Schenker Oy:n yleiset sopimusehdot Tietosuojaliite

Schenker Oy:n yleiset sopimusehdot Tietosuojaliite

Henkilötietojen käsittelyn vaatimukset

1 Tausta ja tarkoitus

Tämä tietosuojaliite ”Henkilötietojen käsittelyn vaatimukset” on osa sopimusta, jonka Asiakas on solminut Schenker Oy:n kanssa (jäljempänä ”Sopi- mus”) ja sen ehtoja sovelletaan Osapuolten välisessä sopimussuhteessa, elleivät Osapuolet ole sopineet kirjallisesti toisin.

Tämä sopimusliite on erottamaton osa Osapuolten välistä Sopimusta. Tähän sopimusliitteeseen sovelle- taan Sopimuksen määritelmiä ja muita soveltuvia määräyksiä. Sopimuksen ja tämän sopimusliitteen ristiriitatilanteessa, sovelletaan ensisijaisesti Sopi- muksen määräyksiä.

Tässä sopimusliitteessä määritellään Asiakasta ja Palveluntuottajaa sitovasti ne henkilötietojen käsit- telyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palveluntuottaja toimeksiannosta käsitte- lee henkilötietoja Asiakkaan puolesta ja lukuun So- pimuksessa olevien sopimusehtojen lisäksi.

2 Henkilötietojen käsittelyä ja tietosuojaa kos- kevan lainsäädännön noudattaminen

Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassaolevaa henkilötietojen käsittelyä ja tietosuojaa koskevaa lainsäädäntöä. Lisäksi Osa- puolet sitoutuvat saattamaan henkilötietojen käsitte- lyn ja tietosuojan EU:n yleisen tietosuoja-asetuksen (jäljempänä ”GDPR”) vaatimustasolle.

Jos jokin tämän sopimusliitteen tai Sopimuksen ehto olisi GDPR:n tai muun henkilötietojen käsittelyä ja tietosuojaa koskevan sovellettavan lainsäädännön (jäljempänä ”tietosuojalainsäädäntö”) tai niiden perusteella tehtyjen tulkintojen mukaan arvioituna puutteellinen, pätemätön tai mitätön, osapuolet sitoutuvat neuvottelemaan asiasta ja muuttamaan tai täydentämään tätä sopimusliitettä ja/tai Sopimusta tarpeellisella tavalla. Palveluntuottajalle tällaisessa tapauksessa syntyvien lisäkustannusten korvaami- nen on määritelty sopimusliitteen kohdassa 7.

3 Rekisterinpitäjän velvollisuudet

3.1 Rekisterinpitäjän yleisvelvoitteet

Asiakas on tietosuojalainsäädännön mukainen rekis- terinpitäjä. Asiakas sitoutuu noudattamaan kaikkia tietosuojalainsäädännön mukaisia rekisterinpitäjän velvollisuuksia. Asiakas on vastuussa siitä, että hen- kilötietojen käsittely ja tietosuoja on järjestetty tie- tosuojalainsäädännön ja mahdollisesti sovellettavan muun erityislainsäädännön mukaisesti. Asiakas vas- taa siitä, että Asiakkaalla on laillinen oikeus ulkoistaa henkilötietojen käsittely Palveluntuottajalle Sopi- muksessa ja tässä sopimusliitteessä kuvatulla tavalla.

3.2 Palveluntuottajan ja Palveluiden tarkista- minen

Asiakkaalla on velvollisuus ennen Sopimuksen allekir- joittamista varmistaa, että Palveluntuottaja ja Palve- lut täyttävät tietosuojalainsäädännössä asetetut edellytykset ja vaatimukset.

Asiakas on ennen Sopimuksen allekirjoittamista eri- tyisesti varmistanut sen, että Palveluntuottaja on toteuttanut riskiä vastaavan turvallisuustason mu- kaisesti asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuu- den varmistamiseksi ottaen huomioon uusin tekniik- ka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. Asiakas on myös erityisesti varmistanut sen, että Palveluntuottajan noudattamat ja tarjoamat ratkaisut ja Palvelut täyttävät myös Asiakkaan aset- tamat tietosuojan ja tietoturvallisuuden vaatimukset ja että näillä Palveluntuottajan tarjoamilla ratkaisuil- la myös toteutetaan tietosuojalainsäädännön mukai- set rekisteröityjen oikeudet.

Asiakas on todennut Palveluntuottajan ja Xxxxxxxx- den täyttävän tietosuojalainsäädännössä ja muussa mahdollisesti sovellettavassa lainsäädännössä asetetut edellytykset ja vaatimukset.

Asiakas sitoutuu ennen käsittelytoimeksiannon an- tamista Palveluntuottajalle varmistamaan, että Asi- akkaalla on laillinen oikeus käsitellä henkilötietoja kyseisen käsittelytoimeksiannon mukaisella tavalla ja antaa kyseinen käsittelytoimeksianto Palveluntuotta- jalle.

3.3 Ohjeet henkilötietojen käsittelyä ja tie- tosuojaa koskien

Asiakas sitoutuu ohjeistamaan Palveluntuottajaa Asiakkaan puolesta ja lukuun tehtävän henkilötieto- jen käsittelyn osalta tietosuojalainsäädännön mukai- sesti, ja Asiakas antaa Palveluntuottajalle henkilötie- tojen käsittelyä ja tietosuojaa koskevat sekä muut mahdolliset ohjeet ennen Palveluntuottajan Palve- luiden alkamista (jäljempänä ”Ohjeet”).

Asiakkaan antamissa Ohjeissa tulee kuvata vähintään seuraavat asiat: henkilötietojen käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus sekä henkilötie- tojen tyyppi ja rekisteröityjen ryhmät. Lisäksi Ohjeis- sa on yksilöity kuvaus siitä, millä tavalla Asiakas edellyttää Palveluntuottajan avustavan Asiakasta rekisteröityjen oikeuksien toteuttamisessa.

Asiakas vastaa siitä, että kyseiset henkilötietojen käsittelyä ja tietosuojaa koskevat sekä muut mahdol- liset Ohjeet ovat tietosuojalainsäädännön mukaisia ja täyttävät tietosuojalainsäädännön sekä muun mah- dollisesti sovellettavan lainsäädännön vaatimukset.

Asiakkaalla on oikeus muuttaa tai täydentää Ohjeita, jos tietosuojalainsäädäntö ja/tai muu sovellettava lainsäädäntö sitä edellyttää tai jos muuttaminen tai täydentäminen on perusteltua Asiakkaan muuttunei- den aihetta koskevien käytäntöjen, toimintamallien tai teknisten prosessien vuoksi. Asiakkaan tulee toi- mittaa Ohjeita koskevat muutokset Palveluntuotta- jalle kirjallisesti. Palveluntuottajalle tällaisessa ta- pauksessa syntyvien lisäkustannusten korvaaminen on määritelty sopimusliitteen kohdassa 7.

4 Henkilötietojen käsittelijän velvollisuudet

4.1 Henkilötietojen käsittelijän yleisvelvoitteet

Palveluntuottaja on tietosuojalainsäädännön mukai- nen henkilötietojen käsittelijä, joka käsittelee Asiak- kaan henkilötietoja Asiakkaan puolesta ja lukuun.

Palveluntuottaja sitoutuu toteuttamaan Palveluiden yhteydessä tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmista- miseksi siten kuin sopimusliitteen kohdassa 3.2 on kuvattu. Palveluntuottajalla on oikeus kehittää ja päivittää kyseisiä teknisiä ja organisatorisia toimen- piteitä asianmukaiseksi katsomallaan tavalla.

Palveluntuottaja antaa Asiakkaalle Palveluistaan ja teknisistä sekä organisatorisista toimenpiteistä tieto- ja Asiakkaan pyyntöjen mukaisesti. Osapuolten nou- dattama yhteistyömenettely on kuvattu tarkemmin sopimusliitteen kohdassa 7.

Palveluntuottaja sallii Asiakkaan tai Asiakkaan val- tuuttaman auditoijan suorittaa Palveluita koskevia auditointeja ja tarkastuksia siltä osin kuin on kysy- mys Palveluiden tuottamisesta Asiakkaalle sekä Asi- akkaan henkilötietojen käsittelystä. Auditointia kos- kevat tarkemmat ehdot on määritelty tämän sopi- musliitteen kohdassa 6.

4.2 Rekisterinpitäjän ohjeiden noudattaminen

Palveluntuottaja sitoutuu noudattamaan Asiakkaan henkilötietojen käsittelyssä Asiakkaan antamia lain- mukaisia Ohjeita.

Jos Palveluntuottaja havaitsee, että Asiakkaan anta- mat Xxxxxx olisivat Palveluntuottajan käsityksen mukaan tietosuojalainsäädännön vastaisia, Palvelun- tuottajalla on oikeus ilmoittaa asiasta Asiakkaalle kirjallisesti. Osapuolet selvittävät havaitut poik- keamat yhteistyömenettelyssä, jota on kuvattu sopi- musliitteen kohdassa 7.

4.3 Palveluntuottajan henkilöstö

Palveluntuottaja varmistaa, että kaikki henkilöt, joilla on oikeus osana Palveluita käsitellä Asiakkaan henkilötietoja, ovat sitoutuneet noudattamaan salas- sapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

Palveluntuottaja varmistaa, että kaikki henkilöt, joilla on oikeus osana Palveluita käsitellä Asiakkaan henkilötietoja, käsittelevät niitä ainoastaan Asiak- kaan Ohjeiden mukaisesti.

4.4 Alihankkijoiden käyttäminen

Palveluntuottajalla on oikeus käyttää alihankkijoita Palveluiden tuottamisen yhteydessä käsitellessään henkilötietoja Asiakkaan puolesta ja lukuun.

Palveluntuottajalla on velvollisuus sitouttaa alihank- kijat, jotka henkilötietojen käsittelijöinä käsittelevät Asiakkaan henkilötietoja Asiakkaan puolesta ja lu- kuun, tässä sopimusliitteessä kuvattuihin henkilötie- tojen käsittelijää koskeviin velvollisuuksiin.

Jos kuitenkin kyseinen alihankkija sijaitsee EU:n alueen ulkopuolella ja Asiakas on allekirjoittanut kyseisen alihankkijan kanssa EU:n komission malli- lausekkeiden mukaisen sopimuksen henkilötietojen siirrosta EU:n alueen ulkopuolelle, Asiakas on yksin vastuussa kyseisestä henkilötietojen siirrosta EU:n alueen ulkopuolelle sekä kyseisen mallisopimuslau- sekesopimuksen mukaisten velvollisuuksien mahdol- lisista laiminlyönneistä tai rikkomisista alihankkijan toimesta ja niiden seuraamuksista ja vahingoista.

4.5 Avustamisvelvollisuus

Palveluntuottaja ilmoittaa Asiakkaalle rekisteröity- jen pyynnöistä, jotka koskevat tietosuojalainsäädän- nön mukaisten rekisteröidyn oikeuksien käyttämistä.

Palveluntuottaja ja Asiakas voivat erikseen sopia, että Palveluntuottaja avustaa tarvittaessa Asiakasta GDPR:n mukaisen tietosuojaa koskevan vaikutus- tenarvioinnin tekemisessä, mahdollisessa ennakko- kuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Asiakas suorittaa niistä Palveluntuottajalle korvauksen, jolla Asiakas korvaa niistä Palveluntuottajalle aiheutuneet kustannukset täysimääräisesti.

4.6 Henkilötietojen siirto EU:n alueen ulkopuo- lelle

Palveluntuottaja saa siirtää Asiakkaan henkilötietoja EU:n alueen ulkopuolelle.

Siirrettäessä Asiakkaan henkilötietoja EU:n alueen ulkopuolelle rekisterinpitäjä on varmistanut, että sillä oikeus suorittaa siirto ja että siirto EU:n alueen ulkopuolelle sekä henkilötietojen käsittely EU:n alu-

een ulkopuolella tapahtuu tietosuojalainsäädännön vaatimusten mukaisesti.

Palveluntuottaja hyödyntää EU:n komission hyväk- symiä mallisopimuslausekkeita tai muita asianmu- kaisia suojatoimia siirtäessään henkilötietoja EU:n ulkopuolella sijaitseville alihankkijoilleen.

4.7 Palveluntuottajan Palveluiden päättymiseen liittyvät velvollisuudet

Palveluntuottaja ryhtyy kaikkiin kohtuullisiin toi- menpiteisiin poistaakseen Asiakkaan puolesta ja lukuun Palveluntuottajan käsittelemät henkilötiedot tai palauttaakseen Asiakkaalle Asiakkaan puolesta ja lukuun Palveluntuottajan käsittelemät henkilötiedot sopimussuhteen voimassaolon päätyttyä. Xxxxxxxx- tuottaja myös poistaa sen järjestelmissä mahdollises- ti olevat jäljennökset kyseisistä henkilötiedoista, paitsi jos Palveluntuottajaa velvoittavassa lainsää- dännössä vaaditaan säilyttämään kyseiset henkilö- tiedot. Palveluntuottajalla on oikeus ja velvollisuus sopimussuhteen voimassaolon päätyttyä säilyttää henkilötietoja sen kohtuullisen ajan mitä vaaditaan ja on tarpeellista Palveluntuottajan lakisääteisten il- moitus- ja muiden velvoitteiden täyttämiseksi, Sopi- mukseen tai Palveluiden käyttöön liittyvien laskutus- ja tilitystoimintojen loppuunsaattamiseksi, las- kuepäselvyyksien selvittämiseksi tai väärin suoritet- tujen maksu- tai ostotapahtuminen jäljittämiseksi, mahdollisiin reklamaatioihin ja vahingonkorvausvaa- teisiin vastaamiseksi ja muiden vastaavien erityisti- lanteiden vuoksi. Asiakas sisällyttää tarkemmat oh- jeet ja lisätiedot näistä Palveluntuottajan velvolli- suuksista Ohjeisiinsa.

5 Tietovuodot ja muut henkilötietojen tietoturvaloukkaukset

5.1 Yleisvelvoitteet

Asiakkaan on tehtävä tietosuojalainsäädännössä kuvatut ilmoitukset niitä koskevien vaatimusten mukaisesti ja määräajassa sekä suoritettava kaikki henkilötietojen tietoturvaloukkauksia koskevat vel- vollisuudet.

Palveluntuottaja sitoutuu avustamaan Asiakasta sopimusliitteen kohdassa 5.2 kuvatulla tavalla, jos

Sopimuksen voimassaoloaikana ilmenee Palvelun- tuottajan Xxxxxxxx koskeva ja sellaisiin henkilötietoi- hin, joita Palveluntuottaja käsittelee Asiakkaan puo- lesta ja lukuun, kohdistuva henkilötietojen tietotur- valoukkaus.

5.2 Palveluntuottajan ilmoitusvelvollisuus

Palveluntuottajan on ilmoitettava kirjallisesti esi- merkiksi sähköpostia käyttäen henkilötietojen tieto- turvaloukkauksesta Asiakkaalle ilman aiheetonta viivytystä.

Palveluntuottaja antaa mahdollisuuksien mukaan Asiakkaalle tietoja henkilötietojen tietoturvaloukka- uksesta kuten esimerkiksi kuvaa henkilötietojen tietoturvaloukkausta, sen todennäköisiä seurauksia ja antaa toimenpide-ehdotuksia.

6 Tarkastusoikeus

Voidakseen varmistaa, että Palveluntuottaja noudat- taa tämän sopimusliitteen ehtoja, Asiakkaalla on tämän sopimusliitteen voimassaoloaikana oikeus tarkastaa ja saada tietoja Palveluntuottajalta siltä osin kuin on kysymys henkilötietojen käsittelystä Asiakkaan puolesta ja lukuun Palveluntuottajan toi- mesta ja tässä tarkoituksessa saada Palveluntuotta- jalta henkilötietojen käsittelyyn liittyviä tietoja sen arvioimiseksi, onko Tietosuojaliitteen velvoitteet täytetty ja Osapuolet noudattaneet henkilötietojen käsittelyyn liittyviä velvollisuuksia.

Asiakkaan tulee suorittaa sopimukseen liittyvien Palveluntuottajan tietosuojakäytäntöjen tarkastus tai auditointi omalla kustannuksellaan ja normaalei- na toimistoaikoina Palveluntuottajan toimitiloissa tai vastaavassa paikassa aiheuttamatta kohtuutonta häiriötä Palveluntuottajan normaalille liiketoiminnal- le.

7 Yhteistyömenettely

Palveluntuottaja ja Asiakas sitoutuvat vastaamaan toistensa tämän sopimusliitteen mukaisia aiheita koskeviin tiedusteluihin ja yhteydenottoihin kohtuul- lisessa ajassa, ellei muusta määräajasta ole tässä sopimusliitteessä erikseen sovittu.

Jos Osapuoli on sitä mieltä, että tämän sopimusliit- teen sisältöä tulisi muuttaa sopimusliitteen kohdassa 2 kuvatussa tilanteessa, tai jos Asiakas päättää muut- taa tai täydentää Ohjeita kohdassa 3.3 kuvatulla tavalla, tai jos Palveluntuottaja havaitsee, että Asi- akkaan ohjeet voisivat Palveluntuottajan käsityksen mukaan olla tietosuojalainsäädännön vastaisia koh- dassa 4.2 kuvatulla tavalla, Osapuolet neuvottelevat kyseisestä aiheesta hyvässä yhteisymmärryksessä tavoitteenaan sopia sellaisesta muutoksesta tähän sopimusliitteeseen, että tämä sopimusliite kyseisen muutoksen jälkeen vastaa tietosuojalainsäädännön vaatimuksia.

Palveluntuottajalla on oikeus keskeyttää Asiakkaan henkilötietojen käsittely edellisessä kappaleessa kuvattujen tilanteiden selvittämisen ajaksi, eikä tällaista Palveluntuottajan suorittamaa keskeytystä pidetä Sopimuksen tai sopimusliitteiden mukaisten Palveluntuottajan velvollisuuksien laiminlyöntinä, viivästyksenä, virheenä tai sopimusrikkomuksena. Asiakas on henkilötietojensa käsittelystä ja antamis- taan Ohjeista sekä niiden seuraamuksista vastuussa tässä kohdassa kuvattujen osapuolten neuvottelujen ajan riippumatta siitä, jatkaako Palveluntuottaja henkilötietojen käsittelyä vai päättääkö Xxxxxxxx- tuottaja keskeyttää kyseisten henkilötietojen käsitte- lyn tilanteen selvittämisen ajaksi.

Jos tässä kohdassa kuvatuista tilanteista tai muutok- sista aiheutuu Palveluntuottajalle lisäkustannuksia, Asiakas on velvollinen korvaamaan nämä lisäkustan- nukset Palveluntuottajalla täysimääräisesti Palvelun- tuottajan esittämien selvitysten mukaisesti.

8 Voimassaolo

Tämän sopimusliite on voimassa Sopimuksen voi- massaoloajan, ja sen jälkeen sopimusliite on vielä voimassa niin kauan kunnes Palveluiden yhteydessä Palveluntuottajan Asiakkaan puolesta ja lukuun kä- sittelemät henkilötiedot on joko poistettu tai palau- tettu Asiakkaalle Asiakkaan Ohjeiden mukaisesti ja kohdassa 4.7 kuvatut Palveluntuottajan velvollisuu- det on suoritettu loppuun.

Muilta kuin tässä liitteessä sovituin osin noudatetaan Osapuolten välisen Sopimuksen ehtoja.