TIETOSUOJALIITE

TIETOSUOJALIITE

1. TAUSTA JA TARKOITUS

Ropo Capital Oy:n (”Ropo Capital”) ja sen kanssa sopimuksen solmineen asiakkaan (”Asiakas”) väliseen sopimussuhteeseen sovelletaan tätä Ropo Capital Oy:n yleisten ja palvelukohtaisten ehtojen tietosuojaliitettä, kun Ropo Capital käsittelee käsittelijänä henkilötietoja rekisterinpitäjänä toimivan Asiakkaan lukuun. Jos tämän tietosuojaliitteen ja yleisten ja palvelukohtaisten ehtojen henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, sovelletaan ensisijaisesti tämän tietosuojaliitteen ehtoja.

Tämän tietosuojaliitteen tarkoituksena on sopia Asiakkaan henkilötietojen suojasta ja tietoturvasta Ropo Capitalin tuottaessa Asiakkaalle yleisten ja palvelukohtaisten ehtojen mukaisia palveluita. Ropo Capital ja Asiakas noudattavat kulloinkin sovellettavaa tietosuojalainsäädäntöä käsitellessään Ropo Capitalin ja Asiakkaan välisen sopimuksen perusteella rekisteröityjen henkilötietoja. Tietosuojalainsäädännöllä tarkoitetaan henkilötietojen suojaan liittyvää kansallista ja EU-lainsäädäntöä, kuten Euroopan unionin yleistä tietosuoja-asetusta (EU 2016/679). Niitä tietosuojaan liittyviä termejä, joita ei ole määritelty tässä tietosuojaliitteessä, käytetään EU:n yleisen tietosuoja- asetuksen määrittämällä tavalla.

Palvelussa Ropo Capital käsittelee henkilötietoja yleisten ja palvelukohtaisten ehtojen mukaisten palveluiden tuottamiseksi Asiakkaalle. Palvelut voivat olla esimerkiksi luottotietopalvelujen tuottamiseen liittyviä palveluita, kuten Asiakkaan kanssa on tarkemmin sovittu. Rekisteröidyt ovat toimeksiannon kohteena olevia asiakkaita tai näiden henkilöstöä, toimeksiantoon liittyviä muita henkilöitä ja/tai Asiakkaan henkilöstöä.

Toimeksiannon kohteena olevista asiakkaista tai näiden henkilöstöstä käsitellään palvelun toteuttamiseksi ja toimeksiantojen hoitamiseksi tarpeellisia henkilötietoja, kuten asiakasnumero, nimi, henkilötunnus tai syntymäaika, osoite, puhelinnumero, sähköpostiosoite, yhteyshenkilöiden tai edunvalvojien nimet ja yhteystiedot, pankkiyhteystiedot ja muut toimeksiannon hoitamisen kannalta tarpeelliset tiedot toimeksiannon kohteesta. Lisäksi toimeksiantojen hoitamiseksi voidaan käsitellä muita tarpeellisia tietoja mukaan lukien laskutustietoja, saatavaa, sen määrää ja perustetta sekä sen maksamista koskevia tietoja, toimeksiannon asianumeroa ja sen käsittelyvaihetta koskevia tietoja, perintätoimenpiteitä ja perinnän vaihetta koskevia tietoja, rekisteröidyn itse antamia tietoja sekä viranomaisilta ja julkisista rekistereistä saatavia toimeksiannon hoitamisen kannalta tarpeellisia tietoja, kuten julkisia luottotietoja, viranomaispäätöksiä ja täytäntöönpanotietoja sekä tietoja asiakaspalvelun kanssa käydyistä puhelinkeskusteluista ja muusta viestinnästä.

Asiakas on velvollinen ilmoittamaan Ropo Capitalille, mikäli palveluiden mukaisten toimeksiantojen hoitamisen yhteydessä Ropo Capitalin käsiteltäväksi tulee muita kuin yllä mainittuja henkilötietoja, erityisesti mikäli kyse erityisiin (arkaluontoisiin) henkilötietoryhmiin kuuluvista henkilötiedoista.

Asiakkaan henkilöstöstä käsiteltäviä tietoja ovat nimi, puhelinnumero ja sähköpostiosoite.

2. KÄSITTELY

Asiakas siirtää Ropo Capitalille ja Ropo Capitalin järjestelmiin vain sellaista tietoa, jota sillä on oikeus käsitellä kulloinkin soveltuvan tietosuojalainsäädännön mukaan.

Ropo Capital ja sen alaisuudessa toimiva henkilöstö käsittelee Asiakkaan lukuun henkilötietoja vain sopimuksen ja sen liitteiden, kuten tämän tietosuojaliitteen, mukaisesti sekä mahdollisen erikseen sovitun kirjallisen ohjeistuksen mukaisesti, ellei kulloinkin sovellettavassa lainsäädännössä toisin vaadita. Jos Ropo Capital huomaa, että kirjallinen ohjeistus on lainvastainen, Ropo Capital tiedottaa Asiakasta tästä lainsäädännön vaatimuksesta ennen käsittelyä. Ropo Capital ei kuitenkaan tiedota asiasta, jos ilmoittaminen on kielletty kyseisessä lainsäädännössä yleistä etua koskevien tärkeiden syiden vuoksi.

Ropo Capital varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta.

Ropo Capitalilla on oikeus siirtää ja luovuttaa henkilötietoja Asiakkaan kanssa solmitun sopimuksen ja kulloinkin sovellettavan lainsäädännön sallimissa ja velvoittamissa tilanteissa esimerkiksi rekisteröidylle itselleen ja/tai

tuomioistuimille, ulosottoviranomaisille, poliisiviranomaisille, luottotietoyhtiöille ja/tai numero-, osoite- ja yhteystietopalveluyrityksille tietojen tarkistamista varten.

Sopimuksen päätyttyä Ropo Capital poistaa kohtuullisessa ajassa ne sopimuksen perusteella asiakkaan lukuun käsitellyt henkilötiedot, joita soveltuvan lainsäädännön vuoksi ei ole perusteltua säilyttää. Ropo Capital säilyttää henkilötietoja sen aikaa kuin se on soveltuvan lainsäädännön vuoksi perusteltua, minkä jälkeen ne sopimussuhteen loputtua poistetaan kohtuullisessa ajassa.

Soveltuvan tietosuojalainsäädännön niin vaatiessa, Ropo Capital pitää käsittelijänä selostetta käsittelytoimista valvontaviranomaista varten.

3. TIETOTURVA

Ropo Capital toteuttaa riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää sovellettavan lainsäädännön vaatimukset. Näissä teknisissä ja organisatorisissa toimenpiteissä huomioidaan riskiä vastaava turvallisuustason varmistaminen kuten:

• tarvittaessa henkilötietojen pseudonymisointi ja xxxxxx;

• kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

• kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

• menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organistoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Ropo Capital kiinnittää huomiota turvallistason arvioimisessa käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattomat luovuttamisen tai henkilötietoihin pääsyn vuoksi.

Jos tapahtuu Asiakkaan lukuun käsiteltäviä henkilötietoja koskeva tietoturvaloukkaus, Ropo Capital ilmoittaa siitä Asiakkaalle ilman aiheetonta viivästystä ja mahdollisuuksien mukaan kolmenkymmenkuuden (36) tunnin kuluessa saatuaan sen tietoonsa. Ottaen huomioon käsittelyn luonteen ja Ropo Capitalin saatavilla olevat tiedot, Ropo Capital antaa Asiakkaalle tarpeelliset tiedot tietoturvaloukkauksesta, jotta Asiakas voi täyttää sovellettavan tietosuojalainsäädännön vaatimukset, kuten ilmoitusvelvollisuutensa tai tietoturvaloukkausten dokumentointivelvollisuutensa. Asiakas ilmoittaa Ropo Capitalille ilman aiheetonta viivästystä, jos Asiakkaan tietoon tulee tietoturvaloukkaus, joka saattaa koskea Ropo Capitalin Asiakkaan lukuun käsittelemiä henkilötietoja. Jos Ropo Capital tarvitsee tietoturvaloukkaustilanteessa tarpeellisia tietoja Asiakkaalta voidakseen täyttää tämän tietosuojaliitteen ja lainsäädännön mukaiset velvollisuutensa, Asiakkaan on annettava ne Ropo Capitalille ilman aiheetonta viivytystä.

4. AUDITOINTIOIKEUS

Asiakkaalla ja/tai sen tätä tarkoitusta varten valtuuttamalla kolmannella taholla on oikeus suorittaa auditointi, kuten tarkastus, arvioidakseen tämän liitteen mukaisten tietosuojavelvoitteiden täyttämistä ja tietoturvan tasoa. Valtuutettu kolmas taho ei saa olla Ropo Capitalin suora kilpailija. Ropo Capitalilla on oikeus määrittää, onko valtuutettu kolmas taho Ropo Capitalin suora kilpailija. Ropo Capitalilla on oikeus edellyttää sellaisen valtuutetun kolmannen tahon käyttämistä auditointiin, joka ei ole Ropo Capitalin suora kilpailija.

Ropo Capitalin tulee osallistua tarkastuksiin ja antaa Asiakkaalle kaikki tiedot, jotka ovat tarpeen Ropo Capitalin velvollisuuksien noudattamisen osoittamista varten. Asiakkaalla on oikeus tarkastaa myös Ropo Capitalin käyttämien alihankkijoiden toiminta niiltä osin, kuin se on tarpeen palvelussa käsiteltävien henkilötietojen suojaamiseksi. Asiakas vastaa tarkastuksen kustannuksista kolmannen tahon osalta, muilta osin osapuolet vastaavat omista kustannuksistaan. Asiakkaalla ja sen valtuuttamalla kolmannella taholla on salassapitovelvollisuus auditoinnissa ilmi käyneistä Ropo Capitalin liikesalaisuuksista.

Auditointioikeuden käyttämisestä ja auditoinnin sisällöstä ja menettelyistä sekä ajankohdasta sovitaan aina erikseen Ropo Capitalin kanssa. Auditoinnin ajankohta voi olla aikaisintaan kolmekymmenen (30) päivän kuluttua auditointia koskevasta kirjallisesta yhteydenotosta.

Myös viranomaisilla on tarkastusoikeus esimerkiksi silloin, kun viranomainen tarkastaa Asiakkaan prosessia, johon kuuluu osana Ropo Capitalin Asiakkaalle käsittelijänä toimittama palvelu.

5. ALIHANKKIJAT

Xxxxxxx antaa tällä tietosuojaliitteellä luvan Ropo Capitalille luvan käyttää alihankkijoita henkilötietojen käsittelyssä. Xxxxxxxxxxxx käsittelevät henkilötietoja heidän kanssaan sovitun mukaisessa laajuudessa. Ropo Capitalin nykyiset alihankkijat on listattu seuraavalla verkkosivulla: xxxxx://xxx.xxxxxxxxxxx.xx/xx/xxxxxxxxxxxx/.

Ropo Capital ilmoittaa Asiakkaalle tulevista muutoksista alihankkijoissa. Lista päivitetään myös yllä mainittuun osoitteeseen. Xxx Xxxxxxx ei xxxx lupaa uuden alihankkijan käyttämiseksi henkilötietojen käsittelyssä, Asiakkaalla on oikeus irtisanoa sopimus neljäntoista (14) päivän kuluessa alihankkijoiden muutosilmoituksesta. Xxx Xxxxxxx ei irtisano sopimusta, Ropo Capital voi käyttää ilmoitettuja uusia alihankkijoita. Asiakkaan irtisanoessa sopimuksen noudatetaan yleisten ja palvelukohtaisten ehtojen kohtaa 1.2 sopimuksen irtisanomisesta ja irtisanomisajasta.

Ropo Capitalin käyttäessä alihankkijoita Asiakkaan henkilötietojen käsittelyyn, Ropo Capital huolehtii siitä, että alihankkijaan sovelletaan sopimuksen tai muun oikeudellisen asiakirjan perusteella samoja tai vähintään yhtä tiukkoja tietosuojavelvoitteita kuin tässä tietosuojaliitteessä. Erityisesti alihankkijan on annettava riittävät takeet siitä, että käsittelyyn liittyvät tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää sovellettavan lainsäädännön vaatimukset. Xxx Xxxx Capitalin alihankkija ei täytä tietosuojavelvoitteitaan, on Ropo Capital edelleen täysimääräisesti vastuussa alihankkijan velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.

6. KÄSITTELY EUROOPAN UNIONIN JA EUROOPAN TALOUSALUEEN ULKOPUOLELLA

Henkilötietoja ei siirretä eikä luovuteta Euroopan unionin, Euroopan talousalueen tai Euroopan komission päättämien riittävän tietosuojan tason maiden ulkopuolelle ilman, että Ropo Capital ilmoittaa asiasta etukäteen Asiakkaalle. Jos Asiakas ei anna lupaa siirtoon, Asiakkaalla on oikeus irtisanoa sopimus neljäntoista (14) päivän kuluessa ilmoituksesta. Asiakkaan irtisanoessa sopimuksen noudatetaan yleisten ja palvelukohtaisten ehtojen kohtaa

1.2 sopimuksen irtisanomisesta ja irtisanomisajasta.

Mikäli henkilötietoja siirretään Euroopan unionin, Euroopan talousalueen ja Euroopan komission päättämien riittävän tietosuojan tason maiden ulkopuolelle, osapuolet käyttävät asianmukaisia suojatoimia, kuten Euroopan komission vahvistamia tietosuojaa koskevia vakiolausekkeita.

7. AUTTAMINEN

Ropo Capital auttaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään sovellettavan lainsäädännön mukaisesti rekisterinpitäjänä toimivan Asiakkaan velvollisuuden vastata tiettyihin rekisteröidyn oikeuksia koskeviin pyyntöihin. Nämä pyynnöt voivat koskea i) oikeutta tietojen oikaisuun;

ii) oikeutta tietojen poistamiseen; iii) oikeutta käsittelyn rajoittamiseksi tai iv) oikeutta siirtää tiedot järjestelmästä toiseen. Osan näistä tehtävistä Asiakas voi suorittaa Ropo Capitalin palvelun osana olevan järjestelmän kautta.

Ottaen huomioon käsittelyn luonteen ja Ropo Capitalin saatavilla olevat tiedot Ropo Capital auttaa Asiakasta varmistamaan, että tämä voi rekisterinpitäjänä täyttää velvollisuutensa vaikutustenarviointia tai valvontaviranomaisen ennakkokuulemista varten soveltuvan lainsäädännön niin vaatiessa.

Ropo Capital saattaa Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen soveltuvassa lainsäädännössä säädettyjen rekisterinpitäjän ja käsittelijän välisen suhteen velvollisuuksien noudattamisen osoittamiseksi. Ropo Capitalin on välittömästi ilmoitettava Asiakkaalle, jos Ropo Capital katsoo, että mahdollisesti erikseen sovittu Asiakkaan kirjallinen ohjeistus rikkoo soveltuvaa kansallista tai EU:n tietosuojalainsäädäntöä.

Jos Ropo Capital tarvitsee Asiakkaalta tietoja tai muuta apua voidakseen täyttää tämän kohdan 7. mukaiset auttamisvelvollisuutensa, Asiakkaalla on velvollisuus ilman aiheetonta viivytystä maksutta tarjota nämä tiedot tai muu Ropo Capitalin pyytämä apu.