LumiraDx UK Ltd
LumiraDx Platform -ohjelmiston lisenssi
Voimassa tammikuusta 2020 alkaen
Tämä lisenssisopimus (yhdessä LumiraDx UK Ltd:n tietosuojakäytännön kanssa) (”lisenssi”) on laillinen sopimus, jonka osapuolina ovat organisaatio (määritelty alla) ja LumiraDx UK Ltd, joka on Englannissa ja Walesissa yritystunnuksella 09206123 rekisteröity yhtiö, jonka rekisteröity toimipaikka on osoitteessa 3 More London Riverside, London, SE1 2AQ (”LumiraDx, me tai meille”), ja tätä lisenssisopimusta sovelletaan seuraavien käyttöön organisaation toimesta:
LumiraDx lisensoi Connect Managerin organisaatiolle tämän lisenssin nojalla ja kaikkien sellaisten sääntöjen ja käytäntöjen mukaisesti, joita sovelluskauppa tai operaattori, jonka sivustolta organisaatio lataa Connect Managerin, noudattaa (”sovelluskaupan säännöt”).
TÄRKEÄ HUOMAUTUS:
Käyttämällä Instrument-laiteohjelmistoa ja/tai Connect Manageria tai valitsemalla ”Hyväksyn”-ruudun, organisaatio ja sen käyttäjät vahvistavat hyväksyvänsä tämän lisenssin ehdot. Organisaation vastuulla on varmistaa, että sen käyttäjät noudattavat tämän lisenssin ehtoja. Erityisesti mainittakoon, että tähän lisenssiin sisältyvät lausekkeessa 11 kuvatut vastuurajoitukset.
1. TULKINTA
1.1 Tässä lausekkeessa esitettyjä määritelmiä ja tulkintasääntöjä sovelletaan yleisesti ja tähän lisenssiin:
Arkipäivä: muu päivä kuin lauantai, sunnuntai tai yleinen vapaapäivä Englannissa, jolloin pankit ovat Lontoossa auki.
Luottamukselliset tiedot: kaikki tiedot, jotka jompikumpi osapuoli on nimennyt luottamukselliseksi tai joita tulisi pitää luottamuksellisina (riippumatta siitä, kuinka tietoja välitetään tai missä niitä säilytetään), mukaan lukien tiedot, jotka vahingoittaisivat tai todennäköisesti vahingoittaisivat kenen tahansa henkilön kaupallisia etuja, sekä osapuolien liikesalaisuudet, immateriaalioikeudet tai tietotaito ja kaikki tietosuojalainsäädännössä tarkoitetut henkilötiedot ja arkaluontoiset tiedot.
Connect Manager: verkko-ohjelmistokomponentti nimeltä Connect Manager (ja kaikki sen päivitykset ja lisäosat), jonka LumiraDx omistaa ja jota se lisensoi ja jota voidaan käyttää diagnostisen laitteen kanssa hallinnoidussa tilassa.
Tietosuojalainsäädäntö: yleinen tietosuoja-asetus ((EU) 2016/679) (”GDPR”) ja kaikki kansalliset täytäntöönpanolait ja asetukset sekä toissijainen lainsäädäntö, Yhdistyneen kuningaskunnan tietosuojalaki (Data Protection Act 2018), EU:n tietosuojadirektiivi 95/46/EY, Yhdistyneen kuningaskunnan tutkintavaltuuksia koskeva laki (Regulation of Investigatory Powers Act 2000), Yhdistyneen kuningaskunnan säädös Telecommunications (Lawful Business Practice) (Interception of Communications) Regulations 2000, EU:n sähköisen viestinnän tietosuojadirektiivi (2002/58/EY), sähköisen viestinnän tietosuojasta vuonna 2003 annetut määräykset (EU:n direktiivi) ja kaikki sovellettavat lait ja asetukset, jotka liittyvät henkilötietojen käsittelyyn ja tietosuojaan, mukaan lukien soveltuvin osin tietosuojaviranomaisen antamat ohjeet ja käytännesäännöt.
Rekisterinpitäjä: määritelty GDPR-asetuksessa.
Tietojen käsittelijä: määritelty GDPR-asetuksessa.
Diagnostinen laite: LumiraDx:n organisaatiolle toimittama diagnostinen laite.
Dokumentaatio: LumiraDx:n toimittama fyysinen ja sähköinen dokumentaatio, joka liittyy LumiraDx Platform -ohjelmistoon.
FOIA-laki: Tiedonvapauslaki (Freedom of Information Act 2000) ja kaikki siitä kulloinkin johdettu lainsäädäntö yhdessä kaikkien ohjeiden ja/tai käytännesääntöjen kanssa, joita tietosuojaviranomainen tai asiaankuuluva ministeriö antaa tällaiseen lainsäädäntöön liittyen.
Instrument-laiteohjelmisto: mikä tahansa diagnostiseen laitteeseen asennettu ohjelmistokomponentti (ja kaikki sen päivitykset ja lisäosat), jonka LumiraDx omistaa ja lisensoi.
Immateriaalioikeudet: patentit, hyödyllisyysmallit, oikeudet keksintöihin, tekijänoikeudet sekä näiden lähioikeudet ja niihin liittyvät oikeudet, tavara- ja palvelumerkit, toiminimet ja verkkotunnukset, ulkoasu, liikearvo sekä oikeus nostaa kanne väärinkäytöstä tai epäreilusta kilpailusta, mallioikeudet, tietokantaoikeudet ja käyttöoikeudet sekä luottamuksellisten tietojen (mukaan lukien tietotaito ja liikesalaisuudet) ja kaikkien muiden immateriaalioikeuksien suojeleminen, riippumatta siitä, onko niitä rekisteröity vai ei, ja mukaan lukien kaikki hakemukset ja oikeudet, joita voidaan hakea ja myöntää, uusia tai jatkaa, sekä oikeudet vaatia etuoikeutta, näiden kattaessa kaikki tällaiset oikeudet tai niitä vastaavat oikeudet tai suojamuodot, jotka ovat voimassa nyt tai tulevaisuudessa missä tahansa päin maailmaa.
Avoimen lähdekoodin ohjelmisto: Open Source Initiativen (http://opensource.org) tai Free Software Foundationin (http://www.fsf.org) määritelmän mukainen avoimen lähdekoodin ohjelmisto.
Organisaatio: oikeushenkilö, joka pyytää rekisterinpitäjänä toimivalta LumiraDx:ltä lisenssiä LumiraDx Platform -ohjelmiston käyttöä varten.
LumiraDx-konserni: tarkoittaa LumiraDx:ää, sen tytäryhtiöitä ja holding-yhtiötä sekä holding-yhtiön tytäryhtiöitä. Jokainen LumiraDx-konsernin yhtiö on LumiraDx-konsernin jäsen ja termiä ”LumiraDx:n konserniyhtiö” tulkitaan tämän mukaisesti.
LumiraDx Platform -ohjelmisto: Instrument-laiteohjelmisto ja Connect Manager.
Hallinnoitu tila: diagnostisen laitteen ja Instrument-laiteohjelmiston käyttö yhdessä Connect Managerin kanssa, jolloin organisaatio voi siirtää potilastietoja Connect Manageriin.
Mobiililaite: organisaation matkapuhelin tai kannettava laite.
Normaali työaika: klo 9.00−17.00 Ison-Britannian paikallista aikaa, joka arkipäivä.
Potilas/potilaat: kyseisen organisaation hoito-/lääkäripalveluita käyttävä(t) henkilö(t).
Potilastiedot: kliiniset tiedot (henkilötiedot mukaan lukien, mutta niihin kuitenkaan rajoittumatta), joita organisaatio kerää potilaiden hoidon yhteydessä ja joita organisaation käyttäjät syöttävät LumiraDx Platform -ohjelmistoon.
Henkilötiedot: määritelty GDPR-asetuksessa.
Tietopyyntö: tarkoittaa tietopyyntöä tai FOIA-lain mukaista ilmeistä pyyntöä.
Palvelut: kaikki Connect Managerin kautta käytettävissä olevat palvelut sekä sisältö, jota LumiraDx toimittaa organisaatiolle sen kautta.
Käyttäjät: kaikki henkilöt, jotka organisaatio valtuuttaa käyttämään LumiraDx Platform -ohjelmistoa, mukaan lukien työntekijät, edustajat ja itsenäiset toimeksisaajat (eli lääkärit).
1.2 Lausekkeiden, liitteiden ja kappaleiden otsikot eivät vaikuta tämän lisenssin tulkintaan.
1.3 Liitteet ovat osa tätä lisenssiä ja voimassa niin kuin ne olisivat kokonaisuudessaan esitetty tämän lisenssin tekstissä. Kaikki viittaukset tähän lisenssiin kattavat myös liitteet.
1.4 Kaikkien sanojen, jotka seuraavat termejä ”mukaan lukien”, ”sisältää”, ”erityisesti”, ”esimerkiksi” ja muita vastaavia ilmauksia, katsotaan olevan esimerkinomaisia, eivätkä ne rajoita kyseisiä termejä edeltävien sanojen, kuvausten, määritelmien, ilmausten tai termien merkityksiä.
2. ASENNUS
LumiraDx varmistaa, että jokaiseen diagnostiseen laitteeseen on valmiiksi asennettuna yksi Instrument-laiteohjelmiston kopio.
3. LISENSSIN MYÖNTÄMINEN
3.1 Edellyttäen, että organisaatio ja käyttäjät sitoutuvat noudattamaan tämän lisenssin ehtoja, LumiraDx myöntää täten organisaatiolle ja käyttäjille ei-yksinomaisen ja ei-siirrettävissä olevan oikeuden käyttää LumiraDx Platform -ohjelmistoa, palveluita ja dokumentaatiota organisaatiossaan sillä alueella, jolla niillä on valtuudet käyttää diagnostisia laitetta potilaiden hoidossa ja sinä aikana, jona organisaatio käyttää diagnostisia laitetta, ellei irtisanomista tehdä tämän lisenssin mukaisesti.
3.2 LumiraDx:llä on oikeus milloin tahansa poistaa käytöstä mikä tahansa salasana, oli se sitten organisaation valitsema tai LumiraDx:n antama, jos organisaatio tai käyttäjät eivät sen kohtuullisen arvion mukaan ole noudattaneet jotakin tämän lisenssin ehtoa.
3.3 Organisaatiolle voidaan toimittaa LumiraDx Platform -ohjelmiston päivityksiä, jotka ajoittain sisältävät myös korjaustiedostoja ja virheenkorjausratkaisuja.
3.4 Organisaatio saa
(a) antaa vain yli 18-vuotiaiden käyttäjien käyttää LumiraDx Platform -ohjelmistoa, palveluita ja dokumentaatiota
(b) käyttää LumiraDx Platform -ohjelmistoa ja palveluita vain LumiraDx:n toimittaman diagnostisen laitteen kanssa
(c) käyttää dokumentaatiota vain tukeakseen lausekkeiden 3.5(a) ja 3.5(b) mukaista LumiraDx Platform -ohjelmiston ja palveluiden käyttöä.
3.5 Ellei tässä lisenssissä nimenomaisesti toisin ilmoiteta tai ellei laki sitä salli, organisaatio ei saa
(a) kopioida LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota
(b) asettaa LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota kenenkään organisaation ulkopuolisen tahon saataville tai käyttöön
(c) vuokrata, liisata, alilisensoida, levittää, lainata, kääntää, yhdistää, mukauttaa, muunnella tai muokata LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota
(d) tehdä muutoksia LumiraDx Platform -ohjelmistoon, palveluihin tai dokumentaatioon tai mihinkään niiden osiin tai tehdä muunnelmia edellä mainituista
(e) sallia LumiraDx Platform -ohjelmiston, palveluiden tai dokumentaation tai niiden osien yhdistämistä tai sisällyttämistä muihin ohjelmiin tai dokumentaatioon ilman LumiraDx:n etukäteen antamaa kirjallista lupaa
(f) purkaa, kääntää lähdekielelle, takaisinmallintaa tai käyttää jälkiperäisteosten luomiseen LumiraDx Platform -ohjelmistoa tai palveluita tai mitään niiden osaa
(g) käyttää LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota tai mitään niiden osaa LumiraDx Platform -ohjelmiston tai palveluiden kanssa kilpailevan tuotteen kehittämiseen
(h) antaa tai muutoin asettaa LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota kokonaan tai osittain (kohde- ja lähdekoodi mukaan luettuina) ja missä tahansa muodossa kenenkään henkilön saataville, jota ei tässä lausekkeessa 3 ole määritetty, ilman LumiraDx:n etukäteen antamaa kirjallista lupaa
(i) siirtää tai myydä kolmannelle osapuolelle diagnostista laitetta, johon Instrument-laiteohjelmisto on asennettu, ilman LumiraDx:n etukäteen antamaa kirjallista lupaa (yhdessä ”lisenssirajoitukset”).
3.6 Organisaatio ei saa
(a) käyttää LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota millään laittomalla tavalla, mihinkään laittomaan tarkoitukseen tai millään tämän lisenssin vastaisella tavalla eikä toimia vilpillisellä tai haitallisella tavalla, kuten esimerkiksi hakkeroimalla tai levittämällä haittakoodia (virukset mukaan lukien) Connect Manageriin, palveluihin tai dokumentaatioon tai mihinkään käyttöjärjestelmään
(b) käyttää LumiraDx Platform -ohjelmistoa mihinkään muuhun tarkoitukseen kuin diagnostisen laitteen käytön yhteydessä otettuihin kokeisiin ammattimaisessa ympäristössä
(c) loukata LumiraDx:n tai minkään kolmannen osapuolen immateriaalioikeuksia LumiraDx Platform -ohjelmiston, palveluiden tai dokumentaation käyttöönsä liittyen (siltä osin kuin tällaista käyttöä ei sallita tässä lisenssissä)
(d) välittää LumiraDx Platform -ohjelmiston, palveluiden tai dokumentaation käyttöönsä liittyen mitään materiaalia, joka on halventavaa, loukkaavaa tai muuten sopimatonta
(e) käyttää LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota tavalla, joka voisi vahingoittaa, estää, ylikuormittaa, heikentää tai vaarantaa LumiraDx:n järjestelmiä tai turvallisuutta tai haitata muita käyttäjiä
(f) ellei lausekkeesta 12.2(d) muuta johdu, kerätä tietoja tai dataa LumiraDx Platform -ohjelmistosta, palveluista tai dokumentaatiosta (yhdessä ”sallittua käyttöä koskevat rajoitukset”).
3.7 LumiraDx noudattaa arkistointimenettelyitään Connect Managerin käsittelemien potilastietojen osalta (kuten LumiraDx:n varmuuskopiointikäytännössä kuvataan; kopio käytännöstä on saatavilla pyynnöstä). Jos potilastietoja kadotetaan, vahingoitetaan tai muutetaan vahingossa tai lainvastaisesti, tai jos potilastietoja luovutetaan tai niihin päästään luvattomasti, LumiraDx ilmoittaa asiasta organisaatiolle viipymättä saatuaan tiedon tapahtuneesta. Organisaation ainoa ja yksinomainen oikeussuojakeino on, että LumiraDx:n on kaupallisesti kohtuullisin keinoin palautettava potilastiedot uusimmista varmuuskopioista. LumiraDx ei ole vastuussa mistään potilastietojen menettämisestä, tuhoamisesta, muuttamisesta tai luovuttamisesta, joka johtuu kolmannesta osapuolesta, paitsi kun LumiraDx on palkannut kyseisen kolmannen osapuolen käsittelijän käsittelemään potilastietoja lausekkeen 4.6 mukaisesti.
4. TIETOSUOJA
4.1 Kumpikin osapuoli täyttää kaikki tietosuojalainsäädäntöön perustuvat velvoitteensa, joita syntyy tähän lisenssiin liittyen. Tämä lauseke 4.1 täydentää tietosuojalainsäädäntöön perustuvia osapuolten velvollisuuksia; se ei vapauta osapuolia näistä velvollisuuksista, eikä poista tai korvaa niitä.
4.2 Organisaatio on yksin vastuussa potilastiedoista. Jollei tästä lausekkeesta 4 muuta johdu, LumiraDx:llä ei ole oikeuksia potilastietoihin.
4.3 LumiraDx käsittelee organisaation työntekijöihin, edustajiin ja itsenäisiin toimeksisaajiin liittyviä henkilötietoja noudattaen omaa tietosuojakäytäntöään, joka kulloinkin on nähtävissä sen verkkosivustolla. Tämän lausekkeen 4.3 tarkoituksia varten LumiraDx on kyseisten henkilötietojen rekisterinpitäjä.
4.4 Osapuolet ymmärtävät, että tietosuojalainsäädännön tarkoituksia varten organisaatio toimii rekisterinpitäjänä ja LumiraDx toimii henkilötietojen käsittelijänä niiden potilastietojen ja muiden asiaan liittyvien henkilötietojen osalta, joita organisaatio toimittaa LumiraDx:lle lausekkeiden 4.5 ja 4.6 mukaista käsittelyä varten. Liitteessä 1 määritetään LumiraDx:n toimesta tapahtuvan käsittelyn laajuus, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät (määritelty tietosuojalainsäädännössä).
4.5 Lausekkeessa 4.1 mainitusta yleisestä velvoitteesta huolimatta on potilastietoja käsiteltäessä toimittava seuraavasti:
(a) Organisaation on varmistettava, että asianmukaisille kolmansille osapuolille, kuten potilaille, on kerrottu tällaisesta käytöstä, käsittelystä (mukaan lukien liitteessä 1 määritelty käsittely) ja siirrosta ja että he ovat antaneet siihen suostumuksensa tietosuojalainsäädännön edellyttämällä tavalla.
(b) LumiraDx:n on noudatettava seuraavia vaatimuksia:
(i) LumiraDx saa käsitellä kyseisiä potilastietoja vain noudattaen organisaation kirjallisia ohjeita, jotka on määritetty liitteessä 1, elleivät LumiraDx:ää koskevat Euroopan unionin jäsenvaltion lait tai Euroopan unionin lait edellytä, että LumiraDx käsittelee potilastietoja (”sovellettavat lait”). Jos LumiraDx käsittelee potilastietoja sovellettavien lakien nojalla, LumiraDx:n on viipymättä ilmoitettava käsittelystä organisaatiolle ennen sovellettavien lakien edellyttämää käsittelyä, elleivät kyseiset sovellettavat lait kiellä LumiraDx:ää ilmoittamasta asiasta organisaatiolle.
(ii) LumiraDx:n on varmistettava, että se on toteuttanut asianmukaiset tekniset, sopimusperusteiset ja organisatoriset toimenpiteet potilastietojen suojelemiseksi luvattomalta tai lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Ottaen huomioon teknisen kehityksen ja toimenpiteiden toteuttamisesta aiheutuvat kulut toimenpiteiden on oltava asianmukaisia suojeltavien tietojen luonteeseen sekä siihen vahinkoon nähden, jota tietojen luvaton tai lainvastainen käsittely tai vahingossa tapahtuva häviäminen, tuhoutuminen tai vahingoittuminen saattaisi aiheuttaa.
(iii) LumiraDx:n on varmistettava, että kaikilla potilastietoihin pääsevillä ja/tai niitä käsittelevillä työntekijöillä on velvollisuus pitää potilastiedot luottamuksellisina.
(iv) LumiraDx:n on organisaation kustannuksella avustettava organisaatiota rekisteröityjen pyyntöihin vastaamisessa ja sen varmistamisessa, että se täyttää tietosuojalainsäädäntöön perustuvat velvollisuutensa turvallisuuden, tietoturvaloukkauksista ilmoittamisen, vaikutusten arviointien sekä valvonta- ja sääntelyviranomaisten konsultoimisen osalta.
(v) LumiraDx:n on viipymättä ilmoitettava organisaatiolle, jos sen tietoon tulee potilastietojen tietoturvaloukkaus.
(vi) LumiraDx:n on varmistettava, ettei se tietoisesti tai huolimattomuuttaan tee tai laiminlyö mitään, minkä vuoksi organisaatio rikkoisi tietosuojalainsäädäntöön perustuvia organisaation velvoitteita.
(vii) LumiraDx:n on ylläpidettävä täydellisiä ja täsmällisiä kirjauksia ja tietoja potilastietojen käsittelytoimistaan voidakseen osoittaa noudattavansa tätä lauseketta 4.
(viii) LumiraDx ei saa siirtää mitään potilastietoja ETA-alueen ulkopuolelle käyttämättä asianmukaisia suojatoimia. Organisaatio hyväksyy, että organisaation työntekijöihin, edustajiin tai itsenäisiin toimeksisaajiin liittyviä henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle edellyttäen, että siirrossa käytetään asianmukaisia suojatoimia ja että LumiraDx varmistaa riittävän tietosuojan tason kaikkien siirrettyjen potilastietojen osalta.
4.6 Organisaatio suostuu siihen, että LumiraDx nimittää kolmannen osapuolen tietovarastojen tarjoajia (joihin kuuluvat myös mitkä tahansa LumiraDx-konsernin jäsenet), kolmannen osapuolen toimittajia, kolmannen osapuolen laitetoimittajia (mukaan lukien diagnostisten laitteiden toimittajat) ja kolmannen osapuolen palveluntarjoajia (jotka voivat tarjota puhelintukipalveluita tai teknisiä tukipalveluita) kolmannen osapuolen henkilötietojen käsittelijöiksi tämän lisenssin nojalla. LumiraDx vahvistaa, että se on solminut tai (tapauksen mukaan) solmii kolmannen osapuolen käsittelijän kanssa kirjallisen sopimuksen, joka olennaisilta osiltaan vastaa kyseisen kolmannen osapuolen tavanomaisia liiketoimintaehtoja. Organisaation ja LumiraDx:n keskinäisen suhteen osalta LumiraDx on täysimääräisesti vastuussa tämän lausekkeen 4.6 nojalla nimittämänsä kolmannen osapuolen käsittelijän kaikista toimista tai laiminlyönneistä.
4.7 Organisaatio hyväksyy, että LumiraDx voi luoda organisaation LumiraDx Platform -ohjelmistoon syöttämistä potilastiedoista anonymisoituja tietoja sillä edellytyksellä, että terveystietojen julkaisemista koskevaa anonymisointistandardia ISB1523 noudatetaan.
5. EHDOLLISUUSLAUSEKE
5.1 Seuraavaa ehtoa noudatetaan, jos Yhdistynyt kuningaskunta eroaa Euroopan unionista ilman erosopimusta (tai erosopimuksen mukainen siirtymäaika päättyy ennen kuin Euroopan komissio on tehnyt Yhdistyneen kuningaskunnan osalta henkilötietojen riittävää suojaa koskevaa päätöstä):
(a) Osapuolet sopivat täten Euroopan komission päätöksen 2010/87/EU liitteen 2 mukaisten mallisopimuslausekkeiden (Standard Contractual Clauses, SCCs) käytöstä ja sopivat, että jos muita asianmukaisia suojatoimia tai poikkeuksia ei sovelleta, tämän lisenssin (ja GDPR-asetuksen V luvun) piiriin kuuluvia potilastietoja siirretään kyseisestä päivästä lähtien mallisopimuslausekkeiden mukaisesti, ilman mahdollisia valinnaisia lausekkeita. Osapuolet sopivat pyrkivänsä parhaansa mukaan täyttämään mallisopimuslausekkeiden liitteet mahdollisimman nopeasti ja kaikissa tapauksissa 30 päivän kuluessa, jotta lausekkeet saadaan täysimääräisesti voimaan. Jos tämän lisenssin ja mallisopimuslausekkeiden välillä on ristiriita, mallisopimuslausekkeiden ehtoja noudatetaan.
6. TIEDONVAPAUS
6.1 LumiraDx ymmärtää, että organisaatio saattaa kuulua FOIA-lain vaatimusten piiriin ja avustaa organisaatiota ja tekee sen kanssa yhteistyötä (organisaation kustannuksella), jotta organisaatio voisi noudattaa näitä tietojen luovuttamista koskevia vaatimuksia.
6.2 LumiraDx:n on noudatettava seuraavia vaatimuksia:
(a) LumiraDx:n on toimitettava kaikki tietopyynnöt organisaatiolle mahdollisimman pian tietopyynnön vastaanottamisen jälkeen.
(b) LumiraDx:n on toimitettava mahdollisimman nopeasti (tai organisaation ilmoittamassa pidemmässä ajassa) ja siinä muodossa, jota organisaatio edellyttää, organisaatiolle kopiot kaikista sen hallussa tai hallinnassa olevista tiedoista, jotka koskevat tietopyynnön esittänyttä organisaatiota.
(c) LumiraDx:n on annettava kaikki tarpeellinen apu, jota organisaatio voi kohtuudella pyytää, jotta organisaatio voisi vastata tietopyyntöön FOIA-lain kohdassa 10 määritetyssä ajassa.
6.3 LumiraDx ei saa missään tilanteessa vastata tietopyyntöön suoraan.
7. ORGANISAATION VELVOLLISUUDET
7.1 Organisaatiolla on seuraavat velvollisuudet:
(a) Organisaation on hankittava mobiililaitteiden omistajien lupa, jos se lataa Connect Managerin mobiililaitteille tai käyttää sitä mobiililaitteissa, joita organisaatio hallinnoi, mutta ei omista.
(b) Organisaation on kohdeltava salasanoja ja kaikkia LumiraDx:n turvallisuusmenettelyiden osana annettuja muita tietoja luottamuksellisina. Organisaatio ei saa luovuttaa niitä millekään kolmannelle osapuolelle.
(c) Organisaation on varmistettava, että kaikki sen LumiraDx Platform -ohjelmiston käyttäjät noudattavat tätä lisenssiä ja käyttävät sitä ainoastaan lausekkeessa 3 kuvattuihin tarkoituksiin.
(d) Organisaation on varmistettava, että kaikki sen LumiraDx Platform -ohjelmiston käyttäjät noudattavat dokumentaatiossa (käyttöohje mukaan lukien) annettuja LumiraDx Platform -ohjelmiston käyttöön liittyviä menettelytapoja ja ohjeita.
(e) Tehtävä kaikissa tilanteissa yhteistyötä LumiraDx:n kanssa ja annettava LumiraDx:n kohtuudella pyytämät tiedot.
(f) Organisaation on valvottava ja hallittava LumiraDx Platform -ohjelmiston käyttöä tämän lisenssin ehtojen mukaisesti ja varmistettava, että LumiraDx Platform -ohjelmistoa käyttävät ainoastaan asianmukaisen pätevyyden ja koulutuksen omaavat terveydenhuollon ammattilaiset.
(g) Organisaation on ilmoitettava LumiraDx:lle välittömästi kaikista haitallisista tapahtumista, joihin LumiraDx Platform -ohjelmisto on saattanut myötävaikuttaa. Organisaatio sitoutuu lisäksi toimittamaan kirjalliset tiedot tapahtumista ja tekemään yhteistyötä LumiraDx:n kanssa sen tutkiessa tapahtumaa. Organisaatio ymmärtää ja hyväksyy, että kaikki haitalliseen tapahtumaan liittyvä viestintä katsotaan luottamukselliseksi tiedoksi, joka kuuluu lausekkeessa 9 määritettyjen luottamuksellisuusvelvollisuuksien piiriin.
(h) Organisaation on ilmoitettava kaikista LumiraDx Platform -ohjelmistossa ilmenevistä toimintahäiriöistä, ongelmista ja vioista LumiraDx:lle. Organisaatio ymmärtää ja hyväksyy, että kaikki LumiraDx Platform -ohjelmiston toimintahäiriöitä, ongelmia ja vikoja koskeva viestintä katsotaan luottamukselliseksi tiedoksi, joka kuuluu lausekkeessa 8 määritettyjen luottamuksellisuusvelvollisuuksien piiriin.
(i) Organisaatio ei salli minkään kolmannen osapuolen antaa teknistä tukea LumiraDx Platform -ohjelmistoon, palveluihin tai dokumentaatioon liittyen.
8. OMISTUSOIKEUDET
8.1 Organisaatio ymmärtää, että LumiraDx ja/tai sen lisenssinantajat (jotka ovat LumiraDx Platform -ohjelmistossa käytettyjen kolmannen osapuolen immateriaalioikeuksien omistajia) omistavat kaikki LumiraDx Platform -ohjelmiston, palveluiden ja dokumentaation immateriaalioikeudet. Tämä lisenssi ei anna organisaatiolle mitään oikeuksia patentteihin, tekijänoikeuksiin, tietokantaoikeuksiin, liikesalaisuuksiin, kauppanimiin tai tavaramerkkeihin (riippumatta siitä, ovatko ne rekisteröityjä vai eivät) tai mitään muita oikeuksia tai lisenssejä, jotka liittyvät LumiraDx Platform -ohjelmistoon, palveluihin tai edellä mainittuihin liittyvään dokumentaatioon, lukuun ottamatta oikeutta käyttää niitä tämän lisenssin mukaisesti.
8.2 Organisaatio ymmärtää, että sillä ei ole mitään oikeutta päästä LumiraDx Platform -ohjelmistoon lähdekoodimuodossa.
9. LUOTTAMUKSELLISUUS
9.1 LumiraDx ymmärtää, että potilastiedot ovat organisaation luottamuksellisia tietoja.
9.2 Jollei lausekkeesta 9.3 muuta johdu, osapuolet pitävät toisen osapuolen luottamukselliset tiedot luottamuksellisina ja pyrkivät kaikin kohtuullisin keinoin estämään työntekijöitään, edustajiaan ja itsenäisiä toimeksisaajiaan luovuttamasta luottamuksellisia tietoja kenellekään.
9.3 Lauseke 9.2 ei koske tietojen luovuttamista, silloin kun
(a) sovellettava laki sitä vaatii edellyttäen, että lauseketta 5 sovelletaan kaikkiin FOIA-lain edellyttämiin tietojen luovutuksiin
(b) sitä kohtuudella edellyttävät sellaiset henkilöt, jotka osapuoli on palkannut suorittamaan tähän lisenssiin perustuvat kyseisen osapuolen velvollisuudet
(c) osapuoli voi osoittaa, että kyseiset tiedot ovat jo yleisesti saatavilla ja julkisia muusta syystä kuin lausekkeen 9.2 rikkomuksesta johtuen
(d) tiedot ovat jo laillisesti vastaanottavan osapuolen hallussa, ennen kuin luovuttava osapuoli ne luovuttaa, eikä luovuttavalla osapuolella ole kyseisten tietojen osalta mitään salassapitovelvollisuutta
(e) toinen osapuoli on antanut etukäteen kirjallisen suostumuksensa siihen, että osapuoli luovuttaa tiedot.
10. KOULUTUS
10.1 Dokumentaatioon kuuluu käyttöopas, joka sisältää peruskoulutustiedot organisaatiolle ja käyttäjille. Organisaation on varmistettava, että kaikki käyttäjät ovat lukeneet ja ymmärtäneet dokumentaatiossa annetut peruskoulutustiedot ennen kuin he käyttävät LumiraDx Platform -ohjelmistoa.
10.2 Organisaation on täytettävä ja velvoitettava kaikki käyttäjät täyttämään kaikki LumiraDx Platform -ohjelmistossa kulloinkin määritellyt lisäkoulutusvaatimukset.
11. VASTUUNRAJOITUS
11.1 Organisaatio hyväksyy kokonaisvastuun LumiraDx Platform -ohjelmiston ja palveluiden käytön avulla hankituista tuloksista sekä tällaisen käytön pohjalta tehdyistä johtopäätöksistä. LumiraDx ei ole vastuussa mistään vahingoista, jotka johtuvat organisaation antamissa tiedoissa olevista virheistä tai puutteista tai toimista, joihin LumiraDx on ryhtynyt organisaation määräyksestä. Organisaatio ymmärtää, että LumiraDx Platform -ohjelmistoa ei ole suunniteltu organisaation yksilöllisten tarpeiden pohjalta, ja sen vuoksi organisaation vastuulla on varmistaa, että dokumentaatiossa kuvatut LumiraDx Platform -ohjelmiston ominaisuudet ja toiminnot vastaavat organisaation vaatimuksia.
11.2 LumiraDx Platform -ohjelmisto ja palvelut on tarkoitettu vain diagnostisiksi apuvälineiksi, eivätkä ne korvaa lääkäreiden, farmaseuttien tai muiden terveydenhuollon ammattilaisten asiantuntemusta ja arviointikykyä. Kaikki tiedot annetaan sillä edellytyksellä, että potilaiden hoidosta vastaavat terveydenhuollon ammattilaiset ovat täysimääräisesti ja yksinomaisesti vastuussa kaikkien hoitojen määräämisestä ja antamisesta kaikille potilaille ja erityisesti siitä, onko LumiraDx Platform -ohjelmiston kautta saatujen tietojen käyttäminen turvallista, sopivaa tai tehokasta tietyn potilaan kohdalla tietyssä tilanteessa.
11.3 LumiraDx ei ole korvausvastuussa
(a) mistään tulojen menetyksestä, voittojen tai sopimusten menetyksestä, liiketoiminnan menetyksestä, liiketoiminnan keskeytymisestä, rahan tai ennakoitujen säästöjen menetyksestä, mahdollisuuksien, liikearvon tai maineen menetyksestä tai heikkenemisestä ja/tai vastaavista menetyksistä, eikä datan tai tietojen menetyksestä tai vahingoittumisesta tai puhtaasti taloudellisesta menetyksestä, eikä mistään erityisistä, välillisistä tai seuraamuksellisista menetyksistä, kuluista, vahingoista tai maksuista, jotka jollakin tavalla johtuvat tästä lisenssistä, oli kyseessä sitten sopimuksen ulkopuoliseen korvausvastuuseen (mukaan lukien huolimattomuus tai lakisääteisen velvoitteen rikkomus), sopimukseen, harhaanjohtamiseen, vahingonkorvaukseen tai muuhun perustuva vastuu
(b) mistään menetyksestä, joka johtuu siitä, että organisaatio siirtää tietoja tai dataa (potilastiedot mukaan lukien) Connect Managerin näyttötoimintojen avulla.
11.4 Muiden kuin lausekkeessa 11.3 määritettyjen menetysten kohdalla (joiden osalta LumiraDx ei ole korvausvelvollinen) sopimukseen, sopimuksen ulkopuoliseen korvausvastuuseen (mukaan lukien huolimattomuus tai lakisääteisen velvollisuuden rikkominen), harhaanjohtamiseen, vahingonkorvaukseen tai muuhun perustuva LumiraDx:n kokonaisvastuu, joka johtuu tämän lisenssin täytäntöönpanosta tai suunnitellusta täytäntöönpanosta, rajoittuu maksujen yhteissummaan (ilmoitettu ostotilauksessa), joka LumiraDx:lle on maksettu diagnostisista laitteista korvausvaatimusta edeltäneiden 12 kuukauden aikana.
11.5 Mikään tässä lisenssissä mainittu ei sulje pois korvausvastuuta huolimattomuudesta johtuvasta kuolemantapauksesta tai henkilövahingosta, petoksesta tai tahallisesta harhaanjohtamisesta.
11.6 Asiakas hyväksyy, että toimittajan toimittamat avoimen lähdekoodin ohjelmistot toimitetaan ”sellaisenaan” ja että niihin nimenomaisesti sovelletaan lausekkeen 11.7 vastuuvapauslauseketta. Avoimen lähdekoodin ohjelmiston lisenssiehdot saattavat syrjäyttää jotkin tämän lisenssin ehdot.
11.7 Tässä lisenssissä määritetään LumiraDx:n vastuut kokonaisuudessaan LumiraDx Platform -ohjelmiston, palveluiden, toteutuspalveluiden ja dokumentaation osalta. Ellei tässä lisenssissä nimenomaisesti toisin ilmoiteta, mitkään ilmaistut tai oletetut edellytykset, takuut, vakuutukset tai muut ehdot eivät sido LumiraDx:ää. Kaikki LumiraDx Platform -ohjelmiston, palveluiden tai dokumentaation toimittamista koskevat lainsäädäntöön, tapaoikeuteen tai muuhun perustuvat edellytykset, takuut, vakuutukset tai muut ehdot, jotka muutoin saatettaisiin sisällyttää tähän lisenssiin, poissuljetaan lain sallimissa rajoissa.
12. VOIMASSAOLOAIKA JA PÄÄTTYMINEN
12.1 LumiraDx voi välittömin seurauksin ja ilman, että se vaikuttaa LumiraDx:n muihin oikeuksiin tai oikeussuojakeinoihin, irtisanoa tämän lisenssin toimittamalla organisaatiolle kirjallisen ilmoituksen, jos
(a) organisaatio rikkoo tai sen käyttäjät rikkovat olennaisesti jotakin tämän lisenssin ehtoa, eikä rikkomus ole korjattavissa tai (jos rikkomus on korjattavissa) sitä ei korjata 14 päivän kuluessa siitä, kun organisaatio on saanut kirjallisen kehotuksen tehdä niin
(b) organisaatio ei noudata tai sen käyttäjät eivät noudata lisenssirajoituksia tai sallittua käyttöä koskevia rajoituksia
(c) organisaatio keskeyttää tai uhkaa keskeyttää velkojensa maksun tai ei pysty maksamaan velkojaan niiden erääntyessä tai ilmoittaa maksukyvyttömyydestään tai katsotaan maksukyvyttömäksi vuoden 1986 maksukyvyttömyyslain (Insolvency Act) kohdan 123 mukaisesti
(d) hakemus jätetään, ilmoitus annetaan, ratkaisu tehdään tai määräys annetaan organisaation purkamiseksi, paitsi jos organisaatio on maksukykyinen ja purkamisen ainoana tarkoituksena on fuusio yhden tai useamman muun yhtiön kanssa tai organisaation uudelleenjärjestely
(e) tuomioistuimeen jätetään hakemus tai tuomioistuin antaa määräyksen selvitysmiehen nimittämiseksi organisaatiolle tai jos ilmoitus aikomuksesta määrätä selvitysmies tehdään tai jos selvitysmies määrätään organisaatiolle
(f) henkilö saa oikeuden määrätä organisaation omaisuudelle pesänhoitajan tai organisaation omaisuudelle määrätään pesänhoitaja
(g) organisaatio keskeyttää tai lopettaa tai uhkaa keskeyttää tai lopettaa kaiken liiketoimintansa tai merkittävän osan liiketoiminnastaan
(h) organisaatio sallii jonkin organisaation ulkopuolisen kolmannen osapuolen käyttää diagnostista laitetta, johon Instrument-laiteohjelmisto on asennettuna tai jota Connect Managerin käytön vuoksi käytetään hallinnoidussa tilassa tai organisaatio siirtää tällaisen laitteen kolmannelle osapuolelle ilman LumiraDx:n etukäteen antamaa kirjallista lupaa.
12.2 Jos tämän lisenssin voimassaolo päättyy mistä tahansa syystä
(a) kaikki tämän lisenssin nojalla organisaatiolle myönnetyt oikeudet päättyvät
(b) organisaation on välittömästi lopetettava kaikki tämän lisenssin nojalla tehdyt toimet (mukaan lukien LumiraDx Platform -ohjelmiston, palveluiden ja dokumentaation käyttö) sekä poistettava Connect Manager kaikista mobiililaitteista ja tuhottava välittömästi kaikki hallinnassaan olevat kopiot
(c) organisaation on palautettava LumiraDx:lle kuuluva dokumentaatio ja lopetettava sen (ja kaikkien sen kopioiden) käyttö
(d) organisaation on poistettava tai poimittava (käyttämällä Connect Managerin vientitoimintoa) kaikki Connect Manageriin tallennetut potilastiedot 10 päivän kuluessa tämän lisenssin voimassaolon päättymispäivästä; LumiraDx voi organisaation pyynnöstä tarjota kohtuullista apua Connect Manageriin tallennettujen potilastietojen poimimiseksi, ja tällaisesta avusta aiheutuneista kuluista peritään organisaatiolta LumiraDx:n kanssa sovittu hinta
(e) organisaation on poistettava kaikki potilastiedot tai muut henkilötiedot Instrument-laiteohjelmistosta 10 päivän kuluessa tämän lisenssin voimassaolon päättymispäivästä.
12.3 Kun tämä lisenssi irtisanotaan tai sen voimassaolo päättyy, seuraavat lausekkeet jäävät voimaan: lauseke 1 (Tulkinta), lauseke 9 (Luottamuksellisuus), lauseke 11 (Vastuunrajoitus) ja tämä lauseke 12 (Päättyminen).
13. MUUTOKSET
Mikään tähän lisenssiin tehty muutos ei ole voimassa, ellei se ole kirjallinen ja kummankin osapuolen (tai niiden valtuutettujen edustajien) allekirjoittama.
14. OIKEUDESTA LUOPUMINEN
Jos osapuoli ei käytä jotain tähän lisenssiin tai lakiin perustuvaa oikeuttaan tai oikeussuojakeinoaan tai tällaisen käyttäminen viivästyy, osapuolen ei katsota luopuvan kyseisestä tai mistään muusta oikeudesta tai oikeussuojakeinosta, eikä se estä tai rajoita kyseisen tai minkään muun oikeuden tai oikeussuojakeinon käyttämistä tulevaisuudessa. Tällaisen oikeuden tai oikeussuojakeinon yksittäinen tai osittainen käyttäminen ei estä tai rajoita kyseisen tai minkään muun oikeuden tai oikeussuojakeinon käyttämistä tulevaisuudessa.
15. EROTETTAVUUS
15.1 Jos tuomioistuin tai toimivaltainen hallintoelin katsoo jonkin tämän lisenssin ehdon (tai ehdon osan) olevan pätemätön, toimeenpanokelvoton tai laiton, muut ehdot jäävät voimaan.
15.2 Jos pätemätön, toimeenpanokelvoton tai laiton ehto olisi pätevä, toimeenpanokelpoinen tai laillinen, jos jokin se osa poistettaisiin, ehtoa sovelletaan sellaisin muutoksin, jotka ovat tarpeen osapuolten kaupallisen tarkoituksen panemiseksi täytäntöön.
16. SIIRTÄMINEN
16.1 Organisaatio ei saa ilman LumiraDx:n etukäteen antamaa kirjallista lupaa luovuttaa, siirtää, antaa toimeksi tai teettää alihankintana mitään tähän lisenssiin perustuvia oikeuksiaan tai velvollisuuksiaan tai käydä niillä muulla tavoin kauppaa.
16.2 LumiraDx voi milloin tahansa luovuttaa, siirtää, toimeksiantaa tai teettää alihankintana mitä tahansa tähän lisenssiin perustuvia oikeuksiaan tai velvollisuuksiaan tai käydä niillä muulla tavoin kauppaa.
17. KOLMANSIEN OSAPUOLIEN OIKEUDET
Vuoden 1999 Contracts (Rights of Third Parties) Act -lain mukaisesti tämä lisenssi ei anna mitään oikeuksia kenellekään henkilölle tai millekään taholle (lukuun ottamatta tämän lisenssin osapuolia ja soveltuessa heidän seuraajiaan ja siirronsaajiaan sekä LumiraDx:n konserniyhtiöitä).
18. ILMOITUKSET
18.1 Kaikkien tämän lisenssin nojalla annettujen ilmoitusten on oltava kirjallisia, ja ne on toimitettava henkilökohtaisesti tai maksettuna ensimmäisen luokan postina tai kirjattuna postilähetyksenä toiselle osapuolelle sen pääasialliseen toimipaikkaan tai muuhun sellaiseen osoitteeseen, jonka kyseinen osapuoli on ilmoittanut tätä tarkoitusta varten.
18.2 Maksettuna ensimmäisen luokan postina tai kirjattuna postilähetyksenä lähetetty oikein osoitettu ilmoitus katsotaan vastaanotetuksi sinä päivänä, jolloin se olisi toimitettu postin normaalin toimitusajan puitteissa.
19. SOVELLETTAVA LAINSÄÄDÄNTÖ JA LAINKÄYTTÖALUE
19.1 Tämä lisenssi ja kaikki erimielisyydet tai vaateet, joita ilmenee lisenssistä tai sen sisällöstä tai muodosta johtuen tai niihin liittyen (mukaan lukien sopimussuhteen ulkopuoliset erimielisyydet tai vaateet), kuuluvat Englannin ja Walesin lainsäädännön piiriin, jonka mukaisesti lisenssiä myös tulkitaan.
19.2 Kumpikin osapuoli hyväksyy peruuttamattomasti Englannin ja Walesin tuomioistuinten yksinomaisen toimivallan ratkaista mikä tahansa erimielisyys tai vaade, joka johtuu tästä lisenssistä tai liittyy siihen tai sen sisältöön tai muotoon (mukaan lukien sopimussuhteen ulkopuoliset erimielisyydet tai vaateet).
LIITE 1
Käsittely, henkilötiedot ja rekisteröidyt
1. LumiraDx:n toimesta tapahtuva käsittely
1.1 Käsittelyn luonne ja tarkoitus
LumiraDx ja mikä tahansa LumiraDx-konsernin jäsen voi käsitellä henkilötietoja seuraavia tarkoituksia varten:
1.2 Käsittelyn kohde ja kesto
Käsittelyn kohde ja kesto määritellään lisenssissä.
2. Henkilötietojen tyypit
3. Rekisteröityjen ryhmät
LIITE 2
Mallisopimuslausekkeet henkilötietojen siirtämiseksi Euroopan unionista henkilötietojen käsittelijöille kolmansiin maihin (siirrot rekisterinpitäjältä henkilötietojen käsittelijälle)
Direktiivin 95/46/EY 26 artiklan 2 kohdassa tarkoitetut lausekkeet, joita käytetään henkilötietojen siirrossa sellaisiin kolmansiin maihin sijoittautuneille käsittelijöille, joissa ei taata tietosuojan riittävää tasoa
Tietojen viejänä toimivan organisaation nimi: ...............................................................
Osoite: ...............................................................
Puhelin: ...............................................................
Faksi: ...............................................................
Sähköposti: ...............................................................
Muut organisaation yksilöintitiedot: ..............................................................
(”tietojen viejä”)
Tietojen tuojana toimivan organisaation nimi: ...............................................................
Osoite: ...............................................................
Puhelin: ...............................................................
Faksi: ...............................................................
Sähköposti: ...............................................................
Muut organisaation yksilöintitiedot: ..............................................................
(”tietojen tuoja”)
OVAT SOPINEET seuraavista sopimuslausekkeista (”lausekkeet”) riittävien takeiden antamiseksi yksilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta LISÄYKSESSÄ A mainittujen henkilötietojen siirrossa tietojen viejältä tietojen tuojalle.
1. Määritelmät
Lausekkeissa tarkoitetaan:
(a) henkilötiedoilla, erityisillä tietoryhmillä, käsittelyllä, rekisterinpitäjällä, käsittelijällä, rekisteröidyllä ja valvontaviranomaisella samaa kuin yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (1),
(b) tietojen viejällä rekisterinpitäjää, joka siirtää henkilötietoja,
(c) tietojen tuojalla käsittelijää, joka hyväksyy vastaanottavansa tietojen viejältä henkilötietoja, jotka on siirron jälkeen tarkoitus käsitellä tietojen viejän puolesta tämän antamien ohjeiden mukaisesti ja lausekkeiden mukaisia edellytyksiä noudattaen ja jota ei koske direktiivin 95/46/EY 25 artiklan 1 kohdassa tarkoitettu riittävän tietosuojan takaava kolmannen maan järjestelmä,
(d) alihankkijana toimivalla käsittelijällä tietojen tuojan tai jonkin muun alihankkijana toimivan käsittelijän toimeksiannosta toimivaa käsittelijää, joka hyväksyy vastaanottavansa tietojen tuojalta tai joltakin muulta tietojen tuojan alihankkijana toimivalta käsittelijältä henkilötietoja, jotka on siirron jälkeen tarkoitettu ainoastaan käsiteltäviksi tietojen viejän puolesta tämän antamien ohjeiden, lausekkeiden mukaisten edellytysten ja kirjallisen alihankintasopimuksen ehtojen mukaisesti,
(e) sovellettavalla tietosuojalainsäädännöllä lainsäädäntöä, jolla suojataan yksilöiden perusoikeudet ja -vapaudet ja erityisesti näiden yksilöiden oikeus yksityisyyteen henkilötietojen käsittelyssä ja jota sovelletaan rekisterinpitäjään siinä jäsenvaltioissa, johon tietojen viejä on sijoittautunut,
(f) teknisillä ja organisatorisilla turvatoimilla toimenpiteitä, joiden tavoitteena on suojata henkilötietoja tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä erityisesti, kun tietoja siirretään verkossa käsittelyn yhteydessä, sekä muulta henkilötietojen laittomalta käsittelytavalta.
2. Siirron yksityiskohdat
Siirron yksityiskohdat, erityisesti tarvittaessa henkilötietojen erityisryhmät, esitetään LISÄYKSESSÄ A, joka on näiden lausekkeiden erottamaton osa.
3. Kolmatta osapuolta suojaava edunsaajalauseke
3.1 Rekisteröity voi panna täytäntöön tämän lausekkeen 3, lausekkeen 4 kohdat b–i, lausekkeen 5 kohdat a–e sekä kohdat g–j, lausekkeen 6 kohdat 1 ja 2, lausekkeen 7, lausekkeen 8 kohdan 2 ja lausekkeet 9–12 tietojen viejää vastaan edunsaajana olevan kolmannen osapuolen ominaisuudessa.
3.2 Rekisteröity voi panna täytäntöön tämän lausekkeen 3, lausekkeen 5 kohdat a–e ja g, lausekkeet 6 ja 7, lausekkeen 8 kohdan 2 ja lausekkeet 9–12 tietojen tuojaa vastaan tapauksissa, joissa tietojen viejä on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, minkä tuloksena se ottaa vastaan tietojen viejän oikeudet ja velvoitteet, jolloin rekisteröity voi panna lausekkeet täytäntöön tällaista seuraajaa vastaan.
3.3 Rekisteröity voi panna täytäntöön tämän lausekkeen 3, lausekkeen 5 kohdat a–e ja g, lausekkeet 6 ja 7, lausekkeen 8 kohdan 2 ja lausekkeet 9–12 alihankkijana toimivaa käsittelijää vastaan tapauksissa, joissa sekä tietojen viejä että tietojen tuoja on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta taikka menettänyt maksukykynsä, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, minkä tuloksena se ottaa vastaan tietojen viejän oikeudet ja velvoitteet, jolloin rekisteröity voi panna lausekkeet täytäntöön tällaista seuraajaa vastaan. Tällainen alihankkijana toimivan käsittelijän yksityisoikeudellinen vastuu koskee ainoastaan sen lausekkeiden mukaista omaa käsittelytoimintaa.
3.4 Sopimuspuolet eivät vastusta sitä, että rekisteröityä edustaa yhteenliittymä tai muu elin, jos rekisteröity niin nimenomaan haluaa ja jos se on kansallisen lainsäädännön mukaan sallittua.
4. Tietojen viejän velvollisuudet
Tietojen viejä hyväksyy ja takaa, että:
(a) henkilötietojen käsittely, mukaan luettuna itse siirto, on suoritettu ja suoritetaan edelleen sovellettavan tietosuojalainsäädännön asiaankuuluvien säännösten mukaisesti (ja siitä on tarvittaessa ilmoitettu sen jäsenvaltion toimivaltaisille viranomaisille, johon tietojen viejä on sijoittautunut), ja ettei siirrolla rikota kyseisen valtion asiaankuuluvia säännöksiä,
(b) tietojen viejä on antanut ohjeet ja antaa koko henkilötietojen käsittelypalvelun kestoajan ohjeita tietojen tuojalle siitä, että tämä käsittelee siirrettyjä henkilötietoja ainoastaan tietojen viejän puolesta ja sovellettavan tietosuojalainsäädännön ja lausekkeiden mukaisesti,
(c) tietojen tuoja antaa riittävät takeet tämän sopimuksen LISÄYKSEN B mukaisista teknisistä ja organisatorisista turvatoimista,
(d) sen jälkeen kun sovellettavan tietosuojalainsäädännön mukaiset vaatimukset on arvioitu, kyseisten turvatoimien avulla henkilötiedot voidaan asianmukaisesti suojata tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä erityisesti, kun tietoja siirretään verkossa käsittelyn yhteydessä, ja muulta henkilötietojen laittomalta käsittelytavalta, ja että nämä toimet takaavat käsittelyyn liittyviä riskejä ja suojattavien tietojen luonnetta vastaavan turvallisuuden tason, kun otetaan huomioon nykyinen tekninen taso ja toimenpiteiden toteuttamisen kustannukset,
(e) tietojen viejä varmistaa kyseisten turvatoimien noudattamisen,
(f) jos siirto koskee erityisiä tietoryhmiä, rekisteröidyille on ilmoitettu tai ilmoitetaan ennen siirtoa tai mahdollisimman pian sen jälkeen, että niiden tietoja voidaan siirtää kolmanteen maahan, jossa ei taata direktiivissä 95/46/EY tarkoitettua tietosuojan riittävää tasoa,
(g) tietojen viejä toimittaa tietojen tuojalta tai alihankkijana toimivalta käsittelijältä lausekkeen 5 kohdan b ja lausekkeen 8 kohdan 3 mukaisesti saadun tiedon tietosuojaviranomaisille, kun se päättää jatkaa siirtoa tai lopettaa lykkäyksen,
(h) tietojen viejä saattaa rekisteröityjen saataville pyynnöstä jäljennöksen lausekkeista, paitsi LISÄYKSESTÄ B, ja yleisen kuvauksen turvatoimista sekä jäljennöksen mahdollisesta alihankintana suoritettavia käsittelypalveluita koskevasta sopimuksesta, joka on tehtävä lausekkeiden mukaisesti, elleivät lausekkeet tai sopimus sisällä kaupallisia tietoja, jolloin tietojen viejä voi poistaa tällaiset kaupalliset tiedot,
(i) jos käsittely suoritetaan alihankintana, alihankkijana toimiva käsittelijä suorittaa käsittelytoiminnan lausekkeen 11 mukaisesti ja suojaa rekisteröidyn henkilötiedot ja oikeudet vähintään yhtä hyvin kuin tietojen tuoja näiden lausekkeiden mukaisesti, ja
(j) tietojen viejä varmistaa lausekkeen 4 kohdan a–i noudattamisen.
5. Tietojen tuojan velvollisuudet
Tietojen tuoja hyväksyy ja takaa, että
(a) tietojen tuoja käsittelee henkilötietoja ainoastaan tietojen viejän puolesta tämän antamien ohjeiden ja lausekkeiden mukaisesti, ja jos se ei voi noudattaa näitä ohjeita ja sääntöjä mistä tahansa syystä, se ilmoittaa tästä viipymättä tietojen viejälle, jolloin tietojen viejällä on oikeus lykätä tietojen siirtoa ja/tai irtisanoa sopimus,
(b) tietojen tuojalla ei ole mitään syytä olettaa, että siihen sovellettava lainsäädäntö estäisi tietojen viejältä saatujen ohjeiden noudattamisen ja tietojen tuojalle sopimuksen mukaan kuuluvien velvoitteiden täyttämisen, ja jos kyseistä lainsäädäntöä muutetaan ja muutoksella on todennäköisesti merkittävä haitallinen vaikutus lausekkeilla annettaviin takeisiin ja lausekkeiden mukaisiin velvoitteisiin, tietojen tuoja antaa muutoksen tiedoksi tietojen viejälle viipymättä saatuaan itse tiedon siitä, jolloin tietojen viejällä on oikeus lykätä tietojen siirtoa ja/tai irtisanoa sopimus,
(c) tietojen tuoja on pannut täytäntöön LISÄYKSESSÄ B määritellyt tekniset ja organisatoriset turvatoimet ennen siirrettyjen henkilötietojen käsittelyä,
(d) tietojen tuoja ilmoittaa viipymättä tietojen viejälle seuraavista seikoista:
(i) säännösten täytäntöönpanosta vastaavan viranomaisen oikeudellisesti sitovasta pyynnöstä luovuttaa henkilötietoja, ellei sitä muutoin kielletä esimerkiksi rikoslainsäädännön mukaisella kiellolla lainvalvontaan liittyvien tutkimusten luottamuksellisuuden säilyttämiseksi,
(ii) kaikista tahattomista tai luvattomista pääsyistä tietoihin, ja
(iii) rekisteröidyiltä suoraan saaduista tiedusteluista niihin vastaamatta, ellei siihen muutoin anneta lupaa,
(e) tietojen tuoja hoitaa tietojen viejältä saadut siirrettävien henkilötietojen käsittelyyn liittyvät tiedustelut viipymättä ja asianmukaisesti ja noudattaa siirrettyjen tietojen käsittelyssä valvontaviranomaisen neuvoja,
(f) tietojen tuoja antaa tietojen viejän vaatimuksesta tietojenkäsittelyjärjestelmänsä tarkastettavaksi lausekkeiden piiriin kuuluvien käsittelytoimien osalta. Tarkastuksen suorittaa tietojen viejä tai vaaditun ammattipätevyyden omaavien ja salassapitovelvollisuuden alaisten riippumattomien jäsenten muodostama tarkastuselin, jonka tietojen viejä valitsee mahdollisesti valvontaviranomaisen kanssa,
(g) tietojen tuoja saattaa rekisteröityjen saataville pyynnöstä jäljennöksen lausekkeista sekä jäljennöksen mahdollisesta alihankintana suoritettavia käsittelypalveluita koskevasta sopimuksesta, elleivät lausekkeet tai sopimus sisällä kaupallisia tietoja, jolloin tietojen tuoja voi poistaa tällaiset kaupalliset tiedot, paitsi LISÄYKSESTÄ B, joka korvataan yleisellä kuvauksella turvatoimista siinä tapauksessa, että rekisteröity ei pysty saamaan jäljennöstä tietojen viejältä,
(h) tietojen tuoja on ilmoittanut alihankintana suoritettavasta käsittelystä etukäteen tietojen viejälle ja saanut tältä ennakkoon kirjallisen suostumuksen,
(i) alihankkijana toimiva käsittelijä suorittaa käsittelypalvelut lausekkeen 11 mukaisesti,
(j) tietojen tuoja lähettää viipymättä jäljennöksen kaikista lausekkeiden mukaisesti tekemistään alihankintana suoritettavaa käsittelyä koskevista sopimuksista tietojen viejälle.
6. Vastuu
6.1 Sopimuspuolet sopivat, että rekisteröidyllä, jolle on koitunut vahinkoa jonkin sopimuspuolen tai alihankkijana toimivan käsittelijän rikottua lausekkeessa 3 tai lausekkeessa 11 tarkoitettuja velvoitteita, on oikeus saada tietojen viejältä korvaus aiheutuneista vahingoista.
6.2 Jos rekisteröity ei voi nostaa kohdan 1 mukaista vahingonkorvauskannetta tietojen viejää vastaan, kun tietojen tuoja tai sen alihankkijana toimiva käsittelijä ei ole täyttänyt lausekkeessa 3 tai 11 tarkoitettuja velvoitteitaan, sen vuoksi, että tietojen viejä on tosiasiallisesti lakkautettu, lakannut oikeudellisesti olemasta tai todettu maksukyvyttömäksi, tietojen tuoja hyväksyy, että rekisteröity voi nostaa kanteen tietojen tuojaa vastaan samaan tapaan kuin tietojen viejää vastaan, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, jolloin rekisteröity voi panna oikeutensa täytäntöön tällaista seuraajaa vastaan.
Tietojen tuoja ei voi vetäytyä vastuustaan vetoamalla siihen, että alihankkijana toimiva käsittelijä ei ole täyttänyt velvoitteitaan.
6.3 Jos rekisteröity ei voi nostaa kohdassa 1 ja 2 tarkoitettua kannetta tietojen viejää tai tietojen tuojaa vastaan, kun alihankkijana toimiva käsittelijä ei ole täyttänyt lausekkeessa 3 tai 11 tarkoitettuja velvoitteitaan, sen vuoksi, että sekä tietojen viejä että tietojen tuoja on tosiasiallisesti lakkautettu, lakannut oikeudellisesti olemasta tai todettu maksukyvyttömiksi, alihankkijana toimiva käsittelijä hyväksyy, että rekisteröity voi nostaa sen lausekkeiden mukaista omaa käsittelytoimintaa koskevan kanteen sitä vastaan samaan tapaan kuin tietojen viejää tai tietojen tuojaa vastaan, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän tai tietojen tuojan kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, jolloin rekisteröity voi panna oikeutensa täytäntöön tällaista seuraajaa vastaan. Tällainen alihankkijana toimivan käsittelijän vastuu koskee ainoastaan sen näiden lausekkeiden mukaista omaa käsittelytoimintaa.
7. Sovittelu ja toimivaltainen tuomioistuin
7.1 Jos rekisteröity vetoaa kolmannen osapuolen etua suojaavaan oikeuteen ja/tai vaatii vahingonkorvausta lausekkeiden nojalla, tietojen tuoja hyväksyy rekisteröidyn päätöksen
(a) saattaa riita käsiteltäväksi sovittelumenettelyssä, jossa on mukana riippumaton henkilö tai tarvittaessa valvontaviranomainen,
(b) saattaa riita sen jäsenvaltion tuomioistuinten ratkaistavaksi, johon tietojen viejä on sijoittautunut.
7.2 Sopimuspuolet sopivat, että rekisteröidyn tekemä valinta ei vaikuta rekisteröidyn oikeuteen hakea tilanteeseen korjausta asiasisällön tai menettelyn osalta kansallisen tai kansainvälisen yksityisoikeuden muiden säännösten mukaisesti.
8. Yhteistyö valvontaviranomaisten kanssa
8.1 Tietojen viejä suostuu tallettamaan tämän sopimuksen jäljennöksen valvontaviranomaisen huostaan, jos tämä sitä vaatii tai jos sovellettava tietosuojalainsäädäntö sisältää vaatimuksen tallettamisesta.
8.2 Sopimuspuolet sopivat, että valvontaviranomaisella on oikeus tehdä tietojen tuojaan ja kaikkiin alihankkijoina toimiviin käsittelijöihin kohdistuvia tarkastuksia samassa laajuudessa ja samoin edellytyksin kuin se voisi tehdä tietojen viejään kohdistuvia tarkastuksia sovellettavan tietosuojalainsäädännön nojalla.
8.3 Tietojen tuoja ilmoittaa viipymättä tietojen viejälle siihen tai johonkin alihankkijana toimivaan käsittelijään sovellettavasta lainsäädännöstä, joka estää tietojen tuojaa tai jotakin alihankkijana toimivaa käsittelijää koskevan, kohdan 2 mukaisen tarkastuksen suorittamisen. Tässä tapauksessa tietojen viejällä on oikeus ryhtyä lausekkeen 5 kohdassa b tarkoitettuihin toimenpiteisiin.
9. Sovellettava laki
Lausekkeisiin sovelletaan sen jäsenvaltion lakia, johon tietojen viejä on sijoittautunut.
10. Sopimuksen mukauttaminen
Sopimuspuolet sitoutuvat olemaan mukauttamatta tai muuttamatta lausekkeita. Tämä ei estä sopimuspuolia tarvittaessa lisäämästä lausekkeita yritystoimintaan liittyvistä kysymyksistä, kunhan nämä lausekkeet eivät ole ristiriidassa lausekkeiden kanssa.
11. Alihankintana suoritettava käsittely
11.1 Tietojen tuoja ei anna alihankintana suoritettavaksi mitään tietojen viejän puolesta lausekkeiden mukaisesti hoidettavia käsittelytoimintoja ilman tietojen viejän ennakkoon antamaa kirjallista suostumusta. Jos tietojen tuoja antaa näiden lausekkeiden mukaisia velvoitteitaan suoritettaviksi alihankintana tietojen viejän suostumuksella, sen on tehtävä alihankkijana toimivan käsittelijän kanssa kirjallinen sopimus, jossa tälle määrätään samat velvoitteet kuin lausekkeiden nojalla määrätään tietojen tuojalle. Jos alihankkijana toimiva käsittelijä ei täytä tällaisen kirjallisen sopimuksen mukaisia tietosuojavelvoitteitaan, tietojen tuoja on edelleen täysimääräisesti vastuussa alihankkijana toimivan käsittelijän tällaisen sopimuksen mukaisten velvoitteiden täyttämisestä suhteessa tietojen viejään.
11.2 Ennakkoon tehdyssä tietojen tuojan ja alihankkijana toimivan käsittelijän välisessä kirjallisessa sopimuksessa on myös oltava lausekkeessa 3 määrätty kolmatta osapuolta suojaava edunsaajalauseke niitä tapauksia varten, joissa rekisteröity ei voi nostaa lausekkeen 6 kohdassa 1 tarkoitettua vahingonkorvauskannetta tietojen viejää tai tietojen tuojaa vastaan, koska ne on tosiasiallisesti lakkautettu, ovat lakanneet oikeudellisesti olemasta tai ne on todettu maksukyvyttömiksi, eikä mikään seuraaja ole ottanut hoitaakseen tietojen viejän tai tietojen tuojan kaikkia oikeudellisia velvoitteita sopimuksen tai lain perusteella. Tällainen alihankkijana toimivan käsittelijän yksityisoikeudellinen vastuu koskee ainoastaan sen lausekkeiden mukaista omaa käsittelytoimintaa.
11.3 Kohdassa 1 tarkoitetun sopimuksen säännöksiin, jotka koskevat alihankintana suoritettavan käsittelyn tietosuojanäkökohtia, sovelletaan sen jäsenvaltion lakia, johon tietojen viejä on sijoittautunut.
11.4 Tietojen viejän on pidettävä luetteloa lausekkeiden nojalla tehdyistä, tietojen tuojan lausekkeen 5 kohdan j mukaisesti ilmoittamista alihankintana suoritettavaa käsittelyä koskevista sopimuksista, ja luettelo on saatettava ajan tasalle vähintään kerran vuodessa. Luettelon on oltava tietojen viejän tietosuojavalvontaviranomaisen saatavilla.
12. Tietojen käsittelypalvelujen päättymisen jälkeiset velvoitteet
12.1 Sopimuspuolet sopivat, että tietojen käsittelypalvelujen päättymisen jälkeen tietojen tuojan ja alihankkijana toimivan käsittelijän on tietojen viejän valinnan mukaan palautettava kaikki siirretyt henkilötiedot ja jäljennökset näistä tiedoista tietojen viejälle tai hävitettävä kaikki henkilötiedot ja annettava tietojen viejälle todistus tästä, jollei tietojen tuojaan sovellettavalla lainsäädännöllä estetä tietojen tuojaa palauttamasta tai hävittämästä siirrettyjä henkilötietoja kokonaan tai osittain. Siinä tapauksessa tietojen tuoja takaa varmistavansa siirrettyjen henkilötietojen luottamuksellisuuden sekä sen, ettei se enää aktiivisesti käsittele siirrettyjä henkilötietoja.
12.2 Tietojen tuoja ja alihankkijana toimiva käsittelijä takaavat, että ne antavat tietojen viejän ja/tai valvontaviranomaisen vaatimuksesta tietojenkäsittelyjärjestelmänsä tarkastettavaksi kohdassa 1 tarkoitettujen toimenpiteiden tarkastusta varten.
Tietojen viejän puolesta:
Nimi (täydellinen): ...............................................................
Asema: ...............................................................
Osoite: ...............................................................
Muut (mahdolliset) tiedot,
jotka vaaditaan sopimuksen sitovuuden vahvistamiseksi: ...............................................................
Allekirjoitus ...............................................................
(Organisaation leima)
Tietojen tuojan puolesta:
Nimi (täydellinen): ...............................................................
Asema: ...............................................................
Osoite: ...............................................................
Muut (mahdolliset) tiedot,
jotka vaaditaan sopimuksen sitovuuden vahvistamiseksi: ...............................................................
Allekirjoitus...............................................................
(Organisaation leima)
ANNEX A mallisopimuslausekkeisiin
Tämä LISÄYS A on osa mallisopimuslausekkeita, ja sopimuspuolten on täytettävä ja allekirjoitettava se.
Jäsenvaltiot voivat täydentää tai eritellä kansallisten menettelyjensä mukaisesti tietoja, jotka tulee sisällyttää tähän LISÄYKSEEN A.
Tietojen viejä |
|
Tietojen viejä (lyhyt kuvaus tiedonsiirtoon liittyvistä tehtävistä): |
.................................................... |
Tietojen tuoja |
|
Tietojen tuoja (lyhyt kuvaus tiedonsiirtoon liittyvistä tehtävistä): |
.................................................... |
Rekisteröidyt |
|
Siirrettävät henkilötiedot koskevat seuraavia rekisteröityjen ryhmiä (erittely): |
.................................................... |
Tietoryhmät |
|
Siirrettävät henkilötiedot koskevat seuraavia tietoryhmiä (erittely): |
.................................................... |
Erityiset tietoryhmät (tarvittaessa) |
|
Siirrettävät henkilötiedot koskevat seuraavia erityisiä tietoryhmiä (erittely): |
.................................................... |
Käsittelytoiminnat |
|
Siirretyille henkilötiedoille suoritetaan seuraavat peruskäsittelytoiminnat (erittely): |
.................................................... |
TIETOJEN VIEJÄ |
TIETOJEN TUOJA |
Nimi:.................................................. Valtuutetun henkilön allekirjoitus:........................... |
Nimi:.................................................. Valtuutetun henkilön allekirjoitus:........................... |
ANNEX B mallisopimuslausekkeisiin
Tämä LISÄYS B on osa mallisopimuslausekkeita, ja sopimuspuolten on täytettävä ja allekirjoitettava se.
Selvitys teknisistä ja organisatorisista turvatoimista, jotka tietojen tuoja on pannut täytäntöön lausekkeen 4 kohdan d ja lausekkeen 5 kohdan c mukaisesti (tai oheistetaan kyseinen asiakirja/lainsäädäntö):
..........................................................................................................
..........................................................................................................
..........................................................................................................
.......................................................................................