Contract
1. SOVELTAMISALA JA ROOLIT
Tätä Tietosuojasopimusliitettä (”Liite”) sovelletaan kun Schibsted Suomi Oy tarjoaa Asiakkaalle PDX+- ja PDX Construction-ohjelmistoja (”Palvelu”). Palveluun liittyvässä henkilötietojen käsittelyssä Asiakas on ”Rekisterinpitäjä” ja Schibsted Suomi Oy on ”Henkilötietojen käsittelijä”.
2. MÄÄRITELMÄT
● ”Rekisterinpitäjä” tarkoittaa yllä määriteltyä tahoa, joka määrittelee Henkilötietojen Käsittelyn tarkoitukset ja keinot.
● ”Henkilötietojen käsittelijä” tarkoittaa yllä määriteltyä tahoa, joka käsittelee Henkilötietoja Rekisterinpitäjän lukuun.
● ”Lait” tarkoittavat tietosuojaan, yksityisyyden suojaan, tietoturvaan sovellettavia lakeja mukaan lukien mutta ei rajoittuen EU direktiivi 2002/58/EY ja EU Yleinen Tietosuoja-asetus 2016/679 (yhdessä “EU Lainsäädäntö”), ja kaikki muutokset, korvaukset ja uudistukset tästä eteenpäin, ja kaikki sitovat kansalliset lait, jotka toimeenpanevat EU Lainsäädäntöä, ja muut tämän Sopimuksen perusteella tehtyyn Henkilötietojen käsittelyyn sovellettavat tietosuojaan, yksityisyyden suojaan sekä tietoturvaan liittyvät direktiivit, lait, asetukset ja päätökset.
● ”Henkilötieto” tarkoittaa kaikkia Rekisteröityyn liittyviä tietoja, jotka on lähetetty Henkilötietojen käsittelijälle; joihin Henkilötietojen käsittelijällä on pääsy tai joita Henkilötietojen käsittelijä muutoin käsittelee palvelun toteuttamiseksi Rekisterinpitäjän lukuun.
● ”Henkilötietojen tietoturvaloukkaus” tarkoittaa tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,
● ”Käsittely” tarkoittaa kaikkia toimintoja, joita Henkilötietojen käsittelijä tai alihankkija kohdistaa Henkilötietoihin kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
3. HENKILÖTIETOJEN KÄSITTELY
Henkilötietojen käsittelijä sitoutuu noudattamaan henkilötietojen käsittelyssä siihen soveltuvia Lakeja. Lisäksi Henkilötietojen käsittelijä sitoutuu noudattamaan Rekisterinpitäjän kohtuullisia kirjallisia ohjeita, jotka liittyvät henkilötietojen käsittelyyn. Henkilötietojen käsittelijä sitoutuu avustamaan Rekisterinpitäjää tämän lakisääteisten velvoitteiden toteuttamisessa liittyen esimerkiksi rekisteröityjen tietopyyntöihin tai tietosuojavaikutusten arviointeihin. Osapuolten välisen Sopimuksen voimaantulon jälkeen esitettyjen pyyntöjen tai vaatimusten täyttämisestä, voidaan laskuttaa Rekisterinpitäjää erikseen.
Henkilötietojen käsittelijä käsittelee Henkilötietoja vain Rekisterinpitäjän lukuun ja vain niihin käyttötarkoituksiin, joita Xxxxxxxx tarjoaminen edellyttää. Henkilötietojen käsittelijä ei käytä Henkilötietoja omiin käyttötarkoituksiin, eikä se luovuta Rekisterinpitäjän puolesta käsittelemiään Henkilötietoja kolmansille osapuolille ellei Rekisterinpitäjä tätä erikseen pyydä. Käsittelijä voi tarvittaessa siirtää henkilötietoja konserniyhtiöille ja alihankkijoilleen. Henkilötietojen käsittelijä voi, Lakien mukaisesti, käsitellä Rekisterinpitäjän Palvelua käyttävien työntekijöiden tietoja palveluntarjoamiseksi sekä asiakkuusviestintään.
Edellä mainitusta riippumatta Henkilötietojen käsittelijä voi käsitellä tietoa, jota ei voi yhdistää yksittäiseen henkilöön sekä aggregoitua tietoa (i) Rekisterinpitäjälle tarjottujen Palveluiden parantamiseen ja tuotekehitykseen; (ii) aggregoidulla tasolla olevan tilastoinnin ja raporttien laatimiseen, (iii) tämän Liitteen sekä Palvelun tarjoamiseen vaadittavien oikeuksien ja velvollisuuksien täyttämiseen.
Selvyyden vuoksi todettakoon, että tästä Liitteestä riippumatta, Henkilötietojen käsittelijä voi tietosuoja- ja evästekäytäntöjensä sekä muiden sopimusten mukaisesti käsitellä henkilötietoja rekisterinpitäjänä, silloin kun se tarjoaa palveluitaan suoraan rekisteröidyille. Henkilötietojen käsittelijä saa käyttää evästeitä ja muita vastaavia tekniikoita seuratakseen Palvelun käyttöä ja kävijämääriä sekä kehittääkseen Palvelua ja liiketoimintaansa.
Rekisterinpitäjän pyynnöstä ja tämän laillisten velvollisuuksien toteuttamiseksi, henkilötietojen käsittelijä voi kirjallisen pyynnön saatuaan avustaa rekisterinpitäjää rekisteröidyn oikeuksien toteuttamisessa ja toimittaa rekisterinpitäjälle kopion rekisteröidyn henkilötiedoista tai korjata tai poistaa rekisteröidyn henkilötietoja.
4. ALIHANKKIJOIDEN KÄYTTÖ
Henkilötietojen käsittelijä voi käyttää alihankkijoita käsitellessään henkilötietoja, jos tästä on sovittu Rekisterinpitäjän kanssa. Rekisterinpitäjä on hyväksynyt tämän Sopimuksen voimaantulo hetkellä käytetyt
alihankkijat kohdassa 9. olevan taulukon mukaisesti.
Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle mahdollisista uusista alihankkijoista 30 päivää ennen kuin käsittely aloittamista, sähköpostitse Rekisterinpitäjän ilmoittamaan osoitteeseen.
Henkilötietojen käsittelijä edellyttää alihankkijaa noudattamaan vähintään samoja vaatimuksia kuin mitä Henkilötietojen käsittelijään kohdistuu tämän Sopimuksen tai soveltuvien Lakien mukaisesti.
5. TIETOJEN POISTAMINEN SOPIMUSSUHTEEN PÄÄTTYESSÄ
Henkilötietojen käsittelijän ja Rekisterinpitäjän välisen Sopimuksen päättyessä Henkilötietojen käsittelijä palauttaa Rekisterinpitäjälle tämän pyynnöstä, kaikki Palvelun tarjoamiseen liittyvät Henkilötiedot ja tämän jälkeen poistaa tiedot järjestelmistään, ellei voimassa oleva lainsäädäntö velvoita Henkilötietojen käsittelijää säilyttämään tietoja pidempään Henkilötietojen käsittelijä edellyttää, että myös alihankkijat ja konserniyhtiöt poistavat tiedot vastaavasti.
6. TIETOJEN LUOVUTUKSET JA SIIRROT
Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle tälle saapuneista tietopyynnöistä, jotka kohdistuvat Rekisterinpitäjän henkilötietoihin. Poikkeuksena tilanne, jossa lainsäädäntö edellyttää Henkilötietojen käsittelijää pitämään tietopyynnön salassa Rekisterinpitäjältä.
Henkilötietojen käsittelijä ei siirrä tai käsittele säännönmukaisesti Henkilötietoja EU / ETA-alueen ulkopuolella ilman että on sopinut tästä etukäteen Rekisterinpitäjän kanssa. Erillistä sopimista ei edellytetä jos Henkilötietojen siirrossa noudatetaan lakisääteisiä vaatimuksia, jotka koskevat Henkilötietojen siirtoa EU/ETA-alueen ulkopuolelle. Henkilötietojen käsittelijä on kuitenkin velvollinen ilmoittamaan uusista alihankkijoistaan 4. kohdan mukaisesti.
7. TIETOTURVA, TIETOJEN SUOJAAMINEN JA AUDITOINTI
Henkilötietojen käsittelijän on toteutettava ja ylläpidettävä asianmukaisia organisatorisia, operatiivisia, fyysisiä sekä teknisiä toimenpiteitä suojatakseen Henkilötietoja asiattomalta pääsyltä, vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä ja muuttamiselta, siten että kaikki käsittely täyttää Lakien vaatimukset ja Rekisterinpitäjän kohtuulliset kirjalliset ohjeet. Näitten toimenpiteiden tulee varmistaa että tietoturvan taso vastaa niitä riskejä, joita liittyy Henkilötietojen Käsittelyyn ja käsiteltävien Henkilötietojen luonteeseen ottaen huomioon uusimman tekniikan ja täytäntöönpanokustannukset. Sopimuksen laatimisen yhteydessä Rekisterinpitäjälle on toimitettu PDX-ohjelmistojen tietoturvakuvaus.
Henkilötietojen käsittelijän tulee rajoittaa pääsy Henkilötietoihin vain sellaisille asianmukaisesti koulutetuille työntekijöilleen, jotka tarvitsevat rooliinsa perustuen pääsyn tietoihin ja joita sitoo asianmukaiset salassapitovelvollisuudet.
Rekisterinpitäjä (tai itsenäinen kolmas osapuoli tämän pyynnöstä) voi auditoida Henkilötiedon käsittelijän käsittelytoimenpiteitä yhdessä etukäteen hyväksytyn auditointisuunnitelman mukaisesti. Jos auditoinnissa selviää että Xxxxxxxx eivät toteuta tämän Liitteen tai Lakien vaatimuksia, Henkilötietojen käsittelijän on toteutettava kaikki tarvittavat toimenpiteet vaatimustenmukaisuuden saavuttamiseksi. Rekisterinpitäjä vastaa auditoinnin kustannuksista.
Henkilötietojen käsittelijän tulee ilmoittaa Rekisterinpitäjälle kirjallisesti saadessaan tietää Henkilötietojen käsittelyyn liittyvästä Henkilötietojen tietoturvaloukkauksesta. Lisäksi Henkilötietojen käsittelijän tulee pyrkiä nopeasti ratkaisemaan ongelmat, jotka johtivat tietoturvaloukkauksen ja pyrkiä rajoittamaan lisävahinkoja. Rekisterinpitäjän pyynnöstä Henkilötietojen käsittelijä voi tehdä Lakien vaatimat ilmoitukset rekisteröidyille tai viranomaisille.
8. SOPIMUKSEN PÄÄTTÄMINEN
Tätä Liitettä sovelletaan niin pitkään kun Henkilötietojen käsittelijä käsittelee Henkilötietoja. Tämä Liite on voimassa niin pitkään kuin on tarpeen, jotta osapuolten välisen sopimuksen irtisanomisen tai päättymisen jälkeen tehtävät toimenpiteet saadaan toteutettua.
Rekisterinpitäjällä on oikeus irtisanoa sopimus 30 päivän kuluessa siitä kun Henkilötietojen käsittelijä ilmoitti
uudesta alihankkijastaan. Rekisterinpitäjä on velvollinen maksamaan palvelujakson avoinna olevat maksut eikä Henkilötietojen käsittelijä palauta sopimuksen päättymisen jälkeiseen aikaan kohdistuvia maksuja.
Sellaiset velvoitteet, jotka luonteensa puolesta pysyvät voimassa sopimuksen irtisanomisen tai päättymisen jälkeen pysyvät voimassa.
Osapuolten on sovittava kirjallisesti muutoksista tähän Liitteeseen.
9. HENKILÖTIETOJEN KÄSITTELYN KUVAUS
Rekisterinpitäjä: | Rekisterinpitäjä on Asiakas, joka käyttää PDX-ohjelmistoja asuntojen tai toimitilojen myyntiin tai vuokraamiseen liittyvissä toimenpiteissä. Näitä toimenpiteitä voivat olla mm. toimeksiantojen hallinta ja käsittely, viestintä myyjien ja ostajien kanssa sekä kauppojen toteuttaminen. |
Henkilötietojen käsittelijä: | Henkilötietojen käsittelijä on Schibsted Suomi Oy, joka käsittelee asuntojen tai toimitilojen ostajien ja myyjien sekä vuokranantajien ja vuokraajien henkilötietoja osana PDX-ohjelmistojen tarjoamista Rekisterinpitäjille. |
Rekisteröidyt: | Henkilötiedot, joita käsitellään koskevat Rekisterinpitäjän toimeksiantajia ja potentiaalisia asiakkaita asuntojen tai toimitilojen myymisessä ja vuokraamisessa. Rekisteröidyt voivat olla sekä kuluttaja-asiakkaita että yrityksiä tai yhteisöjä ja heidän edustajiaan. |
Tietotyypit: | Seuraavia henkilötietotyyppejä käsitellään: ∙ Rekisterinpitäjän työntekijöiden tiedot: kirjautumistiedot, yhteystiedot, luodut asuntoilmoitukset, toimeksiantojen hallintaan liittyvät muistiinpanot, viestit toimeksiantajille ja asiakkaille ∙ Rekisterinpitäjän asiakkaiden tiedot: yhteystiedot, henkilötunnukset, luottotiedot, yhteydenotot, tarjoukset ja vastatarjoukset, toimeksiantoihin liittyvät sopimukset. |
Arkaluonteiset henkilötiedot: | Palvelussa ei käsitellä arkaluonteisia henkilötietoja. |
Hyväksytyt alihankkijat: | Henkilötietoja käsittelee seuraavat hyväksytyt alihankkijat: Macronet Tmi (hosting), Amazon Web Services Inc, DIAS, Visma Oy |
Tietojen siirrot: | Henkilötietoja siirretään (niihin on pääsy tai niitä säilytetään) seuraavissa valtioissa / sijainneissa: - Euroopan Unionin jäsenmaat |
Muut henkilötietojen käsittelyä koskevat käytännöt: | Käsittelijä voi toimittaa Rekisterinpitäjän pyynnöstä Henkilötietoja Maanmittauslaitokselle Lisäarvopalveluita tarjottaessa. |