Tietosuojaliite sopimuksen liitteeksi
Tietosuojaliite, Salpakierto Oy
Yleistä
Tätä henkilötietojen käsittelyä ja tietosuojaa koskevaa sopimusliitettä (”Tietosuojaliite”) sovelletaan, kun palveluntarjoaja, toimittaja tai muu toimija (”Toimittaja”) käsittelee Salpakierto Oy:n (”Salpakierto”) henkilötietoja EU:n yleisen tietosuoja-asetuksen (2016/67) (”Tietosuoja-asetus”) mukaisesti joko omiin käyttötarkoituksiinsa tai Salpakierron puolesta ja lukuun.
Tämä Tietosuojaliite, yhdessä Salpakierron ja Toimittajan välisen mahdollisen sopimuksen kanssa, määrittelee henkilötietoja koskevan tietosuojan ja tietoturvan periaatteet ja ehdot. Mikäli kyseinen sopimus ja sen muut mahdolliset liitteet olisivat ristiriidassa tämän Tietosuojaliitteen kanssa, sovelletaan Salpakierron ja Toimittajan välillä henkilötietojen käsittelyyn ensisijaisesti tässä Tietosuojaliitteessä sovittua.
Määritelmät
”Henkilötieto” tarkoittaa kaikkea tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (”Rekisteröity”) liittyvää tietoa tai muuta Tietosuoja-asetuksessa tai muussa tietosuojaa koskevassa lainsäädännössä määriteltyä henkilötietoa.
”Käsittely” tarkoittaa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, tai muuta Tietosuoja-asetuksessa tai muussa tietosuojaa koskevassa lainsäädännössä määriteltyä henkilötietojen käsittelyä.
”Rekisterinpitäjä” tarkoittaa Tietosuoja-asetuksen mukaan tahoa, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
”Käsittelijä” tarkoittaa Tietosuoja-asetuksen mukaan henkilötietoja käsittelevä tahoa, joka käsittelee henkilötietoja Rekisterinpitäjän lukuun.
”Tietoturvaloukkaus” tarkoittaa tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.
Roolit
Toimittaja toimii Tietosuoja-asetuksen tarkoittamana Rekisterinpitäjänä, kun se käsittelee Salpakierron henkilötietoja omiin käyttötarkoituksiinsa.
Kun Toimittaja käsittelee Salpakierron toimeksiannosta henkilötietoja Salpakierron puolesta ja lukuun, toimii Salpakierto Rekisterinpitäjänä ja Toimittaja Käsittelijänä.
Rekisterinpitäjän oikeudet ja velvollisuudet
Rekisterinpitäjä vastaa käsiteltävien henkilötietojen määrittelystä ja siitä, että se käsittelee henkilötietoja noudattaen Tietosuoja-asetusta ja muuta tietosuojaa koskevaa lainsäädäntöä sekä hyvää tietojenkäsittelytapaa. Rekisterinpitäjä vastaa siitä, että henkilötietojen käsittelyyn on olemassa Tietosuoja-asetuksen mukainen oikeusperuste.
Rekisterinpitäjän velvollisuutena on määritellä henkilötietojen käsittelyn tarkoitukset ja keinot sekä antaa Käsittelijälle tätä sitovat kirjalliset Tietosuoja-asetuksen mukaiset ohjeet henkilötietojen käsittelystä.
Rekisterinpitäjä varmistaa ja vastaa siitä, että Rekisteröidylle toimitetaan kaikki Tietosuoja-asetuksen edellyttämä henkilötietojen käsittelyä koskeva informaatio. Lisäksi Rekisterinpitäjä vastaa siitä, että sillä on koko Sopimuksen voimassaoloajan Tietosuoja-asetuksen mukainen oikeus siirtää henkilötietoja käsiteltäväksi tämän Tietosuojaliitteen ja Sopimuksen mukaisesti.
Rekisterinpitäjä vastaa tarvittavien suostumusten hankkimisesta henkilötietojen käsittelyä varten. Lisäksi Rekisterinpitäjä vastaa siitä, että se on täyttänyt kaikki pakolliset viranomaisille henkilötietojen käsittelyyn liittyvät ilmoitukset ja lupien hankintaa koskevat velvollisuudet ja vaatimukset. Rekisterinpitäjä vastaa itse Tietosuoja-asetuksen mukaisten muutos-, poisto- ja tietopyyntöjen toteuttamisesta omille sidosryhmilleen.
Rekisterinpitäjä on yksinomaan vastuussa Käsittelijälle luovutettujen henkilötietojen paikkansapitävyydestä, ajantasaisuudesta, sisällöstä, luotettavuudesta ja laillisuudesta.
Sekä Rekisterinpitäjä että Käsittelijä ovat vastuussa itselleen aiheutuvista sellaisista kustannuksista, jotka johtuvat Tietosuoja-asetuksen tai muun tietosuojaa koskevan lainsäädännön tai tämän Tietosuojaliitteen mukaisten heille itselleen kuuluvien velvollisuuksiensa täyttämisestä.
Henkilötietojen käsittelijän oikeudet ja velvollisuudet
Käsittelijän on toimittava tämän Tietosuojaliitteen mukaisesti tuottaessaan Rekisterinpitäjälle Sopimuksen mukaisia palveluita. Käsittelijä saa käyttää henkilötietoja ainoastaan Sopimuksen mukaisten velvoitteiden täyttämiseksi.
Käsittelijän tulee noudattaa soveltuvaa tietosuojaa koskevaa lainsäädäntöä ja Rekisterinpitäjän kirjallisesti antamia ohjeistuksia. Käsittelijän velvollisuutena on ilmoittaa Rekisterinpitäjälle välittömästi katsoessaan ohjeistuksen lainvastaiseksi, paitsi jos tiedottaminen olisi lainsäädännössä kiellettyä yleistä etua koskevien tärkeiden syiden vuoksi.
Käsittelijän velvollisuutena on huolehtia siitä, että ne tahot, joilla on pääsy henkilötietoihin, ovat tietoisia siitä, että heillä on oikeus käsitellä henkilötietoja ainoastaan Rekisterinpitäjän ohjeiden, tämän Tietosuojaliitteen ja Tietosuoja-asetuksen ja muun tietosuojaa koskevan lainsäädännön mukaisesti. Käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
Käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Rekisterinpitäjän ohjeita.
Käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Rekisterinpitäjälle kaikista sille tulleista Rekisteröityjen pyynnöistä, jotka koskevat Tietosuoja-asetuksen sekä muun tietosuojaa koskevan lainsäädännön mukaisten rekisteröidyn oikeuksien käyttämistä.
Käsittelijä on velvollinen auttamaan Rekisterinpitäjää sellaisissa toiminnoissa, joissa Rekisterinpitäjä tarvitsee Käsittelijän myötävaikutusta Tietosuoja-asetuksen mukaisten velvollisuuksiensa täyttämiseksi. Tällaisia toimenpiteitä voivat olla esimerkiksi vaikutustenarviointiin osallistuminen sekä tietosuojaan liittyvien tapojen ja raporttien toimittaminen. Mikäli Rekisterinpitäjä pyytää tietoja tai avustusta tietoturvaan liittyvistä toimenpiteistä, dokumentaatiosta tai muista Käsittelijän henkilötietojen käsittelyyn liittyvistä tiedoista siten, että pyynnöt poikkeavat sisällöllisesti sovellettavasta Tietosuoja-asetuksesta tai muusta tietosuojaa koskevasta lainsäädännöstä ja tästä aiheutuu ylimääräistä työtä Käsittelijälle, Käsittelijällä on oikeus veloittaa Rekisterinpitäjää tällaisista ylimääräisistä palveluista.
Kuten edellä on todettu, Rekisterinpitäjä ja Käsittelijä ovat vastuussa itselleen aiheutuvista sellaisista kustannuksista, jotka johtuvat Tietosuojalainsäädännön tai tämän Tietosuojaliitteen mukaisten heille itselleen kuuluvien velvollisuuksiensa täyttämisestä.
Alihankkijoiden käyttäminen ja tietojen siirtäminen
Käsittelijä voi käyttää alihankkijoita tämän Tietosuojaliitteen mukaiseen palvelujen tarjoamiseen Rekisterinpitäjälle. Käsittelijän tulee varmistaa, että sen alihankkija noudattaa tämän Tietosuojaliitteen ja mahdollisen muun sopimuksen mukaista salassapitoa, tietoturvaa ja -suojaa koskevia vaatimuksia sekä Tietosuoja-asetusta ja muuta tietosuojaa koskevaa lainsäädäntöä.
Käsittelijällä on oikeus vaihtaa alihankkijoita Sopimuksen voimassaoloaikana. Käsittelijä ilmoittaa Rekisterinpitäjälle ennakkoon henkilötietoja käsittelevien alihankkijoiden muutoksista.
Käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle.
Käsittelyn kesto ja tietojen poistaminen
Käsittelijä käsittelee henkilötietoja vain niin kauan kuin sopimus on voimassa tai kunnes sovittu yhteistyö päättyy. Sopimuksen tai muun yhteistyön päättyessä Käsittelijä Rekisterinpitäjän valinnan mukaisesti joko poistaa lopullisesti tai palauttaa kaikki henkilötiedot Rekisterinpitäjälle ja poistaa lisäksi olemassa olevat jäljennökset lukuun ottamatta tilannetta, jossa lainsäädännössä vaaditaan säilyttämään henkilötiedot määrätyn ajan.
Tietoturvaloukkausten käsittely
Käsittelijän on ilmoitettava Rekisterinpitäjälle kaikista tietoturvaloukkauksista ilman aiheetonta viivytystä, ja mahdollisuuksien mukaan 48 tunnin kuluessa siitä, kun Käsittelijä on tullut tietoiseksi tietoturvaloukkauksesta. Ilmoitukseen on sisällytettävä seuraavat tiedot:
- kuvaus tietoturvaloukkauksesta sisältäen tiedot siitä, mitä Rekisteröityjen ryhmiä tietoturvaloukkaus on koskenut sekä näiden ryhmien arvioitu lukumäärä;
- tietoturvaloukkauksen selvittämistä hoitavan Käsittelijän yhteyshenkilön nimi ja yhteystiedot;
- kuvaus tietoturvaloukkauksen toteutuneista seurauksista ja/tai todennäköisistä seurauksista; ja
- kuvaus toimenpiteistä, joihin Käsittelijä on ryhtynyt tietoturvaloukkauksen johdosta ja sen haittavaikutusten lieventämiseksi.
Jos edellä mainittujen tietojen antaminen ei ole mahdollista samanaikaisesti, tiedot voidaan antaa osissa.
Rekisterinpitäjän on ilmoitettava Käsittelijälle viivytyksettä, jos Rekisterinpitäjälle on syntynyt epäily tietoturvaloukkauksesta. Rekisterinpitäjällä on myös velvollisuus avustaa tietoturvaloukkauksen tutkimuksessa ja antaa Käsittelijälle tarvittavat tiedot tietoturvaloukkauksen tutkimiseksi.
Mahdollisissa tietoturvaloukkaustilanteissa Käsittelijä ilmoittaa tilanteesta Rekisterinpitäjälle ja Rekisterinpitäjä on itse vastuussa eteenpäin tiedottamisesta.
Vastuu ja muut ehdot
Mikäli Rekisteröidylle aiheutuu vahinkoa tietosuojavelvoitteiden rikkomisen vuoksi, Rekisterinpitäjä ja Käsittelijä vastaavat Rekisteröidylle aiheutuneesta vahingosta Tietosuoja-asetuksen 82 artiklan mukaisesti. Rekisterinpitäjä ja Käsittelijä vastaavat kumpikin itse toimivaltaisen valvontaviranomaisen heille itselleen mahdollisesti määräämistä sanktioista.
Tämä Tietosuojaliite on voimassa niin kauan kuin mahdollinen sopimus tai muu yhteistyö on voimassa, ja niin kauan sopimuksen tai yhteistyön irtisanomisen jälkeen kuin on tarpeellista saattaa loppuun henkilötietojen käsittelyyn liittyvät toiminnot (kuten henkilötietojen palauttaminen Rekisterinpitäjälle) tai kauemmin, mikäli soveltuva lainsäädäntö niin määrää.
Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Tietosuojaliitteen voimassaolon päättymisestä riippumatta, jäävät voimaan päättymisen jälkeen.