PLANEETTA INTERNET OY
PLANEETTA INTERNET OY
LIITE XXXXXXXXXXX.XXX -PALVELUN YLEISIIN SOPIMUSEHTOIHIN TIETOSUOJAEHDOT 05/2018
Tämä sopimusliite on olennainen ja erottamaton osa Planeetta Internet Oy:n (jäljempänä “Planeetta Internet”) yleisiä sopimusehtoja. Tätä liitettä ja näitä tietosuojaehtoja sovelletaan siinä tilanteessa ja siltä osin, kun Planeetta Internet toimii suhteessa asiakkaaseensa EU:n tietosuoja-asetuksen (2016/679) tarkoittamana henkilötietojen käsittelijänä ja asiakas on rekisterinpitäjänä ulkoistanut henkilötietojensa käsittelyä joltain osin Planeetta Internetille. Mikäli Planeetta Internetin yleisten ehtojen ja näiden ehtojen välillä on ristiriitaa, saa yleiset ehdot etusijan.
Määritelmät
Tässä liitteessä käytetyt käsitteet saavat sen merkityssisällön, joka niille on annettu Euroopan Unionin asetuksessa 2016/679 luonnollisten henkilöiden suojelusta henkilö tietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä “tietosuoja-asetus”). Tällaisia käsitteitä ovat erityisesti termit rekisterinpitäjä, henkilötietojen käsittelijä, henkilötieto, rekisteröity, käsittely ja henkilötietojen tietoturvaloukkaus.
Tarkoitus
Planeetta Internet on hosting-palveluiden tarjoamista harjoittava yritys. Asiakas on yritys, elinkeinonharjoittaja tai muu organisaatio, joka tarvitsee ja hankkii verkkosivustolleen hosting- palveluja Planeetta Internetiltä. Tällä liitteellä osapuolet sopivat siitä, että Planeetta Internet henkilötietojen käsittelijänä käsittelee sopimuksen voimassaoloaikana henkilötietoja asiakkaan, rekisterinpitäjän, lukuun.
Henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan hosting-palveluiden sekä mahdollisesti muiden sopimuksessa kuvattujen velvoitteiden täyttämiseksi sekä palveluiden tarjoamiseksi ja toimittamiseksi asiakkaalle tämän antamien kirjallisten ohjeiden mukaisesti.
Henkilötietojen käsittelijällä ei ole oikeutta käsitellä henkilötietoja mihinkään muuhun tarkoitukseen tai kenenkään muun hyväksi. Henkilötietojen käsittelijällä on oikeus siirtää henkilötietoja EU:n tai ETA:n ulkopuolisiin maihin, edellyttäen että siirto tapahtuu tietosuoja- asetuksessa määriteltyä riittäviä suojamekanismeja käyttäen. Henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos tämä katsoo, että rekisterinpitäjän antamat käsittelyä koskevat kirjalliset ohjeistukset rikkovat tietosuoja-asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä. Tämän liitteen ehtojen lisäksi kumpikin osapuoli sitoutuu noudattamaan sovellettavia kansallisia tietosuojalakeja ja tietosuoja-asetuksen säännöksiä toimintaansa soveltuvin osin.
Käsittelyä koskevat tarkemmat tiedot, kuten käsittelyn luonne, henkilötietojen tyyppi ja rekisteröityjen ryhmät, on kuvattu jäljempänä.
Alihankinnat
Henkilötietojen käsittelijällä on oikeus käyttää käsittelyssä toisen henkilötietojen käsittelijän palveluja edellyttäen, että henkilötietojen käsittelijä ilmoittaa tästä kirjallisesti vähintään 7 päivää etukäteen rekisterinpitäjälle. Kirjallisten ilmoitusten toimittamisvelvollisuus koskee suunniteltua käsittelijän lisäämistä, poistamista tai vaihtamista. Ilmoituksen saatuaan rekisterinpitäjä voi vastustaa suunniteltuja muutoksia.
Käyttäessään toisen henkilötietojen käsittelijän palveluja, henkilötietojen käsittelijän tulee sopia palveluntarjoajan kanssa, että käsittely tapahtuu noudattaen samoja tietosuojavelvoitteita, kuin mitä tässä liitteessä on kuvattuna. Henkilötietojen käsittelijä vastaa siitä, että sen käyttämän toisen henkilötietojen käsittelijän palvelut toteutetaan tämän liitteen vaatimusten mukaisina.
Salassapito
Kaikkia henkilötietoja joita henkilötietojen käsittelijä käsittelee rekisterinpitäjän lukuun pidetään rekisterinpitäjän luottamuksellisina tietoina ja henkilötietojen käsittelijä sitoutuu pitämään tiedot salassa ja olemaan luovuttamatta tai paljastamatta niitä kenellekään kolmannelle osapuolelle tai käyttämättä tietoja muuhun kuin sovittuun tarkoitukseen. Henkilötietojen käsittelijä sitoutuu myös olemaan luovuttamatta ja paljastamatta henkilötietoja omassa organisaatiossaan muille kuin sellaisille työntekijöilleen tai muille henkilöille (ml. mahdolliset alihankkijat), joiden on tarpeen tuntea kyseinen tieto sovittua tarkoitusta varten ja jotka ovat palvelu- tai muiden sopimustensa perusteella taikka lakisääteisesti velvollisia pitämään tiedon luottamuksellisena. Salassapitovelvoitteet pysyvät voimassa sopimuksen päättymisestä huolimatta.
Tietoturva
Henkilötietojen käsittelijän tulee huolehtia, että se toteuttaa kaikki asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla pyritään estämään henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
Toimenpiteet tulee suunnitella huomioiden uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, kuten
a) henkilötietojen pseudonymisointi ja xxxxxx;
b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Henkilötietojen tietoturvaloukkaukset
Henkilötietojen käsittelijän on ilmoitettava tietoonsa tulleesta käsittelyssä tapahtuneesta henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä, jotta rekisterinpitäjä voi täyttää tietosuoja-asetuksessa määritellyt ilmoitusvelvoitteet asetetussa määräajassa. Tietoturvaloukkauksesta tulee antaa riittävät tiedot ja henkilötietojen käsittelijän tulee muutoinkin avustaa rekisterinpitäjää, jotta rekisterinpitäjä voi täyttää tälle tietosuoja- asetuksessa asetetut velvoitteet. Henkilötietojen käsittelijän tulee myös ryhtyä tarpeellisiin jatkotoimenpiteisiin, joilla henkilötietojen tietoturvaloukkauksen haittavaikutuksia voidaan lieventää tai tulevia loukkauksia estää.
Tietosuojaa koskeva vaikutustenarviointi
Mikäli henkilötietojen käsittelijä tulee tietoiseksi siitä, että suunniteltu käsittely aiheuttaisi korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta, tulee sen ilmoittaa tästä rekisterinpitäjälle ja avustaa tätä tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin toteuttamisessa.
Rekisteröidyn oikeuksien toteuttaminen
Ottaen huomioon käsittelytoimen luonteen, henkilötietojen käsittelijän tulee kohtuudella ja ilman aiheetonta viivästystä auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat tietosuoja-asetuksessa säädettyjen rekisteröidyn oikeuksien käyttämistä. Tällaisia oikeuksia voivat olla muun muassa, sellaisina kuin ne on tietosuoja-asetuksessa määritelty, rekisteröidyn oikeus saada pääsy tietoon, oikeus saada tieto korjatuksi, oikeus kieltää käsittely, oikeus tietojen poistamiseen (ns. “oikeus tulla unohdetuksi”), oikeus käsittelyn rajoittamiseen ja oikeus saada tiedot siirretyksi järjestelmästä toiseen. Mikäli tällaisia vaatimuksia esitetään suoraan henkilötietojen käsittelijälle, sen tulee viipymättä ilmoittaa niistä rekisterinpitäjälle.
Auditoinnit
Henkilötietojen käsittelijän tulee saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tietosuoja-asetuksessa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja henkilötietojen käsittelijä sallii ja kohtuudella avustaa rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset henkilötietojen käsittelijän tiloihin, järjestelmiin, prosesseihin ja dokumentaatioon, sekä osallistuu itse niihin, mikäli rekisterinpitäjä katsoo tarpeelliseksi sellaisen toteuttamisen. Auditoinnit tulee suorittaa normaalin työajan puitteissa siten, että niistä aiheutuisi mahdollisimman vähän haittaa henkilötietojen käsittelijän liiketoiminnalle. Kumpikin osapuoli vastaa omista auditoinnin suorittamiseen liittyvistä kustannuksistaan. Rekisterinpitäjän tulee ilmoittaa henkilötietojen käsittelijälle vähintään 45 päivää etukäteen auditoinnin toteuttamisesta.
Asiakkaan avustamisvelvollisuus
Sopimuksen voimassaoloaikana asiakas voi kirjallisesti pyytää, että Planeetta Internet avustaa häntä tietosuojalainsäädännön rekisterinpitäjää koskevien velvoitteiden täyttämisessä. Tämä edellyttää, että kyseiset velvoitteet liittyvät asiakkaan Planeetta Internetiltä hankittuihin palveluihin ja kyseiset velvoitteet ovat sellaisia, joiden osalta Planeetta Internetillä on velvollisuus avustaa rekisterinpitäjää. Tämä koskee erityisesti avustamista tietosuojaloukkaustilaanteissa, rekisteröidyn oikeuksien täyttämisessä sekä tietosuojavaikutusten arviointien toteuttamisessa. Planeetan avustaessa asiakasta kaikista kustannuksista vastaa asiakas. Ellei muusta ole sovittu, on Planeetta Internet oikeutettu laskuttamaan avustamiseen käyttämänsä työaika aikaperusteisella veloituksella kulloinkin voimassa olevan hinnaston mukaisesti.
Asiakkaan velvollisuudet
Asiakas toimii rekisterinpitäjänä suhteessa näiden tietosuojaehtojen perusteella käsiteltäviin henkilötietoihin ja asiakas vastaa siitä, että se täyttää kaikki ne velvollisuudet, joita lainsäädäntö edellyttää rekisterinpitäjältä (mm. rekisteröityjen informoiminen, tietosuojaselosteiden laatiminen ja saatavilla pitäminen, riittävien ja lainmukaisten käsittelyperusteiden varmistaminen, mukaan lukien suostumusten hankkiminen, mikäli käsittely suostumusta edellyttää). Asiakas vastaa myös siitä, että tämän Planeetta Internetille antamat käsittelyohjeet ovat lainmukaisia.
Asiakas on velvollinen ilmoittamaan Planeetta Internetille kaikista sellaisista seikoista (mukaan lukien erityiset riskit tai henkilötietoryhmät), jotka saattavat edellyttää ylimääräisten teknillisten tai organisatoristen suojaustoimenpiteiden määrittelemisestä ja sopimista.
Asiakas yksin määrittelee ja vastaa palveluihin tallennetuista tiedoista (mukaan lukien henkilötiedoista) ja siitä, että tällä on oikeus käsitellä ja tallentaa palveluun henkilötietoja ja luovuttaa niitä Planeetta Internetille.. Asiakas määrittelee sekä vastaa myös siitä, mitä henkilötietoja palveluun tallennettaan, mihin tarkoitukseen ja miten niitä käytetään, vaihdetaan tai käsitellään, kenelle tietoja luovutetaan sekä miten tiedon laadusta, ajantasaisuudesta ja poistamisesta tai anonymisoinnista huolehditaan.
Asiakas vastaa itse suorittamastaan henkilötietojen käsittelystä ja palvelun käytöstä. Xxxxxxx on vastuussa myös henkilötietojen käsittelyn eheydestä, turvallisuudesta, ylläpidosta ja asianmukaisesta suojaamisesta sekä sen varmistamisesta, että Asiakas noudattaa kaikkia sovellettavia tietosuoja-, tietoturva- ja turvallisuuslakeja sekä määräyksiä.
Muut ehdot
Planeetta Internet ei ole vastuussa rekisterinpitäjälle mistään sopimusrikkomusten aiheuttamista välillisistä, epäsuorista vahingoista tai kolmansien esittämistä vaatimuksista. Näihin ehtoihin sovelletaan Planeetta Internetin yleisiin palveluehtoihin sisältyviä Planeetta Internetin enimmäisvastuun rajausta koskevia ehtoja.
Liitteen voimaantulo ja sopimuksen päättymisen vaikutukset
Tämä liite tulee voimaan osapuolten välisen hosting-palvelusopimuksen voimaantulon yhteydessä ja pysyy voimassa kyseisen sopimuksen voimassaoloa koskevien ehtojen mukaisesti.
Kohtuullisen ajan kuluttua sopimuksen päätyttyä henkilötietojen käsittelijä joko poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset sekä poistaa tunnuksensa rekisterinpitäjän tietojärjestelmiin, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Siinä tapauksessa henkilötietojen käsittelijällä on oikeus säilyttää henkilötiedot lain vaatimusten mukaisesti, jatkamatta muutoin henkilötietojen käsittelyä ja noudattaen edelleen tässä liitteessä kuvattuja salassapitovelvoitteita. Koska henkilötietojen käsittelijä viime kädessä poistaa hallussaan olevat rekisterinpitäjän henkilötiedot sopimuksen päätyttyä, tulee rekisterinpitäjän ennen sopimuksen päättymistä varmistaa, että sillä on tarvittavat kopiot tai varmuuskopiot näistä tiedoista, mikäli se niitä edelleen tarvitsee sopimuksen päättymisen jälkeen.
KÄSITTELYÄ KOSKEVAT VAATIMUKSET
Käsittelyn luonne: Henkilötietojen käsittely koskee Planeetta internetin tarjoamien palveluiden, kuten verkkosivustojen hosting-palvelun, tarjoamista ja toimittamista asiakkaalle. Planeetta Internet kerää, tallentaa ja käsittelee rekisterinpitäjänä toimivien asiakkaiden henkilötietoja sopimuksen, näiden ehtojen ja sovellettavan lainsäädännön mukaisesti. Koska asiakas yksinomaan päättää mitä henkilötietoja Planeetta Internetin palveluun tallennetaan eikä Planeetta Internet lähtökohtaisesti millään tavoin verifioi tai tarkista näitä tietoja (eikä sillä ole tähän velvollisuutta), voi asiakas tallentaa palveluun mitä tahansa tarpeelliseksi katsomiaan tietoja. Tyypillisesti kuitenkin Planeetta Internetin käsittelemät asiakkaan henkilötiedot saattavat koskea seuraavia henkilötietoryhmiä: nimi, sähköpostiosoite, markkinoinnin suostumukset ja kiellot, tilatut uutiskirjeet, verkkokaupan tilaushistoria ja muu verkkosivuston käyttöön liittyvä data. Tyypillisesti henkilötiedot koskevat seuraavia rekisteröityjen ryhmiä: asiakkaan omat asiakkaat (potentiaaliset ja nykyiset), asiakkaan verkkopalvelujen käyttäjät sekä asiakkaan uutiskirjeiden tilaajat.
ALIHANKKIJAT HENKILÖTIETOJEN KÄSITTELYLLE
Palveluiden päivittäiseen tuottamiseen ei pääsääntöisesti käytetä alihankkijoita. Mikäli alihankkijoita käytetään sovitaan asiasta asiakkaan kanssa erillisellä sopimuksella.