SEMEL-PALVELUIDEN HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

SEMEL-PALVELUIDEN HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

Semel ja Asiakas ovat sopineet, että Semel toimittaa tiettyjä palveluita Asiakkaalle (määritetty sovellettavassa toimitus- tai palvelusopimuksessa sanalla ”Palvelut” tai muulla tavoin, jäljempänä ”Palvelut”) toimitus- tai palvelusopimuksessa (”Sopimus”) sovitussa laajuudessa. Sopimuksessa määritetään Sopijapuolten välisen yhteistyön sisältö sekä Semelin toimittamia palveluita koskevat osapuolten vastuut ja velvoitteet.

Semel käsittelee henkilötietoja Asiakkaan puolesta Sopimuksessa määritetyssä laajuudessa. Tämän henkilötietojen käsittelyä koskevan liitteen (”DPA”, Data Processing Addendum) tarkoituksena on määrittää ehdot, joita tällaiseen käsittelyyn sovelletaan EU:n yleisessä tietosuoja-asetuksessa ja muussa sovellettavassa tietosuojalainsäädännössä edellytettävällä tavalla.

Asiakas hyväksyy tämän DPA:n omasta puolestaan ja niiden Asiakkaan konserniyhtiöiden puolesta, jotka toimivat Xxxxxxx tämän DPA:n sekä Xxxxxxx ja Asiakkaan välisen Sopimuksen nojalla käsittelemien henkilötietojen rekisterinpitäjänä. Yksinomaan tämän DPA:n tarkoituksessa ja mikäli muuta ei todeta, sanalla ”Asiakas” tarkoitetaan Asiakasta ja Asiakkaan konserniyhtiöitä.

Jos tämän asiakirjan ja minkä tahansa liitteen välillä on eriävyyksiä, tämän asiakirjan ehtoja noudatetaan. Jos tämän DPA:n ja Sopimuksen välillä on eriävyyksiä, tätä DPA:ta noudatetaan.

Tämä DPA on tullut voimaan 25.5.2018, ja se pysyy voimassa Sopimuksen voimassaoloajan sekä sen jälkeen niin kauan kuin on tarpeen sovitun henkilötietojen käsittelyn suorittamiseksi loppuun.

1. MÄÄRITELMÄT

Tässä DPA:ssa käytettynä termeillä ”henkilötiedot”, ”rekisteröity”, ”henkilötietojen tietoturvaloukkaus”, ”käsittely”, ”rekisterinpitäjä”, ”käsittelijä” ja ”valvontaviranomainen” on ne merkitykset, jotka niille määritetään Yleisessä tietosuoja-asetuksessa, ja termeillä ”tietojen tuoja” ja ”tietojen viejä” on ne merkitykset, jotka niille määritetään Euroopan unionin hyväksymissä mallisopimuslausekkeissa, jotka koskevat henkilötietojen siirtoa EU:n/ETA-maiden ulkopuolelle.

1.1. Ellei muuta todeta, näissä Ehdoissa seuraavilla termeillä on tässä määritetyt merkitykset:

• Yleinen tietosuoja-asetus tarkoittaa EU:n yleistä tietosuoja-asetusta (679/2016), joka koskee henkilötietojen käsittelyä.

• Alihankkijoina toimivat käsittelijät tarkoittaa kolmansia osapuolia, jotka on valtuutettu tämän DPA:n nojalla saamaan pääsyn henkilötietoihin ja käsittelemään niitä voidakseen tarjota Palveluiden osia. Xxxxx Xxxxxxxxxxxxx toimiva käsittelijä vastaa sovellettavan tietosuojalainsäädännön termiä käsittelijä, ja se tulkitaan vastaavasti tässä yhteydessä.

• Tietoturva-, tietosuoja- ja arkkitehtuuridokumentaatio tarkoittaa Tietoturva-, tietosuoja- ja arkkitehtuuridokumentaatiota, jota sovelletaan tiettyihin Asiakkaan ostamiin Palveluihin ja jota päivitetään ajoittain. Tämä dokumentaatio toimitetaan Asiakkaalle osana Sopimuksen dokumentaatiota, ja se on saatavilla Semelilta pyynnöstä tai muulla kohtuullisella tavalla, jolla Semel voi asettaa sen nähtäville.

• Asiakas tarkoittaa tilaus- ja maksuliikennepalveluja tuottavia organisaatioita ( julkiset toimijat ja yhtiöt) sekä taksi- ja henkilöliikenneyrittäjiä.

2. HENKILÖTIETOJEN KÄSITTELY

2.1. Sopijapuolet sopivat, että Henkilötietojen Käsittelyn tarkoituksessa Asiakas on Rekisterinpitäjä ja Semel Käsittelijä, ja että Semel käyttää Xxxxxxxxxxxxxx toimivia käsittelijöitä Kohdan 5 ”Alihankkijoina toimivat käsittelijät” vaatimusten mukaisesti.

2.2. Käyttäessään Palveluita Asiakas käsittelee henkilötietoja tietosuojalakien vaatimuksia noudattaen, ja Asiakas vastaa, että sen antamat henkilötietojen käsittelyä koskevat ohjeet ovat tietosuojalakien mukaisia. Xxxxxxx on yksin vastuussa henkilötietojen täsmällisyydestä, laadusta ja lainmukaisuudesta sekä tavoista, joilla Asiakas on hankkinut henkilötiedot.

2.3. Semel käsittelee henkilötietoja ainoastaan Asiakkaan puolesta ja Asiakkaan ohjeiden mukaan, ja se käsittelee henkilötietoja luottamuksellisina tietoina. Asiakkaalla on oikeus ohjeistaa Xxxxxxx käsittelemään henkilötietoja seuraavissa tarkoituksissa: (i) Käsittely Sopimuksen ja sovellettavien tilausten mukaan ja (ii) Käsittely muiden Asiakkaan toimittamien kohtuullisten ohjeiden mukaan (esim. tukipyynnöt), kun tällaiset ohjeet ovat tämän Sopimuksen ehtojen mukaisia. Tehdessään tukipyynnön tai muun palvelupyynnön Asiakas ei voi siirtää henkilötietoja Semelille ilmoittamatta siitä etukäteen. Jos henkilötiedot ovat tarpeen ongelman käsittelyprosessissa tai muun palvelupyynnön käsittelyssä, Xxxxxxx voi päättää muuttaa nämä henkilötiedot anonyymeiksi ennen ongelmasta kertovan viestin siirtämistä Semelille.

2.4. Xxxxxxx toimittaman palvelun sisältö ja yksityiskohdat kuvataan Sopimuksessa.

3. REKISTERÖITYJEN OIKEUDET

3.1. Asiakkaalla on palvelusopimuksen mukainen pääsy ja kontrolli järjestelmään, jossa henkilötiedot ovat, jotta Asiakas voi vastata rekisteröityjen pyyntöihin käyttää sovellettavan tietosuojalainsäädännön mukaisia oikeuksiaan saada pääsy henkilötietoihinsa, poistaa, oikaista ja siirtää henkilötietojaan taikka rajoittaa tai vastustaa tiettyjen henkilötietojensa käsittelyä.

3.2. Siinä määrin kuin Asiakas ei Palveluita käyttäessään kykene esimerkiksi oikaisemaan, muuttamaan tai poistamaan henkilötietoja tai rajoittamaan henkilötietojen käsittelyä tietosuojalakien edellyttämällä tavalla, Semel noudattaa Asiakkaan kohtuullisia pyyntöjä auttaa Asiakasta tällaisissa toimissa siinä laajuudessa kuin Semel lain mukaan voi tehdä niin.

3.3. Lain sallimassa laajuudessa Semel ilmoittaa ilman aiheetonta viivästystä Asiakkaalle, jos se saa rekisteröidyltä pyynnön päästä kyseisen henkilön henkilötietoihin, oikaista tai muuttaa niitä tai poistaa ne. Semel ei vastaa tällaisiin rekisteröityjen tekemiin pyyntöihin ilman Asiakkaan etukäteen antamaa kirjallista suostumusta muutoin kuin vahvistaakseen, että pyyntö liittyy Asiakkaaseen. Semel tekee Asiakkaan kanssa yhteistyötä ja avustaa Asiakasta rekisteröidyn henkilötietoihinsa pääsyä koskevan pyynnön käsittelyssä siinä laajuudessa kuin laki tämän sallii ja siinä laajuudessa kuin Asiakkaalla ei ole pääsyä näihin henkilötietoihin Palveluita käyttäessään. Käsittelijä laskuttaa kyseisellä hetkellä voimassa olevan hinnastonsa mukaan käsittelijän tarjoamasta avusta, joka ei kuulu Sopimuksen mukaisten palveluiden laajuuteen.

4. SEMELIN HENKILÖSTÖ

4.1. Semel vastaa, että sen henkilötietojen käsittelyyn osallistuva henkilöstö on tietoinen henkilötietojen luottamuksellisuudesta, on saanut asianmukaisen velvollisuuksiaan koskevan koulutuksen ja on allekirjoittanut asianmukaiset salassapitosopimukset. Semel vastaa, että tämä salassapitovelvollisuus pysyy voimassa myös sen jälkeen, kun työntekijöiden työsuhde Semeliin päättyy.

4.2. Semel vastaa, että ainoastaan Sopimuksen mukaisia Palveluita suorittava Xxxxxxx henkilöstö pääsee käsiksi henkilötietoihin.

4.3. Tietosuojasta vastaava yhteyshenkilö. Semelin nimeämälle tietosuojasta vastaavalle yhteyshenkilölle voi lähettää sähköpostia osoitteeseen xxxxxxxxxx@xxxxx.xx.

5. ALIHANKKIJOINA TOIMIVAT KÄSITTELIJÄT

5.1. Sallittu käyttö

5.1.1. Asiakas valtuuttaa Xxxxxxx käyttämään alihankkijoita henkilötietojen käsittelyssä, jolloin nämä alihankkijat ovat Alihankkijoina toimivia käsittelijöitä. Semel vastaa kaikista Alihankkijoinaan toimivien käsittelijöiden aiheuttamista sopimusrikkomuksista.

5.1.2. Semel vastaa, että Alihankkijoina toimivat käsittelijät ovat tehneet kirjallisen sopimuksen, jossa ne sitoutuvat vähintään samaan tietoturvan tasoon, jota Semel edellyttää DPA:ssa.

5.1.3. Semel arvioi Alihankkijana toimivan käsittelijän tietoturvaa, tietosuojaa ja luottamuksellisuutta koskevat käytännöt ennen sen valintaa alihankkijaksi. Alihankkijoina toimivilla käsittelijöillä voi olla tietoturvatodistuksia, jotka osoittavat niiden käytössä olevien tietoturvatoimenpiteiden asianmukaisuuden. Jos näin ei ole, Semel arvioi säännöllisesti kunkin Xxxxxxxxxxxxx toimivan käsittelijän tietoturvakäytännöt käsittelyyn liittyviltä osin.

5.2. Semel käyttää Alihankkijoina toimivia käsittelijöitä omalla harkinnallaan.

5.2.1. Semel ilmoittaa Asiakkaalle kaikista Xxxxxxxxxxxxxx toimivien käsittelijöiden muutoksista etukäteen.

5.2.2. Jos Asiakkaalla on pätevä syy, joka liittyy Alihankkijoina toimivien käsittelijöiden tapaan käsitellä henkilötietoja, Asiakas voi vastustaa Xxxxxxx aikomusta käyttää Xxxxxxxxxxxxx toimivaa käsittelijää. Jos asiakas vastustaa Alihankkijana toimivan käsittelijän käyttöä, sopijapuolet pyrkivät keskustelemalla löytämään ratkaisun tilanteeseen. Semel voi valintansa mukaan (i) olla käyttämättä kyseistä Xxxxxxxxxxxxx toimivaa käsittelijää tai (ii) ryhtyä korjaaviin toimenpiteisiin, joita Asiakas pyytää vastustaessaan Alihankkijana toimivan käsittelijän käyttöä. Jos kumpikaan näistä vaihtoehdoista ei ole kohtuullisesti katsoen mahdollinen ja Asiakas edelleen vastustaa käyttöä pätevästä syystä, kumpi tahansa sopijapuoli voi päättää sopimuksen palvelusopimuksen ehtojen mukaisesti kirjallisella ilmoituksella.

6. EU:N/ETA-MAIDEN ULKOPUOLELLA TAPAHTUVA KÄSITTELY

6.1. Semel ja sen Alihankkijoina toimivat käsittelijät voivat siirtää henkilötietoja EU:n/ETA-maiden ulkopuolelle tai käsitellä henkilötietoja EU:n/ETA-maiden ulkopuolella.

6.2. Tällaisen siirron tai käsittelyn tapauksessa Semel vastaa, että tällaiseen siirtoon tai käsittelyyn sovelletaan Euroopan unionin hyväksymiä mallisopimuslausekkeita, tai vastaavia Yleisessä tietosuoja- asetuksessa hyväksyttyjä asianmukaisia oikeudellisia suojatoimia, jotka koskevat henkilötietojen siirtoa EU:n/ETA-maiden ulkopuolelle.

6.3. Asiakas antaa Xxxxxxxxx valtuuden edustaa Asiakasta ja allekirjoittaa EU:n komission mallisopimuslausekkeet Asiakkaan puolesta ja nimissä. Lisäksi Asiakas hyväksyy, että Semel voi edustaa myös kyseistä Alihankkijana toimivaa käsittelijää mallisopimuslausekkeiden osalta.

7. TIETOTURVA

7.1. Henkilötietoja suojaavat kontrollit. Semel ylläpitää asianmukaisia teknisiä ja organisatorisia käytäntöjä, joilla varmistetaan henkilötietojen tietoturva (mukaan lukien suojaus henkilötietojen valtuuttamattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tai lainvastaisesti tapahtuvalta tuhoamiselta, katoamiselta, muuttamiselta tai korruptoitumiselta, valtuuttamattomalta paljastamiselta tai pääsyltä henkilötietoihin), luottamuksellisuus ja eheys Tietoturva-, tietosuoja- ja arkkitehtuuridokumentaatiossa kuvatulla tavalla. Semel seuraa säännöllisesti näiden toimien noudattamista. Semel ei heikennä olennaisesti Palveluiden yleistä tietoturvaa Sopimuksen voimassaoloaikana.

7.2. Kolmansien osapuolten sertifioinnit ja auditoinnit. Asiakas tai Asiakkaan valtuuttama auditoija (ei kuitenkaan Semelin kilpailija) voi auditoida DPA:n mukaisen toiminnan. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista etukäteen viimeistään 30 päivää ennen tarkastusta. Auditointi suoritetaan tavalla, joka ei estä Xxxxxxx xxx sen alihankkijoita suorittamasta velvollisuuksiaan kolmansia osapuolia kohtaan. Asiakkaan edustajien ja auditoijan on allekirjoitettava salassapitosopimus. Asiakas vastaa auditoinnista itselleen ja kaikista auditoinnista Semelille aiheutuvista kustannuksista. Jos auditoinnissa havaitaan selkeitä puutteita, Semel on vastuussa auditoinnista aiheutuvista kustannuksista.

8. HENKILÖTIETOJEN TIETOTURVALOUKKAUS

8.1. Semel ilmoittaa Asiakkaalle kirjallisesti ilman aiheetonta viivästystä tietoonsa tulleesta henkilötietoja koskevasta tietoturvaloukkauksesta. Tällaisessa ilmoituksessa on vähintään seuraavat tiedot:

8.1.1. Kuvaus henkilötietojen tietoturvaloukkauksesta, mukaan lukien mahdollisuuksien mukaan loukkauksen koskemat asianomaiset Asiakkaan rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät.

8.1.2. Sen henkilön nimi ja yhteystiedot, jolta saa lisätietoa.

8.1.3. Kuvaus toimenpiteistä, joita on ehdotettu tai toteutettu henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

9. ASIAKASTIETOJEN POISTAMINEN TAI PALAUTTAMINEN

9.1. Sopimuksen voimassaolon päätyttyä asiakkaan valinnan mukaan Semel poistaa asiakkaan puolesta käsitellyt henkilötiedot ja asennukset sekä kopiot, ellei sovellettava lainsäädäntö edellytä toisin.

10. VAHINGONKORVAUS

10.1. Jos henkilölle aiheutuu EU:n yleisen tietosuoja-asetuksen tai DPA:n rikkomuksesta aineellisia tai aineettomia vahinkoja, Käsittelijä on vastuussa vahingoista vain siinä määrin kuin se ei nimenomaisesti ole noudattanut niitä velvollisuuksia, jotka EU:n yleisessä tietosuoja-asetuksessa tai tässä DPA:ssa määritetään henkilötietojen käsittelijöille.

10.2. Molemmat sopijapuolet ovat vastuussa vain siitä vahingonkorvausten tai sakkomaksujen osasta, jonka tietosuojaviranomainen tai tuomioistuin vahvistaa lopullisessa päätöksessään niiden vahinkovastuuksi. Kaikissa tapauksissa sopijapuolten vastuu määritetään Sopimuksen nojalla.

10.3. Sopijapuolten DPA:han perustuva vahingonkorvausvastuu rajoitetaan Sopimuksen laajuuteen ja kaksinkertaisesti sovellettavassa Xxxxxxx tuote tai palvelukohtaisissa yleisissä sopimusehdoissa määritettyihin enimmäissummiin, paitsi jos vastuunrajoitukset nimenomaan kielletään sovellettavassa lainsäädännössä tai ne ovat muuten lain näkökulmasta pätemättömiä tai täytäntöönpanokelvottomia. Selkeyden vuoksi todetaan, että epäsuoria vahinkoja ei kateta.

11. SOVELLETTAVA LAKI JA ERIMIELISYYKSIEN RATKAISEMINEN

11.1. DPA:n tulkintaan ja hallintaan sovelletaan asianomaisessa Sopimuksessa määritettyä lakia.

11.2. Kaikki DPA:n tulkintaa tai soveltamista koskevat erimielisyydet ratkaistaan asianomaisessa sopimuksessa määritettyjen erimielisyyksien ratkaisemista koskevien ehtojen mukaan.

Liite 1: Tiedonkäsittelyn asiasisältö ja yksityiskohdat

Rekisteröityjen ryhmät

Asiakas voi hallinnoida Henkilötietoja Palveluissa, ja Asiakas vastaa henkilötietojen syöttämisen laajuudesta ja hallinnoi sitä yksinomaisella harkinnallaan. Näitä Henkilötietoja voivat olla esimerkiksi (mutta näihin rajoittumatta) Henkilötiedot, jotka liittyvät seuraaviin rekisteröityjen ryhmiin:

• Asiakkaan prospektit, asiakkaat, liikekumppanit ja toimittajat (jotka ovat luonnollisia henkilöitä)

• Asiakkaan prospektien, asiakkaiden, liikekumppaneiden ja toimittajien työntekijät ja yhteyshenkilöt

• Asiakkaan työntekijät, edustajat, neuvonantajat ja freelancerit (jotka ovat luonnollisia henkilöitä)

• Asiakkaan Käyttäjät, jotka Asiakas on valtuuttanut käyttämään Palveluita Henkilötietojen tyyppi

Asiakas voi hallinnoida Henkilötietoja Palveluissa, ja Asiakas vastaa henkilötietojen syöttämisen laajuudesta ja hallinnoi sitä yksinomaisella harkinnallaan. Näitä Henkilötietoja voivat olla esimerkiksi seuraavat (mutta näihin rajoittumatta) Henkilötietojen ryhmät:

• Asiakkaan tiedot, kuten nimi, ammattinimike, puhelinnumero, yrityksen osoite sekä matkapuhelinnumerot ja sähköpostiosoite

• Yritysasiakkaan, yhteistyökumppanin tai toimittajan tiedot, kuten nimi, ammattinimike, yrityksen osoite, puhelinnumero sekä matkapuhelinnumerot ja sähköpostiosoite

• Rekrytointi- ja henkilöstötiedot, kuten nimi, osoitteet, yhteystiedot, ikä ja rekisteröidyn työsuhteeseen liittyvät tiedot

• Talous- ja transaktiotiedot

• Tekniset tiedot, kuten toimitettuihin palveluihin liittyvät yksityiskohtaiset laitteistotiedot, kuten tekniset tunnisteet, käyttäjätunnus, sijainti, yhteystiedot, tiedonsiirtotiedot ja metatiedot

• Tietoturvatiedot, kuten tietoturvalokia koskevat tiedot

• Yhteyttä koskevat tiedot

• Sijaintitiedot