1 LIITE HENKILÖTIETOJEN KÄSITTELYSTÄ Tässä henkilötietojen käsittelyä koskevassa liitteessä ( Tietosuojaliite ) määritellään sitovasti henkilötietojen käsittelyä koskevat ehdot, joiden mukaisesti Toimittaja käsittelee Asiakkaan henkilötietoja Asiakkaan lukuun. Tämä liite on erottamaton osa Oy Capnova Ltd:n ( Toimittaja ) ja Asiakkaan ( Asiakas ) välillä olemassa olevaa palvelun toimittamista koskevaa sopimusta ( Sopimus ). Mikäli Sopimus on ristiriidassa tämän Tietosuojaliitteen kanssa, sovelletaan henkilötietojen käsittelyyn liittyen ensisijaisesti tässä Tietosuojaliitteessä sovittua. Tässä liitteessä käytetyt termit vastaavat EU:n yleisessä tietosuoja-asetuksessa määriteltyjä termejä. Liitteeseen tehdyt muutokset ovat päteviä vain, jos ne on tehty kirjallisesti ja jos molemmat sopijapuolet ovat vahvistaneet ne allekirjoituksillaan tai sähköpostitse lähetetyllä muutosta koskevalla vahvistuksella. Osapuolten roolit Asiakas on käsiteltävien henkilötietojensa rekisterinpitäjä ja Toimittaja käsittelijä. Asiakkaan henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Asiakas vastaa rekisterinpitäjänä. Toimittajan rooli Asiakkaan henkilötietojen käsittelyssä Toimittaja ei määrittele Asiakkaan Palveluun varastoitujen henkilötietojen tyyppiä. Toimittaja ei myöskään vastaa siitä, miten kyseiset tiedot luokitellaan, miten ne ovat saatavilla tai miten niitä vaihdetaan muiden osapuolten kanssa tai muutoin Käsitellään. Toimittaja Käsittelee Henkilötietoja ainoastaan Asiakkaan puolesta, ja vain siinä määrin ja tavalla, kuin Sopimuksessa ja Tietosuojaliitteessä erikseen määrätään tai asiakas on erikseen ohjeistanut. HENKILÖTIETOJEN KÄSITTELYN PERIAATTEET, VASTUUT JA OHJEISTUS Asiakkaan oikeus käsittelyn ohjeistamiseen Asiakkaalla on oikeus antaa Toimittajalle sitovia kirjallisia ohjeita henkilötietojen käsittelystä. Toimittaja käsittelee henkilötietoja tietosuojalainsäädännön ja Asiakkaan Toimittajalle toimittamien kirjallisten ohjeiden mukaisesti. Asiakkaan erilliset ohjeistukset tulee dokumentoida tilauksen, palvelukuvauksen, tukipyynnön tai muun kirjallisen viestinnän yhteydessä. Asiakkaan vastuu käsittelyn lainmukaisuudesta Asiakas vastaa henkilötietojen käsittelyn lainmukaisuudesta, kuten oikeusperusteiden olemassaolosta ja käsittelyperiaatteiden noudattamisesta. Lisäksi Asiakas vastaa läpinäkyvästä informoinnista, jonka mukaan rekisteröidyille toimitetaan lainmukaiset ilmoitukset henkilötietojen käsittelyyn liittyen. Toimittaja ei seuraa toimitettujen henkilötietojen sisältöä, laatua tai ajantasaisuutta.
2 Toimittajan velvollisuus huomauttaa lainvastaisista ohjeista Toimittaja ilmoittaa asiakkaalle välittömästi, jos toimittaja katsoo, että asiakkaan ohjeistus rikkoo tietosuojalainsäädäntöä. Tietojen siirto EU:n tai ETA:n ulkopuolelle Toimittajalla on oikeus siirtää henkilötietoja vapaasti Euroopan unionin tai Euroopan talousalueen sisällä. Tietoja on oikeus siirtää myös Euroopan unionin tai Euroopan talousalueen ulkopuolelle noudattaen tietosuojalainsäädännön määrittelemiä toimintatapoja. Asiakkaalla on oikeus saada milloin tahansa tiedot tietojen käsittelyn sijainnista. Käyttökielto muuhun käyttöön Toimittaja ei käsittele eikä muulla tavoin hyödynnä tämän liitteen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa. HENKILÖTIETOJEN POISTAMINEN TAI PALAUTTAMINEN REKISTERINPITÄJÄLLE KÄSITTELYN PÄÄTTYESSÄ Poistaminen käsittelyn aikana Sopimuksen voimassaoloaikana Toimittaja ei saa poistaa Asiakkaan lukuun käsittelemiään henkilötietoja ilman Asiakkaan nimenomaista pyyntöä. Poistaminen sopimuksen päätyttyä Sopimuksen päätyttyä Toimittaja poistaa kaikki sopimuksenmukaiset henkilötiedot tai pyynnöstä palauttaa ne asiakkaalle sekä poistaa kaikki kopiot niistä. TOISTEN HENKILÖTIETOJEN KÄSITTELIJÖIDEN KÄYTTÖ Oikeus käyttää alihankkijoita Toimittajalla on oikeus käyttää alihankkijoita Asiakkaan henkilötietojen käsittelyssä. Ilmoitus alihankkijoiden lisäämisestä tai vaihtamisesta Ennen henkilötietojen käsittelyyn osallistuvan alihankkijan lisäämistä, Toimittaja ilmoittaa asiasta kirjallisesti asiakkaalle ilman aiheetonta viivästystä. Jos Asiakas ei hyväksy alihankkijan lisäämistä, Toimittajalla on oikeus irtisanoa sopimus 30 päivän irtisanomisajalla.
3 Vastuu alihankkijan toiminnasta Toimittaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset henkilötietojen käsittelystä. HENKILÖTIETOJEN SUOJAAMINEN Toimittajan toteuttamat turvallisuuskäytännöt Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan henkilötietojen käsittelyn tapahtuvan sopimuksen vaatimusten mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus. Tietoturvakäytäntöjä ylläpidetään ja kehitetään jatkuvasti. Kulloinkin ajantasaiset tietoturvatoimenpiteet on määritelty Toimittajan tietoturvasuunnitelmassa, jotka on kuvailtu tarkemmin osoitteessa https://capnova.fi/kumppani/tietoturvasuunnitelma Salassapitovelvollisuuden järjestäminen Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Asiakkaan henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee lakisääteinen salassapitovelvollisuus. REKISTERÖIDYN OIKEUKSIEN TOTEUTTAMISEN AUTTAMINEN Avustaminen pyynnön käsittelyssä Toimittaja avustaa Asiakasta, jotta Asiakas pystyy täyttämään velvollisuutensa vastata rekisteröidyn oikeuksiin liittyviin tietopyyntöihin. Pyynnöt voivat edellyttää Toimittajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Ilmoitusvelvollisuus vastaanotettaessa pyyntö Toimittaja ilmoittaa Asiakkaalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Toimittaja ei itse vastaa näihin pyyntöihin. Veloitus avustamisesta Ellei toisin ole sovittu, Toimittajalla on oikeus laskuttaa Asiakasta hinnastonsa mukaisesti, jos avustaminen aiheuttaa lisäkuluja Toimittajalle. Toimittaja on velvollinen ennakolta ilmoittamaan Asiakkaalle mahdollisesti aiheutuvista lisäkuluista.
4 TIETOTURVALOUKKAUSTEN INFORMOINNIN, VAIKUTUSTENARVIOINNIN SEKÄ ENNAKKOKUULEMISEN AUTTAMINEN Tietoturvaloukkauksesta ilmoittaminen Toimittajan on ilmoitettava Asiakkaalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Toimittaja sitoutuu ilmoittamaan Asiakkaalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Tietoturvaloukkausta koskevan ilmoituksen sisältö Toimittajan on annettava Asiakkaalle vähintään seuraavat tiedot tietoturvaloukkauksesta; 1) tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät, sillä tarkkuudella kuin nämä ovat tiedossa; 2) tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja; 3) kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; sekä 4) kuvaus toimenpiteistä, joita Toimittaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi. Toiminta tietoturvaloukkaus havaittaessa Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi. AVOIN TIEDONJAKO JA AUDITOINTIOIKEUS Oikeus auditointiin Asiakkaalla tai tämän valtuuttamallaan auditoijalla on oikeus tarkastaa Toimittajan tai tämän käyttämien alihankkijoiden henkilötietojen käsittelyn velvollisuuksien noudattaminen. Toimittajan on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin. Toimittajan osallistuminen Toimittaja saattaa Asiakkaan saataville tämän pyynnöstä kaikki tiedot, jotka Asiakas tarvitsee rekisterinpitäjälle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Asiakkaan vastuulla olevien kuvausten ja muiden dokumenttien, kuten
5 vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Auditoinnin kustannukset Osapuolet vastaavat omalta osaltaan auditoinnista aiheutuvista kustannuksista. VAHINGONKORVAUKSET, RIITOJENRATKAISU JA VOIMASSAOLO Vahingonkorvaukset ja hallinnolliset sakot rekisteröidylle aiheutuneesta vahingosta Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollista sakoista sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Vahingonkorvaukset sopijapuolten välillä Sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on yhteensä enintään 100 prosenttia toimituksen kohteen arvonlisäverottomasta kuukausihinnasta. Sopijapuoli ei vastaa välillisestä vahingosta. Välillisenä vahinkona pidetään esimerkiksi saamatta jäänyttä voittoa tai vahinkoa, joka johtuu tuotannon tai liikevaihdon vähentymisestä tai keskeytymisestä. Vastuunrajoitukset eivät koske vahinkoa, joka on aiheutettu toimituksen kohteen lain tai liitteen vastaisella luovutuksella, kopioinnilla tai käytöllä, immateriaalioikeuksien loukkaamiselle, salassapitoa rikkomalla, tahallisesti tai törkeällä huolimattomuudella. Voimaantulo, soveltamisjärjestys ja voimassaolo Tämä liite tulee voimaan, kun molemmat Osapuolet ovat allekirjoittaneet sen. Tietosuojaliitteen voimassaolo päättyy automaattisesti Sopimuksen päättyessä. Allekirjoitukset Tämä sopimus on allekirjoitettu sähköisesti. Asiakkaan allekirjoitus Toimittajan allekirjoitus Oy Capnova Ltd 1608729-4 Mikko Vilppula, toimitusjohtaja