Sopimus henkilötietojen käsittelystä

1. Sopimuksen tausta ja tarkoitus

Tämä sopimus henkilötietojen käsittelystä (jäljempänä ”henkilötietojen käsittelysopimus”) on tehty asiakkaan (jäljempänä ”rekisterinpitäjä”) ja palveluntarjoajan (Intoloop Oy, 2283473-5, jäljempänä ”käsittelijä”) kesken. Rekisterinpitäjään ja käsittelijään viitataan erikseen nimityksellä ”osapuoli” ja yhdessä nimityksellä ”osapuolet”.

Molemmat osapuolia edustavat henkilöt vahvistavat, että niillä on valtuudet tämän henkilötietojen käsittelysopimuksen solmimiseen. Tämä sopimus muodostaa osan yleisiä sopimusehtoja ja sääntelee siihen liittyvää henkilötietojen käsittelyä osapuolten välillä.

Tämän henkilötietojen käsittelysopimuksen sisällöstä riippumatta käsittelijällä on lupa ryhtyä sovellettavien asetusten noudattamiseksi tarpeellisiin toimiin. Tämä henkilötietojen käsittelysopimus koostuu tästä sopimusasiakirjasta ja sen alaliitteistä, jotka ovat erottamaton osa tätä sopimusta.

2. Määritelmät

Seuraavilla termeillä on sama merkitys kuin niitä käytettäessä ja tulkittaessa soveltuvassa henkilötietojen suojaa koskevassa lainsäädännössä, mukaan lukien yleinen tietosuoja-asetus EU 2016/679 (“GDPR”): henkilötieto, erityiset henkilöryhmät (arkaluontoiset henkilötiedot), henkilötietojen käsittely, rekisteröity, rekisterinpitäjä ja käsittelijä.

3. Sopimuksen kohde

Tämä sopimus sääntelee käsittelijän rekisterinpitäjän puolesta tekemää henkilötietojen käsittelyä ja määrittelee sen, miten käsittelijä osaltaan varmistaa yksityisyyden suojan rekisterinpitäjän ja sen rekisteröityjen puolesta teknisillä ja organisatorisilla toimenpiteillä soveltuvan tietosuojalainsäädännön mukaan, mukaan lukien GDPR.

Käsittelijän rekisterinpitäjän puolesta tekemän henkilötietojen käsittelyn tarkoitus on toteuttaa yleisten sopimusehtojen mukaiset velvoitteet. Käsittelijä kerää palvelun käyttämisen aikana henkilötietoa palvelun tuottamiseksi ja riittävän tietoturvan varmistamiseksi.

Ristiriitatilanteissa noudatetaan yleisten sopimusehtojen mukaista soveltamisjärjestystä. Tämä henkilötietojen käsittelysopimus on voimassa niin kauan kuin yksikin henkilötietojen käsittelyä sisältävä osapuolten välinen sopimus on voimassa

4. Käsittelijän oikeudet ja velvollisuudet

Käsittelijä käsittelee henkilötietoja vain rekisterinpitäjän puolesta ja rekisterinpitäjän kirjallisten ohjeiden mukaisesti. Solmiessaan tämän henkilötietojen käsittelysopimuksen rekisterinpitäjä ohjeistaa käsittelijän käsittelemään henkilötietoja seuraavalla tavalla: i) vain soveltuvien lakien mukaisesti, ii) kaikkien yleisistä sopimusehdoista johtuvien velvollisuuksien täyttämiseksi, iii) kuten tarkemmin määritelty rekisterinpitäjän käsittelijän palvelujen tavanomaisen käytön myötä ja iv) tässä henkilötietojen käsittelysopimuksessa määritellyllä tavalla. Mahdollisten muiden ohjeiden kustannusvaikutuksista sovitaan aina kirjallisesti erikseen.

Käsittelijällä ei ole syytä epäillä, että käsittelijään soveltuva lainsäädäntö estäisi käsittelijää noudattamasta yllä tarkemmin määriteltyjä ohjeita. Käsittelijä ilmoittaa rekisterinpitäjälle tullessaan tietoiseksi sellaisista ohjeista tai muusta rekisterinpitäjän käsittelytoimista, jotka käsittelijän näkemyksen mukaan rikkovat soveltuvaa tietosuojasääntelyä.

Alaliitteessä on listattu tämän henkilötietojen käsittelysopimuksen mukaisesti käsiteltävät rekisteröityjen ja henkilötietojen ryhmät.

Käsittelijä on velvollinen varmistamaan, että henkilötietojen luottamuksellisuus, eheys ja saatavuus noudattavat käsittelijään soveltuvaa tietosuojalainsäädäntöä. Käsittelijä on velvollinen toteuttamaan systemaattiset organisatoriset ja tekniset toimenpiteet varmistaakseen asianmukaisen turvallisuustason, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, jotka liittyvät käsittelyn mukanaan tuomaan riskiin sekä suojattavien henkilötietojen luonteen.

Ottaen mahdollisuuksien mukaan huomioon käsittelyn luonteen ja käsittelijän saatavilla olevat tiedot, käsittelijä avustaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään rekisterinpitäjän velvollisuuden vastata rekisteröityjen pyyntöihin soveltuvan tietosuojalainsäädännön mukaisesti ja täyttämään rekisterinpitäjän yleisen velvollisuuden noudattaa yksityisyyden suojaa GDPR:n 32-36 artiklojen edellyttämällä tavalla.

Jos rekisterinpitäjä pyytää tietoja tai avustusta turvallisuustoimenpiteissä, dokumentaatiossa tai muista käsittelijän henkilötietojen käsittelyyn liittyvistä tiedoista, ja pyyntöjen sisältö poikkeaa käsittelijän sovellettavan tietosuojasääntelyn vaatimusten mukaisesti esittämistä vakiotiedoista tai avustuksesta, käsittelijä voi veloittaa rekisterinpitäjää tällaisista palveluista.

Käsittelijä ja sen henkilökunta ovat velvollisia varmistamaan, että henkilötietoja, joita käsitellään tämän henkilötietojen käsittelysopimuksen mukaisesti, käsitellään luottamuksellisesti. Tämä ehto on voimassa myös tämän henkilötietojen käsittelysopimuksen päättymisen jälkeen.

Käsittelijä varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

Käsittelijä ilmoittaa ilman aiheetonta viivytystä tietoturvaloukkauksista rekisterinpitäjälle, jotta rekisterinpitäjä voi täyttää lakisääteisen tietoturvaloukkauksiin liittyvän ilmoitusvelvollisuutensa tietosuojaviranomaisille ja rekisteröidyille.

Lisäksi käsittelijä ilmoittaa rekisterinpitäjälle seuraavista asioista siinä määrin kuin se on asianmukaista ja laillista;

1. rekisteröidyn esittämät pyynnöt saada pääsy henkilötietoihin,
2. viranomaisten, kuten esimerkiksi poliisin, esittämät pyynnöt saada pääsy henkilötietoihin.

Käsittelijä ei vastaa suoraan rekisteröityjen pyyntöihin, ellei rekisterinpitäjä ole valtuuttanut käsittelijää toimimaan tällä tavalla. Käsittelijä ei anna pääsyä tämän henkilötietojen käsittelysopimuksen perusteella käsiteltäviin henkilötietoihin viranomaisille, kuten esimerkiksi poliisille, muutoin kuin lain nojalla, esimerkiksi tuomioistuimen päätöksellä tai muulla viranomaisen määräyksellä.

Käsittelijä ei hallinnoi eikä vastaa siitä, miten rekisterinpitäjä käyttää käsittelijän tarjoamaa API-rajapintaa tai vastaavaa kolmannen osapuolen ohjelmistojen integroimiseksi käsittelijän tarjoamaan palveluun. Rekisterinpitäjä on täysin vastuussa näistä integraatioista.

Käsittelijä voi käsitellä henkilötietoja yleisten sopimusehtojen mukaisen palvelun käyttäjistä ja rekisterinpitäjän palvelun käytöstä, kun se on tarpeen palautteen hankkimiseksi ja palvelun parantamiseksi. Rekisterinpitäjä antaa käsittelijälle oikeuden käyttää ja analysoida palvelusta kerättyä, yhdistettyä, aktiivisuutta koskevaa dataa, joka koskee rekisterinpitäjän palvelun käyttöä. Dataa käytetään palvelun optimoimiseksi, parantamiseksi tai tehostamiseksi ja jotta käsittelijä voisi luoda uusia ominaisuuksia ja toiminnallisuuksia palveluun. Käsittelijä katsotaan tässä tarkoituksessa rekisterinpitäjäksi ja tämä henkilötietojen käsittelysopimus ei näin ollen koske tällaista käsittelyä.

Käyttäessään palvelua, rekisterinpitäjä lisää omia tietojaan ja dataa ohjelmistoon. Rekisterinpitäjä hyväksyy eikä vastusta sitä, että käsittelijä käyttää edellä mainittuja omia tietoja ja dataa palvelun parantamiseen, tutkimukseen, koulutukseen ja/tai tilastollisiin käyttötarkoituksiin.

5. Rekisterinpitäjän oikeudet ja velvollisuudet

Rekisterinpitäjä vahvistaa seuraavaa hyväksyessään tämän henkilötietojen käsittelysopimuksen osana yleisiä sopimusehtoja:

• Rekisterinpitäjällä on oikeus käsitellä ja luovuttaa henkilötietoja käsittelijälle (mukaan lukien käsittelijän käyttämät alikäsittelijät).
• Rekisterinpitäjä on vastuussa käsittelijälle luovutettujen henkilötietojen paikkansapitävyydestä, eheydestä, sisällöstä, luotettavuudesta ja laillisuudesta.
• Rekisterinpitäjä on täyttänyt velvollisuutensa tarjota olennaiset tiedot rekisteröidyille ja viranomaisille henkilötietojen käsittelyyn liittyen soveltuvan pakollisen lainsäädännön mukaisesti.
• Rekisterinpitäjä ei saa milloinkaan luovuttaa tai kommunikoida käsittelijälle arkaluontoisia henkilötietoja käyttäessään käsittelijän palveluita.

6. Alikäsittelijöiden käyttäminen ja tietojen siirtäminen

Käsittelijä käyttää alikäsittelijöitä toimittaessaan yleisten sopimusehtojen ja tämän henkilötietojen käsittelysopimuksen mukaista palvelua rekisterinpitäjälle. Rekisterinpitäjä antaa yleisen suostumuksensa alikäsittelijöiden käytölle. Kaikki käsittelijän alikäsittelijät, joilla on pääsy henkilötietoihin on listattu alaliitteessä. Käsittelijä on velvollinen varmistamaan, että kukin alikäsittelijä sitoutuu noudattamaan tätä henkilötietojen käsittelysopimusta vastaavia velvoitteita.

Mikäli alikäsittelijä sijaitsee EU:n tai ETA-alueen ulkopuolella, rekisterinpitäjä antaa käsittelijälle valtuutuksen varmistaa riittävät oikeudelliset perusteet henkilötietojen siirtämiseksi kolmanteen maahan EU- tai ETA-alueelta rekisterinpitäjän puolesta käyttäen komission hyväksymiä vakiolausekkeita (standard contractual clauses, SCC).

Johtuen käsittelijän rekisterinpitäjälle toimittaman vakiomuotoisen palvelun luonteesta, rekisterinpitäjä ei voi edellyttää, että käsittelijä lopettaisi alikäsittelijän käyttämisen.

7. Tietoturva

Käsittelijä sitoutuu tarjoamaan turvallisuutensa puolesta korkeatasoisia tuotteita ja palveluja. Käsittelijä varmistaa asianmukaisen turvallisuuden organisatoristen, teknisten ja fyysisten turvatoimien avulla, jotka vastaavat GDPR:n artiklan 32 mukaisia tietoturvatoimia. Käsittelijä ylläpitää riittäviä tietoturvatoimenpiteitä, joilla varmistetaan, että henkilötiedot on suojattu tuhoutumiselta, muuttamiselta ja leviämiseltä. Lisäksi käsittelijä varmistaa, että henkilötiedot ovat suojattu luvattomalta pääsyltä.

Rekisterinpitäjä vastaa vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asianmukaisesta ja riittävästä tietoturvallisuudesta.

8. Oikeus auditointiin

Rekisterinpitäjällä on oikeus auditoida käsittelijän tämän henkilötietojen käsittelysopimuksen noudattaminen enintään kerran vuodessa. Rekisterinpitäjällä on oikeus pyytää auditointia useammin, mikäli rekisterinpitäjään soveltuva lainsäädäntö edellyttää tätä. Pyytäessään auditointia, rekisterinpitäjä on velvollinen toimittamaan yksityiskohtaisen auditointisuunnitelman käsittelijälle vähintään kuusi viikkoa ennen auditoinnin suunniteltua ajankohtaa. Auditointisuunnitelman tulee sisältää ainakin auditoinnin suunniteltu laajuus, kesto ja aloituspäivämäärä. Mikäli kolmas osapuoli suorittaa auditoinnin, sen tulee olla molempien osapuolten hyväksymä. Mikäli henkilötietojen käsittely tapahtuu ympäristössä, jota käyttävät käsittelijän muut asiakkaat tai muut kolmannet osapuolet, käsittelijä voi vaatia, että turvallisuussyistä auditoinnin suorittaa käsittelijän valitsema neutraali kolmas osapuoli.

Jos pyydetyn tarkastuksen sisältöä on käsitelty edeltävän 12 kuukauden aikana ulkopuolisen, kolmannen auditoijan laatimassa ISAE-, ISO- tai vastaavassa raportissa, ja käsittelijä vahvistaa, että sen tiedossa ei ole, että olennaisia muutoksia olisi tapahtunut auditoiduissa toimenpiteissä, rekisterinpitäjä sitoutuu hyväksymään raportin tulokset eikä vaadi kyseisen raportin sisältämien toimenpiteiden auditointia uudelleen.

Auditointi on suoritettava tavanomaisena työaikana, käsittelijän toimitiloissa ja käsittelijän omien käytäntöjen mukaisesti eikä auditointi saa kohtuuttomasti häiritä käsittelijän liiketoimintaa.

Rekisterinpitäjä vastaa kaikista kustannuksista, jotka johtuvat rekisterinpitäjän pyytämistä auditoinneista. Käsittelijällä on oikeus veloittaa rekisterinpitäjää rekisterinpitäjän avustamisesta tämän kohdan mukaisessa auditoinnissa.

9. Voimassaoloaika ja sopimuksen päättyminen

Tämä henkilötietojen käsittelysopimus on voimassa niin kauan kuin käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta yleisten sopimusehtojen mukaisesti.

Tämä henkilötietojen käsittelysopimus päättyy automaattisesti, kun käsittelijän ja rekisterinpitäjän väliset muut sopimukset päättyvät. Tämän henkilötietojen käsittelysopimuksen päättyessä käsittelijä poistaa tai palauttaa henkilötiedot, joita se on käsitellyt rekisterinpitäjän puolesta rekisterinpitäjän ohjeiden mukaisesti. Käsittelijä poistaa henkilötiedot niin pian kuin kohtuullisesti mahdollista.

Käsittelijä voi kuitenkin säilyttää henkilötiedot tämän henkilötietojen käsittelysopimuksen päättymisen jälkeen siinä määrin kuin lainsäädäntö edellyttää.

Jos muuta ei ole kirjallisesti sovittu, palauttamisesta aiheutuvat kustannukset lasketaan; i) käsittelijän tuntihinnan ja tähän työhön kuluneen tuntimäärän mukaisesti ja ii) vaadittujen toimien vaativuuden perusteella.

10. Muutokset ja lisäykset

Henkilötietojen käsittelysopimuksen muutoksissa noudatetaan yleisten sopimusehtojen kohdassa 18. ”Yleisten sopimusehtojen voimassaolo ja muuttaminen määriteltyä” menettelytapaa.

Jos jokin tämän henkilötietojen käsittelysopimuksen ehto osoittautuu pätemättömäksi, se ei vaikuta henkilötietojen käsittelysopimuksen muiden ehtojen voimassaoloon. Osapuolet korvaavat pätemättömän ehdon laillisella ehdolla, jonka tarkoitus vastaa pätemätöntä ehtoa.

11. Vastuu

Kumpikin osapuoli vastaa itse tietosuojaviranomaisten ja tuomioistuimen sille määräämistä rekisteröidyille suoraan maksettavista tietosuojalainsäädännön mukaisista vahingonkorvauksista ja hallinnollisista sanktioista. Osapuolten välisiin vastuukysymyksiin sovelletaan osapuolten välisten yleisten sopimusehtojen vastuulausekkeita.

12. Sovellettava lainsäädäntö ja oikeuspaikka

Tähän henkilötietojen käsittelysopimukseen sovelletaan osapuolten yleisissä sopimusehdoissa määriteltyä lainsäädäntöä ja oikeuspaikkaa.

Alaliitteet

Alaliite A: Ohjeet

Käsittelijän toimesta tapahtuvassa tietojenkäsittelyssä noudatetaan seuraavia ohjeita. Mikäli käsittelijä käsittelee henkilötietoja näiden ohjeiden vastaisesti, käsittelijä katsotaan rekisterinpitäjäksi.

Alaliite B: Nykyisten alikäsittelijöiden tiedot

Käsittelijän nykyiset alikäsittelijät, jotka pääsevät rekisterinpitäjän henkilötietoihin tämän sopimuksen hyväksymisen jälkeen, ovat:

Käsittelijä voi lisätä muita EU:n ja/tai ETA-alueella sijaitsevia alikäsittelijöitä yllä olevaan listaan ilman rekisterinpitäjän etukäteistä hyväksyntää tai etukäteistä ilmoitusta rekisterinpitäjälle.