Sopimus henkilötietojen käsittelystä (DPA)
Jobilla Oy
Versio: 15.12.2022
Määritelmät
Jobillan (jäljempänä “Jobilla”) ja Jobillalta palveluita hankkivan organisaation (jäljempänä “Asiakas”) välillä solmitun sopimuksen (jäljempänä ”Pääsopimus”) tavoitteisiin pääsemiseksi on välttämätöntä, että Jobilla käsittelee asiakkaan henkilötietoja. Tämä sopimus henkilötietojen käsittelystä (jäljempänä ”Käsittelysopimus”) on olennainen ja erottamaton osa Jobillan ja Asiakkaan välistä Pääsopimusta. Jäljempänä ”Osapuoli” tarkoittaa Jobillaa ja Asiakasta kumpaakin erikseen ja ”Osapuolet” Jobillaa ja Asiakasta yhdessä.
Tässä Käsittelysopimuksessa käytetyt käsitteet saavat sen merkityssisällön, joka niille on annettu Euroopan Unionin asetuksessa 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä “Tietosuoja-asetus”). Tällaisia käsitteitä ovat erityisesti termit rekisterinpitäjä, henkilötietojen käsittelijä, henkilötieto, rekisteröity, käsittely ja henkilötietojen tietoturvaloukkaus.
Osapuolten oikeudet ja velvoitteet
Tässä Käsittelysopimuksessa osapuolet sopivat siitä, että Jobilla henkilötietojen käsittelijänä käsittelee Pääsopimuksen voimassaoloaikana henkilötietoja Asiakkaan lukuun.
Asiakas toimii rekisterinpitäjänä suhteessa työnhakijoidensa henkilötietoihin, eli määrittää yksin mitä tietoja työnhakijoilta kerätään sekä mihin tarkoituksiin ja millä keinoin henkilötietoja käsitellään. Asiakas vastaa siitä, että se täyttää kaikki ne velvollisuudet, joita Tietosuoja-asetus ja muu soveltuva lainsäädäntö edellyttää rekisterinpitäjältä.
Jobilla käsittelee henkilötietoja ainoastaan Asiakkaan antamien dokumentoitujen ohjeiden mukaisesti, paitsi jos Jobillaan sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan. Tässä tapauksessa Jobilla tiedottaa Asiakkaalle kyseisestä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos se kielletään lainsäädännössä yleistä etua koskevien tärkeiden syiden vuoksi.
Jobilla saa käsittelyn aikana ja sen päätyttyä säilyttää ja käyttää hyväksi anonymisoitua tietoa toimintansa ja tuotteidensa kehittämisessä. Anonymisoinnilla tarkoitetaan tietojen muokkaamista siten, ettei niistä voida millään toimenpiteillä enää tunnistaa henkilöitä.
Jobillan on välittömästi ilmoitettava Asiakkaalle, jos Jobilla katsoo, että Asiakkaan antamat ohjeet ovat Tietosuoja-asetuksen taikka sovellettavien unionin tai jäsenvaltioiden tietosuojasäännösten vastaisia.
Tämän Käsittelysopimuksen lisäksi kumpikin Osapuoli sitoutuu noudattamaan sovellettavia kansallisia tietosuojalakeja ja Tietosuoja-asetuksen säännöksiä toimintaansa soveltuvin osin.
Käsittelyn luonne ja tarkoitus
Jobilla käsittelee henkilötietoja Pääsopimuksessa tarkemmin määriteltyjen tuotteiden ja palveluiden tarjoamiseksi ja toimittamiseksi Asiakkaalle. Jobillalla ei ole oikeutta käsitellä asiakkaan henkilötietoja mihinkään muuhun tarkoitukseen tai kenenkään muun hyväksi.
Rekisteröityjen ryhmät ja käsiteltävät henkilötietoryhmät
Käsiteltävät henkilötiedot koskevat Asiakkaan työnhakijoita.
Koska Asiakas kontrolloi täysin mitä tietoja työnhakijoista käsitellään, vastaa Asiakas yksin siitä, että sillä on oikeus käsitellä kyseisiä henkilötietoja. Tyypillisimmin käsiteltävät henkilötiedot koskevat työnhakijoiden nimeä, sähköpostiosoitetta, puhelinnumeroa, työhakemusta ja ansioluetteloa.
Henkilötietojen käsittelyn kesto ja säilytysaika
Jobilla käsittelee henkilötietoja Pääsopimuksen voimassaolon ajan.
Pääsopimuksen voimassaolon ajan Jobilla säilyttää Asiakkaan työnhakijoiden henkilötietoja Asiakkaan määrittelemän ajan. Ellei Asiakas muuta päätä, henkilötietojen säilyttämisen oletusaika on 2 vuotta kunkin Asiakkaan työnhakijan tietojen osalta, jonka jälkeen kyseisen työnhakijan henkilötiedot anonymisoidaan automaattisesti.
Alikäsittelijät
Asiakas antaa Jobillalle yleisen ennakkoluvan alikäsittelijöiden käyttöön. Ajantasainen lista henkilötietojen alikäsittelijöistä on saatavilla osoitteessa [Sub-processors].
Mikäli Jobilla suunnittelee tekevänsä muutoksia henkilötietojen käsittelyssä käyttämiinsä alikäsittelijöihin, ilmoittaa se tästä Asiakkaalle kirjallisesti vähintään 30 päivää ennen aiottua muutosta. Kirjallisten ilmoitusten toimittamisvelvollisuus koskee suunniteltua alikäsittelijän lisäämistä, poistamista tai vaihtamista. Ilmoituksen saatuaan Asiakas voi vastustaa suunniteltuja muutoksia.
Mikäli Asiakas vastustaa Jobillan aikomaa alikäsittelijämuutosta eikä Jobilla kohtuudella kykene käyttämään vaihtoehtoista alikäsittelijää tai menettelyä kyseisessä käsittelytoimessa, ei Jobilla ole vastuussa Asiakkaalle tästä aiheutuvista sopimusvelvoitteiden rikkomuksista tai laiminlyönneistä. Tällaisessa tilanteessa Jobilla on oikeutettu kirjallisesti irtisanomaan Pääsopimuksen päättymään kun alikäsittelijämuutos astuu voimaan.
Käyttäessään henkilötietojen alikäsittelijän palveluja, Jobillan tulee sopia palveluntarjoajan kanssa, että käsittely tapahtuu noudattaen samantasoisia tietosuojavelvoitteita, kuin mitä tässä Käsittelysopimuksessa on kuvattuna. Jobilla vastaa siitä, että sen käyttämän henkilötietojen alikäsittelijän palvelut toteutetaan tämän Käsittelysopimuksen vaatimusten mukaisina.
Kansainväliset tiedonsiirrot
Jobilla ja Jobillan käyttämät alikäsittelijät eivät siirrä henkilötietoja EU:n tai ETA:n ulkopuolisiin maihin muutoin kuin Asiakkaan antamien dokumentoitujen ohjeiden perusteella tai ellei laki tai sitova viranomaismääräys sitä edellytä. Henkilötietojen siirron tulee tapahtua Tietosuoja-asetuksessa määriteltyjä riittäviä suojamekanismeja käyttäen.
Salassapito
Kaikkia henkilötietoja joita Jobilla käsittelee Asiakkaan lukuun pidetään Asiakkaan luottamuksellisina tietoina ja Jobilla sitoutuu pitämään tiedot salassa ja olemaan luovuttamatta tai paljastamatta niitä kenellekään kolmannelle osapuolelle. Jobilla sitoutuu myös olemaan luovuttamatta ja paljastamatta henkilötietoja omassa organisaatiossaan muille kuin sellaisille henkilöille, joiden on tarpeen tuntea kyseinen tieto sovittua tarkoitusta varten ja jotka ovat palvelu- tai muiden sopimustensa perusteella taikka lakisääteisesti velvollisia pitämään tiedon luottamuksellisena. Salassapitovelvoitteet pysyvät voimassa Käsittelysopimuksen päättymisestä huolimatta.
Tietoturva
Jobillan tulee huolehtia, että se toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla pyritään estämään Jobillan hallussa olevien Asiakkaan henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Epäselvyyksien välttämiseksi todetaan, että Jobilla ei kuitenkaan vastaa sellaisten tietojärjestelmien tai palveluiden teknisestä tietoturvasta, jotka ovat Asiakkaan omaisuutta tai joiden aineettomat oikeudet kuuluvat Asiakkaalle tai jollekin kolmannelle osapuolelle, ellei näin ole nimenomaisesti sovittu.
Tietoturvaa koskevat toimenpiteet tulee suunnitella huomioiden uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, kuten
- henkilötietojen pseudonymisointi ja salaus;
- kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
- kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; ja
- menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Jobillan käyttämiin teknisiin ja organisatorisiin toimenpiteisiin voi tutustua tarkemmin osoitteessa [Technical and Organizational Measures] (englanniksi).
Henkilötietojen tietoturvaloukkaukset
Jobillan on ilmoitettava tietoonsa tulleesta käsittelyssä tapahtuneesta henkilötietojen tietoturvaloukkauksesta Asiakkaalle ilman aiheetonta viivytystä, jotta Asiakas voi täyttää Tietosuoja-asetuksessa määritellyt ilmoitusvelvoitteet asetetussa määräajassa. Tietoturvaloukkauksesta tulee antaa riittävät tiedot ja Jobillan tulee muutoinkin kohtuudella avustaa Asiakasta, jotta Asiakas voi täyttää tälle Tietosuoja-asetuksessa asetetut velvoitteet. Jos ja siltä osin kuin kaikkia tietoja ei ole mahdollista toimittaa samaan aikaan, alkuperäisen ilmoituksen on sisällettävä saatavilla olevat tiedot, ja lisätiedot on sen jälkeen toimitettava ilman aiheetonta viivytystä, kun ne tulevat saataville
Jobillan tulee myös ryhtyä tarpeellisiin jatkotoimenpiteisiin, joilla henkilötietojen tietoturvaloukkauksen haittavaikutuksia voidaan lieventää tai tulevia loukkauksia estää.
Tietosuojaa koskeva vaikutustenarviointi
Mikäli Jobilla tulee tietoiseksi siitä, että suunniteltu käsittely aiheuttaisi korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta, tulee sen ilmoittaa tästä Asiakkaalle ja avustaa tätä tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin toteuttamisessa.
Rekisteröidyn oikeuksien toteuttaminen
Ottaen huomioon käsittelytoimen luonteen, Jobillan tulee kohtuudella ja ilman aiheetonta viivästystä auttaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat Tietosuoja-asetuksessa säädettyjen rekisteröidyn oikeuksien käyttämistä. Tällaisia oikeuksia voivat olla muun muassa, sellaisina kuin ne on Tietosuoja-asetuksessa määritelty, rekisteröidyn oikeus saada pääsy tietoon, oikeus saada tieto korjatuksi, oikeus kieltää käsittely, oikeus tietojen poistamiseen (ns. “oikeus tulla unohdetuksi”), oikeus käsittelyn rajoittamiseen ja oikeus saada tiedot siirretyksi järjestelmästä toiseen.
Jobillan on viipymättä ilmoitettava Asiakkaalle kaikista rekisteröidyltä saamistaan pyynnöistä. Jobilla ei saa itse vastata pyyntöön, paitsi jos Asiakas on antanut siihen luvan.
Auditoinnit
Jobillan tulee saattaa Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen tässä Käsittelysopimuksessa ja Tietosuoja-asetuksessa säädettyjen velvollisuuksien noudattamisen osoittamista varten. Jobilla sallii Asiakkaan tai muun Asiakkaan valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset Jobillan tiloihin, järjestelmiin, prosesseihin ja dokumentaatioon, sekä kohtuudella avustaa ja osallistuu itse niihin, mikäli Asiakas katsoo tarpeelliseksi sellaisen toteuttamisen. Auditoinnit pyritään suorittamaan normaalin työajan puitteissa siten, että niistä aiheutuisi mahdollisimman vähän haittaa Jobillan liiketoiminnalle. Kumpikin osapuoli vastaa omista auditoinnin suorittamiseen liittyvistä kustannuksistaan. Asiakkaan tulee ilmoittaa Jobillalle vähintään 30 päivää etukäteen auditoinnin toteuttamisesta. Tarpeettomien auditointien välttämiseksi auditointeja tulisi ensisijaisesti suorittaa vain tilanteissa, joissa on syytä epäillä, että Jobilla ei noudata tämän Käsittelysopimuksen ehtoja tai Tietosuoja-asetuksen vaatimuksia. Jobilla varmistaa Asiakkaalle Tietosuoja-asetuksen edellyttämän auditointi-oikeuden myös käsittelijän alihankkijoihin niissä rajoissa, kun auditointi on kohtuudella mahdollista.
Muut ehdot
Mikäli Jobilla joutuu avustamaan Asiakasta Asiakkaan aiheuttamissa Tietosuoja-asetuksen tietoturvaloukkauksissa, rekisteröityjen oikeuksien tavanomaisesta käsittelystä poikkeavassa toteuttamisessa tai tietosuojavaikutusten arviointia koskevien säännösten täyttämisessä, on Jobilla oikeutettu laskuttamaan kohtuulliset toteutuneet työtunnit käyttämänsä tavanomaisen tuntihinnan mukaisesti. Lisätyötunneista laskuttaminen edellyttää kuitenkin sitä, että Asiakas on etukäteen hyväksynyt avustamisvelvoitteiden täyttämiseen liittyvän ajankäytön.
Jobilla on vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja Tietosuoja-asetuksen velvoitteita tai jos se on toiminut Asiakkaan lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti. Jos Osapuoli on maksanut rekisteröidylle Tietosuoja-asetuksen 82 artiklan mukaisesti täyden korvauksen aiheutuneesta vahingosta, korvauksen maksaneella Osapuolella on oikeus periä toiselta Osapuolelta se osuus korvauksesta, joka vastaa toisen Osapuolen vastuuta Tietosuoja-asetuksen edellytysten rikkomisesta aiheutuneesta vahingosta. Jobilla ei ole vastuussa Asiakkaalle mistään muista sopimusrikkomusten aiheuttamista välillisistä, epäsuorista vahingoista tai kolmansien esittämistä vaatimuksista. Jobillan sopimusrikkomuksia koskeva vahingonkorvausvastuu rajoittuu yhteenlaskettuna enimmäismääränä siihen summaan, joka Osapuolten välisessä Pääsopimuksessa on määritelty Jobillan vastuun ylärajaksi Pääsopimuksen rikkomisesta.
Käsittelysopimuksen voimaantulo ja sopimuksen päättymisen vaikutukset
Tämä Käsittelysopimus tulee voimaan kun Osapuolet ovat solmineet Pääsopimuksen ja pysyy voimassa niin kauan, kunnes Osapuolten välinen Pääsopimus irtisanotaan tai sen voimassaolo päättyy sen ehtojen mukaisesti.
Kohtuullisen ajan kuluessa Pääsopimuksen päättymisestä Jobilla, Asiakkaan valinnan mukaan, joko poistaa tai palauttaa kaikki henkilötiedot Asiakkaalle ja poistaa olemassa olevat jäljennökset, jollei unionin oikeudessa tai jäsenvaltion lainsäädännössä edellytetä henkilötietojen säilyttämistä. Tällöin Jobilla säilyttää henkilötiedot lain vaatimusten mukaisesti, jatkamatta muutoin henkilötietojen käsittelyä ja noudattaen edelleen tämän Käsittelysopimuksen velvoitteita.
Ellei Asiakas ole ilmoittanut henkilötietojen poistamisesta tai palauttamisesta, poistaa Jobilla Asiakkaan henkilötiedot ja sitä koskevat jäljennökset tämän Käsittelysopimuksen henkilötietojen säilytysaikaa koskevien ehtojen mukaisesti, jollei unionin oikeudessa tai jäsenvaltion lainsäädännössä edellytetä henkilötietojen säilyttämistä.
Asiakkaan tulee ennen henkilötietojen säilytysajan päättymistä varmuuskopioida tai tallentaa Jobillan hallussa olevat henkilötiedot, mikäli Asiakas edelleen niitä tarvitsee.