Työkalu käsittelysopimuksen tekoon

Käsiteltäessä henkilötietoja Asiakas on rekisterinpitäjä ja Toimittaja on henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Asiakkaan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Asiakas vastaa rekisterinpitäjänä.

Asiakas on Sopimuksessa sovitun palvelun yhteydessä käsiteltävien asiakkaan henkilötietojen rekisterinpitäjä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Toimittaja on henkilötietojen käsittelijä, joka käsittelee kyseisiä henkilötietoja asiakkaan lukuun ja toimeksiannosta tässä käsittelysopimuksessa sovitulla tavalla. Sopijapuolet tarkentavat sopimuksessa käsittelyn luonnetta, rekisteröityjen ryhmiä, henkilötietojen tyyppejä, toimittajan käsittelytoimia sekä tietoturvamenettelyitä.

Toimittajan henkilötietojen käsittelyn tarkoituksena on toimitilojen vuokraus sekä vuokrakohteiden siivouspalvelut, kampuspalvelut, tapahtumapalvelut, ICT-palvelut, sähkön toimittaminen ja ylläpitopalvelut sekä kokouspalvelut, työympäristön suunnittelupalvelut ja muut toimitiloja koskevat palvelut ja Palveluita koskeva tiedottaminen. Yleisesti Palveluiden tarkoituksena on tyydyttää Asiakkaan toimitiloihin liittyvät tarpeet.

Toimittajan henkilötietojen käsittelyn tarkoituksena on 1) Asiakkaan palkanmaksu; 2) Asiakkaan henkilöasiakkaiden saatavien seuraaminen; sekä 3) Asiakkaan jäsenlaskutuksen koordinointi.

Toimittaja käsittelee asiakkaan edustajien, työntekijöiden, yhteistyökumppanien ja muiden Asiakkaaseen liittyvien henkilöiden tietoja, jotka Asiakas on kerännyt ja antanut Toimittajalle Sopimuksen täyttämiseen liittyvissä asioissa. Käsiteltäviä henkilötietoja ovat esimerkiksi nimi, syntymäaika, puhelinnumero, sähköpostiosoite, asema, tehtävä Asiakkaan organisaatioissa sekä mahdolliset yhteydet muihin organisaatioihin.

Toimittaja käsittelee 1) Asiakkaan palkansaajien; 2) Asiakkaan henkilöasiakkaiden; 3) Asiakkaan osakkaiden sekä 4) Asiakkaan jäsenien henkilötietoja. Henkilötiedot ovat tyypiltään 1) yhteystietoja (nimi, sähköpostiosoite, puhelinnumero); 2) henkilötunnuksia; 3) palkanlaskennassa tarvittavia henkilötietoja (ennakonpidätystiedot, sairauspoissaolot); 4) laskutusta varten tarvittavia tietoja (mm. osoite) sekä 5) palkanlaskennassa tarvittavia erityisiä henkilötietoja (mm. ammattiliiton jäsenyystiedot ja terveystiedot).

Asiakkaalla on oikeus antaa Toimittajalle sitovia kirjallisia ohjeita henkilötietojen käsittelystä. Toimittaja käsittelee henkilötietojen tietosuojalainsäädännön ja Asiakkaan Toimittajalle toimittamien kirjallisten ohjeiden mukaisesti.

Asiakkaalla on oikeus antaa toimittajalle sitovia kirjallisia ohjeita henkilötietojen käsittelystä. Toimittajan ja toimittajan henkilöstön tulee käsitellä henkilötietoja soveltuvan tietosuojalainsäädännön mukaisesti sekä sopijapuolten sopimuksen ja asiakkaan toimittajalle toimittamien kirjallisten ohjeiden mukaisesti. Liitteessä tarkennetaan henkilötietojen käyttötarkoituksia, jotka nähdään oletuksellisesti Asiakkaan Toimittajalle ohjeistamiksi.

Asiakas vastaa Toimittajalle toimitetuista henkilötiedoista ja niiden käsittelyn lainmukaisuudesta. Asiakas vastaa lisäksi siitä, että kaikille rekisteröidyille, joiden henkilötietoja käsitellään, on toimitettu tarvittavat, lainmukaiset ilmoitukset ja tiedot henkilötietojen käsittelyyn liittyen. Asiakas vastaa siitä, että henkilötietojen käsittely ja sen tarkoitus sekä perusteet ovat tietosuoja-asetuksen mukaisia. Asiakas vastaa lisäksi siitä, että henkilötiedot on kerätty tietosuoja-asetuksen mukaisesti ja että Asiakkaalla on oikeus siirtää henkilötiedot Toimittajan käsiteltäväksi tämän käsittelysopimuksen mukaisesti.

Osapuolet sopivat kirjallisesti etukäteen kaikista henkilötietojen siirroista tai käsittelystä EU:n/ETA:n ulkopuolella ja niihin sovelletaan lähtökohtaisesti Euroopan Unionin hyväksymiä mallisopimuslausekkeita henkilötietojen siirtämisestä EU:n/ETA:n ulkopuolelle. Toimittaja ja sen alihankkijat eivät käsittele henkilötietoja EU-/ETA-alueen ulkopuolella ilman asiakkaan kirjallista suostumusta.

Toimittajalla on oikeus palvelun toteuttamista varten siirtää henkilötietoja vapaasti Euroopan unionin, Euroopan talousalueen tai Euroopan Komissioin tietosuojatasoltaan riittäviksi toteamien maiden sisällä. Ellei kirjallisesti ole toisin sovittu, toimittajalla on myös oikeus siirtää henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle tietosuojalainsäädännön mukaisesti.

Toimittajalla on oikeus palvelun toteuttamista varten siirtää henkilötietoja vapaasti Euroopan unionin, Euroopan talousalueen tai Euroopan Komissioin tietosuojatasoltaan riittäviksi toteamien maiden sisällä. Ellei kirjallisesti ole toisin sovittu, toimittajalla on myös oikeus siirtää henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle tietosuojalainsäädännön mukaisesti. Asiakkaalla on oikeus milloin tahansa saada toimittajalta tiedot henkilötietojen käsittelyn sijainnista. Jos henkilötietoja käsitellään Euroopan unionin tai Euroopan talousalueen ulkopuolella, kumpikin sopijapuoli varmistaa osaltaan tietosuojalainsäädännön noudattamisen henkilötietojen käsittelyn osalta.

Ellei kirjallisesti ole toisin sovittu, toimittajalla on oikeus käyttää alihankkijoita henkilötietojen käsittelyssä.

Toimittajalla on oikeus käyttää alihankkijoita henkilötietojen käsittelijöinä. Jokaisesta alihankinnasta tulee olla kirjallinen sopimus, jossa alihankkijan tulee noudattaa samoja velvollisuuksia ja sitoumuksia kuin tässä sopimuksessa ja tietosuojalainsäädännössä. Kirjallisen sopimuksen tulee myös antaa alihankkijaa kohtaan samat oikeudet kuin Asiakkaalla on Toimittajaa kohtaan.

Jos Toimittajan alihankkija käsittelee Asiakkaan henkilötietoja, alihankkijan käyttäminen edellyttää Asiakkaan ennakkoon kirjallisesti antamaa lupaa.

Toimittaja ilmoittaa pyydettäessä Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen henkilötietojen käsittelyyn.

Asiakas voi vastustaa alihankkijan vaihtamista tai lisäämistä, jolloin Toimittajalla on oikeus irtisanoa sopimus 30 päivän irtisanomisajalla.

Toimittaja ilmoittaa Asiakkaalle, jos se suunnittelee vaihtavansa tai lisäävänsä henkilötietojen käsittelyyn osallistuvia alihankkijoita.

Asiakkaalla on oikeus vastustaa tällaisia muutoksia perustellusta syystä. Asiakkaan on ilmoitettava vastustamisesta ilman aiheetonta viivytystä sen jälkeen, kun se sai Toimittajalta tiedon asiasta.

Jos Asiakas ei hyväksy alihankkijan vaihtamista tai lisäämistä, Toimittajalla on oikeus irtisanoa Sopimus 30 päivän irtisanomisajalla.

Toimittaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset henkilötietojen käsittelystä.Toimittaja vastaa alihankkijoiden toimista ja laiminlyönneistä suhteessa asiakkaaseen.

Toimittaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Toimittajalle asetettuja velvoitteita sekä Asiakkaan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Toimittaja varmistaa, että sopimuksen mukainen Asiakkaan auditointioikeus voidaan ulottaa alihankkijaan.

Toimittaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Toimittaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Jos Asiakas perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, Asaiakkaalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa.

Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Asiakkaan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksella vahvistettuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Asiakkaan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksella vahvistettuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

Toimittaja toteuttaa tarvittavat toimenpiteet sen varmistamiseksi, että kyseiset henkilöt käsittelevät henkilötietoja ainoastaan työtehtävien yhteydessä ja rekisterinpitäjän ohjeiden mukaisesti.

Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Asiakkaan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.

Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Asiakkaan henkilötietojen suojaamiseksi ottaen huomioon käsittelyn sisältämät riskit, erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy.

Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin sekä käsiteltävien henkilötietojen arkaluonteisuuteen.

Toimittaja avustaa Asiakasta, jotta Asiakas pystyy täyttämään velvollisuutensa vastata rekisteröidyn oikeuksiin perustuviin pyyntöihin. Pyynnöt voivat edellyttää Toimittajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen.

Ottaen huomioon käsittelytoimien luonne Toimittaja auttaa Asiakasta valitsemillaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata rekisteröidyn oikeuksia koskeviin tietopyyntöihin.

Ottaen huomioon käsittelytoimien luonne Toimittaja auttaa Asiakasta valitsemillaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata rekisteröidyn oikeuksia koskeviin tietopyyntöihin.

Toimittaja on velvollinen avustamaan Asiakasta ainoastaan sovellettavan tietosuojalainsäädännön henkilötiedon käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa.

Toimittaja ilmoittaa viipymättä asiakkaalle kaikista rekisteröityjen, tietosuojavaltuutetun tai muun viranomaisen vaatimuksista ja tiedusteluista.

Toimittaja ei itse vastaa näihin pyyntöihin.

Asiakkaan velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta.

Toimittajalla on oikeus veloittaa Asiakasta kaikista rekisteröidyn oikeuksien toteuttamista koskevista toimenpiteistä sopijapuolten välisen sopimuksen mukaisesti.

Jos hintaa ei ole sopimuksessa sovittu, toimittajalla on oikeus veloittaa Asiakasta yleisen hinnastonsa mukaisesti.

Ellei toisin ole sovittu, Toimittajalla on oikeus veloittaa Asiakasta sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja Toimittajalle.

Ellei toisin ole sovittu, Toimittajalla on oikeus veloittaa Asiakasta sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja Toimittajalle.Toimittaja on velvollinen ennakolta ilmoittamaan Tilaajalle mahdollisesti aiheutuvista lisäkuluista.

Toimittajan tulee ilmoittaa Asiakkaalle viipymättä tietosuojaviranomaisen tai muun viranomaisten vaatimuksista tai tiedusteluista. Toimittajalla ei ole valtuuksia edustaa Asiakasta tai toimia Asiakkaan puolesta Asiakasta valvovien tietosuojaviranomaisten kanssa.

Toimittajan on ilmoitettava Asiakkaalle kirjallisesti ilman aiheetonta viivästystä tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta tai muista tapahtumista, joiden perusteella asiakkaan lukuun käsiteltyjen henkilötietojen tietoturvallisuus on voinut vaarantua. Lisäksi Toimittaja sitoutuu ilmoittamaan Asiakkaalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.

Sopijapuolen on ilmoitettava toiselle Sopijapuolelle ilman aiheetonta viivytystä tietoonsa tulleesta tietoturvaloukkauksesta. Asiakkaan on tietoturvaloukkauksen ilmoittamisen yhteydessä toimitettava Toimittajalle kaikki se tieto, jonka voidaan katsoa auttavan tietoturvaloukkauksen selvittämisessä, rajaamisessa tai estämisessä.

Asiakkaan pyynnöstä Toimittajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Toimittajan on Asiakkaalle tehtävässä ilmoituksessa kuvattava vähintään: a) kuvaus Tietoturvaloukkauksesta, sisältäen mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät (siltä osin kuin kyseiset tiedot ovat Toimittajan saatavilla); b) Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätietoja; c) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista; ja d) kuvaus toimenpiteistä, jotka Toimittaja on toteuttanut Tietoturvaloukkauksen johdosta ja mahdolliset toimenpiteet, jotka Toimittaja on tehnyt Tietoturvaloukkauksen haittavaikutusten lieventämiseksi.

Asiakkaalla tai tämän valtuuttamallaan auditoijalla on oikeus tarkastaa Toimittajan tai tämän käyttämien alihankkijoiden henkilötietojen käsittelyn velvollisuuksien noudattaminen. Toimittajan on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.

Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 työpäivää ennen tarkastusta.

Asiakkaalla tai tämän valtuuttamallaan auditoijalla on oikeus tarkastaa Toimittajan tai tämän käyttämien alihankkijoiden henkilötietojen käsittelyn velvollisuuksien noudattaminen. Toimittajan on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.

Tarkastus voidaan suorittaa enintään kerran vuodessa ja siitä on ilmoitettava Toimittajalle kirjallisesti vähintään 30 päivää etukäteen.

Auditointi tulee suorittaa tavalla, joka ei haittaa Toimittajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden.

Asiakkaan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Auditoija ei voi olla Toimittajan kilpailija eikä auditointia voida suorittaa tämän sopimuksen päättymisen jälkeen.

Toimittaja osallistuu tarkastuksen toteuttamiseen ja antaa tarkastajalle ne tiedot, jotka ovat tarpeen osoittamaan, että Toimittaja noudattaa tässä sopimuksessa sille määriteltyjä velvollisuuksia. Tarkastajalla ei ole oikeutta saada pääsyä Toimittajan asiakkaiden tai yhteistyökumppaneiden tietoihin.

Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkastuksista aiheutuneet kustannukset.

Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkastuksista aiheutuneet kustannukset. Mikäli tarkastukset paljastavat merkittäviä puutteita Toimittajan toiminnoissa, Toimittaja vastaa tarkastuksista aiheutuvista omista kustannuksistaan.

Sopimuksen päättyessä tai purkautuessa Toimittaja palauttaa Asiakkaalle kaikki Asiakkaan puolesta käsitellyt henkilötiedot sekä hävittää omat mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu.

Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toimittaja säilyttää henkilötiedot.

Sopimuksen päättyessä tai purkautuessa Toimittaja asiakkaan valinnan mukaan joko poistaa kaikki asiakkaan puolesta käsitellyt henkilötiedot tai palauttaa ne asiakkaalle, sekä poistaa kaikki kopiot niistä.

Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toimittaja säilyttää henkilötiedot.

Sopimuksen päättyessä tai purkautuessa Toimittaja poistaa tai palauttaa henkilötiedot Asiakkaan kirjallisen pyynnön mukaisesti sekä poistaa kaikki kopiot niistä.

Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toimittaja säilyttää henkilötiedot.

Toimittajalla on oikeus veloittaa Asiakasta henkilötietojen palauttamisesta tai tuhoamisesta tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.

Tämä sopimus päättyy kun pääsopimus osapuolten välillä päättyy ja asiakkaan henkilötiedot on poistettu aiemmin kuvatun toimintamallin mukaisesti.

Sopimus on voimassa a)  niin pitkään kuin pääsopimus on voimassa tai b) osapuolilla on henkilötietojen käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.