SOPIMUS PALVELUNTARJOAJAN OMIEN HENKILÖTIETOJEN KÄSITTELYSTÄ
Versio 1.1.2022
1. Sopijapuolet
Epassi Finland Oy, Y-tunnus 3220764-7, Linnoitustie 11, 02600, Espoo (”Toimittaja”)
ja
Eazybreak-palveluun rekisteröitynyt palveluntarjoaja, joka on hyväksynyt nämä ehdot (”Kauppias”)
2. Sopimusmuutoksen tarkoitus
Kauppias on solminut sopimuksen Toimittajan kanssa palveluiden ja/tai tuotteiden tarjoamiseksi Toimittajan asiakkailleen tarjoamassa Eazybreak- palvelussa (”Palvelusopimus”). Palvelun toteuttamiseksi Kauppiaan työntekijöitä rekisteröidään Eazybreak-palveluun. Tällä sopimuksella sovitaan ehdoista, joilla Toimittaja käsittelee Kauppiaan työntekijöiden henkilötietoja Palvelusopimukseen liittyen. Tämä sopimus muodostaa kiinteän osan Palvelusopimusta ja sen sopimuksen soveltuvat osat (kuten lainvalinta- ja riidanratkaisukohdat) ovat tämänkin sopimuksen osia. Mikäli tämän sopimuksen määräykset ovat ristiriidassa Palvelusopimuksen määräysten kanssa, sovelletaan ensisijaisesti tämän sopimuksen määräyksiä.
3. Käsittelyn kohde
Kauppiaan työntekijöiden henkilötietoja käsitellään ainoastaan Palvelusopimuksen toteuttamiseksi.
4. Käsittelyn kesto
Käsittelyä tehdään Palvelusopimuksen keston ajan ja siinä mahdollisesti sovitun tallennus- tai palvelun kolmannelle taholle siirtämisvelvoitteiden täyttämisen ajan, ellei Kauppias vaadi käsittelyn aikaisempaa lopettamista. Kauppiaan pääkäyttäjillä on mahdollisuus poistaa käyttäjiä ja heidän tietojaan palvelusta sekä korjata virheellisiä tietoja. Työntekijöillä on itsellään myös mahdollisuus muokata tietojaan palvelussa.
5. Käsittelyn luonne ja tarkoitus
Tietoja käsitellään Palvelusopimuksen toteuttamiseksi ja siinä selostetun palvelun toteuttamiseksi.
6. Henkilötietojen tyyppi
Kauppiaan työntekijöihin liittyvät seuraavat tiedot
- Ei sensitiivinen henkilötieto – nimi, sähköposti, puhelinnumero, asema yrityksessä
- Lokitiedot palvelun käytöstä
7. Rekisteröityjen ryhmät
Kauppiaan työntekijät
8.Henkilötietojen käsittely
8.1. Sopijapuolet toteavat, että Toimittajan Kauppiaan puolesta suorittaman henkilötietojen käsittelyn osalta Kauppias on henkilötietolain (523/1999) ja Euroopan Unionin tietosuoja-asetuksen (2016/679) (”Tietosuoja-asetus”) mukainen rekisterinpitäjä ja Toimittaja on henkilötietojen käsittelijä, joka käsittelee henkilötietoja Kauppiaan lukuun tämän sopimuksen mukaisesti. Toimittaja informoi työntekijöitä henkilötietojen käsittelystä Palvelussa nähtävissä olevalla tietosuojaselosteessaan.
8.2. Osapuolet sitoutuvat noudattamaan henkilötietolakia, Tietosuoja-asetusta ja kaikkia voimassa olevia soveltuvia kansallisia ja kansainvälisiä tietosuojaan liittyviä säännöksiä sekä toimivaltaisten tietosuojaviranomaisten ohjeita ja päätöksiä (yhdessä jäljempänä “Tietosuojasääntely”).
8.3. Kauppias vastaa Toimittajalle antamiensa tietojen käytön sekä luovutuksen luvallisuudesta ja siitä, että Toimittaja on oikeutettu käsittelemään sen työntekijöiden henkilötietoja tämän sopimuksen mukaisesti.
8.4. Toimittajan on noudatettava kaikkia Kauppiaan käytäntöihin ja ohjeistuksiin perustuvia velvoitteita. Kauppias tiedottaa Toimittajaa näistä velvoitteista ja niiden mahdollisista muutoksista hyvissä ajoin.
8.5. Toimittajan on noudatettava Kauppiaan erikseen antamia ohjeita ja vaatimuksia tietoturvakäytännöistä.
8.6. Toimittaja ei saa luovuttaa Kauppiaan puolesta käsiteltäviä henkilötietoja kolmansille osapuolille tai käsitellä niitä muihin kuin Sopimuksen mukaisiin tarkoituksiin ilman Kauppiaan etukäteistä kirjallista suostumusta. Toimittajalla on oikeus käyttää alihankkijoita Palvelusopimuksessa kuvatussa henkilötietojen käsittelyssä vain Kauppiaan etukäteisellä kirjallisella suostumuksella. Toimittaja vastaa siitä, että alihankkijat noudattavat henkilötietojen käsittelyssä tämän sopimuksen määräyksiä. Toimittaja käyttää seuraavia alihankkijoita henkilötietojen käsittelyssä:
Vakka-Suomen Puhelin Oy, FI02130722
Planeetta Internet Oy, FI17534949
Netsize IPX Ab,SE556664706001 (LINK Mobility Ab, SE556532640101 alkaen viimeistään 10.9.2021)
8.7. Toimittajalla on velvollisuus:
(i) käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän rajoiteta ilman laissa säädettyä perustetta;
(ii) käsitellä henkilötietoja ainoastaan Kauppiaan kirjallisten ohjeiden mukaisesti eikä esimerkiksi Toimittajan omia tarkoituksia kuten markkinointitarkoituksia varten. Kirjallisiksi ohjeiksi luetaan myös Palvelusopimuksessa määritellyt Toimittajan toimittamia palveluita ja/tai tuotteita koskevat ehdot ja kuvaukset;
(iii) antaa viivytyksettä Kauppiaan pyynnöstä sellaiset tiedot ja avun, joita tarvitaan rekisteröityjen Tietosuojasääntelyn mukaisten oikeuksien toteuttamiseksi sekä rekisteröityjen ja valvontaviranomaisten Tietosuojasääntelyn mukaisiin pyyntöihin vastaamiseksi;
(iii) ilmoittaa Kauppiaan etukäteen maat, joissa se käsittelee henkilötietoja. Tämän sopimuksen solmimishetkellä henkilötietoja käsitellään Suomessa ja Ruotsissa.
(iv) olla siirtämättä henkilötietoja kolmansille osapuolille EU:n ja ETA-alueen ulkopuolelle tai kansainvälisille organisaatioille ilman Kauppiaan etukäteistä kirjallista suostumusta;
(v) kaupallisesti kohtuullisin ehdoin ja siinä määrin kuin mahdollista sisällyttää tämän Sopimuksen ehtoja vastaavat henkilötietojen käsittelyä koskevat ehdot kaikkiin sopimuksiin sellaisten alihankkijoiden kanssa, jotka käsittelevät henkilötietoja suoraan tai epäsuorasti Kauppiaan lukuun;
(vi) välittömästi ilmoittaa Kauppiaan kaikista rekisteröityjen, tietosuojaviranomaisten tai muiden viranomaisten esittämistä tiedusteluista ja kysymyksistä;
(vii) ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit Toimittajan on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten a) henkilötietojen pseudonymisointi ja salaus; b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.
(viii) ilmoittaa Kauppiaan, jos Toimittaja katsoo, että Kauppiaan ohjeistukset tai käytännöt rikkovat Tietosuojasääntelyä;
(ix) avustaa Kauppiaan Tietosuojasääntelyn mukaisten velvoitteiden kuten riskiarviointeihin sekä viranomaisten informointiin, että tietoturvaan liittyvien velvoitteiden täyttämisessä;
(x) huolehtia siitä, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan vähintään tämän sopimuksen mukaista salassapitovelvollisuutta;
(xi) toteuttaa toimenpiteet sen varmistamiseksi, että jokainen Toimittajan alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Kauppiaan ohjeiden mukaisesti, ellei lainsäädännössä toisin vaadita; ja
(xii) Kauppiaan valinnan mukaan poistamaan tai palauttamaan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot Kauppiaan ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot.
8.8. Asiakkaalla on oikeus joko itse tai kolmannen osapuolen avulla auditoida Toimittajan tämän sopimuksen mukaiseen henkilötietojen käsittelyyn liittyviä toimintatapoja varmistuakseen siitä, että Toimittaja on täyttänyt tämän sopimuksen ja Tietosuojasääntelyn mukaiset velvollisuutensa. Käytettävä kolmas osapuoli ei saa olla Toimittajan kilpailija.
8.9. Kauppias on velvollinen ilmoittamaan auditoinnin suorittamisesta vähintään kolmenkymmentä (30) päivää etukäteen, ellei pakottavasta viranomaispäätöksestä muuta johdu.
8.10. Toimittajan on mahdollistettava auditoinnin toteuttavalle taholle tarpeellinen pääsy Toimittajan tai sen alihankkijan tiloihin ja järjestelmiin etukäteen yhdessä sovittuna aikana Toimittajan tai sen alihankkijan normaalin toimistoajan puitteissa. Toimittajan on vaadittaessa annettava auditoinnin toteuttavalle taholle kohtuudella vaadittavissa olevat tarpeelliset tiedot, dokumentit ja muu materiaali sekä muilla tavoin kohtuullisesti avustettava auditoinnin toteuttamisessa. Toimittaja ja Kauppias sopivat yhdessä noudatettavista toimintatavoista, joilla toteutetaan auditoinnin perusteella ehdotetut muutokset. Auditoinnin toteuttajien on sitouduttava olemaan käyttämättä saamiaan tietoja muuhun kuin tämän sopimuksen mukaisen auditoinnin tekemiseen sekä pitämään kaiken saamansa tiedon salassa. Kauppias vastaa auditoinnin toteuttajien sitoumusten täyttämisestä.
8.11. Mikään tässä kohdassa ei rajoita Kauppiaan valvovien viranomaistahojen suorittamia auditointeja. Tällaiset auditoinnit suoritetaan viranomaisten ohjeiden ja käytäntöjen mukaisesti.
8.12. Kauppias vastaa auditoinnin kustannuksista ja korvaa Toimittajalle mahdollisesti aiheutuvat kustannukset. Mikäli auditoinnissa havaitaan olennaisia puutteita Toimittajan tämän Sopimuksen mukaisten velvoitteiden suorittamisessa, Toimittaja vastaa auditoinnin kaikista kustannuksista ja korvaa ne Kauppiaan.
8.13. Toimittajan on ilmoitettava Kauppiaan kirjallisesti kaikista Kauppiaan työntekijöitä koskevista tietoturvaloukkauksista ja Tietosuojasääntelyn rikkomuksista, joista Toimittaja on saanut tiedon (“Tietoturvaloukkaus”) kirjallisesti ilman aiheetonta viivytystä, kuitenkin viimeistään 24 tunnin sisällä sen jälkeen, kun Toimittaja on tullut tietoiseksi Tietoturvaloukkauksesta.
Toimittajan ilmoitukseen on sisällyttävä ainakin seuraavat seikat, sikäli kun Toimittaja on niistä tietoinen:
(i) Tietoturvaloukkauksen luonne ja kuvaus Tietoturvaloukkauksen aiheuttaneesta tietoturvapoikkeamasta;
(ii) Mitä tietoja Tietoturvaloukkaus on koskenut;
(iii) Kun Tietoturvaloukkaus on kohdistunut informaatioon joka sisältää henkilötietoja, Toimittajan on yksilöitävä ne rekisteröidyt, joiden henkilötietoihin loukkaus on kohdistunut sekä Tietoturvaloukkauksen kohteeksi joutuneiden rekisteröityjen yhteenlaskettu lukumäärä;
(iv) Tietoturvaloukkauksen tekijä sekä tahot jotka saivat pääsyn Tietoturvaloukkauksen kohteena olleisiin tietoihin;
(v) Tietoturvaloukkauksen seuraukset sekä mahdolliset rekisteröidyille aiheutuneet seuraukset ja haittavaikutukset;
(vi) Tekniset ja organisatoriset toimenpiteet, jotka Toimittaja toteuttaa mahdollisten haittavaikutusten lieventämiseksi ja Tietoturvaloukkauksien estämiseksi tulevaisuudessa; ja
(vii) Toimittajan on lisäksi annettava Kauppiaan tämän mahdollisesti pyytämät lisätiedot Tietoturvaloukkauksesta.
8.14. Todistaakseen toimintansa olevan Tietosuojasääntelyn mukaista Toimittajan on dokumentoitava kaikki Tietoturvaloukkaukset ja niitä koskevat yksityiskohdat, Tietoturvaloukkausten seuraukset ja vaikutukset sekä toimenpiteet, joihin Toimittaja on ryhtynyt havaittuaan Tietoturvaloukkauksen.
8.15. Toimittaja ei luovuta tietoja Tietoturvaloukkauksista kolmansille osapuolille tai julkisuuteen ilman Kauppiaan etukäteistä kirjallista suostumusta, ellei lainsäädäntö muuta määrää. Toimittaja sitoutuu avustamaan Kauppiaan Tietoturvaloukkausten ilmoittamisessa viranomaiselle ja rekisteröidyille Kauppiaan ohjeistamalla tavalla. Mikäli tämän sopimuksen mukaiset Kauppiaan käytännöt, ohjeistukset tai muut vaatimukset asettavat Toimittajalle lisävelvoitteita, jotka eivät johdu suoraan Tietosuojasääntelystä, Toimittajalla on oikeus saada Asiakkaalta korvaus aiheutuvista lisäkustannuksistaan.
8.16. Sopijapuolet korvaavat toisilleen sopimusrikkomuksella tai tietosuojasääntelyn vastaisella menettelyllään aiheuttamansa välittömät vahingot. Sopijapuolella ei ole velvollisuutta korvata epäsuoria tai välillisiä vahinkoja. Vahingot, jotka Kauppias joutuu korvaamaan rekisteröidylle, sekä viranomaisen Kauppiaan maksettavaksi Toimittajan menettelyn seurauksena määräämät sanktiot ovat välittömiä korvattavia vahinkoja, joihin ei sovelleta Palvelusopimuksen vastuunrajoitusehtoja.