Käsittelysopimus

Käsittelysopimus

1 Tausta ja tarkoitus

1.1 Tämä henkilötietojen käsittelysopimus (“Liite”) on erottamaton osa Surveypal Oyj:n (”Surveypal” tai ”Me”) ja asiakkaan (”Asiakas” tai ”Te”) välillä tehtyä käyttöehtosopimusta (”Palveluehdot”) ja sopimusta, joka koskee oikeudellisten palveluiden tarjoamista Palveluehtojen mukaisesti (“Sopimus”).

1.2 Tämän Liitteen tarkoituksena on sopia Teidän Rekisterinpitäjänä kyselyillä keräämien henkilötietojen tietosuojasta ja tietoturvasta Surveypal palveluissa. Tämä Liite muodostaa osapuolten välille EU:n yleisen tietosuoja-asetuksen (679/2016) (“Asetus”) mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä. Välittömästi EU:n tietosuoja-asetukseen perustuvat velvollisuudet ja oikeudet tulevat voimaan vasta, kun EU:n tietosuoja-asetuksen soveltaminen alkaa 25.5.2018.

1.3 Selkeyden vuoksi toteamme, että Surveypal voi kerätä ja Käsitellä Teihin liittyviä Henkilötietoja omiin käyttötarkoituksiinsa kuten asiakassuhteen ylläpitoon ja laskutukseen liittyen. Näissä tapauksissa Surveypal toimii kyseisten Henkilötietojen rekisterinpitäjänä. Tämä Liite ei sovellu edellä mainittuun Käsittelyyn, joka on kuvattu Surveypal yrityksen Tietosuojaselosteessa.

1.4 Jos tämän Liitteen ja Sopimuksen henkilötietojen Käsittelyä koskevat ehdot ovat ristiriidassa keskenään, osapuolet soveltavat ensisijaisesti tämän Liitteen ehtoja.

2 Määritelmät

2.1 Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti.

I. “Rekisterinpitäjällä” Teitä, joka määrittelee henkilötietojen Käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä sitoutuu tähän Liitteeseen omasta puolestaan ja niiden Rekisterinpitäjän konserniyhtiöiden puolesta, jotka toimivat rekisterinpitäjinä Surveypal yrityksen käsitellessä tämän Liitteen ja muiden Surveypal yrityksen ja Rekisterinpitäjän välillä solmittujen sopimusten mukaisesti henkilötietoja.

II. “Käsittelijällä” Surveypal yritystä, joka Käsittelee henkilötietoja Rekisterinpitäjän lukuun Sopimuksen perusteella. Surveypal sitoutuu tähän Liitteeseen omasta puolestaan ja niiden Surveypal yrityksen konserniyhtiöiden puolesta, jotka osallistuvat henkilötietojen Käsittelyyn tämän Liitteen ja muiden Surveypal yrityksen ja Rekisterinpitäjän välillä solmittujen sopimusten mukaisesti.

III. “Käsittelyllä” tai “Käsittelytoimilla” toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti.

IV. “Henkilötiedolla” kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä “Rekisteröityyn” liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa tunnistetietojen perusteella, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

V. ”Henkilötietojen tietoturvaloukkauksella” tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

3 Tietosuoja ja henkilötietojen käsittely

3.1 Osapuolet sitoutuvat noudattamaan Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa henkilötietojen Käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia.

3.2 Palvelussa käsiteltävät henkilötietojen tyypit ja rekisteröityjen ryhmät kattavat kaikki Asiakkaan Surveypal palvelussa määrittämät ja keräämät henkilötiedot.

Surveypal yrityksen velvollisuudet

3.3 Käsittelemme henkilötietojanne lukuunne ja toimeksiannostanne Sopimuksen perusteella. Käsittelemämme henkilötiedot voivat liittyä esimerkiksi työntekijöihinne tai asiakkaisiinne. Te olette palvelussa käsitellyn henkilötiedon Rekisterinpitäjä, ja Surveypal on Käsittelijä.

3.4 Meillä on oikeus käsitellä henkilötietojanne ja muita tietojanne vain Sopimuksen, tämän Liitteen ja kirjallisten ohjeittenne mukaisesti ja vain siltä osin ja siten kuin on tarpeellista palveluiden toimittamiseksi. Ilmoitamme Teille, jos ohjeissa havaitaan EU:n tai Suomen tietosuojasäännösten vastaisuutta. Tällaisessa tilanteessa Surveypal voi välittömästi kieltäytyä ja lopettaa soveltamasta ohjeitanne.

3.5 Ylläpidämme palvelun kuvausta tai muuta EU:n tietosuoja-asetuksen vaatimaa selostetta palvelussa suoritettavista Käsittelytoimista, jos EU:n yleinen tietosuoja-asetus niin edellyttää.

3.6 Meillä on oikeus kerätä Sopimuksen mukaisten palvelujen käytöstä anonyymiä ja tilastollista tietoa, joka ei yksilöi Teitä eikä Rekisteröityjä, ja käyttää sitä palveluidemme analysointiin ja kehittämiseen.

Teidän velvollisuutenne

3.7 Surveypal Oy ei ole vastuussa Surveypal palvelussa Käsiteltävien henkilötietojen oikeellisuudesta.

Rekisterinpitäjän velvollisuudet

3.8 Rekisterinpitäjä on vastuussa siitä, että sillä on tarvittavat oikeudet ja suostumukset Sopimuksen mukaiseen henkilötietojen Käsittelyyn.

3.9 Rekisterinpitäjä vastaa oman tietosuojaselosteen laatimisesta sekä Rekisteröityjen informoinnista.

3.10 Rekisterinpitäjällä on oikeus ja velvollisuus määrittää henkilötietojen Käsittelyn tarkoitus, keinot, kohde, luonne ja kesto.

Tietojen poisto/palauttaminen

3.11 Sopimuksen päätyttyä palautamme kaikki Rekisterinpitäjän ja Rekisteripitäjän keräämät Rekisteröidyn henkilötiedot tai poistamme ne olemassa olevine jäljennöksineen, antamanne ohjeistuksen mukaisesti, ellei sovellettava lainsäädäntö edellytä henkilötietojen säilyttämistä.

Alihankkijat

3.12 Meillä on oikeus käyttää alihankkijoita Rekisterinpitäjän ja Rekisteripitäjän keräämien Rekisteröidyn henkilötietojen Käsittelyssä. Vastaamme alihankkijoiden toimista, laadimme alihankkijoiden kanssa kirjalliset sopimukset henkilötietojen Käsittelystä ja edellytäme alihankkijoilta vastaavia sopimuksia omien alihankkijoidensa kanssa..

3.13 Ylläpidämme listaa tämän hetkisistä alihankkijoistamme osoitteessa: xxxxx://xx.xxxxxxxxx.xxx/xxxxxxxxxxxxx. Saatte ajantasaisen tiedon alihankkijoistamme ja voitte tutustua alihankkijalistan muutoksiin vierailemalla tällä sivustolla.

3.14 Teillä on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä. Jos emme pääse yksimielisyyteen uuden alihankkijan käyttämisestä, Teillä on oikeus irtisanoa Sopimus kolmenkymmenen (30) päivän irtisanomisajalla siltä osin, kuin alihankkijan muutos vaikuttaa Sopimuksen mukaiseen henkilötietojen Käsittelyyn.

Surveypal yrityksen avustamisvelvollisuus

3.15 Siirrämme välittömästi Teille kaikki Rekisteröidyiltä saadut henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden Käsittelyn kieltämistä koskevat pyynnöt tai muut Rekisteröidyltä saadut pyynnöt. Pyynnöstänne autamme Teitä toteuttamaan rekisteröidyn pyynnöt. Meillä on oikeus laskuttaa näihin pyyntöihin liittyvistä toimista aiheutuvat kustannukset Surveypal yrityksen voimassa olevan hinnaston mukaisesti.

3.16 Xxxxxx velvollisia, ottaen huomioon henkilötietojen Käsittelyn luonteen ja saatavilla olevat tiedot, auttamaan Teitä varmistamaan, että Teille laissa asetettuja velvollisuuksia noudatetaan. Nämä velvollisuudet voivat käsittää tietoturvallisuutta, tietoturvaloukkauksista ilmoittamista, tietosuojaa koskevaa vaikutustenarviointia ja ennakkokuulemista koskevia velvoitteita. Olemme velvollisia avustamaan Teitä ainoastaan siinä laajuudessa, jossa sovellettava tietosuojalainsäädäntö asettaa velvoitteita. Meillä on oikeus laskuttaa näistä toimista aiheutuvat kustannukset Surveypal yrityksen voimassa olevan hinnaston mukaisesti.

3.17 Me ohjaamme kaikki tietosuojaviranomaisten tiedustelut suoraan Teille ja odotamme ohjeistustanne. Ellei toisin ole sovittu, Meillä ei ole valtuuksia edustaa Teitä tai toimia puolestanne Rekisterinpitäjää valvovien tietosuojaviranomaisten kanssa.

4 Käsittely EU:n/ETA:n ulkopuolella

4.1 Me ja alihankkijamme voimme siirtää ja Käsitellä Henkilötietoja EU-/ETA-alueen ulkopuolella.

4.2 Sikäli kuin suoritamme tällaista Käsittelyä EU-/ETA-alueen ulkopuolella, pidämme huolta, että EU:n tietosuojavakiolausekkeet 2010/87/EU henkilötietojen siirrosta EU:n/ETA-alueen ulkopuolelle tai Asetuksen hyväksymä vastaava oikeudellinen suoja soveltuvat tällaiseen siirtoon tai Käsittelyyn.

4.3 Hyväksymällä tämän Liitteen, Te valtuutatte Surveypal yrityksen sitoutumaan nimissänne ja lukuunne tällaisiin mallisopimuslausekkeisiin. Te myös nimenomaisesti hyväksytte, että Surveypal edustaa kyseessä olevaa alihankkijaa suhteessa tietosuojavakiolausekkeisiin ja/tai riittävästi tietoturvasta ja rekisterin käsittelystä huolehditaan EU-U.S. – Privacy Shield

– järjestelyllä tai erillisellä tietojenkäsittelysopimuksella alihankkijan kanssa.

5 Auditointi

5.1 Teillä tai valtuuttamallanne auditoijalla (ei kuitenkaan Surveypal yrityksen kilpailija) on oikeus auditoida tämän Liitteen alainen toiminta. Auditointi tai muu tarkastus tulee suorittaa aika- ja kustannustehokkaalla tavalla ilman Surveypal yrityksen päivittäisiin toimiin kohdistuvaa tarpeetonta häiriötä. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 vuorokautta ennen tarkastusta. Auditointi tulee suorittaa tavalla, joka ei haittaa Surveypal yrityksen ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden. Edustajienne ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

5.2 Te vastaatte kaikista auditoinnista aiheutuvista kustannuksista. Surveypal yrityksellä on oikeus laskuttaa Teitä aika- ja materiaaliperusteisesti auditointiin kuluneen ajan ja kustannusten perusteella. Jos auditoinnissa havaitaan toimissamme merkittäviä puutteita, vastaamme auditoinnista aiheutuvista omista kustannuksistamme.

6 Tietoturva ja salassapito

6.1 Toteutamme asianmukaiset tekniset ja organisatoriset toimenpiteet Rekisterinpitäjän ja Rekisterinpitäjän keräämien henkilötietojen suojaamiseksi ottaen huomioon Käsittelyn sisältämät riskit, joita ovat erityisesti siirrettyjen, tallennettujen tai muuten Käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy. Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa tietojenkäsittelyyn liittyviin erityisiin riskeihin sekä Käsiteltävien henkilötietojen arkaluonteisuuteen.

6.2 Teillä on velvollisuus varmistaa, että Xxxxxx tiedotetaan kaikista niistä toimittamiinne henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien Käsittelystä, jotka vaikuttavat tämän Liitteen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin.

6.3 Varmistamme, että meidän ja käyttämiemme alihankkijoiden henkilöstö noudattaa asianmukaista salassapitovelvollisuutta.

7 Tietoturvaloukkaukset

7.1 Ilmoitamme Teille kaikista henkilötietoihin kohdistuneista tietoturvaloukkauksista ilman aiheetonta viivytystä saatuamme tiedon loukkauksesta tai kun käyttämämme alihankkija on ilmoittanut tiedon meille.

7.2 Pyynnöstänne toimitamme Teille ilman aiheetonta viivytystä kaiken asiaankuuluvan tietoturvaloukkaukseen liittyvän tiedon. Siltä osin kun kyseinen tieto on saatavissamme, kuvaamme tekemässämme ilmoituksessa vähintään seuraavaa:

I. tapahtunut tietoturvaloukkaus,

II. mahdollisuuksien mukaan rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvoidut lukumäärät,

III. kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista, ja

IV. kuvaus korjaavista toimenpiteistä, jotka Surveypal on suorittanut tai tulee suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa, sekä tarvittaessa myös toimenpiteet mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi.

7.3 Dokumentoimme ja raportoimme Teille selvityksen tulokset ja suoritetut toimenpiteet.

7.4 Te Rekisterinpitäjänä olette vastuussa tarvittavista ilmoituksista tietosuojaviranomaisille.

8 Muut ehdot

8.1 Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen tai Liitteen loukkauksista aineellista tai aineetonta vahinkoa, olemme vastuussa vahingosta vain siltä osin, kuin emme ole noudattaneet nimenomaisesti Meille osoitettuja EU:n tietosuoja-asetuksen tai tämän Liitteen mukaisia velvoitteita. Muilta osin osapuolten vastuu määräytyy Sopimuksen perusteella.

8.2 Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista tai hallinnollista sakoista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta.

8.3 Tiedotamme Teitä kaikista muutoksista, jotka saattavat vaikuttaa kykyymme tai mahdollisuuksiimme noudattaa tätä Liitettä ja antamianne kirjallisia ohjeita. Kaikki lisäykset ja muutokset tähän Liitteeseen ilmoitetaan teille.

8.4 Liite on voimassa niin pitkään kuin Sopimus on voimassa.

8.5 Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Liitteen voimassaolon päättymisestä riippumatta, jäävät voimaan Liitteen päättymisen jälkeen.

8.6 Liitteeseen sovelletaan esitettyjä lakeja ja riidat ratkaistaan Sopimuksen määräysten mukaisesti.