Sopimus henkilötietojen käsittelystä (DPA)
Sopimuksen osapuolet
Tämä sopimus on osa PRO Clean Partner Oy:n (PRO Clean) yleisiä toimitusehtoja. Tämä sopimus tulee voimaan, kun rekisterinpitäjä tai tämän edustaja, toimittaa henkilötietoaineiston toimittajalle.
Asiakas
Jäljempänä "Asiakas"
PRO Clean Partner Oy
Y-tunnus: 3276750-5
Jäljempänä "Toimittaja"
Jäljempänä yhdessä "Osapuolet"
Yleiset sopimusehdot
Tällä sopimuksella osapuolet sopivat henkilötietojen toimittamisesta, säilyttämisestä, prosessoinnista sekä tuhoamisesta.
Toimittajan asema, oikeudet ja velvollisuudet
Toimittaja ja asiakas sopivat tällä sopimuksella käyttöoikeuksien antamisesta asiakkaan toimittamiin henkilötietoihin. Näiden henkilötietojen perusteella toimittajan tehtävänä on
a) valmistaa ja toimittaa asiakkaalle tilatut tuotteet. Tuotteiden valmistamiseksi, toimittajalle toimitetaan tietoaineisto, joka sisältää henkilötietoja. Toimittaja säilyttää näitä henkilötietoja omassa järjestelmässään toimeksiannon päättymisestä 1 kk. Toimittaja on henkilötietolain tarkoittama käsittelijä.
b) tuottaa palveluita, joiden käyttäminen edellyttää Toimittajalta henkilötietojen käsittelyä. Toimittaja säilyttää näitä henkilötietoja omassa järjestelmässään asiakkuuden keston ajan.
Toimittaja avustaa asiakasta mahdollisuuksien mukaan rekisteröityjen oikeuksien toteuttamisessa.
Henkilötietoja käytetään vain siihen, mitä palvelujen tuottaminen edellyttää. Toimittajan vastuulla on varmistaa, että toimittajan valmistamille tuotteille painetaan henkilötietorekisteristä saatavien tietojen mukaiset tiedot. Asiakkaan vastuulla on toimittaa Toimittajalle vain vaaditut tiedot ja poistaa ylimääräiset tarpeettomat henkilötiedot. Toimittaja voi tämän tarkoituksen toteuttamiseksi suorittaa tarpeellisia käsittelytoimenpiteitä, kuten esimerkiksi tarkastella, poistaa tai muokata toimitettuja henkilötietoja.
Toimittaja huolehtii siitä, että toimittajan tuotanto- ja varastotiloihin pääsevät vain toimittajan nimeämät henkilöt. Toimittajan henkilöstöllä on salassapitovelvollisuus ja he ovat allekirjoittaneet vaitiolositoumuksen.
Toimittajan tietokoneiden virustorjunta ja palomuurit ja toimitilojen kulunvalvonta on järjestetty tarkoituksenmukaisesti. Toimittajan henkilöstöä on riittävä määrä ja se on saanut perehdytyksen ja koulutuksen sekä tietosuojaan että tietoturvaan liittyen. Toimittaja tekee säännöllisesti vaikutusten arviointia toiminnastaan. Toimittaja sitoutuu siihen, että kyseisiä henkilötietoja palvelujen tuottamisessa, tuotannossa ja varastossa käsittelevät vain ne henkilöt, joiden työtehtävien hoitaminen sitä edellyttää. Toimittaja vastaa siitä, että toimittajan muut asiakkaat eivät pääse käsiksi asiakkaan tietoihin.
Toimittaja toteuttaa tarpeelliset tekniset ja organisatoriset toimenpiteet käsittelyn turvallisuuden varmistamiseksi. Asiakkaalla on oikeus saada tietoja henkilötietojen käytöstä ja säilytyksestä. Toimittaja antaa pyynnöstä lisätietoja käytössä olevista teknisistä ja organisatorisista turvatoimista ja sallii niiden tarkastukset erikseen sovittavalla tavalla.
Toimittajalla on mahdollisuus käyttää alihankkijoita ilman erillistä sopimista asiakkaan kanssa. Toimittajalla on myös mahdollisuus siirtää sopimus kolmannelle osapuolelle asiakkaan kirjallisella suostumuksella. Mahdollisia alihankkijoita koskevat tietosuojan ja tietoturvan osalta samat vaatimukset kuin varsinaista toimittajaa.
Toimittajalle kuuluvat rekisterinkäsittelyyn liittyvät tehtävät henkilötietojen käsittelyssä. Toimittajan on huolehdittava henkilötietojen ylläpidosta, suojaamisesta, tietoturvallisuudesta ja tietojen säilyttämisestä asiakkaan lukuun, sekä tarkastusoikeuden toteuttamisesta. Toimittaja vastaa siitä, että se toteuttaa osaltaan tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi, asiattomien pääsyn tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta luvattomalta käsittelyltä.
Toimittaja ei saa käyttää tietoja hyväkseen tai luovuttaa henkilötietoja kenellekään muuten kuin sopimuksen tarkoittamassa laajuudessa ja sopimuksen mukaista tehtävää hoitaessaan ilman kirjallista ennakkolupaa, ellei tähän ole lakiin perustuvaa velvollisuutta. Toimittaja voi käyttää tietoja vain toimeksiantosopimuksessa määritellyillä tavoilla ja sopimuksessa määriteltyihin tarkoituksiin.
Toimittaja avustaa Asiakasta mahdollisuuksien mukaan täyttämään velvollisuuden vastata GDPR:ssä määriteltyihin pyyntöihin, koskien rekisteröidyn oikeuksien käyttämistä, kuten:
a) oikeus saada pääsy henkilötietoihin;
b) oikeus henkilötietojen oikaisemiseen ja poistamiseen;
c) oikeus henkilötiedon käsittelyn rajoittamiseen;
d) oikeus siirtää henkilötietoja järjestelmästä toiseen;
e) oikeus vastustaa henkilötietojen käsittelyä.
sekä GDPR:ssä määriteltyjen rekisterinpitäjän velvollisuuksien täyttämisessä, kuten:
f) asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen;
g) avustaminen tietoturvaloukkauksista ilmoittamisessa valvontaviranomaiselle ja rekisteröidylle;
h) osallistuminen tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin tekemiseen ja valvontaviranomaisen ennakkokuulemiseen.
Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit Toimittajan on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten:
i) henkilötietojen pseudonymisointi ja salaus;
j) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
k) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
l) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Toimittaja avustaa yllä mainituissa tapauksissa Asiakasta tämän esittämän pyynnön ja ilmoittamien tietojen perusteella käyttäen omia teknisiä ratkaisuja ja tietoturvaohjeitaan. Toimittaja ilmoittaa Asiakkaalle, mikäli rekisteröity on ilmoittanut suoraan Toimittajalle oikeuksiensa käyttämisestä. Osapuolet sopivat yhdessä siitä, miten tällaisiin pyyntöihin reagoidaan käytännössä ja kumpi taho pyyntöihin vastaa.
Toimittajalla on oikeus laskuttaa Asiakasta Toimittajan tehtäväksi sovituista sekä yllä mainituista toimenpiteistä palveluhinnastonsa mukaisesti.
Asiakkaan asema, oikeudet ja velvollisuudet
Asiakas, jonka nimissä sopimus syntyy toimii asiakkaan rekisterinpitäjänä ja hänellä on siihen valtuudet ellei erikseen kirjallisesti muuta ilmoita. Asiakas toimii henkilötietoaineiston toimittajana.
Asiakas vastaa siitä, että tietojen korjaukset, poistot ja muutokset henkilötietoihin toimitetaan toimittajalle. Asiakkaan velvollisuutena on huolehtia siitä, että henkilötietojen keräämiseen on saatu lupa.
Asiakas on henkilötietolain tarkoittama rekisterinpitäjä, jonka käyttöä varten rekisteri on perustettu ja jolla on oikeus määrätä sen käytöstä. Asiakkaalla on mahdollisuus valvoa henkilötietojen käsittelyä ja antaa sitä koskevia määräyksiä ja ohjeita toimittajalle.
Henkilötietojen sisältö
Asiakas ylläpitää tuotteiden valmistuksessa käytettäviä tietoja. Asiakas toimittaa päivitetyn liitteen Toimittajalle tilauksen yhteydessä. Toimittaja pidättää tällöin oikeuden kieltäytyä käsitellä sellaista tietoa, joka voidaan katsoa arkaluonteiseksi tai perusteettomaksi.
Tietosuojaloukkaukset ja tietosuojavastaava
Tietojen käsittelyn lainmukaisuuden seuranta- ja valvontatehtäviä varten toimittajalla tulee olla nimetty tietosuojavastaava. Tietosuojavastaavan lakisääteisenä tehtävänä on henkilötietojen lainmukaiseen käyttöön ja tietosuojaan liittyvä seuranta ja valvonta.
Toimittaja ilmoittaa ilman aiheetonta viivästystä tietoonsa tulleesta tietoturvaloukkauksesta asiakkaalle. Tämän lisäksi toimittaja antaa pyynnöstä hallussaan olevat, kohtuullisesti toimitettavissa olevat ja tarpeelliset tiedot tietosuoja-asetuksen 33 artiklan 1 kohdan mukaisen ilmoituksen tekemiseksi. Mikäli Asiakas havaitsee tietoturvaloukkauksen, tulee tämän ilmoittaa siitä Toimittajalle ilman aiheetonta viivästystä. Asiakkaan antamassa ilmoituksessa on:
a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;
c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Mikäli tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.
Asiakkaan on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Asiakas vastaa tarvittavien ilmoitusten tekemisestä viranomaiselle. Toimittaja voi avustaa Asiakasta tässä kappaleessa kuvattujen velvollisuuksien hoitamisessa tarpeen mukaan.
Mikäli tietoturva- ja/tai tietosuojaloukkaus johtuu Asiakkaan vastuulla olevasta seikasta, Toimittajalla on oikeus laskuttaa Asiakasta loukkauksesta ja sen selvittämisestä aiheutuvista kustannuksista.
Toimittajan tietosuojavastaavana toimii Mika Natri, tilaukset@proclean.fi.
Sopimuksen voimassaolo
Tämä sopimus tulee voimaan, kun rekisterinpitäjä tai tämän edustaja, toimittaa henkilötietoaineiston toimittajalle. Tämä sopimus on voimassa niin kauan, kun toimittaja käsittelee sopimuksen tarkoittamia henkilötietoja rekisterinpitäjän lukuun. Toimitettuja henkilötietoja voidaan käsitellä tämän sopimuksen perusteella niin kauan, kuin on tarpeen edellä mainitun tarkoituksen toteuttamiseksi.
Sopimuksen päättäminen/päättyminen
Toimittaja sitoutuu pitämään luottamuksellisina saamansa aineistot ja tiedot sekä olemaan käyttämättä niitä muihin kuin sopimuksen mukaisiin tarkoituksiin myös sopimussuhteen päättymisen jälkeenkin.
Virhetilanteet ja vastuu
Vastuu henkilötietojen tietoturvallisesta säilyttämisestä siirtyy asiakkaalle toimitusehdon mukaisesti, toimittaja ei ole vastuussa mahdollisista henkilötietojen loukkauksista tämän jälkeen.