LOGY Best in Class Toimitusketju- ja LOGY Best in Class Hankinta -työkalujen käyttöehdot

Liite 1: Henkilötietojen käsittelyä koskevat ehdot

Määritelmät

Henkilötieto” tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella;

Käsittely” tarkoittaa toimintoa tai toimintoja, joita kohdistetaan Henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;

Käsittelysopimus” tarkoittaa tätä Henkilötietojen käsittelysopimusta liitteineen;

Palvelu” tarkoittaa Toimittajan tarjoamaa toimitusketjun hallinnan kehittämispalvelua;

Palvelun Käyttöehdot” tarkoittaa Toimittajan tarjoaman Palvelun käyttöehtoja, joiden liitteenä tämä Käsittelysopimus on;

Tietosuoja-asetus” tarkoittaa Euroopan unionin yleistä tietosuoja-asetusta 2016/679;

Tietosuojalainsäädäntö” tarkoittaa voimassa olevaa tietosuojalakia (1050/2018) ja Tietosuoja-asetusta;

Tietoturvaloukkaus” tarkoittaa tapahtumaa, jonka seurauksena on Käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin.

Sopimuksen tausta ja tarkoitus

Tässä Henkilötietojen Käsittelyä koskevassa Käsittelysopimuksessa sovitaan Toimittajan tarjoamanPalvelun yhteydessä tapahtuvaa Asiakkaan käyttäjien Henkilötietojen Käsittelyä koskevat ehdot. Tämän Käsittelysopimuksen tarkoituksena on ottaa huomioon Tietosuoja-asetuksen asettamat vastuut ja velvoitteet Sopijapuolten välillä.

Asiakas on Palvelun yhteydessä Käsiteltävien Asiakkaan käyttäjien Henkilötietojen rekisterinpitäjä, joka määrittelee Henkilötietojen Käsittelyn tarkoitukset ja keinot. Toimittaja on Henkilötietojen käsittelijä, joka Käsittelee kyseisiä Henkilötietoja Asiakkaan lukuun ja toimeksiannosta tässä Käsittelysopimuksessa sovitulla tavalla. Sopijapuolet sopivat liitteessä 1 tarkemmin rekisteröityjen ryhmistä, Toimittajan toteuttamista käsittelytoimista, tietoturvamenettelyistä ja siitä, mihin tarkoitukseen Toimittaja Käsittelee Asiakkaan käyttäjien Henkilötietoja.

Sopijapuolet ymmärtävät, että viranomaiset voivat antaa määräyksiä ja ohjeita Tietosuoja-asetuksen soveltamisalalla tämän Käsittelysopimuksen allekirjoittamisen jälkeen. Sopijapuolet sitoutuvat täydentämään tätä Käsittelysopimusta tarvittaessa kyseisten määräysten ja ohjeiden mukaisesti.

Asiakkaan velvollisuudet

Asiakas Käsittelee Henkilötietoja Tietosuojalainsäädännön mukaisesti. Asiakas vastaa siitä, että sovitut Henkilötietojen Käsittelyä koskevat ohjeet ovat lainmukaiset ja että niissä ei ole puutteita tai virheitä. Mahdollisista muutoksista Asiakkaan kanssa sovittuihin ohjeisiin ja muutosten kustannusvaikutuksista sovitaan aina kirjallisesti erikseen.

Asiakas vastaa Toimittajalle toimitetuista Henkilötiedoista ja niiden Käsittelyn lainmukaisuudesta koko Käsittelysopimuksen voimassaolon ajan. Asiakas vastaa siitä, että kaikille rekisteröidyille, joiden Henkilötietoja käsitellään, on toimitettu tarvittavat, lainmukaiset ilmoitukset ja tiedot Henkilötietojen Käsittelyyn liittyen. Toimittaja ei seuraa toimitettujen Henkilötietojen sisältöä, laatua tai ajantasaisuutta.

Asiakas vastaa siitä, että Henkilötietojen Käsittely ja sen tarkoitus sekä perusteet ovat Tietosuojalainsäädännön mukaisia. Asiakas vastaa lisäksi siitä, että Henkilötiedot on kerätty Tietosuojalainsäädännön mukaisesti ja että Asiakkaalla on oikeus siirtää Henkilötiedot Toimittajan Käsiteltäväksi tämän Käsittelysopimuksen mukaisesti.

Sopijapuolten tarkoituksena ei ole tällä Käsittelysopimuksella siirtää mitään rekisterinpitäjän lakisääteisiä velvollisuuksia käsittelijälle.

Toimittajan velvollisuudet

Toimittaja Käsittelee Henkilötietoja Tietosuojalainsäädännön ja Asiakkaan kanssa sovittujen kirjallisten ohjeiden mukaisesti, ellei Toimittajaan sovellettavassa laissa toisin vaadita. Tällöin Toimittaja tiedottaa Asiakkaalle kyseisestä oikeudellisesta vaatimuksesta ennen Käsittelyä, ellei tiedottaminen ole lain mukaan kiellettyä. Selvyyden vuoksi todetaan, että Asiakkaan katsotaan aina ohjeistaneen Toimittajaa toimittamaan Palvelun Käyttöehtojen mukaiset Henkilötietojen Käsittelyyn liittyvät palvelut.

Ottaen huomioon käsittelytoimien luonne Toimittaja auttaa Asiakasta valitsemillaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat seuraavia, Tietosuoja-asetuksen luvussa 3 säädettyjen rekisteröidyn oikeuksien käyttämistä (edellyttäen, että rekisteröidyllä on kyseinen oikeus Tietosuoja-asetuksen mukaan):

  1. oikeus saada pääsy Henkilötietoihin;
  2. oikeus Henkilötietojen oikaisemiseen ja poistamiseen;
  3. oikeus Käsittelyn rajoittamiseen;
  4. oikeus siirtää Henkilötiedot järjestelmästä toiseen; ja
  5. oikeus vastustaa Henkilötietojen Käsittelyä.

Sopijapuoli ilmoittaa rekisteröidyn oikeuksien käyttämistä koskevasta pyynnöstä toiselle Sopijapuolelle välittömästi ja viimeistään seuraavana arkipäivänä pyynnön vastaanottamisesta, jos pyynnön toteuttaminen edellyttää toimenpiteitä toiselta Sopijapuolelta. Sopijapuolen on ilmoituksen yhteydessä annettava kaikki tiedot, jotka ovat tarpeen pyynnön toteuttamiseksi. Toimittajalla on oikeus veloittaa Asiakasta kaikista rekisteröidyn oikeuksien toteuttamista koskevista toimenpiteistä tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.

Ottaen huomioon käsittelytoimien luonne ja Toimittajan saatavilla olevat tiedot, Toimittaja avustaa Asiakasta seuraavien, Tietosuoja-asetuksen 32–36 artikloissa säädettyjen, velvollisuuksien noudattamisessa:

  1. Henkilötietojen Käsittelyn turvallisuuden toteuttaminen asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä;
  2. Tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle ja rekisteröidyille;
  3. osallistuminen tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin tekemiseen, jos vaikutustenarviointi on Tietosuoja-asetuksen 35 artiklan mukaan tarpeen; ja
  4. osallistuminen tarvittaessa valvontaviranomaisen ennakkokuulemiseen, jos ennakkokuuleminen on Tietosuoja-asetuksen 36 artiklan mukaan tarpeen.

Toimittaja on velvollinen avustamaan Asiakasta vain Tietosuojalainsäädännön Henkilötietojen käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Toimittajalla on oikeus veloittaa Asiakasta edellä mainituista toimenpiteistä tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.

Tietoturva

Sopijapuolet sitoutuvat sopimaan ja implementoimaan alalla yleisesti käytetyt tekniset ja organisatoriset toimenpiteet Henkilötietojen suojaamiseksi. Sopijapuolten sopiessa kyseisten toimenpiteiden toteuttamisesta on suunnittelussa ja toteutuksessa otettava huomioon uusin tekniikka ja toteuttamiskustannukset, Käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä Käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille. Sopijapuolten on arvioidessaan asianmukaista turvallisuustasoa otettava huomioon myös Käsittelyn sisältämät riskit, erityisesti Henkilötietojen luvaton ja lainvastainen Käsittely ja vahingossa tapahtuva Henkilötietojen häviäminen, tuhoutuminen tai vahingoittuminen.

Tällaisia toimenpiteitä ovat esimerkiksi:

  1. henkilötietojen pseudonymisointi ja salaus;
  2. kyky taata käsittelyjärjestelmien ja palveluiden jatkuvat luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
  3. kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; ja
  4. menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Edellä mainitut toimenpiteet ovat esimerkkejä siitä, miten Sopijapuolet voivat varmistaa Henkilötietojen Käsittelyn turvallisuuden. Sopijapuolet sopivat liitteessä 1 erikseen ne yllämainitut toimenpiteet tai muut tietoturvamenettelyt, jotka Toimittaja toteuttaa Henkilötietojen Käsittelyn osalta. Asiakas vastaa vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asianmukaisesta ja riittävästä tietoturvallisuudesta. Ellei Palvelun Käyttöehdoissa ole toisin sovittu, Asiakas vastaa Henkilötietojen varmuuskopioinnista ja varmuuskopioiden toimivuuden tarkastamisesta.

Asiakas on velvollinen tiedottamaan Toimittajaa kaikista niistä Asiakkaan toimittamiin Henkilötietoihin liittyvistä seikoista, kuten esimerkiksi riskiarvioinneista sekä erityisten henkilötietoryhmien Käsittelystä, jotka vaikuttavat tämän Käsittelysopimuksen mukaisesti toteutettaviin teknisiin ja organisatorisiin toimenpiteisiin. Selvyyden vuoksi todetaan, että mahdollisista muutoksista liitteessä 1 sovittuihin tietoturvamenettelyihin ja muutosten kustannusvaikutuksista sovitaan aina kirjallisesti erikseen.

Toimittaja varmistaa, että henkilöt, jotka Käsittelevät Henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai että heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. Toimittaja toteuttaa tarvittavat toimenpiteet sen varmistamiseksi, että kyseiset henkilöt Käsittelevät Henkilötietoja ainoastaan yhdessä sovittujen Asiakkaan ohjeiden mukaisesti.

Henkilötietojen siirtäminen

Toimittajalla on oikeus siirtää palvelun toteuttamista varten Henkilötietoja EU- tai ETA-alueen ulkopuolelle Tietosuojalainsäädännön mukaisesti. Toimittajalla on oikeus palvelun toteuttamista varten siirtää Henkilötietoja vapaasti EU/ETA-alueen sisällä.

Alihankkijat

Toimittajalla on oikeus käyttää alihankkijoita palvelun toteuttamisessa ja siihen liittyvässä Henkilötietojen Käsittelyssä. Toimittajan tämän Käsittelysopimuksen allekirjoitushetkellä käyttämät alihankkijat on listattu liitteessä 1. Toimittaja vastaa siitä, että alihankkija Käsittelee Henkilötietoja tämän Käsittelysopimuksen ja Tietosuojalainsäädännön mukaisesti.

Toimittaja ilmoittaa Asiakkaalle, jos se suunnittelee vaihtavansa tai lisäävänsä Henkilötietojen Käsittelyyn osallistuvia alihankkijoita. Asiakkaalla on oikeus vastustaa tällaisia muutoksia perustellusta syystä. Asiakkaan on ilmoitettava vastustamisesta ilman aiheetonta viivytystä sen jälkeen, kun se sai Toimittajalta tiedon asiasta. Jos Asiakas ei hyväksy alihankkijan vaihtamista tai lisäämistä, Toimittajalla on oikeus irtisanoa Sopimus 30 päivän irtisanomisajalla.

Tietoturvaloukkaukset

Sopijapuoli ilmoittaa toiselle Sopijapuolelle ilman aiheetonta viivytystä sen tietoon tulleesta Tietoturvaloukkauksesta. Asiakkaan on Tietoturvaloukkauksen ilmoittamisen yhteydessä toimitettava Toimittajalle kaikki se tieto, jonka voidaan katsoa auttavan Tietoturvaloukkauksen selvittämisessä, rajaamisessa tai estämisessä. Sopijapuolet voivat sopia ilmoitusprosessista tarkemmin erikseen. Elleivät Sopijapuolet ole toisin sopineet, ilmoitus tulee tehdä Sopijapuolen ilmoittamalle yhteyshenkilölle.

Toimittajan on Tietoturvaloukkauksen ilmoittamisen yhteydessä mahdollisuuksien mukaan toimitettava Asiakkaalle:

  1. kuvaus Tietoturvaloukkauksesta, sisältäen mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät (siltä osin kuin kyseiset tiedot ovat Toimittajan saatavilla);
  2. Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätietoja;
  3. kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista; ja
  4. kuvaus toimenpiteistä, jotka Toimittaja on toteuttanut Tietoturvaloukkauksen johdosta ja mahdolliset toimenpiteet, jotka Toimittaja on tehnyt Tietoturvaloukkauksen haittavaikutusten lieventämiseksi.

Jos Tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta syystä, Asiakas vastaa Toimittajalle Tietoturvaloukkauksesta aiheutuvista kustannuksista. Asiakas vastaa Tietoturvaloukkausten ilmoittamisesta valvontaviranomaiselle ja rekisteröidylle Tietosuoja-asetuksen mukaisesti.

Seloste käsittelytoimista

Toimittaja ylläpitää selostetta Asiakkaan lukuun suorittamastaan Henkilötietojen Käsittelystä. Seloste sisältää seuraavat tiedot:

  1. Asiakkaan, Toimittajan ja Toimittajan mahdollisen tietosuojavastaavan nimi ja yhteystiedot sekä tiedot mahdollisista alihankkijoista;
  2. Asiakkaan lukuun suoritetut käsittelytoimet;
  3. tiedot mahdollisista Henkilötietojen siirroista EU- tai ETA-alueen ulkopuolelle; ja
  4. mahdollisuuksien mukaan yleinen kuvaus kohdan 6 mukaisista teknisistä ja organisatorisista turvatoimista.

Tarkastusoikeus

Asiakkaalla tai Asiakkaan nimeämällä riippumattomalla asiantuntijalla, joka ei voi olla Toimittajan kilpailija, on oikeus tarkastaa tämän Käsittelysopimuksen voimassaoloaikana, että Toimittaja noudattaa tässä Käsittelysopimuksessa Toimittajalle osoitettuja velvoitteita. Tarkastuksen kohteena on Asiakkaan Henkilötietojen Käsittelyyn liittyvä Toimittajan tarpeellinen aineisto sekä Henkilötietojen Käsittelyssä käytettävät Toimittajan järjestelmät ja toimitilat. Tarkastus voidaan suorittaa enintään kerran vuodessa ja siitä on ilmoitettava Toimittajalle kirjallisesti vähintään 30 päivää etukäteen. Toimittajan on edellä esitetystä huolimatta aina sallittava Asiakkaan toimintaa valvovan viranomaisen suorittamat Henkilötietojen käsittelijän toimintojen tarkastukset. Viranomaisten suorittamiin tarkastuksiin sovelletaan tätä Käsittelysopimusta soveltuvin osin.

Toimittaja osallistuu tarkastuksen toteuttamiseen ja antaa tarkastajalle ne tiedot, jotka ovat tarpeen osoittamaan, että Toimittaja noudattaa tässä Käsittelysopimuksessa sille määriteltyjä velvollisuuksia. Tarkastuksesta ei saa aiheutua haittaa Toimittajan palvelutuotannolle, eikä tarkastajalla ole oikeutta saada pääsyä Toimittajan asiakkaiden tai yhteistyökumppaneiden tietoihin. Jos tarkastuksen suorittaja on muu kuin Asiakas, tarkastaja ja Toimittaja tekevät salassapitosopimuksen ennen tarkastuksen toteuttamista.

Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkastuksista aiheutuneet kustannukset. Mikäli tarkastukset paljastavat merkittäviä puutteita Toimittajan toiminnoissa, Toimittaja vastaa tarkastuksista aiheutuvista omista kustannuksistaan.

Henkilötietojen käsittelyn päättyminen

Toimittaja poistaa Henkilötiedot tai palauttaa ne Asiakkaalle Asiakkaan kirjallisen pyynnön mukaisesti, kun Toimittajan ja Asiakkaan välinen asiakassuhde päättyy ja Henkilötietojen Käsittelyyn liittyvän palvelun tarjoaminen lakkaa tai kun tämä Käsittelysopimus päättyy. Lisäksi Toimittaja poistaa kaikki olemassa olevat jäljennökset Henkilötiedoista Sopimuksen tai tämän Käsittelysopimuksen päättyessä, ellei Toimittajan ole lain tai viranomaismääräyksen mukaan säilytettävä kyseisiä Henkilötietoja. Toimittajalla on oikeus veloittaa Asiakasta Henkilötietojen palauttamisesta tai tuhoamisesta tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti. Sopijapuolet voivat sopia tarkemmin Henkilötietojen poistamista ja palauttamista koskevista käytännöistä.

Henkilötietojen käsittelystä aiheutuneet vahingot

Jos rekisteröidylle aiheutuu vahinkoa Tietosuoja-asetuksen rikkomisesta, kumpikin Sopijapuoli vastaa itse rekisteröidylle aiheutuneesta vahingosta Tietosuoja-asetuksen 82 artiklan mukaisesti. Kumpikin Sopijapuoli vastaa itse myös valvontaviranomaisen sille mahdollisesti määräämistä Tietosuoja-asetuksen 83 artiklan mukaisista hallinnollisista sakoista.

Tähän Käsittelysopimukseen sovelletaan Palvelun Käyttöehtojen vastuunrajoitusehtoa.

Sopimuksen muuttaminen

Tähän Käsittelysopimukseen tehdyt muutokset ovat päteviä vain, jos ne on tehty kirjallisesti ja jos molemmat Sopijapuolet ovat vahvistaneet ne allekirjoituksillaan.

Sovellettava laki ja riidanratkaisu

Tähän Käsittelysopimukseen sovelletaan Palvelun Käyttöehtojen riidanratkaisulauseketta.

Liitteet

Liite 1: Kuvaus käsiteltävistä henkilötiedoista ja tietoturvamenettelyistä

Sopijapuolet voivat tarvittaessa kirjallisesti täydentää tai muuttaa tätä liitettä.

1. Henkilötietojen käsittelyn tarkoitus

Toimittaja Käsittelee Henkilötietoja ainoastaan seuraavan tarkoituksen toteuttamiseksi: LOGY hallinnoi Asiakkaan työntekijöiden ja sen lukuun toimivien työntekijöiden henkilötietoja Palvelun toteuttamista varten.

2. Käsittelyn sisältö

Toimittaja suorittaa seuraavia Henkilötietojen käsittelytoimia:

Kerääminen

Kysely

Tallentaminen

Käyttö

Järjestäminen

Saataville asettaminen (tietojen luovuttaminen esim. siirtämällä tai levittämällä)

Jäsentäminen

Yhteensovittaminen tai yhdistäminen

Säilyttäminen

Rajoittaminen

Muokkaaminen, muuttaminen

Poistaminen tai tuhoaminen

Haku

Muut käsittelytoimet, mitkä:

3. Käsiteltävät rekisteröityjen ryhmät ja henkilötietotyypit

Toimittaja Käsittelee seuraavia rekisteröityjen ryhmiä ja henkilötietotyyppejä:

  1. Asiakkaan työntekijät ja Asiakkaan lukuun työskentelevät henkilöt
  2. Etu- ja sukunimi, sähköpostiosoite, puhelinnumero ja asema yrityksessä

4. Sovellettavat tietoturvamenettelyt

Toimittaja noudattaa omia sisäisiä tietoturvaohjeitaan Henkilötietojen Käsittelyssä.

5. Toimittajan alihankkijat

Toimittaja käyttää tämän Käsittelysopimuksen mukaisessa Henkilötietojen Käsittelyssä seuraavia alihankkijoita: Green Spot Media Farm, y-tunnus 1363656-9.