Tietojenkäsittelysopimus

1 Yleistä

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimus (jäljempänä ”Tietojenkäsittelysopimus”) on liite ohjelmistopalvelun käyttöä koskevaan sopimukseen Monad Oy:n (jäljempänä ”Palveluntuottaja”) ja Asiakkaan välillä. Tähän Tietojenkäsittelysopimukseen sovelletaan sopimuksen ehtoja siinä määrin kuin tässä ei ole toisin sovittu. Sopimuksesta yhdessä kaikkien liitteidensä kanssa (käsittäen myös tämän Tietojenkäsittelysopimuksen) käytetään nimitystä ”Sopimus”.

Palveluntuottajasta ja Asiakkaasta käytetään erikseen nimitystä ”Sopijapuoli” ja yhdessä ”Sopijapuolet”.

2 Tietojenkäsittelysopimuksen tausta ja tarkoitus

Palveluntuottaja on tiettyjen ohjelmistotuotteiden ja niihin liittyvien palveluiden omistaja ja lisenssinantaja. Palveluntuottaja on antanut käyttöoikeuden (lisenssin) Asiakkaalle näihin tuotteisiin ja palveluihin.

Tällä Tietojenkäsittelysopimuksella sovitaan ehdoista, joiden nojalla Palveluntuottaja käsittelee Asiakkaan vastuulla olevia henkilötietoja Asiakkaan puolesta ja lukuun.

Palveluntuottaja on henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön (jäljempänä “Tietosuojalainsäädäntö”) tarkoittama henkilötietojen käsittelijä. Asiakas on Tietosuojalainsäädännön tarkoittama rekisterinpitäjä.

Tässä Tietojenkäsittelysopimuksessa Tietosuojalainsäädännöllä tarkoitetaan Suomessa sovellettavaa henkilötietojen käsittelyä ja tietosuojaa koskevaa lainsäädäntöä, kuten Suomen tietosuojalaki (1050/2018) sekä EU:n yleinen tietosuoja-asetus (679/2016), sekä tietosuojavalvontaviranomaisten sitovia päätöksiä.

3 Henkilötietojen käsittely ja tietosuoja

Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät on kuvattu Liitteessä 1.

4 Asiakkaan velvollisuudet

Asiakas toimii Tietosuojalainsäädännön tarkoittamana rekisterinpitäjänä. Asiakas sitoutuu huolehtimaan Tietosuojalainsäädännön mukaisista rekisterinpitäjän velvollisuuksistaan. Asiakas vastaa erityisesti siitä, että:

  1. Asiakkaalla on oikeus luovuttaa henkilötietoja Palveluntuottajalle Sopimuksen mukaisiin tarkoituksiin;
  2. henkilötietojen käsittelylle on olemassa Tietosuojalainsäädännön mukainen oikeusperuste, kuten sopimus, rekisterinpitäjän oikeutetut edut tai rekisteröidyn suostumus;
  3. kerättyjen ja käsiteltävien henkilötietojen käsittely ja käyttötarkoitukset on määritetty ennen käsittelytoiminnan aloittamista;
  4. henkilötiedot ovat täsmällisiä, virheettömiä ja tarpeellisia määriteltyjen käyttötarkoitusten kannalta, ja että tarpeettomia tietoja ei kerätä;
  5. Asiakas ohjeistaa Palveluntuottajaa lainmukaisesti henkilötietojen käsittelyssä, ml. antaa dokumentoidut ohjeet henkilötietojen käsittelyä koskien;
  6. Asiakas antaa käyttöoikeudet osoittamilleen henkilöille ja poistaa näiden käyttöoikeudet, kun niitä ei enää tarvita ja huolehtii käyttäjiensä asianmukaisesta ohjeistuksesta ja kouluttamisesta henkilötietojen käsittelyyn;
  7. henkilötiedot on suojattu asiattomalta pääsyltä sekä vahingossa ja luvattomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä;
  8. epätarkat ja virheelliset henkilötiedot oikaistaan tai poistetaan viipymättä;
  9. vanhentuneita ja tarpeettomaksi muuttuneita henkilötietoja ei käsitellä, vaan ne hävitetään luotettavalla tavalla, ellei Euroopan unionin oikeus tai lainsäädäntö velvoita säilyttämään tietoja;
  10. rekisteröidyillä on mahdollisuus saada henkilötietojensa käsittelystä läpinäkyvää informaatiota, joka on helposti saatavilla ja ymmärrettävissä selkeällä ja yksinkertaisella kielellä.

5 Palveluntuottajan velvollisuudet

Palveluntuottaja toimii Tietosuojalainsäädännön tarkoittamana henkilötietojen käsittelijänä. Asiakas on ohjeistanut Palveluntuottajaa käsittelemään henkilötietoja palveluiden tuottamiseksi. Mikäli Asiakas haluaa antaa Palveluntuottajalle täydentäviä ohjeita henkilötietojen käsittelystä, täydentävät ohjeet tulevat Palveluntuottajaa sitoviksi ainoastaan, mikäli Palveluntuottaja on hyväksynyt ne kirjallisesti. Palveluntuottajalla on oikeus veloittaa täydentävien ohjeiden noudattamisesta aiheutuneet kohtuulliset kustannukset.

Palveluntuottaja ilmoittaa välittömästi Asiakkaalle, jos se katsoo, että Asiakkaan antama ohjeistus rikkoo Tietosuojalainsäädäntöä.

Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi, ja ylläpitää näistä toimenpiteistä ja käsittelytoiminnasta asianmukaista dokumentaatiota.

Palveluntuottaja sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilötietojen käsittelyyn osallistuvat henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus ja lisäksi, että tällaiset henkilöt käsittelevät henkilötietoja ainoastaan tämän Tietojenkäsittelysopimuksen, Sopimuksen ja Asiakkaan ohjeiden mukaisesti.

Palveluntuottaja sitoutuu, siinä määrin kuin mahdollista, ottaen huomioon tietojenkäsittelyn luonteen, asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä avustamaan Asiakasta täyttämään rekisteröityjen oikeuksien käyttämistä koskevat velvollisuutensa, sekä ilmoittamaan Asiakkaalle saamistaan rekisteröityjen pyynnöistä. Palveluntuottajalla on oikeus veloittaa Asiakkaan avustamisesta aiheutuvat kohtuulliset kustannukset.

Palveluntuottaja saattaa, pyynnöstä ja siinä määrin kuin mahdollista, Asiakkaan saataville tarpeelliset tiedot henkilötietojen käsittelyä koskevien tämän Tietojenkäsittelysopimuksen mukaisten velvollisuuksiensa noudattamisen osoittamista varten. Palveluntuottaja sallii Asiakkaan suorittaa itse tai kolmatta osapuolta käyttäen – joka kolmas osapuoli ei saa olla Palveluntuottajan kilpailija – auditointeja, joihin Palveluntuottaja osallistuu. Asiakkaan on ilmoitettava auditoinnista vähintään kolmekymmentä (30) päivää kirjallisesti etukäteen, jonka jälkeen Sopijapuolet yhteisesti sopivat auditoinnin laajuudesta ja ajankohdasta, kuitenkin aina Palveluntuottajan yleisinä työskentelyaikoina. Auditointi ei saa aiheuttaa haittaa Palveluntuottajan normaalille liiketoiminnalle eikä salassapitovelvoitteiden rikkomisia kolmansia osapuolia kohtaan eikä vaarantaa Palveluntuottajan tietoturvaa. Asiakas vastaa auditoinnin kaikista kustannuksista. Palveluntuottajalla on oikeus veloittaa Asiakkaalta auditoinnista aiheutuvat kohtuulliset kustannukset. 

Palveluntuottaja avustaa, ottaen huomioon tietojenkäsittelyn luonteen ja Palveluntuottajan saatavilla olevat tiedot, Asiakasta mahdollisissa tietosuojaa koskevassa vaikutustenarvioinnissa, tietoturvaloukkausilmoituksissa sekä viranomaiselle tehtävässä ennakkokuulemispyynnössä siltä osin, kuin ne liittyvät Palveluntuottajan tuottamaan palveluun. Palveluntuottajalla on oikeus veloittaa Asiakkaalta näistä avustamistoimenpiteistä aiheutuvat kohtuulliset kustannukset. 

6 Palveluntuottajan alihankkijat

Palveluntuottajan mahdollisesti käyttämät alihankkijat, jotka osallistuvat henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Asiakkaan puolesta ja lukuun. Hyväksymällä tämän Tietojenkäsittelysopimuksen Asiakas täten antaa Palveluntuottajalle kirjallisen ennakkoluvan alihankkijoiden käyttämiseen. Palveluntuottaja vastaa alihankkijoidensa toiminnasta kuin omastaan, ja sitouttaa alihankkijansa noudattamaan Sopimuksen ja tämän Tietojenkäsittelysopimuksen mukaisia Palveluntuottajaa koskevia velvollisuuksia. Palveluntuottaja tiedottaa Asiakkaalle kirjallisesti kaikista suunnitelluista muutoksista, jotka koskevat alihankkijoiden lisäämistä tai vaihtamista, ja antaa siten Asiakkaalle mahdollisuuden vastustaa tällaisia muutoksia.

7 Henkilötietojen siirrot

Palveluntuottaja voi siirtää henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle, edellyttäen että Palveluntuottaja sitoutuu varmistamaan, että se itse ja alihankkijansa siirtävät henkilötietoja Tietosuojalainsäädäntöä, erityisesti EU:n yleisen tietosuoja-asetuksen luvun V säännöksiä, noudattaen.

8 Tietoturvaloukkaukset ja niistä ilmoittaminen

Palveluntuottajan on ilmoitettava Asiakkaalle kirjallisesti henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä saatuaan sen tietoonsa. Tietoturvaloukkausilmoituksessa Palveluntuottajan on annettava ainakin seuraavat tiedot:

  1. kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietojen ryhmät ja arvioidut lukumäärät; 
  2. ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;
  3. kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset ja/tai aiheutuneet seuraukset; sekä
  4. kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

9 Muutokset ja lisäykset

Mikäli Tietosuojalainsäädäntöön tai sitä tai sen tulkintaa koskeviin viranomaisten ohjeistuksiin, päätöksiin tai määräyksiin tulee sellaisia muutoksia, jotka johtaisivat siihen, ettei tämä Tietojenkäsittelysopimus enää vastaisi Tietosuojalainsäädännön asettamia vaatimuksia, Sopijapuolet sitoutuvat tekemään tältä osin tarvittavat muutokset tähän Tietojenkäsittelysopimukseen.

Muilta osin tämän Tietojenkäsittelysopimuksen muuttamisen osalta noudatetaan, mitä Sopimuksessa on sovittu sopimusehtojen muuttamisesta.

10 Voimassaoloaika ja päättyminen

Tämä Tietojenkäsittelysopimus astuu voimaan molempien Sopijapuolten hyväksyttyä sen ja pysyy voimassa niin kauan kuin Palveluntuottaja käsittelee Asiakkaan henkilötietoja Asiakkaan puolesta ja lukuun.

Sopimuksen mukaisten palveluiden päättymisen yhteydessä Palveluntuottaja sitoutuu, siltä osin kuin se on kohtuudella teknisesti mahdollista, Asiakkaan valinnan mukaan poistamaan tai palauttamaan kaikki Asiakkaan vastuulla olevat henkilötiedot Asiakkaalle. Palveluntuottajalla on oikeus veloittaa palauttamisesta aiheutuvat työkustannukset Asiakkaalta. Palveluntuottaja poistaa olemassa olevat jäljennökset henkilötiedoista, paitsi jos lainsäädännössä vaaditaan säilyttämään henkilötiedot.

11 Muut ehdot

Tämä Tietojenkäsittelysopimus korvaa kaikki aiemmat Sopijapuolten väliset henkilötietojen käsittelyä ja tietosuojaa koskevat sopimukset sekä tämän Tietojenkäsittelysopimuksen kanssa ristiriidassa olevat Sopimuksen ehdot, elleivät Sopijapuolet erikseen toisin sovi kirjallisesti.

Muilta osin tähän Tietojenkäsittelysopimukseen sovelletaan Sopimuksen ehtoja, kuten, rajoituksetta, sovellettavaa lakia ja riidanratkaisua sekä vastuunrajoitusta koskevaa ehtoa.

LIITE 1 – HENKILÖTIETOJEN KÄSITTELYN KUVAUS

Käsittelyn kohde, luonne ja tarkoitus

Palveluntuottaja käsittelee Asiakkaan henkilötietoja ainoastaan seuraavan tarkoituksen toteuttamiseksi:

Sopimusten mukaisten palveluiden tuottamiseksi Tietojenkäsittelysopimusta noudattaen.


Rekisteröityjen ryhmät ja henkilötietojen tyypit

Rekisteröityjen ryhmiä voivat olla:

Käyttäjä

Käsiteltäviä henkilötietoja voivat olla:

  • Etunimi ja Sukunimi
  • Sähköpostiosoite
  • Palkkatiedot
  • Työaikatiedot