikaa.

  1. Henkilötietojen siirtäminen EU:n tai ETA:n ulkopuolelle

7.1 Käsittelijä voi siirtää henkilötietoja Euroopan unionin (”EU”), Euroopan talousalueen (”ETA”) tai muiden maiden, joiden Euroopan Komissio on todennut takaavan riittävän tietosuojan tason (yhdessä ”Hyväksytyt Alueet”), ulkopuolelle käyttöoikeussopimuksen ehtojen mukaisesti. Käsittelijä noudattaa valvontaviranomaisten tai muiden viranomaisten asettamia vaatimuksia, jotka ovat edellytyksenä sellaisen viranomaisluvan saamiselle, jonka nojalla henkilötietoja voidaan siirtää hyväksyttyjen alueiden ulkopuolelle.

7.2 Ennen henkilötietojen siirtoa hyväksyttyjen alueiden ulkopuolelle käsittelijä toteuttaa asianmukaiset tietosuojalainsäädännön edellyttämät suojatoimet ja mikäli tarpeen, solmii käyttämänsä alihankkijan kanssa sopimuksen henkilötietojen siirrosta käyttäen Euroopan Komission hyväksymiä Mallisopimuslausekkeita (”Mallisopimuslausekkeet”). Rekisterinpitäjä valtuuttaa käsittelijän sopimaan mallisopimuslausekkeiden soveltamisesta hyväksyttyjen alueiden ulkopuolelle sijoittautuneen alihankkijan kanssa rekisterinpitäjän puolesta.

  1. Auditointi

8.1 Rekisterinpitäjällä on omalla kustannuksellaan oikeus auditoida käsittelijän TKS:n alainen toiminta (”Auditointi”). Rekisterinpitäjän on myös korvattava käsittelijälle auditoinnista mahdollisesti aiheutuneet kustannukset.

8.2 Osapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ennen sen suorittamista. Kaikkien auditointiin osallistuvien henkilöiden tulee allekirjoittaa käsittelijän edellyttämä salassapitositoumus käsittelijän hyväksi. Mikäli tietosuojalainsäädännössä ei toisin edellytetä, rekisterinpitäjällä on oikeus suorittaa korkeintaan yksi auditointi kahdentoista (12) kuukauden ajanjaksoa kohden.

  1. Vastuu

9.1 Osapuolet ovat vastuussa tietosuojalainsäädännöstä, muusta pakottavasta lainsäädännöstä sekä tästä TKS:sta johtuvien velvoitteiden täyttämisestä omassa toiminnassaan. Kumpikin osapuoli vastaa siten itse valvontaviranomaisen määräämistä hallinnollisista sakoista tai toimivaltaisen tuomioistuimen rekisteröityjen tai muiden kolmansien vaatimuksien johdosta tuomitsemista vahingonkorvauksista, jotka ovat asianomaisen viranomaisen tai tuomioistuimen päätöksen mukaan seurausta tietosuojalainsäädännöstä, muusta pakottavasta lainsäädännöstä tai tästä TKS:sta johtuvien velvoitteiden vastaisesta osapuolen toiminnasta tai laiminlyönnistä. Muilta osin vastuu osapuolten välillä määräytyy käyttöoikeussopimuksessa sovittujen vastuu- ja vastuunrajoitusehtojen mukaisesti.

  1. Sopimuksen voimassaolo ja päättyminen

10.1 Tämä TKS on voimassa niin pitkään kuin käyttöoikeussopimus on voimassa tai niin pitkään, kuin käsittelijä lopettaa Käsittelyn, soveltaen näistä myöhäisempää ajankohtaa.

10.2 Käyttöoikeussopimuksen päätyttyä käsittelijä sitoutuu rekisterinpitäjän ohjeiden mukaisesti poistamaan tai palauttamaan kaikki henkilötiedot rekisterinpitäjälle ja poistamaan olemassa olevat jäljennökset, paitsi jos sovellettava pakottava lainsäädäntö vaatii säilyttämään henkilötiedot. Poistamista ja palauttamista koskevista käytännöistä voidaan sopia tarkemmin osapuolten välillä. Käsittelijällä on joka tapauksessa oikeus poistaa henkilötiedot ilman erillistä ilmoitusta viimeistään kolmen (3) kuukauden kuluttua käyttöoikeussopimuksen päättymisestä.