LIITE SOPIMUKSEEN: HENKILÖTIETOJEN KÄSITTELYSOPIMUS
LIITE SOPIMUKSEEN: HENKILÖTIETOJEN KÄSITTELYSOPIMUS
1. Johdanto
Tätä sopimusta (Liite) sovelletaan Teonos Oy:n (Toimittaja) ja sen asiakkaan (Asiakas) välillä solmittuihin sopimuksiin (Sopimus) ja se muodostaa osapuolten välillä EU:n tietosuoja-asetuksen (679/2016) mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä. Tämä sopimus tulee voimaan, kun EU:n tietosuoja-asetuksen soveltaminen alkaa 25.5.2018.
Tässä liitteessä tarkoitetaan:
”Rekisterinpitäjällä” Asiakasta, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
”Käsittelijällä” Toimittajaa, joka käsittelee henkilötietoja rekisterinpitäjän eli Asiakkaan lukuun tämän sopimuksen perusteella.
”Käsittelyllä” henkilötietojen käsittelyä, kuten tietojen tallentamista, järjestämistä, säilyttämistä tai muokkaamista.
”Henkilötiedolla” luonnolliseen henkilöön eli ”rekisteröityyn” liittyviä tietoja, kuten nimeä, osoitetta ja muita tietoja, joiden avulla henkilö voidaan suoraan tai epäsuorasti tunnistaa.
”Palvelulla” asiakkaan Toimittajalta tilaamaa palvelua, kuten tietoverkon yli toimitettavaa ajanvaraus-, kassa- tai muuta tietojärjestelmäpalvelua, taikka mahdollista muuta tietoteknistä toimeksiantoa.
2. Tietosuoja ja henkilötietojen käsittely
Toimittajan ja asiakkaan vastuut
Toimittaja käsittelee Asiakkaan henkilötietoja Asiakkaan lukuun ja tämän toimeksiannosta tämän sopimuksen perusteella. Henkilötietoja käytetään Asiakkaan tilaaman Palvelun toteuttamiseksi.
Asiakas on vastuussa siitä, että sillä on tarvittavat oikeudet ja suostumukset Sopimuksen mukaiseen henkilötietojen käsittelyyn. Asiakas vastaa selosteen laatimisesta ja saatavilla pidosta sekä rekisteröityjen informoinnista ja ilmoituksista tietosuojaviranomaisille. Asiakas vastaa Toimittajalle antamiensa tietojen oikeellisuudesta.
Asiakkaalla on oikeus ja velvollisuus märittää henkilötietojen käsittelyn tarkoitus ja keinot, ja käsittelyn kohde, luonne ja tarkoitus on tarkemmin määritelty Sopimuksessa. Toimittajan Palvelussa käsiteltävien rekisteröityjen ryhmä koostuu Asiakkaasta sekä Asiakkaan asiakkaista. Toimittajan palvelussa käsiteltävien henkilötietojen tyyppeinä ovat asiakassuhteen ja toimeksiannon kannalta olennaiset tiedot. Käsiteltäviä tietoja ovat siten yhteystiedot, kuten nimi, osoite, puhelinnumero ja sähköpostiosoite, yritys, osasto, verkkolaskuosoite sekä mahdolliset varausviestit sekä myyntitapahtumat ja muut Asiakkaan haluamat ja Palvelun tuottamiseksi välttämättömät tiedot. Toimittaja voi käsitellä myös muita tietoja, kuten viranomaisilta saatavia tietoja.
Toimittajalla on oikeus käsitellä Asiakkaan henkilötietoja ja muita Asiakkaan toimittamia tietoja vain Sopimuksen ja tämän Liitteen mukaisesti ja Asiakkaan kirjallisten ohjeiden mukaisesti ja vain siltä osin, kun se on tarpeellista Palvelun toimittamiseksi.
Tietojen luovutus ja alihankkijat
Toimittaja voi Palvelun tuottamiseksi tai Asiakkaan tunnistamiseksi luovuttaa tietoja muille tahoille, kuten maksupalveluiden tarjoajille, liikekumppaneille, viranomaisille ja tuomioistuimille.
Toimittajalla on oikeus käyttää alihankkijoita Asiakkaan henkilötietojen käsittelyssä. Toimittaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset. Toimittaja ilmoittaa pyydettäessä Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen henkilötietojen käsittelyyn. Ilmoitus voidaan tehdä Toimittajan verkkosivuilla ja muuten sähköisesti. Asiakkaalla on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä, jolloin Toimittaja ilmoittaa asiakkaalle hinnanmuutoksen, joka alihankkijan käytön vastustamisesta Toimittajalle aiheutuu. Mikäli asiakas kieltäytyy maksamasta hinnanerotusta, Toimittaja voi irtisanoa sopimuksen päättymään heti.
Tietojen säilytys, poisto ja palauttaminen
Toimittaja säilyttää Asiakkaan tietoja niin kauan kuin niitä tarvitaan siihen tarkoitukseen, johon ne on kerätty ja käsitelty tai niin kauan kuin laki ja säännökset niin edellyttävät. Jos Toimittaja säilyttää tietoja muihin tarkoituksiin kuin Xxxxxxxx toimittamiseksi, Toimittaja säilyttää tietoja vain, jos se on kyseisen tarkoituksen kannalta tarpeellista ja/tai laissa määrättyä. Tietoja voidaan säilyttää esimerkiksi kirjanpitosäädösten osalta kymmeneen vuoteen asti tilikauden päättymisestä lukien sekä Palvelun tuottamisen osalta kymmeneen vuoteen asti asiakassuhteen päättymisestä oikeusvaateilta puolustautumista varten.
Tämän jälkeen tiedot poistetaan taikka palautetaan Asiakkaan pyynnöstä Asiakkaalle.
Toimittajan avustamisvelvollisuus
Toimittaja siirtää Asiakkaalle kaikki Rekisteröidyiltä saamansa henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden käsittelyn kieltämistä koskevat pyynnöt tai muut Rekisteröidyiltä saamansa pyynnöt. Asiakkaan velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta.
Koskien Toimittajalta tilattuja Palveluita, Toimittaja auttaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Asiakkaan velvollisuuden vastata Rekisteröidyn pyyntöihin. Toimittaja auttaa, tietosuojalainsäädännön henkilötietojen käsittelijälle asetetussa laajuudessa ja ottaen huomioon henkilötietojen käsittelyn luonteen, Asiakasta varmistamaan, että sille laissa asetettuja velvollisuuksia noudatetaan. Toimittajalla on oikeus laskuttaa Asiakkaalta näistä toimista aiheutuvat kustannukset hinnastonsa mukaisesti.
Toimittaja sallii Asiakkaan valtuuttaman auditoijan, joka ei kuitenkaan voi olla Toimittajan kilpailija, suorittamat auditoinnit Liitteen alaisesta toiminnasta sekä Asiakkaan tilauksesta osallistuu niihin. Auditoinnista on sovittava vähintään 30 päivää aikaisemmin, siitä on allekirjoitettava salassapitosopimukset ja se tulee suorittaa tavalla, joka ei vahingoita Toimittajaa tai haittaa Toimittajan sitoumuksia kolmansiin nähden. Osapuolet vastaavat omalta osaltaan auditoinnin kustannuksista.
Toimittaja ohjaa kaikki tietosuojaviranomaisten tiedustelut suoraan asiakkaalle eikä Toimittajalla ole valtuuksia edustaa Asiakasta tai toimia Asiakkaan puolesta Asiakasta valvovien tietosuojaviranomaisten kanssa.
3. Käsittely EU:n / ETA:n ulkopuolella
Toimittaja ja sen mahdolliset alihankkijat eivät käsittele henkilötietoja EU tai ETA-alueen ulkopuolella ilman Asiakkaan kirjallista suostumusta.
4. Tietoturva
Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Asiakkaan henkilötietojen suojaamiseksi ottaen huomioon käsittelyn sisältämät riskit erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy. Suojaustoimenpiteissä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa tietojenkäsittelyn riskeihin ja käsittelyn arkaluonteisuuteen.
Toimittajan henkilöstö on salassapitovelvollinen kaikista Asiakkaaseen, Asiakkaan toimittamiin tietoihin ja Palveluun liittyvistä seikoista. Asiakkaan henkilötietojen käsittelyssä käytettävät järjestelmät on suojattu asianmukaisilla ja ajantasaisilla tietoturvaratkaisuilla.
Asiakas on velvollinen varmistamaan, että Toimittajalle tiedotetaan kaikista niistä Asiakkaan henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista ja erityisten henkilöryhmien käsittelystä, jotka vaikuttavat tämän Liitteen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin.
Toimittaja ilmoittaa Asiakkaalle kaikista henkilötietoihin kohdistuneista tietoturvaloukkauksista ilman aiheetonta viivytystä loukkauksesta tiedon saatuaan. Asiakkaan pyynnöstä Toimittaja toimittaa Asiakkaalle kaiken asiaankuuluvan tietoturvaloukkaukseen liittyvän tiedon, kuten tietoturvaloukkauksen laajuuden, mahdolliset seuraukset ja korjaavat toimenpiteet, siltä osin, kun tieto on Toimittajan saatavilla. Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaiselle.
5. Muuta
Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen tai liitteenä loukkauksista aineellista tai aineetonta vahinkoa, Toimittaja on vastuussa vahingosta vain siltä osin, kun se ei ole noudattanut nimenomaisesti tämän Liitteen tai EU:n tietosuoja-asetuksen henkilötietojen käsittelijöille osoittamia velvollisuuksia.
Kumpikin osapuoli on velvollinen maksamaan vahingonkorvauksista ja hallinnollisista sakoista vain sen osan, joka vastaa sille tietosuojaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Muilta osin osapuolten vastuu määräytyy Sopimuksen perusteella.
Toimittaja ilmoittaa kirjallisesti Asiakkaalle muutoksista, jotka saattavat vaikuttaa Liitteen noudattamiseen, viimeistään 14 päivää ennen muutoksen voimaantuloa. Tämä Liite on voimassa toistaiseksi tai niin kauan, kun osapuolilla on henkilötietojen käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan. Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Liitteenä voimassaolon päättymisestä riippumatta, jäävät voimaan Liitteen voimassaolon päättymisen jälkeen.
Kaikki mahdolliset lisäykset ja muutokset tähän Liitteeseen sovitaan kirjallisesti. Mikäli tämä Liite on ristiriidassa Sopimuksen kanssa, sovelletaan henkilötietojen käsittelyn osalta ensisijaisesti Liitettä.