Nebulan tietojenkäsittely (DPA)

 

1. TAUSTATIEDOT

  • A. Sopimuksen mukaan toimittaja tarjoaa palveluita, mukaan lukien mutta ei yksinomaan, hosting-palveluita ja/tai tukipalveluita (sellaisina kuin sopimuksessa on määritelty) asiakkaalle.
     
  • B. Palvelua voidaan käyttää tietojen tallentamiseen ja/tai käsittelyyn. Tämä koskee myös asiakkaan henkilötietoja. Asiakas toimii rekisterinpitäjä näiden palvelussa käsiteltävän henkilötiedon osalta. Toimittaja toimii tällaisten henkilötietojen käsittelijänä.
     
  • C. Tässä liitteessä käsitellään henkilötietolainsäädännön (lainsäädäntö) mukaisia osapuolten velvoitteita. toimittaja ja asiakas sopivat seuraavasti: Osapuolet sitoutuvat noudattamaan seuraavia säännöksiä, jotka koskevat palveluun tallennettuja ja/tai siellä muuten käsiteltyjä henkilötietoja.

 

2. MÄÄRITELMÄT

Tässä liitteessä määrittelemättömiin termeihin sovelletaan niitä määritelmiä, jotka sopimuksessa on erikseen määritelty. Lisäksi seuraaville termeille on määritelty merkitykset tässä liitteessä:

Rekisterinpitäjällä tarkoitetaan asiakasta, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.

Lainsäädännöllä tarkoitetaan mitä tahansa kansallisia tietosuojalakeja, Euroopan Unionin tietosuoja-asetusta (2016/679, ”GDPR”) sen soveltamispäivästä alkaen (25.5.2018) ja mahdollista tulevaa, kulloinkin voimassa olevaa tietosuojalainsäädäntöä.

Mallisopimuslausekkeilla tarkoitetaan Euroopan komission hyväksymiä vakiomuotoisia sopimusehtoja henkilötietojen luovuttamisesta EU:n rekisterinpitäjiltä kolmansien maiden käsittelijöille (päätös 2002/16 EY).

Osakkuusyhtiöllä tarkoitetaan mitä tahansa yhteisöä, jolla on toimittajaan suora tai välillinen määräysvalta, joka on toimittajan määräysvallan alaisena tai joka on toimittajan kanssa yhteisen määräysvallan alaisena. Termi pätee kuitenkin vain niin kauan, kun määräysvalta on olemassa. Tässä määritelmässä käytetty termi ”määräysvalta” tarkoittaa yli 50 prosenttia (50 %) yhtiön äänivallasta.

Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Käsittelijällä tarkoitetaan toimittajaa, joka käsittelee henkilötietoja asiakkaan lukuun.

Käsittelyllä tai sanalla ”käsittely” tarkoitetaan mitä tahansa toimintaa tai toimintoja, jossa henkilötietoja käsitellään.

Alihankkijalla tarkoitetaan käsittelijää, joka Toimittajan toimeksiannosta suorittaa tämän liitteen mukaista käsittelyä toimittajan ja asiakkaan lukuun.

 

3. TOIMITTAJAN VELVOITTEET

3.1 Toimittajan rooli Asiakkaan Henkilötietojen Käsittelyssä.

Toimittaja ei määrittele asiakkaan palveluun varastoitujen henkilötietojen tyyppiä. Toimittaja ei myöskään vastaa siitä, miten kyseiset tiedot luokitellaan, miten ne ovat saatavilla tai miten niitä vaihdetaan muiden osapuolten kanssa tai muutoin käsitellään. Toimittaja käsittelee henkilötietoja ainoastaan asiakkaan puolesta, ja vain siinä määrin ja tavalla, kuin sopimuksessa ja liitteessä erikseen määrätään tai asiakas on erikseen ohjeistanut. Asiakkaan erilliset ohjeistukset tulee dokumentoida tilauksen, palvelukuvauksen, tukipyynnön tai muun kirjallisen viestinnän yhteydessä.

Mikäli toimittajalla on kohtuullinen syy epäillä, että asiakkaan antamat ohjeet ovat ristiriidassa: (i) sovellettavien lakien tai määräysten, ja/tai (ii) sopimuksen tai tämän liitteen määräysten kanssa, ilmoittaa toimittaja tästä asiakkaalle ilman aiheetonta viivytystä. Toimittajalla on oikeus lykätä kyseisen ohjeistuksen täytäntöönpanoa siihen asti, että asiakas muuttaa ohjeistustaan tai että täytäntöönpanosta on erikseen sovittu toimittajan ja asiakkaan välillä.

3.2 Tietoturva

Toimittajan tulee toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia toimenpiteitä henkilötietojen suojaamiseksi. Suojauksessa tulee ottaa huomioon tietotekniikan ja - turvan taso, toteutuksen kustannukset sekä käsittelyn laatu, laajuus, konteksti ja tarkoitukset; sekä luonnollisten henkilöiden vapauksiin ja oikeuksiin kohdistuvan vaihtelevan riskin todennäköisyys ja vakavuus. Käsittelyssä tulee ottaa huomioon myös vahingosta tai laittomasta toiminnasta johtuva tallennettujen, lähetettyjen tai muutoin käsiteltävien henkilötietojen tuhoutumisen, katoamisen ja muuttumisen riski, sekä luvattoman tietoihin käsiksi pääsemisen tai luovuttamisen riski.

Toteutetut tietoturvatoimenpiteet on määritelty toimittajan tietoturvan vähimmäisvaatimuksissa, jotka on kuvailtu tarkemmin osoitteessa www.inmicsnebula.fi. Asiakas on velvollinen ilmoittamaan toimittajalle kaikista sellaisista seikoista (mukaan lukien erityiset riskit tai henkilötietoryhmät), jotka edellyttävät ylimääräisten teknillisten tai organisatoristen suojaustoimenpiteiden määrittelemisestä ja sopimisesta sopimuksessa.

Mikäli toimittaja tarvitsee pääsyä henkilötietoihin täyttääkseen liitteen tai sopimuksen mukaiset velvoitteensa, sen tulee rajoittaa pääsyoikeudet ja antaa käsittelytoimia tehtäväksi vain vaatimukset täyttävälle henkilöstölle. ”Vaatimukset täyttävällä henkilöstöllä” tarkoitetaan sellaisia työntekijöitä ja/tai edustajia, konsultteja, alihankkijoita tai muita kolmansia osapuolia, jotka (i) työskentelevät Toimittajan alaisuudessa, jotta toimittaja voi täyttää sopimuksessa ja liitteessä määritellyt velvoitteensa asiakasta kohtaan ja, (ii) jotka ovat sellaisten salassapitovelvollisuuksien ja turvallisuusvelvoitteiden alaisia, jotka ovat samanlaisia, tai pääosiltaan samanlaisia, kuin sopimuksessa ja liitteessä määrätään.

3.3 Rekisteröityjen tai viranomaisen pyynnöt

Ottaen huomioon käsittelyn luonteen, Toimittaja auttaa ja tukee asiakasta (asiakkaan kustannuksella) sopivilla teknisillä ja organisatorisilla toimilla, ja niin laajalti kuin on mahdollista, jotta asiakas voi täyttää velvollisuutensa vastata rekisteröityneiltä saatuihin pyyntöihin.

Toimittajan on ilmoitettava asiakkaalle ilman aiheetonta viivytystä kirjallisesti kaikista:

  • Rekisteröidyltä saaduista viesteistä, jotka koskevat (i) rekisteröidyn oikeutta tutustua, muokata, korjata, poistaa tai estää pääsy hänen Henkilötietoihinsa, sekä (ii) asiakkaan henkilötietojen käsittelyä koskevista valituksista,
  • siinä määrin kuin laissa ei ole kielletty, muista hallinnollisista määräyksistä tai kanteista, joissa pyydetään pääsyä henkilötietoihin tai tiedonantoa niistä, tai
  • siinä määrin kuin laissa ei ole kielletty, valituksista, ilmoituksista tai muusta viestinnästä, joka liittyy asiakkaan tietosuojalainsäädännön määräysten noudattamiseen henkilötietojen käsittelyssä.

3.4 Toimittaja ja Lainsäädännön noudattaminen

Toimittajan on noudatettava sopimuksen mukaisia omaan toimintaansa ja palvelujen tarjoamiseen sovellettavia määräyksiä, yksityisyyden suojaa ja turvallisuutta koskevia lakeja sekä tämän liitteen mukaisia velvoitteita. Toimittaja ei kuitenkaan ole vastuussa asiakkaaseen tai asiakkaan toimialaan sovellettavan lainsäädännön noudattamisesta, jos kyseistä lainsäädäntöä ei yleisesti sovelleta informaatioteknologian palveluntarjoajiin. Lain niin vaatiessa toimittajan on nimitettävä tietosuojavastaava, jonka tulee täyttää tehtävänsä sovellettavan lain mukaisesti. Tietosuojavastaavan tiedot toimitetaan pyynnöstä asiakkaalle.

Toimittajan on ylläpidettävä kaikkia tarpeellisia selosteita, ja asiakkaan pyynnöstä annettava saataville kaikki sellaiset tiedot, jotka ovat tarpeen tämän liitteen sekä lainsäädännön mukaisten velvoitteiden noudattamisen osoittamiseksi.

3.5 Tarkastukset ja valvontatoimet

Toimittaja sitoutuu tilaamaan pätevien kolmansien osapuolten suorittamat alan standardien mukaiset tarkastukset, jotka kohdistuvat sen palveluihin sekä henkilötietojen käsittelyyn. Toimittajan käytäntöjen ja sopimuksen mukaisesti, ja vain niiltä osin joita edellä mainitut riippumattomat tarkastuskertomukset eivät kata, asiakas tai sen edustajat voivat asiakkaan kustannuksella suorittaa fyysisiä ja/tai sähköisiä tarkastuksia palveluista ja henkilötietojen käsittelystä tai arvioida sekä seurata toimittajan liitteessä luettelemien turvallisuusvaatimusten noudattamista.

Sopimuksen voimassaolon tai palvelun tilauksen päättyessä toimittajan on asiakkaan ohjeistuksen mukaisesti joko palautettava tai poistettava kaikki asiakkaan henkilötiedot. Jos asiakas ei ole antanut ohjeita 30 arkipäivän kuluessa sopimuksen voimassaolon tai palvelun tilauksen päättymisestä, toimittaja poistaa kaikki henkilötiedot, ellei lainsäädäntö velvoita toimittajaa säilyttämään kyseisiä henkilötietoja.

3.6 Asiakkaan avustaminen turvallisuusvaatimusten täyttämisessä

Sopimuksen voimassaoloaikana asiakas voi pyytää, että toimittaja avustaa asiakasta soveltuvan tietosuojalainsäädännön vaatimien velvoitteiden täyttämisessä, edellyttäen, että (i) kyseiset velvoitteet liittyvät palveluihin, (ii) kyseiset velvoitteet ovat kaupallisesti kohtuullisia ja (iii) mikäli toimittaja suostuu avustamaan asiakasta, asiakas vastaa kustannuksista.

 

4. ASIAKKAAN VELVOLLISUUDET

4.1 Määräysten noudattaminen Asiakkaan osalta

Asiakas määrittelee palveluihin tallennettujen henkilötietojen tyypin. Asiakas määrittelee myös, miten henkilötietoja käytetään, vaihdetaan tai muuten käsitellään. Asiakkaan tehtävä on varmistaa, että kaikille rekisteröidyille on asianmukaisesti ilmoitettu, ja että heille on annettu tarpeelliset tiedot heidän henkilötietojensa käsittelystä, sekä että asiakkaalla on tarvittavat oikeudet ja suostumukset henkilötietojen käsittelyyn. Asiakas on vastuussa käsittelyä koskevan selosteen laatimisesta.

Asiakas vastaa itse suorittamastaan henkilötietojen käsittelystä ja palvelun käytöstä. Asiakas on vastuussa myös henkilötietojen käsittelyn eheydestä, turvallisuudesta, ylläpidosta ja asianmukaisesta suojaamisesta sekä sen varmistamisesta, että asiakas noudattaa kaikkia sovellettavia tietosuoja-, tietoturva- ja turvallisuuslakeja sekä määräyksiä.

4.2 Tekniset ja organisatoriset toimenpiteet

Asiakas on yksin vastuussa turvatoimien ja muiden teknisten sekä organisatoristen suojatoimien toteuttamisesta ja ylläpidosta. Toimenpiteiden tulee olla suhteessa asiakkaan tallentamien ja/tai muuten käsittelemien henkilötietojen luonteeseen ja määrään nähden. Asiakas on myös vastuussa palvelua käyttävistä työntekijöistään ja henkilöistä, joille asiakas on antanut pääsy- tai käyttöoikeuden palveluihin. Asiakas on vastuussa myös, mikäli kolmas osapuoli pääsee käsiksi sen henkilötietoihin tai palveluun, vaikka asiakas ei olisi antanut tälle lupaa tietojen käsittelyyn, jos asiakas ei ole suorittanut tarpeellisia turvallisuustoimenpiteitä. Asiakas voi ostaa toimittajalta lisäpalveluja varmistaakseen tämän kohdan 3.2. mukaisten velvollisuuksiensa täyttämisen.

 

5. TIETOTURVAPOIKKEAMIEN HALLINTA

Kumpikin osapuoli sitoutuu ilmoittamaan toiselle osapuolelle ilman aiheetonta viivytystä, jos se saa tietoa palvelun tai asiakkaan tunnuksien luvattomasta käytöstä tai muusta palvelun henkilötietoihin kohdistuvasta poikkeamasta.

Ilmoitukseen on liitettävä seuraavat tiedot, jos ne ovat saatavilla:

  • Tietomurtoon johtaneet olosuhteet.
  • Kuvaus tietomurron luonteesta, mukaan luettuna mahdollisuuksien mukaan tietomurron kohteena olleet henkilötietojen ryhmät ja arvioitu lukumäärä sekä kohteena olleet rekisteröityjen henkilöiden ryhmät ja arvioitu lukumäärä.
  • Kuvaus tietomurron todennäköisistä seurauksista.
  • Kuvaus toimenpiteistä, jotka on toteutettu tai joita on ehdotettu toteutettavaksi tietomurtoon reagoimiseksi, mukaan lukien tarvittaessa toimenpiteet sen mahdollisten haittavaikutusten lieventämiseksi.

Kumpikin osapuoli tutkii kaikki syyt tietomurtoon omalla vastuualueellaan ja ryhtyy asianmukaisiin toimiin tietomurron pysäyttämiseksi, sen vaikutusten lieventämiseksi sekä muiden vastaavien murtojen estämiseksi. Osapuolten on dokumentoitava ja ilmoitettava toiselle osapuolelle tutkimuksensa tulokset ja toteutetut toimet. Osapuolet tekevät kohtuulliseksi katsottavaa yhteistyötä murron tutkimisessa.

Asiakas ja toimittaja sopivat tekevänsä kohtuulliseksi katsottavaa yhteistyötä turvatakseen palvelun, palveluympäristön, palvelussa sijaitsevien järjestelmien sekä henkilötietojen turvallisuuden tilanteissa, joissa tutkitaan palvelukatkoja, turvallisuusongelmia tai mahdollisia tietomurtoja.

 

6. ALIHANKKIJAT

Toimittaja voi joutua käyttämään alihankkijoita tarjotakseen palveluja ja tukea asiakkaalle. Asiakas antaa täten nimenomaisen suostumuksensa toimittajalle käyttää toimittajan osakkuusyhtiöitä alihankkijoina. Lisäksi asiakas antaa yleisen suostumuksensa muiden alihankkijoiden käyttöön seuraavilla ehdoilla: Toimittaja toimittaa asiakkaalle luettelon käytetyistä alihankkijoista sopimuksen yhteydessä tai muuten kirjallisesti. Toimittaja ilmoittaa asiakkaalle etukäteen kaikista uusista alihankkijoista. Asiakkaan on ilmoitettava toimittajalle uuden alihankkijan hylkäämisestä viipymättä, mutta viimeistään neljäntoista (14) päivän kuluessa toimittajan ilmoituksen vastaanottamisesta. Toimittaja voi tämän jälkeen kolmenkymmenen (30) päivän kirjallisella ennakkoilmoituksella irtisanoa sopimuksesta sen osan, johon alihankkijan toiminta liittyisi.

Toimittaja edellyttää, että alihankkijat tekevät kirjallisen sopimuksen ja noudattavat toimittajaan tämän liitteen ja sopimuksen mukaisesti sovellettavia tietosuoja-, turvallisuus- ja luottamuksellisuusvelvoitteita, tai sellaisia velvoitteita, jotka edellyttävät samantasoista tietosuojaa ja -turvaa.

Alihankinta suoritetaan sopimuksessa sekä liitteessä määriteltyjen ehtojen mukaan. Toimittaja vastaa asiakkaalle sen alihankkijoiden suorittamista palveluista samaan tapaan kuin jos se itse olisi suorittanut palvelut.

 

7. PALVELINKESKUKSEN SIJAINTI JA TIEDONSIIRTO

Toimittajan palvelinkeskukset, joissa kaikkia henkilötietoja säilytetään ja käsitellään, sijaitsevat pääsääntöisesti Suomessa. Toimittaja voi kuitenkin siirtää henkilötietoja mille tahansa EU/ETAalueella sijaitseville palvelinkeskuksille sekä EU/ETA-alueen ulkopuolella sijaitseville palvelinkeskuksille siten kuin palveluiden tarkemmissa kuvauksissa on kerrottu tai sopimuksen yhteydessä on sovittu. Henkilötietojen siirtoon EU/ETA-alueen ulkopuolelle sovelletaan mallisopimuslausekkeita, jotka liitetään tähän liitteeseen, tai muuta lainsäädännön mahdollistamaa siirtomekanismia. Mallisopimuslausekkeet muodostavat tämän liitteen osan ja syrjäyttävät kaikki niiden kanssa ristiriidassa olevat sopimuksessa tai tässä liitteessä annetut määräykset.

 

8. ASIAKASTILIIN LIITTYVÄT TIEDOT

Toimittajan asiakkaalta oston, tunnusten luonnin, käytön tai asiakastilin huoltamisen yhteydessä keräämät tiedot käsitellään toimittajan kulloinkin voimassa olevan tietosuojaselosteen mukaisesti, minkä selosteen nykyinen versio sijaitsee osoitteessa www.inmicsnebula.fi.

 

9. VASTUUNRAJOITUKSET

Sopimuksessa määriteltyjä vastuunrajoituslausekkeita sovelletaan myös tähän liitteeseen. Osapuoli, joka ei ole täyttänyt tämän liitteen lainsäädännön mukaisia oikeudellisia velvoitteitaan, vastaa kaikista hallinnollisista sakoista tai vahingonkorvauksista, jotka asianomainen valvontaviranomainen tai toimivaltainen tuomioistuin määrää maksettavaksi.

 

10. ETUSIJAJÄRJESTYS

Siinä määrin kuin jokin tämän liitteen määräys on ristiriidassa Sopimuksen tai siihen liittyvien muiden asiakirjojen kanssa, annetaan tämän liitteen määräyksille etusija tilanteissa, joissa ristiriita koskee liitteessä käsiteltyä asiasisältöä.

 

11. SOVELLETTAVA LAKI

Mikään tämän liitteen määräys ei muuta sopimuksessa määriteltyä kohtaa koskien sovellettavaa lakia, jota, selvyyden vuoksi, sovelletaan kaikkiin tämän liitteen tai sopimuksen nojalla tehtyihin vaatimuksiin.