Tietosuojaliite henkilötietojen käsittelystä

 

1      JOHDANTO

1.1.   Tämä henkilötietojen käsittelyä koskeva liite (”Tietosuojaliite”) on erottamaton osa Wallasvaara Engage Oy:n (”Toimittaja”) ja Asiakkaan (”Asiakas”) välillä allekirjoitettua toimitussopimusta (”Sopimus”). Tämä Liite yhdessä Sopimuksen kanssa määrittelee henkilötietoja koskevan tietosuojan ja tietoturvan periaatteet ja ehdot. Mikäli Sopimus ja sen muut liitteet ovat ristiriidassa tämän Tietosuojaliitteen kanssa, sovelletaan Asiakkaan ja Toimittajan välillä henkilötietojen käsittelyyn liittyen ensisijaisesti tässä Tietosuojaliitteessä sovittua.

1.2.   Tässä Tietosuojaliitteessä henkilötiedoilla tarkoitetaan ja käsittelyn kohteena ovat ne henkilötiedot, joita Asiakas luovuttaa Toimittajan Palvelussa käsiteltäväksi tämän Tietosuojaliitteen ja Sopimuksen mukaisesti (”Henkilötiedot”).

2      KÄSITELTÄVÄT HENKILÖTIEDOT

2.1  Toimittaja käsittelee Sopimuksen perusteella henkilötietojen käsittelijänä rekisterinpitäjän eli Asiakkaan lukuun seuraavia henkilötietoja:

 

Rekisteröityjen ryhmät:

§  Asiakkaan asiakkaiden/loppukäyttäjen henkilötiedot

§  Asiakkaan yhteistyökumppaneiden mahdolliset henkilötiedot

Henkilötietojen tyypit:

§  Palvelun loppukäyttäjään liittyvät henkilötiedot, henkilön yksilöintiin liittyvät tiedot, loppukäyttäjän ostokäyttäytymistä koskevat tiedot, ostohistoria[LRHTO3] 

3      OSAPUOLTEN ROOLIT HENKILÖTIETOJEN KÄSITTELYSSÄ

3.1   Asiakas toimii tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

3.2   Asiakas sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

3.3  Asiakas vastaa siitä, että sillä on oikeus käsitellä ja siirtää Toimittajan käsiteltäväksi henkilötietoja.

3.4  Toimittaja toimii tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Asiakkaan henkilötietoja Asiakkaan puolesta ja lukuun.

3.5  Toimittaja avustaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä.

3.6  Toimittaja ei käsittele Henkilötietoja EU:n/ETA:n ulkopuolisessa maassa ilman Asiakkaan etukäteistä kirjallista suostumusta;

3.7  Toimittaja avustaa Asiakasta varmistamaan Asiakkaalle tietosuoja-asetuksessa säädettyjen velvollisuuksien, kuten turvatoimien, vaikutusten arvioinnin ja ennakkokuulemisen noudattamisen

 

4      TIETOSUOJAN VARMISTAMINEN

4.1  Sopijapuolet pyrkivät käytettävissään olevin kohtuullisin keinoin myötävaikuttamaan Sopimuksen kohteen toteuttamisessa korkeaan tietosuojan tasoon ja toisen sopijapuolen mahdollisuuteen omalta osaltaan ylläpitää sitä sekä hoitaa lakisääteiset velvollisuutensa rekisteröityihin nähden. Toimittaja ohjaa kaikki Asiakkaaseen liittyvät tietosuojaviranomaisten tiedustelut myös Asiakkaalle. Toimittaja ei edusta Asiakasta eikä toimi Asiakkaan puolesta tietosuojaan liittyvissä asioissa.

4.2  Osapuolet sopivat erityisesti, että: 

(i)     Toimittaja käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien Dokumentoitujen ohjeiden mukaisesti, paitsi jos Toimittajaan sovellettavassa lainsäädännössä toisin vaaditaan. Tässä Tietosuojaliitteessä dokumentoiduilla ohjeilla tarkoitetaan Sopimuksessa määriteltyjä henkilötietojen käsittelyn ehtoja ja periaatteita ("Dokumentoidut ohjeet").

(ii)    Tällaisessa tilanteessa Toimittajan on välittömästi tiedotettava Asiakkaalle tästä lainsäädännön mukaisesta vaatimuksesta ennen henkilötietojen käsittelyä, paitsi jos tällainen tiedottaminen on lain mukaan kiellettyä (dokumentoitujen ohjeiden noudattaminen);

(iii)  Toimittaja varmistaa, että henkilöt, joilla on oikeus käsitellä Henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus (henkilötiedon käsittelijöitä koskeva salassapitovelvoite);

(iv)  Toimittaja vastaa siitä, että sen Henkilötietojen käsittelyyn liittyvään toimintaan sovelletaan dokumentoituja, asianmukaisia riskienhallinta- ja tietoturvaprosesseja. Ottaen huomioon Asiakkaan määrittämän Henkilötietojen arkaluontoisuuden sekä niihin liittyvän riskitason Toimittaja suojaa Henkilötietojen käsittelyssä käytettävät järjestelmät ja tietoliikenteen asianmukaisilla tietoturvaratkaisuilla sen varmistamiseksi, että Henkilötietojen luottamuksellisuus, eheys ja saatavuus on turvattu (käsittelyn turvallisuus ja tietoturva);

(v)   Asiakas antaa suostumuksensa siihen, että Henkilötietoja käsitellään Toimittajan harkinnan mukaisesti muidenkin kuin Toimittajan ja sen henkilöstön toimesta. Mikäli tietoja käsitellään tällaisen kolmannen osapuolen toimesta, Toimittaja vastaa siitä, että kyseinen taho sitoutuu tämän Tietosuojaliitteen mukaisiin Toimittajaa koskeviin vastuisiin. Toimittajan tulee antaa Asiakkaan pyynnöstä tarpeellisia tietoja Henkilötietojen käsittelyä suorittavista kolmansista osapuolista (alihankinta ja toiset käsittelijät);

(vi)  Toimittaja auttaa kohtuullisessa määrin Asiakasta varmistamaan, että sille säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot. Toimittajan on viipymättä siirrettävä Asiakkaalle kaikki rekisteröidyiltä saamansa henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden käsittelyn kieltämistä koskevat tai muut pyynnöt. Asiakkaan pyynnöstä Toimittajan on tuettava Asiakasta rekisteröityjen esittämien pyyntöjen täyttämisessä (rekisterinpitäjän velvollisuuksien toteutuminen);

(vii) Toimittaja Asiakkaan valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot Asiakkaalle ja poistaa olemassa olevat jäljennökset, paitsi jos lainsäädännössä vaaditaan säilyttämään henkilötiedot.  Toimittaja saa käsittelyn aikana ja sen päätyttyä säilyttää ja hyväksikäyttää henkilötiedoista anonymisoimalla syntyneitä tietoja toiminnassaan ja tuotteidensa kehittämisessä. Anonymisoinnilla tarkoitetaan tietojen muokkaamista siten, ettei niistä voida millään toimenpiteillä enää tunnistaa henkilöitä (henkilötietojen poistaminen);

(viii)   Toimittaja sallii Asiakkaan tai muun tämän valtuuttaman auditoijan suorittamat auditoinnit sekä osallistuu niihin. Auditoinnin suorittajan on sitouduttava pitämään salassa auditoinnin yhteydessä saamansa tiedot. Toimittajalla on oikeus kieltäytyä auditoinnista, mikäli sen suorittajaksi on osoitettu Toimittajan suoraksi tai välilliseksi kilpailijaksi katsottava taho tai sellainen taho, jonka asiantuntemusta tai luotettavuutta voidaan perustellusti epäillä. Asiakas vastaa kaikista auditointien kustannuksista (sopimuksen mukaisuus ja auditointi).

 

5      ILMOITUS HENKILÖTIETOJEN TIETOTURVALOUKKAUKSESTA

5.1  Toimittajan on ilmoitettava Asiakkaalle kirjallisesti Henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä ja viimeistään 36 tunnin kuluessa siitä tiedon saatuaan.

5.2  Toimittaja sitoutuu ilmoittamaan Asiakkaalle muista Toimittajan tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa, ellei Sopimuksessa tai sen liitteissä ole sovittu muuta.

5.3  Toimittaja sitoutuu antamaan Asiakkaalle vähintään seuraavat tiedot tietoturvaloukkauksesta:

(i)     kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

(ii)    ilmoitettava tietosuojavastaa tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;

(iii)   kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

(iv)  kuvattava toimenpiteet, joita Toimittaja ehdottaisi tai joita se on toteuttanut tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

 

6      AINEISTON PALAUTTAMINEN JA HÄVITTÄMINEN

6.1  Sopimuksen päättyessä Toimittaja palauttaa ajan tasalla olevan Henkilötietoja sisältävän aineiston Asiakkaalle 30 päivän kuluessa Asiakkaan kirjallisesta pyynnöstä.

6.2  Toimittaja hävittää sopimuksen päätyttyä kaikki Henkilötiedot Asiakkaalle ja poistaa olemassa olevat jäljennökset, paitsi jos lainsäädännössä vaaditaan säilyttämään henkilötiedot.  Toimittaja saa kuitenkin Sopimuksen päätyttyäkin säilyttää ja hyväksikäyttää henkilötiedoista anonymisoimalla syntyneitä tietoja toiminnassaan ja tuotteidensa kehittämisessä.

 

7      VASTUUT

7.1  Osapuolet vastaavat tämän Tietosuojaliitteen vastaisella toiminnalla toiselle Osapuolelle aiheutuneista vahingoista Sopimuksesta ehtojen mukaisesti.