Digiturvamallin käyttöehdot - Liite henkilötietojen käsittelystä

Palvelumme nimi on päivittynyt hiljattain Tietosuojamallista Digiturvamalliksi, mutta tämä ei tuonut mitään muita muutoksia tähän liitteeseen.
Mikäli haluat tilata tästä liitteestä allekirjoitettavan version itsellenne, ole meihin yhteydessä osoitteessa tiimi@tietosuojamalli.fi.

LIITE HENKILÖTIETOJEN KÄSITTELYSTÄ

Tässä henkilötietojen käsittelyä koskevassa liitteessä (”Tietosuojaliite”) määritellään sitovasti ehdot, joiden mukaisesti Agendium Oy (”Toimittaja”) käsittelee henkilötietoja asiakkaan (”Asiakas”) lukuun. Tämä liite on erottamaton osa  Toimittajan ja Asiakkaan välistä Digiturvamalli-palvelun (”Palvelu”) toimittamista koskevaa sopimusta (”Sopimus”). Mikäli Sopimus on ristiriidassa Tietosuojaliitteen kanssa, sovelletaan henkilötietojen käsittelyyn ensisijaisesti tässä liitteessä sovittua. Liitteessä käytetyt termit vastaavat EU:n yleisessä tietosuoja-asetuksessa määriteltyjä käsitteitä. Liitteeseen tehdyt muutokset ovat päteviä vain, jos ne on tehty kirjallisesti ja jos molemmat sopijapuolet ovat vahvistaneet ne allekirjoituksillaan tai sähköpostitse lähetetyllä muutosta koskevalla vahvistuksella.

Osapuolten roolit  Asiakas on Palvelussa käsiteltävien henkilötietojensa rekisterinpitäjä ja Toimittaja käsittelijä. ”Asiakkaan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Asiakas vastaa rekisterinpitäjänä.

Toimittajan henkilötietojen käsittelyn luonne ja tarkoitus  Toimittajan henkilötietojen käsittelyn tarkoituksena on 1) varmistaa Asiakkaan palveluun tallentamien tietojen saatavuus ja eheys (mm. varmuuskopiointi ja lokitus); 2) Asiakkaan palveluun kutsumien käyttäjien turvallinen tunnistaminen; sekä 3) pyynnöstä Asiakkaan auttaminen erilaisissa ongelmatilanteissa.

Toimittajan käsittelemien henkilötietojen tyyppi ja rekisteröityjen ryhmät  Toimittaja käsittelee 1) Asiakkaan pääkäyttäjien; sekä 2) pääkäyttäjän kutsumien muiden käyttäjien henkilötietoja. Henkilötiedot ovat tyypiltään 1) yhteystietoja (nimi, sähköpostiosoite, puhelinnumero); 2) teknisiä tunnisteita ja lokeja (IP-osoitteet, kirjautumisloki, muutosloki); sekä 3) henkilöiden itse tallentamaa sisältöä (viestit, tallennetut kuvaukset, jne.).

HENKILÖTIETOJEN KÄSITTELYN PERIAATTEET , VASTUUT JA OHJEISTUS

Asiakkaan oikeus käsittelyn ohjeistamiseen  Asiakkaalla on oikeus antaa Toimittajalle sitovia kirjallisia ohjeita henkilötietojen käsittelystä. Toimittaja käsittelee henkilötietoja tietosuojalainsäädännön ja Asiakkaan Toimittajalle toimittamien kirjallisten ohjeiden mukaisesti.

Asiakkaan vastuu käsittelyn lainmukaisuudesta  Asiakas vastaa henkilötietojen käsittelyn lainmukaisuudesta, kuten oikeusperusteiden olemassaolosta ja käsittelyperiaatteiden noudattamisesta. Lisäksi Asiakas vastaa läpinäkyvästä informoinnistaja siitä, että rekisteröidyille toimitetaan lainmukaiset ilmoitukset henkilötietojen käsittelyyn liittyen. Toimittaja ei seuraa toimitettujen henkilötietojen sisältöä, laatua tai ajantasaisuutta.

Toimittajan velvollisuus huomauttaa lainvastaisista ohjeista  Toimittaja ilmoittaa Asiakkaalle välittömästi, jos toimittaja katsoo, että asiakkaan ohjeistus rikkoo tietosuojalainsäädäntöä.

Tietojen siirto EU:n tai ETA:n ulkopuolelle  Toimittajalla on oikeus siirtää henkilötietoja vapaasti Euroopan unionin tai Euroopan talousalueen sisällä. Toimittaja voi siirtää tietoja myös Euroopan unionin tai Euroopan talousalueen ulkopuolelle edellyttäen, että tietosuojalainsäädännön määrittelemiä toimintatapoja noudatetaan. Asiakkaalla on oikeus saada milloin tahansa tiedot tietojen käsittelyn sijainnista.

Käyttökielto muuhun käyttöön  Toimittaja ei käsittele eikä muulla tavoin hyödynnä tämän liitteen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

HENKILÖTIETOJEN POISTAMINEN TAI PALAUTTAMINEN REKISTERINPITÄJÄLLE KÄSITTELYN PÄÄTTYESSÄ

Poistaminen käsittelyn aikana  Sopimuksen voimassaoloaikana Toimittaja ei saa poistaa Asiakkaan lukuun käsittelemiään henkilötietoja ilman Asiakkaan nimenomaista pyyntöä.

Poistaminen sopimuksen päätyttyä  Sopimuksen päätyttyä Toimittaja poistaa kaikki sopimuksenmukaiset henkilötiedot tai pyynnöstä palauttaa ne Asiakkaalle sekä poistaa kaikki kopiot niistä.

TOISTEN HENKILÖTIETOJEN KÄSITTELIJÖIDEN KÄYTTÖ

Oikeus käyttää alihankkijoita  Toimittajalla on oikeus käyttää alihankkijoita Asiakkaan henkilötietojen käsittelyssä.

Ilmoitus alihankkijoiden lisäämisestä tai vaihtamisesta  Ennen henkilötietojen käsittelyyn osallistuvan alihankkijan lisäämistä, Toimittaja ilmoittaa asiasta kirjallisesti Asiakkaalle ilman aiheetonta viivästystä. Jos Asiakas ei hyväksy alihankkijan lisäämistä, toimittajalla on oikeus irtisanoa sopimus 30 päivän irtisanomisajalla.

Vastuu alihankkijan toiminnasta  Toimittaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa  kirjalliset sopimukset henkilötietojen käsittelystä.

HENKILÖTIETOJEN SUOJAAMINEN

Toimittajan toteuttamat turvallisuuskäytännöt  Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan henkilötietojen käsittelyn tapahtuvan sopimuksen vaatimusten mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus. Toimittaja ylläpitää tietoturvalausumaa, jonka Asiakas voi pyytää saatavaksi milloin tahansa osoitteen https://agendium.com/GDPR  kautta tai ottamalla yhteyttä suoraan toimittajaan. Tietoturvakäytäntöjä ylläpidetään ja kehitetään jatkuvasti.

Salassapitovelvollisuuden järjestäminen  Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Asiakkaan henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee lakisääteinen salassapitovelvollisuus.

REKISTERÖIDYN OIKEUKSIEN TOTEUTTAMISESSA AVUSTAMINEN

Avustaminen pyynnön käsittelyssä  Toimittaja avustaa Asiakasta, jotta Asiakas pystyy täyttämään velvollisuutensa vastata rekisteröidyn oikeuksiin liittyviin tietopyyntöihin. Pyynnöt voivat edellyttää Toimittajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen.

Ilmoitusvelvollisuus vastaanotettaessa pyyntö  Toimittaja ilmoittaa Asiakkaalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Toimittaja ei itse vastaa näihin pyyntöihin.

Veloitus avustamisesta  Ellei toisin ole sovittu, Toimittajalla on oikeus laskuttaa Asiakasta hinnastonsa  mukaisesti, jos avustaminen aiheuttaa lisäkuluja Toimittajalle. Toimittaja on velvollinen ennakolta ilmoittamaan Asiakkaalle mahdollisesti aiheutuvista lisäkuluista.

TIETOTURVALOUKKAUKSIA KOSKEVISSA ILMOITUKSISSA JA INFORMOINNISSA AVUSTAMINEN

Tietoturvaloukkauksesta ilmoittaminen  Toimittajan on ilmoitettava Asiakkaalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Toimittaja sitoutuu ilmoittamaan Asiakkaalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.

Tietoturvaloukkausta koskevan ilmoituksen sisältö  Toimittajan on annettava Asiakkaalle vähintään seuraavat tiedot tietoturvaloukkauksesta; 1) tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa; 2) tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja; 3) kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; sekä 4) kuvaus toimenpiteistä, joita Toimittaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Toiminta tietoturvaloukkaus havaittaessa  Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

AVOIN TIEDONJAKO JA AUDITOINTIOIKEUS

Oikeus auditointiin  Asiakkaalla tai tämän valtuuttamallaan auditoijalla on oikeus tarkastaa Toimittajan tai tämän käyttämien alihankkijoiden henkilötietojen käsittelyn velvollisuuksien noudattaminen. Toimittajan on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.

Toimittajan osallistuminen  Toimittaja saattaa Asiakkaan saataville tämän pyynnöstä kaikki tiedot, jotka Asiakas tarvitsee rekisterinpitäjälle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Asiakkaan vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen.

Auditoinnin kustannukset  Osapuolet vastaavat omalta osaltaan auditoinnista aiheutuvista kustannuksista.

VAHINGONKORVAUKSET, RIITOJENRATKAISU JA VOIMASSAOLO

Vahingonkorvaukset ja hallinnolliset sakot rekisteröidylle aiheutuneesta vahingosta  Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollista sakoista sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta.

Vahingonkorvaukset sopijapuolten välillä  Sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on enintään Palvelun käytöstä maksettu arvonlisäveroton vuosihinta. Sopijapuoli ei vastaa välillisestä vahingosta. Välillisenä vahinkona pidetään esimerkiksi saamatta jäänyttä voittoa tai vahinkoa, joka johtuu tuotannon tai liikevaihdon vähentymisestä tai keskeytymisestä. Vastuunrajoitukset eivät koske vahinkoa, joka on aiheutettu toimituksen kohteen lain tai liitteen vastaisella luovutuksella, kopioinnilla tai käytöllä, immateriaalioikeuksien loukkaamiselle, salassapitoa rikkomalla, tahallisesti tai törkeällä huolimattomuudella.

Voimaantulo, soveltamisjärjestys ja voimassaolo  Tämä liite tulee voimaan, kun molemmat osapuolet ovat allekirjoittaneet sen. Liitteen voimassaolo päättyy automaattisesti Sopimuksen päättyessä.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.

Tietosuojamalli 2.0 on julkaistu!
Lue lisää blogista >>