Tietojenkäsittelyliite

Tämä tietojenkäsittelyliite (”liite”) on liitetty toimittajan Yleisiin käyttöehtoihin (”sopimus”), ja se muodostaa osan tätä sopimusta, joka on solmittu Valamis Group Oy:n (”Toimittaja”) ja asiakkaan (”Asiakas”) välillä.

1. Tietojenkäsittelyliitteen tarkoitus

Toimittaja on tiettyjen toimittajan asiakkaalle lisensoimien ja/tai muuten toimittamien ohjelmistotuotteiden ja/tai palveluiden omistaja, lisensoija ja/tai toimittaja.

Tässä liitteessä määritellään toimittajan asiakkaan puolesta tekemän henkilötietojen käsittelyn ehdot.

Tämän liitteen tarkoituksia varten soveltuvalla tietosuojalainsäädännöllä tarkoitetaan soveltuvia lakeja ja säännöksiä, jotka koskevat henkilötietojen käsittelyä, mukaan lukien 27. päivänä huhtikuuta 2016 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus, ”GDPR”) sekä sitä täydentävä Suomen lainsäädäntö.

2. Termien määrittely

Valamis Groupin tytäryhtiö tarkoittaa mitä tahansa yritystä tai muuta laillista yksikköä, jota toimittaja suoraan tai välillisesti hallinnoi, joka on suoraan tai välillisesti toimittajan kanssa jonkun muun hallinnan alla, tai joka hallinnoi suoraan tai välillisesti toimittajaa, ja joka voi auttaa palveluiden tuottamisessa ja saattaa osallistua henkilötietojen käsittelyyn. ”Hallinnoinnilla” tarkoitetaan yrityksen tai muun laillisen yksikön tapauksessa: (i) äänienemmistöä kyseisessä yrityksessä tai laillisessa yksikössä, tai (ii) suoraa tai välillistä valtaa hallinnoida yhtiön hallituksen tai muun vastaavan päätösvaltaa pitävän elimen kokoonpanoa tässä yrityksessä tai muussa laillisessa yksikössä. ”Hallinnan alla” tulkitaan samoin.

EU:n vakiosopimuslausekkeilla tarkoitetaan Euroopan komission hyväksymiä vakiosopimuslausekkeita, joita käytetään, kun tietoja, joista rekisteröity voidaan yksilöidä, siirretään EU:ssa sijaitsevilta käsittelijöiltä kolmansissa maissa sijaitseville käsittelijöille (päätös 2010/87/EU).

Muun muassa käsitteet ”rekisterinpitäjä”, ”käsittelijä”, ”rekisteröity”, ”käsittely”, ”henkilötiedot” ja ”tietoturvaloukkaus” sekä muut soveltuvassa tietosuojalainsäädännössä määritellyt termit tulkitaan samoin kuin kyseisissä lainsäädännöissä.

3. Toimittajan velvoitteet

  1. Toimittaja toimii henkilötietojen käsittelijänä voimassa olevan tietosuojalainsäädännön mukaan. Toimittaja käsittelee asiakkaan (joka toimii rekisterinpitäjänä) hallinnoimia henkilötietoja asiakkaan puolesta erikseen sovittujen asiakkaan dokumentoitujen ohjeiden mukaan, jos toimittajaan soveltuvat lait eivät muuta vaadi, jolloin toimittaja ilmoittaa asiakkaalle näistä ristiriitaisista velvoitteista. Jos toimittajan mukaan asiakkaan ohjeistus rikkoo soveltuvaa lainsäädäntöä, toimittaja pyrkii ilmoittamaan tästä asiakkaalle.
  2. Toimittajan tulee toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla varmistetaan käsittelyn turvallisuus, ja ylläpitää tarvittavia asiakirjoja näistä toimenpiteistä ja käsittelytoimista soveltuvan tietosuojalainsäädännön mukaisesti.
  3. Toimittaja sitoutuu varmistamaan, että toimittajan määräysvallan ja valvonnan alla henkilötietoja käsittelevät henkilöt ovat sitoutuneet pitämään tiedot salassa tai että heitä koskee asiaankuuluva lainmukainen salassapitovelvollisuus. Lisäksi näiden henkilöiden tulee käsitellä asiakkaan hallinnoimia henkilötietoja vain tämän liitteen (mukaan lukien luku 5 (Tietojen käyttö toimittajan toimesta)), sopimuksen ja erikseen sovittujen asiakkaan ohjeiden mukaisesti.
  4. Ottaen huomioon käsittelyn luonne ja toimittajan saatavissa oleva tieto, toimittaja auttaa kohtuullisissa määrin asiakasta noudattamaan soveltuvan tietosuojalainsäädännön määräyksiä koskien rekisteröidyn oikeuksia käyttämällä tarvittavia teknisiä ja organisatorisia toimenpiteitä ja tiedottaa asiakasta rekisteröidyiltä saaduista pyynnöistä, jotka liittyvät asiakkaan hallinnoimiin henkilötietoihin.
  5. Toimittaja toimittaa asiakkaalle tiedot, jotka voidaan kohtuullisesti katsoa tarpeellisiksi, osoittaakseen niiden velvoitteiden vaatimustenmukaisuuden, jotka liittyvät asiakkaan puolesta tehtyyn henkilötietojen käsittelyyn. Jos kolmas osapuoli – joka ei saa olla toimittajan kilpailija – suorittaa auditoinnin, tulee kummankin osapuolen hyväksyä tämä kolmas osapuoli ja auditoijan tulee täyttää toimittajan hyväksymä kirjallinen salassapitosopimus ennen auditoinnin suorittamista. Pyytääkseen auditointia asiakkaan tulee toimittaa yksityiskohtainen auditointisuunnitelma, jossa kuvataan auditoinnin ehdotettu laajuus, kesto ja aloituspäivämäärä, tarkastettavaksi vähintään neljä (4) viikkoa ennen ehdotettua auditointipäivämäärää. Auditointiraportit ovat osapuolten salassa pidettävää tietoa sopimuksen ehtojen mukaisesti.
  6. Ottaen huomioon käsittelyn luonne ja toimittajan saatavissa oleva tieto, toimittajan tulee auttaa asiakasta kohtuullisissa määrin, jotta asiakas voi varmistaa tietosuoja-asetuksen artikloissa 32-36 mainittujen velvoitteiden vaatimustenmukaisuuden täyttymisen.

4. Asiakkaan velvoitteet

Asiakas sitoutuu varmistamaan rekisterinpitäjän velvoitteiden vaatimustenmukaisuuden täyttymisen voimassa olevan tietosuojalainsäädännön mukaisesti. Asiakas on erityisesti velvollinen varmistamaan muun muassa, että:

  1. asiakkaalla on oikeus luovuttaa henkilötietoja toimittajalle sopimuksen ja tämän liitteen (mukaan lukien luku 5 (Tietojen käyttö toimittajan toimesta)) tarkoituksien mukaisesti;
  2. käsittelylle on pätevät lainmukaiset syyt soveltuvan tietosuojalainsäädännön mukaisesti;
  3. käsittely ja kerätyn tai käsitellyn tiedon tarkoitus on määritelty ennen käsittelytoimintoja;
  4. kerätty tieto on täsmällistä, oikeaa ja tarpeellista jokaista tiettyä käsittelytarkoitusta varten eikä turhia tietoja kerätä;
  5. asiakas ohjeistaa toimittajaa lainmukaisesti henkilötietojen käsittelyssä, muun muassa toimittaa henkilötietojen käsittelyä koskevat dokumentoidut ohjeet;
  6. asiakas myöntää käyttöoikeudet asiakkaan määrittelemille henkilöille ja poistaa käyttöoikeudet, kun niitä ei enää tarvita ja varmistaa käyttäjien oikeanlaisen ohjauksen ja koulutuksen;
  7. henkilötiedot on suojattu luvatonta pääsyä sekä vahingossa tapahtuvaa tai laitonta tuhoamista, muuttamista, luovuttamista, siirtoa tai muuta laitonta käsittelyä vastaan;
  8. epätäsmälliset tai virheelliset henkilötiedot korjataan tai poistetaan viipymättä;
  9. vanhentuneita tai tarpeettomia henkilötietoja ei käsitellä, vaan ne tuhotaan luotettavalla tavalla, paitsi jos soveltuva lainsäädäntö vaatii henkilötietojen säilyttämistä;
  10. rekisteröidyillä on mahdollisuus saada henkilötietojen käsittelystä läpinäkyvää tietoa, joka on helposti saatavilla ja ymmärrettävissä selkeällä ja yksinkertaisella kielellä.

5. Tietojen käyttö toimittajan toimesta

Täten asiakas tiedostaa ja suostuu siihen, että toimittaja saa käyttää kaikkia tietoja, mukaan lukien henkilötiedot, jotka liittyvät asiakkaan (mukaan lukien työntekijät ja muut käyttäjät, joille asiakas on myöntänyt käyttöoikeuden) käyttämiin toimittajan palveluihin ja/tai tuotteisiin (mukaan lukien ohjelmistot) toimittajan tuotekehitystä ja muita tarkoituksia varten. Milloin kohtuullisesti mahdollista, toimittaja pyrkii käyttämään henkilötietoja anonyymissä muodossa. Siinä määrin, kun tiedot sisältävät henkilötietoja ja toimittaja käyttää tietoja tarkoituksiin, jotka eivät liity tietojenkäsittelyliitteeseen, toimittaja on käsittelyn suhteen rekisterinpitäjä. Asiaankuuluvissa tapauksissa asiakas suostuu auttamaan toimittajaa kohtuullisissa määrin varmistamaan toimittajan rekisterinpitäjän velvollisuuksien vaatimustenmukaisuuden toteutumisen, esimerkiksi toimittamalla käyttäjilleen tietoja tästä käsittelystä toimittajan tarkempien ohjeiden mukaisesti.

6. Tietojen poistaminen

Tämän sopimuksen irtisanomisen johdosta tai sen rauettua tai asiakkaan pyynnöstä, toimittaja tuhoaa tai palauttaa asiakkaalle kaikki henkilötiedot, joita se käsittelee asiakkaan puolesta tämän liitteen ja sopimuksen mukaisesti. Tämä vaatimus ei päde siinä määrin, missä toimittaja on velvollinen minkä tahansa soveltuvan lainsäädännön mukaan säilyttämään kaikki henkilötiedot tai niiden osan tai tilanteessa, jossa toimittaja on tämänkaltaisten henkilötietojen rekisterinpitäjä. Selvyyden vuoksi mainittakoon, että tämä velvoite ei myöskään päde tilanteissa, joissa toimittaja käsittelee henkilötietoja yllä olevan luvun 5 mukaisesti (Tietojen käyttö toimittajan toimesta).

7. Kansainväliset siirrot

Osapuolet suostuvat siihen, että (a) toimittaja saa siirtää henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle sillä edellytyksellä, että se on tehnyt tarpeelliset toimenpiteet varmistaakseen, että siirto tapahtuu soveltuvan tietosuojalainsäädännön mukaisesti, ja (b) toimittajalla on oikeus sitoutua EU:n vakiosopimuslausekkeisiin toimittajan alikäsittelijöiden kanssa asiakkaan puolesta ja nimissä, jos toimittaja määrittelee sen tarpeelliseksi, jotta voidaan varmistaa, että henkilötietojen siirrot tehdään soveltuvien lakien mukaisesti.

8. Alikäsittelijät

Toimittaja saattaa joutua käyttämään alikäsittelijöitä tuottaessaan palveluita ja tukea asiakkaalle. Täten asiakas antaa nimenomaisen myöntymyksensä sille, että toimittaja käyttää Valamis Groupin tytäryhtiöitä alikäsittelijöinä. Lisäksi asiakas antaa yleissuostumuksensa sille, että toimittaja käyttää muita alikäsittelijöitä seuraavien ehtojen täyttyessä:

  1. Toimittaja toimittaa asiakkaalle listan alikäsittelijöistä, joita käytetään asiakkaan puolesta tehdyssä henkilötietojen käsittelyssä.
  2. Toimittaja ilmoittaa asiakkaalle ennakkoon kaikista muutoksista alikäsittelijöissä ja antaa asiakkaalle mahdollisuuden vastustaa muutosta. Asiakkaan tulee vastata toimittajan muutosilmoitukseen ripeästi, kuitenkin viimeistään neljäntoista (14) päivän kuluttua siitä, kun toimittajan ilmoitus on vastaanotettu. Asiakas ei voi kohtuuttomasti vastustaa alikäsittelijän käyttöä.
  3. Jos asiakas vastustaa muutosta, toimittajalla on oikeus irtisanoa sopimuksen se osa, jota alikäsittely koskisi ilmoittamalla siitä kirjallisesti kolmekymmentä (30) päivää etukäteen.
  4. Toimittaja vaatii alikäsittelijöitä tekemään kirjallisen sopimuksen ja noudattamaan tietosuoja-, tietoturva- ja salassapitovaatimuksia, jotka koskevat toimittajaa tämän liitteen ja sopimuksen tai samantasoisen tietosuojan antavien velvoitteiden mukaisesti.
  5. Toimittaja on asiakkaalle vastuussa alikäsittelijöidensä toimista kuin omistaan.

9. Turvallisuushäiriöt ja tietoturvaloukkaukset

  1. Toimittajan tulee ilmoittaa asiakkaalle viipymättä saatuaan tiedon henkilötietojen tietoturvaloukkauksesta, joka koskee asiakkaan henkilötietoja.
  2. Toimittaja tekee asiakkaan kanssa yhteistyötä siinä määrin, mitä voidaan kohtuullisesti odottaa ja toteuttaa asiakkaan kohtuudella vaatimat kaupallisesti perustellut toimenpiteet auttaakseen jokaisen tietoturvaloukkauksen tutkimisessa, lieventämisessä ja korjauksessa.

10. Vastuunrajoitukset

  1. Toimittaja ei ole vastuussa mistään suorista ja/tai välillisistä vahingoista ja/tai tappioista. Toimittajan kokonaisvastuu tästä tietojenkäsittelyliitteestä johtuen tai siihen liittyen on aina rajoitettu 100 000 euroon.

11. Muut ehdot

  1. Toimittajalla on oikeus veloittaa asiakasta kaikista toimista, jotka on suoritettu tämän tietojenkäsittelyliitteen mukaisesti tai siihen liittyen sen kulloinkin voimassa olevien tuntihintojen tai muun hinnaston mukaisesti.
  2. Tämä liite syrjäyttää ja korvaa kaikki osapuolten välillä aiemmin solmitut tietojenkäsittelysopimukset.
  3. Muiden asioiden suhteen tähän liitteeseen sovelletaan sopimuksen ehtoja.
  4. Tähän liitteeseen sovelletaan ja sitä tulkitaan Suomen lakien mukaan, pois lukien sen lainvalintaa koskevat säännökset. Kaikki tästä liitteestä johtuvat tai siihen liittyvät kiistat ratkaistaan sopimuksen sovittelusäännösten mukaan. Jos sopimuksessa ei ole sovittu sovittelusäännöksistä, kaikki tästä liitteestä johtuvat tai siihen liittyvät kiistat, riidat ja vaatimukset tai sen rikkominen, irtisanominen tai voimassaolo käsitellään lopullisesti Suomen keskuskauppakamarin välimiesmenettelysääntöjen mukaisesti. Sovittelijoiden lukumäärä on yksi ja sovittelun paikka on Helsinki, Suomi.