Akatemia on korvattu tuoreemmalla sisällöllä

Tämä sivusto ja sen sisältö on vanhentunut. Tiimimme tuottaa edelleen viikottain monipuolista tuoretta sisältöä digiturvan johtamiseen, kehittämiseen ja toteuttamiseen liittyen Digiturvamalli.fi-sivustolla osoitteessa https://digiturvamalli.fi/akatemia. Nähdään siellä! 👋

Siirry uudistuneeseen Akatemiaan >>
Esikatsele sopimustasi
Muokkaa sopimusta
PYSY KÄRRYILLÄ DIGITURVA-ASIOISTA
PYSY KÄRRYILLÄ DIGITURVA-ASIOISTA
Akatemia

Työkalu käsittelysopimuksen tekoon

Tutkimme erilaisia tapoja ja sopimuspohjia henkilötietojen käsittelyyn liittyen. Kokosimme kohta kohdalta etenevän vinkkilistan, jonka avulla ymmärrätte mitä pitää sopia ja voitte koota oman pakettinne.

Intro: Sopimus henkilötietojen käsittelystä ja miksi sellainen tarvitaan?

EU:n yleinen tietosuoja-asetus (GDPR) edellyttää, että henkilötietojen käsittelijän toimintaa suhteessa rekisterinpitäjään on määritettävä sopimuksella. Tässä sopimuksessa sovitaan mm. henkilötietojen käsittelyn tarkoituksesta ja luonteesta, yhteistyöstä tietosuojan kannalta tärkeissä asioissa (mm. tietoturvaloukkausten informointi ja rekisteröidyn oikeuksien toteuttaminen) sekä henkilötietojen käsittelyn turvallisuuden varmistamiseksi tehtävistä toimista.

Käsittelysopimuksen suositeltu rakenne

1. Sopimuksen kohde ja soveltaminen

GDPR vaatii: Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella, jossa vahvistetaan käsittelyn kohde ja kesto.
Lisätiedot: Henkilötietojen käsittelijä (GDPR-artikla 28)

1.1. Sopimuksen kohde

Tätä sopimusta sovelletaan, kun toimittaja käsittelee henkilötietoja asiakkaan lukuun sopijapuolten välisen sopimuksen perusteella.

1.2. Osapuolten roolit

Vinkki: Ei suuria eroja. Valitse kuinka kattavasti haluat kohdan kuvattavan.

Asiakas on Palvelussa käsiteltävien henkilötietojensa rekisterinpitäjä ja Toimittaja käsittelijä.

Käsiteltäessä henkilötietoja Asiakas on rekisterinpitäjä ja Toimittaja on henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Asiakkaan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Asiakas vastaa rekisterinpitäjänä.

Asiakas on Sopimuksessa sovitun palvelun yhteydessä käsiteltävien asiakkaan henkilötietojen rekisterinpitäjä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Toimittaja on henkilötietojen käsittelijä, joka käsittelee kyseisiä henkilötietoja asiakkaan lukuun ja toimeksiannosta tässä käsittelysopimuksessa sovitulla tavalla. Sopijapuolet tarkentavat sopimuksessa käsittelyn luonnetta, rekisteröityjen ryhmiä, henkilötietojen tyyppejä, toimittajan käsittelytoimia sekä tietoturvamenettelyitä.

Mahdolliset lisäykset 

Käsittely asiakkaan lukuun

Tässä sopimuksessa määritellään Asiakasta ja Toimittajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Asiakkaan toimeksiannosta käsittelee henkilötietoja Asiakkaan puolesta. Näissä ehdoissa kuvatuista Toimittajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.

Liitos pääsopimukseen

Tämä sopimus on osa Osapuolten välistä sopimusta (jäljempänä "Pääsopimus") ja muodostaa Pääsopimuksen liitteen. Tähän sopimukseen sovelletaan Pääsopimuksen ehtoja niiltä osin kuin tässä sopimuksessa ei ole muuta sovittu. Mikäli tämän sopimuksen ja Pääsopimuksen välillä ilmenee ristiriita, sovelletaan henkilötietojen käsittelyn osalta ensisijaisesti tätä sopimusta.

Sitoutuminen lain noudattamiseen

Osapuolet sitoutuvat noudattamaan Suomessa ja EU:ssa kulloinkin voimassa olevaa henkilötietojen käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän sopimuksen ehtoja niiden mukaiseksi.

2. Henkilötietojen käsittelyn tarkoitus

GDPR vaatii: Sopimuksessa on vahvistettava henkilötietojen käsittelyn luonne ja tarkoitus sekä käsiteltävien henkilötietojen tyyppi ja rekisteröityjen ryhmät.
Lisätiedot: Henkilötietojen käsittelijä (GDPR-artikla 28), kohta 3

2.1. Toimittajan henkilötietojen käsittelyn luonne ja tarkoitus

Vinkki: Tämä kohta riippuu täysin oman toimintanne luonteesta, joten oma kuvaus on kirjoitettava itse. Käytä näitä ainoastaan ajattelua auttavina esimerkkeinä.

Toimittajan henkilötietojen käsittelyn tarkoituksena on 1) varmistaa Asiakkaan palveluun tallentamien tietojen saatavuus ja eheys (mm. varmuuskopiointi ja lokitus); 2) Asiakkaan palveluun kutsumien käyttäjien turvallinen tunnistaminen; sekä 3) pyynnöstä Asiakkaan auttaminen erilaisissa ongelmatilanteissa.

Toimittajan henkilötietojen käsittelyn tarkoituksena on toimitilojen vuokraus sekä vuokrakohteiden siivouspalvelut, kampuspalvelut, tapahtumapalvelut, ICT-palvelut, sähkön toimittaminen ja ylläpitopalvelut sekä kokouspalvelut, työympäristön suunnittelupalvelut ja muut toimitiloja koskevat palvelut ja Palveluita koskeva tiedottaminen. Yleisesti Palveluiden tarkoituksena on tyydyttää Asiakkaan toimitiloihin liittyvät tarpeet.

Toimittajan henkilötietojen käsittelyn tarkoituksena on 1) Asiakkaan palkanmaksu; 2) Asiakkaan henkilöasiakkaiden saatavien seuraaminen; sekä 3) Asiakkaan jäsenlaskutuksen koordinointi.

2.2. Toimittajan käsittelemien henkilötietojen tyyppi ja rekisteröityjen ryhmät

Vinkki: Tämä kohta riippuu täysin oman toimintanne luonteesta, joten oma kuvaus on kirjoitettava itse. Käytä näitä ainoastaan ajattelua auttavina esimerkkeinä.

Toimittaja käsittelee 1) asiakkaan pääkäyttäjien; sekä 2) pääkäyttäjän kutsumien muiden käyttäjien henkilötietoja. Henkilötiedot ovat tyypiltään 1) yhteystietoja (nimi, sähköpostiosoite, puhelinnumero); 2) teknisiä tunnisteita ja lokeja (IP-osoitteet, kirjautumisloki, muutosloki); sekä 3) henkilöiden itse tallentamaa sisältöä (viestit, tallennetut kuvaukset, jne.).

Toimittaja käsittelee asiakkaan edustajien, työntekijöiden, yhteistyökumppanien ja muiden Asiakkaaseen liittyvien henkilöiden tietoja, jotka Asiakas on kerännyt ja antanut Toimittajalle Sopimuksen täyttämiseen liittyvissä asioissa. Käsiteltäviä henkilötietoja ovat esimerkiksi nimi, syntymäaika, puhelinnumero, sähköpostiosoite, asema, tehtävä Asiakkaan organisaatioissa sekä mahdolliset yhteydet muihin organisaatioihin.

Toimittaja käsittelee 1) Asiakkaan palkansaajien; 2) Asiakkaan henkilöasiakkaiden; 3) Asiakkaan osakkaiden sekä 4) Asiakkaan jäsenien henkilötietoja. Henkilötiedot ovat tyypiltään 1) yhteystietoja (nimi, sähköpostiosoite, puhelinnumero); 2) henkilötunnuksia; 3) palkanlaskennassa tarvittavia henkilötietoja (ennakonpidätystiedot, sairauspoissaolot); 4) laskutusta varten tarvittavia tietoja (mm. osoite) sekä 5) palkanlaskennassa tarvittavia erityisiä henkilötietoja (mm. ammattiliiton jäsenyystiedot ja terveystiedot).

3. Henkilötietojen käsittelyn periaatteet, vastuut ja ohjeistus

GDPR vaatii: Käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle.
Lisätiedot: Henkilötietojen käsittelyä koskevat periaatteet (artikla 5)
Käsittelyn lainmukaisuus (artikla 6)

3.1. Asiakkaan oikeus ja vastuu käsittelyn ohjeistamisessa

Vinkki: Sopiiko rooliinne ohjata voimakkaasti toimittajan tekemää työtä?

Asiakas vastaa ohjeistuksen ylläpidosta ja saatavuudesta. Jos ohjeissa on puutteita, Asiakas täydentää ohjeita yhteistyössä Toimittajan kanssa.

Asiakkaalla on oikeus antaa Toimittajalle sitovia kirjallisia ohjeita henkilötietojen käsittelystä. Toimittaja käsittelee henkilötietojen tietosuojalainsäädännön ja Asiakkaan Toimittajalle toimittamien kirjallisten ohjeiden mukaisesti.

Asiakkaalla on oikeus antaa toimittajalle sitovia kirjallisia ohjeita henkilötietojen käsittelystä. Toimittajan ja toimittajan henkilöstön tulee käsitellä henkilötietoja soveltuvan tietosuojalainsäädännön mukaisesti sekä sopijapuolten sopimuksen ja asiakkaan toimittajalle toimittamien kirjallisten ohjeiden mukaisesti. Liitteessä tarkennetaan henkilötietojen käyttötarkoituksia, jotka nähdään oletuksellisesti Asiakkaan Toimittajalle ohjeistamiksi.

3.2. Asiakkaan vastuu käsittelyn lainmukaisuudesta

Vinkki: Ei suuria eroja. Valitse kuinka kattavasti haluat kohdan kuvattavan.

Asiakas vastaa Toimittajalle antamiensa henkilötietojen oikeellisuudesta ja käsittelyn lainmukaisuudesta.

Asiakas vastaa Toimittajalle toimitetuista henkilötiedoista ja niiden käsittelyn lainmukaisuudesta. Asiakas vastaa lisäksi siitä, että kaikille rekisteröidyille, joiden henkilötietoja käsitellään, on toimitettu tarvittavat, lainmukaiset ilmoitukset ja tiedot henkilötietojen käsittelyyn liittyen. Asiakas vastaa siitä, että henkilötietojen käsittely ja sen tarkoitus sekä perusteet ovat tietosuoja-asetuksen mukaisia. Asiakas vastaa lisäksi siitä, että henkilötiedot on kerätty tietosuoja-asetuksen mukaisesti ja että Asiakkaalla on oikeus siirtää henkilötiedot Toimittajan käsiteltäväksi tämän käsittelysopimuksen mukaisesti.

3.3. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Vinkki: Onko tärkeää, että tietojen siirrosta sovitaan kanssanne ennakoon? Tee päätös huolella, tässä kohdassa on merkittäviä eroja.

Toimittajalla on oikeus käsitellä Asiakkaan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Asiakkaan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.

Osapuolet sopivat kirjallisesti etukäteen kaikista henkilötietojen siirroista tai käsittelystä EU:n/ETA:n ulkopuolella ja niihin sovelletaan lähtökohtaisesti Euroopan Unionin hyväksymiä mallisopimuslausekkeita henkilötietojen siirtämisestä EU:n/ETA:n ulkopuolelle. Toimittaja ja sen alihankkijat eivät käsittele henkilötietoja EU-/ETA-alueen ulkopuolella ilman asiakkaan kirjallista suostumusta.

Toimittajalla on oikeus palvelun toteuttamista varten siirtää henkilötietoja vapaasti Euroopan unionin, Euroopan talousalueen tai Euroopan Komissioin tietosuojatasoltaan riittäviksi toteamien maiden sisällä. Ellei kirjallisesti ole toisin sovittu, toimittajalla on myös oikeus siirtää henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle tietosuojalainsäädännön mukaisesti.

Toimittajalla on oikeus palvelun toteuttamista varten siirtää henkilötietoja vapaasti Euroopan unionin, Euroopan talousalueen tai Euroopan Komissioin tietosuojatasoltaan riittäviksi toteamien maiden sisällä. Ellei kirjallisesti ole toisin sovittu, toimittajalla on myös oikeus siirtää henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle tietosuojalainsäädännön mukaisesti. Asiakkaalla on oikeus milloin tahansa saada toimittajalta tiedot henkilötietojen käsittelyn sijainnista. Jos henkilötietoja käsitellään Euroopan unionin tai Euroopan talousalueen ulkopuolella, kumpikin sopijapuoli varmistaa osaltaan tietosuojalainsäädännön noudattamisen henkilötietojen käsittelyn osalta.

3.4. Toimittajan velvollisuus huomauttaa lainvastaisista ohjeista

Toimittaja ilmoittaa ilman aiheetonta viivytystä Asiakkaalle, jos Asiakkaan antamat ohjeet ovat puutteellisia tai jos Toimittaja epäilee niitä lainvastaisiksi.

Mahdolliset lisäykset 

Toimittajan velvollisuus noudattaa ohjeita

Toimittaja sitoutuu käsittelemään henkilötietoja Asiakkaan ohjeiden ja sopimusehtojen mukaan. Ryhmittymän ollessa käsittelijänä tämän sopimuksen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

Toimittajan oikeus käyttää anonymisoitua tietoa

Toimittaja saa käsittelyn aikana ja sen päätyttyä säilyttää ja käyttää hyväksi henkilötiedoista anonymisoimalla syntyneitä tietoja toimintansa ja tuotteidensa kehittämisessä. Anonymisoinnilla tarkoitetaan tietojen muokkaamista siten, ettei niistä voida millään toimenpiteillä enää tunnistaa henkilöitä.

Käyttökielto muuhun käyttöön

Toimittaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

Toimittajan yhteyshenkilön nimeäminen

Toimittaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Asiakkaan henkilötietoihin liittyviä yhteydenottoja varten. Toimittaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot Asiakkaalle.

4. Toisen henkilötiedon käsittelijän käyttö

GDPR vaatii: Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa... Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.
Lisätiedot: Henkilötietojen käsittelijä (GDPR-artikla 28), kohdat 2 ja 4

4.1. Oikeus alihankkijoiden käyttöön

Vinkki: Onko teillä tarve ohjata alihankkijoiden käyttöä? Tee päätös huolella, tässä kohdassa on merkittäviä eroja.

Toimittajalla on oikeus käyttää alihankkijoita Asiakkaan henkilötietojen käsittelyssä.

Ellei kirjallisesti ole toisin sovittu, toimittajalla on oikeus käyttää alihankkijoita henkilötietojen käsittelyssä.

Toimittajalla on oikeus käyttää alihankkijoita henkilötietojen käsittelijöinä. Jokaisesta alihankinnasta tulee olla kirjallinen sopimus, jossa alihankkijan tulee noudattaa samoja velvollisuuksia ja sitoumuksia kuin tässä sopimuksessa ja tietosuojalainsäädännössä. Kirjallisen sopimuksen tulee myös antaa alihankkijaa kohtaan samat oikeudet kuin Asiakkaalla on Toimittajaa kohtaan.

Jos Toimittajan alihankkija käsittelee Asiakkaan henkilötietoja, alihankkijan käyttäminen edellyttää Asiakkaan ennakkoon kirjallisesti antamaa lupaa.

4.2. Ilmoitus alihankkijoiden lisäämisestä tai vaihtamisesta

Vinkki: Onko teillä tarve ohjata alihankkijoiden käyttöä? Tee päätös huolella, tässä kohdassa on merkittäviä eroja.

Toimittaja ilmoittaa pyydettäessä Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen henkilötietojen käsittelyyn.

Toimittaja ilmoittaa pyydettäessä Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen henkilötietojen käsittelyyn.

Asiakas voi vastustaa alihankkijan vaihtamista tai lisäämistä, jolloin Toimittajalla on oikeus irtisanoa sopimus 30 päivän irtisanomisajalla.

Toimittaja ilmoittaa Asiakkaalle, jos se suunnittelee vaihtavansa tai lisäävänsä henkilötietojen käsittelyyn osallistuvia alihankkijoita.

Asiakkaalla on oikeus vastustaa tällaisia muutoksia perustellusta syystä. Asiakkaan on ilmoitettava vastustamisesta ilman aiheetonta viivytystä sen jälkeen, kun se sai Toimittajalta tiedon asiasta.

Jos Asiakas ei hyväksy alihankkijan vaihtamista tai lisäämistä, Toimittajalla on oikeus irtisanoa Sopimus 30 päivän irtisanomisajalla.

4.3. Vastuu alihankkijan toiminnasta

Vinkki: Kuinka pitkä alihankintaketju käsittelijän alle kuuluu? Miten voimakkaasti haluatte korostaa heidän vastuutaan?

Toimittaja vastaa siitä, että alihankkija Käsittelee Henkilötietoja tämän Käsittelysopimuksen ja Tietosuojalainsäädännön mukaisesti.

Toimittaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset henkilötietojen käsittelystä.Toimittaja vastaa alihankkijoiden toimista ja laiminlyönneistä suhteessa asiakkaaseen.

Toimittaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Toimittajalle asetettuja velvoitteita sekä Asiakkaan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Toimittaja varmistaa, että sopimuksen mukainen Asiakkaan auditointioikeus voidaan ulottaa alihankkijaan.

Toimittaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Toimittaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Jos Asiakas perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, Asaiakkaalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa.

Mahdolliset lisäykset 

Toimittajan velvollisuus toimittaa pyydettäessä kirjallinen kooste alihankkijoista

Toimittaja tiedottaa asiakkaan kirjallisen pyynnön perusteella asiakkaalle kirjallisesti käyttämänsä alihankkijat.

5. Henkilötietojen salassapito

GDPR vaatii: Käsittelijä varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
Lisätiedot: Henkilötietojen käsittelijä (GDPR-artikla 28), kohta 3b

5.1. Salassapitovelvollisuuden järjestäminen

Vinkki: Kuinka aktiivisesti toimittaja ohjaa ja valvoo alihankkijoita?

Toimittaja varmistaa, että henkilötietojen käsittelyyn osallistuva Toimittajan henkilöstö noudattaa asianmukaista salassapitovelvollisuutta tai heitä koskee lakisääteinen salassapitovelvollisuus.

Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Asiakkaan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksella vahvistettuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Asiakkaan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksella vahvistettuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

Toimittaja toteuttaa tarvittavat toimenpiteet sen varmistamiseksi, että kyseiset henkilöt käsittelevät henkilötietoja ainoastaan työtehtävien yhteydessä ja rekisterinpitäjän ohjeiden mukaisesti.

6. Henkilötietojen suojaaminen

GDPR vaatii: Käsittelijä toteuttaa, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit,  rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet.
Lisätiedot: Henkilötietojen käsittelijä (GDPR-artikla 28), kohta 3c
Käsittelyn turvallisuus (GDPR-artikla 32)

6.1. Toteutettavat turvallisuuskäytännöt

Vinkki: Sopiiko rooliinne ohjata voimakkaasti toimittajan tekemää työtä?

Toimittajan tulee tehdä asianmukaiset tekniset ja organisatoriset toimenpiteet torjuakseen ja ehkäistäkseen henkilötietojen luvattoman ja laittoman käsittelyn sekä torjuakseen henkilötietojen tahattoman katoamisen, muutoksen, tuhoutumisen tai vahingoittumisen.

Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Asiakkaan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.

Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Asiakkaan henkilötietojen suojaamiseksi ottaen huomioon käsittelyn sisältämät riskit, erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy.

Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin sekä käsiteltävien henkilötietojen arkaluonteisuuteen.

Mahdolliset lisäykset

Asiakkaan vastuu tietoturvasta

Asiakas vastaa vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asianmukaisesta ja riittävästä tietoturvallisuudesta. Ellei toisin ole sovittu, Asiakas vastaa henkilötietojen varmuuskopioinnista ja varmuuskopioiden toimivuuden tarkastamisesta. Asiakas on velvollinen tiedottamaan Toimittajaa kaikista niistä Asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista, kuten esimerkiksi riskiarvioinneista sekä erityisten henkilötietoryhmien käsittelystä, jotka vaikuttavat tämän käsittelysopimuksen mukaisesti toteutettaviin teknisiin ja organisatorisiin toimenpiteisiin.

Toimittajan kuvaus käsittelytoimista

Toimittaja ylläpitää selostetta Asiakkaan lukuun suorittamastaan Henkilötietojen Käsittelystä. Seloste sisältää seuraavat tiedot: a) Asiakkaan, Toimittajan ja Toimittajan mahdollisen tietosuojavastaavan nimi ja yhteystiedot sekä tiedot mahdollisista alihankkijoista; b) Asiakkaan lukuun suoritetut käsittelytoimet; c) tiedot mahdollisista Henkilötietojen siirroista EU- tai ETA-alueen ulkopuolelle; ja d) mahdollisuuksien mukaan yleinen kuvaus kohdan 6 mukaisista teknisistä ja organisatorisista turvatoimista.

Asiakkaan ilmoitus turvallisuuteen vaikuttavista seikoista

Asiakas on velvollinen varmistamaan, että Toimittajalle tiedotetaan kaikista niistä Asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat sopimuksen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin.

7. Rekisteröidyn oikeuksien toteuttamisen auttaminen

GDPR vaatii: Ottaen huomioon käsittelytoimen luonteen, käsittelijä auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä.
Lisätiedot: Henkilötietojen käsittelijä (GDPR-artikla 28), kohta 3f
Rekisteröidyn oikeudet (GDPR-luku 3)

7.1. Avustaminen pyynnön käsittelyssä

Vinkki: Pystyttekö itse hoitamaan rekisteröidyn tietopyynnöt vai tarvitsetteko apua toimittajalta? Tässä kohdassa on merkittäviä eroja.

Toimittajan tulee ilman viivytystä Asiakkaan pyynnöstä tarjota asiakkaalle kaikki sellaiset tiedot, sisältäen pääsyoikeudet, jotka vaaditaan rekisteröityjen oikeuksien turvaamiseksi tai noudattaakseen tietosuojaviranomaisten vaatimuksia.

Toimittaja avustaa Asiakasta, jotta Asiakas pystyy täyttämään velvollisuutensa vastata rekisteröidyn oikeuksiin perustuviin pyyntöihin. Pyynnöt voivat edellyttää Toimittajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen.

Ottaen huomioon käsittelytoimien luonne Toimittaja auttaa Asiakasta valitsemillaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata rekisteröidyn oikeuksia koskeviin tietopyyntöihin.

Ottaen huomioon käsittelytoimien luonne Toimittaja auttaa Asiakasta valitsemillaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata rekisteröidyn oikeuksia koskeviin tietopyyntöihin.

Toimittaja on velvollinen avustamaan Asiakasta ainoastaan sovellettavan tietosuojalainsäädännön henkilötiedon käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa.

7.2. Ilmoitusvelvollisuus vastaanotettaessa pyyntö

Vinkki: Ei suuria eroja. Valitse kuinka kattavasti haluat kohdan kuvattavan.

Toimittaja ilmoittaa viipymättä asiakkaalle kaikista tietosuojatiedusteluista.

Toimittaja ilmoittaa viipymättä asiakkaalle kaikista rekisteröityjen, tietosuojavaltuutetun tai muun viranomaisen vaatimuksista ja tiedusteluista.

Toimittaja ei itse vastaa näihin pyyntöihin.

Asiakkaan velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta.

7.3. Veloitus avustamisesta

Vinkki: Kuinka toimittajan avustamiseksi tekemä työ hinnoitellaan? Pitääkö arvio antaa ennakkoon? Tässä kohdassa on merkittäviä eroja.

Toimittajalla on oikeus veloittaa Asiakasta kaikista rekisteröidyn oikeuksien toteuttamista koskevista toimenpiteistä tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.

Toimittajalla on oikeus veloittaa Asiakasta kaikista rekisteröidyn oikeuksien toteuttamista koskevista toimenpiteistä sopijapuolten välisen sopimuksen mukaisesti.

Jos hintaa ei ole sopimuksessa sovittu, toimittajalla on oikeus veloittaa Asiakasta yleisen hinnastonsa mukaisesti.

Ellei toisin ole sovittu, Toimittajalla on oikeus veloittaa Asiakasta sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja Toimittajalle.

Ellei toisin ole sovittu, Toimittajalla on oikeus veloittaa Asiakasta sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja Toimittajalle.Toimittaja on velvollinen ennakolta ilmoittamaan Tilaajalle mahdollisesti aiheutuvista lisäkuluista.

7.4. Tietosuojaviranomaisten tiedustelut

Vinkki: Ei suuria eroja. Valitse kuinka kattavasti haluat kohdan kuvattavan.

Toimittajan tulee ilmoittaa Asiakkaalle viipymättä tietosuojaviranomaisen tai muun viranomaisten vaatimuksista tai tiedusteluista.

Toimittajan tulee ilmoittaa Asiakkaalle viipymättä tietosuojaviranomaisen tai muun viranomaisten vaatimuksista tai tiedusteluista. Toimittajalla ei ole valtuuksia edustaa Asiakasta tai toimia Asiakkaan puolesta Asiakasta valvovien tietosuojaviranomaisten kanssa.

8. Tietoturvaloukkausten informoinnin, vaikutustenarvioinnin sekä ennakkokuulemisen auttaminen

GDPR vaatii: Käsittelijä auttaa rekisterinpitäjää varmistamaan, että 33–34 säädettyjä velvollisuuksia tietoturvaloukkauksiin ja niiden informointiin liittyen noudatetaan, ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot.
Lisätiedot: Henkilötietojen käsittelijä (GDPR-artikla 28), kohta 3f
Loukkausilmoitus viranomaisille (GDPR-artikla 33), sekä  Loukkausilmoitus rekisteröidyille (GDPR-artikla 34)

8.1. Tietoturvaloukkauksesta ilmoittaminen

Vinkki: Sopiiko rooliinne ohjata voimakkaasti toimittajan tekemää työtä?

Toimittajan on ilmoitettava Asiakkaalle kirjallisesti ilman aiheetonta viivästystä tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta tai muista tapahtumista, joiden perusteella asiakkaan lukuun käsiteltyjen henkilötietojen tietoturvallisuus on voinut vaarantua.

Toimittajan on ilmoitettava Asiakkaalle kirjallisesti ilman aiheetonta viivästystä tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta tai muista tapahtumista, joiden perusteella asiakkaan lukuun käsiteltyjen henkilötietojen tietoturvallisuus on voinut vaarantua. Lisäksi Toimittaja sitoutuu ilmoittamaan Asiakkaalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.

Sopijapuolen on ilmoitettava toiselle Sopijapuolelle ilman aiheetonta viivytystä tietoonsa tulleesta tietoturvaloukkauksesta. Asiakkaan on tietoturvaloukkauksen ilmoittamisen yhteydessä toimitettava Toimittajalle kaikki se tieto, jonka voidaan katsoa auttavan tietoturvaloukkauksen selvittämisessä, rajaamisessa tai estämisessä.

8.2. Tietoturvaloukkausta koskevan ilmoituksen sisältö

Vinkki: Sopiiko rooliinne ohjata voimakkaasti toimittajan tekemää työtä?

Toimittajan on aina tietoturvaloukkauksen ilmoittamisen yhteydessä toimitettava Asiakkaalle seuraavat tietoturvaloukkaukseen liittyvät tiedot: a) kuvaus Tietoturvaloukkauksesta, sisältäen mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät (siltä osin kuin kyseiset tiedot ovat Toimittajan saatavilla); b) Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätietoja; c) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista; ja d) kuvaus toimenpiteistä, jotka Toimittaja on toteuttanut Tietoturvaloukkauksen johdosta ja mahdolliset toimenpiteet, jotka Toimittaja on tehnyt Tietoturvaloukkauksen haittavaikutusten lieventämiseksi.

Asiakkaan pyynnöstä Toimittajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Toimittajan on Asiakkaalle tehtävässä ilmoituksessa kuvattava vähintään: a) kuvaus Tietoturvaloukkauksesta, sisältäen mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät (siltä osin kuin kyseiset tiedot ovat Toimittajan saatavilla); b) Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätietoja; c) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista; ja d) kuvaus toimenpiteistä, jotka Toimittaja on toteuttanut Tietoturvaloukkauksen johdosta ja mahdolliset toimenpiteet, jotka Toimittaja on tehnyt Tietoturvaloukkauksen haittavaikutusten lieventämiseksi.

Mahdolliset lisäykset 

Toiminta tietoturvaloukkaus havaittaessa

Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

Tietoturvaloukkausten dokumentointi

Toimittajan tulee dokumentoida kaikki tietoturvaloukkaukset, niiden vaikutukset sekä korjaavat toimenpiteet.

Vastuu ilmoittamisesta viranomaisille

Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaisille.

Asiakkaan vastuu tietoturvaloukkauksen kustannuksista

Jos Tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta syystä, Asiakas vastaa Toimittajalle Tietoturvaloukkauksesta ja niitä koskevista ilmoituksista aiheutuvista kustannuksista. Toimittajalla on oikeus laskuttaa Asiakasta aiheettomiksi todetuista Asiakkaan pyynnöstä käynnistetyistä selvitystöistä muodostuvista kustannuksista kulloinkin voimassa olevan Toimittajan hinnaston mukaisesti.

9. Avoin tiedonjako ja auditointioikeus

GDPR vaatii: Käsittelijä sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.
Lisätiedot: Henkilötietojen käsittelijä (GDPR-artikla 28), kohta 3h

9.1. Oikeus auditointiin

Vinkki: Pohtikaa miten tarkasti haluatte ennakkoon rajata mahdollisten auditointien toteuttamista.

Asiakkaalla tai tämän valtuuttamallaan auditoijalla on oikeus tarkastaa Toimittajan tai tämän käyttämien alihankkijoiden henkilötietojen käsittelyn velvollisuuksien noudattaminen. Toimittajan on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.

Asiakkaalla tai tämän valtuuttamallaan auditoijalla on oikeus tarkastaa Toimittajan tai tämän käyttämien alihankkijoiden henkilötietojen käsittelyn velvollisuuksien noudattaminen. Toimittajan on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.

Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 työpäivää ennen tarkastusta.

Asiakkaalla tai tämän valtuuttamallaan auditoijalla on oikeus tarkastaa Toimittajan tai tämän käyttämien alihankkijoiden henkilötietojen käsittelyn velvollisuuksien noudattaminen. Toimittajan on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.

Tarkastus voidaan suorittaa enintään kerran vuodessa ja siitä on ilmoitettava Toimittajalle kirjallisesti vähintään 30 päivää etukäteen.

Auditointi tulee suorittaa tavalla, joka ei haittaa Toimittajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden.

Asiakkaan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Auditoija ei voi olla Toimittajan kilpailija eikä auditointia voida suorittaa tämän sopimuksen päättymisen jälkeen.

9.2. Tiedonjako ja toimittajan osallistuminen

Vinkki: Ei suuria eroja. Valitse kuinka kattavasti haluat kohdan kuvattavan.

Toimittaja saattaa Asiakkaan saataville tämän pyynnöstä kaikki tiedot, jotka Asiakas tarvitsee rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Tilaajan vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. 

Toimittaja osallistuu tarkastuksen toteuttamiseen ja antaa tarkastajalle ne tiedot, jotka ovat tarpeen osoittamaan, että Toimittaja noudattaa tässä sopimuksessa sille määriteltyjä velvollisuuksia. Tarkastajalla ei ole oikeutta saada pääsyä Toimittajan asiakkaiden tai yhteistyökumppaneiden tietoihin.

9.3. Auditoinnin kustannukset

Vinkki: Kumman on luonnollista vastata auditoinnin kustannuksista? Tässä kohdassa on merkittäviä eroja.

Osapuolet vastaavat omalta osaltaan auditoinnista aiheutuvista kustannuksista

Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkastuksista aiheutuneet kustannukset.

Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkastuksista aiheutuneet kustannukset. Mikäli tarkastukset paljastavat merkittäviä puutteita Toimittajan toiminnoissa, Toimittaja vastaa tarkastuksista aiheutuvista omista kustannuksistaan.

Mahdolliset lisäykset 

Auditointi ei ole vastuuvapautus

Mahdolliset asiakkaan suorittamat tarkastukset eivät rajoita toimittajan tai sen alihankkijoiden näiden erityisehtojen tai sopimuksen mukaisia velvollisuuksia ja vastuita.

10. Henkilötietojen poistaminen tai palauttaminen rekisterinpitäjälle käsittelyn päättyessä

GDPR vaatii: Rekisterinpitäjän valinnan mukaan käsittelijä poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot.
Lisätiedot: Henkilötietojen käsittelijä (GDPR-artikla 28), kohta 3g

10.1. Poistaminen sopimuksen päätyttyä

Vinkki: Miten haluatte henkilötietojenne kanssa toimittavan? Tässä kohdassa on merkittäviä eroja.

Sopimuksen päätyttyä Toimittaja poistaa kaikki sopimuksenmukaiset henkilötiedot tai pyynnöstä palauttaa ne asiakkaalle sekä poistaa kaikki kopiot niistä.

Sopimuksen päättyessä tai purkautuessa Toimittaja palauttaa Asiakkaalle kaikki Asiakkaan puolesta käsitellyt henkilötiedot sekä hävittää omat mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu.

Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toimittaja säilyttää henkilötiedot.

Sopimuksen päättyessä tai purkautuessa Toimittaja asiakkaan valinnan mukaan joko poistaa kaikki asiakkaan puolesta käsitellyt henkilötiedot tai palauttaa ne asiakkaalle, sekä poistaa kaikki kopiot niistä.

Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toimittaja säilyttää henkilötiedot.

Sopimuksen päättyessä tai purkautuessa Toimittaja poistaa tai palauttaa henkilötiedot Asiakkaan kirjallisen pyynnön mukaisesti sekä poistaa kaikki kopiot niistä.

Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toimittaja säilyttää henkilötiedot.

Toimittajalla on oikeus veloittaa Asiakasta henkilötietojen palauttamisesta tai tuhoamisesta tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.

Mahdolliset lisäykset 

Poistaminen käsittelyn aikana

Sopimuksen voimassaoloaikana Toimittaja ei saa poistaa Asiakkaan lukuun käsittelemiään henkilötietoja ilman Asiakkaan nimenomaista pyyntöä.

Säilytysvelvollisuus sopimuksen päätyttyä

Jos Asiakas ei sopimuksen päätyttyä pyydä poistamaan henkilötietoja, tulee Toimittajan säilyttää niitä kuusi (6) kuukautta ennen kuin poistaa ne, ellei lainsäädännöstä muuta johdu.

11. Vahingonkorvaukset ja riitojenratkaisu (valinnainen)

GDPR ei edellytä tätä kohtaa. Joissain tapauksissa sen sisällyttäminen mukaan voi kuitenkin olla tarpeen.

11.1. Vahingonkorvaukset ja hallinnolliset sakot rekisteröidylle aiheutuneesta vahingosta

Vinkki: Ei suuria eroja. Valitse kuinka kattavasti haluat kohdan kuvattavan.

Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollista sakoista sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta.

Jos rekisteröidylle aiheutuu tietosuoja-asetuksen tai sopimuksen loukkauksista aineellista tai aineetonta vahinkoa, Toimittaja on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tietosuoja-asetuksen tai tämän sopimuksen velvoitteita.

11.2. Vahingonkorvaukset sopijapuolten välillä

Vinkki: Ei suuria eroja. Valitse kuinka kattavasti haluat kohdan kuvattavan.

Sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on yhteensä enintään 40 prosenttia toimituksen kohteen arvonlisäverottomasta kokonaishinnasta.

Sopijapuoli ei vastaa välillisestä vahingosta. Välillisenä vahinkona pidetään esimerkiksi saamatta jäänyttä voittoa tai vahinkoa, joka johtuu tuotannon tai liikevaihdon vähentymisestä tai keskeytymisestä.

Vastuunrajoitukset eivät koske vahinkoa, joka on aiheutettu toimituksen kohteen lain tai sopimuksen vastaisella luovutuksella, kopioinnilla tai käytöllä, immateriaalioikeuksien loukkaamiselle, salassapitoa rikkomalla, tahallisesti tai törkeällä huolimattomuudella.

Sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on enintään kohteen laskennallinen arvonlisäveroton kuukausihinta rikkomushetkellä kerrottuna 6:lla.

Sopijapuoli ei vastaa välillisestä vahingosta. Välillisenä vahinkona pidetään esimerkiksi saamatta jäänyttä voittoa tai vahinkoa, joka johtuu tuotannon tai liikevaihdon vähentymisestä tai keskeytymisestä.

Vastuunrajoitukset eivät koske vahinkoa, joka on aiheutettu toimituksen kohteen lain tai sopimuksen vastaisella luovutuksella, kopioinnilla tai käytöllä, immateriaalioikeuksien loukkaamiselle, salassapitoa rikkomalla, tahallisesti tai törkeällä huolimattomuudella.

12. Sopimuksen voimaantulo

Sopimustekniikkaa, jota ei asetuksen puolesta vaadita.

12.1. Allekirjoitukset

Tämä sopimus tulee voimaan, kun molemmat osapuolet ovat allekirjoittaneet sen.

12.2. Sopimuksen päättyminen

Vinkki: Tarkenna omaan tilanteeseenne sopivaksi.

Tämä sopimus päättyy kun pääsopimus osapuolten välillä päättyy.

Tämä sopimus päättyy kun pääsopimus osapuolten välillä päättyy ja asiakkaan henkilötiedot on poistettu aiemmin kuvatun toimintamallin mukaisesti.

Sopimus on voimassa a)  niin pitkään kuin pääsopimus on voimassa tai b) osapuolilla on henkilötietojen käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.

Mahdolliset lisäykset 

Muutokset sopimukseen

Sopimukseen tehdyt muutokset ovat päteviä vain, jos ne on tehty kirjallisesti ja jos molemmat sopijapuolet ovat vahvistaneet ne allekirjoituksillaan tai sähköpostitse lähetetyllä muutosta koskevalla vahvistuksella.

Toimittajan kyky vastata sopimukseen

Toimittaja tiedottaa Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä sopimusta ja Asiakkaan antamia kirjallisia ohjeita.

Velvoitteet sopimuksen jälkeen

Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän sopimuksen voimassaolon päättymisestä riippumatta, jäävät voimaan sopimuksen päättymisen jälkeen.

Käytettyjä lähteitä / suositeltuja lisätietoja


WP29 - Guidelines on transparency under Regulation 2016/679

GDPR-asetus, etenkin artiklat 28, 33 , 34 sekä luku rekisteröidyn oikeuksista.

Listaus EU-komission tietosuojan riittävyyspäätöksistä

Privacy Shield -rekisteröityjen yritysten listaus

fakta.tietosuojamalli.fi-sivusto

yhteiso.tietosuojamalli.fi-sivusto