Sopimus henkilötietojen käsittelystä

Laadittu 16.3.2023

1. Henkilötietojen käsittelijä

JamJarSoft Oy, Y-tunnus 3281278-3   (jäljempänä ”Henkilötietojen käsittelijä”)

Kasarmikatu 4

13100 Hämeenlinna

2. Rekisterinpitäjä

JamJarSoft Oy:n asiakas (jäljempänä ”Rekisterinpitäjä”)

3. Sopimuksen tausta ja ehdot

Henkilötietojen käsittelijä ja Rekisterinpitäjä ovat tehneet palvelusopimuksen (jäljempänä ”Pääsopimus”), jonka täyttäminen edellyttää palveluntarjoajan käsittelevän asiakkaan henkilötietoja. Tässä sopimuksessa henkilötietojen käsittelystä (jäljempänä ”Sopimus”) sovitaan henkilötietojen käsittelyn ehdoista, jotka osapuolet hyväksyvät ja joita osapuolet sitoutuvat noudattamaan. Käsittelytoimet kuvataan tarkemmin Sopimuksen liitteessä A Seloste käsittelytoimista ja asiakkaan antama ohjeistus käsittelytoimista liitteessä B Rekisterinpitäjän antama ohjeistus henkilötietojen käsittelystä, joita Henkilötietojen käsittelijä tarvittaessa päivittää Sopimuksen voimassaoloaikana. Tämän Sopimuksen lisäksi osapuolet sitoutuvat noudattamaan kulloinkin voimassa olevaa pakottavaa lainsäädäntöä sekä muista sopimuksista johtuvia sopimusvelvoitteita.

4. Määritelmät

Tässä Sopimuksessa erikseen määrittelemättömille käsitteille on annettava yhtenevä merkitys yleisen tietosuoja-asetuksen (Europan parlamentin ja neuvoston asetusta (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) käsitteiden kanssa.

5. Rekisterinpitäjän oikeudet ja velvollisuudet

Rekisterinpitäjä pidättää itsellään kaikki oikeudet, mukaan lukien omistus- ja immateriaalioikeudet, henkilötietoihin.

Rekisterinpitäjä vastaa:

  • henkilötietojen keräämisestä ja keräämisen lainmukaisuudesta,
  • lainmukaisesta ja huolellisesta henkilötietojen käsittelystä,
  • siitä, ettei rekisteröityjen yksityisyydensuojaa loukata tai rajoiteta enemmän kuin on välttämätöntä tai ilman hyväksyttäviä ja lainmukaisia perusteita,
  • tässä Sopimuksessa tarkoitetun henkilötietojen käsittelyn tarkoituksen, luonteen ja keinojen määrittelystä,
  • kaikkien laissa tai sopimusehdoissa vaadittavien ilmoitusten antamisesta rekisteröidyille,
  • rekisteröityjen oikeuksien toteutumisesta,
  • kelpoisuudestaan ja toimivallastaan sitoutua Sopimukseen ja Pääsopimukseen,
  • tämän sopimuksen mukaisen henkilötietojen käsittelyn perusteiden lainmukaisuudesta,
  • kaikkien tarvittavien tietojen antamisesta Henkilötietojen käsittelijälle sen varmistamiseksi, että henkilötietojen käsittely voidaan suorittaa lainmukaisesti,
  • henkilötietojen korjaamisesta, muuttamisesta ja poistamista sekä näiden ilmoittamisesta Henkilötietojen käsittelijälle ja
  • haluamassaan laajuudessa suorittamansa auditoinnin toteuttamisesta ja kustannuksista sen varmistamiseksi, että Henkilötietojen käsittelijä ja alihankkijat noudattavat tätä Sopimusta
  • kaikkien Henkilötietojen käsittelijälle antamiensa tietojen oikeellisuudesta ja tietojen luovuttamisen lainmukaisuudesta.

6. Henkilötietojen käsittelijän oikeudet ja velvollisuudet

Henkilötietojen käsittelijä:

  • käsittelee henkilötietoja ainoastaan Rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, ja vain tämän Sopimuksen voimassaolon ajan siinä laajuudessa kuin on tarpeen Pääsopimuksessa asetettujen sopimusvelvoitteiden täyttämiseksi,
  • ei käytä tämän Sopimuksen soveltamisalaan kuuluvia henkilötietoja muussa toiminnassaan tai muutoin tämän Sopimuksen vastaisesti,
  • ei luovuta, käsittele tai yhdistä henkilötietoja muihin tietoaineistoihin muulla kuin tässä Sopimuksessa tai Pääsopimuksessa määritellyllä tavalla,
  • käsittelee henkilötietoja huolellisesti lakia ja hyvää tietojenkäsittelytapaa noudattaen, eikä rajoita tai loukkaa rekisteröityjen yksityisyydensuojaa tässä Sopimuksessa määrittelemättömällä tavalla tai enempää kuin on välttämätöntä Pääsopimuksen toteuttamiseksi,
  • käsittelee henkilötietoja ja vastaa yksittäisten henkilötietoja käsittelevien henkilöiden käsittelevän henkilötietoja ainoastaan Rekisterinpitäjän ohjeiden mukaisesti,
  • poikkeaa Rekisterinpitäjän ohjeistuksesta ainoastaan, mikäli laissa niin vaaditaan, ja ilmoittaa poikkeuksellisista käsittelytoimista Rekisterinpitäjälle, mikäli laki tällaisen ilmoituksen sallii,
  • varmistaa, että henkilötietoja käsittelee ja niihin on pääsy ainoastaan henkilöillä, joiden tehtävän hoitaminen sitä edellyttää ja jotka ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus,
  • toteuttaa kaikki tarvittavat tekniset ja organisatoriset toimenpiteet siten kuin tässä sopimuksessa on sovittu varmistaakseen henkilötietojen käsittelyn täyttävän sille laissa säädetyt turvallisuusvaatimukset,
  • ottaen huomioon käsittelyn luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä,
  • ottaen huomioon käsittelyn luonteen ja Henkilötietojen käsittelijän saatavilla olevat tiedot avustaa lain vaatimalla tavalla Rekisterinpitäjää varmistamaan, että laissa säädettyjä velvollisuuksia noudatetaan,
  • toteuttaa kaikki tarvittavat toimenpiteet Rekisterinpitäjän ilmoittaessa mahdollisista henkilötietojen muutoksista, korjauksista tai poistosta,
  • rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot Rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos voimassa olevassa lainsäädännössä vaaditaan säilyttämään henkilötiedot,
  • silloin kun laissa niin vaaditaan, Henkilötietojen käsittelijä saattaa Rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen laissa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun Rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin,
  • ilmoittaa Rekisterinpitäjälle, mikäli Henkilötietojen käsittelijän käsityksen mukaan Rekisterinpitäjän antama ohjeistus henkilötietojen käsittelystä on lainvastainen tai Rekisterinpitäjän toimintatavoissa on muita havaittavissa olevia puutteita.

Henkilötietojen käsittelijällä on oikeus korvaukseen sen suorittamista avustamistoimista ja toimista, joilla se toteuttaa rekisteröityjen oikeuksien turvaamiseksi tarvittavia toimenpiteitä sekä auditointien tukemistoimista.

7. Henkilötietojen siirto

Henkilötietojen käsittelijä voi siirtää Sopimuksen mukaisia henkilötietoja toiseen maahan Euroopan unionin tai Euroopan talousalueen sisällä tai sellaiseen maahan, jonka osalta Euroopan komissio on todennut sen takaavan riittävän tietosuojan tason. Tämän alueen ulkopuolelle kolmanteen maahan Henkilötietojen käsittelijä saa siirtää henkilötietoja ainoastaan, mikäli Rekisterinpitäjä on antanut tähän etukäteisen, kirjallisen suostumuksen ja henkilötietojen siirrosta solmitaan erillinen sopimus Henkilötietojen käsittelijän ja Rekisterinpitäjän välillä.

8. Alihankkijat

Henkilötietojen käsittelijällä on tämän Sopimuksen perusteella oikeus käyttää alihankkijoita henkilötietojen käsittelyssä. Lupa käyttää alihankkijoita on yleinen. Sopimuksen alkaessa käytössä olevat alihankkijat ilmoitetaan Rekisterinpitäjälle tämän kirjallisesta pyynnöstä.

Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle muutoksista, joilla alihankkijoita lisätään tai vaihdetaan, kirjallisesti tai Palvelussa näkyvällä ilmoituksella vähintään 30 päivää ennen muutoksen voimaan astumista. Mikäli Rekisterinpitäjä ei hyväksy muutoksia, Rekisterinpitäjällä on oikeus Pääsopimuksen mukaisesti irtisanoa Palvelu ja lopettaa sen käyttö irtisanomisaikaa noudattaen. Mikäli Rekisterinpitäjä ei irtisano Pääsopimusta, katsotaan tämän hyväksyneen muutokset.

Rekisterinpitäjä solmii kirjallisen sopimuksen henkilötietojen käsittelystä kaikkien alihankkijoiden kanssa edellyttäen alihankkijoiden noudattamaan Rekisterinpitäjän antamia dokumentoituja ohjeita henkilötietojen käsittelystä. Henkilötietojen käsittelijä vastaa alihankkijoidensa toimista kuin omistaan.

9. Salassapito ja tietoturva

Rekisterinpitäjä ja Henkilötietojen käsittelijä sitoutuvat pitämään salassa kaikki tämän sopimuksen nojalla saadut henkilö- ja muut tiedot, ellei sopimusehdoista tai laista muuta johdu. Rekisterinpitäjä ja Henkilötietojen käsittelijä sitoutuvat riittävien teknisten ja organisatoristen turvatoiminen järjestämiseen ja ylläpitämiseen kaikkien tietojen salassa pitämiseksi.

10. Tietoturvaloukkauksista ilmoittaminen

Henkilötietojen käsittelijän on saatuaan tiedon tässä Sopimuksessa tarkoitettuja henkilötietoja koskevasta tietoturvaloukkauksesta ilmoitettava siitä Rekisterinpitäjälle ilman aiheetonta viivytystä. Ilmoitus tehdään Rekisterinpitäjän yhteystiedoissa olevalle yhteyshenkilölle tai Palvelussa annettavalla ilmoituksella.

Henkilötietojen käsittelijän on ilman aiheetonta viivytystä toimitettava Rekisterinpitäjälle tieto tietoturvaloukkaukseen johtaneista olosuhteista ja syistä sekä tieto muista Henkilötietojen käsittelijän saatavilla olevista seikoista Rekisterinpitäjän kohtuudellisten pyyntöjen mukaisesti.

Mikäli tieto on Henkilötietojen käsittelijän kohtuudella saatavissa, on mahdollisuuksien mukaan ilmoituksessa annettava vähintään i) kuvaus tietoturvaloukkauksesta, mukaan lukien asianomaisten rekisteröityjen ryhmät ja lukumäärät sekä henkilötietojen ryhmät ja lukumäärät, ii) Henkilötietojen käsittelijän tietosuoja-asioista vastaavan henkilön nimi ja yhteystiedot, iii) kuvaus tietoturvaloukkauksen todennäköisistä seurauksista sekä iv) kuvaus ehdotetuista toimenpiteistä, jotka toteutetaan tai on toteutettu loukkauksen johdosta sekä toimenpiteet loukkauksesta aiheutuneiden haittojen lieventämiseksi.

11. Auditointi

Rekisterinpitäjällä on oikeus auditoija Henkilötietojen käsittelijän tämän Sopimuksen mukainen toiminta. Auditoinnista yksityiskohtineen tulee sopia etukäteen siten, ettei auditoinnista aiheudu kohtuutonta haittaa Henkilötietojen käsittelijän toiminnalle. Rekisterinpitäjä vastaa kaikista auditoinnista johtuvista kustannuksista mukaan lukien auditoinnista Henkilötietojen käsittelijälle aiheutuvista lisäkustannuksista.

12. Vastuunrajoitus

Henkilötietojen käsittelijä vastaa tämän Sopimuksen osalta vain huolimattomuudesta johtuvien välittömien vahinkojen korvaamisesta. Henkilötietojen käsittelijä ei vastaa välillisistä vahingoista, ellei laista muuta johdu. Rekisterinpitäjän on korvattava Henkilötietojen käsittelijälle sen kolmannelle maksama, tähän Sopimukseen liittyvän velvoitteen rikkomisesta johtuva, korvaus, ellei korvaus johdu Henkilötietojen käsittelijän huolimattomasta tai tahallisesta menettelystä.

Henkilötietojen käsittelijän korvausvastuun enimmäismäärä on kuitenkin aina Pääsopimuksessa määritelty korvauksen enimmäismäärä vahinkotapahtumaa kohden, ellei sopimuksesta tai laista muuta johdu. Korvaus katsotaan yhdestä vahinkotapahtumasta johtuvaksi, vaikka korvaus johtuisi toistuvasta virheestä tai olisi pitkäkestoinen. Sopimuksen rikkominen, virhe tai laiminlyönti ei aiheuta Henkilötietojen käsittelijälle muuta kuin edellä mainittuja seuraamuksia, ellei pakottavasta lainsäädännöstä muuta johdu. Kaikki vaatimukset Henkilötietojen käsittelijälle on toimitettava kirjallisesti neljäntoista vuorokauden kuluessa siitä, kun virhe, puute tai laiminlyönti havaittiin tai olisi pitänyt havaita.

13. Sopimuksen voimassaolo ja muuttaminen

Tämän sopimuksen voimassaolo on sidottu Pääsopimuksen voimassaoloon alkaen Pääsopimuksen syntymisestä ja päättyen automaattisesti Pääsopimuksen päättyessä mistä tahansa syystä. Kuitenkin ne velvoitteet, joiden on tästä sopimuksesta tai laista johtuvien velvoitteiden vuoksi pysyttävä voimassa sopimuksen voimassaolosta riippumatta, säilyvät voimassa Pääsopimuksen päättymisestä huolimatta niin kauan, kuin velvoitteiden luonteen vuoksi on tarpeen.

Henkilötietojen käsittelijällä on oikeus muuttaa tämän Sopimuksen ehtoja tai Sopimuksen liitettä A Seloste käsittelytoiminnasta ilmoittamalla muutoksista Rekisterinpitäjälle kirjallisesti tai Palvelussa annettavalla ilmoituksella vähintään 30 päivää ennen muutosten voimaan astumista. Mikäli Rekisterinpitäjä ei hyväksy muutoksia, Rekisterinpitäjällä on oikeus Pääsopimuksen mukaisesti irtisanoa Palvelu ja lopettaa sen käyttö irtisanomisaikaa          noudattaen.                      Mikäli                       Rekisterinpitäjä                ei                   irtisano Pääsopimusta, katsotaan tämän hyväksyneen muutokset.

Sopimuksen liitettä B Rekisterinpitäjän antama ohjeistus henkilötietojen käsittelystä voidaan muuttaa Rekisterinpitäjän antamalla kirjallisella ilmoituksella, joka tulee antaa vähintään 30 päivää ennen muutosten suunniteltua voimaantuloa. Henkilötietojen käsittelijän on hyväksyttävä ehdotetut muutokset kirjallisesti. Ellei Henkilötietojen käsittelijä hyväksy muutoksia, niiden ei katsota tulevan voimaan ja Rekisterinpitäjällä on oikeus Pääsopimuksen mukaisesti irtisanoa sopimus ja lopettaa Palvelun käyttö.

14. Sovellettava laki

Tähän Sopimukseen liitteineen sovelletaan Suomen lakia.

Liitteet

A Seloste käsittelytoimista

B Rekisterinpitäjän antama ohjeistus henkilötietojen käsittelystä

               

LIITE A Seloste käsittelytoimista

Rekisteröityjen ryhmät, joiden henkilötietoja käsitellään• Asiakkaan palkan- ja palkkionsaajat palkka- ja henkilöstöhallinnon toteuttamiseksi
• Asiakkaan henkilöasiakkaiden saatavien seuraamista varten
• Osakeyhtiön osakkaat osakeyhtiön hallintoa varten
• Yhdistyksen jäsenet yhdistysten hallintoa ja laskutusta varten
• Asunto-osakeyhtiön osakkaat asunto-osakeyhtiön hallintoa ja laskutusta varten
Käsiteltävät henkilötietoryhmät• Nimi
• Osoite, puhelinnumero, sähköpostiosoite
• Henkilötunnus
• Sukupuoli, kieli
• Työsuhdetiedot
• Palkkatiedot ja -perusteet
• Ammattiyhdistysten jäsenmaksutiedot
• Ulosottotiedot
• Tuntikirjaukset, kappalehinta
Henkilötietojen käsittelyn luonneHenkilötietoja tallennetaan, säilytetään, siirretään, muokataan ja poistetaan. Henkilötietoja käsitellään automaattisesti.
Tarkoitukset, joita varten henkilötietoja käsitellään rekisterinpitäjän puolestaHenkilötietoja käsitellään Pääsopimuksessa määriteltyjen ja laissa säädettyjen velvoitteiden täyttämiseksi.
Henkilötietojen käsittelyn kestoHenkilötietoja käsitellään Sopimuksen voimassaollessa sekä sen päättymisen jälkeen, mikäli käsittely on edellytys Sopimuksessa tai laissa asetettujen velvoitteiden täyttämiseksi.
Säännönmukaiset tietolähteetHenkilötiedot saadaan Rekisterinpitäjältä tämän omien ilmoitusten ja kirjausten mukaisesti.
Tekniset ja organisatoriset turvatoimetTiedot suojataan teknisesti asianmukaisin toimenpitein, kuten palomuurein ja salasanoin, sekä Henkilötietojen käsittelijän omissa tietojärjestelmissä että siirrettäessä henkilötietoja Rekisterinpitäjän ja Henkilötietojen käsittelijän tai Henkilötietojen käsittelijän ja alihankkijoiden välillä.
  Henkilötietoihin on pääsy ainoastaan sellaisilla työntekijöillä, joiden tehtävien hoitaminen edellyttää henkilötietojen käsittelyä. Kyseisiä työntekijöitä sitoo sopimukseen tai lakiin perustuva salassapitovelvollisuus.

Liite B Rekisterinpitäjän antama ohjeistus henkilötietojen käsittelystä

Rekisterinpitäjän antama ohjeistus henkilötietojen käsittelystä on tallennettu Henkilötietojen käsittelijän