HENKILÖTIETOJEN KÄSITTELY ADDSECURELLA
Tammikuu 2021 Sopimus esipuhe
HENKILÖTIETOJEN KÄSITTELY ADDSECURELLA
Kun AddSecure käsittelee henkilötietoja asiakkaiden toimeksiannosta, se toimii henkilötietojen käsittelijänä. Jos olet XxxXxxxxxx asiakkaan yhteyshenkilö, vastuu henkilötiedoistasi on siis työnantajallasi. AddSecure vastaa siitä, että henkilötietosi on riittävästi turvattu silloin, kun ne ovat meidän käsittelyssämme. AddSecuren velvollisuuksia säätelevät pääsopimukset sekä AddSecuren Yleinen henkilötietojen käsittelysopimus, joka liitetään osaksi kutakin pääsopimusta, ellei asiakas ole halunnut solmia kanssamme erityistä henkilötietojen käsittelysopimusta. AddSecuren Tietosuojaperiaatteet ja Yleinen henkilötietojen käsittelysopimus on julkaistu yhtiön kotisivulla.
ADDSECURE HENKILÖTIETOJEN KÄSITTELIJÄNÄ
AddSecuren tarjonta sisältää erilaisia verkkopohjaisia palveluita, esimerkiksi AddView, SafeView, SecureApps, Telecall ja erilaiset yhteistyökumppaneiden sivustot, joita kutsutaan seuraavassa yhteisesti ”Palveluksi”. Palvelua tuottaessaan AddAecure toimii henkilötietojen käsittelijänä ja vastaa siten muun muassa teknisistä ja organisatorisista turvatoimista sekä varmistaa, että tietojen tallennus ja käyttö tapahtuu turvallisesti niin uusimman kehityksen, toteutuskustannusten ja käsittelyn tyypin, laajuuden sekä asiayhteyden ja tarkoituksen kannalta kuin todennäköisyydeltään ja vakavuudeltaan vaihtelevien riskien osalta silloin, kun kyseessä on luonnollisten henkilöiden oikeudet ja vapaudet.
Palveluun liittyvien tietojen käsittelystä vastaa rekisterinpitäjä eli asiakas, joka on merkitty Palvelusta laadittavan laskun vastaanottajaksi. AddSecure käsittelee henkilötietoja asiakkaan toimeksiannosta.
TÄMÄ ON ASIA, JOKA TEIDÄN TULEE REKISTERINPITÄJÄNÄ OTTAA HUOMIOON.
Rekisterinpitäjän vastuut on määritetty tietosuoja-asetuksessa (GDPR). Rekisterinpitäjänä ja AddSecuren asiakkaana yrityksenne on valvottava, minkä tyyppisiä tietoja yrityksessä käsitellään, mikä käsittelyn tarkoitus on, kuinka kauan tällaisia tietoja saa säilyttää sekä mikä on käsittelyn laillinen peruste. Teidän on ehkä hankittava myös rekisteröityjen suostumus tietojen keräämiseen.
YLEINEN HENKILÖTIETOJEN KÄSITTELYSOPIMUS
1. YHTEISTYÖKUMPPANI
AddSecure AB, Xxx.xx. SE556527-2001 nimitetään jäljempänä "AddSecure Group" koostuu yrityksistä, jotka on listattu osoitteessa xxx.xxxxxxxxx.xxx/xxxxx-xx/xxxx-xxxxxxxxxx/.
Seuraavan, osaksi pääsopimusta liitetyn Henkilötietojen käsittelysopimuksen osapuolet ovat asiakas (pääsopimuksessa), jota nimitetään jäljempänä “rekisterinpitäjäksi”, ja AddSecure Group, jota nimitetään jäljempänä “henkilötietojen käsittelijäksi”.
2. TARKOITUS 2.1
Tämän henkilötietojen käsittelyä koskevan sopimuksen tarkoituksena on varmistaa, että henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun vain tämän henkilötietojen käsittelyä koskevan sopimuksen mukaisesti ja muutoin noudattaen tietosuoja- asetuksen (Euroopan parlamentin ja neuvoston asetus 2016/679) artiklassa 28 asetettuja vaatimuksia.
2.2
Tämän henkilötietojen käsittelyä koskevan sopimuksen mukaisesti henkilötietojen käsittely koskee henkilötietoja, jotka liittyvät pääsopimuksessa tarkoitettuihin järjestelmiin ja palveluihin.
Käsittely jatkuu pääsopimuksen voimassaoloajan ja siihen voi sisältyä erityyppisiä henkilötietoihin liittyviä toimia, kuten keräämistä, rekisteröintiä, järjestämistä, jäsennystä, säilyttämistä, työstämistä, muuttamista, luomista, lukemista, käyttämistä, luovuttamista, levittämistä tai muulla tavoin tarjoamista, mukauttamista tai yhdenmukaistamista, rajoittamista, poistamista tai hävittämistä.
Käsittely koskee kaikentyyppisiä henkilötietoja, joihin henkilötietojen käsittelijällä on pääsy voidakseen täyttää pääsopimuksen mukaiset velvoitteensa.
3. MÄÄRITELMÄT
Tässä henkilötietojen käsittelyä koskevassa sopimuksessa olevat määritelmät ovat tietosuoja- asetuksen 4 artiklan mukaiset ja sitä tulkitaan kyseisen artiklan mukaisesti.
4. REKISTERINPITÄJÄ
Rekisterinpitäjä on henkilötietoja käsitellessään ja henkilötietojen käsittelijää käyttäessään velvollinen noudattamaan tietosuoja-asetusta.
Rekisterinpitäjällä on oikeus ohjeistaa henkilötietojen käsittelijää sen tehtävien suorittamisessa ja samalla tälle on annettava tiedoksi henkilötietojen käsittelijän työssä tarvittavat kirjalliset ohjeet.
5. HENKILÖTIETOJEN KÄSITTELIJÄN
Henkilötietojen käsittelijä sitoutuu hoitamaan sovittujen henkilötietojen käsittelyä vain rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti ja noudattaen tätä henkilötietojen käsittelyä koskevaa sopimusta ja pääsopimusta.
5.1
Henkilötietojen käsittelijä sitoutuu henkilötietoja käsitellessään noudattamaan kulloinkin voimassa olevaa lakia, erityisesti tietosuoja-asetusta. Lisäksi henkilötietojen käsittelijä sitoutuu noudattamaan EU:n toimivaltaisen toimielimen antamia, luvallista henkilötietojen käsittelyä koskevia määräyksiä, lausuntoja ja suosituksia.
5.2
Henkilötietojen käsittelijä vakuuttaa, että henkilötietoihin sovelletaan tarvittavia teknisiä ja organisatorisia toimia niin, että käsittely tapahtuu tietosuoja-asetuksen vaatimusten mukaan ja rekisteröityjen oikeudet turvaten.
5.3
Henkilötietojen käsittelijän on rekisterinpitäjän ohjeiden mukaisesti muutettava, poistettava tai luovutettava virheelliset, puutteelliset tai vanhentuneet henkilötiedot kohtuullisen ajan kuluessa.
6. TURVATOIMET
Henkilötietojen käsittelijä kehittää ja ylläpitää soveltuvia teknisiä ja organisatorisia turvatoimia henkilötietojen suojaamiseksi.
6.1
Henkilötietojen käsittelijän on saavutettava työssään sellainen turvallisuustaso, jota voimassa oleva laki sekä tietosuoja-asetus edellyttävät ja jota muutoin on kohtuullista odottaa ottaen huomioon teknisen mahdollisuudet, toteutuskustannukset, erityiset käsittelyyn liittyvät riskit ja se, missä määrin käsiteltävät henkilötiedot ovat tai niiden voidaan todennäköisesti olettaa olevan arkaluontoisia.
6.2
Henkilötietojen käsittelijä on vastuussa oman toimintansa harjoittamisesta tavalla, joka muutoin varmistaa tietoturvan riittävän tason.
6.3
Henkilötietojen käsittelijän on huolehdittava siitä, että työntekijät, konsultit ja muut henkilöt, joista henkilötietojen käsittelijä on vastuussa ja jotka käsittelevät henkilötietoja tai joilla on pääsy henkilötietoihin, ovat velvoitettuja tarkoituksenmukaiseen salassapitoon ja että he tietävät, miten henkilötietoja saa rekisterinpitäjän ohjeiden mukaisesti käsitellä.
6.4
Henkilötietojen käsittelijän tekniset ja organisatoriset turvatoimet on toteutettava ottaen huomioon uusin kehitys, toteuttamiskustannukset, henkilötietojen käsittelyn tapa, laajuus, asiayhteys ja tarkoitus, mukaan lukien luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, vakavuudeltaan ja todennäköisyydeltään vaihtelevat riskit varmistaakseen riskiin suhteutettuna riittävän turvallisuustason.
6.5
Henkilötietojen käsittelijän turvatoimien toteutukseen on mahdollisuuksien mukaan kuuluttava henkilötietojen tekeminen tunnistamattomiksi ja niiden salaaminen, mahdollisuus jatkuvasti varmistaa niiden luottamuksellisuus, loukkaamattomuus, käytettävyys ja kestävyys käsittelyjärjestelmissä ja -palveluissa sekä mahdollisuus palauttaa henkilötietojen saavutettavuus ja niihin pääsy kohtuullisessa ajassa fyysisen tai teknisen häiriötilanteen jälkeen ja mahdollisuus suorittaa turvatoimien säännöllistä testausta ja tarkastusta sekä arvioida niiden tehokkuutta.
6.6
Arvioitaessa riittävää turvallisuustasoa on otettava erityisesti huomioon riski henkilötietojen tahattomasta tai laittomasta tuhoutumisesta, katoamisesta, muuttumisesta tai paljastumisesta, tai niihin pääsyn mahdollistumisesta asiattomille henkilöille.
7. TIETOTURVALOUKKAUKSET
Henkilötietojen käsittelijän on aloitettava havaitun tai epäillyn tietoturvaloukkauksen, kuten henkilötietojen luvattoman hankkimisen, hävittämisen, muuttamisen tai muun laittoman vaikuttamisen, tutkinta välittömästi ja ryhdyttävä tarvittaviin toimenpiteisiin tapahtuneen korjaamiseksi ja toistumisen estämiseksi. Henkilötietojen käsittelijän on myös ilmoitettava asiasta rekisterinpitäjälle laatimalla tapahtumaraportti, paitsi jos hän voi osoittaa, että rekisteröityjen oikeudet ja vapaudet eivät ole vaarantuneet tietosuojarikkomuksen vuoksi.
7.1
Tapahtumaraportin tulee sisältää kuvaus tapahtuman luonteesta, asiaan liittyvien rekisteröityjen tyyppiluokituksesta ja arvioidusta lukumäärästä sekä kyseessä olevien henkilötietotietueiden tyyppiluokituksesta ja likimääräisestä lukumäärästä, kuvaus tapahtuman todennäköisistä seurauksista sekä toimintasuunnitelma, johon sisältyy tarvittaessa toimenpiteet mahdollisten haitallisten vaikutusten lieventämiseksi. Lisäksi tapahtumaraportissa on oltava tietosuojavastaavan tai muiden yhteyspisteiden yhteystiedot lisätietojen saamista varten.
8. ALIHANKKIJAT (ALIKÄSITTELIJÄ)
Henkilötietojen käsittelijällä on oikeus teettää henkilötietojen käsittely alihankintana avustajilla EU:n ja ETA:n alueella ja sen ulkopuolella. Rekisterinpitäjä hyväksyy täten, että henkilötietoja voivat käsitellä sellaiset avustajat, joita yleensä käytetään yrityksessä suorittamaan henkilötietojen käsittely kokonaisuudessaan tai osittain ilman rekisterinpitäjän etukäteen antamaa kirjallista suostumusta.
Henkilötietojen käsittelijän on varmistettava, että avustajia sitovat kirjalliset sopimukset, joiden mukaan he tarjoavat vähintään samantasoisen tietosuojan, johon henkilötietojen käsittelijä on sopimuksen mukaan velvoitettu. Jos jokin avustaja ei täytä edellä mainittuja velvoitteita, henkilötietojen käsittelijä vastaa näiden avustajien noudattamatta jääneistä velvoitteista.
Henkilötietojen käsittelijä ilmoittaa rekisterinpitäjälle aikeista korvata tai palkata uusi avustaja, poikkeuksena avustajat, joita yleensä käytetään liiketoiminnassa. Tietoihin sisältyy merkintä avustajan nimestä ja henkilötietojen käsittelyn maantieteellinen sijainti. Rekisterinpitäjällä on oikeus esittää kirjallinen vastalause uuden avustajan korvaamisesta tai vuokraamisesta neljäntoista päivän kuluessa ilmoituksen vastaanottamisesta. Jos henkilötietojen käsittelijä rekisterinpitäjän vastalauseesta huolimatta haluaa edelleen korvata tai palkata uuden avustajan, rekisterinpitäjällä on oikeus irtisanoa sopimus kohdan 12 mukaisesti.
9. VALVONTA
Voidakseen varmistaa riittävän turvallisuustason säilymisen ja tämän henkilötietojen käsittelyä koskevan sopimuksen noudattamisen rekisterinpitäjällä on oikeus harjoittaa tarvittavaa valvontaa niissä henkilötietojen käsittelijän organisaation osissa ja järjestelmissä, jotka liittyvät henkilötietojen käsittelyyn.
10. VASTUU VAHINGOISTA
Jos henkilötietojen käsittelijä käsittelee henkilötietoja tai laiminlyö niiden käsittelyn tämän henkilötietojen käsittelyä koskevan sopimuksen tai rekisterinpitäjän antamien ohjeiden vastaisesti ja tästä aiheutuu rekisterinpitäjälle vahinkoa, henkilötietojen käsittelijän on korvattava aiheutunut vahinko.
11. SOPIMUKSEN SIIRTÄMINEN
Tämän henkilötietojen käsittelysopimuksen voi siirtää vain pääsopimuksen siirtämisen yhteydessä.
12. SOPIMUSAIKA
Tämä sopimus on voimassa pääsopimuksen alkamispäivästä lukien niin kauan kuin henkilötietojen käsittelijä tallentaa tai käsittelee henkilötietoja rekisterinpitäjän puolesta.
12.1
Henkilötietojen käsittelyä koskevan sopimuksen rauetessa on henkilötietojen käsittelijän rekisterinpitäjän ohjeiden mukaisesti poistettava tai luovutettava kaikki henkilötietoja sisältävät tietueet kaikilta tietovälineiltä, joille henkilötietoja on tallennettu ja sen jälkeen hävitettävä niiden kaikki jäljennökset.
13. RIIDAT JA SOVELLETTAVA LAINSÄÄDÄNTÖ
Tähän sopimukseen sovelletaan sen maan lainsäädäntöä, jossa rekisterinpitäjä sijaitsee. Tätä henkilötietojen käsittelysopimusta koskevat kiistat ratkaistaan pääsopimuksen kiistojen ratkaisumääräyksen mukaisesti.
14. YHTEYSTIEDOT
AddSecure AB, xxx.xx. 556527-2001
Address: Xxxxxxxxxxxx 00, 000 00 Xxxxxxxxx, Xxxxxx