Contract
1. TARKOITUS
Tällä liitteellä (”Tietosuojaa koskevat ehdot”) Asiakas rekisterinpitäjänä ja Max Technologies Oy (myöhemmin “Toimittaja”) henkilötietojen käsittelijänä sopivat henkilötietojen käsittelystä, joka liittyy Asiakkaan Toimittajalta tilaamiin palveluihin. Jos tämän tietosuojaliitteen ja yleisten tai palvelukohtaisten ehtojen henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, sovelletaan ensisijaisesti tämän tietosuojaliitteen ehtoja.
2. HENKILÖTIEDOT JA NIIDEN KÄSITTELY
Henkilötietojen (i) käsittelyn kohde ja kesto, (ii) käsittelyn luonne ja tarkoitus sekä (iii) henkilötietojen tyyppi ja rekisteröityjen ryhmät ovat seuraavat:
Käsittelyn kohde ja kesto:
Käsittelyn kohteena ovat Asiakkaan omistamat Toimittajan järjestelmiin sisältyvät tiedot, jotka sijaitsevat Toimittajan pilvipalveluissa (Maxtech Pro -palvelu) ja käyttäjien laitteilla (Maxtech Pro -mobiilisovellus). Siltä osin, kuin Asiakkaan tiedot pitävät sisällään tietosuojalainsäädännön mukaisia henkilötietoja, Toimittajaa on pidettävä tietosuojalainsäädännön mukaisena henkilötietojen käsittelijänä. Toimittaja käsittelee Asiakkaan tietoja siihen saakka, kunnes Osapuolten välisen sopimuksen mukainen tiedon säilytysaika päättyy.
Käsittelyn luonne ja tarkoitus:
Käsittelyn tarkoituksena on Osapuolten välisen sopimuksen kohteena olevien palveluiden toimittaminen Asiakkaalle. Toimittaja voi kerätä sopimuksen kohteena olevien palveluiden käyttäjiin liittyviä lokitietoja, joita Toimittaja tarvitsee palveluiden tuottamiseen, vianselvitykseen sekä väärinkäyttötapausten selvittämiseen. Toimittaja voi käyttää henkilötietoja sisältämättömiä käyttötietoja palvelun kehittämiseen, suorituskyvyn mittaamiseen sekä tilastollisiin tarkoituksiin.
Henkilötietojen tyyppi ja rekisteröityjen ryhmät:
Rekisteröityjen ryhmät, joiden henkilötietoja Toimittaja Osapuolten välisen sopimuksen perusteella käsittelee, koostuu Asiakkaan ja asiakkaan kumppaneiden ja verkoston henkilöstöstä. Järjestelmiin on tarkoitus syöttää ja/tai tuoda kolmannen osapuolen järjestelmästä esimerkiksi seuraavia henkilötietotyyppejä riippuen käytössä olevista tuotteista:
● Henkilön nimi- ja yhteystiedot
● Työsuhteen tiedot
● Työaikatiedot
● Läsnäolotiedot
● Poissaolotiedot
● Palkkatiedot
● Henkilön sijaintitiedot (ks. Sijaintitietojen käsittely alla)
● Ajoneuvojen ja laitteiden sijaintitiedot (ks. Sijaintitietojen käsittely alla)
● Ajopäiväkirja- ja matkalaskutiedot
● Työn lisätiedot
1 (6)
● Koulutus- ja osaamistiedot
● Käyttöoikeus- ja kulkulupatiedot
Sijaintitietojen käsittely:
Paikannusta käyttävien toimintojen yhteydessä käyttäjän laitteesta voidaan kerätä sijaintitietoa seuraavasti.
Työaikakirjauksille tallennetaan sijaintitieto kirjauksen alussa ja lopussa, jos käyttäjä on sallinut sijaintitietojen käytön ja aktivoinut niiden tallentamisen mobiilisovelluksen asetuksista. Kirjauksen aikana sijaintia ei tallenneta.
Ajoneuvopaikannustoiminnoissa ajotapahtumille tallennetaan sijainti ajotapahtuman ollessa käynnissä. Sijainnin tallennus alkaa ajotapahtuman alussa, jatkuu ajotapahtuman ollessa käynnissä ja päättyy ajotapahtuman päättyessä.
Bluetooth-majakoihin perustuvassa kalustonpaikannuksessa sijaintitietoja voidaan käyttää Bluetooth-majakoiden paikantamiseen käyttäjän sallittua sijainnin taustapaikannuksen. Tämä sijaintitieto ei ole yhdistettävissä käyttäjään tai hänen laitteeseensa.
Lokitiedot:
Toimittajan keräämät lokitiedot sopimuksen kohteena olevien palveluiden käyttäjistä koostuvat seuraavista tiedoista:
● Käyttöoikeustiedot ja niihin tehdyt muutokset
● Käyttäjien tekemien henkilötietojen muutosten muutosloki
● Järjestelmän kirjautumis- ja käyttötiedot
3. YLEISTÄ
Toimittaja ja Asiakas noudattavat kulloinkin sovellettavan kansallisen ja Euroopan unionin tietosuojalainsäädännön (kuten EU:n tietosuoja-asetus EU2016/679) edellyttämää hyvää tiedonkäsittelytapaa ja tietojen suojaamista koskevia säännöksiä. Asiakas huolehtii käsittelemiensä tietojen asianmukaisesta suojaamisesta laittoman tai tapaturmaisen häviämisen tai hävittämisen varalta. Asiakas huolehtii siitä, että sen käyttämät laitteet, ohjelmistot sekä tuotantotilat on asianmukaisesti suojattu riittävillä teknisillä ja organisatorisilla toimenpiteillä ja että tietojen suojaukseen ja tietoturvaan liittyviä ennalta sovittuja menettelyjä noudatetaan.
Edellä mainitut velvollisuudet koskevat vastaavasti myös Toimittajaa, joka Osapuolten välisten sopimusten mukaisesti toimii tietosuojalainsäädännön mukaisena henkilötietojen käsittelijänä siltä osin, kuin Asiakkaan tilaamat pilvipalvelut pitävät sisällään tietosuojalainsäädännön mukaista henkilötietojen käsittelyä.
Asiakas vastaa siitä, että sillä on oikeus luovuttaa henkilötietoja Toimittajalle Osapuolten välillä solmittavien sopimusten mukaiseen tarkoitukseen. Asiakas vastaa siitä, että Toimittajalla on oikeus kerätä lokitietoja kohdassa 2 määriteltyyn tarkoitukseen.
2 (6)
Toimittajalla on oikeus käsitellä henkilötietoja ainoastaan kohdassa 2 määriteltyyn tarkoitukseen ja Asiakkaan antamien ohjeiden mukaisesti. Toimittajalla on oikeus siirtää ja luovuttaa henkilötietoja Asiakkaan kanssa solmitun sopimuksen ja kulloinkin sovellettavan lainsäädännön sallimissa ja velvoittamissa tilanteissa esimerkiksi rekisteröidylle itselleen ja/tai tuomioistuimille, ulosottoviranomaisille tai poliisiviranomaisille.
4. TOIMITTAJAN VELVOLLISUUDET
4.1. Yleiset velvollisuudet
Toimittaja sitoutuu käsittelemään henkilötietoja seuraavien vaatimusten mukaisesti:
(i) Toimittaja käsittelee henkilötietoja ainoastaan Asiakkaan antamien ohjeiden mukaisesti. Henkilötietojen käsittely Toimittajan omiin tarkoituksiin on kielletty.
(ii) Mikäli Toimittaja käyttää toisen henkilötietojen käsittelijän palveluksia, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan tämän liitteen ja kulloinkin sovellettavan lainsäädännön mukaisia velvoitteita.
(iii) Toimittajan tulee auttaa Asiakasta kohtuullisilla ja asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksiensa mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä (oikeus tietojen oikaisemiseen, oikeus tietojen poistamiseen, oikeus käsittelyn rajoittamiseen, oikeus vastustaa henkilötietojen käsittelyä, oikeus vastustaa automaattista päätöksentekoa, oikeus siirtää tiedot järjestelmästä toiseen ja henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus).
(iv) Toimittaja toimittaa Asiakkaalle kaikki tiedot, jotka ovat tarpeen Asiakkaan velvollisuuksien noudattamisen osoittamista varten. Toimittajan on välittömästi ilmoitettava Asiakkaalle, jos Toimittaja katsoo, että ohjeistus rikkoo tietosuoja-asetusta tai muita Euroopan unionin tai jäsenvaltion tietosuojasäännöksiä.
4.2. Alihankkijat
Toimittaja on oikeutettu käyttämään alihankkijoiden palveluksia henkilötietojen käsittelyssä sen mukaisesti kuin on sovittu osapuolten välisissä sopimuksissa sekä niiden alihankkijoiden osalta, jotka Toimittaja on kirjallisesti ilmoittanut Asiakkaalle.
Toimittajan on kuitenkin ilmoitettava ennakkoon Asiakkaalle kaikista suunnitelluista muutoksista, jotka koskevat alihankkijan vaihtamista tai lisäämistä. Asiakkaalla on oikeus kieltää Toimittajaa vaihtamasta tai lisäämästä alihankkijaa vain, jos Asiakas perustellusti katsoo, että alihankkijalla ei ole riittäviä edellytyksiä tehtävän suorittamiseksi.
Toimittajan käyttäessä alihankkijan palveluksia, Toimittaja vastaa siitä, että sillä on olemassa riittävät keskinäiset sopimukset alihankkijoidensa kanssa.
Toimittaja vastaa siitä, että Toimittaja ja Toimittajan käyttämät alihankkijat käsittelevät henkilötietoja ainoastaan kohdassa 2 määriteltyyn tarkoitukseen ja Asiakkaan antamien ohjeiden mukaisesti. Mikäli Toimittajaan tai Toimittajan alihankkijaan
3 (6)
sovellettavassa Euroopan unionin oikeudessa tai Suomen kansallisessa lainsäädännössä toisin vaaditaan kuin mitä Asiakas on ohjeistanut, Toimittaja tai Toimittajan alihankkija on velvollinen toimimaan lainsäädännön edellyttämällä tavalla ja tiedottamaan Asiakasta tällaisesta oikeudellisesta vaatimuksesta.
4.3. Henkilötietojen siirtäminen EU/ETA-alueen ulkopuolelle
Toimittaja ei siirrä henkilötietoja Euroopan talousalueen ulkopuolelle, paitsi milloin velvollisuus perustuu voimassaolevaan lakiin, jolloin Toimittajan on ilmoitettava velvollisuudestaan Asiakkaalle ennen siirtoa.
Toimittaja ei ilman Asiakkaan kirjallista ennakkolupaa luovuta henkilötietoja Euroopan talousalueen ulkopuolelle tai mahdollista pääsyä kyseisiin henkilötietoihin Euroopan talousalueen ulkopuolelta.
Toimittaja voi kuitenkin siirtää tai luovuttaa henkilötietoja Euroopan talousalueen ulkopuolelle Asiakkaan antamien ohjeiden mukaisesti, mikäli Asiakas sitä pyytää. Asiakas vastaa siitä, että henkilötietojen siirtämiseen tai luovuttamiseen Euroopan talousalueen ulkopuolelle on olemassa lainmukainen peruste.
4.4. Tietoturvallisuuteen liittyvät velvollisuudet
Toimittaja vastaa omalta osaltaan siitä, että se täyttää Toimittajan tietoturvapolitiikassa esitetyt tietoturvallisuuden vaatimukset tietosuojan toteutumiseksi.
4.5. Tietoturvaloukkauksista ilmoittaminen
Asiakas ja Toimittaja vastaavat kumpikin omalta osaltaan siitä, että ne ilmoittavat kaikista henkilötietojen tietoturvaloukkauksista toiselle Osapuolelle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Ilmoituksen tulee sisältää tiedot henkilötietojen tietoturvaloukkauksesta, tietoturvaloukkauksen todennäköisistä seurauksista sekä toimenpiteet, joita Toimittaja ehdottaa tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi. Lisäksi ilmoituksen tulee sisältää tietosuojasta vastaavan henkilön nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa. Osapuolen on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet.
4.6. Henkilötietojen ja aineiston palauttaminen ja poistaminen sopimuksen päätyttyä
Osapuolten välisen sopimuksen päätyttyä Toimittaja on velvollinen palauttamaan Asiakkaalle henkilötiedot asiakkaan niin vaatiessa. Toimittajan on Asiakkaan pyynnöstä poistettava tai palautettava kaikki henkilötiedot Asiakkaalle, ellei Toimittaja ole velvollinen säilyttämään aineistoa Euroopan unionin oikeuden tai kansallisen lainsäädännön perusteella.
Sopimuksen päätyttyä Toimittaja voi säilyttää henkilötiedot järjestelemässä käytön mahdollisen jatkamisen helpottamiseksi ellei asiakas pyydä poistamaan tietoja. Asiakkaan pyytäessä tiedot poistetaan viivytyksettä.
4 (6)
5. SALASSAPITOVELVOLLISUUS
Toimittaja ja Asiakas vastaavat kumpikin omalta osaltaan siitä, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. Asiakkaan henkilötietoja ei käytetä muuhun kuin yllä kohdassa 2 määriteltyyn tarkoitukseen.
6. AUDITOINTI JA TARKASTUSOIKEUS
Asiakkaalla on oikeus tehdä tai teettää Toimittajan hyväksymällä kolmannella taholla auditointi siltä osin kuin se on tarpeellista Osapuolten välisen sopimuksen mukaisten tietosuojavaatimusten toteuttamisen varmistamiseksi. Auditointi suoritetaan siten kuin Osapuolet erikseen siitä sopivat.
Asiakkaan tulee ilmoittaa kirjallisesti Toimittajalle aikomuksesta tehdä tai teettää tarkastus kaksi viikkoa etukäteen.
Asiakas ilmoittaa samalla mahdollisesta kolmannen osapuolen käytöstä tarkastukseen. Toimittajalla on oikeus olla hyväksymättä ko. kolmatta osapuolta perustellusta syystä.
Tarkastusta suorittava kolmas osapuoli voi käyttää Toimittajaa koskevia tietoja vain tarkastustarkoitukseen ko. toimeksiannon osalta. Tämän lisäksi ko. kolmatta osapuolta koskevat samat salassapitovelvoitteet kuin liitteen osapuoliakin. Tarkastuksen tekijän on ennen tarkastuksen käynnistämistä Toimittajan niin vaatiessa annettava Toimittajalle kirjallinen salassapitositoumus, joka sisällöllisesti vastaa osapuolten välistä salassapitovelvollisuutta.
Asiakas vastaa ulkopuolisen tarkastajan kustannuksista.
7. YHTEISTOIMINTA OSAPUOLTEN KESKEN
Osapuolet sitoutuvat ottamaan huomioon toistensa kohtuulliset intressit tämän liitteen ja EU:n yleisen tietosuoja-asetuksen vaatimusten toteuttamisessa tavoitteena henkilötietojen suojan korkea taso. Tässä tarkoituksessa osapuolet toteuttavat liitteen ja EU:n yleisen tietosuoja-asetuksen niille asettamat vaatimukset tehokkaasti ja viivytyksettä sekä toimivat yhteistyössä EU:n yleisen tietosuoja-asetuksen noudattamiseen liittyen.
8. TIETOSUOJAA KOSKEVIEN EHTOJEN MUUTOKSET
Max Technologies Oy:llä on oikeus muuttaa ja päivittää tätä dokumenttia palveluiden ja liiketoiminnan kehittyessä ja/tai lainsäädännön velvoitteiden muuttuessa. Edellisen muutoksen päivämäärä näkyy dokumentin ylätunnisteessa.
5 (6)
9. YHTEYSTIEDOT
Tietosuojaa koskevissa asioissa saat lisätietoja sähköpostilla osoitteesta xxxxxxxxxx@xxxxxxx.xx.
6 (6)