Versio: 2023-10-01. 7ac87c7d93a61dc030055ffbb0206590265f675c
1. Yleistä
Tämä henkilötietojen käsittelyä koskeva sopimusliite (”Tietosuojaliite”) on olennainen ja erottamaton osa Seravo Oy:n (”Käsittelijä”) yleisiä sopimusehtoja (”Sopimus”), joiden ajantasainen versio on saatavilla osoitteessa seravo.com/toimitusehdot. Tätä Tietosuojaliitettä sovelletaan silloin, kun Käsittelijä toimii asiakassuhteen myötä EU:n yleisen tietosuoja-asetuksen (2016/679) (“Tietosuoja-asetus”) tarkoittamana henkilötietojen käsittelijänä eli silloin, kun Käsittelijä käsittelee henkilötietoja rekisterinpitäjänä toimivan asiakkaansa (”Rekisterinpitäjä”) lukuun. Tämä Tietosuojaliite yhdessä Sopimuksen kanssa määrittelee henkilötietoja koskevan tietosuojan ja tietoturvan periaatteet ja ehdot. Mikäli Sopimus ja sen muut mahdolliset liitteet olisivat ristiriidassa tämän Tietosuojaliitteen kanssa, sovelletaan Käsittelijän ja Rekisterinpitäjän välillä Henkilötietojen käsittelyyn ensisijaisesti tässä Tietosuojaliitteessä sovittua.
Rekisterinpitäjät voivat viitata tähän Tietosuojaliitteeseen omassa EU:n tietosuoja-asetuksen vaatimassa selosteessaan. Tietosuojaliitteen ajantasainen versio on saatavilla osoitteesta https://seravo.com/fi/tietosuojaliite .
Tietosuojaliite muodostaa Käsittelijän ja Rekisterinpitäjän välisen sopimuksen EU:n yleisen tietosuojaasetuksen 28 artiklan 3. kohdan vaatimusten mukaisesti. Tämän Tietosuojaliitteen tarkoituksena ei ole siirtää Rekisterinpitäjän lakisääteisiä velvollisuuksia Käsittelijälle.
2. Määritelmät
Sopimus tarkoittaa Käsittelijän toimitusehtoja eli yleisiä sopimusehtoja Henkilötieto tarkoittaa kaikkea luonnollista henkilöä (”Rekisteröity”) koskevaa henkilötietoa (niin kuin on määritelty soveltuvassa Tietosuojalainsäädännössä), josta hänet voi suoraan tai epäsuorasti tunnistaa ja joka siirtyy tai siirretään Rekisterinpitäjältä Käsittelijälle tämän Tietosuojaliitteen ja Sopimuksen mukaisesti ja joka generoituu Palveluiden yhteydessä tai jota Käsittelijä muulla keinoin Käsittelee palveluiden toimittamisen yhteydessä Tietoturvaloukkaus tarkoittaa tietoturvaloukkausta, jonka seurauksena on Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen, paljastuminen tai pääsy Henkilötietoihin Tietosuojaviranomainen tarkoittaa mitä tahansa toimivaltaista Tietosuojalainsäädännön mukaista EU-jäsenvaltion tietosuojaviranomaista Tietosuojalainsäädäntö tarkoittaa EU:n yleistä tietosuoja-asetusta (2016/679/EU), tietosuojaa koskevaa lainsäädäntöä sekä Tietosuojaviranomaisen kulloinkin antamia voimassaolevia ohjeita ja/tai määräyksiä Palvelut tarkoittaa kaikkia palveluita, joita Käsittelijä toimittaa Rekisterinpitäjälle Sopimuksen mukaisesti Rekisteröity tarkoittaa luonnollista henkilöä, jonka Henkilötietoja käsitellään Palveluiden yhteydessä Käsittely tarkoittaa mitä tahansa toimintoa tai toimintoja, joita Käsittelijä kohdistaa Henkilötietoihin, joko automaattista tietojenkäsittelyä käyttäen tai ilman
3. Henkilötietojen Käsittelijän yhteystiedot:
Seravo Oy
Kauppakatu 3 A 4
FI-33200 Tampere
Finland
Website: https://seravo.com
E-mail: dpo@seravo.com
Phone: +358 (0)44 777 0020
Business identifier: FI2392019-2
4. Palveluiden tuottamisesta
Käsittelijä tarjoaa Rekisterinpitäjälle Internet-palveluita ja Internet-verkon saavutettavissa olevaa tallennustilaa, jota Rekisterinpitäjä voi käyttää esimerkiksi verkkosivustonsa tallentamiseen ja julkaisemiseen. Tallennustila voi mahdollistaa tiedon tallentamisen esimerkiksi tiedostoina tai relaatiotietokannan objekteina.
Käsittelijä toimii tiedon teknisenä tallentajana ja palvelintilan tarjoajana, eikä tiedä tarkemmin Rekisterinpitäjän tallentaman tiedon sisällöstä.
Kaikki Rekisterinpitäjän Käsittelijän palvelimille tallentama tieto on Rekisterinpitäjän hallinnassa.
Rekisterinpitäjän palvelut toteutetaan pääsääntöisesti jaetuilla palvelimilla. Jaetuille palvelimille on tallennettuna useamman eri asiakkuuden tietoja ja pääsyä näihin tietoihin on rajoitettu.
5. Rekisterinpitäjän oikeuksista ja velvollisuuksista
Rekisterinpitäjä vastaa käsiteltävien Henkilötietojen määrittelystä ja siitä, että se käsittelee Henkilötietoja noudattaen Tietosuojalainsäädäntöä sekä hyvää tietojenkäsittelytapaa. Rekisterinpitäjä vastaa siitä, että Henkilötietojen käsittelyyn on olemassa Tietosuojalainsäädännön mukainen käsittelyperuste.
Rekisterinpitäjän velvollisuutena on määritellä Henkilötietojen käsittelyn tarkoitukset ja keinot sekä antaa Käsittelijälle tätä sitovat kirjalliset Tietosuojalainsäädännön mukaiset ohjeet Henkilötietojen käsittelystä.
Rekisterinpitäjä varmistaa ja vastaa siitä, että Rekisteröidylle toimitetaan kaikki Tietosuojalainsäädännön edellyttämä Henkilötietojen käsittelyä koskeva informaatio. Lisäksi Rekisterinpitäjä vastaa siitä, että sillä on koko Sopimuksen voimassaoloajan Tietosuojalainsäädännön mukainen oikeus siirtää Henkilötietoja käsiteltäväksi tämän Tietosuojaliitteen ja Sopimuksen mukaisesti (myös Käsittelijän käyttämille alihankkijoille).
Rekisterinpitäjä vastaa tarvittavien suostumusten hankkimisesta Henkilötietojen käsittelyä varten. Lisäksi Rekisterinpitäjä vastaa siitä, että se on täyttänyt kaikki pakolliset viranomaisille Henkilötietojen käsittelyyn liittyvät ilmoitukset ja lupien hankintaa koskevat velvollisuudet ja vaatimukset. Rekisterinpitäjä vastaa itse tietosuoja-asetuksen mukaisten muutos-, poisto- ja tietopyyntöjen toteuttamisesta omille sidosryhmilleen.
Rekisterinpitäjä vastaa itse siitä, mitä tietoja verkkopalveluun tallennetaan, miten niitä käsitellään (mukaan lukien mahdollinen pseudonymisointi) ja minne niitä luovutetaan. Rekisterinpitäjä on yksinomaan vastuussa Käsittelijälle luovutettujen Henkilötietojen paikkansapitävyydestä, ajantasaisuudesta, sisällöstä, luotettavuudesta ja laillisuudesta.
Rekisterinpitäjä vastaa siitä, että verkkopalvelu on oikein suunniteltu ja toteutettu, joko Rekisterinpitäjän itsensä toimesta tai Rekisterinpitäjän verkkopalvelun kehityskumppanin toimesta. Jos verkkosivusto on osa isompaa tietojärjestelmää, jossa on erityisen arkaluontoisia tietoja (esimerkiksi potilastietojärjestelmä), on Rekisterinpitäjän vastuulla, että verkkosivuston tietojenkäsittely on eriytetty oikeaoppisesti, jotta tietoturvaloukkaus verkkosivustolla ei johda laajaan tietovuotoon.
Sekä Rekisterinpitäjä että Käsittelijä ovat vastuussa itselleen aiheutuvista sellaisista kustannuksista, jotka johtuvat Tietosuojalainsäädännön tai tämän Tietosuojaliitteen mukaisten heille itselleen kuuluvien velvollisuuksiensa täyttämisestä.
6. Käsittelijän oikeuksista ja velvollisuuksista
Käsittelijän on toimittava tämän Tietosuojaliitteen mukaisesti tuottaessaan Rekisterinpitäjälle Sopimuksen mukaisia palveluita. Käsittelijä saa käyttää Henkilötietoja ainoastaan Sopimuksen mukaisten velvoitteiden täyttämiseksi eikä Käsittelijällä ole oikeutta luovuttaa tai siirtää Henkilötietoja kolmannelle osapuolelle, ellei siitä ole kirjallisesti erikseen sovittu Käsittelijän ja Rekisterinpitäjän välillä.
Liitteessä A kuvataan tarkemmin Henkilötietojen käsittelyn laajuutta.
Käsittelijän tulee noudattaa soveltuvaa Tietosuojalainsäädäntöä ja Rekisterinpitäjän kirjallisesti antamia ohjeistuksia, joita Rekisterinpitäjä voi täydentää sopimuskauden aikana. Käsittelijän velvollisuutena on ilmoittaa Rekisterinpitäjälle välittömästi katsoessaan ohjeistuksen lainvastaiseksi, paitsi jos tiedottaminen olisi lainsäädännössä kiellettyä yleistä etua koskevien tärkeiden syiden vuoksi.
Käsittelijän velvollisuutena on huolehtia siitä, että ne tahot, joilla on pääsy Henkilötietoihin, ovat tietoisia siitä, että heillä on oikeus käsitellä Henkilötietoja ainoastaan Rekisterinpitäjän ohjeiden, tämän Tietosuojaliitteen ja Tietosuojalainsäädännön mukaisesti.
Käsittelijän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista, mikäli Tietosuojalainsäädäntö sitä edellyttää.
Käsittelijä on velvollinen auttamaan Rekisterinpitäjää sellaisissa toiminnoissa, joissa Rekisterinpitäjä tarvitsee Käsittelijän myötävaikutusta Tietosuojalainsäädännön mukaisten velvollisuuksiensa täyttämiseksi. Tällaisia toimenpiteitä voivat olla esimerkiksi vaikutustenarviointiin osallistuminen sekä tietosuojaan liittyvien tapojen ja raporttien toimittaminen. Mikäli Rekisterinpitäjä pyytää tietoja tai avustusta tietoturvaan liittyvistä toimenpiteistä, dokumentaatiosta tai muista Käsittelijän Henkilötietojen käsittelyyn liittyvistä tiedoista siten, että pyynnöt poikkeavat sisällöllisesti sovellettavasta Tietosuojalainsäädännöstä ja tästä aiheutuu ylimääräistä työtä Käsittelijälle, Käsittelijällä on oikeus veloittaa Rekisterinpitäjää tällaisista ylimääräisistä palveluista.
Käsittelijä ilmoittaa, edellyttäen sen olevan asianmukaista ja laillista, Rekisterinpitäjälle Rekisteröidyn esittämistä pyynnöistä saada pääsy Henkilötietoihin sekä viranomaisten esittämistä pyynnöistä saada pääsy Henkilötietoihin sekä mahdollisista Tietosuojalainsäädännön mukaisista kyselyistä. Käsittelijä ei käsittele Rekisterinpitäjän lukuun mitään kolmannen osapuolen EU:n tietosuoja-asetuksen mukaisia pyyntöjä, vaan ne välitetään sellaisinaan Rekisterinpitäjälle, joka itse tarkistaa niiden aitouden ja aiheellisuuden sekä vastaa niihin Rekisterinpitäjänä.
Kuten edellä on todettu, Rekisterinpitäjä ja Käsittelijä ovat vastuussa itselleen aiheutuvista sellaisista kustannuksista, jotka johtuvat Tietosuojalainsäädännön tai tämän Tietosuojaliitteen mukaisten heille itselleen kuuluvien velvollisuuksiensa täyttämisestä.
Käsittelijä ei valvo, mitä tietoja Rekisterinpitäjä verkkopalveluunsa tallentaa, mutta tietoturvakäytännöt on suunniteltu sellaisiksi, että Rekisterinpitäjällä voi olla Henkilötietoja verkkopalvelussaan.
Käsittelijällä on velvollisuus kehittää palveluaan siten, että tavanomaisessa palvelun käytössä tietoturva ja tietosuoja toteutuvat oletusarvoisesti ja että Rekisterinpitäjän käytössä on työkaluja, jotka tukevat rekisterinpitäjänä toimimista ja Rekisteröityjen oikeuksien toteutumista palvelun tyypillisen käytön osalta. Esimerkki tyypillisestä käytöstä on WordPress-sivuston käyttäjätietokannassa olevien käyttäjien tietojen tarkistaminen tai poistaminen.
7. Käsittelijän pääsy Rekisterinpitäjän dataan
Palvelusopimuksen voimassaoloaikana Käsittelijä ei normaalitilanteessa lisää, poista tai hae mitään tietoa Rekisterinpitäjien tallentamista tiedoista ilman Rekisterinpitäjältä tullutta nimenomaista pyyntöä. Poikkeuksen tähän tekee esim.
- Käsittelijälle kertyy palvelua tuotettaessa lokitietoa kunkin Rekisterinpitäjän sivuston kävijoistä (esim. IP-osoite, IP-osoitteen pohjalta lähdeverkon maatieto ja AS-numero, selaimen versio yms.)
- vika- ja häiriötilanteiden tutkinta ja korjaus
- viranomaisten määräys
- palvelinmuutosten yhteydessä mahdollisesti tehtävät korjaukset
- tietoturvaloukkaus tai tietoturvaloukkausepäilyn tutkiminen
- yleisten sopimusehtojen mukaisen palvelun, tai sen osan, sulkeminen
Rekisterinpitäjältä tulleet pyynnöt ja ohjeistukset tulee kirjata Käsittelijän asiakkuudenhallintajärjestelmään. Yllälistattujen poikkeustapausten käsittelyssä Käsittelijän tekninen henkilöstö saattaa nähdä osia Rekisterinpitäjien tallentamista tiedoista.
Käsittelijällä ei ole oikeutta käyttää asiakkaan dataa mihinkään muuhun tarkoitukseen kuin palvelusopimuksen mukaisen palvelun toteuttamiseen.
8. Tietojen säilytys ja tietoturva
Rekisterinpitäjällä on tilauksen yhteydessä mahdollisuus valita annettujen vaihtoehtojen joukosta, mihin maahan Rekisterinpitäjän verkkopalvelu ja sen sisältämät tiedot sijoitetaan. Varmuuskopiot säilytetään kuitenkin aina Suomessa. Käsittelijä ei siirrä verkkosivustoa, mukaan lukien siinä säilytettäviä Henkilötietoja, toiseen maahan ilman Rekisterinpitäjän lupaa.
Käsittelijän on huolehdittava teknisesti ja organisatorisesti siitä, että henkilötiedot suojataan riittävällä ja asianmukaisella tavalla lainsäädännön vaatimukset huomioiden. Käsittelijän on varmistuttava vähintään seuraavien toimien toteuttamisesta:
- Henkilötietojen pseudonymisointi ja salaaminen siltä osin kuin Rekisterinpitäjä edellyttää
- mahdollisuus varmistaa kaikkina ajankohtina Henkilötietojen käsittelyssä käytettyjen järjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja kestävyys
- Henkilötietojen saatavuuden ja Henkilötietoihin pääsyn palauttaminen viipymättä fyysisen tai teknisen poikkeaman jälkeen
Rekisterinpitäjä vastaa vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asianmukaisesta ja riittävästä tietoturvallisuudesta Rekisterinpitäjän liiketoiminnan erityispiirteet huomioiden.
Käsittelijä pyrkii varmuuskopioin ja teknisin kahdennuksin maksimoimaan tiedon säilymisen ja eheyden. Varmuuskopiot sijaitsevat Käsittelijän asiakkaiden saavuttamattomissa, joten varmuuskopioista ei voi hakea esim. vanhentuneita tietoja vahingossa.
Käsittelijän tekemät varmuuskopiot on tarkoitettu ainoastaan vikatilanteista toipumiseen, joten niiden säilytysaika on lyhyehkö. Varmuuskopioiden tekoaika ja -muoto saattaa vaihdella, eikä varmuuskopiosta välttämättä ole helposti palautettavissa yksittäistä tiedostoa tai muuta rajoitettua osaa palvelusta. Rekisterinpitäjän pyynnöstä Käsittelijä voi tutkia, onko Rekisterinpitäjän tarvitsema tieto palautettavissa varmuuskopioista. Jos Rekisterinpitäjä tarvitsee itse omassa toiminnassaan varmuuskopioita, hän on vastuussa tarpeidensa mukaisen varmuuskopioinnin järjestämisestä.
9. Auditointi
Rekisterinpitäjällä ja/tai sen tätä tarkoitusta varten valtuuttamalla kolmannella taholla on oikeus suorittaa auditointi arvioidakseen tämän Tietosuojaliitteen mukaisten tietosuojavelvoitteiden noudattamista ja Henkilötietojen käsittelyssä noudatettavaa tietoturvan tasoa. Rekisterinpitäjä suorittaa auditoinnin enintään kerran vuodessa. Rekisterinpitäjä voi kuitenkin pyytää tarkastusten suorittamista useammin, mikäli Rekisterinpitäjään sovellettava lainsäädäntö edellyttää tätä.
Käsittelijän tulee osallistua auditointiin ja antaa Rekisterinpitäjälle kaikki tiedot, jotka ovat tarpeen Käsittelijän velvollisuuksien noudattamisen osoittamista varten. Rekisterinpitäjällä on oikeus auditoida myös Käsittelijän käyttämien alihankkijoiden toiminta niiltä osin kuin sen on tarpeen palvelussa käsiteltävien Henkilötietojen suojaamiseksi.
Käsittelijä toimittaa Rekisterinpitäjälle pyydettäessä tarvittavat tiedot ja sallii auditoinnit ja avustaa niissä sen osoittamiseksi, että Käsittelijä noudattaa tämän tietosuojaliitteen määräyksiä. Käsittelijä on Henkilötietojen käsittelijän ominaisuudessa velvollinen saattamaan Rekisterinpitäjän saataville kaikki tiedot, jotka ovat Rekisterinpitäjälle rekisterinpitäjän ominaisuudessa tarpeen, jotta Käsittelijä voi osoittaa noudattaneensa tietosuoja-asetuksessa säädettyjä velvollisuuksiaan.
Käsittelijällä on oikeus kieltäytyä auditoinnista, mikäli sen suorittajaksi on osoitettu Käsittelijän suoraksi tai välilliseksi kilpailijaksi katsottava taho tai sellainen taho, jonka asiantuntemusta tai luotettavuutta voidaan perustellusti epäillä.
Käsittelijän ei tarvitse luovuttaa Rekisterinpitäjälle sellaisia tietoja, joiden merkitys on tietosuojan kannalta vähäinen tai joiden luovuttaminen rikkoisi Käsittelijän liikesalaisuuden suojaa tai toisen asiakkaan tai kolmannen osapuolen etua.
Mikäli auditoinnissa havaitaan Käsittelijästä johtuva puute, tulee Käsittelijän korjata asia viipymättä omalla kustannuksellaan.
Jos Rekisterinpitäjä haluaa teettää erillisen tietoturva-auditoinnin, sen suorittamisesta sovitaan tapauskohtaisesti erikseen. Rekisterinpitäjä vastaa auditoinnin suorittamiseen liittyvistä kuluista. Käsittelijän henkilöstöltä kuluva aika laskutetaan Käsittelijän normaalilla tuntiveloituksella.
10. Tietoturvaloukkausten käsittely
Käsittelijän on ilmoitettava Rekisterinpitäjälle kaikista tietoturvaloukkauksista ilman aiheetonta viivytystä, ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun Käsittelijä on tullut tietoiseksi tietoturvaloukkauksesta. Ilmoitukseen on sisällytettävä seuraavat tiedot:
- kuvaus tietoturvaloukkauksesta sisältäen tiedot siitä, mitä Rekisteröityjen ryhmiä tietoturvaloukkaus on koskenut sekä näiden ryhmien arvioitu lukumäärä;
- tietoturvaloukkauksen selvittämistä hoitavan Käsittelijän yhteyshenkilön nimi ja yhteystiedot;
- kuvaus tietoturvaloukkauksen toteutuneista seurauksista ja/tai todennäköisistä seurauksista; ja
- kuvaus toimenpiteistä, joihin Käsittelijä on ryhtynyt tietoturvaloukkauksen johdosta ja sen haittavaikutusten lieventämiseksi.
Jos edellä mainittujen tietojen antaminen ei ole mahdollista samanaikaisesti, tiedot voidaan antaa osissa.
Rekisterinpitäjän on ilmoitettava Käsittelijälle viivytyksettä, jos Rekisterinpitäjälle on syntynyt epäily tietoturvaloukkauksesta. Rekisterinpitäjällä on myös velvollisuus avustaa tietoturvaloukkauksen tutkimuksessa ja antaa Käsittelijälle tarvittavat tiedot tietoturvaloukkauksen tutkimiseksi. Käsittelijällä on oikeus keskeyttää tietoturvaloukkauksen selvittämistyö, mikäli Rekisterinpitäjä ei vastaa yhteydenottoihin tai jos suojeltava etu on ilmeisen vähäinen.
Mahdollisissa tietoturvaloukkaustilanteissa Käsittelijä ilmoittaa tilanteesta Rekisterinpitäjälle ja Rekisterinpitäjä on itse vastuussa eteenpäin tiedottamisesta esimerkiksi omille asiakkailleen tai verkkokauppansa rekisteröityneille käyttäjille. Käsittelijä voi tietoturvaloukkausten yhteydessä tiedottaa asiasta myös Liikenne- ja viestintäviraston Kyberturvallisuuskeskusta, poliisia tai muita viranomaistahoja ja yhdessä heidän kanssaan suunnitella tarvittavia toimenpiteitä.
11. Salassapito
Käsittelijän sekä Käsittelijän alaisuudessa toimivan henkilön on pidettävä Henkilötiedot ja muut Rekisterinpitäjältä saamansa tiedot luottamuksellisina. Lisäksi Käsittelijän on varmistuttava siitä, että Henkilötietoja pääsevät käsittelemään ainoastaan siihen oikeutetut henkilöt. Käsittelijän tulee huolehtia myös siitä, että Henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitovelvollisuuteen tai että heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
Rekisterinpitäjän palveluun tallettamia tietoja ei lueta eikä käsitellä lainkaan muuten kuin mitä on palvelun toimittamisen kannalta välttämätöntä.
12. Alihankkijoiden käyttäminen ja tietojen siirtäminen
Käsittelijä voi käyttää alihankkijoita tämän Tietosuojaliitteen mukaiseen palvelujen tarjoamiseen Rekisterinpitäjälle. Mikäli alihankkija käsittelee Henkilötietoja suostumuksen perusteella, vastaa Käsittelijä alihankkijan toiminnasta kuin omastaan. Käsittelijän tulee varmistaa, että sen alihankkija noudattaa tämän Tietosuojaliitteen ja Sopimuksen mukaista salassapitoa, tietoturvaa ja -suojaa koskevia vaatimuksia sekä Tietosuojalainsäädäntöä.
Tämän Tietosuojaliitteen liitteessä B on listattu nykyiset alihankkijat, joilla on pääsy Henkilötietoihin.
Käsittelijällä on oikeus vaihtaa alihankkijoita Sopimuksen voimassaoloaikana. Käsittelijä ilmoittaa Rekisterinpitäjälle ennakkoon Henkilötietoja käsittelevien alihankkijoiden muutoksista.
Hyväksymällä tämän Tietosuojaliitteen Rekisterinpitäjä hyväksyy Käsittelijän alihankkijoiden käytön yllä kuvatulla tavalla.
Käsittelijä vastaa siitä, että ainoastaan sen omalla henkilökunnalla ja johdolla on laillinen pääsy tilaajan tietoihin. Alihankkijoille ei myönnetä sellaisen tason käyttöoikeuksia, joilla voisi olla pääsy mahdollisiin Rekisterinpitäjän palvelussa säilyttämiin Henkilötietoihin. Poikkeuksena tähän on taho, jota Käsittelijä käyttää laskutuksen toteuttamiseen.
13. Henkilötietojen käsittely EU-/ETA-alueen ulkopuolella
Käsittelijä käsittelee Henkilötietoja pääsääntöisesti EU-/ETA-alueen sisällä, mutta Henkilötietoja voidaan käsitellä myös EU-/ETA-alueen ulkopuolella. Mikäli Henkilötietoja siirretään EU-/ETA-alueen ulkopuolelle, siirtoa varten on toteuttava lainsäädännön edellyttämät asianmukaiset suojatoimet, kuten käytettävä Euroopan komission hyväksymiä tietosuojaa koskevia vakiolausekkeita. Rekisterinpitäjällä on oikeus kirjallisesta pyynnöstä saada Käsittelijältä tiedot Henkilötietojen käsittelyn sijainnista.
14. Käsittelyn kesto ja tietojen poistaminen
Käsittelijä käsittelee Henkilötietoja ainoastaan niin kauan kuin Sopimuksen nojalla tarjotaan palveluita Rekisterinpitäjälle.
Sopimuksen päättyessä Käsittelijä Rekisterinpitäjän valinnan mukaisesti joko poistaa lopullisesti tai palauttaa kaikki henkilötiedot Rekisterinpitäjälle ja poistaa lisäksi olemassa olevat jäljennökset lukuun ottamatta tilannetta, jossa lainsäädännössä vaaditaan säilyttämään henkilötiedot määrätyn ajan Sopimuksen päättymisen jälkeen.
15. Tietoturva- ja tietosuoja-asioista aiheutuvat kustannukset
Mikäli Käsittelijä joutuu avustamaan Rekisterinpitäjää tietosuoja-asetuksen tietoturvaloukkauksia, Rekisteröityjen oikeuksien toteuttamista ja tietosuojavaikutusten arviointia koskevien säännösten täyttämisessä, on Käsittelijä oikeutettu laskuttamaan kohtuulliset toteutuneet työtunnit osapuolten sopiman tuntihinnan mukaisesti. Työtunneista laskuttaminen edellyttää kuitenkin sitä, että Rekisterinpitäjä on etukäteen hyväksynyt avustamisvelvoitteiden täyttämiseen liittyvän ajankäytön.
16. Vastuu ja muut ehdot
Mikäli Rekisteröidylle aiheutuu vahinkoa tietosuojavelvoitteiden rikkomisen vuoksi, Rekisterinpitäjä ja Käsittelijä vastaavat Rekisteröidylle aiheutuneesta vahingosta tietosuoja-asetuksen 82 artiklan mukaisesti. Rekisterinpitäjä ja Käsittelijä vastaavat kumpikin itse toimivaltaisen valvontaviranomaisen heille itselleen mahdollisesti määräämistä sanktioista
Tämä Tietosuojaliite on voimassa niin kauan kuin Sopimus on voimassa ja niin kauan Sopimuksen irtisanomisen tai sopimuskauden päättymisen jälkeen kuin on tarpeellista saattaa loppuun Henkilötietojen käsittelyyn liittyvät toiminnot (kuten Henkilötietojen palauttaminen Rekisterinpitäjälle) tai kauemmin, mikäli soveltuva lainsäädäntö niin määrää.
Sopimussuhteen päättyessä Käsittelijän tulee poistaa kaikki hallussaan olevat Rekisterinpitäjän Henkilötiedot ja niiden jäljennökset, paitsi jos sovellettavassa lainsäädännössä vaaditaan säilyttämään Henkilötiedot. Ennen sopimussuhteen päättymistä Rekisterinpitäjä voi kirjallisesti pyytää Käsittelijää toimittamaan sopimussuhteen päättyessä jäljennöksen Sopimuksen perusteella Käsittelijän hallussa olevista Rekisterinpitäjän Henkilötiedoista.