Data Processing Addendum

Tietojenkäsittelysopimus

Tämä tietojenkäsittelysopimus ("Tietojenkäsittelysopimus") tehdään (viimeisenä) allekirjoituspäivänä seuraavien sopimuspuolten välillä:

1. [lisää yrityksen koko nimi], jonka rekisteröity toimipaikka sijaitsee osoitteessa [lisää osoite ja maa] ja jonka yritysrekisterinumero on [lisää yritysrekisterinumero] ("Tietojenohjaajat"); ja

2. Solace Care, jonka rekisteröity toimipaikka on Luntmakargatan 26, 111 37 Tukholma, Ruotsi, ja jonka yritysrekisterinumero on 559519-7079 ("Tietojen Käsittelijä");

jäljempänä osapuolina tai kummankin osapuolen yksilöimisiin viitattaessa Osapuoli tai Osapuolet.

TAUSTA

1. Tietojenohjaaja määrittää henkilötietojen käsittelyn tarkoitukset ja keinot (kuten alla määritelty).

2. Osapuolet ovat solmineet palvelusopimuksen, jonka yhteydessä Tietojen Käsittelijä käsittelee henkilötietoja Tietojenohjaajan puolesta. Osapuolet ovat sopineet tarjoavansa Palvelut (kuten alla määritelty) ehtojen mukaisesti, jotka on asetettu Palvelusopimuksessa (kuten alla määritelty).

3. Osapuolet haluavat täydentää Palvelusopimusta tällä Tietojenkäsittelysopimuksella muodollisoidakseen henkilötietojen käsittelyyn liittyvät ehdot ja edellytykset.

4. Tämän tietojenkäsittelysopimuksen tarkoituksena on varmistaa riittävät suojatoimet yksityisyyden suojaamiseksi ja varmistaa henkilötietojen käsittelyn turvallisuus.

1. SOPIMUS

1. Sopimuksen pääosan lisäksi tämä tietojenkäsittelysopimus sisältää myös seuraavat asiakirjat:

Liite 3.1 Käsittelyohjeet

Liite 3.2 Teknisiä ja organisatorisia turvatoimia koskevat mittarit

Liite 3.3 Alihankkijat

1. Jos jokin tämän tietojenkäsittelysopimuksen ehto on ristiriidassa minkään Palvelusopimuksen ehtojen kanssa, tämän tietojenkäsittelysopimuksen ehdot ovat ensisijaisia. Isoilla kirjaimilla määrittelemättömät termit (jos niitä on) saavat merkityksensä asetettuna Palvelusopimuksessa.

1. MÄÄRITELMÄT

1. Termit, joille on määritelmä EU:n yleisessä tietosuoja-asetuksessa (GDPR), saavat tämän asetuksen mukaisen merkityksen tässä Sopimuksessa määritellysti.

2. Tässä Tietojenkäsittelysopimuksessa alla olevat termit saavat seuraavat merkitykset:

| Sovellettu laki | Kaikki lait ja säädökset, joita sovelletaan henkilötietojen käsittelyyn tämän tietojenkäsittelysopimuksen ja Palvelusopimuksen nojalla, kuten, mutta ei rajoittuen, GDPR. |

| Hyväksytty tarkoitus | Käsittelijän suorittama Henkilötietojen käsittely tämän Käsittelijäsopimuksen mukaisesti Ohjaajan puolesta (i) tarpeellisena Palvelusopimuksen tarkoituksen täyttämiseksi tai (ii) muutoin Ohjaajan Yhteyshenkilön määrittelemällä kirjallisella sopimuksella aika ajoin; |

| Hyväksytyt alihankkijat | Kaikki alihankkijat, jotka on listattu liitteessä 3.1; |

| Sopimus | Palvelusopimus, jolla Käsittelijä toimittaa tiettyjä ammatillisia palveluita Ohjaajalle; osapuolten välillä tehty liitteessä 3.1 määritettynä päivänä; |

| Tietojenohjaaja | Entiteetti, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. |

| Tietojen Käsittelijä | Entiteetti, joka käsittelee henkilötietoja tietojenohjaajan puolesta. |

| Tietojenkäsittelysopimus (DPA) | Tämä tietojenkäsittelysopimus - mukaan lukien mahdolliset tulevat muutokset siihen - joka sisältää tämän asiakirjan pääkappaleen ehdot liitteineen ja kaikki liitteet tai asiakirjat, jotka on erityisesti otettu siihen viittauksena. |

| Rekisteröity | Tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, joka on henkilötietojen kohde. |

| GDPR | EU:n yleinen tietosuoja-asetus (Asetus (EU) 2016/679); |

| Henkilötiedot | Kaikki tiedot, jotka liittyvät (i) tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön ja (ii) tunnistettuun tai tunnistettavissa olevaan oikeushenkilöön (jossa tällaisia tietoja suojataan vastaavalla tavalla kuin henkilötietoja tai henkilön tunnistavia tietoja sovellettavien tietosuojalakien ja -asetusten nojalla), joista kummassakin (i) tai (ii) nämä tiedot ovat Asiakasdataa. |

| Palvelut| Palvelut, jotka tietojenkäsittelijä tarjoaa Palvelusopimuksen nojalla; |

| Vakioklausuulit | EU-malliklausuulit, EU-hyväksytyt (Päätös 2010/87/EU) Vakioklausuulit henkilötietojen siirrolle tietojenohjaajilta kolmansien maiden ulkopuolella sijaitseville tietojenkäsittelijöille, joissa tietosuojavaatimuksia pidetään riittämättöminä, mukaan lukien kaikki Euroopan komission hyväksymät välineet, jotka korvaavat tai onnistuvat sellaisina sopimusklausuuleina; |

1. YLEISESTI

1. Tätä tietojenkäsittelysopimusta noudatetaan, kun tietojenkäsittelijä käsittelee henkilötietoja tietojenohjaajan puolesta Palvelusopimuksessa määriteltyjen Palvelujen täyttämiseksi. Tietojenkäsittelijä voi käsitellä henkilötietoja vain Hyväksyttyihin Tarkoituksiin ja Sovelletun lain, tämän tietojenkäsittelysopimuksen ja Palvelusopimuksen mukaisesti. Tietojenkäsittelijän on välittömästi ilmoitettava tietojenohjaajalle, jos se katsoo, että ohje on ristiriidassa Sovelletun lain kanssa.

2. Tietojenohjaaja säilyttää muodollisesti valvonnan ja omistusoikeuden henkilötietoihin. Tietojenkäsittelijällä ei ole muita oikeuksia henkilötietoihin kuin ei-yksinomaiset, peruutettavat ja ajallisesti rajoitetut oikeudet käsitellä henkilötietoja Hyväksyttyihin Tarkoituksiin.

3. Tietojenkäsittelijän velvollisuuksien hoitamiseen liittyvistä tuloista tämän tietojenkäsittelysopimuksen nojalla ei synny maksuja tai kustannuksia, lukuun ottamatta Palvelusopimuksessa määritettyjä Palvelumaksuja tai siihen liitettyjä erityispalvelusopimuksia.

1. HYVÄKSYTYT KÄSITTELY SIJAINTIPAIKAT

Tietojenkäsittelijä käsittelee henkilötietoja vain Hyväksyttyyn Tarkoitukseen. Henkilötietojen käsittely mihin tahansa muuhun tarkoitukseen on kiellettyä ja sitä pidetään tämän tietojensuojelusopimuksen ja palvelusopimuksen rikkomuksena.

1. HYVÄKSYTYT KÄSITTELYPAIKAT

1. Henkilötietojen käsittely saa tapahtua vain tietojenohjaajan, tietojenkäsittelijän ja/tai Hyväksytyn alihankkijan kontrolloimissa teknisissä ympäristöissä Hyväksytyn alueen sisällä.

2. Jos henkilötietoihin pääsee käsiksi sijainnista, sitä pidetään henkilötietojen siirtona kyseiseen sijaintiin. Henkilötietoihin ei saa päästä käsiksi Hyväksytyn Alueen ulkopuolisista sijainneista.

1. AVUSTAMINEN

1. Tietojenkäsittelijän on ilman aiheetonta viivytystä avustettava tietojenohjaajaa ja varmistettava, että tietojenkäsittelijän alihankkija avustaa tietojenohjaajaa vastauksen tai tietojen antamisessa Rekisteröidyille ja kansallisille valvontaviranomaisille käsittelyn osalta, jota tietojenkäsittelijä ja sen Hyväksytyt alihankkijat suorittavat tietojenohjaajan puolesta. Tietojenkäsittelijän on tarjottava sellaista tietoa ja tukea kuin tietojenohjaaja kohtuudella pyytää, jotta tietojenohjaaja voi noudattaa Sovelletun lainsäädännön ja asianomaisten viranomaisten ilmoituksia.

2. Tietojenkäsittelijän on avustettava tietojenohjaajaa noudattamaan GDPR:n 3. luvun mukaisia vaatimuksia:

* Korjata tai poistaa virhelliset henkilötiedot;

* Toimittaa kopio henkilötiedoista, jotka on tallennettu mihin tahansa palautus- tai varastointilaitteeseen, jota tietojenkäsittelijä tai mikä tahansa hyväksytty alihankkija hallitsee tai hallitsee;

* Tarjota tietoa henkilötietojen käsittelystä;

* Avustaa mihin tahansa pyyntöön tai ilmoitukseen, tai odotettuun pyyntöön tai ilmoitukseen, rekisteröidyn tai kansallisten valvontaviranomaisten taholta tai puolesta liittyen henkilötietoihin; ja

* Muulla tavoin tarjota kaikki soveltuvat tukitoimet tietojenohjaajalle tarpeellisina perustuslaissa määriteltyjen oikeudellisten velvoitteiden täyttämiseksi, kuten Artiklat 32-36 GDPR:ssa ja toteuttaa sopivat tekniset ja organisatoriset toimenpiteet tarjotakseen sellaista tukea.

1. ALIHANKKIJOIDEN KÄYTTÖ

1. Tietojenkäsittelijä saa käyttää vain Hyväksyttyä alihankkijaa suorittaakseen tietojenkäsittelysopimuksessa määritettyjä tehtäviä sen puolesta. Tietojenkäsittelijä varmistaa tässä Sub-Processor Agreementissa, että kaikki Hyväksytyn alihankkijan suorittama henkilötietojen käsittely täyttää tämän Käsittelijäsopimuksen vaatimukset. Tämä sisältää muun muassa tarkistamisen siitä, että Hyväksytyn alihankkijan toteuttamat turvatoimenpiteet takaavat vähintään saman suojan tason kuin mitä Tietojenkäsittelijältä edellytetään tämän tietojenkäsittelysopimuksen nojalla.

2. Tietojenkäsittelijä varmistaa, että Sub-Processor Agreement solmitaan ennen tällaista Hyväksytyn alihankkijan Henkilötietojen Käsittelyä. Tietojenkäsittelyihin liittyvien sopimusten on varmistettava, että tällainen hyväksytty alihankkija on vaatimusten alainen, jotka ovat vähintään yhtä tiukat ja jotka tarjoavat Tietojenohjaajalle ja tietojen kohteille minimissään yhtä suuren suojan kuin Tietojenkäsittelijän edellytetyt vaatimukset tämän Tietojenkäsittelysopimuksen ja Sovelletun lainsäädännön mukaisesti sen Käsittelytoiminnoissaan.

3. Käsittelijän on ilmoitettava Ohjaajalle kaikista suunnitelluista muutoksista, jotka liittyvät alihankkijan lisäämiseen tai vaihtamiseen, ja annettava Ohjaajalle kolmekymmentä (30) päivän ilmoitusaika, jotta Ohjaaja voi vastustaa muutoksia. Jos Tietojenohjaaja vastustaa muutoksia, asiaankuuluva alihankkija ei voi osallistua Tietojen Käsittelyyn tietojenohjaajan puolesta.

4. Ohjaaja voi peruuttaa yhden tai useamman valtuutuksen käyttää tiettyä Hyväksyttyä alihankkijaa. Tällaisissa tapauksissa tietojenohjaajan on annettava selitys tietojenkäsittelijälle peruuttamisen syyn osalta. Jos peruuttaminen estää tietojenkäsittelijää toimittamasta Palvelua, Osapuolten on keskusteltava hyvässä hengessä siitä, millä vaihtoehtoisilla ratkaisuilla ja/tai alihankkijoilla Palvelun toimitusta voidaan jatkaa.

2. HENKILÖTIETOJEN KÄSITTELY TIETYISSÄ OIKEUSTIETOUDESSA

1. Jos henkilötietojen käsittely ei tapahdu

1. Euroopan talousalueen sisällä tai

2. alueella, jonka Euroopan komissio on nimennyt alueeksi, joka takaa riittävän tason suojan;

Tietojen käsittely on suoritettava sovellettavien EU-mallikontaktiensa mukaisesti, jotka koskevat henkilötietojen siirtoa kolmansiin maihin (Vakioklausuulit). Jos Ohjaaja sallii siirron maahan, joka ei kuulu kohtaan a. tai b. yllä, tai sallii pääsyn henkilötietoihin maasta, joka ei kuulu kohtaan a. tai b. yllä, Osapuolet solmivat EU SSC ennen tällaista siirtoa tai pääsyä. Jos tällainen siirto koskee henkilötietojen siirtoa Hyväksytylle alihankkijalle, käsittelijän on varmistettava, että Hyväksytty alihankkija asettaa SCC-ehdot sellaiselle Hyväksytylle alihankkijalle edellyttäen, että Hyväksytyn alihankkijan on allekirjoitettava SCC-ehdot Ohjaajan kanssa "Henkilötietojen viejänä" SCC:ssä ennen tällaista siirtoa tai pääsyä.

1. Tietojenohjaaja antaa täten hyväksyntänsä Jätä käsittelijälle mahdollisuuden tehdä SCC-sopimuksia asiaankuuluvien hyväksyttyjen alihankkijoiden kanssa ohjaajan puolesta yllä mainituissa tarkoituksissa.

2. Välttääksemme väärinkäsitykset, vaatimus varmistaa, että Hyväksytty alihankkija solmii sopimuksen henkilötietojen käsittelystä SCC-Sopimuksia käyttäen, kun sitä edellytetään tämän Jakson 8 nojalla, ei vapauta käsittelijää sen velvollisuuksista, jotka kohdistuvat Jaksoon 7, mukaan lukien, mutta ei rajoittuen, velvollisuus varmistaa, että kyseisen Hyväksytyn alihankkijan toteuttamat suojatoimenpiteet tarjoavat Ohjaajalle ja Rekisteröidyille vähintään yhtä suuren suojan tason kuin Tietojenkäsittelijältä edellytetyt vaatimukset tämän Tietojenkäsittelysopimuksen mukaisesti.

1. TEKNISET JA ORGANISATORISET TURVATOIMET

1. Tietojenkäsittelijän on suoritettava velvoitteensa ja toimintansa tämän tietojenkäsittelysopimuksen mukaisesti huolella, tarkkuudella ja taidokkaasti. Tietojenkäsittelijän on käytettävä teknisiä ja organisatorisia turvatoimenpiteitä, jotka ovat sopivia estämään vahingot, jotka voivat syntyä luvattomasta tai lainvastaisesta käsittelystä, katoamisesta, tuhoutumisesta, vahingoittumisesta, muutoksesta tai henkilötietojen paljastumisesta, ottaen huomioon suojeltava henkilötietojen luonne.

2. Liite 3.2 "Tekniset ja organisatoriset turvatoimet" antaa ohjeita teknisistä ja organisatorisista turvatoimenpiteistä.

2. SALASSAPITO

1. Tietojenkäsittelijän on varmistettava, että se ja sen työntekijät sekä alihankkijat ja heidän työntekijät pitävät kaikki henkilötiedot luottamuksellisina ja että henkilötietoihin pääsee käsiksi vain tietojenkäsittelijän työntekijät tietotarpeen perusteella. Tietojenkäsittelijän on erityisesti huolehdittava, että kaikki henkilötietojen käsittelyyn osallistuva henkilökunta on saanut siihen liittyvän koulutuksen.

2. Henkilötietoja pidetään tietojenohjaajan luottamuksellisina tietoina ja, tämän tietojenkäsittelysopimuksen ehtojen lisäksi, niitä on käsiteltävä luottamuksellisina sopimuksen osapuolten välillä sovittujen salassapitovelvollisuuksien mukaisesti, joko Palvelusopimuksen taikka muun sovitun sopimuksen mukaisesti.

3. Senkin jälkeen, kun tämä tietojenkäsittelysopimus raukeaa tai sitä irtisanotaan, tämän Jakson 10 pantuja salassapitovelvollisuudet, ml. työntekijöiden, konsulttien ym. velvollisuus pitää henkilötiedot luottamuksellisina, jatkavat voimassaoloaan.

3. TARKASTUS

1. Tietojenohjaajalla on oikeus, kymmenen (10) arkipäivän etukäteen tietojenkäsittelijälle ilmoitettuaan, tarkastaa tietojenkäsittelijän (ja alihankkijoiden) noudattaminen tähän tietojenkäsittelysopimukseen kohdistuvien vaatimusten suhteen. Jos tietojenohjaajalla on perusteltuja epäilyksiä henkilötietojen rikkomuksesta, sovitusta menettelystä sovelletaan tällöin vähintään 24 tunnin varoitusaikaa. Tietojenkäsittelijän on toimitettava kaikki tiedot, joita vaaditaan tämän tietojenkäsittelysopimuksen noudattamisen osoittamiseksi. Jos tarkastus (tai muu olosuhde) osoittaa, että tässä menettelyssä ei ole noudatettu määräyksiä, tietojenkäsittelijän on korjattava tilanne.

2. Kummatkin osapuolet vastaavat tästä Jakson 11 mukaisesti johdetuista tarkastuksista aiheutuneista omista kustannuksistaan.

4. HENKILÖTIETOLUOKKAUUTTA KOSKEVA RAPORTOINTI

1. Jos tietojenkäsittelijällä on epäily tai tieto henkilötietorikkomuksesta, tietojenkäsittelijän on ilman aiheetonta viivytystä (ja joka tapauksessa viimeistään 48 tunnin kuluessa tiedostaan) ilmoitettava tästä tietojenohjaajalle lähettämällä sähköposti asiakkaan nimetylle yhteyshenkilölle Palvelusopimuksessa. Tietojenkäsittelijän on velvollinen tekemään yhteistyötä ongelman korjaamiseksi niin pian kuin se on kohtuullisesti ja käytännössä mahdollista. Ilmoituksen on, silloin kun sellaista tietoa on saatavilla, sisällettävä seuraavat tiedot:

1. Henkilötietojen rikkomuksen kuvaus, mukaan lukien, mahdollisuuksien mukaan, tietoonsa vedettyjen rekisteröityjen luokittelu ja likimääräinen lukumäärä, tiivistelmä henkilödata rikkomuksen syystä, tapahtuman päivämäärä ja aika, ja sisältö, saatavilla olevien tietosäilytysmediaan, fyysiseen luonteeseen ja aiheutuvaan rikkomukseen liittyvät tiedot;

2. Henkilötietojen rikkomuksen{