Tietojenkäsittelysopimus2018-06-18T07:16:12+00:00

1. TARKOITUS JA TAVOITTEET

Osapuolet sopivat tällä Tietojenkäsittelysopimuksella tässä sopimuksessa kuvattujen palveluiden tuotantoon liittyvästä henkilötietojen käsittelystä. Sopimuksen mukaisessa palveluiden tuotannossa Asiakas (jäljempänä myös ”Rekisterinpitäjä”) toimii henkilötietojen rekisterinpitäjänä ja Mtech Digital Solutions Oy (jäljempänä ”Käsittelijä”) toimii henkilötietojen käsittelijänä Rekisterinpitäjän lukuun.

Tämä sopimus vastaa EU:n tietosuoja-asetuksen 28. Artiklan mukaista sopimusta, jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, sekä Rekisterinpitäjän, että Käsittelijän velvollisuudet ja oikeudet.

Käsittelijän tarjoamat palvelut Rekisterinpitäjälle edellyttävät henkilötietojen käsittelyä. Osapuolet hyväksyvät sen, että henkilötietojen käsittely edellyttää tietosuojaa koskevan lainsäädännön noudattamista.

Tämä Tietojenkäsittelysopimus koskee kaikkea Käsittelijän suorittamaa käsittelyä Rekisterinpitäjän lukuun, kuten henkilötietojen keräämistä, tallentamista, järjestelmistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

Rekisterinpitäjä on yksinomainen rekisterinpitäjä ja sen tulee yksin vastata siitä, että on olemassa peruste henkilötietojen käsittelylle ja että tietoja voidaan siirtää. Rekisterinpitäjä vastaa yksin myös kaikista rekisteröinti- ym. velvoitteista, mitkä EU:n tietosuoja-asetus ja kulloinkin voimassaoleva lainsäädäntö asettavat.

Osana tätä Tietojenkäsittelysopimusta noudatetaan aina kulloinkin voimassaolevia Mtech Digital Solutions Oy:n MtechMap yleisiä sopimusehtoja.

2. MÄÄRITELMÄT

Tietosuojalainsäädännöllä tarkoitetaan tässä sopimuksessa EU:n tietosuoja-asetus (2016/679/EU)) sekä muuta kulloinkin voimassa olevaa henkilötietolainsäädäntöä.

Termien, joita ei ole määritelty tässä sopimuksessa, määritelmät ovat samat kuin kulloisessakin Tietosuojalainsäädännössä.
Tässä liitteessä käytetyt termit vastaavat Euroopan Unionin tietosuoja-asetuksessa määriteltyjä termejä. Käsittelijällä on oikeus muuttaa näitä ehtoja, mikäli se lainsäädännössä tai sen tulkinnassa tapahtuneen muutoksen tai Käsittelijän toimintaympäristössä tai liiketoiminnassa tapahtuneiden muutosten vuoksi on perusteltua.

3. HENKILÖTIETOJEN KÄSITTELY

3.1. Käsittelyn kohde ja kesto

Käsittelyn kohteena on Rekisterinpitäjän luovuttamat tiedot palvelun käyttöönoton yhteydessä. Käsittely kesto määräytyy sopimuksen voimassaolon mukaan.

Käsittelijä poistaa tai palauttaa, Rekisterinpitäjän valinnan mukaisesti, henkilötietojen käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot Rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos voimassa oleva lainsäädäntö vaatii säilyttämään henkilötiedot.

3.2. Käsittelyn luonne ja tarkoitus

Henkilötietojen käsittelyn tarkoituksena on MtechMAP palvelun tuottaminen sopimuksen mukaisesti. Henkilörekisteri sijaitsee EU:n alueella.

Tämä Liite ei anna Käsittelijälle muita oikeuksia Rekisterinpitäjän henkilötietoihin kuin oikeuden käsitellä niitä Palvelun tuottamiseksi.

3.3. Henkilötietojen tyyppi ja rekisteröityjen ryhmät

Rekisterissä on tietoina Asiakkaan asiakasrekisteritietoja.

Käsiteltäviä tietoja ovat asiakasnumero, asiakasryhmä, asiakasluokka, asiakasyhteystiedot sisältäen postiosoitteen, laskutustiedot, puhelinnumeron, sähköpostisoitteen, asiakkaan yhteyshenkilön nimen, yhteyshenkilön puhelinnumeron ja sähköpostiosoitteen.

Tämä Liite ei anna Käsittelijälle muita oikeuksia Rekisterinpitäjän henkilötietoihin kuin oikeuden käsitellä niitä Rekisterinpitäjän lukuun Rekisterinpitäjän määrittämien käyttötarkoituksien mukaisesti

4. REKISTERINPITÄJÄN YLEISET TIETOSUOJAVELVOLLISUUDET JA –OIKEUDET

Rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä käsittelee henkilötietoja tietosuoja-asetuksen ja muun tietosuojaa koskevan lainsäädännön mukaisesti.

Rekisterinpitäjä vastaa siitä, että henkilötietojen käsittelyn tarkoitus ja perusteet ovat tietosuojaasetuksen ja muun tietosuojaa koskevan lainsäädännön mukaisia, mukaan lukien se, että henkilötiedot on kerätty tietosuoja-asetuksen ja muun tietosuojaa koskevan lainsäädännön
mukaisesti ja että Asiakkaalla on oikeus siirtää henkilötiedot Käsittelijän käsiteltäväksi.

Rekisterinpitäjän tulee toimia hyvässä yhteistyössä Käsittelijän kanssa ja vastata viipymättä Käsittelijän pyytämiin tietosuojaa koskeviin ohje- ja tietopyyntöihin tai hyväksyä, valtuuttaa ja käsitellä viipymättä sellaiset päätökset, jotka ovat tarpeen sopimuksen mukaisissa palveluissa.

Rekisterinpitäjällä on oikeus suorittaa tietosuoja-auditointeja ja -tarkastuksia Käsittelijälle, joko Rekisterinpitäjän omasta toimesta tai Rekisterinpitäjän valtuutetun kolmannen osapuolen toimesta niiden ehtojen mukaisesti kuin tässä Tietojenkäsittelysopimuksessa on tarkemmin
sovittu.

Rekisterinpitäjä vastaa siitä, että sillä on oikeus ja tarvittavat suostumukset henkilötietojen käsittelyyn. Rekisterinpitäjä vastaa käsittelytoimiin liittyvän selosteen laatimisesta ja saatavilla pidosta sekä rekisteröityjen informoinnista.

5. KÄSITTELIJÄN YLEISET TIETOSUOJAVELVOLLISUUDET JA –OIKEUDET

Käsittelijä sitoutuu käsittelemään henkilötietoja tämän tietojenkäsittelysopimuksen ja Rekisterinpitäjän antamien dokumentoitujen kirjallisten ohjeiden mukaisesti, sekä noudattaen voimassa olevaa lainsäädäntöä. Käsittelijä ei ole velvollinen noudattamaan sellaisia
Rekisterinpitäjän antamia ohjeita, jotka ovat lainvastaisia.

Käsittelijä sitoutuu auttamaan Rekisterinpitäjää tietosuojavelvoitteiden toteuttamisessa ottaen kuitenkin huomioon henkilötietojen käsittelyn luonne ja Käsittelijän saatavilla olevat tiedot.

Erityisesti Käsittelijä sitoutuu toteuttamaan ja auttamaan Rekisterinpitäjää:

  • henkilötietojen käsittelyn turvallisuuden toteuttamisessa toteuttamalla henkilötietojen käsittelyn riskiin suhteutettuja, asianmukaisia teknisiä ja organisatorisia toimenpiteitä;
  • tietosuoja-asetuksen artiklan 32 mukaiset tietoturvatoimenpiteet;
  • henkilötietojen tietoturvaloukkaukseen liittyvän ilmoitusvelvollisuuden toteuttamisessa;
  • tietosuojaa koskevan vaikutustenarvioinnin toteuttamisessa;
  • valvontaviranomaisen tietosuojaa koskevan vaikutustenarvioinnin perusteella tehtävään ennakkokuulemiseen liittyvissä asioissa; ja
  • dokumentoinnin, kuten tietosuojaselosteen, luomisessa Rekisterinpitäjän osoitusvelvollisuuden täyttämiseksi.

Käsittelijä ilmoittaa Rekisterinpitäjälle välittömästi havaituista tietoturvaloukkauksista, sekä toimittaa tiedot tietoturvaloukkauksesta ja tehdyistä korjaavista toimenpiteistä. Käsittelijä pitää Rekisterinpitäjän jatkuvasti ajan tasalla tietoturvaloukkauksista ja tehdyistä korjaavista
toimenpiteistä.

Käsittelijällä on oikeus periä kohtuullinen korvaus, mikäli avun antaminen edellyttää käsittelijän normaalista toiminnasta poikkeavia toimia.

Käsittelijä sallii Rekisterinpitäjän tai muun Rekisterinpitäjän valtuuttaman auditoijan tai tarkastajan suorittamat tietosuojavelvoitteisiin liittyvät auditoinnit ja tarkastukset, sekä osallistuu niihin.

Käsittelijällä on oikeus käyttää alihankkijoita. Käsittelijä on vastuussa alihankkijoista. Käsittelijä vastaa käyttämiensä alihankkijoiden suorittamasta henkilötietojen käsittelystä kuin omastaan.

6. OHJEET HENKILÖTIETOJEN KÄSITTELYLLE

Käsittelijä noudattaa seuraavia Rekisterinpitäjän antamia ohjeita henkilötietojen käsittelyssä:

  • Käsittelijän tulee noudattaa tietosuojalainsäädännön mukaisia käsittelyperiaatteita.
  • Käsittelijän tietosuojan ja tietoturvan hallinnan sekä tietoturvamenettelyjen tulee noudattaa alan parhaita käytäntöjä.
  • Ottaen huomioon käsittelytoimen luonteen Käsittelijä auttaa Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat
    rekisteröidyn oikeuksien käyttämistä.
  • Käsittelijä sitoutuu henkilötietojen käsittelyä koskeviin tietosuoja-asetuksen ja muun henkilötietoja koskevan lainsäädännön vaatimuksiin. Vaatimusten noudattamisella Käsittelijä osoittaa toteuttavansa riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöön panemiseksi niin, että käsittely täyttää lainsäädännön vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.
  • Käsittelijä sitoutuu varmistamaan, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä muutoin koskee asianmukainen lakisääteinen salassapitovelvollisuus.

7. AUDITOINNIT

Rekisterinpitäjällä tai sen nimeämällä riippumattomalla asiantuntijalla, joka ei voi olla Käsittelijän kilpailija, on oikeus tarkastaa sopimuksen voimassaoloaikana, että Käsittelijä noudattaa tässä Tietosuojasopimuksessa sille osoitettuja velvoitteita. Tarkastuksen kohteena on Rekisterinpitäjän henkilötietojen käsittelyyn liittyvä Käsittelijän tarpeellinen aineisto sekä henkilötietojen käsittelyssä käytettävät Käsittelijän järjestelmät ja toimitilat.

Tarkastus voidaan suorittaa enintään kerran vuodessa, ellei Rekisterinpitäjällä ole perusteltua syytä suorittaa tarkastusta useammin, ja siitä tulee ilmoittaa Käsittelijälle kirjallisesti vähintään 60 kalenteripäivää etukäteen. Käsittelijä osallistuu tarkastuksen toteuttamiseen. Tarkastuksesta ei saa aiheutua haittaa Käsittelijän palvelutuotannolle, eikä tarkastuksen suorittajalla ole oikeutta päästä käsiksi Käsittelijän muiden asiakkaiden tai yhteistyökumppaneiden tietoihin. Auditoinnin suorittajan on sitouduttava pitämään salassa auditoinnin yhteydessä saamansa tiedot. Tarkastus tulee tehdä normaalin työajan puitteissa.

Rekisterinpitäjä vastaa tarkastuksesta aiheutuvista kustannuksista, paitsi jos tarkastuksessa havaitaan, että Käsittelijä on rikkonut tai muutoin laiminlyönyt noudattaa tätä Tietojenkäsittelysopimusta tai sovellettavaa tietosuojalainsäädäntöä. Käsittelijä sitoutuu korjaamaan kaikki tarkastuksessa havaitut puutteet, rikkomukset ja laiminlyönnit välittömästi ja omalla kustannuksellaan.

8. HENKILÖTIETOJEN KÄSITTELYSTÄ AIHEUTUNEET VAHINGOT

Kumpikin Sopijapuoli vastaa itse sille soveltuvan tietosuojalainsäädännön mukaan kuuluvista velvollisuuksista, vahingonkorvausvastuista ja hallinnollisista sakoista.

Korvausvelvollisuus ja vastuunrajoitukset Sopijapuolten välillä henkilötietojen käsittelystä mahdollisesti aiheutuvista vahingoista määräytyvät IT2018 YSE – Yleiset sopimusehdot kohdan 13 ja siinä tarkoitettujen palveluita koskevien vastuunrajoitusten ja muiden kyseisessä kohdassa mainittujen ehtojen mukaan.

9. VOIMASSAOLO

Tämä tietojenkäsittelysopimus astuu voimaan, kun Rekisterinpitäjä hyväksyy sopimuksen MtechMAP verkkopalvelussa.
Voimassaoloaika päättyy automaattisesti välittömästi sen jälkeen, kun Käsittelijä ei enää käsittele henkilötietoja Rekisterinpitäjän lukuun sopimuksen alla. Jos Käsittelijälle on jäänyt henkilötietoja tai Käsittelijällä on lakisääteinen velvoite säilyttää henkilötietoja, Käsittelijän tulee suojata ja käsitellä henkilötietoja tämän Liitteen ja tietosuojalainsäädännön velvoitteiden mukaisesti.