SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ ASIAKKAAN LUKUUN

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ ASIAKKAAN LUKUUN

1. OSAPUOLET

Asiakastiedon Customer Pro-palvelun käyttöön ottanut asiakas

jäljempänä "Asiakas"

Suomen Asiakastieto Oy Y-tunnus: 0111027-9

Xxxxxxxxx xxxxxxxx 0, XX 00

00581 Helsinki

jäljempänä "Asiakastieto"

Asiakas ja Asiakastieto ovat yhdessä osapuolet ("Osapuolet") ja kumpikin erikseen osapuoli ("Osa- puoli").

2. MÄÄRITELMÄT

Määritelmien osalta noudatetaan Euroopan unionin yleistä tietosuoja-asetuksen (2016/679/EU) määri- telmiä.

Sopimus Tarkoittaa tätä henkilötietojen käsittelyä koskevaa sopimusta, joka on Osa- puolten välisen Palvelusopimuksen liite. Tämä Sopimus on olennainen ja erottamaton osa Palvelusopimusta silloin kun Asiakas toimittaa Asiakastie- dolle estolistan käsiteltäväksi palvelussa.

Tietosuojasääntely Tarkoittaa kaikkia sovellettavia henkilötietojen suojaa koskevia säännöksiä, mukaan lukien lait joilla on saatettu voimaan direktiivi 95/46/EU ja direktiivi 2002/58/EU (ja niihin tehdyt muutokset) sekä Tietosuoja-asetus 2016/679/EU.

Mikäli tässä Sopimuksessa käytetään määriteltyä termiä, jota ei kuitenkaan ole tässä Sopimuksessa määritelty, on sillä Palvelusopimuksessa määritelty sisältö ja tarkoitus.

3. TAUSTA

3.1 Tämä Sopimus on Osapuolten välisen Palvelusopimuksen liite. Tämä Sopimus määrittää Asiakastiedon Asiakkaan lukuun suorittaman Henkilötietojen käsittelyn ehdot.

3.2 Asiakastieto toimii Tietosuojasääntelyn mukaisena Henkilötietojen käsittelijänä ja Asiakas re- kisterinpitäjänä.

3.3 Mikäli tämän Sopimuksen ja Palvelusopimuksen välillä on ristiriitoja, sovelletaan tämän Sopi- muksen määräyksiä. Mikäli tämän Sopimuksen tai sen liitteiden sisältö on ristiriidassa Tieto- suojasääntelyn kanssa, sovelletaan Tietosuojasääntelyä.

4. KÄSITTELYN TARKOITUKSET

4.1 Asiakastieto käsittelee tämän Sopimuksen perusteella Henkilötietoja seuraavia tarkoituksia varten:

• Customer Pro-palvelun tuottaminen Asiakkaalle. Asiakkaan toimittaman estolistan huomi- oiminen palvelun suorittamisessa.

5. KÄSITELTÄVÄT HENKILÖTIEDOT JA REKISTERÖITYJEN RYHMÄT

5.1 Tämän Sopimuksen nojalla käsitellään seuraavia Henkilötietoryhmiä:

• Nimi, yhteystiedot ja muut Asiakkaan omista henkilörekistereistään Palveluun viemät tie- dot.

5.2 Edellä mainitut henkilötiedot koskevat esimerkiksi seuraavia rekisteröityjen ryhmiä:

• Henkilöt, jotka ovat Rekisterinpitäjän asiakasrekistereissä tai muissa henkilörekistereissä.

• Henkilöt, jotka ovat luovuttaneet tietonsa Rekisterinpitäjän markkinointirekisteriin.

• Henkilöt, joiden tiedot Rekisterinpitäjä on hankkinut rekisteriinsä markkinointitarkoituksia varten.

• Henkilöt, jotka ovat ilmoittaneet markkinointikiellosta Rekisterinpitäjälle.

6. HENKILÖTIETOJEN KÄSITTELYN KESTO

6.1 Sopimuksen keston ajan.

7. ASIAKKAAN OIKEUDET JA VELVOLLISUUDET

7.1 Asiakas sitoutuu käsittelemään Henkilötietoja Tietosuojasääntelyn ja hyvän tietojenkäsittelyta- van mukaisesti.

7.2 Asiakkaan Asiakastiedolle antamat kirjalliset ohjeet henkilötietojen käsittelystä annetaan ensi- sijaisesti tällä Sopimuksella.

8. ASIAKASTIEDON VELVOLLISUUDET

8.1 Henkilötietojen käsittelyyn sovellettavat yleiset periaatteet

8.1.1 Asiakastieto sitoutuu:

(a) käsittelemään Henkilötietoja Tietosuojasääntelyn ja hyvän tietojenkäsittelytavan mukai- sesti;

(b) avustamaan Asiakasta mahdollisuuksiensa mukaan vastaamaan Rekisteröityjen Tieto- suojasääntelyn mukaisiin pyyntöihin ja Asiakkaan Tietosuojasääntelyn mukaisten vel- voitteiden täyttämisessä;

(c) antamaan Asiakkaalle sellaiset tiedot, jotka ovat tarpeen tämän Sopimuksen ja Tieto- suojasääntelyn mukaisten velvoitteiden noudattamisen osoittamiseksi sekä antamaan Asiakkaalle oikeuden suorittaa auditointeja tämän Sopimuksen kohdan 12 mukaisesti.

8.1.2 Asiakas on velvollinen korvaamaan Asiakastiedolle kohdan 8.1.1 (b) ja (c) mukaisten velvolli- suuksien täyttämisestä aiheutuvat kustannukset.

8.2 Tietoturva

8.2.1 Asiakastiedon tulee toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Henkilö- tietojen suojaamiseksi asiattomalta pääsyltä ja tietojen häviämiseltä, muuttamiselta, luovutta- miselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.

8.2.2 Asiakastiedon edellä mainittujen tietoturvatoimenpiteiden tulee vastata Tietosuojasääntelyn vaatimuksia.

8.3 Dokumentointivelvollisuus

8.3.1 Asiakastiedon on dokumentoitava sähköisesti tiedot Asiakkaan puolesta suorittamansa Henki- lötietojen käsittelyn osalta ja pyynnöstä luovutettava dokumentointi Asiakkaan nähtäväksi.

8.4 Raportointi- ja ilmoitusvelvollisuus

8.4.1 Asiakastiedon on ilmoitettava Asiakkaalle Rekisteröityjen ja valvovan viranomaisen Tietosuo- jasääntelyn perusteella tekemistä Henkilötietojen käsittelyä koskevista pyynnöistä. Asiakastie- don tulee tehdä ilmoitus Asiakkaalle ilman aiheetonta viivytystä ennen toimenpiteisiin ryhty- mistä tai jälkikäteen kohtuullisessa ajassa, jos Tietosuojasääntely edellyttää vastaamista välit- tömästi. Asiakastieto saa korjata, poistaa, muokata tai estää Henkilötietojen käsittelyn Asiak- kaan puolesta, jos Tietosuojasääntely tai muu sovellettava lainsäädäntö niin edellyttää.

8.4.2 Asiakastiedon on ilmoitettava Asiakkaalle olennaisista muutoksista, jotka todennäköisesti vai- kuttavat Asiakkaan puolesta käsiteltyjen Henkilötietojen suojaan.

9. ILMOITUS TIETOTURVALOUKKAUKSESTA

9.1 Asiakastiedon on ilmoitettava Asiakkaalle kaikista Tietoturvaloukkauksista ilman aiheetonta viivytystä, mutta viimeistään kahden (2) arkipäivän (48 tunnin) kuluessa siitä, kun Asiakastieto on tullut tietoiseksi Tietoturvaloukkauksesta.

9.2 Ilmoitukseen on sisällytettävä Tietosuoja-asetuksessa mainitut tiedot ja ilmoitukseen on muu- toinkin noudatettava Tietosuoja-asetuksen määräyksiä.

10. HENKILÖTIETOJEN SIIRROT

10.1 Asiakastieto ei saa siirtää Henkilötietoja ETA-alueen ulkopuolelle ilman Asiakkaan suostu- musta. Henkilötietojen siirtoon ETA-alueen ulkopuolelle sovelletaan Mallisopimuslausekkeita tai muuta Osapuolten yhteisesti sopimaa menettelyä.

11. ALIHANKKIJAT

11.1 Asiakastiedolla on oikeus käyttää Henkilötietojen käsittelyssä alihankkijoita, jotka Asiakas on hyväksynyt.

11.2 Asiakastiedolla on oikeus vähentää alihankkijoiden määrää ilman erillistä ilmoitusta.

11.3 Asiakastiedon tulee ilmoittaa Asiakkaalle sellaisen uuden alihankkijan lisäämisestä, joka kä- sittelee tämän Sopimuksen mukaisia Henkilötietoja, vähintään neljätoista (14) päivää ennen käsittelyn aloittamista. Asiakas voi kieltää uuden alihankkijan käytön ainoastaan, jos Asiak- kaalla on perusteltu epäilys siitä, ettei uusi alihankkija kykene toimimaan Tietosuojasääntelyn tai tämän Sopimuksen mukaisesti. Mikäli Asiakas ei kirjallisesti reagoi neljäntoista (14) päivän kuluessa Asiakastiedon ilmoituksesta, Asiakastieto voi käyttää uutta alihankkijaa.

11.4 Asiakastiedon tulee varmistua siitä, että alihankkijat noudattavat tätä Sopimusta vastaavia velvollisuuksia, mukaan lukien tietoturvavaatimuksia ja salassapitovelvollisuutta. Asiakastieto vastaa alihankkijoidensa tekemästä työstä.

12. AUDITOINTI

12.1 Asiakkaalla on oikeus auditoida Asiakastiedon Henkilötietojen käsittelyyn liittyviä toimenpiteitä kerran vuodessa varmistuakseen siitä, että Asiakastieto on täyttänyt tämän Sopimuksen mu- kaiset velvollisuutensa, ellei Asiakkaalla ole perusteltuja syitä auditoinnin suorittamiseen use- ammin. Auditoijan tulee olla riippumaton kolmas osapuoli, jolla on asiantuntemus ja kokemus Henkilötietojen auditoinnista ja joka ei ole Asiakastiedon tai Asiakastiedon alihankkijan kilpai- lija. Auditoijan tulee sitoutua Asiakastiedon edellyttämään salassapitovelvollisuuteen, joka kattaa muun muassa auditoinnista laaditun loppuraportin. Osapuolet yhdessä nimittävät audi- toijan ja Asiakas maksaa auditoinnin ja siitä Asiakastiedolle aiheutuneet kulut.

12.2 Asiakastieto sitoutuu avustamaan Asiakasta mahdollisuuksiensa mukaan ja kohtuullisin kei- noin auditoinnin suorittamisessa. Asiakas on velvollinen ilmoittamaan Asiakastiedolle kirjalli- sesti auditoinnin suorittamisesta vähintään neljätoista (14) päivää etukäteen.

12.3 Mikäli valvova viranomainen pyytää auditointia, Asiakastiedon on yhteistyössä Asiakkaan kanssa noudatettava viranomaisen pyyntöä.

12.4 Osapuolet sopivat, että Asiakastiedolla on oikeus omalla kustannuksellaan suorittaa auditointi ja toimittaa Asiakkaalle auditoinnista laadittu raportti. Auditointi katsotaan tällöin suoritetuksi tämän Sopimuksen mukaisesti, eikä Asiakkaalla ole oikeutta suorittaa auditointia kohtien 9.1 ja 9.2 perusteella edellyttäen, että:

(a) auditoinnin on suorittanut riippumaton kolmas osapuoli, jolla on asiantuntemus ja koke- mus Henkilötietojen auditoinnista;

(b) auditoinnista laadittu raportti ei ole kahtatoista (12) kuukautta vanhempi.

13. VOIMASSAOLO JA SOPIMUKSEN PÄÄTTÄMINEN

13.1 Tämä Sopimus tulee voimaan ilman erillistä allekirjoitusta, kun palvelusopimus on tullut voi- maan. Sopimus on voimassa niin kauan, kunnes Sopimus päättyy tämän kohdan tai Palvelu- sopimuksen mukaisesti.

13.2 Tämä Sopimus päättyy automaattisesti Palvelusopimuksen päättyessä, ellei Henkilötietojen käsittelystä ole toisin sovittu Osapuolten välillä.

13.3 Asiakastiedolla on oikeus käsitellä Henkilötietoja vain tämän Sopimuksen voimassaoloajan. Sopimuksen päättyessä tai Asiakkaan kirjallisesta pyynnöstä, Asiakastiedon on joko poistet- tava tai palautettava Asiakkaalle tai Asiakkaan nimeämälle kolmannelle osapuolelle käsitellyt Henkilötiedot, ellei Tietosuojasääntely tai muu sovellettava lainsäädäntö edellytä säilyttämään Henkilötiedot. Jos Asiakas vaatii, että Henkilötiedot palautetaan Asiakkaalle tai kolmannelle osapuolelle, Asiakas on velvollinen korvaamaan Asiakastiedolle Henkilötietojen siirrosta ai- heutuneet kustannukset.