Tietojenkäsittelyliite

Tietojenkäsittelysopimus Talleille

Tämä Tietojenkäsittelysopimus (DPA) on osa Hopoti Käyttöehdot Tallille -sopimusta (jäljempänä ”Sopimus”).

1 Osapuolet

Tämän tietojenkäsittelysopimuksen osapuolet ovat Sopimuksessa mainitut osapuolet. Tietojenkäsittelijänä on Sinä ja rekisterinpitäjänä Me.

Rekisterinpitäjä:

Hopoti Software Oy (2770794-6)
Merikatu 6
26200 Rauma
Suomi

2 Taustaa

Rekisterinpitäjä tarjoaa Tietojenkäsittelijälle palveluita Sopimuksen mukaisesti. Palveluiden tarjoamisen yhteydessä Tietojenkäsittelijä käsittelee Rekisterinpitäjän Palveluun rekisteröityneitä Loppukäyttäjiä, jotka ovat Tietojenkäsittelijän asiakkaita, työntekijöitä tai muita henkilöitä koskevia Henkilötietoja.

Tämän Tietojenkäsittelysopimuksen tarkoitus on varmistaa Henkilötietoja koskeva tietosuoja ja tietoturva, kun Tietojenkäsittelijä käsittelee Henkilötietoja Rekisterinpitäjän puolesta.

3 Määritelmät

”Henkilötietoja” ovat kaikki elossa olevaan tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot, joista henkilö voidaan tunnistaa. Tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti tunnisteiden, kuten nimen, osoitteen, henkilötunnuksen, liittymänumeron, IP-osoitteen, sijaintitiedon, verkkotunnisteen, välitystietojen tai viestin sisällön perusteella taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Muilta osin, seurataan Sopimuksessa todettuja määritelmiä.

4 Tietojenkäsitelijän velvollisuudet

Tietojenkäsittelijä saa käsitellä Henkilötietoja ainoastaan Tietojenkäsittelysopimuksessa määriteltyjen dokumentoitujen ohjeiden mukaisesti. Tietojenkäsittelijä ei saa käyttää alihankkijoita ilman etukäteen hankittua kirjallista lupaa Rekisterinpitäjältä.

Hyväksyttyjen alihankkijoiden tulee noudattaa samoja tietojenkäsittelyperiaatteita ja velvoitteita kuin tässä sopimuksessa. Alihankkijoille toimitetaan kirjallinen ohje henkilötietojen käsittelystä Tietojenkäsittelijän toimesta, lisäksi Tietojenkäsittelijä vasta alihankkijoiden työstä kuin omastaan. Ennen kuin Tietojenkäsittelijä vaihtaa tai lisää henkilötietojen käsittelyyn osallistuvia alihankkijoita, Tietojenkäsittelijä ilmoittaa asiasta kirjallisesti Rekisterinpitäjälle ilman aiheetonta viivästystä. Jos Rekisterinpitäjä ei hyväksy alihankkijan vaihtamista tai lisäämistä, Tietojenkäsittelijällä on oikeus irtisanoa Sopimus kolmenkymmenen (30) päivän irtisanomisajalla.

Tietojenkäsittelijä hyväksyy ja vakuuttaa, että Osapuolten väliseen Sopimukseen liittyvien Henkilötietojen käsittely on sovellettavan tietosuojalainsäädännön mukaan laillista ja vakuuttaa erityisesti, että:

(a) Tietojenkäsittelijän toiminta perustuu oikeutettuihin tarkoituksiin, joilla on lailliset perusteet.

(b) Tietojenkäsittelijällä on oikeus siirtää Henkilötiedot rekisteriin käsittelyä varten.

Tietojenkäsittelijä hyväksyy ja ymmärtää Rekisterinpitäjän ohjeistuksen tietojen käsittelystä:

Tietojenkäsittelyohje

Tietojen käsittelyssä tulee noudattaa äärimmäistä huolellisuutta ja noudattaa kaikkia Tietojenkäsittelysopimuksessa mainittuja seikkoja, jotta varmistetaan henkilötietojen asianmukainen käsittely.

Rekisterinpitäjän luovuttamia tietoja tulee käsitellä vain Palvelun käyttämiseen, tarjoamiseen tai ylläpitämiseen perustuvan perustellun tarpeen johdosta. Tietojenkäsittelijä toimii kuitenkin myös Palvelun kautta myytävien palvelujen ja tuotteiden tarjoajana Loppukäyttäjille ja siltä osin Tietojenkäsittelijä voi käyttää henkilötietoja myös esimerkiksi palveluiden ja tuotteiden toimittamiseen, markkinointiin ja muihin vastaaviin tarkoituksiin lakien, henkilötietolain ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti.

Henkilötietojen tarkastelemisesta jää aina jälki Rekisterinpitäjän Palvelun käsittelyhistoriaan. Rekisterinpitäjän luovuttamiin henkilötietoihin liittyvät työdokumentit tulee viivyttelemättä ja tietoturvallisesti tuhota käytön jälkeen. Tietojenkäsittelijää ja Rekisterinpitäjää sitoo salassapitovelvollisuus henkilötietoihin liittyen.

5 Rekisterinpitäjän velvollisuudet

Rekisterinpitäjä vakuuttaa, että tämä Tietojenkäsittelysopimus sekä Rekisterinpitäjän antamat lainmukaiset ohjeet antavat riittävät takuut siitä, että Tietojenkäsittelijän Sopimuksen nojalla suorittama Henkilötietojen käsittely täyttää Sovellettavan tietosuojalainsäädännön vaatimukset. Osapuolet sopivat yhteisesti mahdollisista muutoksista tietojenkäsittelyohjeeseen. Lisäksi Rekisterinpitäjää velvoittaa voimassa oleva lainsäädäntö ja EU:n tietosuoja-asetus (GDPR).

Rekisterinpitäjä saa käyttää alihankkijoita. Alihankkijoiden tulee noudattaa samoja tietojenkäsittelyperiaatteita ja velvoitteita kuin tässä sopimuksessa. Lisäksi maksutietoja prosessoivat kaikki ne maksujenvälittäjät, maksutapojen tarjoajat, joita Sinä tai Loppuasiakkaasi käyttävät Palvelussa. Rekisterinpitäjä käyttää myös muita Tietojenkäsittelijöitä ja heidän tarjoamiaan sovelluksia Palvelun tarjoamiseksi ja tietoja voidaan käsitellä myös näissä sovelluksissa ja prosesseissa lakien ja ehtojen mukaisesti.

6 Tietojen luovutus EU-alueen ulkopuolelle

Henkilötietoja voidaan siirtää Euroopan unionin tai Euroopan talousalueen ulkopuolelle tietosuojalainsäädännön mukaisesti. Rekisterinpitäjällä on oikeus milloin tahansa saada Tietojenkäsittelijältä tiedot henkilötietojen käsittelyn sijainnista.

7 Tietoturva

Rekisterinpitäjä ja Tietojenkäsittelijä ottaa huomioon Palveluun liittyvät riskit ja tekee ne huomioiden tarpeelliset toimenpiteet hallinnollisesti ja tietoteknisesti, jotta riskit Rekisterinpitäjän ja Tietojenkäsittelijän toimittamaan henkilötietodatan oikeudettomaan käyttöön minimoidaan. Lisäksi Rekisterinpitäjä tekee tarvittavat toimenpiteet, jotta tietojen eheys ja saatavuus taataan. Rekisterinpitäjä ja Tietojenkäsittelijä varmistavat omilla tahoillaan, että henkilötietoja käsittelevät työntekijät ovat saaneet asiaankuuluvan koulutuksen ja ohjeistuksen henkilötietojen käsittelyyn.

Rekisterinpitäjä tekee Palvelussa ja omissa toimissaan muun muassa, mutta ei rajoittuen, seuraavia tietoturvatoimia henkilötietojen suojaamiseksi:

  • Henkilötietojen salaus
  • Henkilötietojen minimointi
  • Käyttöoikeushallinta ja käyttöoikeuksien minimointi
  • Tekniset ratkaisut tiedonsiirron salaamiseksi
  • Hallinnollinen tietoturva
  • Riskienhallinta
  • Järjestelmien tietoturvatestaus
  • Dokumentoidut ja asianmukaiset riskienhallinta- ja tietoturvaprosessit
Tietojenkäsittelijä sitoutuu tekemään muun muassa, mutta ei rajoittuen, seuraavia tietoturvatoimia henkilötietojen suojaamiseksi:

  • Järjestelmien, laitteiden ja yhteyksien riittävän hyvä tietoturva ja suojaus
  • Henkilötietoja käsitellään pääosin vain Palvelun käyttöliittymässä
  • Henkilötietoja ladataan palvelusta paikalliseksi vain väliaikaisesti
  • Väliaikaisesti ladatut tiedot tulee poistaa välittömästi turvallisesti käytön jälkeen
  • Väliaikaiset henkilötietoja sisältävät paperit tai tiedostot tulee siirtää viiveettä Palveluun ja tuhota siirtämisen jälkeen
  • Ulkopuolisten pääsyn estäminen henkilötietoihin tai Palveluun oikeudetta
Tietojenkäsittelijä takaa Rekisterinpitäjälle tietosuojalainsäädännön edellyttämät oikeudet Tietojenkäsittelijän auditointiin. Kumpikin osapuoli vastaa omalta osaltaan tarkastuksista aiheutuvista kustannuksista.

8 Toimenpiteet tietoturvaloukkauksen sattuessa

Tietoturvaloukkauksen tietoonsa saaneen Tietojenkäsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Rekisterinpitäjälle välittömästi. Rekisterinpitäjällä on tietoturvaloukkauksen tietoonsa saatuaan 72 tuntia aikaa ilmoittaa tietoturvaloukkauksesta viranomaisille ja niille Osapuolille, Myyjille tai Loppukäyttäjille, joita tietoturvaloukkaus koskee.

Tietoturvaloukkauksen kohteena olleen Tietojenkäsittelijän on annettava Rekisterinpitäjälle, tai Rekisterinpitäjän tulee antaa tietoturvaloukkauksen kohteena olleille Osapuolille, Myyjille tai Loppukäyttäjille vähintään seuraavat tiedot tietoturvaloukkauksesta:

a) kuvattava henkilötietojen tietoturvaloukkaus

b) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;

c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

d) kuvattava toimenpiteet, joita kyseinen osapuoli ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

9 Henkilötietojen poistaminen ja tarkastaminen

Tietojenkäsittelijän on tämän Sopimuksen päättyessä tai Rekisterinpitäjän ilmoittaessa lakattava käsittelemästä henkilötietoja, joita se on siihen asti käsitellyt.

Jos Loppukäyttäjä ilmaisee Rekisterinpitäjälle tai Tietojenkäsittelijälle, että hän haluaa henkilötietonsa poistettavan Palvelusta, tulee kyseisen henkilön tietojen käsitteleminen lopettaa ja saattaa pyyntö Rekisterinpitäjän tietoon. Rekisterinpitäjä vastaa henkilön tietojen poistamisesta Palvelusta ja suorittaa pyynnön kohtuullisessa ajassa varmistuttuaan Loppukäyttäjän henkilöllisyydestä ja pyynnön oikeellisuudesta.

Jos Loppukäyttäjä ilmaisee Rekisterinpitäjälle tai Tietojenkäsittelijälle, että hän haluaa henkilötietonsa tarkasteltavaksi Palvelusta, tulee pyyntö saattaa Rekisterinpitäjän tietoon. Rekisterinpitäjä vastaa henkilön tietojen koostamisesta Palvelusta ja toimittaa pyynnön mukaiset tiedot kohtuullisessa ajassa varmistuttuaan Loppukäyttäjän henkilöllisyydestä ja pyynnön oikeellisuudesta.

10 Vastuut

Kolmansien osapuolten mitä tahansa vahinkoa koskevia vaateita, jotka aiheutuvat siitä, että Tietojenkäsittelijä rikkoo voimassaolevaa lainsäädäntöä, Sopimusta tai Ehtoja on täysin korvausvelvollinen Rekisterinpitäjälle. Tietojenkäsittelijä on siis vastuussa omalta osaltaan muun muassa kustannuksista, kuluista, korvauksista, menetyksistä ja vahingoista, joita Rekisterinpitäjälle, Tietojenkäsittelijälle tai kolmannelle osapuolelle aiheutuu tämän Tietojenkäsittelysopimuksen, ja/tai Sovellettavan tietosuojalainsäädännön taikka toimivaltaisen tietosuojaviranomaisen tekemän päätöksen vastaisesta menettelystä.

11 Sopimuksen siirto tai muutokset

Tietojenkäsittelysopimuksen siirron ja muutosten osalta seurataan Sopimusta.

12 Sovellettava laki ja riitojen ratkaisu

Tähän tietojenkäsittelysopimukseen sovelletaan Sopimuksessa sovittua lakia. Kaikki tästä Tietojenkäsittelysopimuksesta johtuvat riidat, riita-asiat ja vaatimukset ratkaistaan Sopimuksessa sovitulla tavalla.

Löysitkö etsimäsi vastauksen?