TIETOSUOJAKÄYTÄNTÖ (DPA - DATA PROCESSING ADDENDUM)

TIETOSUOJAKÄYTÄNTÖ (DPA - DATA PROCESSING ADDENDUM)

Tämä tietosuojakäytäntö (“DPA – Data Processing Addendum”) on lisäys Zervantin ja asiakkaan väliseen palvelusopimukseen ja siihen sovelletaan sen ehtoja siinä määrin kuin tässä ei ole muuta sovittu. Se on oikeudellisesti sitova vain Zervantin ja asiakkaan välisen palvelusopimuksen yhteydessä. Palvelusopimusta ja sen kaikkia liitteitä (mukaan lukien tämä DPA) kutsutaan yhteisesti 'sopimukseksi'.

1 DPA:N MÄÄRITELMÄT

Palvelusopimuksen määritelmät koskevat tätä DPA:ta. Lisäksi seuraavia määritelmiä käytetään tässä DPA:ssa:

Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja (rekisteröity).

Asiakkaan henkilötieto tarkoittaa asiakkaan henkilökohtaisia tietoja tai muutoin asiakkaan toimintaan liittyviä tietoja.

Käsittely tarkoittaa toimintoja ja toimia, jotka koskevat tai sisältävät henkilötietoja, kuten tietojen keräämistä, tallentamista, järjestämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä tai käyttöä.

Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Rekisteröity tarkoittaa luonnollista henkilöä, jonka henkilötietoja käsitellään.

Henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Sovellettavilla laeilla tarkoitetaan yleistä tietosuojaa koskevaa asetusta, kansallista lainsäädäntöä, joka täydentää yleistä tietosuojadirektiiviä, sääntelyviranomaisten määräyksiä ja lausuntoja, mukaan lukien Euroopan tietosuojavaltuutettu, ja komission säädökset.

Alihankkijalla tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti.

2 TARKOITUS

Zervant tarjoaa asiakkaalle palveluja, jotka on määritelty palvelusopimuksessa. Palvelujen tarjoamisen yhteydessä asiakkaalle Palvelusopimuksen mukaisesti Zervant voi käsitellä henkilötietoja asiakkaan puolesta. Tämän DPA:n tarkoituksena on sopia Palvelun yhteydessä tapahtuvaan asiakastietojen käsittelyyn sovellettavat käyttöehdot.

3 ASIAKKAAN VELVOLLISUUDET

3.1 Rekisterinpitäjä

Asiakas on rekisterinpitäjä tämän DPA:n ja palvelusopimuksen nojalla käsiteltyihin asiakastietoihin, ja hän on vastuussa asiakkaan henkilötietojen laillisesta keräämisestä, käsittelystä ja käyttämisestä sekä henkilökohtaisten tietojen oikeellisuudesta ja rekisterinpitäjän oikeudellisista velvoitteista. Asiakas on velvollinen ilmoittamaan rekisteröidyille henkilötietojen keräämisestä ja tarvittaessa saatava heidän suostumuksensa.

Asiakas hyväksyy, että henkilötietojen käsittelijä ei voi valvoa eikä sillä ole velvollisuutta tarkistaa asiakkaan henkilötietojen luovuttamista tai siirtämistä käsittelijän suoritettavaksi asiakkaan puolesta, kun asiakas käyttää palveluja. Asiakas takaa ja on vastuussa siitä, että hänellä on asianmukainen oikeusperusta siirtää ja luovuttaa asiakkaan henkilötietoja käsittelijälle siten, että henkilötietojen käsittelijä voi laillisesti käsitellä asiakkaan henkilötietoja osapuolten välillä sovitulla tavalla.

3.2 Ohjeet

Xxxxxxx vahvistaa, että asiakkaan henkilötietojen käsittelyä koskevat ohjeet ('Ohjeet') on lueteltu tyhjentävästi sopimuksessa. Jos asiakas myöhemmin haluaa muuttaa ohjeita, sen on ensisijaisesti käytettävä palvelun tarjoamia toimintoja. Jos tällaiset toiminnot eivät kuitenkaan riitä tällaisten uusien ohjeiden toteuttamiseen, on asiakkaan otettava yhteyttä kirjallisesti käsittelijään. Jos tällaisten uusien ohjeiden soveltamisala on palvelun ulkopuolella, käsittelijällä on oikeus veloittaa asiakkaalle mahdollisista lisäkustannuksista, jotka aiheutuvat

tällaisten uusien ohjeiden toteuttamisesta. Ohjeiden on oltava kohtuullisia, sovellettavien lakien mukaisia ja sopusoinnussa sopimuksen kanssa.

4 ZERVANTIN VELVOLLISUUDET

4.1 Henkilötietojen käsittelijä

Zervant on henkilötietojen käsittelijä suhteessa asiakkaan henkilötietoihin, joita käsitellään sopimuksen mukaisesti. Zervant sitoutuu noudattamaan sovellettavia lakeja ja asiakkaan ohjeita suhteessa kaikkeen asiakkaan henkilötietojen käsittelyyn. Prosessori ei saa kopioida tai jäljentää asiakkaan henkilötietoja tai millään tavalla käsitellä asiakkaan henkilötietoja muuhun tarkoitukseen kuin sopimuksessa käsiteltyihin tarkoituksiin.

Käsittelijän on ilmoitettava asiakkaalle, jos hän katsoo, että jokin asiakkaan antama uusi ohjeistus rikkoo sovellettavia lakeja. Käsittelijä voi keskeyttää tällaisen uuden ohjeen toteuttamisen, kunnes asiakas muuttaa sitä tai vahvistaa sen. Asiakas on aina viime kädessä vastuussa kaikkien ohjeiden sovellettavien lakien mukaisuudesta. Käsittelijä on velvollinen ilmoittamaan asiakkaalle vain, jos se havaitsee välittömiä ristiriitoja sovellettavien lakien kanssa, mutta ei ole muutoin velvollinen tutkimaan tai tarkistamaan ohjeiden lakien mukaisuuden noudattamista.

4.2 Avun anto

Zervant sitoutuu auttamaan asiakasta kohtuudella suorittaa velvollisuutensa rekisterinpitäjinä suhteessa asiakkaan henkilötietoihin, joita Xxxxxxx käsittelee jäljempänä. Näihin velvoitteisiin voi kuulua asiakkaan avustaminen toimivaltaisten valvontaviranomaisten pyynnöissä tai tiedusteluissa, tietosuojaa koskevien vaikutusten arvioinnin suorittamisessa ja ennakkoehtojen pyytämisessä valvontaviranomaisten kanssa sekä auttaa asiakasta ymmärtämään rekisteröityjen pyynnöt sovellettavien lakien mukaisista oikeuksista.

Asiakkaan tulee käyttää palvelun sisäisiä toimintoja vastatakseen rekisteröityjen oikeuksia koskeviin pyyntöihin (esim. käyttöoikeuden ja oikaisu- tai poistamisoikeuden) perusteella. Jos asiakas ei voi vastata tällaiseen pyyntöön palvelun toimintojen avulla voi Zervant tarjota toiminnon muuten. Zervantilla on oikeus periä tällaisesta palvelusta kohtuullinen korvaus, joka asiakkaan tulee suorittaa Zervantille.

Jos rekisteröity, muu yksilö tai valvontaelin/viranomainen tekee avunpyynnön suoraan Zervantille asiakkaan henkilötietoja koskien (kuten saantia, oikaisemista tai poistaminen, toimittamista tiedot tai suorittaa muita käsittelevän toiminta), Zervant ilmoittaa asiasta asiakkaalle pyynnöstä niin pian kuin kohtuudella mahdollista ja sovellettavan lain sallimissa rajoissa.

4.3 Henkilötietojen siirrot

Zervant käsittelee pääasiassa asiakastietoja Euroopan talousalueella (ETA). Palvelujen tarjoamiseksi Zervant voi kuitenkin joutua paljastaa tai siirtää asiakkaan henkilötietoja myös ETA:n ulkopuolella. Tällaisia tilanteita voivat olla tapaukset, joissa Zervantin alihankkijat tai niiden järjestelmät sijaitsevat ETA:n ulkopuolella. Tällöin Xxxxxxxxx on aina toteutettava tarvittavat takeet asiakkaan henkilötietojen turvallisuuden ja luottamuksellisuuden varmistamiseksi sovellettavien lakien mukaisesti. Asiakas tiedostaa ja hyväksyy tällaiset paljastukset ja siirrot palvelujen yhteydessä. Xxxxxxx toimittaa Asiakkaalle pyynnöstä lisätietoja siirroista ja sovelletuista oikeudellisista suojatoimista.

Zervantin oikeutta käyttää alihankkijoita on selostettu jäljempänä kohdassa 6.

4.4 Tietosuojavastaava

Zervant on nimennyt tietosuoja- ja tietoturva-asioista vastaavan henkilön hoitamaan tietosuojaan liittyviä asioita. Jos sovellettavat lait niin vaativat Xxxxxxx nimeää tietosuojavastaavan ja ilmoittaa yhteystiedot asiakkaalle pyynnöstä.

4.5 Työntekijät

Zervant tutustuttaa, ohjaa ja kouluttaa työntekijöitään, jotka osallistuvat henkilötietojen käsittelyyn (mukaan lukien asiakastiedot), ja huolehtii siitä, että nämä työntekijät ovat sitoutuneet asianmukaiseen luottamuksellisuuteen tai ovat asianmukaisessa lakisääteisessä velvollisuudessa luottamuksellisuuteen. Jos asiakas on antanut erityisiä ohjeita henkilötietojen käsittelyä koskien, Xxxxxxx myös velvoittaa työntekijöitään noudattamaan asiakkaan henkilötietojen käsittelyn ohjeita.

4.6 Turvallisuus

Zervant toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia turvatoimia suojaamaan kaikkia käsittelemiään henkilötietoja (kuten asiakkaan henkilötietoja). Zervant valitsee tällaiset turvatoimet oman harkintansa mukaan esim. xxxx xxxxxxxxxx, markkinakäytäntö ja sovellettavien lakien erityisvaatimukset. Zervant voi muuttaa suojaustoimenpiteitään ajoittain, mutta ei heikentää yleistä turvallisuustasoa DPA:n voimassaoloaikana.

Xxxxxxxxx on jatkuvasti varmistettava henkilötietojen käsittelyssä käytettävien järjestelmien luottamuksellisuus, eheys, saatavuus ja joustavuus. Zervant tulee säännöllisesti testata, tutkia ja arvioida Xxxxxxxxx toteuttamien teknisten ja organisatoristen turvatoimenpiteiden tehokkuutta. Zervant sitoutuu noudattamaan säännöksiä, jotka koskevat henkilötietojen käsittelyä koskevia asianmukaisia turvatoimia.

Zervantin on ilmoittava asiakkaalle ilman aiheetonta viivytystä tietoturvahäiriöstä, joka johtaa vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan paljastamiseen tai pääsyyn Zervantin käsittelemiin asiakkaan henkilötietoihin.

Tällaisessa tiedotteessa tietoturvahäiriöstä on oltava vähintään sovellettavien lakien mukaan:

a) kuvaus tietoturvahäiriön luonteesta ja laajuudesta, mukaan lukien mahdollisuuksien mukaan turvallisuuskatsauksen kohteena olevien tietotyyppien luokat ja niiden likimääräinen lukumäärä sekä tietoturvaan vaikuttavien asiakastiedostojen luokat ja likimääräinen määrä häiriössä;

b) Zervantin tietosuojavaltuutetun (jos nimetty) nimi tai yhteystiedot, tai muut yhteyshenkilöt, joilta saa lisätietoja;

c) kuvaus tietoturvahäiriön arvioiduista seurauksista;

d) kuvaus toimenpiteistä, joihin Xxxxxxx on ryhtynyt tai aikoo ryhtyä tietoturvahäiriön käsittelyn osalta mukaan lukien mahdollisten kielteisten vaikutusten lieventäminen.

Edellä mainittuja tietoja tietoturvahäiriöistä voidaan toimittaa myös vaiheissa, jos Zervant ei pysty toimittamaan niitä kaikki samanaikaisesti ilmoittaessaan asiakkaalle tietoturvahäiriöstä. Zervantin on dokumentoitava kaikki tietoturvahäiriöt, joita on kärsinyt sovellettavan lainsäädännön mukaisesti.

5 AUDITOINTI

Zervant ylläpitää asianmukaista kirjanpitoa tai muutoin dokumentoi asiakkaan henkilötietojen käsittelyä siinä määrin kuin sovellettavat lait sitä edellyttää. Xxxxxxx toimittaa asiakkaalle pyynnöstä jäljennöksen osan kyseisestä asiakirjasta joka liittyy asiakkaan henkilötietojen käsittelyyn Zervantissa.

Asiakas tai asiakkaan nimittämä kolmas osapuoli voi auditoida, että Xxxxxxx noudattaa tätä DPA:ta ja sovellettavia lakeja asiakkaan henkilötietojen käsittelyssä. Asiakkaan täytyy ilmoittaa kaikista suunnitelluista auditoinneista kirjallisesti ja aina vähintään kaksikymmentäyksi (21) päivää etukäteen. Zervant luo testausalustan, jossa asiakas voi suorittaa tarkastuksen Zervantin palvelujen osalta. Tällaisten tarkastusten on ensisijaisesti oltava riippumattoman kolmannen osapuolen suorittamia ja aina Zervantin tavanomaisten työaikojen aikana aiheuttamatta merkittäviä häiriöitä Zervantin liiketoiminnalle.

Xxxxxxx toimittaa kopion aineistostaan asiakkaan henkilötietojen käsittelystä ja muun olemassa olevan olennaisen dokumentaation asiakkaan pyynnöstä ja sitoutuu tarjoamaan kohtuullisen avun tarkastuksessa. Asiakkaan pyytämästä lisäasiakirjasta, tuesta tai palvelusta Xxxxxxx varaa oikeuden laskuttaa toimeksiannosta syntyvät kohtuulliset kustannukset asiakkaalta. Tähän sisältyy myös riittävä korvaus Zervantin henkilöstön työajasta, kun he tukevat asiakasta sen tarkastuksessa. Asiakas vastaa omista kuluistaan (mukaan lukien ulkopuolisen tilintarkastajan kustannukset) näiden tarkastusten yhteydessä.

Zervant suostuu myös sallimaan toimivaltaisten valvontaviranomaisten aloittamat ja suorittamat Zervantin asiakastietojen käsittelyä koskevat tarkastukset ja sitoutuu toimittamaan tarvittavat tiedot Zervantin käsittelytoimista kyseisille toimivaltaisille valvontaviranomaisille. Jos Zervant saa toimivaltaiselta valvontaviranomaiselta ilmoituksen suunnitellusta tarkastuksesta asiakkaan henkilötietojen käsittelyssä, on Zervantin ilmoittava viipymättä asiakkaalle tällaisesta aiotusta valvontaviranomaisen tilintarkastuksesta.

6 ALIHANKKIJAT

Xxxxxxx käyttää alihankkijoita palvelunsa yhteydessä, joista osa osallistuu myös asiakkaan henkilötietojen käsittelyyn. Xxxxxxx antaa yleisen valtuutuksen ja suostumuksen, että Xxxxxxx voi ottaa ja käyttää sen sidosyrityksiä ja muita alihankkijoita käsittelemään asiakkaan henkilökohtaisia tietoja palvelujen tarjoamisen yhteydessä siltä osin kuin tällainen nimitys ei johda ristiriitoihin sovellettaviin lakeihin tai Xxxxxxxxx velvollisuuksiin tämän DPA:n nojalla. Zervant varmistaa, että mukana olevat alihankkijat ovat asianmukaisesti päteviä, aloittavat tietosuojasopimuksen Zervantin kanssa ja noudattavat vähintään yhtä laajoja tietojenkäsittely- ja luottamuksellisuusvelvoitteita kuin tämä sopimus. Xxxxxxx seuraa säännöllisesti

alihankkijoidensa suorituskykyä ja on vastuussa heidän työstään asiakasta kohtaan kuten omastaan. Zervant sitoutuu toimittamaan asiakkaalle luettelon alihankkijoista, jotka liittyvät palveluihin asiakkaan pyynnöstä.

Zervant voi vapaasti valita ja muuttaa aliprosessoreita tämän DPA: n ehtojen ja sovellettavien lakien mukaisesti Xxxxxxx kuitenkin ilmoittaa asiakkaalle mahdollisista olennaisista muutoksista alihankkijoissaan. Jos asiakas katsoo perustellusti, että tällainen muutos Zervantin alihankkijoissa aiheuttaisi riskin asiakkaan henkilötiedoista, asiakkaalla on oikeus vastustaa Zervantin alihankkijoiden muutosta.

7 VASTUU

Liittyen asiakkaan henkilötietojen käsittelyyn sopimuksen yhteydessä molemmat sopimusosapuolet ovat vastuussa toisiaan kohtaan välittömistä menetyksistä ja vahingoista, jotka aiheutuvat tämän DPA:n tai sovellettavien lakien rikkomisesta rikkomattomalle osapuolelle (mukaan lukien, mutta ei rajoittuen toimivaltaisten valvontaviranomaisten määräämiin hallinnollisiin seuraamuksiin). Kumpikaan osapuoli ei ole vastuussa mistään epäsuorista tai välillisistä menetyksistä tai vahingoista, mukaan lukien, mutta ei rajoittuen, tulojen menetys, liikevaihto tai maine.

Sopimuspuolen tämänhetkinen vastuu on sopimuksessa sovitun vastuun ylärajan alainen.

8 VOIMASSAOLO

Tämä DPA tulee voimaan samana päivänä kuin yleisen tietosuoja-asetuksen soveltaminen alkaa ja pysyy voimassa, kunnes sopimus irtisanotaan

Asiakkaan pyynnöstä Zervant tarjoaa asiakkaan tiedot palvelusta kolmenkymmenen (30) päivän ajan sopimuksen päättymisestä. Sopimuksen päätyttyä Xxxxxxxxx on viipymättä joko tuhottava tai palautettava asiakkaalle kaikki asiakkaan henkilötiedot (samoin kuin kaikki kopiot siihen), ellei Zervant ole velvollinen pitämään asiakkaan henkilötietoja Zervantiin sovellettavien lakien vaatimusten mukaisesti.