Tietojenkäsittelyliite, kun D-Fence Oy on henkilötietojen käsittelijä

TAUSTATIEDOT

Toimittaja: D-Fence Oy, henkilötietojen käsittelijä

D-Fence palveluiden sopimusehdot »

Asiakas: D-Fence Oy:n palveluiden käyttäjätaho, rekisterinpitäjä

a) Sopimuksen mukaan Toimittaja tarjoaa Palveluita, mukaan lukien mutta ei yksinomaan, Tietoturva-Palveluita, Tietosuojapalveluita ja/tai Tukipalveluita (sellaisina kuin Tilausvahvistuksessa / Sopimuksessa / muussa siihen verrattavassa on määritelty) Asiakkaalle.

b) ”Sopimus” tarkoittaa tässä yhteydessä kirjallista tai suullista tahdonilmaisua Toimittajan tarjoamien palveluiden tilaamisesta joko Toimittajalta itseltään, sen valtuuttamalta asiamieheltä tai edustajalta.

c) ”Palvelu” tarkoittaa Toimittajan tarjoamaa palvelua tai siihen verrattavaa toimintoa.

d) Palvelua voidaan käyttää tietojen tallentamiseen ja/tai Käsittelyyn. Tämä koskee myös Asiakkaan Henkilötietoja.

e) Asiakas toimii Rekisterinpitäjä näiden Palvelussa Käsiteltävän Henkilötiedon osalta. Toimittaja toimii tällaisten Henkilötietojen Käsittelijänä.

1. MÄÄRITELMÄT

Tässä Liitteessä määrittelemättömiin termeihin sovelletaan niitä määritelmiä, jotka Tilausvahvistuksessa/Sopimuksessa on erikseen määritelty. Lisäksi seuraaville termeille on määritelty merkitykset tässä Liitteessä:

”Rekisterinpitäjällä” tarkoitetaan Asiakasta, joka määrittää Henkilötietojen käsittelyn tarkoitukset ja keinot.

”Lainsäädännöllä” tarkoitetaan mitä tahansa kansallisia tietosuojalakeja, Euroopan Unionin tietosuoja-asetusta(2016/679, ”GDPR”) sen soveltamispäivästä alkaen (25.5.2018) ja mahdollista tulevaa, kulloinkin voimassa olevaatietosuojalainsäädäntöä.

”Mallisopimuslausekkeilla” tarkoitetaan Euroopan komission hyväksymiä vakiomuotoisia sopimusehtoja henkilötietojen luovuttamisesta EU:n rekisterinpitäjiltä kolmansien maiden käsittelijöille (päätös 2002/16 EY).

”Osakkuusyhtiöllä” tarkoitetaan mitä tahansa yhteisöä, jolla on Toimittajaan suora tai välillinen määräysvalta, joka on Toimittajan määräysvallan alaisena tai joka on Toimittajan kanssa yhteisen määräysvallan alaisena. Termi pätee kuitenkin vain niin kauan, kun määräysvalta on olemassa. Tässä määritelmässä käytetty termi

”Määräysvalta” tarkoittaa yli 50 prosenttia (50%) yhtiön äänivallasta.

“Henkilötiedoilla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön

liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

”Käsittelijällä” tarkoitetaan Toimittajaa, joka Käsittelee Henkilötietoja Asiakkaan lukuun.

”Käsittelyllä” tai sanalla ”Käsittely” tarkoitetaan mitä tahansa toimintaa tai toimintoja, jossa Henkilötietoja käsitellään.

”Alihankkijalla” tarkoitetaan käsittelijää, joka Toimittajan toimeksiannosta suorittaa tämän Liitteen mukaista Käsittelyä Toimittajan ja Asiakkaan lukuun.

2. TOIMITTAJAN VELVOITTEET

2.1 Toimittajan rooli Asiakkaan Henkilötietojen Käsittelyssä.

Toimittaja ei määrittele Asiakkaan Palveluun varastoitujen henkilötietojen tyyppiä. Toimittaja ei myöskään vastaa siitä, miten kyseiset tiedot luokitellaan, miten ne ovat saatavilla tai miten niitä vaihdetaan muiden osapuolten kanssa tai muutoin Käsitellään.

Toimittaja Käsittelee Henkilötietoja ainoastaan Asiakkaan puolesta, ja vain siinä määrin ja tavalla, kuin Sopimuksessa ja Liitteessä erikseen määrätään tai asiakas on erikseen ohjeistanut. Asiakkaan erilliset ohjeistukset, mikäli sellaisia on, tulee dokumentoida Tilauksen, Palvelukuvauksen, tukipyynnön tai muun kirjallisen viestinnän yhteydessä.

Mikäli Toimittajalla on kohtuullinen syy epäillä, että Asiakkaan antamat ohjeet ovat ristiriidassa:

(i) sovellettavien lakien tai määräysten, ja/tai

(ii) Sopimuksen tai tämän Liitteen määräystenkanssa, ilmoittaa Toimittajatästä asiakkaalle ilman aiheetonta viivytystä.

Toimittajalla on oikeus lykätä kyseisen ohjeistuksen täytäntöönpanoa siihen asti, että Asiakas muuttaa ohjeistustaan tai että täytäntöönpanosta on erikseen sovittu Toimittajan ja Asiakkaan välillä.

2.2 Tietoturva

Toimittajan tulee toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia toimenpiteitä Henkilötietojen suojaamiseksi. Suojauksessa tulee ottaa huomioon tietotekniikan ja -turvantaso, toteutuksen kustannukset sekä Käsittelyn laatu, laajuus, konteksti ja tarkoitukset; sekä luonnollisten henkilöiden vapauksiin ja oikeuksiin kohdistuvan vaihtelevan riskintodennäköisyys ja vakavuus.

Käsittelyssä tulee ottaa huomioon myös vahingosta tai laittomasta toiminnasta johtuva tallennettujen, lähetettyjen tai muutoin Käsiteltävien Henkilötietojen tuhoutumisen, katoamisen ja muuttumisen riski, sekä luvattoman tietoihin käsiksi pääsemisen tai luovuttamisen riski.Toteutetut tietoturvatoimenpiteet on määritelty Toimittajan tietoturva- ja tietosuojavaatimusmäärittelyssä, jotka on kuvailtu tarkemmin osoitteessa d-fence.fi/turvatoimenpiteet

Asiakas on velvollinen ilmoittamaan Toimittajalle kaikista sellaisista seikoista (mukaan lukien erityiset riskit tai henkilötietoryhmät), jotka edellyttävät ylimääräisten teknillisten tai organisatoristen suojaustoimenpiteiden määrittelemisestä ja sopimisesta Sopimuksessa. Mikäli Toimittaja tarvitsee pääsyä Henkilötietoihin täyttääkseen Liitteen tai Sopimuksen mukaiset velvoitteensa, sen tulee rajoittaa pääsy oikeudet ja antaa Käsittelytoimia tehtäväksi vain Vaatimukset täyttävälle henkilöstölle. ”Vaatimukset täyttävällä henkilöstöllä” tarkoitetaan sellaisia työntekijöitä ja/tai edustajia, konsultteja, alihankkijoita tai muita kolmansia osapuolia, jotka

(i) työskentelevät Toimittajan alaisuudessa, jotta Toimittaja voi täyttää Sopimuksessa ja Liitteessä määritellyt velvoitteensa Asiakasta kohtaan ja,

(ii) jotka ovat sellaisten salassapitovelvollisuuksien ja turvallisuusvelvoitteiden alaisia, jotka ovat samanlaisia, tai pääosiltaan samanlaisia, kuin Sopimuksessa ja Liitteessä määrätään.

2.3 Rekisteröityjen tai viranomaisen pyynnöt.

Ottaen huomioon Käsittelyn luonteen, Toimittaja auttaa ja tukee Asiakasta (Asiakkaan kustannuksella) sopivilla teknisillä ja organisatorisilla toimilla, ja niin laajalti kuin on mahdollista, jotta Asiakas voi täyttää velvollisuutensa vastata rekisteröityneiltä saatuihin pyyntöihin.Toimittajan on ilmoitettava Asiakkaalle ilman aiheetonta viivytystä kirjallisesti kaikista:

• rekisteröidyltä saaduista viesteistä, jotka koskevat

(i) rekisteröidyn oikeutta tutustua, muokata, korjata, poistaa tai estää pääsy hänen Henkilötietoihinsa,

sekä

(ii) Asiakkaan Henkilötietojen Käsittelyä koskevista valituksista;

• siinä määrin kuin laissa ei ole kielletty, muista hallinnollisista määräyksistä tai kanteista, joissa pyydetään pääsyä Henkilötietoihin tai tiedonantoa niistä; tai

• siinä määrin kuin laissa ei ole kielletty, valituksista, ilmoituksista tai muusta viestinnästä, joka liittyy Asiakkaan tietosuojalainsäädännön määräystennoudattamiseen Henkilötietojen Käsittelyssä.

2.4 Toimittaja ja Lainsäädännön noudattaminen.

Toimittajan on noudatettava Sopimuksen mukaisia omaan toimintaansan ja Palvelujen tarjoamiseen sovellettavia määräyksiä, yksityisyyden suojaa ja turvallisuutta koskevia lakeja sekä tämän Liitteen mukaisia velvoitteita.Toimittaja ei kuitenkaan ole vastuussa Asiakkaaseen tai Asiakkaan toimialaan sovellettavan lainsäädännön noudattamisesta, jos kyseistä lainsäädäntöä ei yleisesti sovelleta informaatioteknologian palveluntarjoajiin. Lain niin vaatiessa Toimittajan on nimitettävä tietosuojavastaava, jonka tulee täyttää tehtävänsä sovellettavan lain mukaisesti. Tietosuojavastaavan tiedot toimitetaan pyynnöstä asiakkaalle.Toimittajan on ylläpidettävä kaikkia tarpeellisia selosteita, ja Asiakkaan pyynnöstä annettava saataville kaikki sellaiset tiedot, jotka ovat tarpeen tämän Liitteen sekä Lainsäädännön mukaisten velvoitteiden noudattamisen osoittamiseksi.

2.5 Tarkastukset ja valvontatoimet.

Toimittaja sitoutuu Asiakkaan niin vaatiessa tilaamaan pätevien kolmansien osapuolten suorittamat standardien mukaiset tarkastukset, jotka kohdistuvat sen Palveluihin sekä Henkilötietojen Käsittelyyn kokonaisuudessaan Asiakkaan lukuun. Toimittajan käytäntöjen ja Sopimuksen mukaisesti, ja vain niiltä osin joita edellä mainitut riippumattomat tarkastuskertomukset eivät kata, Asiakas tai sen edustajat voivat samoin asiakkaan kustannuksella suorittaa fyysisiä ja/tai sähköisiä tarkastuksia Palveluista ja Henkilötietojen Käsittelystä tai arvioida sekä seurata Toimittajan tässä Liitteessä luettelemien turvallisuusvaatimusten noudattamista.

Sopimuksen voimassaolon tai Palvelun tilauksen päättyessä Toimittajan on Asiakkaan ohjeistuksen mukaisesti joko palautettava tai poistettava kaikki Asiakkaan Henkilötiedot. Jos Asiakas ei ole antanut ohjeita 30 arkipäivän kuluessa Sopimuksen voimassaolon tai Palveluntilauksen päättymisestä, Toimittaja poistaa kaikki Henkilötiedot, ellei Lainsäädäntö (kuten kirjanpito tms) velvoita Toimittajaa säilyttämään kyseisiä Henkilötietoja.

2.6 Asiakkaan avustaminen turvallisuusvaatimusten täyttämisessä.

Sopimuksen voimassaoloaikana Asiakas voi pyytää, että Toimittaja avustaa Asiakasta soveltuvan tietosuo-

jalainsäädännön vaatimien velvoitteiden täyttämisessä, edellyttäen, että

(i) kyseiset velvoitteet liittyvät Palveluihin,

(ii) kyseiset velvoitteet ovat kaupallisesti kohtuullisia ja

(iii) mikäli Toimittajasuostuu avustamaan Asiakasta, Asiakas vastaa kustannuksista.

3. ASIAKKAAN VELVOLLISUUDET

3.1 Määräysten noudattaminen Asiakkaan osalta.

Asiakas määrittelee Palveluihin tallennettujen Henkilötietojen tyypin. Asiakas määrittelee myös, miten Henkilötietoja käytetään, vaihdetaan tai muuten Käsitellään. Asiakkaan tehtävä on varmistaa, että kaikille rekisteröidyille on asianmukaisesti ilmoitettu, ja että heille on annettu tarpeelliset tiedot heidän Henkilötietojensa käsittelystä, sekä että Asiakkaalla on tarvittavat oikeudet ja suostumukset Henkilötietojenkäsittelyyn. Asiakas on vastuussa Käsittelyä koskevan selosteen laatimisesta.

Asiakas vastaa itse suorittamastaan Henkilötietojen käsittelystä ja Palvelun käytöstä. Asiakas on vastuussa myös Henkilötietojen käsittelyn eheydestä, turvallisuudesta, ylläpidosta ja asianmukaisesta suojaamisesta sekä sen varmistamisesta, että Asiakas noudattaa kaikkia sovellettavia tietosuoja-, tietoturva- ja turvallisuuslakeja sekä määräyksiä.

3.2 Tekniset ja organisatoriset toimenpiteet.

Asiakas on yksin vastuussa turvatoimien ja muiden teknisten sekä organisatoristen suojatoimien toteuttamisesta ja ylläpidosta. Toimenpiteiden tulee olla suhteessa Asiakkaan tallentamien ja/tai muuten Käsittelemien Henkilötietojen luonteeseen ja määräännähden. Asiakas on myös vastuussa Palvelua käyttävistä työntekijöistään ja henkilöistä, joille Asiakas on antanut pääsy- tai käyttöoikeuden Palveluihin.

Asiakas on vastuussa myös, mikäli kolmas osapuoli pääsee käsiksi sen Henkilötietoihin tai Palveluun, vaikka Asiakas ei olisi antanut tälle lupaa tietojen Käsittelyyn, jos Asiakas ei ole suorittanut tarpeellisia turvallisuustoimenpiteitä. Asiakas voi ostaa Toimittajalta lisäpalveluja varmistaakseen tämän kohdan 3.2. mukaisten velvollisuuksiensa täyttämisen.

4. TIETOTURVAPOIKKEAMIEN HALLINTA

Kumpikin osapuoli sitoutuu ilmoittamaan toiselle osapuolelle ilman aiheetonta viivytystä, jos se saa tietoa Palvelun tai Asiakkaan tunnuksien luvattomasta käytöstä tai muusta Palvelun Henkilötietoihin kohdistuvasta poikkeamasta. Ilmoitukseen on liitettävä seuraavat tiedot, jos ne ovat saatavilla:

• tietomurtoon johtaneet olosuhteet

• kuvaus tietomurron luonteesta, mukaan luettuna mahdollisuuksien mukaan tietomurron

kohteena olleet Henkilötietojen ryhmät ja arvioitu lukumäärä sekä kohteena olleet rekisteröityjen henkilöiden ryhmät ja arvioitu lukumäärä

• kuvaus tietomurron todennäköisistä seurauksista

• kuvaus toimenpiteistä, jotka on toteutettu tai joita on ehdotettu toteutettavaksi tietomurtoon reagoimiseksi, mukaan lukien tarvittaessa toimenpiteet sen mahdollisten haittavaikutusten lieventämiseksi.

Kumpikin osapuoli tutkii kaikki syyt tietomurtoon omalla vastuualueellaan ja ryhtyy asianmukaisiin

toimiin tietomurron pysäyttämiseksi, sen vaikutusten lieventämiseksi sekä muiden vastaavien murtojen estämiseksi.

Osapuolten on dokumentoitava ja ilmoitettava toiselle osapuolelle tutkimuksensa tulokset ja toteutetut toimet.

Osapuolet tekevät kohtuulliseksi katsottavaa yhteistyötä murron tutkimisessa. Asiakas ja Toimittaja sopivat tekevänsä kohtuulliseksi katsottavaa yhteistyötä turvatakseen Palvelun, Palveluympäristön, Palvelussa sijaitsevien järjestelmien sekä Henkilötietojen turvallisuuden tilanteissa, joissa tutkitaan Palvelukatkoja, turvallisuusongelmia tai mahdollisia tietomurtoja.

5. ALIHANKKIJAT

Toimittaja voi joutua käyttämään alihankkijoita tarjotakseen Palveluja ja Tukea Asiakkaalle. Asiakas antaa täten nimenomaisen suostumuksensa Toimittajalle käyttää Toimittajan Osakkuusyhtiöitä Alihankkijoina.

Lisäksi Asiakas antaa yleisen suostumuksensa muiden Alihankkijoiden käyttöön seuraavilla ehdoilla:

Toimittaja saa käyttää alihankkijoita henkilötietojen käsittelyssä tämän sopimuksen perusteella.

”Alihankkijalla” tarkoitetaan käsittelijää, joka käsittelee henkilötietoja tämän sopimuksen mukaisesti,

kokonaan tai osittain, Toimittajan lukuun ja tämän toimeksiannosta. Käsittelyssä käytettävät alihankkijat

sopimuksen alkaessa ilmoitetaan asiakkaan pyynnöstä.

Mikäli asiakas ei hyväksy jotain alihankkijaa johon Toimittaja ei voi vaikuttaa, estää tai olennaisesti vaikeuttaa palveluntuottamista, Toimittajalla ei ole velvollisuutta tuottaa sellaista palvelua.

Toimittaja solmii kirjallisen käsittelysopimuksen alihankkijan kanssa ja edellyttää kaikkien alihankkijoiden noudattavan Toimittajalle tässä sopimuksessa asetettuja tietosuojavelvoitteita tai vastaavan tietosuojan tason takaavia velvoitteita. Alihankkija käsittelee henkilötietoja vain kirjallisen sopimuksen mukaisesti. Toimittaja vastaa käyttämiensä alihankkijoiden toimista kuin omistaan.

6. PALVELINKESKUKSEN SIJAINTI JA TIEDONSIIRTO

Toimittajan palvelinkeskukset, joissa kaikkia Henkilötietoja säilytetään ja Käsitellään, sijaitsevat

pääsääntöisesti Suomessa. Toimittaja voi kuitenkin siirtää Henkilötietoja mille tahansa EU/ETA-alueella sijaitseville palvelinkeskuksille sekä EU/ETA-alueen ulkopuolella sijaitseville palvelinkeskuksille siten kuin Palveluiden tarkemmissa kuvauksissa on kerrottu tai Sopimuksen yhteydessä on sovittu.

Henkilötietojen siirtoon EU/ETA-alueen ulkopuolelle sovelletaan Mallisopimuslausekkeita, jotka liitetään tähän Liitteeseen, tai muuta Lainsäädännön mahdollistamaa siirtomekanismia. Mallisopimuslausekkeet muodostavat tämän Liitteen osan ja syrjäyttävät kaikki niiden kanssa ristiriidassa olevat Sopimuksessa tai tässä Liitteessä annetut määräykset.

7. ASIAKASTILIIN LIITTYVÄT TIEDOT

Toimittajan Asiakkaalta oston, tunnusten luonnin, käytön tai asiakastilin huoltamisen yhteydessä keräämät tiedot käsitellään Toimittajan kulloinkin voimassaolevan tietosuojaselosteen mukaisesti. Kaikki tietosuojaselosteet löytyvät osoitteesta https://d-fence.fi/tietosuojaselosteet

8. VASTUUNRAJOITUKSET

Sopimuksessa määriteltyjä vastuunrajoituslausekkeita sovelletaan myös tähän Liitteeseen. Osapuoli, joka ei ole täyttänyt tämän Liitteen Lainsäädännön mukaisia oikeudellisia velvoitteitaan, vastaa kaikista hallinnollisista sakoista tai vahingonkorvauksista, jotka asianomainen valvontaviranomainen tai toimivaltainen tuomioistuin määrää maksettavaksi.

9. ETUSIJAJÄRJESTYS

Siinä määrin kuin jokin tämän Liitteen määräys on ristiriidassa Sopimuksen tai siihen liittyvien muiden asiakirjojen kanssa, annetaan tämän Liitteen määräyksille etusija tilanteissa, joissa ristiriita koskee Liitteessä käsiteltyä asiasisältöä.

10. SOVELLETTAVA LAKI

Mikään tämän Liitteen määräys ei muuta Sopimuksessa määriteltyä kohtaa koskien Sovellettavaa Lakia, jota, selvyyden vuoksi, sovelletaan kaikkiin tämän Liitteen tai Sopimuksen nojalla tehtyihin vaatimuksiin.