|
7.6.2021 |
FI |
Euroopan unionin virallinen lehti |
L 199/18 |
KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2021/915,
annettu 4 päivänä kesäkuuta 2021,
Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 28 artiklan 7 kohdan ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 29 artiklan 7 kohdan mukaisista rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä vakiosopimuslausekkeista
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (1) (yleinen tietosuoja-asetus), ja erityisesti sen 28 artiklan 7 kohdan,
ottaa huomioon luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (2) (EU:n tietosuoja-asetus), ja erityisesti sen 29 artiklan 7 kohdan,
sekä katsoo seuraavaa:
|
(1) |
Rekisterinpitäjän ja henkilötietojen käsittelijän käsitteillä on keskeinen rooli asetuksen (EU) 2016/679 ja asetuksen (EU) 2018/1725 soveltamisessa. Rekisterinpitäjä on luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Asetuksen (EU) 2018/1725 soveltamiseksi rekisterinpitäjällä tarkoitetaan unionin toimielintä tai elintä, pääosastoa tai muuta organisaatioyksikköä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos käsittelyn tarkoitukset ja keinot määritellään erityisellä unionin säädöksellä, rekisterinpitäjästä tai tämän nimittämistä koskevista erityisistä perusteista voidaan säätää unionin lainsäädännössä. Henkilötietojen käsittelijä on luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. |
|
(2) |
Samoja vakiosopimuslausekkeita olisi sovellettava asetuksen (EU) 2016/679 soveltamisalaan kuuluvien rekisterinpitäjien ja henkilötietojen käsittelijöiden väliseen suhteeseen ja myös silloin, kun niihin sovelletaan asetusta (EU) 2018/1725. Tämä johtuu siitä, että jotta henkilötietojen suojaan koko unionissa ja henkilötietojen vapaaseen liikkuvuuteen unionissa sovellettaisiin johdonmukaista lähestymistapaa, jäsenvaltioiden julkiseen sektoriin sovellettavat asetuksen (EU) 2016/679 tietosuojasäännöt ja unionin toimielimiin, elimiin ja virastoihin sovellettavat asetuksen (EU) 2018/1725 tietosuojasäännöt on mahdollisuuksien mukaan sovitettu yhteen. |
|
(3) |
Asetusten (EU) 2016/679 ja (EU) 2018/1725 vaatimusten noudattamisen varmistamiseksi rekisterinpitäjän olisi antaessaan käsittelytoimia henkilötietojen käsittelijän tehtäväksi käytettävä ainoastaan henkilötietojen käsittelijöitä, jotka antavat riittävät takeet, erityisesti asiantuntemuksen, luotettavuuden ja resurssien osalta, kun toteutetaan sellaisia teknisiä ja organisatorisia toimenpiteitä, jotka täyttävät asetuksen (EU) 2016/679 ja asetuksen (EU) 2018/1725 vaatimukset, mukaan lukien käsittelyn turvallisuus. |
|
(4) |
Henkilötietojen käsittelijän suorittamaan tietojen käsittelyyn sovelletaan sopimusta tai muuta unionin oikeuden tai jäsenvaltion lainsäädännön mukaista oikeudellista asiakirjaa, joka sitoo henkilötietojen käsittelijää rekisterinpitäjään nähden ja jossa vahvistetaan asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdassa tai asetuksen (EU) 2018/1725 29 artiklan 3 ja 4 kohdassa luetellut seikat. Sopimuksen tai asiakirjan on oltava kirjallinen, myös sähköisessä muodossa. |
|
(5) |
Asetuksen (EU) 2016/679 28 artiklan 6 kohdan ja asetuksen (EU) 2018/1725 29 artiklan 6 kohdan mukaisesti rekisterinpitäjä ja henkilötietojen käsittelijä voivat päättää neuvotella yksittäisen sopimuksen, joka sisältää asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdassa tai asetuksen (EU) 2018/1725 29 artiklan 3 ja 4 kohdassa säädetyt pakolliset osat, tai käyttää kokonaan tai osittain komission asetuksen (EU) 2016/679 28 artiklan 7 kohdan ja asetuksen (EU) 2018/1725 29 artiklan 7 kohdan nojalla hyväksymiä vakiosopimuslausekkeita. |
|
(6) |
Rekisterinpitäjän ja henkilötietojen käsittelijän olisi voitava vapaasti sisällyttää tässä päätöksessä säädetyt vakiosopimuslausekkeet laajempaan sopimukseen ja lisätä muita lausekkeita tai lisätakeita edellyttäen, että ne eivät ole suoraan tai välillisesti ristiriidassa vakiosopimuslausekkeiden kanssa eivätkä rajoita rekisteröityjen perusoikeuksia tai -vapauksia. Vakiosopimuslausekkeiden käyttö ei vaikuta rekisterinpitäjän ja/tai henkilötietojen käsittelijän sopimusvelvoitteisiin, jotka koskevat sovellettavien erioikeuksien ja vapauksien kunnioittamisen varmistamista. |
|
(7) |
Vakiosopimuslausekkeiden olisi sisällettävä sekä aineellisia että menettelysääntöjä. Asetuksen (EU) 2016/679 28 artiklan 3 kohdan ja asetuksen (EU) 2018/1725 29 artiklan 3 kohdan mukaisesti vakiosopimuslausekkeissa olisi myös edellytettävä, että rekisterinpitäjä ja henkilötietojen käsittelijä vahvistavat käsittelyn kohteen ja keston, sen luonteen ja tarkoituksen, kyseessä olevien henkilötietojen tyypin, rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. |
|
(8) |
Asetuksen (EU) 2016/679 28 artiklan 3 kohdan ja asetuksen (EU) 2018/1725 29 artiklan 3 kohdan mukaan henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle välittömästi, jos sen mielestä rekisterinpitäjän ohjeella rikotaan asetusta (EU) 2016/679 tai asetusta (EU) 2018/1725 taikka muita unionin tai jäsenvaltion tietosuojasäännöksiä. |
|
(9) |
Jos henkilötietojen käsittelijä kutsuu toisen henkilötietojen käsittelijän suorittamaan tiettyjä toimintoja, olisi sovellettava asetuksen (EU) 2016/679 28 artiklan 2 ja 4 kohdassa tai asetuksen (EU) 2018/1725 29 artiklan 2 ja 4 kohdassa tarkoitettuja erityisiä vaatimuksia. Erityisesti vaaditaan erityinen tai yleinen kirjallinen ennakkolupa. Riippumatta siitä, onko tämä ennakkolupa erityinen vai yleinen, ensimmäisen henkilötietojen käsittelijän olisi pidettävä ajan tasalla luettelo muista henkilötietojen käsittelijöistä. |
|
(10) |
Täyttääkseen asetuksen (EU) 2016/679 46 artiklan 1 kohdan vaatimukset komissio hyväksyi vakiosopimuslausekkeita asetuksen (EU) 2016/679 46 artiklan 2 kohdan c alakohdan nojalla. Kyseiset lausekkeet täyttävät myös asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdan vaatimukset, jotka koskevat tiedonsiirtoja asetuksen (EU) 2016/679 soveltamisalaan kuuluvilta rekisterinpitäjiltä kyseisen asetuksen alueellisen soveltamisalan ulkopuolisille henkilötietojen käsittelijöille tai asetuksen (EU) 2016/679 soveltamisalaan kuuluvilta henkilötietojen käsittelijöiltä kyseisen asetuksen alueellisen soveltamisalan ulkopuolisille henkilötietojen alikäsittelijöille. Näitä vakiosopimuslausekkeita ei voida käyttää vakiosopimuslausekkeina asetuksen (EU) 2016/679 V luvun soveltamiseksi. |
|
(11) |
Kolmansien osapuolten olisi voitava tulla vakiosopimuslausekkeiden osapuoleksi sopimuksen koko elinkaaren ajan. |
|
(12) |
Vakiosopimuslausekkeiden toimivuutta olisi arvioitava osana asetuksen (EU) 2016/679 97 artiklassa tarkoitettua määräaikaisarviointia. |
|
(13) |
Euroopan tietosuojavaltuutettua ja Euroopan tietosuojaneuvostoa on kuultu asetuksen (EU) 2018/1725 42 artiklan 1 ja 2 kohdan mukaisesti, ja ne antoivat 14 päivänä tammikuuta 2021 yhteisen lausunnon (3), joka on otettu huomioon tämän päätöksen valmistelussa. |
|
(14) |
Tässä päätöksessä säädetyt toimenpiteet ovat asetuksen (EU) 2016/679 93 artiklalla ja asetuksen (EU) 2018/1725 96 artiklan 2 kohdalla perustetun komitean lausunnon mukaiset, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
Liitteessä esitetyt vakiosopimuslausekkeet täyttävät asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdassa sekä asetuksen (EU) 2018/1725 29 artiklan 3 ja 4 kohdassa säädetyt rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä sopimuksia koskevat vaatimukset.
2 artikla
Liitteessä esitettyjä vakiosopimuslausekkeita voidaan käyttää rekisterinpitäjän ja rekisterinpitäjän puolesta henkilötietoja käsittelevän henkilötietojen käsittelijän välisissä sopimuksissa.
3 artikla
Komissio arvioi liitteessä esitettyjen vakiosopimuslausekkeiden käytännön soveltamista kaikkien saatavilla olevien tietojen perusteella osana asetuksen (EU) 2016/679 97 artiklassa säädettyä määräaikaisarviointia.
4 artikla
Tämä päätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tehty Brysselissä 4 päivänä kesäkuuta 2021.
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
(1) EUVL L 119, 4.5.2016, s. 1.
(2) EUVL L 295, 21.11.2018, s. 39.
(3) Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen lausunto 1/2021 asetuksen (EU) 2016/679 28 artiklan 7 kohdassa ja asetuksen (EU) 2018/1725 29 artiklan 7 kohdassa tarkoitettuja seikkoja koskevista rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä vakiosopimuslausekkeista annetusta komission täytäntöönpanopäätöksestä.
LIITE
Vakiosopimuslausekkeet
I JAKSO
Lauseke 1
Tarkoitus ja soveltamisala
|
a) |
Näiden vakiosopimuslausekkeiden (jäljempänä ’lausekkeet’) tarkoituksena on varmistaa [valitse asiaankuuluva vaihtoehto: VAIHTOEHTO 1: luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdan noudattaminen] / [VAIHTOEHTO 2: luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 29 artiklan 3 ja 4 kohdan noudattaminen]. |
|
b) |
Liitteessä I luetellut rekisterinpitäjät ja henkilötietojen käsittelijät ovat hyväksyneet nämä lausekkeet varmistaakseen, että asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohtaa ja/tai asetuksen (EU) 2018/1725 29 artiklan 3 ja 4 kohtaa noudatetaan. |
|
c) |
Näitä lausekkeita sovelletaan liitteessä II täsmennettyyn henkilötietojen käsittelyyn. |
|
d) |
Liitteet I–IV ovat erottamaton osa lausekkeita. |
|
e) |
Nämä lausekkeet eivät vaikuta velvoitteisiin, joita rekisterinpitäjään sovelletaan asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 nojalla. |
|
f) |
Näillä lausekkeilla ei yksinään varmisteta asetuksen (EU) 2016/679 V luvun ja/tai asetuksen (EU) 2018/1725 V luvun mukaisten kansainvälisiin siirtoihin liittyvien velvoitteiden noudattamista. |
Lauseke 2
Lausekkeiden muuttumattomuus
|
a) |
Osapuolet sitoutuvat olemaan muuttamatta lausekkeita, lukuun ottamatta tietojen lisäämistä liitteisiin tai niissä olevien tietojen päivittämistä. |
|
b) |
Tämä ei estä osapuolia sisällyttämässä tässä päätöksessä säädettyjä vakiosopimuslausekkeita laajempaan sopimukseen ja lisäämästä muita lausekkeita tai täydentäviä suojatoimia edellyttäen, että ne eivät ole suoraan tai välillisesti ristiriidassa vakiosopimuslausekkeiden kanssa eivätkä rajoita rekisteröityjen perusoikeuksia tai -vapauksia. |
Lauseke 3
Tulkinta
|
a) |
Jos näissä lausekkeissa käytetään asetuksessa (EU) 2016/679 tai asetuksessa (EU) 2018/1725 määriteltyjä termejä, näillä termeillä on sama merkitys kuin kyseisessä asetuksessa. |
|
b) |
Näitä lausekkeita on luettava ja tulkittava asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 säännösten valossa. |
|
c) |
Näitä lausekkeita ei saa tulkita tavalla, joka on ristiriidassa asetuksessa (EU) 2016/679 tai asetuksessa (EU) 2018/1725 säädettyjen oikeuksien ja velvoitteiden kanssa tai tavalla, joka loukkaa rekisteröityjen perusoikeuksia tai -vapauksia. |
Lauseke 4
Hierarkia
Jos nämä lausekkeet ovat ristiriidassa osapuolten välisten asiaa koskevien sopimusten määräysten kanssa, jotka ovat olemassa silloin kun näistä lausekkeista sovitaan tai tulevat voimaan sen jälkeen, nämä lausekkeet ovat ensisijaisia.
Lauseke 5 – Vapaaehtoinen
Liittymistä koskeva lauseke
|
a) |
Yhteisö, joka ei ole näiden lausekkeiden osapuoli, voi kaikkien osapuolten suostumuksella liittyä näihin lausekkeisiin milloin tahansa joko rekisterinpitäjänä tai henkilötietojen käsittelijänä täyttämällä liitteet ja allekirjoittamalla liitteen I. |
|
b) |
Kun a kohdassa tarkoitetut liitteet on täytetty ja allekirjoitettu, liittyvä yhteisö katsotaan näiden lausekkeiden osapuoleksi, ja sillä on rekisterinpitäjän tai henkilötietojen käsittelijän oikeudet ja velvoitteet liitteessä I olevan nimeämisen mukaisesti. |
|
c) |
Liittyvällä yhteisöllä ei ole näistä lausekkeista johtuvia oikeuksia tai velvoitteita sopimuspuoleksi liittymistä edeltävältä ajalta. |
II JAKSO
OSAPUOLTEN VELVOITTEET
Lauseke 6
Käsittelyn/käsittelyjen kuvaus
Yksityiskohtaiset tiedot henkilötietojen käsittelytoimista ja erityisesti henkilötietojen ryhmistä ja tarkoituksista, joita varten henkilötietoja käsitellään rekisterinpitäjän puolesta, esitetään liitteessä II.
Lauseke 7
Osapuolten velvoitteet
7.1 Ohjeet
|
a) |
Henkilötietojen käsittelijän on käsiteltävä henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan. Tässä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle kyseisestä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos se kielletään lainsäädännössä yleistä etua koskevien tärkeiden syiden vuoksi. Rekisterinpitäjä voi myös antaa myöhemmin ohjeita koko henkilötietojen käsittelyn ajan. Nämä ohjeet on aina dokumentoitava. |
|
b) |
Henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos henkilötietojen käsittelijä katsoo, että rekisterinpitäjän antamat ohjeet ovat asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 taikka sovellettavien unionin tai jäsenvaltioiden tietosuojasäännösten vastaisia. |
7.2 Käyttötarkoituksen rajaaminen
Henkilötietojen käsittelijä saa käsitellä henkilötietoja ainoastaan liitteessä II esitettyjä käsittelyn erityistarkoituksia varten, ellei rekisterinpitäjä anna lisäohjeita.
7.3 Henkilötietojen käsittelyn kesto
Henkilötietojen käsittelijän suorittama käsittely saa kestää ainoastaan liitteessä II täsmennetyn ajan.
7.4 Käsittelyn turvallisuus
|
a) |
Henkilötietojen käsittelijän on toteutettava ainakin liitteessä III eritellyt tekniset ja organisatoriset toimenpiteet henkilötietojen turvallisuuden varmistamiseksi. Tähän sisältyy tietojen suojaaminen tietoturvaloukkauksilta, jotka johtavat vahingossa tapahtuvaan tai laittomaan tietojen tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai käyttöön (henkilötietojen tietoturvaloukkaus). Asianmukaista turvallisuustasoa arvioidessaan osapuolten on otettava asianmukaisesti huomioon uusin tekniikka, täytäntöönpanokustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröidyille aiheutuvat riskit. |
|
b) |
Henkilötietojen käsittelijä antaa käsiteltävät henkilötiedot henkilöstönsä jäsenille vain siinä määrin kuin se on ehdottoman välttämätöntä sopimuksen täytäntöönpanoa, hallinnointia ja seurantaa varten. Henkilötietojen käsittelijä varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. |
7.5 Arkaluonteiset tiedot
Jos käsittelyyn liittyy henkilötietoja, joista käy ilmi rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisiä tietoja tai biometrisiä tietoja luonnollisen henkilön yksiselitteistä tunnistamista varten, terveyttä tai henkilön seksuaalista käyttäytymistä tai seksuaalista suuntautumista koskevia tietoja taikka rikostuomioihin ja rikoksiin liittyviä tietoja, jäljempänä ’arkaluonteiset tiedot’, henkilötietojen käsittelijän on sovellettava erityisiä rajoituksia ja/tai täydentäviä suojatoimia.
7.6 Dokumentointi ja vaatimustenmukaisuus
|
a) |
Osapuolten on voitava osoittaa noudattavansa näitä lausekkeita. |
|
b) |
Henkilötietojen käsittelijän on käsiteltävä nopeasti ja asianmukaisesti rekisterinpitäjän kyselyt, jotka koskevat tietojen käsittelyä näiden lausekkeiden mukaisesti. |
|
c) |
Henkilötietojen käsittelijän on asetettava rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen sen osoittamiseksi, että näissä lausekkeissa vahvistettuja velvoitteita on noudatettu ja jotka johtuvat suoraan asetuksesta (EU) 2016/679 ja/tai asetuksesta (EU) 2018/1725. Henkilötietojen käsittelijän on rekisterinpitäjän pyynnöstä myös sallittava näiden lausekkeiden kattamien käsittelytoimien tarkastukset ja osallistuttava niihin kohtuullisin väliajoin tai kun on viitteitä vaatimusten noudattamatta jättämisestä. Päättäessään uudelleentarkastelusta tai tarkastuksesta rekisterinpitäjä voi ottaa huomioon henkilötietojen käsittelijällä olevat asiaankuuluvat sertifioinnit. |
|
d) |
Rekisterinpitäjä voi päättää suorittaa tarkastuksen itse tai valtuuttaa riippumattoman tarkastajan. Tarkastuksiin voi sisältyä myös käyntejä henkilötietojen käsittelijän toimitiloissa tai muissa fyysisissä tiloissa, ja niistä on tarvittaessa ilmoitettava riittävän ajoissa. |
|
e) |
Osapuolten on asetettava tässä lausekkeessa tarkoitetut tiedot, mukaan lukien tarkastusten tulokset, pyynnöstä toimivaltais(t)en valvontaviranomais(t)en saataville. |
7.7 Henkilötietojen alikäsittelijöiden käyttö
|
a) |
VAIHTOEHTO 1: ERILLINEN ENNAKKOLUPA: Henkilötietojen käsittelijä ei saa antaa mitään rekisterinpitäjän puolesta näiden lausekkeiden nojalla suorittamistaan käsittelytoimista alihankintana henkilötietojen alikäsittelijälle ilman rekisterinpitäjän erillistä kirjallista ennakkolupaa. Henkilötietojen käsittelijän on toimitettava erillistä lupaa koskeva pyyntö vähintään [MÄÄRITÄ AJANJAKSO] ennen asianomaisen henkilötietojen alikäsittelijän palkkaamista sekä tarvittavat tiedot, jotta rekisterinpitäjä voi päättää luvasta. Luettelo rekisterinpitäjän valtuuttamista henkilötietojen alikäsittelijöistä on liitteessä IV. Osapuolten on pidettävä liite IV ajan tasalla. VAIHTOEHTO 2: YLEINEN KIRJALLINEN LUPA: Henkilötietojen käsittelijällä on rekisterinpitäjän yleinen lupa, joka koskee henkilötietojen alikäsittelijöiden palkkaamista sovitusta luettelosta. Henkilötietojen käsittelijän on ilmoitettava kirjallisesti rekisterinpitäjälle kaikista kyseiseen luetteloon suunnitelluista muutoksista lisäämällä tai vaihtamalla henkilötietojen alikäsittelijöitä vähintään [MÄÄRITÄ AJANJAKSO] aiemmin ja annettava näin rekisterinpitäjälle riittävästi aikaa vastustaa tällaisia muutoksia ennen asianomaisen henkilötietojen alikäsittelijän (alakäsittelijöiden) palkkaamista. Henkilötietojen käsittelijän on annettava rekisterinpitäjälle tiedot, jotka ovat tarpeen, jotta rekisterinpitäjä voi käyttää vastustamisoikeuttaan. |
|
b) |
Jos henkilötietojen käsittelijä käyttää henkilötietojen alikäsittelijää suorittamaan tiettyjä käsittelytoimia (rekisterinpitäjän puolesta), sen on tehtävä sopimus, jossa henkilötietojen alikäsittelijälle asetetaan näiden lausekkeiden nojalla olennaisilta osin samat tietosuojavelvoitteet kuin henkilötietojen käsittelijälle. Henkilötietojen käsittelijän on varmistettava, että henkilötietojen alikäsittelijä noudattaa velvoitteita, joita henkilötietojen käsittelijään sovelletaan näiden lausekkeiden ja asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 nojalla. |
|
c) |
Henkilötietojen käsittelijän on rekisterinpitäjän pyynnöstä toimitettava jäljennös tällaisesta henkilötietojen alikäsittelijän sopimuksesta ja mahdollisista myöhemmistä muutoksista rekisterinpitäjälle. Jos se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen (mukaan lukien henkilötiedot) suojaamiseksi, henkilötietojen käsittelijä voi poistaa sopimuksesta tekstiä ennen jäljennöksen toimittamista. |
|
d) |
Henkilötietojen käsittelijä on edelleen täysin vastuussa rekisterinpitäjälle henkilötietojen alikäsittelijän velvoitteiden täyttämisestä alikäsittelijän kanssa tekemänsä sopimuksen mukaisesti. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle, jos henkilötietojen alikäsittelijä ei täytä sopimusvelvoitteitaan. |
|
e) |
Henkilötietojen käsittelijän on sovittava henkilötietojen alikäsittelijän kanssa kolmatta osapuolta suojaavasta edunsaajalausekkeesta, jonka mukaan jos henkilötietojen käsittelijä on tosiasiallisesti kadonnut, lakannut olemasta oikeudellisesti tai tullut maksukyvyttömäksi, rekisterinpitäjällä on oikeus purkaa henkilötietojen alikäsittelijän sopimus ja ohjeistaa alikäsittelijää poistamaan tai palauttamaan henkilötiedot. |
7.8 Kansainväliset tiedonsiirrot
|
a) |
Henkilötietojen käsittelijä voi siirtää tietoja kolmanteen maahan tai kansainväliselle järjestölle ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden perusteella tai henkilötietojen käsittelijään sovellettavan unionin tai jäsenvaltion lainsäädännön mukaisen erityisen vaatimuksen täyttämiseksi, ja siirron on tapahduttava asetuksen (EU) 2016/679 V luvun tai asetuksen (EU) 2018/1725 V luvun mukaisesti. |
|
b) |
Rekisterinpitäjä hyväksyy sen, että jos henkilötietojen käsittelijä käyttää lausekkeen 7.7 mukaisesti henkilötietojen alikäsittelijää suorittamaan tiettyjä käsittelytoimia (rekisterinpitäjän puolesta) ja kyseisiin käsittelytoimiin liittyy asetuksen (EU) 2016/679 V luvussa tarkoitettu henkilötietojen siirto, henkilötietojen käsittelijä ja henkilötietojen alikäsittelijä voivat varmistaa asetuksen (EU) 2016/679 V luvun säännösten noudattamisen käyttämällä komission asetuksen (EU) 2016/679 46 artiklan 2 kohdan nojalla hyväksymiä vakiosopimuslausekkeita edellyttäen, että kyseisten vakiosopimuslausekkeiden käytön edellytykset täyttyvät. |
Lauseke 8
Rekisterinpitäjän avustaminen
|
a) |
Henkilötietojen käsittelijän on viipymättä ilmoitettava rekisterinpitäjälle kaikista rekisteröidyltä saamistaan pyynnöistä. Henkilötietojen käsittelijä ei saa itse vastata pyyntöön, paitsi jos rekisterinpitäjä on antanut siihen luvan. |
|
b) |
Henkilötietojen käsittelijän on avustettava rekisterinpitäjää sen velvollisuuksien täyttämisessä, jotka koskevat rekisteröityjen oikeuksien käyttämistä koskeviin pyyntöihin vastaamista, ottaen huomioon käsittelyn luonne. Henkilötietojen käsittelijän on a ja b kohdan mukaisia velvollisuuksia täyttäessään noudatettava rekisterinpitäjän ohjeita. |
|
c) |
Sen lisäksi, että henkilötietojen käsittelijä on lausekkeen 8 b kohdan nojalla velvoitettu avustamaan rekisterinpitäjää, henkilötietojen käsittelijän on lisäksi avustettava rekisterinpitäjää seuraavien velvoitteiden noudattamisessa ottaen huomioon käsittelyn luonne ja henkilötietojen käsittelijän käytettävissä olevat tiedot:
|
|
d) |
Osapuolet vahvistavat liitteessä III asianmukaiset tekniset ja organisatoriset toimenpiteet, joita henkilötietojen käsittelijän on noudatettava avustaessaan rekisterinpitäjää tämän lausekkeen soveltamisessa, sekä tarvittavan avun soveltamisalan ja laajuuden. |
Lauseke 9
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen
Henkilötietojen tietoturvaloukkauksen tapauksessa henkilötietojen käsittelijän on tehtävä yhteistyötä rekisterinpitäjän kanssa ja avustettava rekisterinpitäjää, jotta tämä voi täyttää tapauksen mukaan asetuksen (EU) 2016/679 33 ja 34 artiklan tai asetuksen (EU) 2018/1725 34 ja 35 artiklan mukaiset velvoitteensa, ottaen huomioon käsittelyn luonne ja henkilötietojen käsittelijän käytettävissä olevat tiedot.
9.1 Tietojen tietoturvaloukkaus rekisterinpitäjän käsittelemien tietojen osalta
Jos henkilötietojen tietoturvaloukkaus koskee rekisterinpitäjän käsittelemiä tietoja, henkilötietojen käsittelijän on avustettava rekisterinpitäjää
|
a) |
ilmoitettaessa tapauksen mukaan henkilötietojen tietoturvaloukkauksesta toimivaltaiselle valvontaviranomaiselle / toimivaltaisille valvontaviranomaisille ilman aiheetonta viivytystä sen jälkeen, kun rekisterinpitäjä on saanut sen tietoonsa /, (paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä); |
|
b) |
hankittaessa seuraavat tiedot, jotka on [VAIHTOEHTO 1] asetuksen (EU) 2016/679 33 artiklan 3 kohdan / [VAIHTOEHTO 2] asetuksen (EU) 2018/1725 34 artiklan 3 kohdan mukaisesti mainittava rekisterinpitäjän ilmoituksessa, ja joihin on sisällytettävä vähintään seuraavat:
|
Jos ja siltä osin kuin kaikkia tietoja ei ole mahdollista toimittaa samaan aikaan, alkuperäisen ilmoituksen on sisällettävä saatavilla olevat tiedot, ja lisätiedot on sen jälkeen toimitettava ilman aiheetonta viivytystä, kun ne tulevat saataville;
|
c) |
noudatettaessa [VAIHTOEHTO 1] asetuksen (EU) 2016/679 34 artiklan / [VAIHTOEHTO 2] asetuksen (EU) 2018/1725 35 artiklan mukaisesti velvoitetta ilmoittaa henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä rekisteröidylle, kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille. |
9.2 Tietojen tietoturvaloukkaus henkilötietojen käsittelemien tietojen osalta
Kun kyseessä on henkilötietojen käsittelijän käsittelemiin tietoihin liittyvä henkilötietojen tietoturvaloukkaus, henkilötietojen käsittelijän on ilmoitettava siitä rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan tietoturvaloukkauksen tietoonsa. Kyseisen ilmoituksen on sisällettävä vähintään seuraavat:
|
a) |
kuvaus tietoturvaloukkauksen luonteesta (mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ja henkilötietotietueiden ryhmät ja arvioitu lukumäärä); |
|
b) |
tiedot yhteyspisteestä, josta saa lisätietoja henkilötietojen tietoturvaloukkauksesta; |
|
c) |
tietoturvaloukkauksen todennäköiset seuraukset ja toimenpiteet, jotka on toteutettu tai joita ehdotetaan toteutettavaksi tietoturvaloukkauksen korjaamiseksi, mukaan lukien sen mahdollisten haitallisten vaikutusten lieventämiseksi. |
Jos ja siltä osin kuin kaikkia tietoja ei ole mahdollista toimittaa samaan aikaan, alkuperäisen ilmoituksen on sisällettävä saatavilla olevat tiedot, ja lisätiedot on sen jälkeen toimitettava ilman aiheetonta viivytystä, kun ne tulevat saataville.
Osapuolet esittävät liitteessä III kaikki muut tiedot, jotka henkilötietojen käsittelijän on toimitettava avustaessaan rekisterinpitäjää [VAIHTOEHTO 1] asetuksen (EU) 2016/679 33 ja 34 artiklan / [VAIHTOEHTO 2] asetuksen (EU) 2018/1725 34 artiklan 35 kohdan mukaisten rekisterinpitäjän velvoitteiden noudattamisessa.
III JAKSO
LOPPUMÄÄRÄYKSET
Lauseke 10
Lausekkeiden noudattamatta jättäminen ja sopimuksen purkaminen
|
a) |
Jos henkilötietojen käsittelijä rikkoo näiden lausekkeiden mukaisia velvoitteitaan, rekisterinpitäjä voi määrätä henkilötietojen käsittelijän keskeyttämään henkilötietojen käsittelyn, kunnes henkilötietojen käsittelijä noudattaa näitä lausekkeita tai sopimus puretaan, sanotun kuitenkaan rajoittamatta asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 säännösten soveltamista. Henkilötietojen käsittelijän on viipymättä ilmoitettava rekisterinpitäjälle, jos se ei mistä tahansa syystä pysty noudattamaan näitä lausekkeita. |
|
b) |
Rekisterinpitäjällä on oikeus purkaa sopimus siltä osin kuin on kyse henkilötietojen käsittelystä näiden lausekkeiden mukaisesti, jos
|
|
c) |
Henkilötietojen käsittelijällä on oikeus purkaa sopimus siltä osin kuin se koskee henkilötietojen käsittelyä näiden lausekkeiden nojalla, jos rekisterinpitäjä vaatii ohjeiden noudattamista sen jälkeen, kun käsittelijä on lausekkeen 7.1 b kohdan mukaisesti ilmoittanut rekisterinpitäjälle, että sen ohjeet ovat sovellettavien oikeudellisten vaatimusten vastaisia. |
|
d) |
Kun sopimus on purettu, henkilötietojen käsittelijän on rekisterinpitäjän valinnan mukaan poistettava kaikki rekisterinpitäjän puolesta käsitellyt henkilötiedot ja todistettava rekisterinpitäjälle, että se on tehnyt niin, tai palautettava kaikki henkilötiedot rekisterinpitäjälle ja poistettava olemassa olevat jäljennökset, jollei unionin tai jäsenvaltion lainsäädännössä edellytetä henkilötietojen säilyttämistä. Henkilötietojen käsittelijän on varmistettava, että näitä lausekkeita noudatetaan, kunnes tiedot poistetaan tai palautetaan. |
LIITE I
Luettelo osapuolista
Rekisterinpitäjä(t): [Rekisterinpitäjän (rekisterinpitäjien) ja tarvittaessa rekisterinpitäjän tietosuojavastaavan tunnistetiedot ja yhteystiedot]
|
1. |
Nimi: … |
|
|
Osoite: … |
|
|
Yhteyshenkilön nimi, asema ja yhteystiedot: … |
|
|
Allekirjoitus ja liittymispäivä: … |
|
2. |
|
…
Henkilötietojen käsittelijä(t): [Henkilötietojen käsittelijän/käsittelijöiden ja tarvittaessa henkilötietojen käsittelijän tietosuojavastaavan tunnistetiedot ja yhteystiedot]
|
1. |
Nimi: … |
|
|
Osoite: … |
|
|
Yhteyshenkilön nimi, asema ja yhteystiedot: … |
|
|
Allekirjoitus ja liittymispäivä: … |
|
2. |
|
…
LIITE II
Henkilötietojen käsittelyn kuvaus
Niiden rekisteröityjen ryhmät, joiden henkilötietoja käsitellään
…
Käsiteltävät henkilötietoryhmät
…
Käsiteltävät arkaluonteiset tiedot (jos sellaisia on) ja sovelletut rajoitukset tai suojatoimet, joissa otetaan täysimääräisesti huomioon tietojen luonne ja niihin liittyvät riskit, kuten tiukat käyttötarkoituksen rajoitukset, pääsyrajoitukset (mukaan lukien pääsy vain erikoiskoulutusta saaneelle henkilöstölle), tietojen saantia koskevan rekisterin pitäminen, tietojen edelleen siirtämisen rajoitukset tai lisäturvatoimenpiteet.
…
Henkilötietojen käsittelyn luonne
…
Tarkoitus/tarkoitukset, jota/joita varten henkilötietoja käsitellään rekisterinpitäjän puolesta
…
Henkilötietojen käsittelyn kesto
…
…
Henkilötietojen käsittelijöiden tai alikäsittelijöiden suorittamasta käsittelystä on ilmoitettava myös käsittelyn kohde, luonne ja kesto
LIITE III
Tekniset ja organisatoriset toimenpiteet, mukaan lukien tekniset ja organisatoriset toimenpiteet tietoturvan varmistamiseksi
SELITTÄVÄ HUOMAUTUS:
Tekniset ja organisatoriset toimenpiteet on kuvattava konkreettisesti eikä yleisellä tasolla.
Kuvaus henkilötietojen käsittelijän/käsittelijöiden toteuttamista teknisistä ja organisatorisista turvatoimenpiteistä (mukaan lukien asiaankuuluvat sertifioinnit) asianmukaisen turvallisuustason varmistamiseksi ja ottaen huomioon käsittelyn luonne, soveltamisala, asiayhteys ja tarkoitus sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit. Esimerkkejä mahdollisista toimenpiteistä:
|
|
Henkilötietojen pseudonymisointi ja salaus |
|
|
Henkilötietojen käsittelyjärjestelmien ja palveluiden jatkuvan luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden varmistaminen |
|
|
Henkilötietojen saatavuuden ja henkilötietoihin pääsyn nopean palauttamisen varmistaminen fyysisen tai teknisen vian sattuessa |
|
|
Teknisten ja organisatoristen toimenpiteiden tehokkuuden säännöllisen testauksen, tutkinnan ja arvioinnin prosessit, joilla varmistetaan tietojen käsittelyn turvallisuus |
|
|
Käyttäjän tunnistaminen ja luvan myöntäminen |
|
|
Tietojen suojaaminen siirron aikana |
|
|
Tietojen suojaaminen tallentamisen aikana |
|
|
Henkilötietojen käsittelypaikkojen fyysisen turvallisuuden varmistaminen |
|
|
Tapahtumien kirjaamisen varmistaminen |
|
|
Järjestelmän konfiguraation varmistaminen (ml. oletuskokoonpano) |
|
|
Sisäistä tietotekniikka- ja tietoturvahallintoa ja koskevat toimenpiteet |
|
|
Prosessien ja tuotteiden sertifiointi/varmistus |
|
|
Tietojen minimoinnin varmistaminen |
|
|
Tietojen laadun varmistaminen |
|
|
Tietojen rajoitetun säilyttämisen varmistaminen |
|
|
Vastuuvelvollisuuden varmistaminen |
|
|
Tietojen siirrettävyyden mahdollistaminen ja niiden poistamisen varmistaminen. |
Jos kyseessä on siirto henkilötietojen (ali)käsittelijöille, kuvaile myös teknisiä ja organisatorisia toimenpiteitä, jotka (ali)käsittelijän on toteutettava voidakseen avustaa rekisterinpitäjää
Kuvaus teknisistä ja organisatorisista toimenpiteistä, jotka henkilötietojen käsittelijän on toteutettava voidakseen avustaa rekisterinpitäjää.
LIITE IV
Henkilötietojen alikäsittelijöiden luettelo
SELITTÄVÄ HUOMAUTUS:
Tämä liite on täytettävä, jos henkilötietojen alikäsittelijälle on myönnetty erillinen lupa (lausekkeen 7.7 a kohta, vaihtoehto 1).
Rekisterinpitäjä on antanut luvan seuraavien henkilötietojen alikäsittelijöiden käyttöön:
|
1. |
Nimi: … |
|
|
Osoite: … |
|
|
Yhteyshenkilön nimi, asema ja yhteystiedot: … |
|
|
Kuvaus henkilötietojen käsittelystä (mukaan lukien selkeä vastuunjako, jos lupa on myönnetty useammalle henkilötietojen alikäsittelijälle): … |
|
2. |
… |