TIETOSUOJAA KOSKEVA SOPIMUSLIITE

TIETOSUOJAA KOSKEVA SOPIMUSLIITE

Päivitetty 17.04.2018

Tämä sopimusliite on olennainen ja erottamaton osa Korttilinna Oy:n yleisiä sopimusehtoja. Mikäli sopimuksen ehtojen ja tämän liitteen ehtojen välillä on ristiriitaisuuksia, saa tämä liite etusijan.

Määritelmät

Tässä liitteessä käytetyt käsitteet saavat sen merkityssisällön, joka niille on annettu Euroopan Unionin asetuksessa 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä “tietosuoja-asetus”). Tällaisia käsitteitä ovat erityisesti termit rekisterinpitäjä, henkilötietojen käsittelijä, henkilötieto, rekisteröity, käsittely ja henkilötietojen tietoturvaloukkaus.

Osapuolet

Korttilinna Oy

Y-tunnus: 2375682-0

Jäljempänä ”toimittaja” tai ”henkilötietojen käsittelijä” tai ”käsittelijä”

Asiakas

Jäljempänä ”asiakas” tai ”rekisterinpitäjä” Jäljempänä yhdessä Sopijapuolet Tarkoitus

Tällä liitteellä osapuolet sopivat siitä, että toimittaja henkilötietojen käsittelijänä käsittelee henkilötietoja asiakkaan, rekisterinpitäjän, lukuun.

Toimittaja käsittelee henkilötietoja ainoastaan sopimuksessa kuvattujen velvoitteiden / tilauksen mukaisten tuotteiden / palveluiden tuottamiseksi tai valmistamiseksi.

Henkilötietojen käsittelijällä ei ole oikeutta käsitellä henkilötietoja mihinkään muuhun tarkoitukseen tai kenenkään muun hyväksi.

Toimittaja saattaa siirtää henkilötietoja EU:n ja ETA:n ulkopuolelle, jos tilattujen tuotteiden valmistaminen tai vallitseva valmistusprosessi sitä vaatii. Tällaisessa tilanteessa henkilötietojen käsittelijän on noudatettava niitä velvoitteita, joita tietosuoja-asetuksessa määritellään kansainvälisille henkilötietojen siirroille EU:n ja ETA:n ulkopuolelle.

Henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos tämä katsoo, että rekisterinpitäjän antamat käsittelyä koskevat kirjalliset ohjeistukset rikkovat tietosuoja-asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä. Tämän liitteen ehtojen lisäksi kumpikin osapuoli sitoutuu noudattamaan sovellettavia kansallisia tietosuojalakeja ja tietosuoja-asetuksen säännöksiä toimintaansa soveltuvin osin.

Käsittelyä koskevat tarkemmat tiedot, kuten käsittelyn luonne ja henkilötietojen tyyppi on kuvattu alaliitteessä A. Asiakkaan vastuulla on pitää listaa käsiteltävistä henkilötiedoista ja toimittaa Toimittajalle

ajantasainen dokumentti. Mikäli asiakas ei toimita erittelyä tiedoista, on toimittajalla oikeus käsitellä suoraan hyväksytyn oikovedoksen mukaiset henkilötiedot oletuksena.

Henkilötietojen toimittaminen

Xxxxxxx on rekisterinpitäjä ja toimittaja on henkilötietojen käsittelijä. Asiakkaan vastuulla on toimittaa henkilötiedot toimittajalle tietoturvallisesti. Toimittaja tarjoaa tietojen toimittamiseen soveltuvat tilausjärjestelmät. Asiakkaan velvollisuutena on huolehtia henkilötietojen keräämisen luvallisuudesta.

Alihankinnat

Henkilötietojen käsittelijällä on oikeus käyttää käsittelyssä toisen henkilötietojen käsittelijän palveluja ilman erillistä ilmoitusta.

Käyttäessään toisen henkilötietojen käsittelijän palveluja, henkilötietojen käsittelijän tulee sopia palveluntarjoajan kanssa, että käsittely tapahtuu noudattaen samoja tietosuojavelvoitteita, kuin mitä tässä liitteessä on kuvattuna. Henkilötietojen käsittelijä vastaa siitä, että sen käyttämän toisen henkilötietojen käsittelijän palvelut toteutetaan tämän liitteen vaatimusten mukaisina.

Salassapito

Kaikkia henkilötietoja joita henkilötietojen käsittelijä käsittelee rekisterinpitäjän lukuun pidetään rekisterinpitäjän luottamuksellisina tietoina ja henkilötietojen käsittelijä sitoutuu pitämään tiedot salassa ja olemaan luovuttamatta tai paljastamatta niitä kenellekään kolmannelle osapuolelle tai käyttämättä tietoja muuhun kuin sovittuun tarkoitukseen. Henkilötietojen käsittelijä sitoutuu myös olemaan luovuttamatta ja paljastamatta henkilötietoja omassa organisaatiossaan muille kuin sellaisille työntekijöilleen tai muille henkilöille (ml. mahdolliset alihankkijat), joiden on tarpeen tuntea kyseinen tieto sovittua tarkoitusta varten ja jotka ovat palvelu- tai muiden sopimustensa perusteella taikka lakisääteisesti velvollisia pitämään tiedon luottamuksellisena. Salassapitovelvoitteet pysyvät voimassa sopimuksen päättymisestä huolimatta. Toimittajan palveluksessa työskentelevillä henkilöillä on salassapitovelvollisuus. Henkilötietoja käsittelevät vain ne henkilöt, joiden työtehtävät sitä edellyttävät.

Tietoturva

Henkilötietojen käsittelijän tulee huolehtia, että se toteuttaa kaikki asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla pyritään estämään henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Toimenpiteet tulee suunnitella huomioiden uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, kuten

a) henkilötietojen pseudonymisointi ja xxxxxx;

b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys

ja vikasietoisuus;

c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen

toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Toimittaja huolehtii riittävän tietoturvan noudattamisesta. Tuotanto- ja varastotiloihin pääsevät vain toimittajan palveluksessa olevat henkilöt. Toimittajan toimitilat ovat suojattu kulunvalvonnalla ja

hälytysjärjestelmällä sekä vartiointipalvelulla. Toimittaja vastaa siitä, ettei tuotantotiloihin tai varastoon pääse ulkopuolisia henkilöitä tai muita asiakkaita. Toimittajan Tietokoneet ovat salasanasuojattuja. Virustorjunta ja palomuurit ovat riittävällä tasolla. Toimittajan palveluksessa olevilla henkilöillä on riittävä koulutus ja perehdytys tietosuojaan ja tietoturvaan liittyen.

Henkilötietojen tietoturvaloukkaukset

Henkilötietojen käsittelijän on ilmoitettava tietoonsa tulleesta käsittelyssä tapahtuneesta henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä, jotta rekisterinpitäjä voi täyttää tietosuoja-asetuksessa määritellyt ilmoitusvelvoitteet asetetussa määräajassa. Tietoturvaloukkauksesta tulee antaa riittävät tiedot ja henkilötietojen käsittelijän tulee muutoinkin avustaa rekisterinpitäjää, jotta rekisterinpitäjä voi täyttää tälle tietosuoja-asetuksessa asetetut velvoitteet. Henkilötietojen käsittelijän tulee myös ryhtyä tarpeellisiin jatkotoimenpiteisiin, joilla henkilötietojen tietoturvaloukkauksen haittavaikutuksia voidaan lieventää tai tulevia loukkauksia estää.

Tietosuojaa koskeva vaikutustenarviointi

Mikäli henkilötietojen käsittelijä tulee tietoiseksi siitä, että suunniteltu käsittely aiheuttaisi korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta, tulee sen ilmoittaa tästä rekisterinpitäjälle ja avustaa tätä tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin toteuttamisessa.

Rekisteröidyn oikeuksien toteuttaminen

Ottaen huomioon käsittelytoimen luonteen, henkilötietojen käsittelijän tulee kohtuudella ja ilman aiheetonta viivästystä auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat tietosuoja-asetuksessa säädettyjen rekisteröidyn oikeuksien käyttämistä. Tällaisia oikeuksia voivat olla muun muassa, sellaisina kuin ne on tietosuoja-asetuksessa määritelty, rekisteröidyn oikeus saada pääsy tietoon, oikeus saada tieto korjatuksi, oikeus kieltää käsittely, oikeus tietojen poistamiseen (ns. “oikeus tulla unohdetuksi”), oikeus käsittelyn rajoittamiseen ja oikeus saada tiedot siirretyksi järjestelmästä toiseen. Mikäli tällaisia vaatimuksia esitetään suoraan henkilötietojen käsittelijälle, sen tulee viipymättä ilmoittaa niistä rekisterinpitäjälle.

Mikäli rekisteröity on ilmoittanut suoraan toimittajalle oikeuksiensa käyttämisestä, sopivat toimittaja ja asiakas yhdessä, kumpi taho pyyntöön vastaa. Toimittajalla on oikeus veloittaa Asiakasta tietojen lähettämisestä, tarkistamisesta, muuttamisesta tai poistamisesta kulloinkin voimassaolevan palveluhinnaston mukaisesti.

Auditoinnit

Henkilötietojen käsittelijän tulee saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tietosuoja-asetuksessa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja henkilötietojen käsittelijä sallii ja kohtuudella avustaa rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat tarkastukset erikseen sovittavalla tavalla. Henkilötietojen käsittelijä osallistuu itse tarkastuksiin, mikäli rekisterinpitäjä katsoo tarpeelliseksi sellaisen toteuttamisen.

Tarkastukset pyritään suorittamaan normaalin työajan puitteissa siten, että niistä aiheutuisi mahdollisimman vähän haittaa henkilötietojen käsittelijän liiketoiminnalle. Kumpikin osapuoli vastaa omista auditoinnin suorittamiseen liittyvistä kustannuksistaan. Rekisterinpitäjän tulee ilmoittaa henkilötietojen käsittelijälle vähintään 60 päivää etukäteen auditoinnin toteuttamisesta.

Liitteen voimaantulo ja sopimuksen päättymisen vaikutukset

Tämä liite tulee voimaan, kun rekisterinpitäjä toimittaa henkilötiedot toimittajalle ja pysyy voimassa niin kauan, kun toimittaja käsittelee rekisterinpitäjän toimittamia henkilötietoja rekisterinpitäjän lukuun. Toimitettuja henkilötietoja voidaan käsitellä niin kauan, kuin tuotteet / palvelun tarjoamisen / valmistamisen osalta on tarpeellista.

Sopimuksen päättyessä henkilötietojen käsittelijän tulee poistaa kaikki henkilötiedot ja jäljennökset ellei rekisterinpitäjä toisin kirjallisesti vaadi. Toimittajan tulee suorittaa henkilötietojen poisto kohtuullisen ajan kuluessa sopimuksen päättymisen jälkeen.

ALALIITE A: KÄSITTELYÄ KOSKEVAT VAATIMUKSET

Käsittelyn luonne:

Henkilötietoja vaativien muovikorttien (Henkilökortit, työmaakortit, jäsenkortit, lahjakortit, muiden korttien) tai muiden tuotteiden valmistukseen toimitettavat henkilötiedot.

Henkilötietojen käsittelijä saa käsitellä yhtä tai useampaa seuraavista henkilötietoja liitteessä ja sopimuksessa kuvatun tarkoituksen edistämiseksi:

- Nimi

- Titteli

- Toimenkuva

- Osasto

- Sähköpostiosoite

- Puhelinnumero

- Pätevyydet

- Valokuva

- Syntymäaika

- Veronumero

- Asiakasnumero tai muu numero

- Asiakastaso (esim. Gold tai silver)

- Kulkukoodi

- Muu yksilöivä tieto