Skip to main content
Tämä sivu näytetään automaattisella käännöksellä. Näytä sen sijaan englanniksi?

Kumppanien tietosuojalisäys

Seuraava kumppanitietosuojalisäys on osa kumppanuusohjelmasopimusta ja sisältää henkilötietojen käsittelyä koskevat ehdot.

1. YLEINEN

Tämä yhteistyökumppanin tietosuojalisäys (”DPA”) on osa kumppanuusohjelmasopimusta (”Sopimus”) ja esittää henkilötietojen käsittelyä koskevat lisäehdot. Isoilla kirjaimilla kirjoitetuilla termeillä on tämän asiakirjan seuraavassa osassa tai muualla Sopimuksessa määritelty merkitys. Jos tämän tietosuojavastaavan ehtojen ja muiden Sopimuksen ehtojen välillä on ristiriita, tämä DPA on ensisijainen. Tässä tietosuojaselvityksessä ”Palveluntarjoajalla” tarkoitetaan kumppania.

2. MÄÄRITELMÄT

  • (a) ”Sovellettava tietosuojalaki” tarkoittaa kaikkea sovellettavaa lakia, joka liittyy henkilötietojen käsittelyyn sopimuksen nojalla, mukaan lukien, mutta ei rajoittuen, (i) ETA-alueella sijaitsevalta valtuutetulta yksiköltä peräisin oleviin henkilötietoihin, yleinen tietosuoja-asetus (EU) 2016/679 (”GDPR”) ja (ii) henkilötiedoista, jotka ovat peräisin Yhdistyneessä kuningaskunnassa sijaitsevalta valtuutetulta yksiköltä, Yhdistyneen kuningaskunnan tietosuoja-asetuksen ja Yhdistyneen kuningaskunnan tietosuojalain 2018.
  • (b) ”Valtuutettu yksikkö” tarkoittaa mitä tahansa yksikköä (mukaan lukien Siemens ja sen konserniyhtiöt), joka toimii Controllerina ja jolla on Sopimuksen mukaan oikeus suoraan tai epäsuorasti käyttää Palveluja tai käyttää niitä.
  • (c) ”Controller” tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka yksin tai yhdessä muiden kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.
  • d) ”Maa, jolla on riittävyyttä koskeva päätös” tarkoittaa maata, jonka osalta EU:n komissio on päättänyt, että kyseinen maa varmistaa riittävän tietosuojan tason, ja Yhdistyneestä kuningaskunnasta peräisin oleville henkilötiedoille mitä tahansa maata, jota varten Yhdistyneessä kuningaskunnassa on annettu tietosuojalain 2018 §:n 17A tai 74A mukaisesti.
  • (e) ”Tietoturvaloukkaukset” tarkoittaa mitä tahansa tietoturvaloukkausta (i) joka johtaa siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen tahattomaan tai laittomaan tuhoamiseen, katoamiseen, muuttamiseen, luvattomaan paljastamiseen tai niihin pääsyyn, tai (ii) edellyttäisi tällaisen tapahtuman ilmoittamista kolmannelle osapuolelle sovellettavan lain mukaisesti.
  • f) ”ETA” tarkoittaa Euroopan talousaluetta.
  • g) ”EU:n mallisopimuslausekkeet” tarkoittaa mallisopimuslausekkeita (EU) 2021/914.
  • h) ”Alkuperäalue” tarkoittaa ETA:ta, Yhdistynyttä kuningaskuntaa, Sveitsiä ja jokaista maata, jolla on samanlaiset riittävyysvaatimukset kuin 45 artiklassa ja sitä seuraavissa artikloissa. TIETOSUOJA-ASETUS.
  • (i) ”Henkilötiedot” tarkoittaa tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan tunnistaa suoraan tai välillisesti erityisesti viittaamalla tunnisteeseen, kuten nimeen, tunnistenumeroon, sijaintitietoihin, verkkotunnisteeseen tai yhteen tai useampaan kyseisen luonnollisen henkilön fyysiseen, fysiologiseen, geneettiseen, henkiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen identiteettiin liittyvään tekijään.
  • (j) ”Käsittely” (ja sen muilla muodoilla, kuten prosessointi, prosessit, käsitelty) tarkoittaa mitä tahansa toimintaa tai toimintokokonaisuutta, joka suoritetaan henkilötiedoille tai henkilötietojoukoille automatisoiduin keinoin, kuten keräys, tallennus, organisointi, jäsentäminen, tallennus, mukauttaminen tai muuttaminen, haku, haku, käyttö, luovuttaminen siirtämällä, levittämällä tai muulla tavoin saataville asettamalla, yhdenmukaistamalla tai yhdistämällä, rajoittamalla, poistamalla tai hävittämällä.
  • k) ”Käsittelijä” tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja Controllerin puolesta.
  • (l) ”Processor Binding Corporate Rules” tarkoittaa jalostajia koskevia sitovia yrityssääntöjä, jotka toimivaltainen valvontaviranomainen on hyväksynyt.
  • (m) ”Rajoitetut henkilötiedot” tarkoittaa kaikkia henkilötietoja, jotka ovat peräisin Alkuperäalueella sijaitsevalta valtuutetulta taholta.
  • (n) ”Rajoitettu siirto (t)” tarkoittaa Palveluntarjoajan tai sen alikäsittelijän suorittamaa Rajoitettujen Henkilötietojen käsittelyä (mukaan lukien siirrot, kansainvälinen pääsy ja edelleen siirrot) asianomaisen Alkuperäalueen ulkopuolella.
  • (o) ”Palvelut” Tarkoittaa Sopimuksen mukaisia Palveluita, jotka Palveluntarjoaja toimii tässä tietosuojaselvityksessä tarkoitetussa käsittelijän roolissa.
  • p) ”Mallisopimuslausekkeet” tarkoittaa EU:n mallisopimuslausekkeita ja Yhdistyneen kuningaskunnan mallisopimuslausekkeita.
  • (q) ”Aliprosessori (t)” tarkoittaa kaikkia muita Palvelujen suorittamiseen osallistuvia henkilötietojen käsittelijöitä.
  • (r) ”Siirron suojatoimet” tarkoittaa asianmukaisia suojatoimia rajoitetuille siirroille sovellettavan tietosuojalain edellyttämällä tavalla, mukaan lukien rajoituksetta kaikki asianmukaiset suojatoimet GDPR:n 46 artiklan edellyttämät asianmukaiset suojatoimet.
  • (s) ”Yhdistyneen kuningaskunnan tietosuoja-asetus” tarkoittaa GDPR:ää sellaisena kuin se on sisällytetty Yhdistyneen kuningaskunnan lainsäädäntöön Yhdistyneen kuningaskunnan Euroopan unionin (eroamislain) vuoden 2018 pykälän 3 nojalla.
  • (t) ”Yhdistyneen kuningaskunnan mallisopimuslausekkeet” tarkoittaa sellaisia tietosuojalausekkeita, jotka UK Information Commissioners Office (ICO) hyväksyy aika ajoin Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan mukaisesti, mukaan lukien, mutta ei rajoittuen, kansainvälinen tiedonsiirtosopimus (UK IDTA) ja EU:n mallisopimuslausekkeet, sellaisina kuin ne on muutettu ICO:n kansainvälisen tiedonsiirron lisäyksellä EU-komission mallisopimuslausekkeisiin (Yhdistyneen kuningaskunnan lisäys”). [1]

1 Katso https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

3. SOVELLETTAVAN TIETOSUOJALAINSÄÄDÄNNÖN NOUDATTAMINEN

Osapuolet noudattavat sovellettavaa tietosuojalakia sellaisena kuin niitä sovelletaan niihin ja tässä vaaditulla tavalla. Palvelujen tarjoamisessa Palveluntarjoajan on noudatettava erityisesti sovellettavan tietosuojalain säännöksiä henkilötietojen käsittelystä henkilötietojen käsittelijänä.

4. KÄSITTELYN LAAJUUS

Palveluntarjoaja käsittelee henkilötietoja vain (a) tämän tietosuojavastaavan ja Sopimuksen ehtojen mukaisesti; tai (b) muiden Siemensin dokumentoitujen ohjeiden mukaisesti. Palveluntarjoaja ei saa käsitellä henkilötietoja omiin tarkoituksiinsa tai siirtää niitä kolmansille osapuolille, ellei tämä tietosuojavastaava salli sitä. Toimittajan on välittömästi ilmoitettava Siemensille, jos Siemensin antama ohje rikkoo sovellettavaa tietosuojalakia.

5. TIEDOT TOIMITETUISTA KÄSITTELYTOIMISTA

Palveluntarjoajan toimittamien käsittelytoimien yksityiskohdat - erityisesti käsittelyn kohde, käsittelyn luonne ja tarkoitus, käsiteltyjen henkilötietojen tyypit ja asianomaisten rekisteröityjen ryhmät - on määritelty Liite I tähän DPA: hen.

6. TEKNISET JA ORGANISATORISET TOIMENPITEET

Ottaen huomioon tekniikan tason, täytäntöönpanokustannukset ja käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä luonnollisten henkilöiden oikeuksien ja vapauksien todennäköisyyden ja vakavuuden vaihtelevan riskin, Palveluntarjoajan on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet riskiin sopivan turvallisuustason varmistamiseksi, mukaan lukien, mutta ei rajoittuen, tapauksen mukaan: (a) henkilötietojen pseudonymisointi ja salaus; (b) kyky varmistaa jatkuva luottamuksellisuus, eheys, saatavuus ja joustavuus Käsittelyjärjestelmät ja -palvelut; (c) kyky palauttaa henkilötietojen saatavuus ja pääsy niihin ajoissa fyysisen tai teknisen häiriön sattuessa; (d) prosessi, jolla testataan, arvioidaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta Käsittelyn turvallisuuden varmistamiseksi. Rajoittamatta edellisen virkkeen yleisyyttä, Palveluntarjoajan on aina toteutettava ainakin tekniset ja organisatoriset toimenpiteet, jotka on kuvattu kohdassa Liite IItähän DPA: hen.

1 Katso https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

7. SITOUTUMINEN LUOTTAMUKSELLISUUTEEN

Palveluntarjoajan on rajoitettava henkilöstönsä pääsyä henkilötietoihin tiedon tarvetta koskevien tietojen perusteella. Palveluntarjoajan on ilmoitettava henkilöstölleen yksityiskohtaisesti sovellettavista tietosuojaa koskevista laki- ja sopimusmääräyksistä. Palveluntarjoajan on asetettava henkilöstölleen velvollisuus noudattaa näitä määräyksiä ja erityisesti pitää henkilötiedot salassa ja olla käsittelemättä henkilötietoja muuten kuin Siemensin ohjeiden mukaisesti. Salassapitovelvollisuus jatkuu tämän Sopimuksen päättymisen ja henkilöstön sopimussuhteen päättymisen jälkeen Palveluntarjoajaan. Palveluntarjoaja toimittaa pyynnöstä todisteet tällaisesta velvoitteesta.

8. ALIKÄSITTELIJÄT

  • (a) Toimittajalla on Siemensin yleinen valtuutus Alikäsittelijöiden ottamiseen. Nykyinen luettelo palveluntarjoajan tilaamista alikäsittelijöistä sisältyy Liite III tähän DPA: hen.
  • (b) Toimittajan on ilmoitettava Siemensille kirjallisesti kaikista suunnitelluista muutoksista kyseiseen luetteloon lisäämällä tai vaihtamalla Alikäsittelijöitä vähintään 30 päivää etukäteen. Palveluntarjoajan on toimitettava Siemensille tarvittavat tiedot, jotta Siemens voi käyttää vastustamisoikeuttaan. Jos Siemens ei esitä vastalausetta tämän 30 päivän määräajan kuluessa, tämä on pidettävä uuden alihankkijan hyväksyntänä. Jos Siemens esittää vastalausetta, Toimittaja - ennen kuin valtuuttaa Alikäsittelijän pääsyn Henkilötietoihin - pyrkii kohtuullisesti vastaamaan Siemensin esittämiin huolenaiheisiin ja varauksiin ja (i) pidättäydyttävä käyttämästä Alikäsittelijää tai (ii) ehdottaa Siemensille kohtuullista muutosta Palveluihin tai Siemensin kokoonpanoon tai Palvelujen käyttöön välttääkseen henkilötietojen käsittelyn vastustetun uuden alikäsittelijän toimesta. Jos Palveluntarjoaja ei pysty poistamaan Siemensin vastalauseen perusteita, Siemensillä on oikeus irtisanoa kyseiset Palvelut ilman vahingonkorvauksia tai seuraamuksia. Jos Siemens irtisanoo sopimuksen, Palveluntarjoaja hyvittää kaikki ennakkomaksut sovellettavasta Palvelusta suhteellisesti.
  • (c) Jos Palveluntarjoaja käyttää Alikäsittelijää suorittamaan tiettyjä käsittelytoimia (Siemensin ja/tai Valtuutettujen Yksiköiden puolesta), sen on tehtävä se kirjallisella sopimuksella, jossa määrätään olennaisilta osiltaan samoista tietosuojavelvoitteista kuin ne, jotka sitovat Palveluntarjoajaa tämän tietosuojaselvityksen nojalla.
  • (d) Toimittajan on toimitettava Siemensin pyynnöstä jäljennös tällaisesta Alikäsittelijän sopimuksesta ja mahdollisista Siemensille myöhemmin tehdyistä muutoksista. Siinä määrin kuin se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen suojaamiseksi, mukaan lukien henkilötiedot, Palveluntarjoaja voi muokata sopimuksen tekstiä ennen kopion jakamista.
  • (e) Palveluntarjoajan on tarkastettava asianmukaisesti ja säännöllisesti alikäsittelijä näiden vaatimusten noudattamisen osalta ja dokumentoitava tällaisten tarkastusten tulokset.
  • (f) Toimittaja on Siemensille täysin vastuussa Alikäsittelijän velvoitteiden täyttämisestä Palveluntarjoajan kanssa tekemänsä sopimuksen mukaisista velvoitteista. Palveluntarjoajan on ilmoitettava Siemensille, jos Alikäsittelijä ei ole täyttänyt sopimuksen mukaisia velvoitteitaan.

9. KANSAINVÄLINEN TIETOJENKÄSITTELY

Jos kyseessä on Rajoitettu Siirto Palveluntarjoajalle, Palveluntarjoajan on varmistettava, että tällainen Rajoitettu Siirto kuuluu tässä kohdassa esitettyjen asianmukaisten siirtosuojatoimien piiriin. Jakso 9 ja Liite III tähän DPA: hen.

  • (a) Vakiosopimuslausekkeet. Seuraavaa sovelletaan, jos siirtosuoja perustuu mallisopimuslausekkeisiin:

    • ETA-Palveluntarjoajat. Jos Palveluntarjoaja sijaitsee ETA-alueella, Palveluntarjoajan on solmittava mallisopimuslausekkeet (moduuli 3) alihankkijansa kanssa. 9 jakson a alakohdan vii alakohta (”Sovellettava laki”), 9 (a) (viii) (”Foorumin ja lainkäyttövallan valinta”), 9 (a) (ix) (b) (”Yhdistyneen kuningaskunnan lisäyksen osa 1”), ja 9 kohdan a alakohdan x alakohdan toinen virke Tämän DPA: n (”Valtuutetut yksiköt muissa maissa”) ei sovelleta, jos palveluntarjoaja sijaitsee ETA-alueella.
    • ETA:n ulkopuoliset palveluntarjoajat. Jos Palveluntarjoaja sijaitsee ETA:n ulkopuolella, rajoitettuun siirtoon sovelletaan mallisopimuslausekkeiden moduuleja 2 ja 3. Vakiosopimuslausekkeisiin sisältyvät asiaankuuluvat säännökset on sisällytetty viitteenä ja ne ovat olennainen osa tätä tietosuojaviranomaista. Mallisopimuslausekkeiden liitteitä varten vaadittavat tiedot esitetään Liitteet I—IIItähän DPA: hen.
    • Telakointilauseke. Mallisopimuslausekkeiden 7 kohdan mukaista vaihtoehtoa ei sovelleta.
    • Jatkosiirrot. Mahdollisten myöhempien siirtojen on oltava vakiosopimuslausekkeiden sovellettavan moduulin kohtien 8 ja 9 mukaisia. Jos Siemens sijaitsee ETA:n ulkopuolella ja toimii itse tietojen maahantuojana Valtuutettujen yksiköiden kanssa tehtyjen mallisopimuslausekkeiden mukaisesti, mallisopimuslausekkeiden lausekkeen 9 (e) mukainen kolmannen osapuolen edunsaajalauseke on tällaisen valtuutetun yksikön hyväksi.
    • Alikäsittelijöiden käyttöSovelletaan mallisopimuslausekkeiden 9 lausekkeen mukaista vaihtoehtoa 2. Sovellettaessa mallisopimuslausekkeiden 9 (a) kohtaa Palveluntarjoajalla on Siemensin yleinen valtuutus käyttää alikäsittelijöitä Osasto 8 tästä DPA: sta.
    • Oikeudenkäynti. Jos Palveluntarjoaja tarjoaa rekisteröidyille mahdollisuuden tehdä valitus riippumattomalle riitojenratkaisuelimelle (ks. mallisopimuslausekkeiden 11 vaihtoehto), Palveluntarjoajan on ilmoitettava Siemensille asiasta vastuussa olevasta välimieselimestä kirjallisesti ja noudatettava mallisopimuslausekkeiden lausekkeen 11 ja sovellettavien välimiesmenettelysääntöjen sovellettavia vaatimuksia.
    • Sovellettava laki. Mallisopimuslausekkeiden 17 lauseketta sovellettaessa sovellettava laki on laki, joka on määritelty Sopimuksen sovellettavaa lakia koskevassa osassa. Jos sopimukseen ei sovelleta EU:n jäsenvaltion lainsäädäntöä, EU:n mallisopimuslausekkeisiin sovelletaan Saksan lakia.
    • Foorumin ja lainkäyttövallan valinta. Sopimuslausekkeiden 18 kohdan mukaiset tuomioistuimet ovat ne, jotka on nimetty Sopimuksen tapahtumapaikka-osiossa. Jos sopimuksessa ei nimetä EU:n jäsenvaltion tuomioistuinta, jolla olisi yksinomainen toimivalta ratkaista sopimuksesta johtuvia tai siihen liittyviä riitoja tai oikeusjuttuja, osapuolet sopivat, että Saksan tuomioistuimilla on yksinomainen toimivalta ratkaista kaikki EU:n mallisopimuslausekkeista johtuvat riidat.
    • Valtuutetut yksiköt Yhdistyneessä kuningaskunnassa. Jos rajoitetut siirrot ovat peräisin Yhdistyneessä kuningaskunnassa sijaitsevilta valtuutetuilta yksiköiltä, sovelletaan seuraavaa:

      • Yhdistyneen kuningaskunnan lisäys. Yhdistyneen kuningaskunnan lisäystä käytetään, ellei Siemens kirjallisesti toisin sovi.
      • Yhdistyneen kuningaskunnan lisäyksen osa 1. Yhdistyneen kuningaskunnan lisäyksen 1 osaa sovelletaan seuraavasti:

        1. Taulukko 1: Osapuolten tiedot ja keskeiset yhteystiedot löytyvät Liite I tähän DPA: hen.
        2. Taulukko 2: Hyväksyttyjen EU SCC-sopimusten versio (sellaisena kuin se on määritelty Yhdistyneen kuningaskunnan lisäyksessä), johon Yhdistyneen kuningaskunnan lisäys on liitetty, ovat EU:n mallisopimuslausekkeet, joissa on yllä valitut moduulit ja lausekkeet 9 jakson a alakohta tästä DPA: sta. Mitään maahantuojalta saatuja henkilötietoja ei yhdistetä Viejän keräämiin henkilötietoihin.
        3. Taulukko 3: Yhdistyneen kuningaskunnan lisäyksen taulukossa 3 vaaditut lisätiedot sisältyvät Liitteet I—III tähän DPA: hen.
        4. Taulukko 4Kumpikaan osapuoli ei voi irtisanoa Yhdistyneen kuningaskunnan lisäystä, kun hyväksytty lisäys (sellaisena kuin se on määritelty Yhdistyneen kuningaskunnan lisäyksessä) muuttuu.
    • Valtuutetut yksiköt muissa maissa. Jos mallisopimuslausekkeet suojaavat rajoitettuja siirtoja ETA:n ja Yhdistyneen kuningaskunnan ulkopuolella sijaitsevilta valtuutetuilta yksiköiltä (esim. Sveitsi), (1) yleiset ja erityiset viittaukset GDPR:ään tai EU:n tai jäsenvaltion lainsäädäntöön ovat samat kuin vastaavalla viittauksella Valtuutetun yksikön sijaintimaan sovellettavassa tietosuojalainsäädännössä; ja (2) viittaukset ”toimivaltaiseen valvontaviranomaiseen” tulkitaan viittauksiksi toimivaltaiseen valvontaviranomaiseen. tietosuoja auktoriteetti tällaisessa maassa. Sovellettavaa lakia, oikeuspaikan valintaa ja lainkäyttövaltaa säätelevät 9 jakson a alakohdan vii alakohta ja (viii) tämän tietosuojaviranomaisen, ellei kyseiseen valtuutettuun yksikköön sovellettavat lait toisin edellytä, jolloin vakiosopimuslausekkeisiin sovelletaan sen maan lakeja, jossa valtuutettu yksikkö sijaitsee, ja kaikki viittaukset toimivaltaisiin ”tuomioistuimiin” tulkitaan viittauksiksi kyseisen maan toimivaltaisiin tuomioistuimiin.
  • Processor Binding Corporate Rules. Seuraavaa sovelletaan, jos Transfer Safeguard perustuu Processor Binding Corporate Rules -sääntöihin: Palveluntarjoaja sitoutuu sopimuksellisesti kyseiseen alihankkijaan noudattamaan Processor Binding Corporate Rules -sääntöjä tämän tietosuojaperiaatteen nojalla käsiteltyjen henkilötietojen osalta.
  • Siirron lisäsuojatoimet. Jos siirron suojatoimenpiteet eivät perustu mallisopimuslausekkeisiin, mallisopimuslausekkeiden 14 ja 15 lausekkeita sovelletaan mutatis-mutandis kyseisen muun siirtosuojauksen mukaisiin rajoitettuihin siirtoihin, paitsi jos kyseinen siirtosuoja sisältää sisällöllisesti samat oikeudet ja velvollisuudet, jotka koskevat (i) paikallisia lakeja ja käytäntöjä, jotka vaikuttavat siirtosuojatoimien noudattamiseen, ja (ii) velvoitteita, jos viranomaiset pääsevät käsiksi mallisopimuslausekkeiden kohtiin 14 ja 15.
  • Muu. Palveluntarjoaja hyväksyy ja ymmärtää, että paikallinen sovellettava tietosuojalaki voi sisältää samankaltaisia tai ylimääräisiä siirtorajoituksia kuin tässä Jakso 9. Tällaisessa tapauksessa Palveluntarjoaja sitoutuu käyttämään kohtuullisia ponnisteluja ja tekemään hyvässä uskossa yhteistyötä Siemensin kanssa näiden vaatimusten täyttämiseksi.

10. PALVELUNTARJOAJAN APU

Palveluntarjoajan on kohtuudella avustettava Siemensiä sovellettavan tietosuojalainsäädännön noudattamisen varmistamisessa, erityisesti avustamalla Siemensiä seuraavasti:

  • (a) Käsittelyn korjaaminen, poistaminen tai rajoittaminen. Palveluntarjoajan on joko (i) annettava mahdollisuus korjata, poistaa tai rajoittaa Henkilötietojen Käsittelyä Palvelujen toimintojen kautta tai (ii) korjata, poistaa tai rajoittaa Henkilötietojen Käsittelyä Siemensin ohjeiden mukaisesti.
  • (b) Pääsy henkilötietoihin. Siltä osin kuin rekisteröityä koskevia tietoja ei ole saatavilla Palvelun kautta, Palveluntarjoaja avustaa tällaisten tietojen asettamisessa Siemensin ja/tai Valtuutettujen Yksiköiden saataville tarpeen mukaan, jotta Siemens ja Valtuutetut yksiköt voivat täyttää sovellettavien tietosuojalakien mukaiset velvoitteensa.
  • (c) Rekisteröidyn ja viranomaisen pyynnöt. Palveluntarjoajan on ilmoitettava Siemensille viipymättä seuraavista: (i) kaikista pyynnöistä tai valituksista tai lainvalvonta-, hallitus- tai sääntelyviranomaisen tai viraston esittämistä tutkintailmoituksista; ja (ii) kaikista rekisteröidyiltä suoraan saaduista pyynnöistä henkilötiedoistaan. Edellä mainittujen kohtien (i) ja (ii) osalta Toimittaja ei vastaa ilman Siemensin ohjeita. Jos palveluntarjoaja on niin ohjeistettu, se tukee Siemensiä kohtuullisesti tällaisiin pyyntöihin vastaamisessa.
  • (d) Tietojen siirrettävyys. Siemensin pyynnöstä ja sovellettavan tietosuojalain edellyttäessä palveluntarjoaja joko (i) antaa mahdollisuuden poimia Henkilötietoja tietylle rekisteröidylle Palvelun toimintojen mukaisesti tai (ii) asettaa asiaankuuluvat tiedot Siemensin ja/tai vastaavan Valtuutetun Yksikön saataville kussakin tapauksessa jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.
  • (e) Tietosuojan vaikutusten arvioinnit. Siemensin pyynnöstä Palveluntarjoajan on annettava kaikki tiedot ja kohtuullinen tuki tietosuojaan sovellettavien tietosuojalakien mukaisten vaikutustenarviointien suorittamiseksi.

11. TIETOJENKÄSITTELYSUHTEEN PÄÄTTYMINEN

Tietojenkäsittelysuhteen päättyessä, ellei Siemens toisin määrätä tai tässä mainita, Palveluntarjoaja palauttaa Siemensille kaikki Henkilötiedot, jotka Palveluntarjoaja on antanut Palveluntarjoajan saataville tai jotka Palveluntarjoaja on hankkinut tai tuottanut sopimuksessa sovittujen Palvelujen yhteydessä, ja poistaa tai tuhota peruuttamattomasti jäljellä olevat tiedot. Palveluntarjoajan on pyynnöstä kirjallisesti vahvistettava poisto tai tuhoaminen.

12. ILMOITUSVELVOLLISUUDET

  • (a) Palveluntarjoajan on ilmoitettava Siemensille välittömästi, mutta joka tapauksessa 48 tunnin kuluessa, jos palveluntarjoaja havaitsee tai epäilee perustellusti tietoturvaloukkausta.
  • (b) Siemensille tehdyssä ilmoituksessa palveluntarjoajan on annettava Siemensille seuraavat tiedot: (i) tiedot yhteyspisteestä, josta (tai keneltä) voidaan saada lisätietoja, (ii) kuvaus tietoturvaloukkauksen luonteesta (mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ja henkilötietueiden nimet, luokat ja likimääräinen lukumäärä), (iii) todennäköiset seuraukset ja toimenpiteet, jotka on toteutettu tai ehdotettu rikkomuksen torjumiseksi, mukaan lukien tarvittaessa toimenpiteet sen mahdolliset haittavaikutukset. Jos ja siltä osin kuin kaikkia tietoja ei ole mahdollista toimittaa samanaikaisesti, alkuperäisessä ilmoituksessa on oltava silloin saatavilla olevat tiedot, ja lisätietoja on toimitettava myöhemmin, kun ne tulevat saataville, ilman aiheetonta viivytystä.
  • (c) Kaikki tämän mukaiset ilmoitukset Jakso 12 lähetetään i) sopimuksessa määritettyyn yhteyspisteeseen ja ii) dataprotection@siemens.com.
  • (d) Palveluntarjoajan on toimittajan kustannuksella (i) tehtävä täysimääräistä yhteistyötä Siemensin kanssa tietoturvaloukkausten tutkinnassa; (ii) avustaa ja tehdä yhteistyötä Siemensin kanssa kaikissa oikeudellisesti vaadituissa ilmoituksissa tai luovutuksissa asianomaisille henkilöille (yksittäisellä viestinnällä, julkisella viestinnällä tiedotusvälineiden välityksellä tai vastaavilla toimenpiteillä), lainvalvontaviranomaisille, sääntelyviranomaisille ja/tai muille kolmansille osapuolille; ja (iii) ryhtyä muihin toimenpiteisiin, joita Siemens pitää tarpeellisina tällaiseen tietomurtoon ja mahdollisiin riitoihin liittyen, tiedustelu tai väite, joka koskee tietoturvaloukkausta.
  • (e) Ellei sovellettava laki tai toimivaltaisen sääntelyviranomaisen määräys muuta edellytä, Siemens tekee lopullisen ratkaisun oman harkintansa mukaan (i) edellyttääkö tietoturvaloukkaus ilmoitusta ja (ii) ilmoitustavan. Jos Palveluntarjoaja antaa tällaisia ilmoituksia tietoturvaloukkauksesta, Siemensin on hyväksyttävä tällaiset ilmoitukset etukäteen.
  • (f) Palveluntarjoajan on kustannuksellaan toteutettava asianmukaiset toimenpiteet tietoturvaloukkauksen torjumiseksi, mukaan lukien toimenpiteet sen haittavaikutusten lieventämiseksi (mukaan lukien toimenpiteet toimintaympäristön suojelemiseksi). Palveluntarjoajan on myös ryhdyttävä viipymättä toimiin, joiden tarkoituksena on estää tietoturvaloukkausten toistuminen, mukaan lukien kaikki sovellettavan tietosuojalain edellyttämät toimenpiteet.
  • (g) Palveluntarjoajan on korvattava Siemensille kaikki Palveluntarjoajan aiheuttamasta tietoturvaloukkauksesta aiheutuneet kulut ja kulut, mukaan lukien mutta ei rajoittuen kustannukset, jotka aiheutuvat luotonvalvonnasta henkilöille, joiden henkilötietoihin tietoturvaloukkaus vaikutti. Sopimuksen mukaisia Palveluntarjoajan vastuunrajoituksia ei sovelleta tältä osin.

13. DOKUMENTOINTI JA AUDITOINNIT

  • (a) Palveluntarjoajan on (i) valvottava asianmukaisin keinoin, että se noudattaa tietosuojavelvoitteitaan tämän tietosuojalain ja sovellettavan tietosuojalain nojalla; (ii) laatia niihin liittyviä säännöllisiä (vähintään vuosittaisia) ja satunnaisia raportteja (kukin a”Raportti”); ja (iii) toimittaa Raportit pyynnöstä Siemensin ja valtuutettujen yksiköiden saataville. Jos palveluntarjoajan toteuttamassa valvontavandardissa ja -kehyksessä säädetään tarkastuksista, tällaiset tarkastukset suoritetaan kunkin sovellettavan valvontavandardin tai -kehyksen sääntely- tai akkreditointielimen standardien ja sääntöjen mukaisesti.
  • (b) Jos sitä vaaditaan soveltuvan tietosuojalain tai sovellettavien siirtosuojatoimien mukaisten tilintarkastusoikeuksiensa ja velvollisuuksiensa asianmukaisella tavalla tai jos toimivaltainen tietosuojaviranomainen tai muu toimivaltainen viranomainen tai virasto sitä pyytää, Palveluntarjoajan on annettava Siemensin ja valtuutettujen yksiköiden saataville - raporttien lisäksi - kaikki kohtuullisesti pyydetyt tiedot ja mahdollistettava Siemensin tai valtuutettujen yksiköiden tai muun Siemensin valtuuttaman tilintarkastajan suorittamat tarkastukset, mukaan lukien tarkastukset, ja osallistuttava niihin. Tätä tarkoitusta varten Siemensillä, Valtuutetuilla yksiköillä tai muulla Siemensin tai Valtuutettujen yksiköiden valtuuttamalla tilintarkastajalla on myös oikeus suorittaa paikan päällä tarkastuksia säännöllisinä aukioloaikoina häiritsemättä Palveluntarjoajan liiketoimintaa ja kohtuullisen ennakkoilmoituksen jälkeen.

14. EVÄSTEIDEN KÄYTTÖ

Jos Palvelu käyttää evästeitä tai vastaavia tekniikoita, sovelletaan seuraavaa: Palveluntarjoaja, ellei Siemens nimenomaisesti sovi toisin tähän liittyen Jakso 14, tallentaa tietoja (esim. kirjoittamalla evästeen) tai pääset käsiksi Palvelun käyttäjän päätelaitteisiin jo tallennettuihin tietoihin (esim. evästeen kautta) yksinomaan viestinnän siirtämiseksi sähköisen viestintäverkon kautta tai ehdottoman välttämättömänä, jotta Palveluntarjoaja voi tarjota Palvelujen ydintoiminnot.

15. SEKALAINEN

Palveluntarjoaja ymmärtää ja hyväksyy, että tämän tietosuojavastaavan vaatimukset ovat olennainen osa Sopimusta ja että minkä tahansa näiden vaatimusten olennaista rikkomista pidetään Palveluntarjoajan olennaisena sopimusrikkomuksena, mikä oikeuttaa Siemens olennaisiin rikkomuksiin liittyviin oikeussuojakeinoihin, jotka sisältyvät Sopimukseen.

16. SIEMENSIN TIETOJA KOSKEVAT LISÄVAATIMUKSET

Jos ja siltä osin kuin Palveluntarjoaja käyttää Henkilötietoja, jotka on saatu Siemens-konsernin yhtiöltä, joka on sijoittautunut Yhdysvaltoihin (”Siemensin yhdysvaltalainen yritys”) tai rekisteröidyn, joka asuu Yhdysvalloissa, Palveluntarjoaja: (i) noudattaa edellä mainitun lisäksi Yhdysvaltain liittovaltion, osavaltion ja paikallisen lainsäädännön mukaisia henkilötietoja koskevia lakeja, joita sovelletaan Palveluntarjoajaan, kyseisiin Henkilötietoihin ja tällaisten Henkilötietojen omistajiin tai rekisterinpitäjiin; jos edellä mainittua sovelletaan, tässä käytettyyn termiin ”sovellettava tietosuojalaki” sisältää edellä mainitut lait; (ii) paitsi jos tässä nimenomaisesti määrätään tai Sopimusta ei saa myydä, jakaa, vuokrata, julkaista, paljastaa, levittää tai asettaa saataville Henkilötiedot kolmansille osapuolille; eikä yhdistä Henkilötietoja muihin tietoihin; (iii) ilmoittaa Siemensille, jos Palveluntarjoaja päättää, että Palveluntarjoaja ei enää pysty täyttämään tämän sopimuksen mukaisia velvoitteitaan; (iv) varmistaa, että jokaiseen Henkilötietoja käsittelevään henkilöön sovelletaan henkilötietoja koskeva salassapitovelvollisuus; (v) häntä pidetään ja toimii ”palveluntarjoajana” sovellettavan tietosuojalain (mukaan lukien Kalifornian kuluttajansuojalain) nojalla sen täytäntöönpanoasetuksiin ja niihin mahdollisesti tehtyihin muutoksiin); ja vii) vakuuttaa täten ymmärtävänsä tässä esitetyt rajoitukset ja noudattaa niitä.

Tietosuojasopimuksen liite I (ja tarvittaessa mallisopimuslausekkeet)

A.LUETTELO OSAPUOLISTA

Palvelujen vastaanottaja/tietojen viejä:

Nimi:

Täytäntöönpanolomakkeessa määritelty Siemens-yksikkö

Osoite:

Täytäntöönpanolomakkeen mukaisesti

Yhteyshenkilön nimi, asema ja yhteystiedot

Siemensin tietosuojavastaavan toimisto

Werner-von-Siemens-Straße 1, 80333 München, Saksa

Sähköposti: datapotection@siemens.com

Siirrettyjen tai käsiteltyjen tietojen kannalta merkitykselliset toimet

Kumppani tarjoaa asiakkaille menestyspalveluja ja/tai ylläpitoa ja tukea Kumppanin valtuutuslomakkeessa ilmoitetulla tavalla Sopimuksen mukaisesti. Näitä palveluja suorittaessaan Partnerilla voi olla myös pääsy Siemensin loppuasiakkaiden järjestelmiin ja verkkoihin, eikä pääsyä henkilötietoihin voida sulkea pois.

Rooli (ohjain/prosessori)

Siemens toimii Controlerina toimittajan Siemensille tarjoamien käsittelytoimien osalta ja käsittelijänä valtuutettujen yksiköiden ohjeiden mukaisesti Palveluntarjoajan valtuutettujen yksiköiden suorittamien käsittelytoimien osalta.

Palveluntarjoaja/tietojen tuoja:

Nimi:

Suorituslomakkeessa määritetty palveluntarjoajan entiteetti

Osoite:

Täytäntöönpanolomakkeen mukaisesti

Yhteyshenkilön nimi, asema ja yhteystiedot

Yhteistyökumppanin valtuutuslomakkeen mukaisesti

Siirrettyjen tai käsiteltyjen tietojen kannalta merkitykselliset toimet

Katso yllä oleva taulukko

Rooli (ohjain/prosessori)

Toimittaja toimii Henkilötietoja Käsittelijänä Siemensin ja tapauksen mukaan Valtuutettujen Yksiköiden puolesta.

B) SIIRTO- JA KÄSITTELYTOIMIEN KUVAUS

Rekisteröityjen ryhmät, joiden henkilötietoja siirretään/käsitellään:

☒ Työntekijät ja henkilöstö (mukaan lukien hakijat, säännölliset, väliaikaiset, osa-aikaiset, harjoittelijat, urakoitsijat ja edustajat)

☒ Yhteyshenkilöt liikekumppaneissa, toimittajissa, myyjissä ja muissa yhteistyökumppaneissa

☒ Asiakas (t) ja/tai heidän työntekijänsä ja henkilöstönsä (mukaan lukien hakijat, säännölliset, väliaikaiset, osa-aikaiset, harjoittelijat, urakoitsijat ja edustajat)

☒ Siemensin ohjelmistotuotteiden/palveluiden käyttäjät

☐ Muu, luettele:

Tämä koskee myös rekisteröityjä, joiden henkilötiedot sisältyvät sovellukseen tai tietojärjestelmään, joka kuuluu tarjottujen Palvelujen piiriin.

Siirrettyjen tai käsiteltyjen henkilötietojen luokat

☒ Yhteystiedot (kuten nimi, osoite, puhelin- tai faksinumero, sähköpostiosoite jne.)

☒ Organisaatioorganisaatio (kuten työpaikka, osasto jne.)

☒ Sijaintitiedot (kuten GPS jne.)

☐ Hallituksen ja henkilökohtaiset tunnisteet (kuten sosiaaliturvatunnus, ajokortin numero, sosiaalivakuutusnumero jne.)

☐ Taloudelliset tiedot (kuten tulot, lainatiedostot, liiketoimet, luottotiedot, osto- ja kulutustottumukset, maksukyvyttömyystila jne.)

☐ Työllisyystiedot (kuten rekrytointitiedot ja pätevyys, korvaus- ja palkkatiedot, työntekijän tunnistetiedot, työntekijän asema, läsnäolotiedot, työhistoriatiedot jne.)

☒ Käyttäjätilitiedot (kuten käyttäjänimi/tunnus ja salasana jne.)

☒ Tiedot, jotka liittyvät rekisteröidyn tietoteknisten resurssien käyttöön (kuten IP-osoite, kirjautumistiedot, tunnistetiedot jne.)

☐ Rahoitustilitiedot (kuten pankki-/luottokorttitiedot, tilinumerot, luottokorttinumerot jne.)

☐ Muu; luettele:

Mahdolliset muut henkilötiedot, jotka sisältyvät toimitettujen palvelujen piiriin kuuluvaan sovellukseen tai tietotekniikkajärjestelmään.

Erityiset henkilötietoryhmät, joihin pääsee käsiksi tai joita käsitellään

☐ Tiedot rodusta tai etnisestä alkuperästä

☐ Tietoa poliittisista mielipiteistä

☐ Tietoja uskonnollisista tai filosofisista vakaumuksista

☐ Tietoa ammattiliittojen jäsenyydestä

☐ Tietoja sukupuolielämästä tai seksuaalisesta suuntautumisesta

☐ Biometriset tiedot

☐ Geneettiset tiedot

☐ Terveystiedot (kuten henkiset tai fyysiset vammat, perheen sairaushistoria, henkilökohtainen sairaushistoria, potilastiedot, reseptit jne.)

☐ Muu; luettele:

Tällaisiin arkaluonteisiin henkilötietoihin sovellettavat rajoitukset tai suojatoimet on kuvattu Liite II tähän DPA: hen

Siirron taajuus (käyttö/käsittely)

☐ Palveluntarjoaja säilyttää henkilötietoja Siemensin ja tapauksen mukaan valtuutettujen yksiköiden puolesta

☒ Palveluntarjoaja käyttää henkilötietoja etäyhteyden kautta palvelujen tarjoamisen aikana

☒ kertaluonteisesti

☒ jatkuvasti

☐ Palveluntarjoaja käsittelee muutoin henkilötietoja palvelujen tarjoamisen yhteydessä

☐ kertaluonteisesti

☐ jatkuvasti

Käsittelyn luonne

☐ Kokoelma

☒ Tallennus

☒ Organisaatio

☒ Rakentaminen

☐ Varastointi

☒ Sopeutuminen tai muutos

☐ Nouto

☒ Kuuleminen

☒ Käyttö

☐ Ilmoitus toimittamalla

☐ Levittäminen

☐ Muussa tapauksessa asettaminen saataville

☐ Kohdistus tai yhdistelmä

☐ Rajoitus

☐ Tietojen poistaminen tai tuhoaminen

☒ Etäkäyttö

☐ Muu:

Siirrettyjen tai käsiteltyjen tietojen kannalta merkitykselliset tarkoitus/toimet

☒ Palveluntarjoaja tarjoaa huolto- ja tukipalvelut ja heillä voi olla pääsy henkilötietoihin, mukaan lukien etäkäyttö.

☐ Palveluntarjoaja tarjoaa asiantuntijapalvelut suorittamalla sovelluksen/järjestelmään tai verkkoon liittyviä palveluita, kuten asennuksia, konfigurointia tai tietojen siirtoa tai muita niihin liittyviä IT-palveluita ja joilla voi olla pääsy henkilötietoihin, mukaan lukien etäkäyttö.

☐ Palveluntarjoaja tarjoaa hallinnoidut palvelut, mukaan lukien datakeskuksen ja infrastruktuurin hallinta, varmuuskopioinnin ja palautuksen hallinta ja pääsy henkilötietoihin, mukaan lukien etäkäyttö.

☐ Palveluntarjoaja tarjoaa XaaS (Software-, Platform- tai Infrastructure-as-a-Service) tarjoamalla isännöinti-, käyttö-, hallinta- ja ylläpito- ja tukipalveluita.

☒ Muu: Palveluntarjoaja tarjoaa asiakkaille menestyspalveluja ja voi käyttää henkilötietoja, mukaan lukien etäkäyttö.

Kesto

☐ Henkilötietoja säilytetään sopimuksen voimassaoloajan.

☐ Henkilötietoja säilytetään seuraavien ajanjaksojen ajan:

☒ Muu: Henkilötietoja säilytetään Tilauksen voimassaoloajan, ellei toisin määrätä.

Alikäsittelijöille suoritettavien siirtojen osalta on ilmoitettava myös käsittelyn kohde, luonne ja kesto

Käsittelyn kohde, luonne ja kesto on määritelty alikäsittelijäkohtaisesti Liite III tähän DPA: hen.

C.TOIMIVALTAINEN VALVONTAVIRANOMAINEN

Jos Siemens on sijoittautunut EU:n jäsenvaltioon, toimivaltaisena valvontaviranomaisena toimii valvontaviranomainen, joka vastaa siitä, että Siemens noudattaa tietosuoja-asetusta tiedonsiirron osalta. Siemens Aktiengesellschaft, Saksa, valvontaviranomainen on

Bayerisches Landesamt for Datenschutzaufsicht (BayLDA)

Promenade 18

91522 Ansbach

Saksaan

Jos Siemens ei ole sijoittautunut johonkin EU:n jäsenvaltioon, mutta se kuuluu tietosuoja-asetuksen 3 artiklan 2 kohdan mukaisesti alueelliseen soveltamisalaan, toimivaltaisena valvontaviranomaisena toimii sen jäsenvaltion valvontaviranomainen, johon tietosuoja-asetuksen 27 artiklan 1 kohdassa tarkoitettu edustaja on sijoittautunut;

Bayerisches Landesamt for Datenschutzaufsicht (BayLDA)

Promenade 18

91522 Ansbach

Saksaan

Tietosuojasopimuksen liite II (ja tarvittaessa mallisopimuslausekkeet)

Tekniset ja organisatoriset toimenpiteet (mukaan lukien tekniset ja organisatoriset toimenpiteet tietojen turvallisuuden varmistamiseksi)

Seuraavat toimenpiteet koskevat vain Palveluntarjoajaa siltä osin kuin niiden taustalla olevat tietojärjestelmät, verkot ja sovellukset ovat Palveluntarjoajan vastuulla ja/tai ovat Palveluntarjoajan hallussa tai valvonnassa. Kuvaus palveluntarjoajan ja sen alihankkijoiden toteuttamista teknisistä ja organisatorisista turvatoimenpiteistä:

#

Toimenpiteet

SfEra

Säännön tunnus

Fyysinen ja ympäristöllinen Security

Palveluntarjoaja toteuttaa asianmukaisia toimenpiteitä estääkseen luvattomia henkilöitä pääsemästä tietojenkäsittelylaitteisiin (nimittäin tietokanta- ja sovelluspalvelimiin ja niihin liittyviin laitteisiin). Tämä toteutetaan seuraavilla tavoilla:

turva-alueiden perustaminen;

kulkureittien suojaaminen ja rajoittaminen;

hajautettujen tietojenkäsittelylaitteiden ja henkilökohtaisten tietokoneiden turvaaminen

työntekijöiden ja kolmansien osapuolten käyttöoikeuksien vahvistaminen, mukaan lukien vastaavat asiakirjat;

pääsykortteja koskevat määräykset;

pääsykorttien rajoitukset;

kaikki pääsy datakeskukseen, jossa Henkilötietoja ylläpidetään, kirjataan, seurataan ja seurataan;

palvelinkeskus, jossa Henkilötietoja säilytetään, on suojattu rajoitetuilla käyttöoikeuksien valvonnalla ja muilla asianmukaisilla turvatoimilla; ja

Tukilaitteiden huolto ja tarkastus IT-alueilla ja tietokeskuksissa saa suorittaa vain valtuutettu henkilöstö.

11.1.1-02

Kulunvalvonta (IT-järjestelmät ja/tai IT-sovellukset)

Palveluntarjoaja toteuttaa roolien ja vastuiden käsitteen.

06.1.1-01

Palveluntarjoaja toteuttaa valtuutus- ja todennuskehyksen, joka sisältää muun muassa seuraavat elementit:

toteutettu roolipohjainen kulunvalvonta;

prosessi toteutettujen tilien luomiseksi, muokkaamiseksi ja poistamiseksi;

pääsy tietojärjestelmiin ja sovelluksiin on suojattu todennusmekanismeilla;

käytetään asianmukaisia todentamismenetelmiä tietojärjestelmän tai sovelluksen ominaisuuksien ja teknisten vaihtoehtojen perusteella;

tietojärjestelmiin ja sovelluksiin pääsyn on edellytettävä vähintään kaksivaiheista todennusta etuoikeutettujen tilien osalta;

kaikki pääsy henkilötietoihin kirjataan, seurataan ja seurataan;

tietojärjestelmien ja -sovellusten saapuvien verkkoyhteyksien (mukaan lukien palomuurit saapuvien verkkoyhteyksien sallimiseksi tai estämiseksi) toteutetut valtuutus- ja kirjaamistoimenpiteet;

tietojärjestelmien, sovellusten ja verkkopalvelujen etuoikeutetut käyttöoikeudet myönnetään vain henkilöille, jotka tarvitsevat sitä tehtäviensä suorittamiseen (vähäisimmän etuoikeuden periaate);

tietojärjestelmien ja sovellusten etuoikeutetut käyttöoikeudet dokumentoidaan ja pidetään ajan tasalla

tietojärjestelmien ja sovellusten käyttöoikeuksia tarkistetaan ja päivitetään säännöllisesti;

toteutettu salasanakäytäntö, mukaan lukien vaatimukset, jotka koskevat salasanan monimutkaisuutta, vähimmäispituutta ja voimassaolon päättymistä riittävän ajan kuluttua, äskettäin käytettyjen salasanojen uudelleenkäyttöä;

IT-järjestelmät ja sovellukset valvovat teknisesti salasanakäytäntöä;

työntekijöiden ja ulkopuolisen henkilöstön käyttöoikeudet tietojärjestelmiin ja sovelluksiin poistetaan välittömästi työsuhteen tai sopimuksen päättymisen jälkeen; ja

turvallisten huippuluokan todennusvarmenteiden käyttö varmistetaan.

09.1.1-02

09.1.1-03

09.2.3-01

09.4.2-02

IT-järjestelmät ja sovellukset lukittuvat automaattisesti tai lopettavat istunnon kohtuullisen määritetyn joutokäyntiajan ylittymisen jälkeen.

11.2.9—03

11.2.9—04

Palveluntarjoaja rajoittaa pilviresurssien etuoikeutetun pääsyn yksittäisiin tai tiettyihin IP-osoitealueisiin.

ST002-0008

Etuoikeutettu pääsy pilviresursseihin tapahtuu bastionisännän kautta.

ST002-0009

Palveluntarjoaja ylläpitää sisäänkirjautumismenettelyjä IT-järjestelmissä suojaten epäilyttävää kirjautumista (esim. brute-force- ja salasanojen arvaushyökkäyksiä).

09.4.2-02

Saatavuuden hallinta

Palveluntarjoaja suojaa järjestelmiä ja sovelluksia haittaohjelmilta toteuttamalla asianmukaisia ja huippuluokan haittaohjelmien torjuntaratkaisuja.

12.2.1-01

Palveluntarjoaja määrittelee, dokumentoi ja toteuttaa IT-järjestelmien varmuuskopiointikonseptin, joka sisältää seuraavat tekniset ja organisatoriset elementit:

varmuuskopioiden tallennusväline on suojattu luvattomalta käytöltä ja ympäristöuhilta (esim. lämpö, kosteus, tulipalo);

määritellyt varmuuskopiointivälit; ja

varmuuskopioiden tietojen palauttamista testataan säännöllisesti tietojärjestelmän tai sovelluksen kriittisyyden perusteella.

12.3.1-01