Identisuren henkilötietojen käsittelysopimus

Huom! Tämä on käännös 1.1.2023 voimaantulleesta alkuperäisestä ruotsinkielisestä sopimustekstistä joka löytyy täältä: https://Identisure.se/personuppgiftsbitradesavtal/

 

Kiitos, että valitsit Identisuren ja kiitos, että käytät aikaa henkilötietojen käsittelijän sopimuksen huolelliseen lukemiseen. Tämä sopimus on liite ja sitä sovelletaan kaikkiin asiakassopimuksiin.

 

Henkilötietojen käsittelysopimus – Asiakassopimuksen Liite 2 

 

1 Osapuolet

Tämä henkilötietojen käsittelijän sopimus (”Henkilötietojen käsittelijän sopimus”) on tehty seuraavien osapuolten välillä:

   (1) Identisure/Identisure i Sverige AB Suomen sivuliike, Y: 3305812-9 (”Henkilötietojen käsittelijä”);

   (2) Yritysasiakas, joka mainitaan asiakassopimuksessa (”Henkilötietojen vastuullinen käsittelijä”)

Henkilötietojen vastuullista käsittelijää ja henkilötietojen käsittelijää kutsutaan jäljempänä yhdessä ”Osapuoliksi” ja erikseen ”Osapuoleksi”.

 

2 Tausta

Osapuolet ovat tehneet sopimuksen, jonka mukaan Henkilötietojen käsittelijä tarjoaa palveluita, jotka sisältävät henkilötietojen käsittelyä Henkilötietojen vastuullisen käsittelijän lukuun (”Sopimus”). Tämä Henkilötietojen käsittelysopimus ja sen liitteet muodostavat sellaisen sopimuksen, joka vaaditaan GDPR:n (määritelty alla) mukaan, kun oikeushenkilö käsittelee henkilötietoja toisen oikeushenkilön lukuun.

 

3 Määritelmät

Henkilötietoihin liittyvät käsitteet tulkitaan ja sovelletaan GDPR:n mukaisesti. Lisäksi seuraavilla ilmaisuilla on tässä Henkilötietojen käsittelijän sopimuksessa seuraavat merkitykset:

”Käsittely” ja ”Käsitellä” viittaavat kaikkiin toimenpiteisiin, joita suoritetaan henkilötietojen kanssa, esimerkiksi kerääminen, rekisteröinti, järjestäminen, rakenteellistaminen, säilyttäminen, prosessointi, muokkaus, tuottaminen, lukeminen, käyttö, luovuttaminen, levittäminen tai muutoin saataville asettaminen, sovittaminen tai yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.

”GDPR” viittaa Euroopan parlamentin ja neuvoston yleiseen tietosuojadirektiiviin (EU) 2016/679.

”Tietoturvaloukkaus” viittaa turvallisuusloukkaukseen, joka johtaa tahattomaan tai laittomaan tuhoamiseen, katoamiseen tai muuttamiseen tai luvattomaan paljastamiseen tai pääsyyn siirrettyihin, tallennettuihin tai muuten käsiteltyihin henkilötietoihin.

”Käsiteltävät henkilötiedot” viittaa henkilötietoihin, jotka Henkilötietojen käsittelijä käsittelee Henkilötietojen vastuullisen käsittelijän lukuun Sopimuksen mukaisesti. Näihin henkilötietoihin kuuluvat muun muassa nimet ja henkilötunnukset, sähköpostiosoitteet ja IP-osoitteet.

”Henkilötietojen vastuullinen käsittelijä” viittaa fyysiseen tai juridiseen henkilöön, julkiseen viranomaiseen, laitokseen tai muuhun elimeen, joka yksin tai yhdessä muiden kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot; jos tarkoitukset ja keinot määritetään unionin oikeuden tai jäsenvaltion kansallisen oikeuden mukaan, henkilötietojen vastuullisen käsittelijän tai erityiset kriteerit hänen nimeämiselleen määritetään unionin oikeudessa tai jäsenvaltion kansallisessa oikeudessa.

”Henkilötietojen käsittelijä” viittaa fyysiseen tai juridiseen henkilöön, julkiseen viranomaiseen, laitokseen tai muuhun elimeen, joka käsittelee henkilötietoja Henkilötietojen vastuullisen käsittelijän lukuun.

”Rekisteröidyt” viittaa henkilöön, johon henkilötieto liittyy.

”Valvontaviranomainen” viittaa Tietosuojavaltuutetun toimistoon.

”Sovellettava laki” sisältää GDPR:n sekä Tietosuojavaltuutetun toimiston ja asiaankuuluvien EU-elinten säädökset ja ohjeet ja muut soveltuvat säädökset, lausunnot ja suositukset henkilötietojen käsittelyyn liittyen sekä muu soveltuva lainsäädäntö.

”Kolmas osapuoli” viittaa fyysiseen tai juridiseen henkilöön, julkiseen viranomaiseen, laitokseen tai elimiin, jotka eivät ole Rekisteröity, Henkilötietojen vastuullinen käsittelijä, Henkilötietojen käsittelijä, Alihankkijat tai henkilöt, jotka ovat Henkilötietojen vastuullisen käsittelijän tai Henkilötietojen käsittelijän suoran valvonnan alaisia ja ovat valtuutettuja käsittelemään Käsiteltäviä henkilötietoja.

”Alihankkija” viittaa alihankkijoihin, jotka Henkilötietojen käsittelijä tai jokin Henkilötietojen käsittelijän Alihankkijoista on palkannut ja jotka suostuvat vastaanottamaan henkilötietoja Henkilötietojen käsittelijältä tai toiselta Henkilötietojen käsittelijän Alihankkijalta ainoalla tarkoituksella käsitellä Käsiteltäviä henkilötietoja Henkilötietojen vastuullisen käsittelijän ohjeiden ja kirjallisen alihankkijasopimuksen ehtojen mukaisesti.

 

4 Henkilötietojen vastuullisen käsittelijän velvollisuudet

4.1 Henkilötietojen vastuullisen käsittelijän on varmistettava, että kaikki Mukana olevien henkilötietojen Käsittely on sallittua Sovellettavan lain mukaan.

4.2 Henkilötietojen vastuullinen käsittelijä saa luovuttaa Henkilötietojen käsittelijälle vain sellaisia henkilötietoja, jotka ovat tarpeen Käsittelyn tarkoituksen saavuttamiseksi.

 

5 Mukana olevien henkilötietojen käsittely

5.1 Tämä Henkilötietojen käsittelijän sopimus koskee kaikkia Käsiteltävien henkilötietojen Käsittelyä.

Henkilötietojen käsittelijä ja henkilöt, jotka toimivat Henkilötietojen käsittelijän puolesta, saavat käsitellä Käsiteltäviä henkilötietoja vain tämän Henkilötietojen käsittelysopimuksen, Sovellettavan lain ja Henkilötietojen vastuullisen käsittelijän antamien kirjallisten ohjeiden mukaisesti. Henkilötietojen vastuullisen käsittelijän ohjeet tämän Henkilötietojen käsittelijän sopimuksen solmimishetkellä ilmoitetaan Liitteessä A.

5.2 Henkilötietojen käsittelijä vakuuttaa tämän Henkilötietojen käsittelysopimuksen myötä, että sillä on riittävä ja tarpeellinen tekninen ja organisatorinen kapasiteetti sekä kyky, mukaan lukien tekniset ratkaisut, pätevyys, taloudelliset ja henkilöstöresurssit, menettelyt ja metodit velvollisuuksiensa täyttämiseen tämän Henkilötietojen käsittelysopimuksen ja Sovellettavan lain mukaisesti.

5.3 Jos Henkilötietojen käsittelijällä ei ole ohjeita, jotka katsotaan tarpeellisiksi tietyn tehtävän suorittamiseksi, joka sisältää tai saattaa sisältää henkilötietojen Käsittelyä, tai jos se on epävarma Käsittelyn tarkoituksesta, Henkilötietojen käsittelijän on viipymättä ilmoitettava tästä Henkilötietojen vastuulliselle käsittelijälle ja odotettava lisäohjeita Henkilötietojen vastuulliselta käsittelijältä. Henkilötietojen käsittelijän on välittömästi ilmoitettava Henkilötietojen vastuulliselle käsittelijälle, jos se katsoo, että ohje rikkoo Sovellettavaa lakia.

5.4 Henkilötietojen käsittelijä sitoutuu noudattamaan Sovellettavaa lakia Käsiteltävien henkilötietojen Käsittelyssä. Henkilötietojen käsittelijän on itse pysyttävä ajan tasalla Sovellettavasta laista.

5.5 Henkilötietojen käsittelijän sitoumukset noudattaa Sovellettavaa lakia tulee tulkita kaikilta osin Henkilötietojen käsittelijän tarjoamien palvelujen luonteen mukaisesti, mikä yleensä tarkoittaa, että Henkilötietojen käsittelijä ei itse kerää henkilötietoja tai käytä Käsiteltäviä henkilötietoja muuhun tarkoitukseen kuin sopimuksen mukaisen velvoitteiden täyttämiseen.

Henkilötietojen käsittelijä ei missään tapauksessa, ilman asiaankuuluvan viranomaisen määräystä tai Sovellettavaa lakia noudattaen ja Käsiteltäviin henkilötietoihin liittyen:

a. kerää tai luovuta Käsiteltäviä henkilötietoja Kolmannelle osapuolelle, ellei toisin ole kirjallisesti sovittu;
b. muuta Käsittelymenetelmää
c. kopioi tai uudelleenluo henkilötietoja;
tai muutoin Käsittele Käsiteltäviä henkilötietoja muuhun tarkoitukseen kuin Sopimuksessa määriteltyihin tarkoituksiin, ellei tällaista Käsittelyä vaadita Euroopan unionin oikeuden tai jäsenvaltion kansallisen oikeuden mukaisesti, jota Henkilötietojen käsittelijä noudattaa, jolloin Henkilötietojen käsittelijän on ilmoitettava Henkilötietojen vastuulliselle käsittelijälle tästä oikeudellisesta vaatimuksesta ennen tietojen Käsittelyä, ellei tällainen tiedonanto ole kiellettyä tärkeän yleisen edun vuoksi kyseisen oikeuden mukaisesti.

 

6 Turvallisuus ja salassapito

6.1 Henkilötietojen käsittelijän on toteutettava teknisiä ja organisatorisia suojatoimenpiteitä Sovellettavan lain mukaisesti tai muutoin perustettava asianmukaisia teknisiä ja organisatorisia toimenpiteitä Käsiteltävien henkilötietojen suojaamiseksi luvattomalta tai laittomalta tuhoamiselta tai tahattomalta katoamiselta, muuttamiselta, luvattomalta paljastamiselta tai pääsyltä Käsiteltäviin henkilötietoihin. Henkilötietojen käsittelijän tämän Henkilötietojen käsittelijän sopimuksen solmimishetkellä toteuttamat turvatoimenpiteet ilmoitetaan alla Liitteessä C, ja Henkilötietojen vastuullinen käsittelijä vahvistaa tämän Henkilötietojen käsittelijän sopimuksen solmimisen yhteydessä, että nämä toimenpiteet ovat riittäviä Mukana olevien henkilötietojen Käsittelyyn nähden.

6.2 Henkilötietojen käsittelijä ei saa ilman

(i) Henkilötietojen vastuullisen käsittelijän kirjallista suostumusta etukäteen, ja
(ii) varmistamatta, että tällainen siirto tapahtuu Sovellettavan lain mukaisesti,
siirtää Käsiteltäviä henkilötietoja maahan Euroopan talousalueen (ETA) ulkopuolelle tai maahan, joka ei kuulu poikkeuksiin, jotka koskevat kieltoa siirtää tietoja kolmansiin maihin Sovellettavan lain mukaan. Tämä kielto kattaa myös teknisen tuen, ylläpidon ja vastaavat palvelut.

 

7 Tarkastus ja tietopyynnöt

7.1 Henkilötietojen käsittelijän on viipymättä ilmoitettava Henkilötietojen vastuulliselle käsittelijälle mahdollisista yhteyksistä Valvontaviranomaiseen tai muuhun viranomaiseen, jotka liittyvät tai voivat olla merkityksellisiä Mukana olevien henkilötietojen Käsittelyyn liittyen. Henkilötietojen käsittelijällä ei ole oikeutta edustaa Henkilötietojen vastuullista käsittelijää tai toimia muutoin Henkilötietojen vastuullisen käsittelijän puolesta Valvontaviranomaisen tai muun Kolmannen osapuolen edessä ilman Henkilötietojen vastuullisen käsittelijän kirjallista suostumusta.

7.2 Jos Rekisteröity, Valvontaviranomainen tai muu Kolmas osapuoli pyytää tietoja joltakin Osapuolilta, joka jollain tavalla sisältää Käsiteltäviä henkilötietoja, Osapuolet tekevät yhteistyötä ja vaihtavat tarvittavassa määrin tietoja. Henkilötietojen käsittelijä ei saa luovuttaa Käsiteltäviä henkilötietoja tai muuta tietoa Mukana olevien henkilötietojen Käsittelystä ilman Henkilötietojen vastuullisen käsittelijän kirjallista suostumusta, ellei viranomaisen määräys tai pakottava lainsäädäntö edellytä niin.

7.3 Henkilötietojen käsittelijän on Henkilötietojen vastuullisen käsittelijän pyynnöstä, suoraan Henkilötietojen vastuulliselle käsittelijälle tai Henkilötietojen vastuullisen käsittelijän palkkaamalle riippumattomalle Kolmannelle osapuolelle, osoitettava täyttävänsä tämän Henkilötietojen käsittelysopimuksen ja Sovellettavan lain mukaiset velvoitteensa toimittamalla viipymättä asiaankuuluvaa dokumentaatiota, viittaamalla asiaankuuluvaan ja hyväksyttyihin toimintatapoihin, mahdollistamalla ja osallistumalla tarkastuksiin tiloissa, IT-järjestelmissä ja muissa domaineissa ja/tai toimittamalla muuta asianmukaista todistusaineistoa.

7.4 Jos Rekisteröity, Valvontaviranomainen tai muu Kolmas osapuoli pyytää tietoja Henkilötietojen käsittelijältä, joka liittyy Käsiteltävien henkilötietojen Käsittelyyn tämän Henkilötietojen käsittelysopimuksen mukaisesti, Henkilötietojen käsittelijän on ohjattava pyyntö Henkilötietojen vastuulliselle käsittelijälle. Henkilötietojen käsittelijä ei saa luovuttaa Käsiteltäviä henkilötietoja tai muuta tietoa Käsiteltävien henkilötietojen Käsittelystä ilman Henkilötietojen vastuullisen käsittelijän nimenomaista ohjetta, paitsi jos Henkilötietojen käsittelijä on siihen pakotettu Sovellettavan lain mukaan. Henkilötietojen käsittelijän on avustettava Henkilötietojen vastuullista käsittelijää tuottamaan tietoja, joita Valvontaviranomainen tai Rekisteröity on pyytänyt, jotta Henkilötietojen vastuullinen käsittelijä voi täyttää velvoitteensa vastata pyyntöön Käsiteltävien henkilötietojen Käsittelyyn liittyen Rekisteröidyn oikeuksien osalta.

Henkilötietojen käsittelijän on erityisesti avustettava Henkilötietojen vastuullista käsittelijää varmistamaan, että velvoitteet Tietosuojadirektiivin artiklojen 32–36 mukaisesti (henkilötietojen turvallisuus, tietosuojan vaikutusten arviointi ja ennakkoneuvottelu) täyttyvät ottaen huomioon Käsittelyn tyyppi ja se tieto, joka Henkilötietojen käsittelijällä on saatavilla.

 

8 Henkilötietojen käsittelijän tukeutuminen Kolmansiin osapuoliin

8.1 Henkilötietojen vastuullinen käsittelijä antaa täten Henkilötietojen käsittelijälle oikeuden palkata Alihankkijoita Käsiteltävien henkilötietojen Käsittelyyn. Ennen kuin Henkilötietojen käsittelijä palkkaa Alihankkijan, Henkilötietojen vastuullista käsittelijää on kirjallisesti informoitava siitä, että tällainen palkkaus voi tapahtua. Jos Henkilötietojen vastuullinen käsittelijä tekee vastalauseen Alihankkijaa kohtaan kolmen (3) päivän kuluessa tällaisen kirjallisen ilmoituksen vastaanottamisesta, Osapuolet tekevät yhteistyötä mahdollisesti löytääkseen ratkaisuja olosuhteisiin, jotka ovat aiheuttaneet vastalauseen. Jos tällaista vastalausetta ei esitetä määräajassa, Henkilötietojen käsittelijällä on oikeus palkata Alihankkija ilman Henkilötietojen vastuullisen käsittelijän lisähyväksyntää.

8.2 Jos Henkilötietojen käsittelijä tämän Henkilötietojen käsittelijän sopimuksen mukaisesti palkkaa Alihankkijoita, Henkilötietojen käsittelijän on huolehdittava siitä, että sen sopimukset näiden kanssa laaditaan siten, että nämä Alihankkijat sitoutuvat vaatimuksiin, jotka takaavat Mukana oleville henkilötiedoille vähintään yhtä suuren suojan kuin tässä Henkilötietojen käsittelijän sopimuksessa, Avtal:ssa määritellyissä vaatimuksissa ja lisäksi soveltuvissa oikeudellisissa vaatimuksissa määritellään. Jos Alihankkija ei täytä tietosuojavelvoitteitaan, Henkilötietojen käsittelijä on täysin vastuussa Henkilötietojen vastuulliselle käsittelijälle Alihankkijan velvoitteiden täyttämisestä.

 

9 Siirrot kolmansiin maihin

9.1 Jos Henkilötietojen vastuullinen käsittelijä on antanut suostumuksensa siirtoon, tällainen siirto on tapahduttava GDPR:n sääntöjen mukaisesti. On Henkilötietojen vastuullisen käsittelijän vastuulla arvioida, edellyttääkö sen toiminta ja Käsiteltävät henkilötiedot, lisäsuojatoimenpiteitä siirrolle varmistaakseen Käsiteltäville henkilötiedoille olennaisesti vastaavan suojan tason kuin GDPR määrittelee. Ohjeet siirroista ja hyväksynnät ilmoitetaan Liitteessä B.

9.2 Hyväksytyille siirroille on toteutettava asianmukainen suojatoimenpide siirrolle. Henkilötietojen vastuullinen käsittelijä hyväksyy, että Henkilötietojen käsittelijä soveltuvin osin on solminut tai tämän Henkilötietojen käsittelijän sopimuksen solmimishetkellä jo solminut Euroopan komission hyväksymät vakiomuotoiset tietosuojalausekkeet, jotka on hyväksytty täytäntöönpanopäätöksellä (EU) 2021/914 4. kesäkuuta 2021 vakiomuotoisista tietosuojalausekkeista henkilötietojen siirtoon kolmansiin maihin Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 mukaisesti (jäljempänä ”SCC:t”), vastaanottavan osapuolen kanssa, jolle Käsiteltävät henkilötiedot siirretään. Siirto voi myös olla suojattu muulla asianmukaisella suojatoimenpiteellä, joka määritellään GDPR:ssä.

9.3 Osapuolet ymmärtävät ja sopivat, että niiden ei tarvitse solmia SCC:itä (Standard Contractual Clauses,) keskenään, koska molemmat toimivat Euroopan unionin alueella, ja että Henkilötietojen käsittelijä itsenäisesti solmii SCC:t Alihankkijoiden kanssa tarvittaessa.

 

10 Henkilötietojen tietoturvaloukkaus

10.1 Jos Henkilötietojen käsittelijä havaitsee tietoturvaloukkauksen, Henkilötietojen käsittelijän on ainakin

a. ilmoitettava viipymättä ja viimeistään 24 tunnin kuluessa Henkilötietojen vastuulliselle käsittelijälle tietoturvaloukkauksesta ja
b. tutkittava ja kuvattava tietoturvaloukkaus sekä ryhdyttävä asianmukaisiin toimenpiteisiin tietoturvaloukkauksen parantamiseksi ja sen toistumisen estämiseksi

10.2 Tietoturvaloukkauksen kuvaus tulee sisältää ainakin

a. Kuvauksen tietoturvaloukkauksen luonteesta, mukaan lukien, jos mahdollista, luokat ja likimääräinen määrä Rekisteröityjä, joita se koskee, sekä luokat ja likimääräinen määrä Käsiteltäviä henkilötietoja, joita se koskee,
b. Yhteyshenkilön, jolta lisätietoja voidaan saada, nimi ja yhteystiedot
c. Tietoturvaloukkauksen todennäköisten seurausten kuvaus, sekä
d. Toimenpiteet, jotka Henkilötietojen käsittelijä on toteuttanut tai ehdottanut tietoturvaloukkauksen korjaamiseksi, mukaan lukien tarvittaessa toimenpiteet sen mahdollisten kielteisten vaikutusten lieventämiseksi.

10.3 Henkilötietojen käsittelijän on ilmoitettava Henkilötietojen vastuulliselle käsittelijälle, jos Henkilötietojen käsittelijä saa tietää, että Käsiteltäviä henkilötietoja Käsitellään Henkilötietojen vastuullisen käsittelijän ohjeiden tai tämän Henkilötietojen käsittelijän sopimuksen vastaisesti.

10.4 Jos tietynlainen Käsittely, erityisesti uuden teknologian käyttö ja ottaen huomioon sen luonne, laajuus, konteksti ja tarkoitus, Henkilötietojen vastuullisen käsittelijän mielestä todennäköisesti johtaa suureen riskiin fyysisten henkilöiden oikeuksille ja vapauksille, Henkilötietojen käsittelijän on ennen Käsittelyn suorittamista oltava avuksi suunnitellun Käsittelyn vaikutusten arvioinnissa Käsiteltävien henkilötietojen suojeluun.

 

11 Vastuu

11.1 Jos Sopimuksen ja sen liitteiden mukaisesti Käsiteltävien henkilötietojen Käsittelyä koskevien velvoitteiden ja tämän Henkilötietojen käsittelijän sopimuksen mukaisten velvoitteiden välillä ilmenee ristiriita, on Henkilötietokäsittelysopimus  etusijalla.

11.2 Henkilötietojen käsittelijä ei ole vastuussa mistään tuotannon menetyksestä, liiketoiminnan tai voiton menetyksestä, hyvän tahdon menetyksestä tai mistään epäsuorista tai seuraamuksellisista vahingoista, ellei Henkilötietojen käsittelijä ole tahallisesti tai törkeän huolimattomasti rikkonut tämän Henkilötietojen käsittelijän sopimuksen määräyksiä.

11.3 Henkilötietojen käsittelijän kokonaisvastuu on rajoitettu suoriin vahinkoihin ja  enintään summaan, joka vastaa sitä laskun summaa, johon Palveluun liittyvä virhe, vahinko tai tappio liittyy.

 

12 Korvaus

Henkilötietojen käsittelijällä on oikeus korvaukseen työstä, joka suoritetaan tämän Henkilötietojen käsittelijän sopimuksen kohdan 7 mukaisesti. Tällainen työ tehdään 100 EUR:n  tuntihintaan ilman arvonlisäveroa. Henkilötietojen käsittelijä suorittaa työtä vain tuntihinnalla, kirjallisen sopimuksen mukaisesti Henkilötietojen vastuullisen käsittelijän kanssa.

 

13 Henkilötietojen käsittelijän sopimuksen voimassaoloaika

Tämä Henkilötietojenkäsittelysopimus tulee voimaan Asiakassopimuksen allekirjoituspäivänä ja on voimassa niin kauan kuin Henkilötietojen käsittelijä Käsittelee Käsiteltäviä henkilötietoja.

 

14 Mukana olevien henkilötietojen Käsittelyn lopettaminen

Kun Henkilötietokäsittelysopimuksen voimassaolo päättyy, Henkilötietojen käsittelijän on välittömästi, ja viimeistään yhdeksänkymmenen (90) päivän kuluessa, poistettava kaikki Mukana olevat henkilötiedot tai palautettava ne Henkilötietojen vastuulliselle käsittelijälle niin kuin Henkilötietojen vastuullinen käsittelijä on määritellyt ja Henkilötietojen vastuullisen käsittelijän ohjeiden mukaisesti, ja varmistettava, että mitään Käsiteltäviä henkilötietoja tai niiden kopioita ei ole jäljellä Henkilötietojen käsittelijän hallussa.

 

15 Muutokset ja lisäykset

Muutokset tässä Henkilötietojen käsittelijän sopimuksessa ja lisäykset siihen on oltava kirjallisesti ja molempien Osapuolten allekirjoittamia ollakseen sitovia.

 

16 Sovellettava laki ja riitojen ratkaisu

Tähän Henkilötietojenkäsittelysopimukseen sovelletaan ruotsalaisia lakeja. Riita tämän Henkilötietojen käsittelijän sopimuksen tulkinnasta tai soveltamisesta ratkaistaan lopullisesti Yleisten sopimusehtojen mukaisesti määriteltyjen riitojen ratkaisukohdan mukaisesti.

 

17 Muuta

17.1 Kumpikaan osapuoli ei saa siirtää tätä Henkilötietojen käsittelysopimusta tai siihen liittyviä oikeuksia ilman toisen osapuolen kirjallista suostumusta kyseiseen siirtoon.

17.2 Kumppani ei saa luovuttaa tätä Henkilötietojen käsittelysopimusta tai siihen liittyviä oikeuksia ilman toisen Osapuolen kirjallista suostumusta siirtoon.

17.3 Osapuolen laiminlyönti käyttää jotakin Henkilötietojen käsittelijän sopimuksen mukaista oikeutta tai laiminlyönti huomauttaa tietyistä seikoista, jotka liittyvät Henkilötietojen käsittelysopimukseen, ei merkitse sitä, että Osapuoli luopuisi oikeudestaan kyseisessä asiassa.

17.4 Jos tuomioistuin tai välimiesoikeus toteaa, että jokin tämän Henkilötietojen käsittelysopimuksen kohta on kokonaan tai osittain mitätön, kohdan muut osat sekä kaikki muut Henkilötietojen käsittelijän sopimuksen velvoitteet ovat voimassa siinä määrin kuin Sovellettava laki sallii, ja Osapuolet neuvottelevat lojaalisti keskenään tarkoituksenaan tarvittaessa sopia tarvittavista muutoksista Henkilötietojen käsittelijän sopimukseen säilyttääkseen Henkilötietojen käsittelijän sopimuksen rakenteen, tarkoituksen ja hengen.

 

LIITE A

LIITE A – OHJEET KÄSITTELYYN

Versiot liitteestä

1.0 14.1.2021 Alkuperäinen ohje julkaistu
1.1 1.1.2023 Liitteen päivitys. Asiakirjan selkeyttäminen. Lisätty Osapuolien velvollisuus ilmoittaa voimassa olevat yhteyshenkilöiden yhteystiedot toiselle Osapuolelle.

Osapuolten yhteystiedot

Osapuolten on nimettävä ja nimettävä yhteyshenkilöt tietosuojakysymyksiin ja toimitettava toisilleen voimassa olevat yhteystiedot toiselle Osapuolelle.

Käsittelytiedot

Henkilötietojen käsittelijän on Käsiteltävä seuraavia Käsiteltäviä henkilötietoja:

Nimi, henkilötunnus, sähköpostiosoite, IP-osoite

Henkilötietojen käsittelijän on Käsiteltävä seuraavia arkaluonteisia henkilötietoja, ottaen huomioon määritellyt lisäsuojatoimenpiteet:

N/A

Henkilötiedot koskevat seuraavia Rekisteröityjen ryhmiä:

Henkilötietojen vastuullisen käsittelijän asiakkaat.

Henkilötietojen käsittelijän Käsittely sisältää seuraavat vaiheet:

Henkilötietojen käsittelijä vahvistaa Henkilötietojen vastuullisen käsittelijän asiakkaan henkilöllisyyden jonkin Henkilötietojen vastuullisen käsittelijän kautta saatavilla olevan sähköisen tunnisteen (esim. Pankkitunnusten) avulla. Vahvistettujen henkilötietojen kirjaukset luodaan ja poistetaan säilytysaikojen mukaisesti.

Henkilötietojen käsittelijän Käsittelyn tarkoitus on:

Käsittely tähtää Henkilötietojen vastuullisen käsittelijän asiakkaan henkilöllisyyden vahvistamiseen.

Henkilötietojen käsittelijän on noudatettava seuraavia säilytysaikoja Käsiteltäville henkilötiedoille:

Henkilötietojen käsittelijä säilyttää henkilötietoja 30 päivää, ellei Henkilötietojen vastuullisella käsittelijällä ole tarvetta pidempään säilytysaikaan, kuitenkin enintään 90 päivää.

Henkilötietojen käsittelijän Käsiteltävien henkilötietojen säilytys ei tähtää näiden arkistointiin vaan ainoastaan väliaikaiseen säilytykseen/siirtoon.

 

LIITE B

LIITE B – ALIHANKKIJAT

Henkilötietojen vastuullinen käsittelijä hyväksyy seuraavien Alihankkijoiden käyttämisen ja tarvittaessa Henkilötietojen käsittelyn siirron alla mainituille Alihankkijoille:

Nimi: Amazon Web Services EMEA SARL, Ruotsin sivuliike
Osoite: Kungsgatan 49, 111 22 Tukholma, Ruotsi
Käsittelyn kuvaus: Henkilötietojen käsittelijä ostaa IT-hosting- ja tallennuspalveluita Amazon Web Servicesilta.
Käsittelyn paikka: Tukholma, Ruotsi
Toimenpide GDPR:n mukaisesti: (tarvittaessa)

Henkilötiedot eivät siirry vastaanottajille EU:n/ETA:n ulkopuolelle.

Nimi:
Osoite:
Käsittelyn kuvaus:
Käsittelyn paikka:
Toimenpide GDPR:n mukaisesti:  (tarvittaessa)

 

LIITE C

LIITE C – TEKNISET JA ORGANISATORISET TURVATOIMENPITEET

1. Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services

All Identisure systems are hosted on Amazon AWS with multiple availability zones and daily backups. The systems are monitored by two separate systems and actions are taken 24/7 by Identisures external Cloud Ops partner if needed. Confidentiality is ensured by encryption and strict access management.

2. Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident.

Data is backed up every day and Identisures system architecture can be restored with cloud formation scripts.

3. Measures for user identification and authorisation

Access to Identisure’s systems is strictly regulated by different user roles. Testing and development environments are separated from production environments and a limited number of authorized users has access to servers and databases.

4. Measures for the protection of data during transmission

Transmitted data is protected by SSL encryption.

5. Measures for the protection of data during storage

Data on AWS S3 and AWS RDS is encrypted with 256‐bit Advanced Encryption Standard (AES) keys that are not exportable. In addition, all customer data is also encrypted with SALT keys unique for each company.

6. Measures for internal IT and IT security governance and management

Internal IT security is governed by Identisures Clean Desk Policy and IT policy. Two factor authorization is mandatory for all systems and remote lock/deletion is enabled on all devices.

7. Measures for ensuring data minimisation

Identisure only stores the minimum amount of data needed for the services, and the data us autodeleted at set intervals.

8. Measures for ensuring limited data retention

All data is automatically deleted after 30 days (default setting). This can be changed to between 0 and 90 days on request from the customer.

 

Yhteystiedot ja tuki

Voit ottaa yhteyttä Identisureiin tukipalveluihin ja muihin kysymyksiin milloin tahansa. Asiakaspalvelu on tavoitettavissa arkipäivisin sähköpostitse osoitteessa info@identisure.com klo 9–17 välisenä aikana.

Identisure/Identisure i Sverige AB Suomen sivuliike
info@identisure.com