11.5.2018

1 Johdanto

EmCe Solution Partner Oy (jäljempänä “Toimittaja”) on solminut asiakkaidensa (jäljempänä “Asiakas”) kanssa palvelusopimuksia (jäljempänä “Sopimus”), joissa on viitattu IT2010 ehtoihin tai vanhempiin ehtoihin. EU:n yleinen tietosuoja-asetus (679/2016) edellyttää jatkossa, että sopimuksissa, joihin kuuluu henkilötietojen käsittelyä, tulee erikseen sopia käsittelyn ehdoista. Näin ollen Toimittaja täydentää yleisiä ehtojaan tällä liitteellä (“Liite”).

Tämän Liitteen tarkoituksena on sopia Asiakkaan henkilötietojen tietosuojasta ja tietoturvasta Toimittajan palveluissa. Tämä Liite muodostaa osapuolten välille EU:n yleisen tietosuoja-asetuksen (679/2016) mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä. Välittömästi EU:n tietosuoja-asetukseen perustuvat velvollisuudet ja oikeudet tulevat voimaan vasta, kun EU:n tietosuoja-asetuksen soveltaminen alkaa 25.5.2018.

Jos tämän Liitteen ja Sopimuksen henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, osapuolet soveltavat ensisijaisesti tämän Liitteen ehtoja.

2 Määritelmät

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

“rekisterinpitäjällä” Asiakasta, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

“käsittelijällä” Toimittajaa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun Sopimuksen perusteella.

“käsittelyllä” toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

“henkilötiedoilla” kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ”rekisteröityyn”, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

“henkilötietojen tietoturvaloukkauksella” tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

3 Tietosuoja ja henkilötietojen käsittely

3.1 Toimittajan ja Asiakkaan vastuut

Toimittaja käsittelee Asiakkaan henkilötietoja Asiakkaan lukuun ja tämän toimeksiannosta Sopimuksen perusteella. Toimittajan käsittelemät henkilötiedot voivat liittyä esim. työntekijöihin tai asiakkaisiin. Asiakas on palvelussa käsiteltävien henkilötietojensa rekisterinpitäjä ja Toimittaja käsittelijä. Osapuolet sitoutuvat noudattamaan Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa henkilötietojen käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän liitteen ehtoja niiden mukaiseksi.

Rekisterinpitäjänä Asiakas on vastuussa siitä, että sillä on tarvittavat oikeudet ja suostumukset Sopimuksen mukaiseen henkilötietojen käsittelyn. Asiakas vastaa selosteen laatimisesta ja saatavilla pidosta sekä rekisteröityjen informoinnista ja ilmoituksista tietosuojaviranomaisille. Asiakas vastaa Toimittajalle antamiensa henkilötietojen oikeellisuudesta.

Asiakkaalla on oikeus ja velvollisuus määrittää henkilötietojen käsittelyn tarkoitus ja keinot. Käsittelyn kohde, luonne ja tarkoitus on tarkemmin määritelty Sopimuksessa. Palveluissa käsiteltävien henkilötietojen tyypit ja rekisteröityjen ryhmät on määritelty Sopimuksessa ja tarvittaessa Asiakas informoi niistä tarkemmin.

Toimittajalla on oikeus käsitellä Asiakkaan henkilötietoja ja muita Asiakkaan tietoja vain Sopimuksen, tämän Liitteen ja Asiakkaan kirjallisten ohjeiden mukaisesti ja vain siltä osin ja siten kuin on tarpeellista palveluiden toimittamiseksi. Toimittaja ilmoittaa Asiakkaalle, mikäli ohjeissa havaitaan EU:n tai Suomen tietosuojasäännösten vastaisuutta ja tällöin Toimittaja voi välittömästi kieltäytyä ja lopettaa soveltamasta Asiakkaan ohjeita.

Toimittaja ylläpitää palvelun kuvausta tai muuta EU:n tietosuoja-asetuksen vaatimaa selostetta palvelussa suoritettavista käsittelytoimista.

3.2 Tietojen poisto/palauttaminen

Sopimuksen päätyttyä Toimittaja palauttaa tai poistaa, Asiakkaan antaman ohjeistuksen mukaisesti, kaikki Asiakkaan henkilötiedot Asiakkaalle sekä poistaa olemassa olevat jäljennökset, ellei sovellettava lainsäädäntö edellytä henkilötietojen säilyttämistä.

3.3 Alihankkijat

Toimittajalla on oikeus käyttää alihankkijoita Asiakkaan henkilötietojen käsittelyssä. Toimittaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset henkilötietojen käsittelystä. Toimittaja ilmoittaa pyydettäessä Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen henkilötietojen käsittelyyn. Asiakkaalla on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä. Jos osapuolet eivät

pääse yksimielisyyteen uuden alihankkijan käyttämisestä, Asiakkaalla on oikeus irtisanoa Sopimus kolmenkymmenen (30) päivän irtisanomisajalla siltä osin, kun alihankkijan muutos vaikuttaa Sopimuksen mukaiseen henkilötietojen käsittelyyn.

3.4 Toimittajan avustamisvelvollisuus

Toimittaja siirtää välittömästi Asiakkaalle kaikki Rekisteröidyiltä saamansa henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden käsittelyn kieltämistä koskevat pyynnöt tai muut Rekisteröidyltä saamansa pyynnöt. Asiakkaan velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta. Ottaen huomioon käsittelytoimen luonteen, Toimittaja auttaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Asiakkaan velvollisuuden vastata Rekisteröidyn pyyntöihin.

Toimittaja on velvollinen, ottaen huomioon henkilötietojen käsittelyn luonteen ja sen saatavilla olevat tiedot, auttamaan Asiakasta varmistamaan, että sille laissa asetettuja velvollisuuksia noudatetaan. Nämä velvollisuudet voivat käsittää tietoturvallisuutta, tietoturvaloukkauksista ilmoittamista, tietosuojaa koskevaa vaikutustenarviointia ja ennakkokuulemista koskevia velvoitteita. Toimittaja on velvollinen avustamaan Asiakasta ainoastaan sovellettavan tietosuojalainsäädännön henkilötiedon käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Ellei toisin sovita, Toimittajalla on oikeus laskuttaa tämän sopimuskohdan 3.4 mukaisista toimista aiheutuvat kustannukset voimassa olevan hinnastonsa mukaisesti.

Toimittaja ohjaa kaikki tietosuojaviranomaisten tiedustelut suoraan Asiakkaalle, eikä Toimittajalla ole valtuuksia edustaa Asiakasta tai toimia Asiakkaan puolesta Asiakasta valvovien tietosuojaviranomaisten kanssa.

4 Käsittely EU:n / ETA:n ulkopuolella

Toimittaja ja sen alihankkijat saattavat käsitellä Henkilötietoja EU-/ETA-alueen ulkopuolella.

Sikäli kuin Toimittaja ja/tai sen alihankkija käsittelee henkilötietoja EU-/ETA-alueen ulkopuolella, Toimittaja huolehtii, että EU:n tietosuojavakiolausekkeet 2010/87/EU henkilötietojen siirrosta EU:n/ETA-alueen ulkopuolelle tai Asetuksen hyväksymä vastaava oikeudellinen suoja soveltuvat tällaiseen siirtoon tai Käsittelyyn. Asiakas täten myöntää valtakirjan Toimittajalle, jotta Toimittaja voi sitoutua tällaisiin mallisopimuslausekkeisiin Asiakkaan nimissä ja Asiakkaan lukuun. Edelleen, Asiakas nimenomaisesti hyväksyy Toimittajan myös edustamaan kyseessä olevaa alihankkijaa sitoutuessaan tietosuojavakiolausekkeisiin.

5 Auditointi

Asiakkaalla tai tämän valtuuttamalla auditoijalla, joka tulee hyväksyttää Toimittajalla, on oikeus auditoida Liitteen alainen toiminta. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 työpäivää ennen tarkastusta. Auditointi tulee suorittaa tavalla, joka ei haittaa

Toimittajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden. Asiakkaan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Osapuolet vastaavat omalta osaltaan auditoinnista aiheutuvista kustannuksista.

6 Tietoturva

Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Asiakkaan henkilötietojen suojaamiseksi ottaen huomioon käsittelyn sisältämät riskit, joita ovat erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy. Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin sekä käsiteltävien henkilötietojen arkaluonteisuuteen.

Asiakas on velvollinen varmistamaan, että Toimittajalle tiedotetaan kaikista niistä Asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat tämän Liitteen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin. Toimittaja varmistaa, että henkilötietojen käsittelyyn osallistuva Toimittajan tai Toimittajan käyttämän alihankkijan henkilöstö noudattaa asianmukaista salassapitovelvollisuutta.

7 Tietoturvaloukkauksesta ilmoittaminen

Toimittajan on ilmoitettava Asiakkaalle kaikista henkilötietoihin kohdistuneista tietoturvaloukkauksista ilman aiheetonta viivytystä loukkauksesta tiedon saatuaan tai kun Toimittajan käyttämä alihankkija on saanut loukkauksen tietoonsa.

Asiakkaan pyynnöstä Toimittajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Siltä osin kuin kyseinen tieto on Toimittajan saatavilla, Toimittajan on Asiakkaalle tehtävässä ilmoituksessa kuvattava vähintään:

(a) tapahtunut tietoturvaloukkaus,

(b) mahdollisuuksien mukaan rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvoidut lukumäärät,

(c) kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista, ja

(d) kuvaus korjaavista toimenpiteistä, jotka Toimittaja on suorittanut tai tulee suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa, sekä tarvittaessa myös toimenpiteet mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi.

Toimittaja dokumentoi ja raportoi selvityksen tulokset ja suoritetut toimenpiteet Asiakkaalle.

Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaisille.

8 Muut ehdot

Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen tai Liitteen loukkauksista aineellista tai aineetonta vahinkoa, Toimittaja on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja EU:n tietosuoja-asetuksen tai tämän Liitteen velvoitteita.

Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollista sakoista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Joka tapauksessa osapuolten vastuun määrät määräytyvät Sopimuksen perusteella.

Toimittaja tiedottaa Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä Liitettä ja Asiakkaan antamia kirjallisia ohjeita. Osapuolet sopivat kaikki lisäykset ja muutokset tähän Liitteeseen kirjallisesti.

Tämä Liite tulee voimaan 30 päivän kuluessa tämän Liitteen päiväyksestä, ellei Asiakas kirjallisesti ilmoita 30 päivän kuluessa irtisanovansa Sopimusta. Liite on voimassa (i) niin pitkään kuin Sopimus on voimassa tai (ii) osapuolilla on henkilötietojen käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.

Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Liitteen voimassaolon päättymisestä riippumatta, jäävät voimaan Liitteen päättymisen jälkeen.

.

Terms and conditions for processing personal data

1 Introduction

EmCe Solution Partner Oy (hereinafter referred to as the “Supplier”) has entered into service agreements (hereinafter referred to as the “Agreement”) with its customers (hereinafter referred to as the “Customer”), which refer to the IT2010 or older general terms of agreement. The EU General Data Protection Regulation (679/2016) will require agreements involving the processing of personal data to separately specify the terms of the processing. The Supplier is therefore supplementing its general terms and conditions with this appendix (hereinafter referred to as the “Appendix”).

The purpose of this Appendix is to agree on data protection of the Customer’s personal data and on information security in the Supplier’s services. This Appendix constitutes a written agreement between the parties on the processing of personal data in accordance with the EU General Data Protection Regulation (679/2016). Obligations and rights directly based on the EU General Data Protection Regulation will not enter into force until the application of the EU General Data Protection Regulation commences on 25 May 2018.

In the event of a conflict between the terms and conditions of this Appendix and the terms of the Agreement concerning the processing of personal data, the Parties will primarily apply the terms of this Appendix.

2 Definitions

In accordance with the EU General Data Protection Regulation, this Appendix refers to
“controller” as the Customer, who defines the purposes and means of processing personal data,

“processor” as a Supplier who processes personal data for the
controller on the basis of the Agreement,

“processing” as any operation or set of operations performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction,

“personal data” as any information relating to an identified or identifiable natural person (“data subject”); an identifiable natural person is a person who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person,

“personal data breach” as a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.

3 Data protection and processing of personal data

3.1 Responsibilities of the Supplier and the Customer

The Supplier must process the Customer’s personal data on behalf of and as commissioned by the Customer on the basis of this Agreement. The personal data processed by the Supplier may be related, for example, to employees or customers. The Customer is the controller of the personal data processed in the service while the Supplier is the processor. The Parties undertake to comply with the applicable legislation, regulations and official orders and guidelines of personal data processing in Finland and the European Union valid from time to time, and, if necessary, amend the terms of this Appendix to comply with them.

As a Controller, the Customer is responsible for having the necessary rights and consent for the processing of personal data under the Agreement. The Customer is responsible for the preparation and availability of the description of file, as well as for notifying the data subjects and submitting

notices to the data protection authorities. The Customer is
responsible for the accuracy of the personal data provided to the Supplier.
The Customer has the right and obligation to determine the purpose and means of the processing of personal data. The object, nature and purpose of processing are specified in the Agreement. The types of personal data and categories of data subjects processed in the services are defined in the description form for processing measures.
The Supplier is only entitled to process the Customer’s personal data and other Customer information in accordance with the Agreement, this Appendix and the Customer’s written instructions, and only to the extent necessary to provide the services. The Supplier must notify the Customer if a conflict with EU or Finnish data protection regulations is identified in the guidelines, in which case the Supplier may immediately refuse to apply and cease applying the Customer’s instructions.
The Supplier must maintain a description of the service or any other description of processing performed in the service as required by the EU General Data Protection Regulation.

3.2 Deleting/returning data

Upon termination of the Agreement, the Supplier must return to the Customer all the Customer’s personal data and existing copies, or delete it, in accordance with the Customer’s instructions, unless applicable law requires the retention of such personal data.

3.3 Subcontractors

The Supplier has the right to use subcontractors to process the Customer’s personal data. The Supplier is responsible for the activities of subcontractors as for its own activities and must prepare written agreements with subcontractors on the processing of personal data. The Supplier must notify the Customer in advance of the subcontractors that it intends to use for the processing of personal data under the Agreement. The Customer has the right to object to the use of a new subcontractor on justifiable grounds. If the Parties fail to agree on the use of a new subcontractor, the Customer is entitled to terminate the Agreement upon notice of thirty (30) days insofar as the change of subcontractor affects the processing of personal data under the Agreement.

3.4 Supplier’s obligation to provide assistance

The Supplier must immediately forward to the Customer all requests for revision, rectification, deletion or objection to the use of personal data or any other requests received from Data subjects. It is the responsibility of the Customer to take care of responding to the requests. Given the nature of the processing operation, the Supplier must assist the Customer with the appropriate technical and organisational measures to fulfil, where possible, the Customer’s obligation to respond to the requests of the Data subject.

In view of the nature of the processing of personal data and the information available to the Supplier, the Supplier is obliged to assist the Customer to ensure that the obligations imposed by law on the Customer are complied with. These responsibilities may include obligations concerning information security, notifications concerning personal data breaches, data protection impact assessment and prior consultation. The Supplier is only required to assist the Customer to the extent of the obligations imposed by the applicable data protection legislation on the personal data processor. Unless otherwise agreed, the Supplier has the right to charge the costs of the actions under this section 3.4 in accordance with its valid price list.

The Supplier must direct all inquiries from the data protection authorities directly to the Customer and the Supplier has no authority to represent the Customer or act on behalf of the Customer with any supervisory authorities that oversee the Customer.

4 Processing outside the EU/EEA

The Supplier and its subcontractors may process Personal Data outside the EU/EEA.
Insofar as the Supplier and/or its subcontractor process personal data outside the EU/EEA, the Supplier must ensure that the EU standard contractual clauses 2010/87/EU on the transfer of personal data outside the EU/EEA or equivalent legal protection approved by the Regulation apply to such transfer or Processing. The Customer hereby grants power of attorney to the Supplier to commit to such standard contractual clauses in the name of the Customer and on behalf of the Customer. Further, the Customer expressly approves that the Supplier represents the relevant subcontractor when committing to the standard contractual clauses concerning data protection.

5 Auditing

The Customer or an auditor authorised by the Customer, and who must be approved by the Supplier, has the right to audit the activity under the Appendix. The Parties must agree on the timing and other details of the audit in good time and at least 14 working days prior to the audit. Auditing must take place in a manner that does not interfere with the commitments of the Supplier and its subcontractors with regard to third parties.
The Customer’s representatives and the auditor must sign the usual non-disclosure agreements.
The Parties bear their own costs of the audit.

6 Information security

The Supplier must take appropriate technical and organisational measures to protect the Customer’s personal data, taking into account the risks inherent in the processing, in particular the unintentional or unlawful destruction, loss, alteration, unauthorised disclosure of or access to the personal data being transferred, stored or otherwise processed. The organisation of safeguard measures must take account of the available technical options and their costs in relation to the specific risks associated with the processing in question and the sensitivity of the personal data being processed.

The Customer is responsible for ensuring that the Supplier is notified of all matters relating to the personal data provided by the Customer, such as risk assessments and handling of special categories of persons, which affect the technical and organisational measures in this Appendix. The Supplier must ensure that the personnel of the Supplier or a subcontractor engaged by the Supplier involved in the processing of personal data are subject to the appropriate obligation of confidentiality.

7 Reporting a personal data breach

The Supplier must notify the Customer of any breach of security of the personal data without undue delay upon receipt of information of the breach or when a subcontractor used by the Supplier has been notified of such breach.

Upon the Customer’s request, the Supplier must, without undue delay, provide the Customer with any relevant information related to the personal data breach. Insofar as this information is available to the Supplier, the Supplier must describe, in the notice to the Customer, as a minimum:

(a) the personal data breach that occurred,
(b) where applicable, the number of categories of data subjects and their estimated quantities as well as the categories of personal data types and their estimated quantities,
(c) a description of the likely consequences of the personal data breach, and
(d) a description of the remedial measures that the Supplier has performed or will perform in order to prevent future personal data breaches and, where appropriate, measures to minimise the potential adverse effects of the personal data breach.

The Supplier must document and report to the Customer the results of the investigation and the measures taken.
The Customer is responsible for the necessary notifications to the data protection authorities.

8 Other terms

If a person incurs any material or non-material damage from breaches of the EU Data Protection Regulation or the Appendix, the Supplier is liable for the damage only insofar as it has not complied with the obligations of the EU General Data Protection Regulation or this Appendix that specifically address the processors of personal data.
Each Party is liable to pay only the part of damages and administrative fines that correspond to its liability for the damage confirmed by a final, binding decision of a data protection supervisory authority or a court of justice. In any case, the parties’ liability is determined by the Agreement.

The Supplier must inform the Customer in writing of any changes that may affect its ability or capacity to comply with this Appendix and the Customer’s written instructions. The Parties must agree in writing to any additions and modifications to this Appendix.

This Appendix will enter into force within 30 days of the date of this Appendix unless the Customer submits written notice of the termination of the Agreement within 30 days. The Appendix will be in force for (i) as long as the Agreement is in force or (ii) the Parties have any mutual obligations based on the processing of personal data.

Any obligations which, by their nature, are intended to remain in force irrespective of the termination of this Appendix, will remain in effect after the termination of the Appendix.

.