Soveltamisala, roolit ja lait
Soveltamisala, roolit ja lait
Tietosuojasopimusliitettä sovelletaan Sovi Agreements:n tarjoamiin palveluihin ja ohjelmistoihin (Palvelu). Henkilötietojen käsittelyssä Asiakas on ”Rekisterinpitäjä” ja Sovi Agreements on ”Henkilötietojen käsittelijä”.
Tässä tietosuojasopimuksessa laeilla tarkoitetaan tietosuojaan, yksityisyyden suojaan, tietoturvaan sovellettavia lakeja mukaan lukien mutta ei rajoittuen EU direktiivit 95/45/EY; 2002/58/EY ja kaikki muutokset, korvaukset ja uudistukset tästä eteenpäin mukaan lukien EU:n yleinen tietosuoja-asetus 2016/679, sekä kaikki sitovat kansalliset lait, jotka toimeenpanevat EU Direktiivejä ja muut tämän sopimuksen perusteella tehtyyn henkilötietojen käsittelyyn sovellettavat tietosuojaan, yksityisyyden suojan sekä tietoturvaan liittyvät direktiivit, lait, asetukset ja päätökset.
enkilötietojen käsittely
Henkilötietojen käsittelijä sitoutuu noudattamaan henkilötietojen käsittelyssä siihen soveltuvia lakeja. Henkilötietojen käsittelijä sitoutuu avustamaan rekisterinpitäjää lakisääteisten velvoitteiden toteuttamisessa liittyen rekisteröityjen tietopyyntöihin tai tietosuojavaikutusten arviointeihin. Henkilötietojen käsittelijä voi laskuttaa rekisterinpitäjää erikseen esitettyjen pyyntöjen tai vaatimusten täyttämisestä.
Laillisten velvollisuuksien toteuttamiseksi henkilötietojen käsittelijä voi avustaa rekisterinpitäjää rekisteröidyn oikeuksien toteuttamisessa näin kirjallisesti pyydettäessä. Henkilötietojen käsittelijä voi toimittaa rekisterinpitäjälle kopion rekisteröidyn henkilötiedoista tai korjata rekisteröidyn tietoja.
Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun vain palvelun tarjoamisen edellyttämällä tavalla ja yleisissä palveluehdoissa sovitun mukaisesti. Käsittelijä voi tarvittaessa siirtää henkilötietoja samaan konserniin kuuluville yhtiöille tai alihankkijoilleen. Henkilötietojen käsittelijä voi lakien puitteissa käsitellä rekisterinpitäjän palvelua käyttävien työntekijöiden tietoja palveluntarjoamiseksi sekä asiakkuusviestintään.
Henkilötietojen käsittelijä voi myös käsitellä tietoa, jota ei voida yhdistää yksittäiseen henkilöön sekä rekisterinpitäjälle tarjottujen palveluiden parantamiseen ja tuotekehitykseen, tilastoinnin ja raporttien laatimiseen tai esimerkiksi tämän tietosuojaliitteen sekä palvelun tarjoamiseen vaadittavien oikeuksien ja velvollisuuksien täyttämiseen.
Henkilötietojen käsittelijä voi tietosuojalausekkeensa ja muiden sopimusten mukaisesti käsitellä henkilötietoja rekisterinpitäjänä, silloin kun se tarjoaa palveluitaan suoraan rekisteröidyille. Palvelun käytön parantamiseksi ja kehittämiseksi henkilötietojen käsittelijä saa käyttää evästeitä tai muita vastaavia tekniikoita seuratakseen palvelun käyttöä tai kävijämääriä.
Rekisterinpitäjä vastaa palveluun lisäämänsä tiedon paikkansapitävyydestä, eheydestä ja laillisuudesta. Rekisterinpitäjällä tulee olla lupa kaiken palveluun lisäämänsä tiedon käytölle, sekä rekisterinpitäjä on täyttänyt kaikki tarvittavat viranomaisille henkilötietojen käsittelyyn liittyen tehtävät ilmoitukset ja/tai lupien hankintaa koskevat velvollisuudet.
Rekisterinpitäjän tulee käyttää henkilötietojen käsittelijän tarjoamaa palvelua käyttöehtojen mukaisesti. Rekisterinpitäjän ei tule käsitellä palvelussa arkaluonteisia henkilötietoja.
Tietojen poistaminen
Rekisterinpitäjän kirjallisesta pyynnöstä sopimuksen päättyessä voi henkilötietojen käsittelijä poistaa vallitsevan lainsäädännön puitteissa kaikki rekisterinpitäjän palvelun tarjoamiseen liittyvät henkilötiedot ja tämän jälkeen poistaa tiedot järjestelmistään, ellei voimassa oleva lainsäädäntö velvoita henkilötietojen käsittelijää säilyttämään tietoja pidempään. Henkilötietojen käsittelijä edellyttää, että myös alihankkijat ja konserniyhtiöt poistavat tiedot vastaavasti.
Tietojen luovutus ja siirrot
Henkilötietojen käsittelijä ilmoittaa rekisterinpitäjälle tietopyynnöistä, jotka koskevat rekisterinpitäjän henkilötietoja. Mikäli lainsäädäntö edellyttää henkilötietojen käsittelijää pitämään tietopyynnön salassa rekisterinpitäjältä, ei tietopyynnöstä ilmoiteta rekisterinpitäjälle.
Palvelun laadun parantamiseksi, sekä palvelun toiminnan varmistamiseksi ja turvaamiseksi henkilötietojen käsittelijä voi siirtää tai varmuuskopioida palvelun tietoja (myös henkilötietoja) EU / ETA alueen ulkopuolelle. Palveluja hankitaan ainoastaan GDPR – hyväksytyiltä palveluntarjoajilta.
Tietoturva, tietoturvaloukkaus ja auditointi
Henkilötietojen käsittelijän tulee varmistaa, että tietoturvan taso vastaa niitä riskejä, joita liittyy henkilötietojen käsittelyyn ottaen huomioon uusimman tekniikan ja kohtuulliset täytäntöönpanokustannukset. Suojatakseen henkilötietoja asiattomalta pääsyltä, vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, lain edellyttämällä tavalla ja rekisterinpitäjän mahdollisten kohtuullisten kirjallisten ohjeiden mukaisesti, on henkilötietojen käsittelijän toteutettava ja ylläpidettävä asianmukaista tietoturvatasoa.
Henkilötietojen käsittelijän tulee rajoittaa pääsy henkilötietoihin vain sellaisille asianmukaisesti koulutetuille työntekijöilleen, jotka tarvitsevat rooliinsa perustuen pääsyn tietoihin ja joita sitoo asianmukaiset salassapitovelvollisuudet.
Henkilötietojen käsittelijän tulee kirjallisesti ilmoittaa rekisterinpitäjälle saadessaan tietää henkilötietojen tietoturvaloukkauksesta, jotta Rekisterinpitäjä voi täyttää lakisääteisen tietoturvaloukkauksiin liittyvän ilmoitusvelvollisuutensa tietosuojaviranomaisille ja Rekisteröidyille. Henkilötietojen käsittelijän tulee tällöin myös pyrkiä mahdollisimman nopeasti ratkaisemaan ongelmat, jotka johtivat tietoturvaloukkauksen ja pyrkiä rajoittaa mahdollisia lisävahinkoja. Rekisterinpitäjän pyynnöstä henkilötietojen käsittelijä voi tehdä Lakien vaatimat ilmoitukset rekisteröidyille tai viranomaisille.
Henkilötietojen käsittelijä vastaa siitä, miten rekisterinpitäjä käyttää henkilötietojen käsittelijän tarjoamaa API-rajapintaa tai vastaavaa palvelua kolmannen osapuolen ohjelmistojen integroimiseksi käsittelijän tarjoamaan palveluun. Rekisterinpitäjä vastaa yksin täysin kaikista integraatioista.
Rekisterinpitäjä tai erillinen kolmas osapuoli tämän pyynnöstä, voi auditoida henkilötietojen käsittelijän käsittelytoimenpiteitä etukäteen hyväksytyn auditointisuunnitelman mukaisesti. Mikäli auditoinnissa selviää, etteivät tämän liitteen tai lakien mukaiset vaatimukset toteudu, on henkilötietojen käsittelijän toteutettava kaikki tarvittavat toimenpiteet vaatimusten mukaisen tason saavuttamiseksi. Auditoinnin kustannuksista vastaa rekisterinpitäjä.
Rekisterinpitäjä hyväksyy henkilötietojen käsittelijän tässä liitteessä esittämät yksityisyyden suojan ja henkilötietojen riittävän suojaamisen edellyttämät tekniset ja turvatoimet.
Alihankkijat
Henkilötietojen käsittelijä käyttää kaikkia henkilötietoja käsitellessään tai mahdollisissa muutoksissa henkilötietojen käsittelyyn alihankintaa henkilötietojen käsittelyn kuvauksessa mainituilta alihankkijoilta. Henkilötietojen käsittelijä edellyttää kaikkia alihankkijoita noudattamaan vähintään samoja vaatimuksia, kuin mitä henkilötietojen käsittelijään kohdistuu tämän sopimuksen tai soveltuvien lakien mukaisesti.
Henkilötietojen käsittelijä ilmoittaa rekisterinpitäjälle mahdollisista uusista alihankkijoista 30 päivää ennen, kuin uusi alihankkija aloittaa henkilötietojen käsittelyn.
Sopimuksen voimaantulo ja päättäminen
Tätä tietosuojasopimusliitettä sovelletaan toistaiseksi ja niin pitkään, kun henkilötietojen käsittelijä käsittelee henkilötietoja. Tämä tietosuojasopimusliite on voimassa niin pitkään kuin on tarpeen, jotta osapuolten välisen sopimuksen irtisanomisen tai päättymisen jälkeen tehtävät toimenpiteet saadaan toteutettua.
Rekisterinpitäjällä on oikeus irtisanoa sopimus 30 päivän kuluessa siitä, kun henkilötietojen käsittelijä ilmoittaa uudesta alihankkijastaan. Velvoitteet, jotka luonteensa puolesta pysyvät voimassa sopimuksen irtisanomisen tai päättymisen jälkeen pysyvät voimassa.
Mikäli jokin tämän liitteen kohdista on ristiriidassa jossain muussa henkilötietojen käsittelijän ja rekisterinpitäjän välisessä sopimuksessa henkilötietojen käsittelyyn liittyen, sovelletaan tällä tietosuojasopimusliitteellä sovittuja ehtoja.
Rekisterinpitäjä on yksinomaan vastuussa Käsittelijälle luovutettujen henkilötietojen paikkansapitävyydestä, eheydestä, sisällöstä, luotettavuudesta ja laillisuudesta. v.
Rekisterinpitäjä on täyttänyt kaikki pakolliset viranomaisille henkilötietojen käsittelyyn liittyen tehtävät ilmoitukset ja lupien hankintaa koskevat velvollisuudet ja vaatimukset. vi. Rekisterinpitäjä on täyttänyt velvollisuutensa tarjota oleellisia Rekisteröityjen henkilötietojen käsittelyyn liittyviä tietoja Rekisteröidyille sovellettavan pakollisen tietosuojasääntelyn mukaisesti. vii.
Rekisterinpitäjä on hyväksynyt, että Käsittelijän tässä liitteessä esittämät Rekisteröidyn yksityisyyden suojan ja henkilötietojen riittävän suojaamisen edellyttämät tekniset ja organisatoriset turvatoimet ovat riittävät. viii. Rekisterinpitäjä käyttää Käsittelijän tarjoamia palveluja palvelusopimuksen mukaisesti ja ei välitä Käsittelijälle arkaluonteisia henkilötietoja kuin ainoastaan tämän liitteen kohdassa A yksiselitteisesti määritetyissä tapauksissa. ix. Rekisterinpitäjä ylläpitää ajantasaista rekisteriä sellaisista käsittelemiensä henkilötietojen tyypeistä ja ryhmistä, joiden käsittely poikkeaa tämän liitteen kohdan A mukaisista henkilötietojen tyypeistä ja ryhmistä.
enkilötietojen käsittelyn kuvaus, Rekisterinpitäjä: Rekisterinpitäjä on Asiakas, joka käyttää Xxxx.xx -palvelua.
enkilötietojen käsittelijä: Henkilötietojen käsittelijä on Sovi Agreements, joka käsittelee henkilötietoja osana Xxxx.xx -palvelun tarjoamiseksi rekisterinpitäjille.
Rekisteröidyt: Henkilötiedot, joita käsitellään koskevat rekisterinpitäjän palveluun lisäämiä ja palveluun liittämien asiakirjojen sisältämiä tietoja. Rekisteröidyt voivat olla sekä kuluttaja- asiakkaita, että yrityksiä tai yhteisöjä ja heidän edustajiaan.
Tietosisältö: Rekisterinpitäjän kirjautumistiedot, yhteystiedot, palvelun mahdollistavien asiakasviestien tiedot, tiedot asiakkaan tilaamista palveluista, laskutustiedot.
Rekisterinpitäjän palveluun lisäämät ja lataamat tiedot.
Arkaluonteiset henkilötiedot: Palvelussa ei käsitellä arkaluonteisia henkilötietoja.
Tietojen säännönmukainen luovutus: Rekisteröidyille palvelun mahdollistamiseksi. Erillisen harkinnan mukaan myös rekisteröidyn suostumukseen, viranomaispyyntöön tai lakiin perustuen.
yväksytyt alihankkijat: Henkilötietoja käsittelee seuraavat hyväksytyt alihankkijat: Google Ireland Limited (EU) – Asiakirjojen suojattu säilytys Nets (EU) – Osapuolten vahva tunnistaminen
Telia (EU) – Tietokannat
Heroku (EU) – Ohjelmiston ajoympäristö Mailchimp (USA) – Sähköposti-ilmoitukset