Tietojenkäsittelysopimus

Tietojenkäsittelysopimus

Versio: 3. kesäkuuta 2024

Hyväksymällä Order Formin (Fi. tilauslomake) tai SOW:n (Fi. työnkuvaus), jossa viitataan Rillionin Yleisiin Sopimusehtoihin, joihin tämä tietojenkäsittelysopimus ("Tietojenkäsittelysopimus") on sisällytetty, hyväksyt ja sitoudut noudattamaan tämän Tietojenkäsittelysopimuksen ehtoja. Jos hyväksyt nämä ehdot jonkin työnantajan tai yrityksen puolesta, tällaista yritystä pidetään tämän Tietojenkäsittelysopimuksen mukaisena Asiakkaana, ja vakuutat, että sinulla on valtuudet sitoa tällainen Yritys oikeudellisesti tähän Tietojenkäsittelysopimukseen.

Sovitut ehdot:

1. Asiakas ja Xxxxxxx ovat solmineet Sopimuksessa määriteltynä päivänä Sopimuksen, joka edellyttää Henkilötietojen Käsittelyä Rillionin toimesta Asiakkaan puolesta. Tässä Tietojenkäsittelysopimuksessa vahvistetaan lisäehdot, joita sovelletaan tällaisten Henkilötietojen Käsittelyyn.

2. Määritelmät ja tulkinta

2.1 Isolla alkukirjaimella kirjoitetuilla termeillä, joita ei ole tässä Tietojenkäsittelysopimuksessa toisin määritelty, on sama merkitys kuin asianomaisessa Order Formissa, SOW:ssa ja/tai Rillionin Yleisissä Sopimusehdoissa (asiayhteyden mukaan). Tässä Sopimuksessa sovelletaan seuraavia määritelmiä ja tulkintasääntöjä:

Käsitteillä Rekisterinpitäjä, Käsittelijä, Rekisteröity, Henkilötiedot, Henkilötietojen Tietoturvaloukkaus ja Käsittely tarkoitetaan Tietosuojasääntelyssä tarkoitettua ja määriteltyä.

Tietosuojasääntely tarkoittaa kaikkia sovellettavia lakeja ja asetuksia, jotka sääntelevät henkilötietojen käsittelyä, mukaan lukien rajoituksetta yleinen tietosuoja-asetus ((EU) 2016/679) ja kaikki kansalliset tietosuojalait ja -asetukset, joilla pannaan täytäntöön EU:n sähköisen viestinnän tietosuojadirektiivi (2002/58/EY), sekä kaikki tällaisiin lakeihin ja asetuksiin kulloinkin tehdyt muutokset tai ne korvaavat säädökset.

2.2 Tämän Tietojenkäsittelysopimuksen liitteet ovat erottamaton osa tätä Tietojenkäsittelysopimusta.

2.3 Jos tämän Tietojenkäsittelysopimuksen ehdot ja muut Sopimuksen ehdot ovat ristiriidassa keskenään, tämän Tietojenkäsittelysopimuksen ehtoja sovelletaan ensisijaisesti.

3. Henkilötietojen tyypit ja Käsittelytarkoitukset

Asiakas ja Rillion hyväksyvät ja sopivat, että Tietosuojasääntelyssä tarkoitetussa merkityksessä (a) Asiakas on Rekisterinpitäjä ja Rillion on Käsittelijä, (b) Asiakas säilyttää Henkilötietojen hallinnan ja on edelleen vastuussa Tietosuojasääntelyn mukaisten velvoitteidensa noudattamisesta, mukaan lukien, mutta ei rajoittuen, tarvittavien ilmoitusten antamisesta ja tarvittavien suostumusten hankkimisesta, sekä Rillionille antamistaan kirjallisista käsittelyohjeista, ja (c) tämän Tietojenkäsittelysopimuksen liitteessä A kuvataan tarkempia tietoja Käsittelystä sekä Henkilötietojen ryhmistä ja Rekisteröidyistä, joiden osalta Rillion voi käsitellä Henkilötietoja Sopimuksen alla.

4. Rillionin velvollisuudet

4.1 Rillion Käsittelee Asiakkaan toimittamia tai Asiakkaan puolesta toimitettuja Henkilötietoja vain siinä laajuudessa ja sillä tavalla kuin on tarpeen Rillionin Sopimuksen mukaisten oikeuksien ja velvollisuuksien suorittamiseksi, tai Asiakkaan kirjallisten Käsittelyä koskevien ohjeiden ja Tietosuojasääntelyn mukaisesti. Rillion ilmoittaa Asiakkaalle viipymättä kohtuullisen ajan kuluessa, jos sen käsityksen mukaan Asiakkaan ohjeet eivät ole Tietosuojasääntelyn mukaisia.

4.2 Rillion noudattaa Asiakkaan kirjallisia ohjeita, joissa vaaditaan Rillionia muuttamaan, siirtämään, poistamaan tai muulla tavoin Käsittelemään Henkilötietoja tai lopettamaan, vähentämään tai korjaamaan luvaton Käsittely.

4.3 Rillion pitää Henkilötietoja luottamuksellisina eikä luovuta Henkilötietoja kolmansille osapuolille, ellei (i) Asiakas tai Sopimus (mukaan lukien tämä Tietojenkäsittelysopimus) nimenomaisesti salli Henkilötietojen luovuttamista,

(ii) sovellettavat lait, tuomioistuin tai sääntelyviranomainen sitä vaadi. Jos jokin sovellettava laki, tuomioistuin

tai sääntelyviranomainen vaatii Rillionia Käsittelemään tai ilmaisemaan Henkilötietoja kolmannelle osapuolelle, Rillion ilmoittaa Asiakkaalle tällaisesta lakisääteisestä tai sääntelyyn perustuvasta vaatimuksesta ennen kyseistä Käsittelyä, paitsi jos sovellettava laki tai sääntely kieltää tällaisen ilmoituksen antamisen tärkeän yleisen edun vuoksi. Edellä sovitun estämättä Rillion voi luovuttaa Henkilötietoja alihankkijoille tämän Tietojenkäsittelysopimuksen kohdan 7 mukaisesti.

4.4 Rillion avustaa Asiakasta kohtuullisesti asianmukaisissa teknisissä ja organisatorisissa toimenpiteissä, jotta Asiakas voi, ottaen huomioon Rillionin suorittaman Käsittelyn luonteen ja Rillionin käytettävissä olevat tiedot, täyttää Tietosuojasääntelyn mukaiset velvoitteensa, jotka liittyvät Rekisteröityjen oikeuksia koskeviin pyyntöihin vastaamiseen, Henkilötietojen saatavuuteen ja oikaisuun tai poistamiseen, tietosuojaa koskevien vaikutustenarviointien tekemiseen sekä raportointiin asianomaiselle sääntelyviranomaiselle ja kuulemiseen Tietosuojasääntelyn mukaisesti.

4.5 Rillion antaa Asiakkaan käyttöön kohtuullisesti kaikki tiedot, jotka ovat tarpeen sen osoittamiseksi, että Xxxxxxx noudattaa yleisen tietosuoja-asetuksen 28 artiklan mukaisia velvoitteitaan, ja sallii ja myötävaikuttaa Asiakkaan tai Asiakkaan valtuuttaman muun tarkastajan Asiakkaan kustannuksella suorittamiin tarkastuksiin Asiakkaan toimitettua Rillionille kohtuullisen kirjallisen ilmoituksen. Edellä mainittua tarkoitusta varten Asiakkaan on ulkopuolista tarkastajaa nimetessään otettava huomioon kaikki kilpailunäkökohdat, jotka liittyvät Rillionin ja suunnitellun tarkastajan väliseen liikesuhteeseen, ja tällaisten kilpailunäkökohtien osalta tarkastajan on saatava Rillionin kirjallinen hyväksyntä (jota ei saa kohtuuttomasti evätä).

4.6 Rillion varmistaa, että sen työntekijöille ilmoitetaan Henkilötietojen luottamuksellisuudesta ja että heitä sitoo kirjalliset Henkilötietoja koskevat salassapitovelvoitteet.

5. Tietoturva

5.1 Rillion toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, ottaen huomioon kulloisenkin tekniikan tason, kustannukset ja Käsittelyn luonteen, varmistaakseen Sopimuksen mukaiseen Henkilötietojen Käsittelyyn liittyviin riskeihin nähden asianmukaisen turvallisuustason, erityisesti varautuakseen riskiin siitä, että Henkilötietoja vahingossa tai laittomasti katoaisi, tuhoutuisi, muunneltaisiin, ilmaistaisiin tai niihin saataisiin pääsy. Esimerkkejä Rillionin tietoturvatoimista sen turvallisuusasiakirjoissa osoitteessa xxxxx://xxx.xxxxxxx.xxx/xxxxx-xxxxxx/xxxxxxxx/#xxxxxxxx-xxxx, joita Xxxxxxx voi aika ajoin muuttaa.

5.2 Jos Asiakas näyttää todennäköiseksi, että uusia tietoturvatoimenpiteitä tarvitaan tai että olemassa olevia turvatoimenpiteitä on muutettava, jotta voidaan täyttää asianmukaista turvallisuustasoa koskevat oikeudelliset tai sääntelyvaatimukset tai jotta voidaan noudattaa tuomioistuimen tuomioita tai viranomaismääräyksiä, Osapuolet keskustelevat vilpittömässä mielessä tällaisten uusien toimenpiteiden toteuttamisesta tai olemassa olevien toimenpiteiden muuttamisesta. Laajennettujen tai lisäturvatoimenpiteiden toteuttaminen edellyttää, että Osapuolet ovat sopineet täytäntöönpanosta kirjallisesti. Rillionilla on oikeus kohtuulliseen korvaukseen kaikista laajennetuista tai lisäturvatoimista.

6. Henkilötietojen Tietoturvaloukkaus

6.1 Rillion ilmoittaa Asiakkaalle kirjallisesti ilman aiheetonta viivytystä, jos se tulee tietoiseksi Henkilötietojen Tietoturvaloukkauksesta, ja toimittaa Asiakkaalle seuraavat tiedot tällaisesta Tietoturvaloukkauksesta kirjallisesti: (a) kuvaus Henkilötietojen Tietoturvaloukkauksen luonteesta, mukaan lukien loukkauksen kohteeksi joutuneiden Henkilötietojen tyyppi ja Rekisteröityjen sekä asianomaisten Henkilötietojen arvioitu lukumäärä; (b) todennäköiset seuraukset; ja (c) kuvaus toimenpiteistä, jotka on toteutettu tai joita ehdotetaan toteutettavaksi Tietoturvaloukkauksen korjaamiseksi, mukaan lukien tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi. Rillion avustaa Asiakasta kohtuullisesti toimittamalla tarpeellisia tietoja, jotta Asiakas voi täyttää velvollisuutensa ilmoittaa toimivaltaiselle valvontaviranomaiselle Henkilötietojen Tietoturvaloukkauksesta ja tarvittaessa velvollisuutensa ilmoittaa Henkilötietojen Tietoturvaloukkauksesta asianomaisille Rekisteröidyille.

6.2 Rillionilla on oikeus kohtuulliseen korvaukseen kaikista toimenpiteistä, jotka liittyvät sen velvollisuuksiin, jotka on määritelty tämän Tietojenkäsittelysopimuksen kohdissa 4.4 ja 6.1.

7. Henkilötietojen siirrot ja Alihankkijat

7.1 Sopimuksen tekemällä Asiakas hyväksyy, että Rillion voi käyttää alihankkijoita alikäsittelijöinä Sopimuksen mukaisen Käsittelyn suorittamiseksi. Kun Rillion käyttää alihankkijaa Käsittelyn suorittamiseen ja jos Tietosuojasääntely sitä edellyttää, Rillion tekee alihankkijan kanssa kirjallisen sopimuksen asianomaisista Käsittelytoimista, jonka mukaan alihankkijan on sitouduttava vähintään yhtä tiukkoihin velvoitteisiin kuin Rillionin tämän Tietojenkäsittelysopimuksen mukaiset velvoitteet (tai muutoin Tietosuojasääntelyn vaatimiin velvoitteisiin). Rillionin alihankkijat voivat sijaita EU-/ETA-alueella tai sen ulkopuolella, jollei tämän kohdan 7 muista määräyksistä muuta johdu.

7.2 Asiakas hyväksyy, että Rillion voi luovuttaa Henkilötietoja mille tahansa Rillionin kanssa samaan konserniin kulloinkin kuuluvalle yritykselle ja/tai alihankkijoille, jotka on yksilöity alihankkijaluettelossa Rillionin verkkosivuilla osoitteessa xxxxx://xxx.xxxxxxx.xxx/xxxxx-xxxxxx/, ja Henkilötietoja voidaan luovuttaa edellä mainitussa luettelossa yksilöityihin maihin Sopimuksen mukaisen Käsittelyn suorittamiseksi. Rillion voi aika ajoin muuttaa alihankkijaluetteloa. Xxx Xxxxxxx vastustaa tietyn alihankkijan nimittämistä Rillionin toimesta, Asiakas voi yhden (1) kuukauden kuluessa siitä, kun hän on saanut tiedon tällaisesta nimityksestä, irtisanoa Sopimuksen ilmoittamalla tästä Rillionille kirjallisesti kahden (2) kuukauden irtisanomisajalla.

7.3 Xxx Xxxxxxx käyttää alihankkijoita, joihin liittyy Henkilötietojen siirto EU:n/ETA:n tai Yhdistyneen kuningaskunnan alueelta EU-/ETA-alueen tai Yhdistyneen kuningaskunnan ulkopuolelle, Rillion varmistaa, että kaikki tällaisille siirroille Tietosuojasääntelyn asettamat vaatimukset täyttyvät. Siirrot voidaan esimerkiksi tehdä yhteisöille, jotka sijaitsevat alueilla, joiden Euroopan komissio on katsonut takaavan riittävän suojan virallisen tietosuojan riittävyyttä koskevan päätöksen perusteella, tai varmistamalla, että siirrot tehdään Euroopan komission antamien vakiosopimuslausekkeiden mukaisesti, tai että siirto on muutoin Tietosuojasääntelyn mukainen.

8. Vastuunrajoitukset

Sen estämättä, mitä Rillionin Yleisissä Sopimusehdoissa sovitaan Osapuolen vastuusta, Rillionin kumulatiivinen kokonaisvastuu tähän Tietojenkäsittelysopimukseen liittyvistä vaatimuksista ja rikkomuksista, perustuipa korvausvastuu sopimukseen, vahingonkorvausvelvoitteeseen (mukaan lukien huolimattomuus tai lakisääteisen velvollisuuden rikkominen), harhaanjohtamiseen, palautukseen tai muuhun, jotka ovat syntyneet Xxxxxxxxx velvollisuuksista tämän Tietojenkäsittelysopimuksen alla tai liittyvät kyseisiin velvollisuuksiin, rajoittuu välittömiin vahinkoihin, jotka ovat määrältään yhteensä enintään 150 % Palveluista Rillionille maksetuista Maksuista 12 kuukauden ajanjaksolla välittömästi ennen vaatimuksen syntymispäivää.

9. Sopimuskausi ja irtisanominen

9.1 Tämä Tietojenkäsittelysopimus on voimassa niin kauan kuin: (a) Sopimus on voimassa; ja (b) Rillion Käsittelee Sopimukseen liittyviä Henkilötietoja ("Sopimuskausi").

9.2 Kaikki tämän Tietojenkäsittelysopimuksen ehdot, jotka nimenomaisesti tai oletetusti tulevat voimaan tai säilyvät voimassa tämän Tietojenkäsittelysopimuksen päätyttyä tai sen jälkeen asianomaisten Henkilötietojen suojaamiseksi Tietosuojasääntelyn mukaisesti, pysyvät edelleen voimassa.

9.3 Jos jokin Tietosuojasääntelyn muutos estää jompaakumpaa Osapuolta täyttämästä Tietojenkäsittelysopimuksen mukaisia velvoitteitaan kokonaan tai osittain, Osapuolet voivat sopia Henkilötietojen Käsittelyn keskeyttämisestä siihen saakka, kunnes Käsittely on jälleen uusien vaatimusten mukaista. Jos Osapuolet eivät pysty saattamaan Henkilötietojen Käsittelyä Tietosuojasääntelyn mukaiseksi 15 työpäivän kuluessa, kumpi tahansa Osapuoli voi irtisanoa Sopimuksen ilmoittamalla siitä kirjallisesti toiselle Osapuolelle.

9.4 Sopimuksen päättyessä mistä tahansa syystä: (i) Xxxxxxx pidättää itsellään oikeuden poistaa, tuhota tai muutoin hävittää kaikki tähän Tietojenkäsittelysopimukseen liittyvät Henkilötiedot viimeistään 90 päivän kuluttua Sopimuksen irtisanomisesta ilman velvollisuutta ylläpitää tai toimittaa tällaisia Asiakastietoja Asiakkaalle, ellei sovellettavassa laissa tai asetuksessa toisin vaadita, tai ellei Rillion saa Asiakkaalta vähintään kolme (3) kuukautta ennen päättymispäivää kirjallista ilmoitusta koskien kyseisten Henkilötietojen palauttamista Asiakkaalle (tai, jos Osapuoli käyttää oikeuttaan irtisanoa Sopimus välittömin vaikutuksin Yleisten Sopimusehtojen kohdan 8.5 mukaisesti tai kohdan 11.3 mukaisesti, ellei Rillion saa Asiakkaalta kirjallista ilmoitusta vähintään 30 päivän kuluessa irtisanomispäivästä), ja (ii) jos Asiakas antaa Rillionille edellisen kohdan (i) mukaisen ilmoituksen, Rillionin on palautettava tällaiset Henkilötiedot Rillionin kohtuudella määrittelemässä muodossa. Rillionilla on oikeus kohtuulliseen korvaukseen tällaisten Henkilötietojen palauttamisesta Asiakkaalle. Asiakas tiedostaa ja hyväksyy, että Asiakkaan yksinomaisella vastuulla on pyytää ja varmistaa halutessaan kopiot Henkilötiedoista määritellyn määräajan puitteissa. Rillion ei vastaa mistään menetyksestä tai vahingosta, joka aiheutuu siitä, että Asiakas ei ole ajoissa pyytänyt tai saanut Henkilötietoja ennen niiden poistamista tämän kohdan mukaisesti.

10. Asiakkaan vakuutukset

Asiakas vakuuttaa, että se on toimivaltainen toimimaan Rekisterinpitäjänä Henkilötietojen osalta, joita Xxxxxxx Käsittelee tai joita Käsitellään Rillionin puolesta. Asiakas vastaa suhteessa Rekisteröityiin siitä, että Käsittelyssä noudatetaan Tietosuojasääntelyä. Lisäksi Asiakas vakuuttaa, että tämän Tietojenkäsittelysopimuksen mukainen Käsittely suoritetaan siihen tarkoitukseen, jota varten Henkilötiedot on kerätty.

11. Sovellettava laki ja riidanratkaisu

Epäselvyyksien välttämiseksi tähän Tietojenkäsittelysopimukseen sovelletaan Xxxxxxxxx Yleisten Sopimusehtojen määräyksiä sovellettavasta lainsäädännöstä ja riidanratkaisusta.

Liite A - Henkilötietojen Käsittely - lisätietoja

Tarkoitus: Käsittely voidaan suorittaa Sopimuksen mukaisten Palvelujen tarjoamiseksi ja/tai Rillionin Sopimuksen mukaisten oikeuksien ja velvollisuuksien täyttämiseksi.

Käsiteltävien Henkilötietojen tyyppi: Nimet, postiosoitteet, sähköpostiosoitteet, ammattinimikkeet. Käsittelijä voi Käsitellä myös muita Henkilötietoja, jos se on tarpeen Sopimuksen mukaisten Palvelujen tarjoamiseksi.

Rekisteröityjen ryhmät: Asiakkaan työntekijät, asiakkaat ja alihankkijat, toimittajat ja/tai palveluntarjoajat.

Käsittelytavat: Rillion voi käyttää mitä tahansa käsittelytapoja, jotka ovat välttämättömiä Palvelujen tarjoamiseksi ja/tai Osapuolen Sopimuksen mukaisten oikeuksien ja velvollisuuksien täyttämiseksi, mukaan lukien Henkilötietojen kirjaaminen, järjestäminen, tallentaminen ja poistaminen.

Käsittelyn kesto: Koko Sopimuskauden ajan.