A. Tämä sopimus henkilötietojen käsittelystä (“Tietojenkäsittelysopimus”) on osa Asiakkaan Myyyntisopimusta tai muuta pääsopimusta (“Sopimus”), jonka mukaisesti Toimittaja toimittaa palveluita Asiakkaalle. Tietojenkäsittelysopimus sisältyy Palvelusopimukseen sen liitteenä.
B. Tämä Tietojenkäsittelysopimus määrittää ne ehdot, joiden mukaisesti Toimittaja käsittelee henkilötietoja Asiakkaan puolesta osana Sopimusta.
C. Toimittaja toimii Käsittelijänä ja Asiakas Rekisterinpitäjänä. Kyseiset roolit ovat tarkemmin määritelty EU:n yleisessä tietosuoja-asetuksessa.
1.1 Tietosuojalait tarkoittaa Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä niiden tietojen vapaasta liikkuvuudesta ("GDPR");
1.2 Tietoturvaloukkaus tarkoittaa tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
1.3 EU:n mallilausekkeet tarkoittaa EU:n komission vahvistamia mallilausekkeita henkilötietojen kansainvälisistä siirroista tai muita niihin liittyviä juridisia asiakirjoja, jotka sallivat henkilötietojen lailliset siirrot kansainvälisille organisaatioille ja maihin, jotka eivät ole osa Euroopan talousaluetta tai Euroopan Unionia.
1.4 Tietosuojaviranomaisilla tarkoitetaan mitä tahansa Tietosuojalakien mukaan toimivaltaista viranomaista.
1.5 Kaikki ne termit, joita ei ole tässä Tietosuojasopimuksessa määritelty, tarkoittavat samaa kuin mitä Sopimuksessa on määritelty tai mitä Tietosuojalaeissa on määritelty.
1.6 Varsinaisiin Palveluihin liittyvät, henkilötietojen käsittelyä koskevat yksityiskohdat on määritelty tarkemmin Sopimuksessa.
2.1 Asiakas Rekisterinpitäjänä sitoutuu opastamaan Käsittelijää käsittelemään henkilötietoja Tietosuojalakien mukaisesti. Rekisterinpitäjä on vastuussa henkilötietojen käsittelystä Tietosuojalakien ja hyvän tietosuojakäytännön mukaisesti.
2.2 Asiakas ilmoittaa ja ylläpitää Käsittelijän tarjoamien asiakaspalvelukanavien kautta niiden henkilöiden yhteystiedot, joihin Käsittelijän tulee olla yhteydessä Tietoturvaloukkauksen tapahtuessa, mukaan lukien Asiakkaan mahdollisen tietosuojavaltuutetun nimen ja yhteystiedot.
3.1 Henkilötietojen käsittelyyn sovellettavat yleiset periaatteet
3.1.1 Käsittelijän on käsiteltävä henkilötietoja asianmukaisesti sekä riittävää huolellisuutta ja varovaisuutta noudattaen sovellettavien Tietosuojalakien ja erityisesti tietosuoja-asetuksen 28 artiklan 3 kohdan edellyttämien vaatimusten mukaisesti.
3.1.2 Siltä osin kuin Käsittelijä ei voi noudattaa Rekisterinpitäjän pyyntöä tai tämän tekemää muutosta Käsittelijän dokumentoituihin ohjeisiin ilman, että tästä aiheutuu Käsittelijälle merkittäviä lisäkustannuksia tai vaivaa, Käsittelijän on ilmoitettava tästä Rekisterinpitäjälle. Osapuolet sitoutuvat käsittelemään ja sopimaan kyseiset muutokset asianmukaisessa muutoksenhallintamenettelyssä.
3.1.3 Jos Käsittelijä uskoo, että Rekisterinpitäjän dokumentoimat ohjeet rikkovat sovellettavia Tietosuojalakeja, Käsittelijän on ilmoitettava tästä Rekisterinpitäjälle ilman aiheetonta viivytystä. Käsittelijällä on oikeus keskeyttää sellaisten toimintojen suorittaminen, joita koskeva ohjeistus rikkoo Tietosuojalakeja, kunnes Rekisterinpitäjä vahvistaa tai muuttaa tällaista ohjeistusta.
3.2 Henkilötietojen tyypit ja rekisteröityjen ryhmät
3.2.1 Asiakas voi toimittaa Toimittajan käsiteltäväksi henkilötiedot sopimuksessa määriteltyjen Palvelujen yhteydessä, joihin voi Palveluista riippuen sisältyä henkilötietoja, jotka liittyvät joihinkin seuraavista rekisteröityjen ryhmistä tai tyypeistä:
(a) Rekisteröityjen ryhmät — työntekijät ja muut Asiakkaisiin tai sen toimeksiantajiin, toimittajiin tai muihin liikekumppaneihin liittyvät henkilöt;
(b) Henkilötietojen tyypit — henkilötiedot, kuten nimi, titteli, postiosoite, puhelin- ja matkapuhelinnumerot, sähköpostiosoite, syntymäaika ja muut henkilökohtaiset tunnisteet, palvelun käyttöhistoria ja tiedot, pankkitili- ja maksutiedot, asiakashaastattelutiedot ja palvelupuhelutiedot, IT-laitteita tai sovellusten hallintaa koskevat tiedot mukaan lukien tekniset tunnisteet, käyttäjänimi, sijainti, yhteystiedot, tarjottuihin palveluihin liittyvät tekniset tapahtumat, mukaan lukien järjestelmä- ja sovelluslokit sekä sähköposti- ja viestintätiedot ja metatiedot, tietoturvan ja palvelun hallinnan yksityiskohdat, kuten lokitiedot, laitos- ja järjestelmävalvontatiedot, tietoturvahäiriöitä koskevat tiedot, palveluhäiriöitä koskevat ilmoitukset ja raportit, käyttäjätiedot tai muut vapaaehtoisesti toimitetut yksityiskohdat, kuten käyttäjän luoma sisältö ja siihen liittyvät metatiedot ja sivustotoiminnan tiedot.
3.2.2 Asiakas on oikeutettu tarvittaessa myöhemmin kuvaamaan tarkemmin Sopimuksessa tai Tietojenkäsittelysopimuksessa mitä Henkilötietoja se antaa Toimittajan käsiteltäväksi.
3.3 Tietoturva
3.3.1 Käsittelijän toteuttaa tekniset, fyysiset ja organisatoriset toimenpiteet varmistaakseen henkilötietojen käsittelyä koskevan asianmukaisen tietoturvan tason ja suojatakseen henkilötietoja luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoamiselta, vaurioilta, muuttamiselta tai luovuttamiselta. Xxxxxxx saa tämän Tietojenkäsittelysopimuksen liitteenä olevan xxxxxx kautta näiden teknisten ja organisatoristen toimenpiteiden kuvauksen ja voi osaltaan varmistua siitä, että nämä toimenpiteet takaavat tietoturvan riittävän tason käsittelyyn liittyvät tietoturvariskit huomioiden.
3.3.2 Palveluiden toimittamisen vaatiman kustannustehokkuuden vuoksi Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet yhdenmukaisesti koko asiakaskunnan osalta, ottaen huomioon Tietosuojalaeista johtuvat tiettyjä asiakasryhmiä koskevat pakolliset vaatimukset. Toimittaja pidättää itsellään oikeuden muuttaa toteutettuja toimenpiteitä ja suojatoimia edellyttäen kuitenkin, että tietoturvan taso ei ole heikompi kuin alun perin on sovittu.
3.3.3 Käsittelijän on varmistettava, että kaikki sen alaisuudessa toimivat, joilla on pääsy henkilötietoihin, käsittelevät kyseisiä tietoja tämän Tietosuojasopimuksen mukaisesti ja että he sitoutuvat pitämään käsittelyä koskevat tiedot luottamuksellisina tässä Tietosuojasopimuksessa sovitulla tavalla.
3.4 Tietoturvaloukkauksesta ilmoittaminen
3.4.1 Jos rekisteröidyt tai valvontaviranomainen esittävät henkilötietoja koskevan pyynnön, Käsittelijän on ilmoitettava viipymättä Rekisterinpitäjälle kaikista tällaisista pyynnöistä ennen kuin se vastaa niihin tai suorittaa muita toimenpiteitä. Jos Tietosuojalaeissa on määritelty, että vastaus on annettava välittömästi, tulee Käsittelijän ilmoittaa asiasta Rekisterinpitäjälle sen jälkeen kuin kohtuudella arvioiden on mahdollista.
3.4.2 Tietoturvaloukkauksen tapahtuessa Käsittelijän on ilmoitettava asiasta Rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan siitä tiedon.
3.4.3 Tietoturvaloukkausta koskevassa ilmoituksessa on oltava tietosuoja-asetuksen 33 artiklan 3 kohdassa määritellyt tiedot.
3.4.4 Saatuaan tiedon Tietoturvaloukkauksesta Rekisterinpitäjän on toteutettava kaikki tarvittavat toimenpiteet henkilötietojen suojaamiseksi ja turvaamiseksi ja rajoitettava mahdolliset rekisteröityihin kohdistuvat vahingolliset vaikutukset. Käsittelijä tekee yhteistyötä Rekisterinpitäjän kanssa reagoidessaan Tietoturvaloukkaukseen.
3.5 Tietojen poisto ja palauttaminen
3.5.1 Sopimuksen päättyessä tai Rekisterinpitäjän kirjallisesta pyynnöstä Käsittelijä joko tuhoaa tai palauttaa Rekisterinpitäjälle kaikki henkilötiedot, ellei Sopimuksessa toisin määrätä tai Tietosuojalaeissa vaadita.
4.1 Käsittelijä ei saa käyttää henkilötietojen käsittelyyn alihankkijoita lukuun ottamatta niitä alihankkijoita, joista Osapuolet ovat kirjallisesti sopineet Sopimuksen tekemisen yhteydessä. Sovitut alihankkijat on lueteltu tämän Tietojenkäsittelysopimuksen liitteenä olevan linkin kautta saatavassa kuvauksessa. Käsittelijän on ilmoitettava Rekisterinpitäjälle kaikista alihankkijoita koskevista suunnitelluista muutoksista, jotta Rekisterinpitäjällä on mahdollisuus vastustaa tällaisia muutoksia. Jos Rekisterinpitäjä vastustaa näitä muutoksia, Käsittelijä voi antaa kirjallisen ilmoituksen hintojen muuttamisen perusteista. Jos Osapuolet eivät pysty sopimaan muutoksesta tai kustannuksista, Asiakkaalla on oikeus irtisanoa Sopimus. Xxx Xxxxxxx ei ole irtisanonut Sopimusta ennen kuin kuusikymmentä (60) päivää on kulunut siitä päivästä, jona Käsittelijä ilmoitti Asiakkaalle alihankkijaan liittyvästä muutoksesta, Asiakkaan katsotaan hyväksyneen muutoksen. Toimittaja ylläpitää koottua listaa alihankkijoistaan ja ilmoittaa muutoksista liittyen alihankkijoihin asiakaspalveluportaalissa, verkkosivuillaan tai muulla tavalla sähköisesti, ja Asiakkaan Palveluiden yhteyshenkilö tai muu edustaja saa tästä tiedon ja hänellä on myös pääsy tällaisiin ilmoituksiin.
4.2 Jos Rekisterinpitäjä vaatii henkilötietojen siirtoa tai suostuu siihen, että henkilötiedot siirtyvät Euroopan unionin ja Euroopan talousalueen rajojen ulkopuolelle maahan, joka ei ole tietosuoja- asetuksen artiklassa 45(3) tarkoitettu riittävän tietosuojan tason omaava maa, Rekisterinpitäjä valtuuttaa Käsittelijän tekemään sopimuksen asianomaisen kolmannen osapuolen kanssa Rekisterinpitäjän puolesta ja lukuun ("Tiedonsiirtosopimus"). Tällainen Tiedonsiirtosopimus sisältää EU:n mallisopimuslausekkeet (kuten tämän Tietosuojasopimuksen johdannossa on määritelty).
4.3 Edellä olevasta 4.1 kohdasta riippumatta Käsittelijä voi Sopimuksen mukaisten velvoitteidensa täyttämiseksi ottaa alikäsittelijöikseen Euroopan talousalueella sijaitsevia yhtiöitä, jotka kuuluvat samaan konserniin Käsittelijän kanssa. Rekisterinpitäjä hyväksyy tallaisen henkilötietojen käsittelyn näiden Käsittelijän konserniyhtiöiden toimesta.
5.1 Rekisterinpitäjän tai Rekisterinpitäjän valtuuttaman auditoijan suorittamat välttämättömät auditoinnit tai tarkastukset suoritetaan normaalina työaikana ja häiritsemättä Toimittajan toimintaa sekä antamalla auditoinnista kohtuullinen etukäteinen kirjallinen ilmoitus. Toimittajalla on oikeus edellyttää auditoinnin suorittajilta erillistä salassapitositoumusta, jos muiden asiakkaiden tietojen tai Käsittelijän toteuttamien teknisten ja organisatoristen suojatoimenpiteiden salassapito sitä vaatii. Käsittelijällä on oikeus hylätä auditoijat, jotka ovat Käsittelijän kilpailijoita. Ellei vakava tietosuojarikkomus tai Tietosuojaviranomainen muuta vaadi, auditoinnit tulee suorittaa Käsittelijän auditointimenettelyä koskevan kuvauksen mukaisesti. Kyseinen kuvaus on saatavilla pyynnöstä.
Seuraavat lisätietoa antavat liitteet ovat saatavilla verkossa xxxxx://xxxx.xxxxxxxx.xxx/xxxxxxxxxx
• Technical and Organizational Measures
• List of Subcontractors sekä
• GDPR Compliance for Customers