1 JOHDANTO
1.1. Tämä henkilötietojen käsittelyä koskeva liite (”Tietosuojaliite”) on erottamaton osa Kuulalaakeri Oy:n (”Toimittaja”) ja Asiakas välillä solmittua palvelusopimusta (”Sopimus”). Tämä Liite yhdessä Sopimuksen kanssa määrittelee henkilötietoja koskevan tietosuojan ja tietoturvan periaatteet ja ehdot. Mikäli Sopimus ja sen muut liitteet ovat ristiriidassa tämän Tietosuojaliitteen kanssa, sovelletaan Asiakkaan ja Toimittajan välillä henkilötietojen käsittelyyn liittyen ensisijaisesti tässä Tietosuojaliitteessä sovittua.
1.2. Tässä Tietosuojaliitteessä henkilötiedoilla tarkoitetaan ja käsittelyn kohteena ovat ne henkilötiedot (”Henkilötiedot”), joita Asiakas luovuttaa Toimittajan käsiteltäväksi tämän Tietosuojaliitteen ja Sopimuksen mukaisesti.
2 HENKILÖTIEDOT JA REKISTERÖITYJEN RYHMÄT
2.1 Toimittaja käsittelee Sopimuksen perusteella henkilötietojen käsittelijänä rekisterinpitäjän eli Asiakkaan lukuun seuraavia rekisteröityjen ryhmiä:
(i) Asiakkaan määrittämät sopijakumppanit, asiakkaat, suoramarkkinointiasiakkaat, ja muut Asiakkaan sidosryhmät
2.2 Käsiteltävät Henkilötiedot koostuvat seuraavista Henkilötietojen tyypeistä
(i) Palvelun käytön edellyttämä rekisteröidyn puhelinnumero.
(ii) muut, yksinomaan Asiakkaan määrittämät Henkilötiedot liittyen Asiakkaan ja rekisteröidyn väliseen viestintään
(iii) IT-hallintatiedot kuten laitteistojen tiedot liittyen tarjottuihin palveluihin, mukaan lukien tekniset tunnisteet, verkko-osoite, käyttäjänimet, sijainti, yhteystiedot, viestintätiedot ja metadata ja tekniset tapahtumat, jotka liittyvät tarjottuihin palveluihin mukaan lukien järjestelmä- ja sovelluslokitiedot.
3 REKISTERINPITÄJÄN OIKEUDET JA VELVOLLISUUDET
3.1 Asiakas:
(i) vastaa käsiteltävien Henkilötietojen määrittelystä
(ii) käsittelee Henkilötietoja noudattaen tietosuojalainsäädäntöä sekä hyvää tietojenkäsittelytapaa;
(iii) määrittelee Henkilötietojen käsittelyn tarkoitukset ja keinot sekä antaa Toimittajalle tätä sitovat kirjalliset tietosuojalainsäädännön mukaiset ohjeet Henkilötietojen käsittelystä;
(iv) varmistaa ja vastaa siitä, että Rekisteröidyille toimitetaan kaikki tietosuojalainsäädännön edellyttämä Henkilötietojen käsittelyä koskeva informaatio ja että Asiakkaalla on koko Sopimuksen voimassaolon ajan tietosuojalainsäädännön mukainen oikeus siirtää Henkilötietoja toimittajalle käsiteltäväksi tämän Tietosuojaliitteen ja Sopimuksen mukaisesti;
(v) vastaa siitä, että sillä on tarvittavat suostumukset Henkilötietojen käsittelyyn;
(vi) vastaa tarvittaessa rekisteröidyn henkilön iän varmentamisesta;
(vii) vahvistaa, että Sopimuksessa määritelty Henkilötietojen käsittely on Asiakkaalle tietosuojalainsäädännössä asetettujen vaatimusten mukaista, mukaan lukien käsittelyn turvallisuutta koskevat vaatimukset;
(viii) vastaa siitä, että Asiakas on antanut Toimittajalle kaikki tarvittavat tiedot, jotta Toimittaja voi täyttää tässä Tietosuojaliitteessä ja Sopimuksessa sille asetetut velvoitteet tietosuojalainsäädännön vaatimusten mukaisesti;
(ix) pidättää itsellään omistusoikeuden, kaikki immateriaalioikeudet ja muut oikeudet Henkilötietoihin.
4 HENKILÖTIETOJEN KÄSITTELIJÄN VELVOLLISUUDET
4.1 Toimittaja:
(i) vastaa siitä, että se käsittelee Henkilötietoja asianmukaisia tietoturvaprosesseja ja voimassa olevaa lainsäädäntöä noudattaen;
(ii) käsittelee Henkilötietoja ainoastaan Asiakkaan dokumentoitujen ohjeiden mukaisesti, paitsi jos Toimittajaan sovellettavassa lainsäädännössä toisin vaaditaan. Tällaisessa tilanteessa Toimittajan on välittömästi tiedotettava Asiakkaalle tästä lainsäädännön mukaisesta vaatimuksesta ennen Henkilötietojen käsittelyä, paitsi jos tällainen tiedottaminen on lain mukaan kiellettyä
(iii) on velvollinen ilmoittamaan Asiakkaalle, mikäli Asiakkaan antamat ohjeet tai määritykset Toimittajan arvion mukaan ovat lainvastaisia, taikka mikäli Toimittaja ei kykene käsittelemään Henkilötietoja Asiakkaan antamien ohjeiden tai määritysten mukaisesti;
(iv) avustaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä;
(v) avustaa Asiakasta varmistamaan Asiakkaalle tietosuoja-asetuksessa säädettyjen velvollisuuksien, kuten turvatoimien, vaikutusten arvioinnin ja ennakkokuulemisen noudattaminen;
(vi) saattaa Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen tietosuoja-asetuksen velvollisuuksien noudattamista varten ja sallittava ja myötävaikutettava Asiakkaan toimeenpanemiin auditointeihin, tarkastukset mukaan lukien;
(vii) ei käsittele tai siirrä Henkilötietoja EU:n/ETA:n ulkopuolisessa maassa ilman Asiakkaan etukäteistä kirjallista suostumusta;
5 TIETOTURVAN VARMISTAMINEN
5.1 Toimittaja vakuuttaa, että se toteuttaa sellaiset tekniset, fyysiset ja organisatoriset toimenpiteet, joilla varmistetaan Henkilötietojen käsittelyn korkea turvallisuustaso ja joilla suojellaan Henkilötietoja luvattomalta tai laittomalta käsittelyltä sekä tahattomalta menettämiseltä, tuhoamiselta, vahingolta, muutokselta tai luovuttamiselta. Mainittujen turvatoimien on oltava sovellettavien lakien mukaisia.
5.2 Toimittaja huolehtii, että vain niillä henkilöillä on pääsy Henkilötietoihin, joiden on tarpeellista käsitellä Henkilötietoja. Toimittajan on myös varmistettava, että ne henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta.
5.3 Toimittajan on varmistettava kaikkina aikoina Henkilötietoja käsittelevien järjestelmien ja palveluiden luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä palautettava viipymättä Henkilötietojen saatavuus ja pääsy Henkilötietoihin vikatilanteen sattuessa.
5.4 Toimittaja ilmoittaa Asiakkaalle tietoturvaloukkauksesta ilman aiheetonta viivytystä ja viimeistään 36 tunnin kuluessa siitä tiedon saatuaan.
6 KÄSITTELYN KESTO JA TIETOJEN POISTAMINEN
6.1 Toimittaja saa käsitellä Henkilötietoja ainoastaan niin kauan kuin Sopimuksen nojalla tarjotaan palveluita Asiakkaalle.
6.2 Toimittaja säilyttää Palvelun kautta lähetetyn Asiakkaan viestin sisällön kolmen (3) kuukauden ajan viestin muodostumisesta Palvelussa. Tämän jälkeen viestin sisältö poistetaan ja vastaanottajan puhelinnumero pseudonymisoidaan. Palvelulaskutukseen liittyvistä syistä pseudonymisoitu tieto säilytetään 12 kuukauden ajan, jonka jälkeen kaikki ko. viestiin liittyvä tieto poistetaan lopullisesti.
6.3 Sopimuksen päättyessä Toimittaja Asiakkaan valinnan mukaan poistaa lopullisesti tai palauttaa Asiakkaalle kaikki Henkilötiedot ja poistaa olemassa olevat jäljennökset, paitsi jos lainsäädännössä vaaditaan säilyttämään henkilötiedot määrätyn ajan Sopimuksen päättymisen jälkeen.
7 ALIHANKKIJAT
7.1 Toimittajan tulee pyytää Asiakkaalta etukäteinen kirjallinen suostumus alikäsittelijöiden käyttämiseen. Mikäli alikäsittelijä käsittelee Henkilötietoja suostumuksen perusteella, vastaa Toimittaja alikäsittelijän toiminnasta kuin omastaan. Toimittajan tulee varmistaa, että sen alikäsittelijä noudattaa tämän Tietosuojaliitteen ja Sopimuksen mukaista salassapitoa, tietoturvaa ja -suojaa sekä tietosuojalainsäädäntöä.
8 HENKILÖTIETOJEN SIIRTÄMINEN
8.1 Toimittaja ei luovuta Henkilötietoja kolmannelle osapuolelle tai siirrä niitä Euroopan Unionin tai Euroopan talousalueen ulkopuoliseen valtioon lukuun ottamatta siirtoja, jotka tapahtuvat Asiakkaan suostumuksen, etukäteisten kirjallisten ohjeiden ja tämän Tietosuojaliitteen ja Sopimuksen nimenomaisten ehtojen mukaisesti.
8.2 Jos Asiakas vaatii tai suostuu Henkilötietojen siirtämiseen Euroopan Unionin ja Euroopan talousalueen rajojen ulkopuolelle, Toimittajan tulee solmia Euroopan komission mallisopimuslausekkeet Asiakkaan kanssa tämän pyynnöstä.
9 AUDITOINTI
9.1 Toimittaja sallii Asiakkaan tai muun tämän valtuuttaman auditoijan suorittamat auditoinnit sekä osallistuu niihin. Asiakkaan on ilmoitettava suoritettavasta auditoinnista viimeistään neljätoista (14) päivää ennen toteutettavaa auditointia.
9.2 Auditoinnin suorittajan on sitouduttava pitämään salassa auditoinnin yhteydessä saamansa tiedot. Toimittajalla on oikeus kieltäytyä auditoinnista, mikäli sen suorittajaksi on osoitettu Toimittajan suoraksi tai välilliseksi kilpailijaksi katsottava taho tai sellainen taho, jonka asiantuntemusta tai luotettavuutta voidaan perustellusti epäillä.
9.3 Asiakas vastaa kaikista auditointien kustannuksista, paitsi mikäli auditointi osoittaa, että Toimittaja on laiminlyönyt tämän liitteen mukaisen velvoitteen, jolloin Toimittaja vastaa auditoinnin kuluista ja korjaa havaitut puutteet viipymättä.
10 VASTUU
10.1 Osapuolet korvaavat tämän Tietosuojaliitteen vastaisella toiminnalla toiselle osapuolelle aiheutuneet vahingot Sopimuksesta ilmeneviä vastuunrajoituksia soveltaen.