TIETOJENKÄSITTELYSOPIMUS
TIETOJENKÄSITTELYSOPIMUS
1. Osapuolet
(A) PayEx Suomi Oy, FO 2156811-3, PL 178 15101 Lahti (“PayEx”);
(B) Yritys, joka on listattu Asiakkaaksi PayExin Asiakkaalle tarjoamaa laskutuspalvelua ja/tai reskontrapalvelua koskevan PayExin ja Asiakkaan välisen Puitesopimuksen etusivulla ("asiakas")
2. PayEx kaupallinen osa ja liitteet
2.1 Tämä Tietojenkäsittelysopimus ("Tietojenkäsittelysopimus") koostuu PayEx Kaupallisesta osasta ja alla luetelluista liitteistä ja lisäyksistä, PayEx Kaupallisella osalla tarkoitetaan tätä Tietojenkäsittelysopimusta ilman Liitettä 1 ja lisäyksiä ("PayEx kaupallinen osa"). PayEx Kaupalliseen osaan on lisätty tiettyjä kohtia, jotka eivät ole suoraan tai epäsuorasti ristiriidassa Liitteen 1 lausekkeiden kanssa tai loukkaa rekisteröityjen perusoikeuksia tai vapauksia.
Tässä Tietojenkäsittelysopimuksessa PayExillä ja Asiakkaalla on alla kuvatut roolit:
Xxxxxxx on Rekisterinpitäjä, kun PayEx Henkilötietojen käsittelijänä käsittelee henkilötietoja Asiakkaan puolesta, mistä säädetään tässä Tietojenkäsittelysopimuksessa Liite 1 lisäyksineen mukaan lukien.
Liite 1, 28 artiklan 7 kohdan mukaisista rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä Vakiosopimuslausekkeista
Lisäykset, jotka ovat liitännäisiä Liitteeseen 1: Liite I LUETTELO OSAPUOLISTA
Xxxxx XX HENKILÖTIETOJEN KÄSITTELYN KUVAUS
Liite III TEKNISET JA ORGANISATORISET TOIMENPITEET Liite IV HENKILÖTIETOJEN ALIKÄSITTELIJÖIDEN
LUETTELO
Liite V REKISTERINPITÄJÄN OHJEET HENKILÖTIETOJEN KÄSITTELIJÄLLE
2.2 Selvyyden vuoksi todetaan, että PayEx määritellään PayExiksi ja Vakiosopimuslausekkeissa (Liite 1) Henkilötietojen käsittelijäksi. Asiakas määritellään Asiakkaaksi ja Vakiosopimuslausekkeissa (Liite 1) Rekisterinpitäjäksi. Tietojenkäsittelysopimuksen PayEx Kaupallisessa osassa käytetään termejä PayEx ja asiakas.
3. Taustaa
3.1 Tässä tietojenkäsittelysopimuksessa sovitaan niistä oikeuksista ja velvollisuuksista, jotka liittyvät henkilötietojen käsittelyyn asiakkaan käyttäessä PayExin palveluita (kuvattu tarkemmin jäljempänä kohdassa 3.2).
3.2 PayEx ja asiakas ovat solmineet laskutuspalvelua ja/tai reskontrapalvelua koskevan puitesopimuksen ("sopimus"). Sopimuksen mukaisten palvelujen tarjoamisen yhteydessä XxxXx käsittelee henkilötietojen käsittelijänä henkilötietoja asiakkaan eli rekisterinpitäjän puolesta. Osapuolet ovat sopineet tämän tietojenkäsittelysopimuksen toteuttamisesta varmistaakseen, että henkilötietoja käsitellään aina sovellettavan lain mukaisella tavalla.
3.3 Jos tämän tietojenkäsittelysopimuksen ja sopimuksen välillä on henkilötietojen käsittelyä koskevia ristiriitoja, tämä tietojenkäsittelysopimus on ensisijainen ellei jäljempänä nimenomaisesti toisin mainita. Jos vakiosopimuslausekkeiden lausekkeet ovat ristiriidassa osapuolten välisen PayEx kaupallisen osan määräysten kanssa, jotka ovat olemassa silloin kun vakiosopimuslausekkeiden lausekkeista sovitaan tai tulevat voimaan sen jälkeen, vakiosopimuslausekkeiden lausekkeet ovat ensisijaisia.
3.4 PayExiin viitattaessa viittaus koskee myös jokaista asiayhteyden kannalta olennaista PayEx-konserniin kuuluvaa yritystä.
4. Määritelmät
"Sovellettava laki" | Kaikki osapuoliin sovellettava lainsäädäntö, määräykset ja valvontaviranomaisten ohjeet (kuten yleinen tietosuoja- asetus (2016/679/EU) ja EU:n/ETA:n paikalliset tietosuojamääräykset, joita osapuoliin sovelletaan) |
"Henkilötietojen alikäsittelijä" | Mikä tahansa henkilötietoja käsittelevä alikäsittelijä, jolla PayEx teettää niiden henkilötietojen käsittelyä, joiden rekisterinpitäjä asiakas on. |
"PayEx-konserniin kuuluva yritys" | Mikä tahansa PayEx-konserniin (Swedbank PayEx Holding AB ja sen tytäryhtiöt) kuuluva yritys. |
"Osapuoli" ja "Osapuolet" | "Osapuolilla" tarkoitetaan PayExiä ja asiakasta yhdessä ja "osapuolella" osapuolia yksin. |
Kun tässä tietojenkäsittelysopimuksessa käytetään yleisessä tietosuoja-asetuksessa (2016/679/EU) määriteltyjä termejä, näillä termeillä on sama merkitys kuin yleisessä tietosuoja-asetuksessa (2016/679/EU) ellei tässä tietojenkäsittelysopimuksessa nimenomaisesti toisin määrätä. |
5. PayExin velvollisuudet
5.1 Yleiset.
5.1.1 PayEx sitoutuu käsittelemään henkilötietoja sovellettavan lain, sopimuksen ja tämän tietojenkäsittelysopimuksen Liitteessä 1 ja lisäyksissä annettujen asiakkaan ohjeiden mukaisesti.
5.1.2 Jos PayExillä ei ole sopimuksen mukaisten velvoitteidensa suorittamiseksi tarvitsemiaan ohjeita, PayEx ilmoittaa tästä asiakkaalle välittömästi ja toimii asiakkaan etujen mukaisesti, kunnes tarvittavat ohjeet on annettu. Muodollisuutena todetaan, että asiakkaan katsotaan aina ohjeistaneen PayExiä tarjoamaan palvelun sopimuksessa määritellyllä tavalla.
5.1.3 Ohjeiden muutoksista ja muista Liitteeseen 1 ja sen lisäyksiin tehtävistä muutoksista ilmoitetaan kirjallisesti, ja PayEx toteuttaa ne kohtuullisessa ajassa. PayExillä on oikeus korvaukseen kyseisten muutosten suorittamisesta siltä osin kuin ne aiheuttavat merkittäviä uusia tai lisääntyneitä kustannuksia.
5.1.4 PayEx on nimennyt tietosuojavastaavan, joka varmistaa, että henkilötietoja käsitellään XxxXxxx vakiintuneiden käytäntöjen ja asiakkaan ohjeiden mukaisella tavalla. PayExin tietosuojavastaavan yhteystiedot ovat tietojenkäsittelysopimuksen Liitteen 1 liitteessä I.
5.1.5 PayEx ylläpitää yleisen tietosuoja-asetuksen vaatimusten mukaisesti selostetta kaikista tämän tietojenkäsittelysopimuksen nojalla suoritettavista käsittelyn ryhmistä, sisältäen:
a.) XxxXxxx ja mahdollisten henkilötietojen alikäsittelijöiden sekä tietosuojavastaavan nimet ja yhteystiedot;
b.) kaikki asiakkaan lukuun suoritettujen käsittelyiden ryhmät;
c.) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan, mukaan lukien tieto siitä, mikä kolmas maa on kyseessä, ja tarvittaessa asianmukaisia suojatoimia koskevat asiakirjat; sekä
d.) xxxxxxxxxxxxxxxx mukaan yleisen kuvauksen teknisistä ja organisatorisista turvatoimista.
5.1.6 PayExin yllä olevan kohdan 5.1.5 mukaisesti ylläpitämät selosteet on saatettava asiakkaan saataville viipymättä, mutta joka tapauksessa viimeistään kahdentoista (12) kalenteripäivän kuluessa asiakkaan pyynnöstä.
5.2 Tarkastusoikeudet
5.2.1 Sopimuksessa ja vakiosopimuslausekkeissa mahdollisesti määritettyjen tarkastusoikeuksien lisäksi asiakkaalla on siinä määrin kuin se on teknisesti mahdollista ja kohtuudella voidaan katsoa tarpeelliseksi oikeus omalla kustannuksellaan ja riittävän ajoissa annetun ilmoituksen jälkeen suorittaa tai valtuuttaa ulkopuolinen tarkastaja suorittamaan tarkastus, mukaan lukien tarkastuskäynti, PayExin tämän tietojenkäsittelysopimuksen mukaiselle henkilötietojen käsittelylle sen varmistamiseksi, että käsittelyssä
noudatetaan tietojenkäsittelysopimusta. Tarkastuksen voi suorittaa kerran kalenterivuodessa, paitsi jos tarkastuksen suorittava asiakas pitää kohtuuden nimissä lisätarkastusta tarpeellisena koska on aidosti huolissaan siitä, noudattaako PayEx tietojenkäsittelysopimusta, tai jos tapahtuu tietoturvaloukkaus, jonka voi kohtuudella olettaa herättävän tällaisia huolenaiheita. Lisätarkastuspyynnön yhteydessä asiakas ilmaisee syynsä pyynnön esittämiseen, huolenaiheensa ja muut olennaiset tiedot ilmoittaessaan lisätarkastuksesta PayExille.
5.2.2 PayEx asettaa asiakkaan saataville kaikki tiedot, jotka ovat tarpeen tietojenkäsittelysopimuksen noudattamisen osoittamiseksi.
5.2.3 PayEx ilmoittaa asiakkaalle välittömästi, jos jokin ohje sen mielestä rikkoo sovellettavaa lakia.
5.2.4 Asiakas ja mahdollinen asiakkaan valtuuttama muu tarkastaja sitoutuvat pitämään salassa kaikki tiedot, jotka saavat tietoonsa tarkastuksen aikana, ja hyväksyvät, että heidän on allekirjoitettava salassapitosopimus ennen tarkastusta.
5.2.5 Kaikki PayExin muita asiakkaita koskevat tiedot, joita voidaan pitää liikesalaisuuksina tai jotka muuten ovat lain tai sopimusten mukaan luottamuksellisia, suljetaan tarkastuksen ulkopuolelle, eikä asiakkaalla ole pääsy-, tarkastus- tai tarkasteluoikeutta tällaiseen tietoon.
5.2.6 PayEx antaa asiakkaalle tai asiakkaan valtuuttamalle muulle tarkastajalle avun, jota voidaan kohtuudella vaatia tarkastuksen suorittamiseksi. PayExillä on oikeus korvaukseen tällaisesta avun antamisesta siltä osin kuin siitä on aiheutunut merkittäviä kustannuksia.
5.2.7 Asiakkaan on poistettava tiedot, jotka asiakas tai asiakkaan valtuuttama muu tarkastaja on tämän tietojenkäsittelysopimuksen mukaisen tarkastuksen aikana kerännyt, heti kun niitä ei enää tarvita tarkastuksen tarkoituksiin.
5.2.8 PayEx sitoutuu sallimaan tarkastukset, joita valvontaviranomaisilla tai muilla osapuolilla on sovellettavan lain nojalla oikeus suorittaa, ja helpottamaan niiden suorittamista.
5.3 Tietoturvapoikkeamien hallinta
PayEx täyttää tässä tietojenkäsittelysopimuksessa esitetyt tietoturvapoikkeamien hallintaa ja henkilötietojen tietoturvaloukkauksista ilmoittamista koskevat vaatimukset, jotka on kuvattu tarkemmin Liitteessä 1.
5.4 Valvontaviranomaisten pyyntöön liittyvä tuki
Liitteen 1 mukaisesti PayEx antaa asiakkaalle olennaiset tiedot, jotka asiakas on sovellettavan lain mukaisesti velvollinen ilmoittamaan valvontaviranomaiselle tai rekisteröidyille. Asiakas hyvittää ja korvaa kaikki PayExille mahdollisesti aiheutuvat kustannukset, jos tämän lausekkeen mukaisiin toimenpiteisiin ryhdytään siksi, ettei asiakas ole noudattanut sovellettavaa lakia.
5.5 Henkilötietojen alikäsittelijät
5.5.1 Liitteen 1 lausekkeessa 7.7 todetun lisäksi osapuolten välillä sovelletaan seuraavaa.
5.5.2 PayExin tämän tietojenkäsittelysopimuksen allekirjoitushetkellä käyttämät henkilötietojen alikäsittelijät on lueteltu Liitteen 1 liitteessä IV. Kaikista luetteloon suunnitelluista muutoksista on ilmoitettava asiakkaalle tämän tietojenkäsittelysopimuksen kohdan 6.4 mukaisella tavalla.
5.5.3 Asiakkaalla on oikeus vastustaa potentiaalisia uusia henkilötietojen alikäsittelijöitä edellyttäen, että asiakkaalla on perusteltu syy olla hyväksymättä uutta henkilötietojen alikäsittelijää. Jos asiakas haluaa vastustaa henkilötietojen alikäsittelijän vaihtamista, vastalause tulee tehdä kirjallisesti.
5.6 Henkilötietojen siirtäminen EU:n/ETA:n ulkopuolelle
5.6.1 Henkilötietojen siirtäminen EU:n ja ETA:n sisällä sekä maihin tai organisaatioihin, joiden Euroopan komissio on katsonut takaavan riittävän suojaustason, on sallittua edellyttäen, että henkilötietojen asianmukainen suojaaminen on varmistettu, toisin sanoen tietosuojaa koskevilla vakiolausekkeilla.
5.6.2 Kaikki muut EU:n/ETA:n ulkopuolelle tehtävät siirrot, joita ei muutoin sallita tämän kohdan 5.6 nojalla, ovat sallittuja edellyttäen, että siirtoon ja sen jälkeiseen käsittelyyn sovelletaan asianmukaisia suojatoimia Liitteen 1 lausekkeessa 7.8 Kansainväliset tiedonsiirrot esitetyllä tavalla.
5.6.3 PayEx saa siirtää henkilötietoja asiakkaan ohjeista riippumatta, jos PayExiin sovellettava EU:n tai jäsenvaltion laki sitä PayExiltä vaatii. Tällöin PayEx ilmoittaa asiakkaalle kyseisestä lakisääteisestä vaatimuksesta ennen siirron tekemistä, ellei kyseinen laki tärkeistä yleistä etua koskevista syistä kiellä asiasta ilmoittamista.
5.7 Vahingonkorvaukset ja vastuut
5.7.1 PayEx on vastuussa asiakkaalle aiheutuvista välittömistä vahingoista, jotka aiheutuvat siitä, että PayEx käsittelee henkilötietoja henkilötietojen käsittelijän vastuista säätävän sovellettavan lain mukaisten henkilötietojen käsittelijän velvoitteidensa vastaisesti ja jos PayEx on toiminut vastoin asiakkaan laillisia ohjeita tai ylittänyt ne. XxxXxxx vastuu rajoittuu sopimuksessa määritettyyn laajuuteen, tai mikäli sopimuksessa ei ole tällaista vastuunrajoitusta, summaan (ilman arvonlisäveroa ja muita veroja), jonka PayEx on sopimuksen perusteella laskuttanut asiakkaalta 12 edeltävän kuukauden aikana, ellei vahinko johdu PayExin törkeästä huolimattomuudesta tai tahallisesta väärinkäytöksestä.
5.7.2 Jos PayExiin kohdistetaan vaateita tai hallinnollisia sakkoja tämän tietojenkäsittelysopimuksen tai sovellettavan lain rikkomisen seurauksena, PayExin tulee ilman aiheetonta viivytystä ilmoittaa tästä asiakkaalle ja ryhtyä kaikkiin kohtuullisiin toimenpiteisiin rikkomuksesta johtuvien vahinkojen lieventämiseksi.
5.8 Salassapito
5.8.1 PayEx takaa käsittelevänsä ja säilyttävänsä henkilötietoja ehdottoman luottamuksellisesti. Liitteen 1 lausekkeessa 7.4 todetun lisäksi sovelletaan seuraavien kohtien 5.8.2--5.8.3 määräyksiä.
5.8.2 Jollei tietojenkäsittelysopimuksesta, sopimuksesta ja sovellettavasta laista muuta johdu, kumpikin osapuoli sitoutuu olemaan paljastamatta tämän
tietojenkäsittelysopimuksen mukaisia henkilötietoja ja henkilötietojen käsittelyä sekä tämän tietojenkäsittelysopimuksen sisältöä koskevia tietoja ja pitämään ne salassa.
5.8.3 Edellä mainitusta huolimatta PayEx varmistaa, että henkilöt, joilla on valtuudet käsitellä henkilötietoja (mukaan lukien esimerkiksi PayExin työntekijät) ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai että heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus, joka vastaa tietojenkäsittelysopimuksen ehtoja.
6. Tietojenkäsittelysopimuksen voimassaoloaika ja muutokset
6.1 Tämä tietojenkäsittelysopimus astuu voimaan, kun kumpikin osapuoli on sen asianmukaisesti allekirjoittanut, ja on voimassa niin kauan kuin PayExin velvoitteet koskien niiden henkilötietojen käsittelyä, joiden rekisterinpitäjä on asiakas (tai tarvittaessa muutoin PayExille osoitetut velvoitteet), ovat voimassa.
6.2 Jos sovellettava laki muuttuu, lainvoimainen tuomio johtaa sovellettavan lain uuteen tulkintaan, sopimuksen mukaiset palvelut edellyttävät muutoksia tähän tietojenkäsittelysopimukseen tai asiakkaan omistusrakenteessa tapahtuu olennainen muutos, osapuolet tekevät vilpittömässä mielessä yhteistyötä päivittääkseen tietojenkäsittelysopimuksen vastaavasti.
6.3 PayExillä on oikeus antaa kirjallinen ilmoitus tämän tietojenkäsittelysopimuksen ja sopimuksen irtisanomisesta, joka tulee voimaan välittömästi tai minä tahansa myöhempänä ajankohtana, jos osapuolet eivät pysty sopimaan tietojenkäsittelysopimuksen sovellettavaan lakiin tehtyjen muutosten, lainvoimaisen tuomion, sopimuksen mukaisten palveluiden tähän tietojenkäsittelysopimukseen edellyttämien muutosten tai asiakkaan omistusrakenteessa tapahtuvan olennaisen muutoksen mukaisesta muuttamisesta.
6.4 Kaikki tämän tietojenkäsittelysopimuksen mukaiset ilmoitukset ja muu yhteydenpito on tehtävä kirjallisesti ruotsiksi tai englanniksi. XxxXx antaa ilmoitukset asiakkaalle sopimuksen mukaisella tavalla, tai jos ilmoitus on yleisluontoinen tai koskee henkilötietojen alikäsittelijöiden luetteloa, tämän tietojenkäsittelysopimuksen mukaisille ilmoituksille varatulla verkkosivulla.
7. Riidanratkaisu ja sovellettava laki
Tähän tietojenkäsittelysopimukseen ja sen tulkintaan sovelletaan Suomen lakia ainoastaan sen lainvalintaperiaatteita lukuun ottamatta. Kaikki tästä tietojenkäsittelysopimuksesta johtuvat tai siihen liittyvät kiistat, riidat tai oikeusvaateet tai sopimuksen rikkominen, päättyminen tai pätemättömyys ratkaistaan lopullisesti Keskuskauppakamarin välityslautakunnan toimittamassa välitysmenettelyssä. Nopeutetun välitysmenettelyn sääntöjä sovelletaan, jollei Keskuskauppakamari harkintansa mukaan asian monimutkaisuus, riidan laajuus ja muut olosuhteet huomioon ottaen päätä, että sovelletaan välitysmenettelysääntöjä. Jälkimmäisessä tapauksessa Keskuskauppakamari ratkaisee myös, koostuuko välitysoikeus yhdestä vai kolmesta välimiehestä. Välitysmenettelyn paikka on Helsinki. Välitysmenettelyn kieli on ruotsi tai englanti. Välitysmenettelyyn ja kaikkiin esitettyihin tietoihin sovelletaan luottamuksellisia tietoja koskevia määräyksiä.