Asiakkaan henkilötietojen käsittely

TYÖANTAJAN SOPIMUS ASIAKKAAN HENKILÖTIETOJEN KÄSITTELYSTÄ

Versio 20.4.2018

 

1. Sopijapuolet

Eazybreak Oy, Y-tunnus 2304493-8,Kutomotie 16, 00380, Helsinki (”Toimittaja”)

ja

Eazybreak palveluun rekisteröitynyt asiakas, joka on hyväksynyt nämä ehdot (”Asiakas”)

 2. Sopimusmuutoksen tarkoitus

Tällä sopimuksella sovitaan ehdoista, joilla Toimittaja käsittelee Asiakkaan työntekijöiden henkilötietoja sopijapuolten väliseen sopimukseen sähköisen palveluun työsuhde-edun tarjoamiseksi Asiakkaan työntekijöille (”Palvelusopimus”) liittyen. Tämä sopimus muodostaa kiinteän osan Palvelusopimusta ja sen sopimuksen soveltuvat osat (kuten lainvalinta- ja riidanratkaisukohdat) ovat tämänkin sopimuksen osia. Mikäli tämän sopimuksen määräykset ovat ristiriidassa Palvelusopimuksen määräysten kanssa, sovelletaan ensisijaisesti tämän sopimuksen määräyksiä.

3. Käsittelyn kohde

Asiakkaan työntekijöiden henkilötietoja käsitellään ainoastaan Palvelusopimuksen toteuttamiseksi.

4. Käsittelyn kesto

Käsittelyä tehdään Palvelusopimuksen keston ajan ja siinä mahdollisesti sovitun tallennus- tai palvelun kolmannelle taholle siirtämisvelvoitteiden täyttämisen ajan, ellei Asiakas vaadi käsittelyn aikaisempaa lopettamista. Asiakkaan pääkäyttäjillä on mahdollisuus poistaa käyttäjiä ja heidän tietojaan palvelusta sekä korjata virheellisiä tietoja. Työntekijöillä on itsellään myös mahdollisuus muokata tietojaan palvelussa.

5. Käsittelyn luonne ja tarkoitus

Tietoja käsitellään Palvelusopimuksen toteuttamiseksi ja siinä selostetun palvelun toteuttamiseksi.

6. Henkilötietojen tyyppi

Asiakkaan työntekijöihin liittyvät seuraavat tiedot

  • Ei sensitiivinen henkilötieto – etunimi, sukunimi, työntekijätunniste, sähköpostiosoite, puhelinnumero, työnantaja, työnantajan toimipaikka, kustannuspaikka, maksuryhmä,lähimaksuun käytettävän Eazybreak lähimaksutunnisteen koodi, työntekijän henkilökohtaisen Eazybreak-tilin avaus ja lopetuspäivämäärät sekä pitkän poissaolon aloitus ja lopetuspäivämäärät.
  • Tieto verottoman työsuhde-edun käyttöhistoriasta
  • Lokitiedot

7. Rekisteröityjen ryhmät

Asiakkaan työntekijät

8. Henkilötietojen käsittely

8.1. Sopijapuolet toteavat, että Toimittajan Asiakkaan puolesta suorittaman henkilötietojen käsittelyn osalta Asiakas on henkilötietolain (523/1999) ja Euroopan Unionin tietosuoja-asetuksen (2016/679) (”Tietosuoja-asetus”) mukainen rekisterinpitäjä ja Toimittaja on henkilötietojen käsittelijä, joka käsittelee henkilötietoja Asiakkaan lukuun tämän sopimuksen mukaisesti. Toimittaja informoi työntekijöitä henkilötietojen käsittelystä Palvelussa nähtävissä olevalla tietosuojaselosteessaan.

8.2. Osapuolet sitoutuvat noudattamaan henkilötietolakia, Tietosuoja-asetusta ja kaikkia voimassa olevia soveltuvia kansallisia ja kansainvälisiä tietosuojaan liittyviä säännöksiä sekä toimivaltaisten tietosuojaviranomaisten ohjeita ja päätöksiä (yhdessä jäljempänä “Tietosuojasääntely”).

8.3. Asiakas vastaa Toimittajalle antamiensa tietojen käytön sekä luovutuksen luvallisuudesta ja siitä, että Toimittaja on oikeutettu käsittelemään sen työntekijöiden henkilötietoja tämän sopimuksen mukaisesti.

8.4. Toimittajan on noudatettava kaikkia Asiakkaan käytäntöihin ja ohjeistuksiin perustuvia velvoitteita. Asiakas tiedottaa Toimittajaa näistä velvoitteista ja niiden mahdollisista muutoksista hyvissä ajoin.

8.5. Toimittajan on noudatettava Asiakkaan erikseen antamia ohjeita ja vaatimuksia tietoturvakäytännöistä.

8.6. Toimittaja ei saa luovuttaa Asiakkaan puolesta käsiteltäviä henkilötietoja kolmansille osapuolille tai käsitellä niitä muihin kuin Sopimuksen mukaisiin tarkoituksiin ilman Asiakkaan etukäteistä kirjallista suostumusta. Toimittajalla on oikeus käyttää alihankkijoita Palvelusopimuksessa kuvatussa henkilötietojen käsittelyssä vain Asiakkaan etukäteisellä kirjallisella suostumuksella. Toimittaja vastaa siitä, että alihankkijat noudattavat henkilötietojen käsittelyssä tämän sopimuksen määräyksiä. Toimittaja käyttää seuraavia alihankkijoita henkilötietojen käsittelyssä:

Vakka-Suomen Puhelin Oy, FI02130722
Planeetta Internet Oy, FI17534949
Netsize IPX Ab,SE556664706001
Lisäksi Palveluun rekisteröityneet kauppiaat käsittelevät henkilötietoja Palvelun toteuttamiseksi

8.7. Toimittajalla on velvollisuus:

(i) käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa rajoiteta ilman laissa säädettyä perustetta;

(ii) käsitellä henkilötietoja ainoastaan Asiakkaan kirjallisten ohjeiden mukaisesti eikä esimerkiksi Toimittajan omia tarkoituksia kuten markkinointitarkoituksia varten. Kirjallisiksi ohjeiksi luetaan myös Palvelusopimuksessa määritellyt Toimittajan toimittamia palveluita ja/tai tuotteita koskevat ehdot ja kuvaukset;

(iii) antaa viivytyksettä Asiakkaalle pyynnöstä sellaiset tiedot ja avun, joita tarvitaan rekisteröityjen Tietosuojasääntelyn mukaisten oikeuksien toteuttamiseksi sekä rekisteröityjen ja valvontaviranomaisten Tietosuojasääntelyn mukaisiin pyyntöihin vastaamiseksi;

(iv) ilmoittaa Asiakkaalle etukäteen maat, joissa se käsittelee henkilötietoja. Tämän sopimuksen solmimishetkellä henkilötietoja käsitellään Suomessa ja Ruotsissa.

(v) olla siirtämättä henkilötietoja kolmansille osapuolille EU:n ja ETA-alueen ulkopuolelle tai kansainvälisille organisaatioille ilman Asiakkaan etukäteistä kirjallista suostumusta

(vi) kaupallisesti kohtuullisin ehdoin ja siinä määrin kuin mahdollista sisällyttää tämän Sopimuksen ehtoja vastaavat henkilötietojen käsittelyä koskevat ehdot kaikkiin sopimuksiin sellaisten alihankkijoiden kanssa, jotka käsittelevät henkilötietoja suoraan tai epäsuorasti Asiakkaan lukuun;

(vii) välittömästi ilmoittaa Asiakkaalle kaikista rekisteröityjen, tietosuojaviranomaisten tai muiden viranomaisten esittämistä tiedusteluista ja kysymyksistä;

(viii) ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit Toimittajan on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten a) henkilötietojen pseudonymisointi ja salaus; b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; c)kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

(ix) ilmoittaa Asiakkaalle, jos Toimittaja katsoo, että Asiakkaan ohjeistukset tai käytännöt rikkovat Tietosuojasääntelyä;

(x) avustaa Asiakasta Tietosuojasääntelyn mukaisten velvoitteiden kuten riskiarviointeihin sekä viranomaisten informointiin, että tietoturvaan liittyvien velvoitteiden täyttämisessä;

(xi) huolehtia siitä, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan vähintään tämän sopimuksen mukaista salassapitovelvollisuutta;

(xii) toteuttaa toimenpiteet sen varmistamiseksi, että jokainen Toimittajan alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Asiakkaan ohjeiden mukaisesti, ellei lainsäädännössä toisin vaadita; ja

(xiii) Asiakkaan valinnan mukaan poistamaan tai palauttamaan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot Asiakkaalle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot.

8.8. Asiakkaalla on oikeus joko itse tai kolmannen osapuolen avulla auditoida Toimittajan tämän sopimuksen mukaiseen henkilötietojen käsittelyyn liittyviä toimintatapoja varmistuakseen siitä, että Toimittaja on täyttänyt tämän sopimuksen ja Tietosuojasääntelyn mukaiset velvollisuutensa. Käytettävä kolmas osapuoli ei saa olla Toimittajan kilpailija.

8.9. Asiakas on velvollinen ilmoittamaan auditoinnin suorittamisesta vähintään kolmekymmentä (30) päivää etukäteen, ellei pakottavasta viranomaispäätöksestä muuta johdu.

8.10. Toimittajan on mahdollistettava auditoinnin toteuttavalle taholle tarpeellinen pääsy Toimittajan tai sen alihankkijan tiloihin ja järjestelmiin etukäteen yhdessä sovittuna aikana Toimittajan tai sen alihankkijan normaalin toimistoajan puitteissa. Toimittajan on vaadittaessa annettava auditoinnin toteuttavalle taholle kohtuudella vaadittavissa olevat tarpeelliset tiedot, dokumentit ja muu materiaali sekä muilla tavoin kohtuullisesti avustettava auditoinnin toteuttamisessa. Toimittaja ja Asiakas sopivat yhdessä noudatettavista toimintatavoista, joilla toteutetaan auditoinnin perusteella ehdotetut muutokset. Auditoinnin toteuttajien on sitouduttava olemaan käyttämättä saamiaan tietoja muuhun kuin tämän sopimuksen mukaisen auditoinnin tekemiseen sekä pitämään kaiken saamansa tiedon salassa. Asiakas vastaa auditoinnin toteuttajien sitoumusten täyttämisestä.

8.11. Mikään tässä kohdassa ei rajoita Asiakasta valvovien viranomaistahojen suorittamia auditointeja. Tällaiset auditoinnit suoritetaan viranomaisten ohjeiden ja käytäntöjen mukaisesti.

8.12. Asiakas vastaa auditoinnin kustannuksista ja korvaa Toimittajalle mahdollisesti aiheutuvat kustannukset. Mikäli auditoinnissa havaitaan olennaisia puutteita Toimittajan tämän Sopimuksen mukaisten velvoitteiden suorittamisessa, Toimittaja vastaa auditoinnin kaikista kustannuksista ja korvaa ne Asiakkaalle.

8.13. Toimittajan on ilmoitettava Asiakkaalle kirjallisesti kaikista Asiakkaan työntekijöitä koskevista tietoturvaloukkauksista ja Tietosuojasääntelyn rikkomuksista, joista Toimittaja on saanut tiedon (“Tietoturvaloukkaus”) kirjallisesti ilman aiheetonta viivytystä, kuitenkin viimeistään 24 tunnin sisällä sen jälkeen, kun Toimittaja on tullut tietoiseksi Tietoturvaloukkauksesta.

Toimittajan ilmoitukseen on sisällyttävä ainakin seuraavat seikat, sikäli kun Toimittaja on niistä tietoinen:

(i) Tietoturvaloukkauksen luonne ja kuvaus Tietoturvaloukkauksen aiheuttaneesta tietoturvapoikkeamasta;

(ii) Mitä tietoja Tietoturvaloukkaus on koskenut

(iii)Kun Tietoturvaloukkaus on kohdistunut informaatioon joka sisältää henkilötietoja, Toimittajan on yksilöitävä ne rekisteröidyt, joiden henkilötietoihin loukkaus on kohdistunut sekä Tietoturvaloukkauksen kohteeksi joutuneiden rekisteröityjen yhteenlaskettu lukumäärä;

(iv) Tietoturvaloukkauksen tekijä sekä tahot jotka saivat pääsyn Tietoturvaloukkauksen kohteena olleisiin tietoihin;

(v) Tietoturvaloukkauksen seuraukset sekä mahdolliset rekisteröidyille aiheutuneet seuraukset ja haittavaikutukset;

(vi) Tekniset ja organisatoriset toimenpiteet, jotka Toimittaja toteuttaa mahdollisten haittavaikutusten lieventämiseksi ja Tietoturvaloukkauksien estämiseksi tulevaisuudessa; ja

(vii)Toimittajan on lisäksi annettava Asiakkaalle tämän mahdollisesti pyytämät lisätiedot Tietoturvaloukkauksesta.

8.14. Todistaakseen toimintansa olevan Tietosuojasääntelyn mukaista Toimittajan on dokumentoitava kaikki Tietoturvaloukkaukset ja niitä koskevat yksityiskohdat, Tietoturvaloukkausten seuraukset ja vaikutukset sekä toimenpiteet, joihin Toimittaja on ryhtynyt havaittuaan Tietoturvaloukkauksen.

8.15. Toimittaja ei luovuta tietoja Tietoturvaloukkauksista kolmansille osapuolille tai julkisuuteen ilman Asiakkaan etukäteistä kirjallista suostumusta, ellei lainsäädäntö muuta määrää. Toimittaja sitoutuu avustamaan Asiakasta Tietoturvaloukkausten ilmoittamisessa viranomaiselle ja rekisteröidyille Asiakkaan ohjeistamalla tavalla. Mikäli tämän sopimuksen mukaiset Asiakkaan käytännöt, ohjeistukset tai muut vaatimukset asettavat Toimittajalle lisävelvoitteita, jotka eivät johdu suoraan Tietosuojasääntelystä, Toimittajalla on oikeus saada Asiakkaalta korvaus aiheutuvista lisäkustannuksistaan.

8.16. Sopijapuolet korvaavat toisilleen sopimusrikkomuksella tai tietosuojasääntelyn vastaisella menettelyllään aiheuttamansa välittömät vahingot. Sopijapuolella ei ole velvollisuutta korvata epäsuoria tai välillisiä vahinkoja. Vahingot, jotka Asiakas joutuu korvaamaan rekisteröidylle, sekä viranomaisen Asiakkaan maksettavaksi Toimittajan menettelyn seurauksena määräämät sanktiot ovat välittömiä korvattavia vahinkoja, joihin ei sovelleta Palvelusopimuksen vastuunrajoitusehtoja.