EU 2916/679, 28 artiklan mukainen henkilötietojen käsittelysopimus

Tietosuojaliite sopimusrakenteeseen Asiakkaan/Rekisterinpitäjän ja Apix Messaging Oy:n/Henkilötietojen käsittelijän välillä

1. Osapuolten yleiset oikeudet ja velvollisuudet

Asiakas toimii sovellettavassa tietosuojalainsäädännössä tarkoitettuna rekisterinpitäjänä (”Rekisterinpitäjä” tai ”Asiakas”) niiden asiakkaitaan, työntekijöitään tai muita henkilöitä koskevien henkilötietojen osalta, joita Apix Messaging Oy käsittelee Apix Sanomanvälityspalveluiden tuottajana (”Asiakkaan Henkilötiedot”). Rekisterinpitäjä on vastuussa Asiakkaan Henkilötiedoista ja niiden käsittelyn lainmukaisuudesta sovellettavan tietosuojalainsäädännön mukaisesti. Rekisterinpitäjä vastaa kaikista tarvittavista toimenpiteistä ja kaikkien niiden oikeuksien, suostumusten ja valtuutusten hankkimisesta, turvaamisesta ja ylläpitämisestä, jotka ovat Henkilötietojen käsittelijälle (”Henkilötietojen Käsittelijä”, ”Käsittelijä”) tarpeellisia palvelun toteuttamiseksi mitään lakia rikkomatta tai kolmannen osapuolen oikeuksia loukkaamatta.

2. Rekisterinpitäjän ohjeet

Henkilötietojen Käsittelijä vastaa siitä, että se käsittelee Asiakkaan Henkilötietoja Rekisterinpitäjän puolesta sovellettavan tietosuojalainsäädännön mukaisesti ja siten kuin on tarpeen palvelun toimittamisen kannalta. Asiakkaan Henkilötietoja käsitellään Rekisterinpitäjän ohjeiden mukaisesti. Rekisterinpitäjä vahvistaa ohjeiden olevan tyhjentävästi kuvattuna tässä tietosuojaliitteessä tämän liitteen voimaantulohetkellä. Jos Rekisterinpitäjä antaa myöhemmin lisäohjeistusta Käsittelijälle Asiakkaan Henkilötietojen käsittelystä, Käsittelijällä on oikeus veloittaa tästä aiheutuvat lisäkustannukset ja tehdyt työt, jotka ovat tarpeen annettujen ohjeiden noudattamiseksi. Jos Henkilötietojen Käsittelijä ei pysty noudattamaan annettuja ohjeita, se ilmoittaa välittömästi asiasta Rekisterinpitäjälle, ja osapuolet yrittävät yhteisesti ratkaista asian tarkoituksenmukaisella tavalla. Jos asiaa ei saada ratkaistua yhden (1) kuukauden kuluessa, kummallakin osapuolella on oikeus irtisanoa tämä sopimus kahden (2) kuukauden irtisanomisaikaa noudattaen.

3. Palvelun kehittäminen

Edellä esitetyn rajoittamatta Käsittelijällä on oikeus käyttää tarjotun palvelun ja Asiakkaan Henkilötietojen käsittelyn yhteydessä syntyneitä tietoja palvelujensa ja toimintansa kehittämiseen, analysointiin ja arviointiin sekä tilastollisiin tarkoituksiin. Näitä tarkoituksia varten Asiakkaan Henkilötiedot anonymisoidaan siinä määrin kuin on tarpeellista Käsittelijän luottamuksellisuutta koskevan velvoitteen noudattamiseksi. Asiakas voi myös antaa Käsittelijälle tätä laajemman oikeuden Asiakkaan Henkilötietojen käsittelyyn kirjallisesti. Osapuolet tiedostavat, että tässä tarkoitettu käsittely voi aiheuttaa velvollisuuksia sekä Asiakkaalle että Käsittelijälle, kuten esimerkiksi velvollisuuden ilmoittaa käsittelystä niille henkilöille, joita Asiakkaan Henkilötiedot koskevat.

4. Henkilötietojen käsittelyn luottamuksellisuus

Henkilötietojen Käsittelijä pitää Asiakkaan Henkilötiedot luottamuksellisina ja varmistaa, että Asiakkaan Henkilötietojen käsittelyyn oikeutetut henkilöt ovat sitoutuneet luottamuksellisuuteen tai heitä koskee soveltuva lakisääteinen salassapitovelvollisuus.

5. Tietoturva

Asianmukaiset tekniset ja organisatoriset toimenpiteet on otettu käyttöön Asiakkaan Henkilötietojen luottamuksellisuuden, eheyden ja käytettävyyden suojaamiseksi. Edellä esitetyn rajoittamatta, Käsittelijä voi muuttaa omia tietoturvallisuuteen liittyviä menettelyjään, mikäli nämä muutokset eivät heikennä yleistä tietoturvallisuutta.

6. Tietoturvaloukkauksista ilmoittaminen

Käsittelijä ilmoittaa Rekisterinpitäjälle Asiakkaan Henkilötietoja koskevasta tietoturvaloukkauksesta viipymättä ja viimeistään 48 tunnin kuluessa sen havaitsemisesta, mikäli mahdollista. Henkilötietojen Käsittelijä antaa Rekisterinpitäjälle saatavilla olevat tiedot, jotka ovat välttämättömiä Rekisterinpitäjän ilmoitusvelvollisuuden täyttämiseksi. Henkilötietojen Käsittelijä pyrkii parhaansa mukaan korjaamaan sekä rajoittamaan loukkauksen aiheuttamia vaikutuksia.

7. Rekisteröidyn oikeudet

Henkilötietojen Käsittelijä auttaa pyynnöstä ja kaupallisesti hyväksyttävillä ehdoilla Rekisterinpitäjää rekisteröidyn oikeuksien toteuttamisessa ja sovellettavan tietosuojalainsäädännön velvoitteiden täyttämisessä. Rekisteröidyn oikeudet on toteutettu palvelussa oheisen Seloste käsittelystä –liitteen mukaisesti.

8. Vaatimuksenmukaisuuden osoittaminen

Pyydettäessä Henkilötietojen Käsittelijä toimittaa tarpeellisen selvityksen sovellettavan tietosuojalainsäädännön noudattamisesta.

9. Henkilötietojen säilytysaika

Kun Asiakkaan henkilötietojen tämän sopimuksen mukainen käsittely ei ole enää tarpeellista, Käsittelijä tarjoaa Asiakkaalle teknisen mahdollisuuden ottaa kopio palveluun tallennetuista Asiakkaan henkilötiedoista. Asiakkaan pyynnöstä Käsittelijä tuhoaa Asiakkaan henkilötiedot ja antaa Asiakkaalle todistuksen tietojen tuhoamisesta, ellei henkilötietoja ole säilytettävä lainsäädännöstä johtuen.

10. Alihankkijoiden käyttäminen

Käsittelijä saa käyttää alihankkijoita (”alihankkija” tai ”alikäsittelijä”) tämän sopimuksen mukaisessa Asiakkaan Henkilötietojen käsittelyssä. Henkilötietojen Käsittelijä ilmoittaa asiasta Rekisterinpitäjälle ennen alihankkijan käsittelyn aloittamista. Alihankkijat on lueteltu erillisessä Alihankkijat-listauksessa: www.apix.fi/gdpr/alihankkijat, jota Käsittelijä päivittää tarvittaessa. Rekisterinpitäjällä on oikeus vastustaa suunniteltua muutosta kirjallisesti kahden (2) viikon kuluessa ilmoituksesta asianmukaisilla tietosuojaan liittyvillä perusteilla. Tässä tapauksessa Henkilötietojen Käsittelijä jatkaa käsittelyä sovituilla ehdoilla siihen asti, kunnes (i) osapuolet ovat sopineet käsittelyn lopettamisesta ja Asiakkaan Henkilötietojen palauttamisesta Rekisterinpitäjälle, tai (ii) osapuolet ovat sopineet käsittelyn jatkamistavasta ja siihen liittyvistä kustannuksista.

11. Henkilötietojen siirto

Rekisterinpitäjä hyväksyy, että Käsittelijä voi antaa Asiakkaan Henkilötietoja käsiteltäväksi ja saatavilla olevaksi tämän tietosuojaliitteen tarkoituksen toteuttamiseksi ja palvelujen toimittamiseksi sellaisille alikäsittelijöille, jotka ovat sijoittautuneet Rekisterinpitäjän kotimaan ulkopuolelle. Jos Asiakkaan henkilötietoja siirretään Euroopan unionin tai Euroopan talousalueen ulkopuolelle, Henkilötietojen Käsittelijä toteuttaa Rekisterinpitäjän puolesta asianmukaiset suojatoimet rekisteröityjen oikeuksien ja vapauksien varmistamiseksi ja turvaamiseksi sovellettavan tietosuojalainsäädännön vaatimusten mukaisesti. Henkilötietojen Käsittelijä voi esimerkiksi Rekisterinpitäjän puolesta tehdä sovellettavan tietosuojalainsäädännön vaatimusten täyttämiseksi EU Komission hyväksymien tietosuojaa koskevien vakiolausekkeiden mukaisen sopimuksen henkilötietojen käsittelystä Euroopan unionin tai Euroopan talousalueen ulkopuolelle sijoittautuneen alikäsittelijän kanssa.

12. Rekisteröidyn tarkastusoikeus

Tietosuojalainsäädännön mukaan Rekisteröidyllä on oikeus saada pääsy tietoihin (tarkastusoikeus), vaatia tiedon oikaisemista, poistamista tai käsittelyn rajoittamista. Käsittelijä ei suoraan vastaa Asiakkaan henkilörekisteriin kuuluvien Rekisteröityjen tiedusteluihin tai pyyntöihin. Käsittelijä tarjoaa Asiakkaalle palvelun, joka mahdollistaa tarkistusoikeuden toteuttamisen. Palvelusta voidaan periä palvelumaksuja.

13. Auditointioikeus

Asiakkaalla on oikeus auditoida Käsittelijän tämän sopimusliitteen tarkoittama henkilötietojenkäsittelytoiminta. Asiakas on velvollinen käyttämään auditoinnissa vain sellaisia ulkopuolisia tarkastajia, jotka eivät ole Käsittelijän kilpailijoita. Osapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ennen sen suorittamista. Auditointi tulee suorittaa tavalla, joka ei haittaa Käsittelijän sitoumuksia kolmansiin osapuoliin nähden. Kaikkien Asiakkaan edustajien ja auditointiin osallistuvien ulkopuolisten tarkastajien tulee allekirjoittaa tavanomainen salassapitositoumus Käsittelijän hyväksi. Asiakas vastaa kaikista auditoinnista aiheutuvista kustannuksista. Käsittelijällä on myös oikeus laskuttaa avustamisesta auditoinnissa ja muusta auditoinnista johtuvasta lisätyöstä.

Liitteet:
Henkilötietojen käsittelyohje Apix Sanomanvälityspalveluja varten