SANOMAN VERKKOMAINONNAN JA MAINONNAN LISÄPALVELUIDEN TIETOSUOJALIITE

SANOMAN VERKKOMAINONNAN JA MAINONNAN LISÄPALVELUIDEN TIETOSUOJALIITE

SOPIMUS

Tätä liitettä (jäljempänä ”Tietosuojaliite”) sovelletaan, kun mainostaja, mediatoimisto, mainostoimisto tai muu mainonnan palveluyritys (jäljempänä ”Mainostaja”) ostaa mainontaa Sanoma Media Finland Oy:ltä tai sen tytäryhtiöltä niiden julkaisuista, tv- ja radiokanavilta, verkko- tai mobiilisivustoilta, sovelluksista taikka uutiskirjeistä (jäljempänä ”Sanoma” tai ”Sanoman verkosto”).

Tietosuojaliitteessä määritellään Sanoman ja Mainostajan roolit ja vastuut, jotka liittyvät Sanoman verkostossa toteutettavan mainonnan yhteydessä käsiteltäviin Sanoman tai Mainostajan tietoihin.

Liitteen tarkoitus ja pääkohdat

- Sanoma on sitoutunut suojaamaan sivustojensa käyttäjien yksityisyyttä ja noudattamaan tietosuojalainsäädäntöä, kuten Euroopan unionin yleistä tietosuoja-asetusta (GDPR). GDPR edellyttää, että eri osapuolten välisestä henkilötietojen käsittelystä laaditaan tietojenkäsittelysopimus. Tässä liitteessä selvennetään tietojenkäsittelyn rooleja ja vastuita, Sanoman verkostossa mainostettaessa tai hyödynnettäessä muita mainonnan yhteydessä tarjottuja palveluita.

- Verkkomainonnan näyttämisen ja mittaamisen yhteydessä käsitellään tyypillisesti Henkilötietoja. Myös muita tietoja kuin henkilötietoja voidaan käsitellä. Tässä tietosuojaliitteessä tiedot luokitellaan niiden alkuperän mukaan. Sanoman verkostossa toteutettavan mainonnan yhteydessä käsiteltävät tiedot ovat joko Sanoman tai Mainostajan tietoa. Sekä Xxxxxxx että Mainostajan tietoihin voi sisältyä henkilötietoja. Lisäksi mainonnassa on mahdollista käyttää kolmannen osapuolen tietoja. Kolmannen osapuolen tietojen vaatimustenmukaisuudesta ja käsittelyyn liittyvistä sopimuksista vastaa se osapuoli, joka tietoja mainonnassa käyttää.

- Mainonnassa käytetään henkilötietoja. Sanoma pitää esim. evästeiden ja mobiilitunnisteiden avulla kerättyjä tietoja henkilötietoina erityisesti, jos tietoja käytetään profiileiden keräämiseen tai mainonnan kohdentamiseen.

- Sanoman verkostosta peräisin olevia ja/tai Sanoman rekisteröityjä, kuten sivuston käyttäjiä, koskevia tietoja voidaan käsitellä ainoastaan mainonnan näyttämiseen ja mittaamiseen. Sanoman tietoja ei saa käyttää mihinkään muuhun tarkoitukseen, ellei toisin ole sovittu.

- Kun Sanoma käsittelee Mainostajan tietoja, Sanoma noudattaa tietojen käsittelyssä samoja periaatteita kuin Mainostajan edellytetään noudattavan sen käsitellessä Sanoman tietoja. Nämä vaatimukset kohdistuvat tässä Tietosuojaliitteessä Henkilötietojen Käsittelijään.

- Henkilötietojen Käsittelijä on vastuussa kaikesta tietojenkäsittelystä, jota tehdään sen järjestelmissä tai sen teknisillä ratkaisuilla tai jota tekevät sen alihankkijat.

- Olemme siirtäneet sopimusteknisen osuuden loppuun, jotta asiakirja olisi helppolukuisempi. Kohdassa 6. on tietoa tähän asiakirjaan sovellettavasta lainsäädännöstä ja käytetyistä määritelmistä.

1. Mitkä ovat osapuolten roolit?

Rekisterinpitäjä:

• Sanoma on Rekisterinpitäjä sellaisten Henkilötietojen osalta, jotka ovat peräisin Sanoman verkostosta tai joita Sanoma tarjoaa mainonnan kohdentamiseksi (esim. segmentit).

• Mainostaja on Rekisterinpitäjä sellaisten Henkilötietojen osalta, joita kerätään Sanoman verkoston ulkopuolelta ja jotka ovat Mainostajan hallinnassa. Selvyyden vuoksi todettakoon, että Mainostajan oletetaan olevan Rekisterinpitäjä tai toimivan Rekisterinpitäjän lukuun sellaisten Mainostajan tietojen osalta, joita se käyttää mainonnan kohdentamiseen Sanoman verkostossa.

Henkilötietojen käsittelijä:

• Mainostaja on Sanoman verkostosta peräisin olevien tietojen Henkilötietojen Käsittelijä; mukaan lukien tiedot, joita kerätään Sanoman verkostosta evästeillä ja vastaavilla tekniikoilla mainonnan mittaamiseksi ja/tai jotka Sanoma tarjoaa mainonnan näyttämistä varten (esimerkiksi segmentit, tai muut Sanoman kohdentamiseen tarjoamat datatuotteet).

• Sanoma on Mainostajan tietojen osalta Henkilötietojen Käsittelijä, kun se käsittelee Mainostajan verkko- ja mobiilipalveluita käyttävien Rekisteröityjen tietoja mainonnan uudelleenkohdentamiseksi kyseisille käyttäjille Sanoman verkostossa. Tällaisissa tilanteissa Mainostajan tulee ilmoittaa asiasta Rekisteröidyille ja/tai pyytää heiltä suostumus Lakien mukaisesti. Kun Xxxxxx toimii Henkilötietojen Käsittelijänä, Xxxxxx toimii Mainostajan kohtuullisten ohjeiden mukaisesti, eikä käsittele tietoja omiin tarkoituksiinsa. Selvyyden vuoksi todettakoon, että siinä määrin kun Mainostajan tietoja käsitellään mainonnan näyttämiseen tai mittaamiseen, Sanoma ei käsittele

Mainostajan tietoja kuin mainonnan mahdollistamiseen Sanoman verkostossa. Jos Sanomalla on pääsy tällaisiin Mainostajan tietoihin, Sanoma on Henkilötietojen Käsittelijä.

2. Kuvaus käsittelytoimista

• Mainonnan näyttäminen ja mittaaminen: Mainostaja voi käyttää evästeitä tai muita vastaavia tekniikoita Sanoman verkostossa ainoastaan sellaisiin tarkoituksiin, jotka liittyvät mainosten näyttämiseen tai kampanjan mainosnäyttöjen (impressioiden), tavoittavuuden ja konversioasteen mittaamiseen.

• Kohdentamiseen käytettävät tiedot: Sanoman verkko- ja mobiilipalveluita sekä niiden käyttäjiä (Rekisteröityjä) tai mainosnäyttöjä koskevia Sanoman tietoja saa käsitellä ainoastaan mainosten kohdentamiseen tai uudelleenkohdentamiseen Sanoman verkoston sisällä.

• Sanoman tietojen käyttö ohjelmallisessa ostamisessa: Sanoman verkko- ja mobiilipalveluita tai niiden käyttäjiä tai tarjottuja mainosnäyttöjä koskevia Sanoman tietoja saa käyttää yksinomaan a) tarjouksen tekemiseen kyseisistä mainosnäytöistä tai b) kampanjan nettopeiton ja globaalin frekvenssin rakentamiseen Mainostajan tietojen perusteella.

• Sanoman tietojen luovuttaminen ja/tai yhdistäminen: Sanoman tietoja ei saa luovuttaa kolmansille osapuolille näiden omiin käyttötarkoituksiin eikä yhdistää mihinkään muihin tietoihin.

• Sanoman suostumus: Kaikki poikkeukset edellä kuvattuun käsittelyyn edellyttävät kirjallista suostumusta Sanomalta sekä hyväksyttävän oikeusperusteen käsittelylle (esimerkiksi Rekisteröidyn suostumuksen).

3. Voivatko Mainostajat käyttää alihankkijoita tai siirtää tietoja EU/ETA-maiden ulkopuolelle?

• Alihankkijat: Henkilötietojen käsittelijä on vastuussa omista järjestelmistään, teknisistä ratkaisuistaan ja alihankkijoistaan samalla tavalla kuin omasta toiminnastaan.

• Tiedonsiirrot: Henkilötietojen käsittelijä ei saa (eikä sen alihankkija saa) siirtää henkilötietoja tai käsitellä niitä EU/ETA-maiden ulkopuolella sopimatta siitä etukäteen kirjallisesti tämän tietosuojaliitteen toisen osapuolen kanssa, paitsi jos lakisääteisiä velvoitteita henkilötietojen käsittelystä EU/ETA-maiden ulkopuolella noudatetaan, jolloin erillistä sopimista ei tarvita.

• Dokumentointi: Henkilötietojen käsittelijän tulee Rekisterinpitäjän kirjallisesta pyynnöstä esittää Rekisterinpitäjälle luettelo alihankkijoista ja tiedonsiirroista sekä niiden oikeusperusteista.

4. Muut henkilötietojen käsittelyä koskevat vaatimukset

• Itsesääntely: Sanoma ja Mainostaja sitoutuvat noudattamaan Interactive Advertising Bureaun (IAB) European Framework for Online Behavioural Advertising -itsesääntelyperiaatteita tai muita vastaavia kulloinkin voimassa olevia itsesääntelyperiaatteita sekä suorittamaan tarpeelliset tekniset ja muut toimet periaatteiden toteuttamiseksi.

• Tietojen poistaminen: Henkilötietoja ei saa käsitellä pidempään kuin on tarpeellista mainosten tai kampanjoiden näyttämisen tai niiden mittaamisen taikka niihin liittyvien palveluiden tarjoamisen kannalta. Kaikki tiedot tulee poistaa viimeistään vuoden kuluttua niiden keräämisestä.

• Salassapito: Henkilötietojen käsittelijän tulee varmistaa, että kaikki henkilötietojen käsittelyyn valtuutetut henkilöt sitoutuvat salassapitoon ja ovat tietoisia tämän tietosuojaliitteen vaatimuksista ja rajoituksista.

• Tietoturva: Henkilötietojen käsittelijän on toteutettava ja ylläpidettävä asianmukaisia organisatorisia, operatiivisia, menetelmällisiä, fyysisiä ja teknisiä toimenpiteitä suojatakseen Henkilötiedot asiattomalta pääsyltä, vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä ja muuttamiselta, siten että kaikki käsittely täyttää Lakien vaatimukset.

• Henkilötietojen tietoturvaloukkaus: Henkilötietojen käsittelijän on välittömästi saatuaan sen tietoonsa ilmoitettava Rekisterinpitäjälle kirjallisesti (Lakien määritelmän mukaisesta) henkilötietojen tietoturvaloukkauksesta. Henkilötietojen käsittelijän tulee tehdä rekisterinpitäjän kanssa yhteistyötä pikaisen ratkaisun löytämiseksi ja lisävahinkojen välttämiseksi. Ilmoitus tulee lähettää sähköpostitse osoitteeseen: cert (a) xxxxxx.xxx

• Rekisteröityjen oikeudet ja tietosuojaa koskevat vaikutustenarvioinnit: Mikäli tietojenkäsittelyn luonteen kannalta on tarpeen, Henkilötietojen käsittelijän tulee avustaa Rekisterinpitäjää kohtuullisella tavalla Rekisteröityjen oikeuksien täyttämisessä ja tietosuojaa koskevien vaikutustenarviointien toteuttamisessa.

• Auditointi:

o Sanomalla on oikeus suorittaa evästeiden käyttöä koskevia tarkastuksia Sanoman verkostoon kuuluvissa palveluissa. Jos tarkastuksessa selviää, että Mainostaja (tai sen asiakas ja/tai jokin Mainostajan valtuuttama kolmas osapuoli) toimii tämän tietosuojaliitteen vastaisesti, Sanoma ilmoittaa asiasta Mainostajalle, jolloin Mainostajan on korjattava käytäntöjään välittömästi.

o Rekisterinpitäjän pyynnöstä Henkilötietojen käsittelijän on osoitettava Rekisterinpitäjälle, miten Henkilötietojen käsittelijä ja sen mahdolliset alihankkijat noudattavat tämän tietosuojaliitteen vaatimuksia.

• Käytetyt teknologiat: Mainostajalla ei ole oikeutta käyttää Flash-evästeitä eikä selaimen sormenjälkitunnistamista tai vastaavantyyppisiä seurantatekniikoita mainostaessaan Sanoman verkostossa.

5. Mitä tapahtuu, jos tietosuojaliitettä ei noudateta?

• Jos Henkilötietojen käsittelijä rikkoo tämän tietosuojaliitteen ehtoja, Rekisterinpitäjällä on oikeus oman harkintansa mukaan lakkauttaa välittömästi kaikki mainoskampanjat ja/tai irtisanoa kaikki Tietosuojaliitteen osapuolten väliset sopimukset päättymään välittömästi.

• Henkilötietojen käsittelijä on velvollinen korvaamaan kaikki vahingot, jotka aiheutuvat Rekisterinpitäjälle ja/tai sen verkkopalveluiden käyttäjille Tietosuojaliitteen rikkomisesta.

6. Mitä lakeja tulee noudattaa ja mitkä ovat Tietosuojaliitteen määritelmät?

Lait: tarkoittavat kaikkia Tietosuojaliitteen mukaiseen henkilötietojen käsittelyyn soveltuvia tietosuojaan, yksityisyyden suojaan ja tietoturvaan liittyviä lakeja, kuten EU-direktiivejä 95/46/EY ja 2002/58/EY (yhdessä ”EU-direktiivit”) sekä niihin tehtyjä muutoksia, korvauksia ja uusimisia, esimerkiksi EU:n yleinen tietosuoja- asetus 2016/679 sekä kaikkia sitovia kansallisia lakeja, joilla pannaan täytäntöön edellä mainittuja EU- direktiivejä ja muita sovellettavia sitovia tietosuojaan, yksityisyyden suojaan ja tietoturvaan liittyviä direktiivejä, lakeja, asetuksia tai määräyksiä (jäljempänä ”Lait”).

Määritelmät:

• ”Rekisterinpitäjä” tarkoittaa yritystä, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.

• ”Henkilötietojen käsittelijä” tarkoittaa yritystä, joka käsittelee henkilötietoja Rekisterinpitäjän lukuun.

• ”Sanoman tiedot” tarkoittaa kaikkia tietoja ja segmenttejä (mukaan lukien, mutta ei rajoittuen henkilötietoja), jotka ovat peräisin Sanoman verkostosta tai ovat Sanoman kontrolloimia tai muulla tavoin Sanoman toimittamia.

• ”Mainostajan tiedot” tarkoittaa kaikkia tietoja ja segmenttejä (mukaan lukien, mutta ei rajoittuen henkilötietoja), jotka ovat Mainostajan kontrolloimia tai joita Mainostaja käsittelee rekisterinpitäjän lukuun ja/tai, jotka ovat peräisin Mainostajan verkko- ja mobiilipalveluista.

• ”Henkilötiedot” ovat tietoja, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä (”Rekisteröityä”) Lakien määritelmän mukaisesti. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon tai verkkotunnistetietojen perusteella. Sanoma pitää evästeiden tai vastaavien tekniikoiden ja mobiilitunnisteiden avulla kerättyjä tietoja henkilötietoina etenkin silloin, kun kyseisiä tietoja käytetään rekisteröityjen profiloimiseen tai mainonnan kohdentamiseen.

• ”Käsittely” tarkoittaa kaikkea toimintaa, jossa Mainostaja tai sen kanssa samaan konserniin kuuluva tai alihankintasuhteessa oleva yritys käsittelee henkilötietoja esimerkiksi keräämällä, tallentamalla, säilyttämällä, yhdistämällä, järjestämällä, muuttamalla, laskemalla, analysoimalla, käyttämällä, luovuttamalla tietoja siirtämällä, levittämällä, poistamalla tai tuhoamalla niitä.

Tämä tietojenkäsittelysopimus on laadittu kahtena (2) samasanaisena kappaleena, yksi (1) Sanomalle ja yksi (1) Mainostajalle.

Paikka ja aika

SANOMA MEDIA FINLAND		[Mainostaja]
Nimi: Asema:		Nimi: Asema: