Tämä tietosuojaliite on erottamaton osa Palvelukuvausta ja Sopimusta.
(a) “Tietosuojalainsäädäntö” tarkoittaa Suomessa ja Euroopan Unionissa kulloinkin voimassa olevaa ja sovellettavaa tietosuojalainsäädäntöä (mukaan lukien muttei rajoittuen Yleiseen tietosuoja-asetukseen) sekä tietosuojaviranomaisten sitovia ohjeita ja määräyksiä;
(b) “Rekisteröity” tarkoittaa henkilöä, jonka Henkilötietoja käsitellään Osapuolten toimesta tämän tietosuojaliitteen ja Sopimuksen mukaisesti;
(c) “Henkilötieto” tarkoittaa kaikenlaista tietoa, joka koskee tunnistettua tai tunnistettavaa luonnollista henkilöä, ja jotka osapuoli on saanut Sopimuksen täyttämisen yhteydessä toiselta osapuolelta ennen tai jälkeen tämän tietosuojaliitteen voimaantuloa.
(e) “Henkilötietojen tietoturvaloukkaus” tarkoittaa tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka saanti;
(f) “Valvontaviranomainen” tarkoittaa mitä tahansa Lain mukaan toimivaltaista viranomaista;
(g) ”Yleinen tietosuoja-asetus” tarkoittaa 27. päivänä huhtikuuta 2016 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679.
(h) ”Tarkoitus” tarkoitetaan henkilötiedon käsittelyä mainonnan mittaamiseen tai analytiikkaan. Asiakkaalle ei ole oikeutta käsitellä henkilötietoja mihinkään muuhun tarkoitukseen. Asiakkaalla ei ole oikeutta jatkojalustaa, yhdistää, rikastaa, myydä, hyödyntää tai muuten käyttää Myyjän luovuttamaa Henkilötietoa. Asiakas ei saa myöskään muodostaa mitään kohderyhmiä tai uusiokäyttää kohderyhmää markkinointiin. Asiakkaan tulee tuhota kaikki Henkilötiedot 24 kuukauden päästä niiden vastaanottamisesta. Käsitteet, joita ei ole määritelty yllä, saavat saman merkityssisällön, jonka voimassa oleva Tietosuojalainsäädäntö niille antaa, ja näitä käsitteitä tulkitaan kulloisenkin Tietosuojalainsäädännön yleisen tulkinnan mukaisesti.
(1) Yleisvelvoite
Mikäli Sopimuksen yhteydessä siirretään tai luovutetaan toiselle Osapuolelle Henkilötietoja, kumpikin Osapuoli sitoutuu omalta osaltaan täyttämään sovellettavan Tietosuojalainsäädännön mukaiset ja tässä tietosuojaliitteessä erikseen mainitut velvoitteensa. Osapuolella tarkoitetaan tässä liitteessä joko Asiakasta tai Myyjää. Osapuolilla tarkoitetaan molempia.
(2) Henkilötietojen kerääminen
Osapuoli sitoutuu omalta osaltaan tietoja ensimmäisen kerran kerätessään ilmoittamaan rekisteröidyille tietojen keräämisestä ja käsittelemisestä. Rekisteröidyille ilmoitetaan:
(3) Henkilötietojen luovuttaminen
Kumpikin Osapuoli vakuuttaa ja vastaa omalta osaltaan siitä, että sillä on oikeus luovuttaa Henkilötiedot toiselle Osapuolelle ja että toisella Osapuolella on luovutuksen jälkeen itsenäinen oikeus käsitellä Henkilötietoja Tarkoituksen mukaisiin tarkoituksiin Sopimuksin mukaisin tavoin. Lisäksi kumpikin Osapuoli vakuuttaa ja vastaa omalta osaltaan siitä, että se on hankkinut Rekisteröidyiltä suostumukset Henkilötietojen luovuttamiseksi silloin, kun se on tietojen luovuttamisen edellytyksenä, ja että se on täyttänyt säädetyt tiedonantovelvoitteet erityisesti koskien Henkilötietojen luovuttamista.
(4) Rekisterinpitäjä
Käsitellessään Henkilötietoja kumpikin Osapuoli toimii Henkilötietojen osalta itsenäisenä rekisterinpitäjänä ja käsittelee Henkilötietoja itsenäisiin käyttötarkoituksiin. Näin ollen kumpikin Osapuoli vastaa omien toimiensa osalta itsenäisesti Henkilötietoihin liittyvistä Tietosuojalainsäädännön mukaisten velvoitteidensa täyttämisestä ja velvoitteiden laiminlyönneistä mahdollisesti aiheutuvista vahingoista.
Osapuolet toteavat selvyyden vuoksi, että mikäli Sopimuksen yhteydessä luovutetaan toiselle osapuolelle Henkilötietoja,
(a) Myyjä on rekisterinpitäjä siltä osin kuin se käsittelee Henkilötietoja omiin itsenäisiin käyttötarkoituksiinsa ja
(b) Asiakas on rekisterinpitäjä siltä osin kuin se käsittelee Henkilötietoja omiin itsenäisiin käyttötarkoituksiinsa. Käyttötarkoitukset Henkilötietojen käsittelylle ovat Tarkoituksen mukaiset. Kumpikaan osapuoli ei käsittele Sopimuksen alaisuudessa henkilötietoja Tietosuojalainsäädännön mukaisena Käsittelijänä toisen lukuun.
(5) Henkilötietojen käyttötarkoitus
Osapuolet sitoutuvat käyttämään Sopimuksen yhteydessä luovutettuja Henkilötietoja vain Sopimuksessa ja tässä tietosuojaliitteessä mainittuihin käyttötarkoituksiin noudattaen Tietosuojalainsäädäntöä ja hyvää tietojenkäsittelytapaa sekä Rekisteröidyn luovutukselle mahdollisesti asettamia ehtoja.
(6) Henkilötietojen käsittely
Molemmat Osapuolet ovat rekisterinpitäjinä vastuussa Tietosuojalainsäädännön mukaisista velvoitteista, erityisesti Rekisteröityyn nähden. Osapuolet varmistuvat, että niiden henkilöstö on ohjeistettu ja koulutettu tietosuojaan liittyvissä asioissa ja että niiden toiminnassa noudatetaan tietosuojan varmistavia toimintatapoja.
(7) Tietoturva
Kumpikin Osapuoli sitoutuu toteuttamaan tekniset, fyysiset ja organisatoriset toimenpiteet, joilla kumpikin Osapuoli varmistaa omalta osaltaan Henkilötietojen käsittelyn korkean turvallisuustason ja, joilla suojellaan Henkilötietoja luvattomalta tai laittomalta käsittelyltä sekä tahattomalta menettämiseltä, tuhoamiselta, vahingolta, muutokselta tai luovuttamiselta. Kumpikin Osapuoli sitoutuu siihen, että Osapuolen omat turvatoimet vastaavat tai ylittävät kaikkina aikoina (i) sovellettavien Lakien (mukaan lukien Yleisen tietosuoja-asetuksen 32(1) artiklassa esitetty turvallisuustaso) asettamia vaatimuksia; ja (ii) kulloinkin voimassa olevia toimialan yleisiä tietoturvatoimenpiteitä, jotka liittyvät Henkilötietojen käsittelyyn. Asiakas vastaa Myyjän kirjallisesta pyynnöstä Myyjän toimittamiin tietoturvakyselyihin, jotka koskevat Asiakkaan liittyviin palveluihin sovellettavaa tieto-turvallisuusohjelmaa.
(8) Salassapito ja henkilötietojen käsittely
Kumpikin Osapuoli sitoutuu omalta osaltaan varmistamaan, että henkilöt, jotka käsittelevät Henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta, tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. Kumpikin osapuoli sitoutuu omalta osaltaan huolehtimaan, että Henkilötietoja käsittelee ainoastaan henkilöt, jotka toteuttavat riittävät ja asianmukaiset tekniset ja organisatoriset suojatoimet sen varmistamiseksi, että käsittely täyttää Tietosuojasäännösten vaatimukset ja sillä varmistetaan Rekisteröidyn oikeuksien suojelu. Kumpikin osapuoli sitoutuu omalta osaltaan huolehtimaan siitä, että Henkilötietoja mahdollisesti käsittelevät kolmannet tahot noudattavat Tietosuojasäännösten asettamia vaatimuksia.
(9) Rekisteröityjen oikeuksiin vastaaminen
Molemmat Osapuolet ovat velvollisia täyttämään Rekisteröityjen Tietosuojalainsäädäntöön perustuvat oikeudet. Rekisteröity voi siten esittää Tietosuojalainsäädäntöön liittyviä vaatimuksia kummalle tahansa tai molemmille Osapuolille.
(10) Kolmannet osapuolet
Toimittaja on velvollisia varmistamaan, että kaikki ne tahot, jotka käsittelevät Asiakkaan Henkilötietoja (alihankkijat), noudattavat salassapitoa, tietoturvaa ja muita tässä tietosuojaliitteessä määriteltyjä velvollisuuksia. Asiakas on vastuussa käyttämiensä alihankkijoiden työstä ja on velvollinen säännöllisesti tarkkailemaan alihankkijoiden suorituksia. Mitä tahansa alihankkijan laiminlyöntiä, tahallista rikkomusta tai törkeää huolimattomuutta pidetään Asiakkaan laiminlyöntinä, tahallisena rikkomuksena tai törkeänä huolimattomuutena. Asiakkaan on pyynnöstä annettava Asiakkaalle tietoa alihankkijasuhteeseen liittyvän sopimuksen tietosuojaan ja turvallisuuteen liittyvien velvoitteiden toteuttamisesta.
(11) Viranomaisten tarkastukset ja auditointi
Kumpikin Osapuoli sallii toimivaltaisen Valvontaviranomaisen pyydettäessä tarkastaa tai auditoida Henkilötietojen käsittelyyn liittyvät järjestelmät, välineet ja niihin liittyvän dokumentaation, mikäli tämä on tarpeen lakisääteisten velvollisuuksien täyttämiseksi. Osapuolen on pyynnöstä avustettava toista Osapuolta kaikin kohtuullisin keinoin tarkastuksen tai auditoinnin yhteydessä, joka liittyy Sopimuksen yhteydessä luovutettaviin Henkilötietoihin. Jos toimivaltainen viranomainen katsoo Sopimukseen liittyvän Henkilötietojen luovutuksen olevan Tietosuojasäännösten tai hyvän tietojenkäsittelytavan vastaista, Osapuolten on välittömästi ryhdyttävä toimen-piteisiin varmistaakseen, että Osapuolet jatkossa noudattavat Tietosuojalainsäädännön ja hyvän tietojenkäsittelytavan vaatimuksia. Myyjä voi auditoida Asiakkaan milloin tahansa ja varmistaa, että Henkilötietoja on käsitelty Tarkoituksen mukaisesti. Asiakkaan on avustettava auditoinnissa.
(12) Henkilötietojen tietosuojaloukkaus
Osapuolen on ilmoitettava ilman aiheeton viivästystä toiselle Osapuolelle, jos:
(a) Osapuoli vastaanottaa toimivaltaiselta viranomaiselta Sopimuksen nojalla luovutettaviin Henkilötietojen käsittelyyn liittyvän tiedustelun, vaateen tai pyynnön suorittaa tarkastus tai auditointi
(b) taikka jos Osapuoli havaitsee Sopimuksen nojalla luovutettuihin Henkilötietoihin liittyvän tietosuojaloukkauksen tapahtuneen.
Tietoturvaloukkauksen ilmetessä on Asiakkaan toimittava soveltuvan tietosuojalainsäädännön edellyttämällä tavalla ja ryhdyttävä kaikkiin tarvittaviin toimenpiteisiin, mukaan lukien seuraavat: Asiakas (i) tutkii Tietoturvaloukkauksen, (ii) selvittää Tietoturvaloukkauksen vaikutukset, (iii) ryhtyy kaupallisesti kohtuullisin toimin sovellettavan lain sallimissa rajoissa soveltuvan lainsäädännön edellyttämiin toimenpiteisiin Tietoturvaloukkauksen vaikutusten lieventämiseksi, ja (iv) lähettää ajoissa lakisääteiset ilmoitukset henkilöille, joihin Tietoturvaloukkaus vaikuttaa.
(13) Rajat ylittävät siirrot
Mikäli Asiakas siirtää Henkilötietoja EU:n tai ETA-alueen ulkopuolelle, Asiakas sitoutuu ja/tai varmistumaan siitä, että sen käyttämä henkilötietojen käsittelijä sitoutuu solmimaan etukäteen Euroopan komission Mallisopimuslausekkeet, sisältäen Mallisopimuslausekkeiden liitteenä olevan vahingonkorvausehdon, Asiakkaan kanssa.
(14) Henkilötietojen poistaminen
Osapuolet sitoutuvat poistamaan Sopimuksen yhteydessä saamansa Henkilötiedot 24 kuukauden kuluttua, paitsi jos ja siinä määrin kuin osapuolta pakottavassa Euroopan tai kansallisessa lainsäädännössä vaaditaan säilyttämään Henkilötiedot.
Huolimatta Sopimuksessa määritellyistä vastuunrajoituksista, Asiakas on vastuussa Asiakkaan ja sen Jäsenyritysten vahingoista, kustannuksista ja puolustamisesta, jotka aiheutuvat Asiakkaalle Asiakkaan tekemästä tämän muutossopimuksen rikkomuksesta. Asiakkaan tulee antaa Myyjälle kaikki tarpeellinen tieto, jotta Myyjä voi täyttää tässä kohdassa sovitut velvoitteensa. Mikäli Asiakas käsittelee Myyjän Henkilötietoja Tarkoituksen vastaisesti tai ei ole poistanut tietoja 24 kuukauden kuluttua niiden vastaanottamisesta, Asiakas on velvollinen maksamaan 100.000 € sopimussakkona jokaisesta rikkomuksesta tai aiheutuneen vahingon määrän, mikäli se on suurempi.
Tämän tietosuojaliitteen päättyminen tai sopimuksen päättyminen ei vapauta Osapuolia velvollisuudesta toteuttaa kaikki Tietosuojasäännösten mukaiset velvollisuutensa myös voimassaolon päättymisen jälkeen.
Tähän tietosuojaliitteeseen kohdan 10 mukaista lakia ja riidat ratkaistaan sopimuksen mukaan.
Mikäli Sopimuksen, yleisten ehtojen tai Palvelukuvaksen välillä on ristiriitaa, noudatetaan tätä tietosuojaliitettä ensisijaisesti. Asiakas ei saa siirtää tätä sopimusta kolmannelle osapuolelle.
Kaikki muutokset tähän muutossopimukseen on sovittava kirjallisesti.