eAPTEEKKI - Käyttöehdot

Voimassa alkaen 25.5.2018

1. Yleistä

Tämä dokumentti kuvaa Anders Innovations Oy:n, y-tunnus: 2166626-6 (myöh. ”toimittaja”), toimittaman ja ylläpitämän eAPTEEKKI-verkkopalvelun käyttöehdot.

Ottaessaan eAPTEEKKI-palvelun käyttöönsä tilaaja hyväksyy tässä dokumentissa kuvatut käyttöehdot ja sitoutuu noudattamaan tässä kuvattuja tilaajaa koskevia velvoitteita. Samalla toimittaja sitoutuu toimittamaan kyseistä palvelua sopimuksen mukaisesti ja täyttämään sitä koskevat tässä dokumentissa kuvatut velvoitteet.

Irtisanominen
Tilaaja sitoutuu palvelun käyttöehtoihin toistaiseksi. Palvelun voi kirjallisesti irtisanoa päättymään kolmen (3) kuukauden irtisanomisajalla. Sekä tilaajalla että toimittajalla on oikeus irtisanoa sopimus edellä kuvatuin ehdoin.

2. Palvelun käyttöoikeus

eAPTEEKKI-palvelua tarjotaan käyttöön kaikille Suomen Apteekkariliiton jäsenapteekeille.

TÄRKEÄÄ: Palvelun käyttö on rajattu Suomen Apteekkariliiton jäsenapteekkeihin, eikä muilla tahoilla ole oikeutta ottaa eAPTEEKKI-palvelua käyttöönsä. Mikäli tilauksen on tehnyt jokin muu taho, kuin päätösvaltainen Suomen Apteekkariliiton jäseniin kuuluvan apteekin edustaja, tilaus katsotaan mitättömäksi, eikä sopimusta osapuolten välille ole syntynyt.

3. Verkkopalvelun kuvaus

eAPTEEKKI-palvelu on toimittajan ja Suomen Apteekkariliiton yhteistyössä kehittämä verkkopalvelu, joka mahdollistaa apteekkituotteiden ja -palveluiden myynnin ja markkinoinnin.

eAPTEEKKI-palvelun voi tilata verkkokauppasivustona tai verkkosivustona ilman kaupankäyntimahdollisuutta. Palveluun tarjotaan käyttöön otettaviksi lisäpalveluja, joita tilaaja voi tilata käyttöönsä joko palvelun tilauksen yhteydessä tai myöhemmin palvelun ollessa käytössä. Verkkopalveluvaihtoehtojen sekä lisäpalveluiden hinnat sekä tilausohjeet on ajanatasaisena saatavilla osoitteessa tilaaeapteekki.fi.

4. Verkkopalvelun käyttöönotto

Tilaaja tekee verkkopalvelun sekä mahdollisten lisäpalveluiden tilauksen täyttämällä tilauslomakkeen vaadittuine tietoineen eAPTEEKKI-palvelun verkkosivulla osoitteessa tilaaeapteekki.fi.

Toimittaja lähettää tilausvahvistuksen sekä tilauksen yhteenvedon sähköpostitse tilaajalle tämän ilmoittamaan sähköpostiosoitteeseen.

Toimittaja asentaa tilaajan käyttöön eAPTEEKKI-verkkopalvelun tilauslomakkeessa eriteltynä palveluna (verkkokauppasivusto tai verkkosivusto ilman kaupankäyntiominaisuuksia) sekä tilatut lisäpalvelut.
Kun toimittaja on asentanut verkkopalvelun käyttövalmiiksi, se toimittaa tilaajalle käyttäjätunnukset, joilla tilaaja voi aloittaa verkkopalvelun käytön. Tilaajalla on mahdollisuus tehdä verkkopalveluun sisällöllisiä muutoksia ennen palvelun julkista avaamista. Palvelu avataan julkiseksi tilaajan ja toimittajan yhdessä sovittuna ajankohtana.

Verkkopalvelun laskutus alkaa sillä päivämäärällä, kun tilaaja on saanut käyttäjätunnukset ja palvelun toimivana käyttöönsä. Laskutuksen alkaminen ei ole sidottu verkkopalvelun julkiseksi asettamiseen.

5. Verkkopalvelun ylläpito- ja tukipalvelu

eAPTEEKKI-verkkopalvelua ylläpidetään toimittajan ylläpitämällä palvelimella. Toimittaja huolehtii palvelimen turvallisuudesta ja toimivuudesta. Toimittaja tarjoaa asiakaspalvelua sähköisen asiakaspalveluportaalin välityksellä ja puhelimitse arkisin kello 8.00–16.00.

Mahdollisen erillisen verkkotunnuksen varaaminen tulee suorittaa itsenäisesti eikä kuulu tämän sopimuksen piiriin. Verkkotunnuksen varaus ei ole välttämätön verkkopalvelun avaamisen kannalta.

6. Verkkopalvelun lisäpalvelut

eAPTEEKKI-verkkopalveluun on mahdollista liittää lisäpalveluita, kuten verkkomaksujen vastaanottamisen mahdollistavia palveluita. Osa lisäpalveluista on kolmansien osapuolten tarjoamia palveluita ja näiden käyttöönotto voi edellyttää erillistä sopimusta tilaajan ja lisäpalvelua tarjoavan kolmannen osapuolen välillä.

eAPTEEKKI-palvelun kulloinkin tarjolla olevat lisäpalvelut ja niiden hinnat ovat saatavilla osoitteessa tilaaeapteekki.fi.

7. Tilaajaa koskevat yleiset velvoitteet eAPTEEKKI-palvelussa

Lääkealan turvallisuus- ja kehittämiskeskus Fimea edellyttää apteekeilta ennakkoilmoitusta verkossa tapahtuvaan myyntiin. Tilaaja on velvollinen huolehtimaan ennakkoilmoituksen tekemisestä ennen eAPTEEKKI-palvelun avaamista julkiseksi.

eAPTEEKKI-palvelu mahdollistaa apteekeille turvallisen reseptilääkkeiden myynnin verkkokauppasivustolla. Reseptilääkkeiden myynnin aloittaminen palvelussa edellyttää, että tilaaja-apteekilla on Väestörekisterikeskuksen Suomi.fi-tunnistuksen hyväksyntä.

Tilaaja on velvollinen huolehtimaan asianmukaisten lupien hakemisesta ja saamisesta ennen reseptilääkkeiden myynnin aloittamista palvelussa. Toimittaja ei vastaa lupien tarkastamisesta tai niistä mahdollisista tilanteista, joissa tilaaja on aloittanut apteekkeja koskevien yleisten säännösten vastaisesti käyttämään eAPTEEKKI-palvelua.

8. Laskutus

Palvelun käyttö laskutetaan kolmen (3) kuukauden välein. Maksuehto 14 pv netto, huomautusmaksu 5 € (alv 0 %) ja viivästyskorko kulloinkin voimassa olevan lainsäädännön mukainen enimmäiskorko.

Lasku toimitetaan asiakkaan toimittamaan sähköpostiosoitteeseen, ellei asiakas ole erikseen pyytänyt laskua kirjeitse. Kirjeitse toimitettuihin laskuihin lisätään laskutuslisä 5 €. Kaikkiin hintoihin lisätään kulloinkin voimassaoleva arvonlisävero (alv 24%).

9. Tekijänoikeudet

Tekijänoikeudet sekä muut immateriaalioikeudet verkkopalveluun sekä sen kehittämisen yhteydessä syntyviin asiakirjoihin ja tuotoksiin sekä niihin tehtyihin muutoksiin kuuluvat toimittajalle. Tilaajalla säilyy tekijänoikeus tuottamaansa verkkopalvelun sisältöön.

Tilaajan tulee huolehtia tekijänoikeuksista tuottamansa sisällön osalta.

Tilaajalla on kaikki oikeudet toimittajan palvelimella oleviin tilaajan tuottamiin sekä käytön aikana syntyviin asiakkaan yksityisoikeudellisiin tietoihin, tiedostoihin, asiakirjoihin ja tuloksiin.

Toimittajalla on oikeus käyttää asiakkaan tietoja referensseissään.

10. Luottamukselliset ja salassa pidettävät tiedot

Palvelussa käsiteltävien luottamuksellisten ja salassa pidettävien tietojen käsittelyä koskevat seikat on eritelty liitteessä 1 Salassapitosopimus. Salassapitosopimus astuu sitovana voimaan tilauksen yhteydessä palvelusopimuksen voimaan astumisen yhteydessä.

11. Vastuunrajoitukset

Sopimukseen perustuva sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on mahdolliset viivästys-, palvelutaso- tai muut sopimussakot tai hyvitykset pois lukien yhteensä enintään 20 prosenttia toimituksen kohteen arvonlisäverottomasta kokonaishinnasta. Sopijapuoli ei vastaa välillisestä vahingosta (IT 2018 YSE).

12. Muut sopimusehdot

Edellä mainittujen ehtojen lisäksi täydentävinä ehtoina sovelletaan soveltuvin osin seuraavia sopimusehtoja:

• IT2018 YSE Yleiset sopimusehdot
• IT2018 EJT Erityisehtoja tietojärjestelmien ja asiakaskohtaisten ohjelmistojen toimituksista
• IT2018 EAP Erityisehtoja konsultointi- ja muista asiantuntijapalveluista
• IT2018 EOY Erityisehtoja ohjelmistojen ylläpitopalveluista

Asiakirjojen pätemisjärjestys on seuraava:

1. Tämän sopimuksen sisältämät ehdot
2. Tämän sopimuksen liitteet
3. IT2018 ehdot (KAIKKI YHTÄLÄISESTI RIIPPUEN TEHDYN TYÖN LUONTEESTA)
   • EJT Erityisehtoja tietojärjestelmien ja asiakaskohtaisten ohjelmistojen toimituksista
   • EAP Erityisehtoja konsultointi- ja muista asiantuntijapalveluista
   • EOY erityisehtoja ohjelmistojen ylläpitopalveluista
   • YSE Yleiset sopimusehdot

13. Liitteet

• Liite 1. Salassapitosopimus
• Liite 2. GDPR erityishuomiot

 

Liite 1. Salassapitosopimus 

1. Sopimuksen tausta ja tarkoitus

Apteekki tarjoaa asiakkailleen verkkopalvelua, jota käyttäen Apteekin asiakkaat voivat internetin välityksellä tilata lääkkeitä sekä apteekissa myytäviä yleisiä kauppatavaroita (jäljempänä: ”Verkkopalvelu”). Apteekin verkkopalvelussaan käsittelemät asiakastiedot ja niihin liittyvät lääkkeitä koskevat tiedot ovat henkilötietolain 11 §:n 1 momentin 4 kohdassa tarkoitettuja arkaluonteisia henkilötietoja, jotka ovat erityisen suojan piirissä.

Toimittaja vastaa myös verkkopalvelun palvelinympäristöstä ja siihen liittyvän pääsynhallinnan teknisestä toteutuksesta. Mikäli Toimittaja käyttää alihankkijoita, Toimittaja vastaa niiden toiminnasta kuin omastaan.

Toimittajalla on Verkkopalvelun tuotantojärjestelmää ylläpitäessään pääsy apteekin Verkkopalveluun, jossa apteekki ylläpitää liiketoimintaansa liittyviä tietoja (”Luottamuksellinen tieto”) sekä arkaluonteisiksi henkilötiedoiksi luokiteltavia asiakastietoja (”Salainen Tieto”).

Tämän salassapitosopimuksen tarkoituksena on määritellä Luottamuksellista Tietoa ja Salaista Tietoa koskevat oikeudet ja velvollisuudet sekä määritellä ne ehdot, joilla Toimittajalla on oikeus käsitellä Apteekin verkkopalvelussa olevia tietoja.

2. Luottamuksellisuus

Toimittaja sitoutuu pitämään luottamuksellisina kaikki apteekilta saamansa ja itse havainnoimansa missä tahansa muodossa olevat tiedot ja aineistot, jotka kuuluvat Luottamuksellisen Tiedon piiriin tai jotka on sellaisiksi ymmärrettävä.

Toimittaja varaa itselleen oikeuden koostaa luottamuksellisista tiedoista yhteenvetoja ja tilastoja järjestelmän kehittämistä varten ja jakaa yhteenvetoja ja tilastoja Suomen Apteekkariliiton kanssa. Toimittajan vastuulla on huolehtia, että yhteenvedoista ja tilastoista ei pysty erottelemaan yksittäisen apteekin luottamuksellisia tietoja.

Toimittajalla on ylläpitäjänä pääsy Salaiseen Tietoon, jota Apteekit käsittelevät verkkopalvelussa, mutta ei normaalitilanteessa oikeutta käsitellä sitä. Toimittaja voi käsitellä tietoja suorittaessaan verkkopalvelun teknisiä korjaus- tai ylläpitotehtäviä. Tällöin tietoihin on pääsy vain toimittajan nimeämillä tukihenkilöillä sekä tuotteen kehityksestä vastaavilla nimetyillä tuotantohenkilöillä, jotka kirjautuvat tuotteeseen henkilökohtaisilla tunnuksilla.

Kaikki Toimittajan suorittamat kirjautumiset ja relevantit toiminnot tallennetaan palvelun lokitietoihin. Toimittaja vastaa lokirekisterin käytettävyydestä, eheydestä ja luottamuksellisuudesta. Toimittaja järjestää myös apteekeille mahdollisuuden tarkastaa lokitiedot niin halutessaan.

Salassapitovelvollisuus ei kuitenkaan koske aineistoa ja tietoa,
(a) joka on yleisesti saatavilla taikka muuten julkista;
(b) jonka Toimittaja on saanut kolmannelta osapuolelta ilman salassapitovelvollisuutta;
(c) joka oli Toimittajan hallussa ilman sitä koskevaa salassapitovelvollisuutta;
(d) jonka Toimittaja on itsenäisesti kehittänyt hyödyntämättä apteekilta saamaansa aineistoa tai tietoa; tai
(e) jonka Toimittaja on velvollinen julkistamaan tai paljastamaan lain, asetuksen tai muun viranomaismääräyksen taikka oikeuden päätöksen perusteella.

3. Tietoturva ja tietosuoja

Toimittaja vastaa Verkkopalvelun teknisen ympäristön riittävästä turvallisuudesta. Apteekin henkilökunta on velvollinen noudattamaan toimittajan verkkopalveluun liittyviä kohtuullisia tietoturvaohjeita ja järjestelyjä. Kaikki apteekin ja verkkopalvelun sekä asiakkaan välillä tapahtuva liikenne on suojattu.

Toimittaja on tietoinen tietoturvan ja tietosuojan tärkeästä merkityksestä apteekeille ja takaa mahdollisimman hyvän tietoturvan sitoutuen noudattamaan verkkopalvelua koskien kulloinkin voimassa olevia apteekkia koskevia sopimuksia ja suosituksia.

Toimittaja seuraa aktiivisesti tietoturvaan liittyvää yleistä kehitystä ja kehittää omaa toimintaansa sen asettamien vaatimusten mukaisesti.

Turva- ja tietoturvajärjestelyissä sovelletaan kulloinkin voimassa olevaa lakia sekä Fimean antamia määräyksiä.

Toimittajalla on tieto seuraavista yleisistä apteekin toimintaan vaikuttavista vaatimuksista:
(i) Apteekkariliiton ja KELA:n väliseen suorakorvaussopimukseen liittyvä tietoturvakriteeristö v1.1;
(ii) Fimean määräys apteekin verkkopalvelusta 2/2011;
(iii) Lääkelaki 90 §;
(iv) Henkilötietolaki

Apteekki sitoutuu jatkossa ilmoittamaan toimittajalle kaikista muista tietoturvaa koskevista viranomaisvaatimuksista, sopimuksista tai niiden muutoksista, joilla voi olla vaikutusta Verkkopalveluun.

4. Rekisterinpito

Osapuolet toteavat, että Verkkopalvelussa olevien henkilötietojen suhteen apteekki on rekisterinpitäjä. Apteekki vastaa käytössään olevien tietojärjestelmiensä ja sovellusohjelmistojensa osalta tietosuojan toteutumisesta sekä tietoturvapäivitysten ajantasaisuudesta.

Toimittajan tulee tuotteen osalta toimia siten, että apteekki pystyy täyttämään kaikki edellä viitatut velvoitteensa sekä toisaalta pidättäytymään toimimasta tavalla, joka saattaisi apteekin vastuuseen edellä viitatun lainsäädännön tai määräysten rikkomisesta.

5. Sovellettava laki ja erimielisyyksien ratkaiseminen

Tähän Sopimukseen sovelletaan Suomen lakia. Tästä Sopimuksesta aiheutuvat erimielisyydet ratkaistaan ensisijaisesti Osapuolten välisin neuvotteluin. Mikäli neuvotteluissa ei päästä Osapuolia tyydyttävään ratkaisuun, Sopimuksesta aiheutuvat riidat ratkaistaan Turun käräjäoikeudessa. IT2018 YSE ehtojen kohtaa 14.2 ei sovelleta tähän Sopimukseen.

6. Sopimuksen kesto

Tämän sopimuksen mukaiset velvollisuudet ovat voimassa niin kauan, kunnes luovutettu Luottamuksellinen Tieto on mahdollisesti tullut julkiseksi apteekin toimesta tai muutoin lailliseksi. Salaisten tietojen osalta salassapitovelvoite jatkuu sopimuksen päätyttyä.

 

Liite 2. GDPR erityishuomiot

Henkilötietojen käsittelijä: Anders Innovations Oy (2166626-6)
Toimittajan yhteyshenkilö: Paul Nylund, paul@anders.fi, +358504867934, tietosuojavastaava

1. Määritelmät

Tässä liitteessä käytetyt käsitteet saavat sen merkityssisällön, joka niille on annettu Euroopan Unionin asetuksessa 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä “tietosuoja-asetus”). Tällaisia käsitteitä ovat erityisesti termit rekisterinpitäjä, henkilötietojen käsittelijä, henkilötieto, rekisteröity, käsittely ja henkilötietojen tietoturvaloukkaus. 

2. Tarkoitus

Tällä liitteellä osapuolet sopivat siitä, että Anders henkilötietojen käsittelijänä käsittelee sopimuksen voimassaoloaikana henkilötietoja, rekisterinpitäjän, lukuun.

Asiakas valtuuttaa Andersin käsittelemään henkilötietoja palvelun ylläpidon ja jatkokehittämisen edellyttämässä laajuudessa. Henkilötietojen käsittelijällä ei ole oikeutta käsitellä henkilötietoja mihinkään muuhun tarkoitukseen tai kenenkään muun hyväksi.

Tämän liitteen ehtojen lisäksi kumpikin osapuoli sitoutuu noudattamaan sovellettavia kansallisia tietosuojalakeja ja tietosuoja-asetuksen säännöksiä toimintaansa soveltuvin osin.

Henkilötietojen käsittelyä koskevat tarkemmat tiedot, kuten käsittelyn luonne, henkilötietojen tyyppi ja rekisteröityjen ryhmät:

Järjestelmän ylläpito
Anders ylläpitää palvelinympäristöä, jossa asiakkaalle tarjottu palvelu toimii. Henkiötietoja käsitellään vain siinä määrin kun sovelluksen toiminnan valvonta, varmistus ja muut ylläpito- ja tukitehtävät vaativat (esim. palvelun siirtäminen uudelle palvelimelle, sovellusten virheiden korjaus). Pääsy tuotantoympäristöön on rajattu vain tietyille henkilöille ja kaikki liikenne Andersin ja tuotantoympäristön välillä tapahtuu salattujen yhteyksien yli.

Käyttötuki
Anders tarjoaa apteekeille käyttötukea. Käyttötuen yhteydessä henkilötietoja saatetaan käsitellä siinä määrin kun ongelmatilanteiden ratkaiseminen sitä vaatii. Anders ei luovuta henkilötietoja käyttötuen yhteydessä eteenpäin. Käyttötukipalvelut on rajattu vain asiakas apteekeille ja Andersin puolelta käyttötukea tarjoavat vain tietyt nimetyt henkilöt.

3. Alihankinnat

Henkilötietojen käsittelijällä on oikeus käyttää käsittelyssä toisen henkilötietojen käsittelijän palveluja edellyttäen, että henkilötietojen käsittelijä ilmoittaa tästä kirjallisesti etukäteen rekisterinpitäjälle. Kirjallisten ilmoitusten toimittamisvelvollisuus koskee suunniteltua käsittelijän lisäämistä, poistamista tai vaihtamista.

Käyttäessään toisen henkilötietojen käsittelijän palveluja, henkilötietojen käsittelijän tulee sopia palveluntarjoajan kanssa, että käsittely tapahtuu noudattaen samoja tietosuojavelvoitteita, kuin mitä tässä liitteessä on kuvattuna. Henkilötietojen käsittelijä vastaa siitä, että sen käyttämän toisen henkilötietojen käsittelijän palvelut toteutetaan tämän liitteen vaatimusten mukaisina.

Voimassa olevat alihankintasuhteet:

Palveluntarjoaja	Käyttötarkoitus	Käyttöehdot
UpCloud	Palvelinympäristö	https://www.upcloud.com/documentation/terms/
AWS	Varmistukset Logitallennukset	https://aws.amazon.com/service-terms/
Mandrill*	Email välityspalvelin	https://mailchimp.com/legal/terms/

* Sähköpostien välityspalveluna käytetään Mandrill palvelua, joka on osa Mailchimp palvelukokonaisuutta. Mailchimp ei takaa, että palvelun kautta kulkevien sähköpostien tiedot pysyvät EU alueella. Mailchimp on Privacy Shield sertifioitu. Tämä tarkoittaa, että Mailchimp voi vastaanottaa EU kansalaisten tietoja ja takaa sen, että GDPR:n mukaiset tarvittavat prosessit henkilötietojen käsittelemiseen ovat olemassa.

Tarkempaa tietoa Mailchimpin käyttöehdoista liittyen GDPR:ään löydät kappaleesta 20 https://mailchimp.com/legal/terms/ ja kappale 5 https://mailchimp.com/legal/privacy/

4. Salassapito

Kaikkia henkilötietoja, joita henkilötietojen käsittelijä käsittelee rekisterinpitäjän lukuun pidetään rekisterinpitäjän luottamuksellisina tietoina ja henkilötietojen käsittelijä sitoutuu pitämään tiedot salassa ja olemaan luovuttamatta tai paljastamatta niitä kenellekään kolmannelle osapuolelle tai käyttämättä tietoja muuhun kuin sovittuun tarkoitukseen. Henkilötietojen käsittelijä sitoutuu myös olemaan luovuttamatta ja paljastamatta henkilötietoja omassa organisaatiossaan muille kuin sellaisille työntekijöilleen tai muille henkilöille (ml. mahdolliset alihankkijat), joiden on tarpeen tuntea kyseinen tieto sovittua tarkoitusta varten ja jotka ovat palvelu- tai muiden sopimustensa perusteella taikka lakisääteisesti velvollisia pitämään tiedon luottamuksellisena. Salassapitovelvoitteet pysyvät voimassa sopimuksen päättymisestä huolimatta.

5. Tietoturva

Henkilötietojen käsittelijän tulee huolehtia, että se toteuttaa kaikki asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla pyritään estämään henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Toimenpiteet tulee suunnitella huomioiden uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, kuten

1. henkilötietojen pseudonymisointi ja salaus;
2. kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
3. kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
4. menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Henkilötietojen tietoturvaloukkaukset
Henkilötietojen käsittelijän on ilmoitettava tietoonsa tulleesta käsittelyssä tapahtuneesta henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä, viimeistään 48 tunnin kuluessa, jotta rekisterinpitäjä voi täyttää tietosuoja-asetuksessa määritellyt ilmoitusvelvoitteet asetetussa määräajassa. Ilmoitus on tehtävä kirjallisesti asianmukaisella ja nopealla keinolla.

Tietoturvaloukkauksesta tulee antaa riittävät tiedot ja henkilötietojen käsittelijän tulee muutoinkin avustaa rekisterinpitäjää, jotta rekisterinpitäjä voi täyttää tälle tietosuoja-asetuksessa asetetut velvoitteet. Henkilötietojen käsittelijän tulee myös ryhtyä tarpeellisiin jatkotoimenpiteisiin, joilla henkilötietojen tietoturvaloukkauksen haittavaikutuksia voidaan lieventää tai tulevia loukkauksia estää.

Henkilötietojen käsittelijän on säilytettävä henkilötietojen tietoturvaloukkauksia koskeva asiakirja-aineisto, jonka avulla valvontaviranomainen voi varmistaa, että tätä kohtaa noudatetaan.

Tietosuojaa koskeva vaikutustenarviointi
Mikäli henkilötietojen käsittelijä tulee tietoiseksi siitä, että suunniteltu käsittely aiheuttaisi korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta, tulee sen ilmoittaa tästä rekisterinpitäjälle ja avustaa tätä tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin toteuttamisessa.

Rekisteröidyn oikeuksien toteuttaminen
Ottaen huomioon käsittelytoimen luonteen, henkilötietojen käsittelijän tulee kohtuudella ja ilman aiheetonta viivästystä auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat tietosuoja-asetuksessa säädettyjen rekisteröidyn oikeuksien käyttämistä. Tällaisia oikeuksia voivat olla muun muassa, sellaisina kuin ne on tietosuoja-asetuksessa määritelty, rekisteröidyn oikeus saada pääsy tietoon, oikeus saada tieto korjatuksi, oikeus kieltää käsittely, oikeus tietojen poistamiseen (ns. “oikeus tulla unohdetuksi”), oikeus käsittelyn rajoittamiseen ja oikeus saada tiedot siirretyksi järjestelmästä toiseen. Mikäli tällaisia vaatimuksia esitetään suoraan henkilötietojen käsittelijälle, sen tulee viipymättä ilmoittaa niistä rekisterinpitäjälle. Anders on oikeutettu laskuttamaan asiakasta hinnastonsa mukaisesti käsittelystä aiheutuneesta työstä. 

Auditoinnit
Henkilötietojen käsittelijän tulee saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tietosuoja-asetuksessa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja henkilötietojen käsittelijä sallii ja kohtuudella avustaa rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan tai viranomaisen suorittamat auditoinnit, kuten tarkastukset henkilötietojen käsittelijän tiloihin, järjestelmiin, prosesseihin ja dokumentaatioon, sekä osallistuu itse niihin, mikäli rekisterinpitäjä katsoo tarpeelliseksi sellaisen toteuttamisen. Auditoinnit pyritään suorittamaan normaalin työajan puitteissa siten, että niistä aiheutuisi mahdollisimman vähän haittaa henkilötietojen käsittelijän liiketoiminnalle. Kumpikin osapuoli vastaa omista auditoinnin suorittamiseen liittyvistä kustannuksistaan. Rekisterinpitäjän tulee ilmoittaa henkilötietojen käsittelijälle vähintään 30 päivää etukäteen auditoinnin toteuttamisesta.

6. Liitteen voimaantulo ja sopimuksen päättymisen vaikutukset

Tämä liite tulee voimaan 25.5.2018 ja pysyy voimassa koko sopimuksen voimassaoloajan.

Sopimuksen päättyessä henkilötietojen käsittelijän tulee, rekisterinpitäjän valinnan mukaan, joko poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Siinä tapauksessa henkilötietojen käsittelijällä on oikeus säilyttää henkilötiedot lain vaatimusten mukaisesti, jatkamatta muutoin henkilötietojen käsittelyä ja noudattaen edelleen tässä liitteessä kuvattuja salassapitovelvoitteita.