SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ
SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ
Tämä sopimus henkilötietojen käsittelystä (jäljempänä ”DPA”) on olennainen osa Renance - Automated Financial Services Oy:n (”Renance”) (Y-tunnus: 2697751-4) Bezala-palvelua (”Bezala-palvelu” tai ”Palvelu”) koskevia Käyttöehtoja (”Käyttöehdot” tai ”Sopimus”) Renancen ja Bezala-palvelua hankkivan asiakkaan (“Asiakas”) (yhdessä “Osapuolet”) välillä. DPA sääntelee Käyttöehtojen kohtaa 10.
1. MÄÄRITELMÄT
Henkilötietojen määritelmä tarkoittaa mitä tahansa rekisteröityä henkilöä ("Rekisteröity") koskevia tietoja, jotka lähetetään Renancelle, joihin Renance pääsee käsiksi tai joita Xxxxxxx muuten käsittelee Asiakkaan puolesta Bezala-palvelussa. Rekisterinpitäjä ("Rekisterinpitäjä") tarkoittaa yhteisöä, joka määrittää henkilötietojen käsittelyn tarkoituksen ja keinot. Henkilötietojen käsittelijä ("Käsittelijä") tarkoittaa yhteisöä, joka käsittelee henkilötietoja Rekisterinpitäjän puolesta. Määritelmät vastaavat Euroopan unionin (EU) yleisen tietosuoja-asetuksen ("GDPR", asetus 2016/679) termien käyttöä ja tulkintaa.
2. SOPIMUKSEN TAUSTA JA TARKOITUS
Tämä DPA sääntelee Käsittelijän Rekisterinpitäjän puolesta tekemää henkilötietojen käsittelyä ja määrittelee, kuinka Käsittelijä osaltaan varmistaa Rekisterinpitäjän ja sen Rekisteröityjen yksityisyyden teknisillä ja organisatorisilla toimenpiteillä. Osapuolten tarkoituksena ei ole tässä DPA:ssa siirtää mitään Rekisterinpitäjän lakisääteisiä velvollisuuksia Käsittelijälle. Käsittelijän Rekisterinpitäjän puolesta tekemän henkilötietojen käsittelyn tarkoitus on Sopimuksen ja tämän DPA:n noudattaminen. Ristiriitatilanteissa tämä DPA on ensisijainen Sopimukseen tai muihin Osapuolten välisiin sopimuksiin nähden.
Tämä sopimus korvaa mahdolliset aiemmat Osapuolten väliset sopimukset henkilötietojen käsittelystä.
3. OSAPUOLTEN ROOLIT JA SALASSAPITOVELVOLLISUUS HENKILÖTIETOJEN KÄSITTELYSSÄ Asiakas toimii Bezala-palveluun tallentamiensa tietojen Rekisterinpitäjänä. Renance ja sen kanssa samaan konserniin kuuluvat yhtiöt toimivat Käsittelijänä ja noudattavat toiminnassaan Renancen tietosuojaohjeistusta, joka on saatavilla osoitteessa xxxxx://xxxxxx.xxx/xx/xxxxxxxxxx/xxxxxx/xxxxxxxxxxxxxxxxxxx.
Kumpikin Osapuoli sitoutuu pitämään salassa tietoonsa saamansa toisen Osapuolen liikesalaisuudet ja muut luottamukselliset tiedot sekä Palvelussa käsiteltävät tiedot. Niitä ei saa käyttää muutoin kuin Sopimuksen täyttämiseksi. Salassapitovelvollisuus jatkuu myös Sopimuksen päätyttyä. Osapuolet huolehtivat siitä, että myös heidän henkilöstönsä ja alihankkijansa sitoutuvat salassapitoon.
4. HENKILÖTIETOJEN KÄSITTELIJÄN VELVOLLISUUDET
Käsittelijä käsittelee henkilötietoja vain Rekisterinpitäjän puolesta ja Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti. Hyväksyessään tämän DPA:n Rekisterinpitäjä ohjeistaa Käsittelijän käsittelemään henkilötietoja seuraavalla tavalla:
i) vain sovellettavien lakien mukaisesti;
ii) kaikkien Sopimuksesta johtuvien velvollisuuksien noudattamiseksi;
iii) Rekisterinpitäjän Käsittelijän palvelujen tavanomaiseen käyttöön liittyen erikseen määrittelemällä tavalla; ja
iv) tässä DPA:ssa määritellyllä tavalla.
Käsittelijä ilmoittaa Rekisterinpitäjälle saadessaan tiedon sellaisista Rekisterinpitäjän ohjeista tai muista käsittelytoimista, jotka Käsittelijän mielestä rikkovat sovellettavaa tietosuojasääntelyä.
Tämän DPA:n mukaisesti käsiteltävät rekisteröityjen henkilöiden ryhmät ja käsiteltävien henkilötietojen tyypit on lueteltu kohdassa A.
Käsittelijä avustaa Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, ottaen mahdollisuuksien mukaan huomioon käsittelyn luonteen ja Käsittelijän saatavilla olevat tiedot, täyttämään Rekisterinpitäjän velvollisuuden vastata Rekisteröityjen GDPR:n jakson 3 mukaisiin pyyntöihin ja varmistaakseen henkilötietojen suojan GDPR:n 32–36 artiklojen edellyttämällä tavalla.
Mikäli Rekisterinpitäjä pyytää tietoja tai avustusta tietoturvaan liittyvistä toimenpiteistä, dokumentaatiosta tai muista Käsittelijän henkilötietojen käsittelyyn liittyvistä tiedoista, ja pyyntöjen sisältö poikkeaa Käsittelijän sovellettavan tietosuojasääntelyn vaatimusten mukaan esittämistä vakiotiedoista tai avustuksesta ja tästä aiheutuu ylimääräistä työtä Käsittelijälle, Käsittelijä voi veloittaa Rekisterinpitäjää tällaisista ylimääräisistä palveluista.
Käsittelijä varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
Käsittelijä ilmoittaa tietoturvaloukkauksista Rekisterinpitäjälle ilman aiheetonta viivytystä, jotta Rekisterinpitäjä voi täyttää lakisääteisen tietoturvaloukkauksiin liittyvän ilmoitusvelvollisuutensa tietosuojaviranomaisille ja Rekisteröidyille.
Lisäksi Käsittelijä ilmoittaa Rekisterinpitäjälle seuraavista asioista siinä määrin kuin se on asianmukaista ja laillista:
i) Rekisteröidyn esittämät pyynnöt saada pääsy henkilötietoihin;
ii) Viranomaisten esittämät pyynnöt saada pääsy henkilötietoihin.
Käsittelijä ei vastaa suoraan Rekisteröityjen pyyntöihin, ellei Rekisterinpitäjä ole valtuuttanut Käsittelijää toimimaan tällä tavalla. Käsittelijä ei xxxx pääsyä tämän DPA:n perusteella käsiteltäviin henkilötietoihin viranomaisille, muutoin kuin lain nojalla, esimerkiksi tuomioistuimen päätöksellä tai muulla vastaavalla määräyksellä.
Käsittelijä ei hallinnoi eikä vastaa siitä, miten Rekisterinpitäjä käyttää Käsittelijän tarjoamaa API- rajapintaa tai vastaavaa kolmannen osapuolen ohjelmiston integraatiota Käsittelijän tarjoamaan palveluun. Rekisterinpitäjä on täysin vastuussa näistä integraatioista.
5. REKISTERINPITÄJÄN VELVOLLISUUDET
Rekisterinpitäjä vahvistaa seuraavat kohdat hyväksyessään tämän DPA:n:
i) Tämä DPA täyttää Rekisterinpitäjän sijoittautumismaan tietosuojalakien asettamat Rekisterinpitäjän kirjallista sopimusta henkilötietojen käsittelystä koskevat vaatimukset.
ii) Rekisterinpitäjä käsittelee henkilötietoja sovellettavan tietosuojasääntelyn mukaisesti käyttäessään Käsittelijän tarjoamia palveluja Sopimuksen mukaisesti.
iii) Rekisterinpitäjällä on lakisääteinen oikeus käsitellä ja siirtää kyseeseen tulevia henkilötietoja Käsittelijälle (mukaan lukien Käsittelijän käyttämät alihankkijat).
iv) Rekisterinpitäjä on yksinomaan vastuussa Käsittelijälle luovutettujen henkilötietojen paikkansapitävyydestä, eheydestä, sisällöstä, luotettavuudesta ja laillisuudesta.
v) Rekisterinpitäjä on täyttänyt kaikki henkilötietojen käsittelyyn liittyvät pakolliset ilmoitukset viranomaisille sekä suostumusten hankintaan liittyvät velvollisuudet ja vaatimukset.
vi) Rekisterinpitäjä on täyttänyt velvollisuutensa tarjota oleellisia Rekisteröityjen henkilötietojen käsittelyyn liittyviä tietoja Rekisteröidyille sovellettavan pakollisen tietosuojasääntelyn mukaisesti.
vii) Rekisterinpitäjä on hyväksynyt, että Käsittelijän tässä DPA:ssa esittämät Rekisteröidyn yksityisyydensuojan ja henkilötietojen riittävän suojaamisen edellyttämät tekniset ja organisatoriset turvatoimet ovat riittävät.
viii) Rekisterinpitäjä käyttää Käsittelijän tarjoamia palveluja Sopimuksen mukaisesti eikä välitä Käsittelijälle arkaluonteisia henkilötietoja kuin ainoastaan tämän DPA:n kohdassa A yksiselitteisesti määritetyissä tapauksissa.
ix) Rekisterinpitäjä ylläpitää ajantasaista rekisteriä sellaisista käsittelemiensä henkilötietojen tyypeistä ja ryhmistä, joiden käsittely poikkeaa tämän DPA:n kohdan A mukaisista henkilötietojen tyypeistä ja ryhmistä.
6. ALIHANKKIJOIDEN KÄYTTÖ JA TIETOJEN SIIRTÄMINEN
Käsittelijällä on oikeus siirtää palvelun toteuttamista varten henkilötietoja EU:n, Euroopan talousalueen (ETA) tai muiden maiden sisällä, joiden Euroopan Komissio on todennut takaavan riittävän tietosuojan tason. Palvelun toteuttamiseksi Käsittelijällä on myös oikeus siirtää henkilötietoja EU/ETA:n ulkopuolelle tietosuojalainsäädännön mukaisesti. Jos henkilötietoja käsitellään EU/ETA:n ulkopuolella, kumpikin sopijapuoli varmistaa osaltaan tietosuojalainsäädännön noudattamisen henkilötietojen käsittelyn osalta.
Käsittelijä voi käyttää alihankkijoita Sopimuksen ja tämän DPA:n mukaiseen palvelujen tarjoamiseen Rekisterinpitäjälle. Tällaiset alihankkijat voivat olla EU:ssa tai sen ulkopuolella sijaitsevia alihankkijoita. Käsittelijä varmistaa, että alihankkijat sitoutuvat noudattamaan tämän DPA:n mukaisia velvollisuuksia vastaavia velvoitteita.
Tämän DPA:n kohdassa B on listattu Käsittelijän nykyiset alihankkijat, jotka voivat käsitellä henkilötietoja.
Käsittelijällä on oikeus vaihtaa alihankkijoita Sopimuksen voimassaoloaikana. Käsittelijä ilmoittaa Rekisterinpitäjälle ennakkoon kaikista henkilötietoja käsittelevien alihankkijoiden muutoksista. Rekisterinpitäjällä on oikeus vastustaa tällaisia muutoksia perustellusta syystä. Rekisterinpitäjän on ilmoitettava vastustamisesta ilman aiheetonta viivytystä saatuaan Käsittelijältä tiedon asiasta. Mikäli Osapuolet eivät pääse yhteisymmärrykseen alihankkijan vaihtamisesta tai lisäämisestä, Osapuolilla on oikeus irtisanoa Sopimus ilman irtisanomisaikaa.
Hyväksyessään tämän DPA:n Rekisterinpitäjä hyväksyy Käsittelijän alihankkijoiden käytön yllä kuvatulla tavalla.
7. TIETOTURVA
Käsittelijä varmistaa asianmukaisen ja alan vakiintuneiden käytänteiden mukaisten organisatoristen, teknisten ja fyysisten turvatoimien avulla, jotka vastaavat GDPR:n 32 artiklan mukaisia tietoturvatoimia. Osapuolet vastaavat vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asianmukaisesta ja riittävästä tietoturvasta.
8. AUDITOINTI
Rekisterinpitäjä voi auditoida omalla kustannuksellaan Käsittelijän tämän DPA:n noudattamisen enintään kerran vuodessa. Rekisterinpitäjä voi pyytää auditoinnin suorittamista useammin, mikäli Rekisterinpitäjään sovellettava lainsäädäntö edellyttää tätä.
Jos pyydetyn auditoinnin sisältöä on käsitelty ulkopuolisen auditoijan laatimassa ISO 27001 tai vastaavassa raportissa edeltävän 12 kuukauden aikana ja Käsittelijä vahvistaa, että auditoiduissa menettelyissä ei ole tapahtunut oleellisia muutoksia, Rekisterinpitäjä sitoutuu hyväksymään raportin tulokset eikä vaadi kyseisen raportin sisältämien menettelyjen auditoimista uudelleen.
Auditointia pyytäessään Rekisterinpitäjän on esitettävä Käsittelijälle yksityiskohtainen auditointisuunnitelma, josta ilmenee auditoinnin suunniteltu laajuus, kesto ja alkamispäivä, vähintään neljä (4) viikkoa ennen auditoinnin suunniteltua alkamisajankohtaa. Jos auditoinnin suorittaa kolmas osapuoli, tulee molempien Osapuolten sopia siitä yhteisesti. Auditoinnin suorittajan on allekirjoitettava salassapitosopimus. Jos tietojen käsittely tapahtuu ympäristössä, jota käyttävät Käsittelijän muut asiakkaat tai muut kolmannet osapuolet, Käsittelijä voi turvallisuussyistä vaatia, että auditoinnin suorittaa Käsittelijän valitsema objektiivinen kolmas osapuoli. Auditointi on suoritettava tavanomaisena työaikana paikan päällä Käsittelijän omien käytäntöjen mukaisesti eikä se saa kohtuuttomasti häiritä Käsittelijän liiketoimintaa. Rekisterinpitäjä vastaa kaikista pyytämiensä auditointien kustannuksista. Käsittelijällä on oikeus veloittaa Rekisterinpitäjää sellaisesta sovellettavan tietosuojasääntelyn noudattamiseksi tarjotusta avusta, joka ylittää Käsittelijän Rekisterinpitäjälle tarjoaman DPA:n tai Käyttöehtojen mukaisen palvelun.
9. VOIMASSAOLOAIKA JA SOPIMUKSEN PÄÄTTYMINEN
Tämä DPA on voimassa niin kauan kuin Käsittelijä käsittelee henkilötietoja Rekisterinpitäjän puolesta Käyttöehtojen mukaisesti. Tämän DPA:n voimassaolo päättyy automaattisesti Sopimuksen päätyttyä. Tämän DPA:n voimassaolon päättyessä Käsittelijä poistaa tai palauttaa Rekisterinpitäjän puolesta
käsittelemänsä henkilötiedot Sopimuksen soveltuvien ehtojen mukaisesti. Jos muuta ei ole kirjallisesti sovittu, tästä aiheutuvat kustannukset laskutetaan:
i) Käsittelijän tuntihinnan ja tähän työhön käytettyjen tuntien mukaisesti; ja
ii) vaadittujen toimien vaativuuden perusteella.
Käsittelijä voi säilyttää henkilötietoja Sopimuksen päättymisen jälkeen laissa määritellyllä tavalla ja noudattaen tässä DPA:ssa määriteltyjä vastaavia teknisiä ja organisatorisia turvatoimia.
10. MUUTOKSET JA LISÄYKSET
Tämän DPA:n muutoksissa noudatetaan Käyttöehtojen kohdassa 16 määriteltyä menettelytapaa. Jos jokin tämän DPA:n ehto osoittautuu pätemättömäksi, se ei vaikuta DPA:n muiden ehtojen voimassaoloon. Osapuolet korvaavat pätemättömän ehdon laillisella ehdolla, jonka tarkoitus vastaa pätemätöntä ehtoa.
11. VASTUUNRAJOITUS
Jos Rekisteröidylle aiheutuu vahinkoa GDPR:n rikkomisesta, kumpikin Osapuoli vastaa itse Rekisteröidylle aiheutuneesta vahingosta GDPR:n 82 artiklan mukaisesti. Kumpikin Osapuoli vastaa itse myös valvontaviranomaisen sille mahdollisesti määräämistä GDPR:n 83 artiklan mukaisista hallinnollisista seuraamusmaksuista.
Muilta osin Sopimuksen tai muiden GDPR:ään liittyvien vaatimusten rikkomiseen liittyvä vastuu on määritelty Käyttöehtojen kohdassa 14. Tätä ehtoa sovelletaan myös Käsittelijän alihankkijoiden rikkomuksiin.
12. SOVELLETTAVA LAKI JA RIIDANRATKAISU
Tähän DPA:han sovelletaan ja sitä tulkitaan Suomen lakien mukaisesti ilman, että lainvalintaperiaatteita sovelletaan. DPA:sta aiheutuvat erimielisyydet pyritään ensisijaisesti ratkaisemaan keskinäisin neuvotteluin. Jos erimielisyys koskee tätä DPA:ta, se tulee ratkaista Helsingin käräjäoikeudessa. Muut Xxxxxxxxxxxx tai sen rikkomisesta, irtisanomisesta tai pätevyydestä johtuvat tai siihen liittyvät riidat, kiistat tai vaatimukset ratkaistaan lopullisesti välimiesmenettelyssä Keskuskauppakamarin välimiesmenettelysääntöjen mukaisesti. Välimiesmenettelyn paikka on Helsinki. Välimiesoikeus on yksijäseninen. Välimiesmenettelyn kieli on suomi. Välimiesmenettelyssä todisteita voidaan kuitenkin esittää englanniksi.
A REKISTERÖITYJEN HENKILÖIDEN RYHMÄT JA KÄSITELTÄVIEN HENKILÖTIETOJEN TYYPIT
1. Tämän DPA:n mukaisesti käsiteltävät Rekisteröityjen henkilöiden ryhmät ja käsiteltävien henkilötietojen tyypit
a. Rekisteröityjen henkilöiden ryhmät
i) asiakkaan/kumppanin työntekijät
ii) asiakkaan/kumppanin yhteyshenkilöt Tarvittaessa:
iii) asiakkaan/kumppanin loppuasiakkaat
iv) asiakkaan/kumppanin asiakastiedoissa olevat henkilöt
b. Käsiteltävien henkilötietojen tyypit
i) nimi ja yhteystiedot
ii) käyttäjien lokitiedot, IP-osoitteet ja evästeet
iii) henkilötunnus, tai syntymäaika sekä sukupuoli, mikäli henkilötunnusta ei ole
iv) pankkitilitiedot
v) palkanlaskennan tiedot
vi) luottokorttitapahtumien tiedot
2. Tämän DPA:n mukaisesti käsiteltävät arkaluontoisten henkilötietojen tyypit
Xxxxxxx käsittelee alla kuvailtuja arkaluontoisia henkilötietoja Asiakkaan puolesta osana Sopimusta. Asiakas on velvollinen ilmoittamaan Renancelle kirjallisesti sovellettavien tietosuojalakien mukaisesti, jos Asiakas edellyttää Renancea käsittelemään kuvattujen arkaluontoisten henkilötietotyyppien lisäksi.
Xxxxxxx käsittelee Asiakkaan puolesta seuraavia tietoja: | Kyllä | Ei |
rotu tai etninen alkuperä tai poliittinen, filosofinen tai uskonnollinen vakaumus | X | |
henkilöä on epäilty tai häntä on syytetty tai hänet on tuomittu rikoksesta | X | |
terveydentilaa koskevat tiedot | X | |
seksuaalinen suuntautuminen | X | |
ammattiliittojen jäsenyys | X | |
geneettiset tai biometriset tiedot | X |
B ALIHANKKIJAT
Renancen alihankkijat, jotka osallistuvat välittömästi Bezala-palvelun tuottamiseen ja näin käsittelevät Asiakkaan Bezala-palveluun tallentamia henkilötietoja tämän DPA:n hyväksymisen jälkeen, ovat listattuna alla. Ajantasainen lista löytyy osoitteesta xxx.xxxxxx.xxx.
Alihankkija | Palvelimen sijainti | Henkilötiedot | Rooli Bezala-palvelun tuottamisessa |
Amazon Web Services EMEA SARL | EU | IBAN, hetu, sähköposti, nimi, osoite | Kuvien tallennus, varmuuskopiot, kuvien OCR, Textract |
DigitalOcean, LLC | EU | IBAN, hetu, sähköposti, nimi, osoite | Palvelin |
Intercom, Inc. | EU | Nimi, sähköpostiosoite | Tukiviestit |
Mailgun Technologies, Inc. | EU | Nimi, sähköpostiosoite | Järjestelmäsähköpostien lähetys |
Microsoft (OPTIO) | EU | IBAN, hetu, sähköposti, nimi, osoite | Tarvittaessa PowerBI-raporttien teko |