Yleistä

Yleistä

Tätä tietojenkäsittelysopimusta sovelletaan Sopimukseen, jonka mukaisesti Show Up Oy (”Toimittaja”) tarjoaa Sopimuksessa määritellyn Palvelun asiakkaalle (”Asiakas”).

Määritelmät ja roolit

Sen estämättä, mitä Sopimuksessa määrätään, mikäli tämän tietojenkäsittelysopimuksen ja Sopimuksen ehdot ovat ristiriidassa keskenään, sovelletaan tämän tietojenkäsittelysopimuksen ehtoja.

”Tietosuojalainsäädännöllä” tarkoitetaan tässä tietojenkäsittelysopimuksessa Suomen henkilötietolakia (523/1999) tai muuta sovellettavaa, kulloinkin voimassa olevaa tietosuojalainsäädäntöä (mukaan lukien muun muassa EU:n tietosuojadirektiivi (95/46/EY) ja yleinen tietosuojadirektiivi, ”GDPR” (2016/679/EU) ja tietosuojaviranomaisten sitovia määrityksiä.

Termien, joita ei ole määritelty tässä tietojenkäsittelysopimuksessa tai Sopimuksessa, määritelmät ovat samat kuin kulloisessakin Tietosuojalainsäädännössä.

Henkilötietojen käsittelyn tarkoitus

Toimittaja käsittelee Henkilötietoja Asiakkaan lukuun ja tietojenkäsittelysopimuksen mukaisesti Sopimuksen mukaisen Palvelun tuottamiseksi. Tämän tietojenkäsittelysopimuksen mukaisesti käsitellyt Henkilötiedot on määritelty Sopimuksessa.

Asiakkaan oikeudet ja velvollisuudet

Asiakkaan tulee

• Käsitellä Henkilötietoja hyvää tietojenkäsittelytapaa noudattaen ja Tietosuojalainsäädännön ja kaikkien sovellettavien lakien mukaisesti;

• Antaa Toimittajalle Henkilötietojen käsittelystä dokumentoidut ohjeistukset, jotka sitovat sekä Asiakasta että Toimittajaa Toimittajan kirjallisen hyväksynnän jälkeen;

• Koko ajan säilyttää Henkilötietojen hallinta ja valtuudet, mukaan lukien valmius vastata Rekisteröityjen oikeuksiin liittyviin Tietosuojalainsäädännön mukaisiin pyyntöihin; ja

SHOW UP OY

xxxxxx.xx

• Mahdollisuuksien mukaan avustaa Toimittajaa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä Toimittajan tässä tietojenkäsittelysopimuksessa ja Tietosuojalainsäädännössä asetettujen velvollisuuksien täyttämiseksi.

Toimittajan velvollisuudet

Toimittaja saa käsitellä Henkilötietoja vain Tietosuojalainsäädännön, Sopimuksen ja tämän tietojenkäsittelysopimuksen sekä Asiakkaan antamien hyväksyttyjen ja dokumentoitujen ohjeistusten mukaan, ellei Toimittajaan sovellettavissa laeissa ja asetuksissa toisin määrätä. Tällöin Toimittajan tulee ilmoittaa Asiakkaalle tällaisesta sovellettavien lakien ja asetusten mukaisesta vaatimuksesta ennen Henkilötietojen käsittelemistä, elleivät kyseiset lait ja asetukset kiellä tällaisen ilmoituksen tekemistä.

Asiakkaan avustaminen

Xxxxxx huomioon tämän tietojenkäsittelysopimuksen mukaisen Henkilötietojen käsittelyn luonne, Toimittajan tulee

• Avustaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä Asiakkaan velvollisuudessa vastata pyyntöihin, jotka koskevat Rekisteröidyn oikeuksien täyttämistä; ja

• Autettava Asiakasta varmistamaan tämän laillisten velvollisuuksien noudattaminen, kuten Asiakkaan tietoturvassa, tietosuoja-arvioinnissa ja Tietosuojalainsäädännön mukaisessa ennakkokuulemisvelvollisuudessa.

Tietoturva

Toimittaja toteuttaa ja ylläpitää asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan henkilötietojen käsittelyn riittävä turvallisuustaso ja joilla suojellaan henkilötietoja luvattomalta ja laittomalta käsittelyltä sekä tahattomalta menettämiseltä, tuhoamiselta, vahingolta, muutokselta tai luovuttamiselta, ottaen huomioon erityisesti uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.

Xxxxxxx on velvollinen varmistamaan, että toimittajaa informoidaan kaikista niistä asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista (kuten riskiarvioinneista sekä erityisten henkilötietoryhmien käsittelystä), jotka vaikuttavat tämän sopimuksen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin.

Tietoturvajärjestelyjä arvioidaan, tarkistetaan ja päivitetään säännöllisesti.

Luottamuksellisuus

Toimittajan on varmistettava, että käsitellyt Henkilötiedot pysyvät luottamuksellisena. Toimittajan tulee varmistaa, että henkilöt, jotka Toimittaja on valtuuttanut käsittelemään Henkilötietoja, sitoutuvat salassapitovelvollisuuteen tai että heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus.

Ilmoitus Henkilötietojen tietoturvaloukkauksesta

Mikäli tapahtuu tietoturvaloukkaus, jonka seurauksena siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin, Toimittajan tulee ilmoittaa tästä Asiakkaalle ilman aiheetonta viivytystä Henkilötietojen tietoturvaloukkauksen tultua ilmi.

Henkilötietojen palauttaminen ja tuhoaminen

Henkilötietojen käsittelyn tarkoituksen päätyttyä tai Asiakkaan kirjallisesta pyynnöstä Toimittajan on joko tuhottava tai palautettava Asiakkaalle kaikki Henkilötiedot, ellei laissa toisin määrätä.

Toimittajalla on oikeus palauttaa Asiakkaalle ja tuhota kaikki tämän tietojenkäsittelysopimuksen mukaisesti käsitellyt Henkilötiedot, mikäli Asiakas ei ole pyytänyt Toimittajaa tuhoamaan tai palauttamaan Henkilötietoja kuudenkymmenen (60) päivän sisällä siitä, kun kyseinen Henkilötietojen käsittelyn tarkoitus on päättynyt.

Henkilötietojen siirtäminen

Toimittaja ei saa siirtää mitään Henkilötietoja kolmannelle taholle tai kolmanteen maahan Euroopan unionin tai Euroopan talousalueen ulkopuolella muutoin kuin Asiakkaan etukäteisten kirjallisten ohjeistusten ja tämän tietojenkäsittelysopimuksen ja Sopimuksen nimenomaisten ehtojen mukaisesti.

Alihankkijat

Toimittaja voi käyttää alihankkijoita Palvelun tarjoamiseen ja Henkilötietojen käsittelyyn.

Toimittajan tulee varmistaa, että alihankkijat noudattavat tässä tietojenkäsittelysopimuksessa asetettuja salassapito-, tietoturvallisuus- ja muita velvollisuuksia. Toimittaja on täysimääräisesti vastuussa alihankkijoiden velvollisuuksien suorituksesta.

Toimittaja ilmoittaa Asiakkaalle mahdollisista alihankkijoita koskevista muutoksista, ja Asiakas voi vastustaa kyseistä muutosta ilmoittamalla tästä Toimittajalle viiden (5) päivän sisällä kyseisestä ilmoituksesta. Asiakas ei voi vastustaa muutoksia ilman perusteltua syytä.

Ulkoistetut ICT-palvelut

Ulkoistetuilla ICT-palveluilla tarkoitetaan tässä kohdassa toimittajaan nähden ulkopuolisia yrityksiä, jotka tuottavat toimittajalle esimerkiksi palvelimien ja työasemien ylläpitopalvelua, tallennus- sekä varmistuspalveluita, tietoturvan ylläpitopalvelua tai tietoliikenneyhteyksien ylläpitopalvelua.

Ulkopuolisista ICT-palveluista on laadittu kirjalliset palvelusopimukset sekä kirjalliset sopimukset luottamuksellisen tiedon salassapidosta.

Auditointi

Asiakkaalla tai Asiakkaan määräämällä tunnustetulla itsenäisellä kolmannella auditoijalla, jolla on taattu kokemus ja käytännöt, on oikeus milloin tahansa tämän tietojenkäsittelysopimuksen voimassa ollessa suorittaa Toimittajalle auditointeja ja tarkastuksia sen varmistamiseksi, että Toimittaja noudattaa tätä tietojenkäsittelysopimusta ja erityisesti teknisiä ja organisatorisia turvatoimia, joiden toteuttamista vaaditaan. Toimittajalla on oikeus olla hyväksymättä tiettyä kolmatta tahoa, mikäli kolmas taho on Toimittajan kilpailija.

Asiakkaan on etukäteen annettava kirjallinen ilmoitus Toimittajalle viimeistään kuusikymmentä (60) kalenteripäivää ennen auditointia. Auditoinnit tulee järjestää Toimittajan normaalien työaikojen puitteissa. Toimittajan tulee avustaa Asiakasta auditoinnin suorittamisessa ja veloittaa tällaisesta avusta Sopimuksessa asetettujen hinnoittelu- ja maksuehtojen mukaisesti.

Kustannukset

Toimittajan tämän tietojenkäsittelysopimuksen mukaisesti antamasta avusta veloitetaan Sopimuksessa asetettujen hinnoittelu- ja maksuehtojen mukaisesti.

Sovellettava laki ja riidanratkaisu

Tähän tietojenkäsittelysopimukseen sovelletaan Suomen lakia, pois lukien sen lainvalintasäännökset, sekä Sopimuksen mukaista riidanratkaisua.

Voimassaolo ja muutokset

Tämä tietojenkäsittelysopimus astuu voimaan, kun Asiakas ja Toimittaja allekirjoittavat Sopimuksen tai liitesopimuksen jonka liitteenä tämä tietojenkäsittelysopimus on, Asiakas on kirjallisesti vahvistanut hyväksyvänsä tämän tietojenkäsittelysopimuksen tai Osapuolet ovat muutoin hyväksyneet tämän tietojenkäsittelysopimuksen ehdot. Tämä tietojenkäsittelysopimus päättyy automaattisesti Sopimuksen mukaisen kyseisen Henkilötietojen käsittelyn tarkoituksen päätyttyä.

GDPR:ää sovelletaan 25. toukokuuta 2018 alkaen. Kun GDPR on saatettu osaksi kansallista lainsäädäntöä tai jokin valvontaviranomainen antaa sitovia ohjeita, tätä TKS:ta saattaa olla tarpeen päivittää Osapuolten yhteisellä suostumuksella.