UPM Kiinteistöt - Henkilötietojen käsittelysopimus

JOHDANTO JA KÄSITTELYSOPIMUKSEN KOHDE

Sopimuksen kohdassa 8.3 tarkoitettujen palvelujen toteuttamista varten Yritys saa UPM Metsän
järjestelmästä tietoonsa EU:n yleisessä tietosuoja‐asetuksessa (EU 679/2016) tarkoitettuja
henkilötietoja ja on asetuksessa tarkoitettu henkilötietojen käsittelijä. Kysymys on UPM Metsän
asiakasrekisteriin sisältyvistä luonnollisiin henkilöihin yhdistettävissä olevista nimi‐, yhteys‐ ja
tilatiedoista sekä UPM Metsän palveluksessa olevien henkilöiden nimi‐ ja yhteystiedoista
(jäljempänä ”Asiakastieto”).


Mitä jäljempänä todetaan Yrityksen velvoitteista, koskee myös Yrittäjää, joka on sopimuksen
mukaisesti vastuussa tässä liitteessä tarkoitettujen velvoitteiden noudattamisesta.

LAINSÄÄDÄNNÖN JA OHJEIDEN NOUDATTAMINEN

Tietosuoja‐asetus sisältää henkilötietojen suojaamiseen liittyviä velvoitteita, joiden noudattamisesta
osapuolet sitoutuvat huolehtimaan oman toimintansa osalta.


Yrityksen tulee noudattaa kaikkia tietosuojaa, yksityisyyden suojaa ja tietoturvallisuutta koskevia
tietosuoja‐asetuksen ja muun lainsäädännön määräyksiä (jäljempänä Laki) sekä UPM Metsän
antamia tietojen käsittelyä sekä tietojen suojaamista ja salaamista koskevia kirjallisia ohjeita.

ASIAKASTIEDON KÄSITTELY

Yritys sitoutuu tässä liitteessä esitetyn ja UPM Metsän antamien kirjallisten ohjeiden mukaiseen
Asiakastiedon käsittelyyn sopimuksen voimassaoloaikana ja myös sopimuksen päättymisen jälkeen.
Yritys vastaa toimenpiteistä aiheutuvista kustannuksistaan itse.
Yritys ei saa mitään oikeuksia Asiakastietoon ja on oikeutettu käsittelemään Asiakastietoa vain siinä
laajuudessa ja tarkoituksessa, mikä on välttämätöntä sopimuksessa tarkoitettujen tehtävien
suorittamiseksi. Asiakastietoa ei saa käyttää tai käsitellä muussa tarkoituksessa eikä ilmaista, siirtää
tai luovuttaa ulkopuolisille.
Yritys saa siirtää tai ilmaista Asiakastietoa ulkopuolisille yhteistyökumppaneille tai alihankkijoille,
mikäli niistä on ilmoitettu UPM Metsälle ohjeiden mukaisesti eikä UPM Metsä ole jonkin ilmoitetun
yhteistyökumppanin tai alihankkijan käyttöä kieltänyt. Yrityksen on tällöin tehtävä
yhteistyökumppanin tai alihankkijan kanssa kirjallinen sopimus, jossa Asiakastietoa käsittelevä
sitoutuu noudattamaan tässä liitteessä todettuja velvoitteita. Yritys on kaikilta osin vastuussa
käyttämiensä alihankkijoiden toiminnasta ja laiminlyönneistä.
Yrityksen tulee ryhtyä soveltuviin teknisiin ja organisatorisiin toimenpiteisiin suojatakseen
Asiakastietoa oikeudettomalta käytöltä ja muuntamiselta niin, että Lakeja noudatetaan. Teknisiin
toimenpiteisiin kuuluu muun muassa ajan tasalla oleva viruksentorjunta ja tiedostojen
varmuuskopiointi.

Yrityksen tulee rajoittaa henkilöstön ja yhteistyökumppanien pääsy Asiakastietoon niihin riittävän
tietosuojakoulutuksen saaneisiin henkilöihin, jotka tietoa tehtäviensä hoitamisessa välttämättä
tarvitsevat ja jotka ovat sitoutuneet noudattamaan salassapitovelvoitteita.
Yritys vakuuttaa ryhtyvänsä kaikkiin UPM Metsän ohjeistamiin varotoimenpiteisiin estääkseen
oikeudettoman käytön, tiedon muuntamisen ja vahingoittamisen, virusten aiheuttamat vahingot
UPM Metsän järjestelmille sekä oikeudettoman pääsyn UPM Metsän järjestelmiin ja
liikesalaisuuksiin.
Yritys sitoutuu ilmoittamaan UPM Metsälle viipymättä, mikäli tietojen suojaamis‐ ja
tietoturvatoimenpiteet eivät vastaa UPM Metsän ohjeistusta, mikäli ilmenee epäilys
tietoturvaloukkauksesta tai poikkeavuuksia Asiakastiedon käsittelyyn liittyen.

DOKUMENTOINTI JA TIETOTURVALOUKKAUKSET

Yritys on velvollinen huolehtimaan Asiakastietojen käsittelyn prosessikuvauksesta ja
dokumentoinnista sekä siitä, että UPM Metsä saa käyttöönsä kaikki tiedot, jotka ovat tarpeen sen
osoittamiseksi, että tietojen käsittelyssä on noudatettu Lain velvoitteita.
Yritys sitoutuu ilmoittamaan tietoturvaloukkauksesta UPM Metsälle ilman aiheetonta viivytystä ja
viimeistään 24 tunnin kuluessa loukkauksen ilmitulosta, jotta UPM Metsä voi täyttää tietosuojaasetuksessa
säädetyt velvoitteensa. Yritys on myös velvollinen avustamaan tietoturvaloukkauksen
selvittämisessä.

MUUT EHDOT

UPM Metsällä on oikeus tarkastaa tässä liitteessä tarkoitettujen velvoitteiden noudattaminen
tarkoituksenmukaisessa laajuudessa. Tarkistettavia kohteita voivat olla esimerkiksi alihankkijoiden
kanssa tehdyt sopimukset.


Yrityksen tulee palauttaa UPM Metsälle sekä hävittää ja poistaa Yrityksen järjestelmistä Asiakastieto
kokonaisuudessaan, kun sopimus on päättynyt tai tietoa ei enää tarvita. Yrityksen tulee huolehtia
siitä, että sopimuksen mukaisessa toiminnassa käytettävillä työkoneilla on mahdollista tarvittaessa
tehdä henkilötietojen poisto tai muuntaminen siten, että tietoja ei voida enää yhdistää luonnolliseen
henkilöön.


Tässä liitteessä tarkoitettu UPM Metsän ohjeiden vastainen toiminta tai laiminlyönti on
sovellettavissa sopimusehdoissa tarkoitettu sopimusrikkomus, joka oikeuttaa toisen osapuolen
vaatimaan sopimuksen purkamista ja vahingonkorvausta.