Henkilötietojen käsittelyn edellytykset

Yleiset ehdot

Tätä sopimusliitettä ”Henkilötietojen käsittelyn edellytykset” sovelletaan osana Palvelusopimusta, jonka Vilkas Goup Oy:n (jäljempänä ”Vilkas”) on solminut Palvelusopimuksessa kohdassa 1.1 määritetylle Asiakkaalle (jäljempänä ”Asiakas”) kanssa koskien verkkokauppapalvelua (jäljempänä ”Sopimus”). Osapuolet sitoutuvat ottamaan tämän sopimusliitteen osaksi kaikkia jatkossa solmittavia sopimuksia Vilkkaan ja Asiakkaan välillä koskien henkilötietojen käsittelyä ja tietosuojaa.

Tämä sopimusliite on erottamaton osa Sopimusta ja se täydentää Sopimuksen sopimusehtoja.

Tässä sopimusliitteessä määritellään Asiakasta ja Vilkasta sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Vilkas Asiakkaan toimeksiannosta käsittelee henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä henkilötietoja Asiakkaan puolesta ja lukuun yksittäisessä sopimuksessa olevien sopimusehtojen lisäksi.

Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa kulloinkin voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä. Kumpikin osapuoli vastaa omalta osaltaan siitä, että henkilötietojen käsittely suoritetaan kyseiseen osapuoleen sovellettavan lainsäädännön mukaisesti ja hyvää tietojenkäsittelytapaa noudattaen. Lisäksi osapuolet sitoutuvat saattamaan henkilötietojen käsittelyn ja tietosuojan EU:n yleisen tietosuoja-asetuksen vaatimustasolle 25.5.2018 mennessä, jolloin tietosuoja-asetuksen soveltaminen alkaa.

Henkilötietojen käsittelyn kohde, kesto, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät kuvataan Sopimuksessa. Asiakas antaa Vilkkaalle kirjalliset ohjeet Sopimuksessa koskien henkilötietojen käsittelyä, joita Vilkas sitoutuu noudattamaan.

Osapuolten roolit henkilötietojen käsittelyssä

Asiakas toimii Sopimuksessa henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä. Osapuolet ymmärtävät, että rekisterinpitäjänä Asiakas saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää voimassaolevan henkilötietojen käsittelyyn ja tietosuojaan liittyvän lainsäädännön vaatimukset ja 25.5.2018 alkaen EU:n yleisen tietosuoja-asetuksen vaatimukset, ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

Vilkas toimii Sopimuksessa henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana Asiakkaan henkilötietojen käsittelijänä, joka käsittelee Asiakkaan henkilötietoja Asiakkaan puolesta ja lukuun. Vilkkaan Sopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat myös Asiakkaan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Asiakkaan puolesta ja lukuun.

Asiakas sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Asiakas on kuvannut Vilkkaalle Sopimuksen mukaisen henkilötietojen käsittelyn kohteen ja keston, käsittelyn luonteen ja tarkoituksen sekä henkilötietojen tyypin ja rekisteröityjen ryhmät Sopimuksessa tai erillisessä dokumentissä.

Asiakas antaa Vilkkaalle kirjalliset ohjeet koskien henkilötietojen käsittelyä. Vilkas sitoutuu noudattamaan kyseisiä ohjeita. Osapuolet sitoutuvat päivittämään ohjeistuksen ehtoja lainsäädännön tai viranomaisohjeistuksen muuttuessa merkittävästi niin laajasti kuin mahdollista, vastaamaan alkuperäisen ohjeistuksen mukaisia periaatteita. Asiakas varmistaa, että se on toimittanut Vilkkaalle kaikki tiedot, joita Vilkas tarvitsee ja on pyytänyt Asiakkaalta voidakseen suorittaa henkilötietojen käsittelyn lainsäädännön mukaisesti. Vilkas vastaa siitä, että se pyytää Asiakkaalta kaikki tiedot, joita se tarvitsee toimittaakseen palvelut osapuolten välisten sopimusten, tämän Sopimuksen ja kulloinkin voimassa olevien säännösten mukaisesti.

Alihankkijat, jotka käsittelevät henkilötietoja

Vilkas saa tällä sopimusliitteellä Asiakkaalta yleisen kirjallisen ennakkoluvan käyttää toisten henkilötietojen käsittelijöiden (jäljempänä ”alihankkija”) palveluksia. Vilkkaan on tiedotettava Asiakkaalle kaikista suunnitelluista muutoksista, jotka koskevat alihankkijoiden lisäämistä tai vaihtamista, ja annettava siten Asiakkaalle mahdollisuus vastustaa tällaisia muutoksia.

Vilkas ja sen mahdolliset alihankkijat, jotka henkilötietojen käsittelijöinä käsittelevät Asiakkaan henkilötietoja Asiakkaan puolesta ja lukuun, noudattavat kaikki tässä sopimusliitteessä ja muissa osapuolten välisissä sopimuksissa kuvattuja henkilötietojen käsittelijää koskevia velvollisuuksia. Vilkkaalla on velvollisuus omilla sopimuksissa sitouttaa käyttämänsä alihankkijat noudattamaan tämän sopimusliitteen ja muiden osapuolten välisten sopimusten ehtoja. Jos Vilkkaan käyttämä alihankkija ei täytä tietosuojavelvoitteitaan, Vilkas on vastuussa tällaisen Alihankkijan sopimusrikkomuksesta kuin omastaan suhteessa Asiakkaaseen.

Rekisterinpitäjän yleiset velvollisuudet ja oikeudet

Asiakkaalla on rekisterinpitäjänä velvollisuus antaa Vilkkaalle eli henkilötietojen käsittelijälle dokumentoidussa muodossa käsittelyä koskevat kattavat ja kohtuulliset lainsäädännönmukaiset ohjeet. Asiakkaalla on oikeus ja velvollisuus määrittää Sopimuksessa mukaisten henkilötietojen käsittelyn tarkoitus ja keinot.

Asiakkaalla on vastuu siitä, että kaikille rekisteröidyille, joiden henkilötietoja käsitellään, on toimitettu tarvittavat ilmoitukset ja tiedot. Asiakkaan tulee varmistaa, että henkilötietojen siirtäminen Vilkkaalle sekä Sopimuksen mukainen käsittely on lainmukaista henkilötietojen käsittelyn ajan, kuitenkin siten, että Vilkkaalla säilyy vastuu omasta toiminnastaan lainsäädännön mukaisesti.

Asiakkaalla on velvollisuus vahvistaa, että Sopimuksen mukainen henkilötietojen käsittely täyttää rekisterinpitäjän vaatimukset, mukaan lukien tietoturvavaatimukset ja että se on toimittanut Vilkkaalle kaikki tiedot, joita Vilkas tarvitsee ja on pyytänyt voidakseen suorittaa käsittelyn lainsäädännön mukaisesti.

Asiakkaalla on oikeus suorittaa valtuuttamallaan auditoijalla Vilkkaalle auditointeja, kuten tarkastuksia, koskien Sopimuksessa määrättyjen henkilötietojen käsittelyä ja tietosuojaa. Asiakkaalla on velvollisuus sopia Vilkkaan kanssa auditoinnin ajankohdasta ja sen muista yksityiskohdista hyvissä ajoin ennen auditoinnin suorittamista. Asiakas vastaa kaikista auditoinnista aiheutuvista kustannuksista ja korvaa siitä Vilkkaalle aiheutuvat kustannukset.

Henkilötietojen käsittelijän yleiset velvollisuudet ja oikeudet

Vilkas käsittelee henkilötietojen käsittelijänä henkilötietoja ainoastaan Asiakkaan eli rekisterinpitäjän antamien dokumentoitujen, lainmukaisten ja kohtuullisten ohjeiden mukaisesti, paitsi jos lainsäädännössä toisin vaaditaan. Vilkas tiedottaa Asiakasta tällaisesta oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi.

Vilkas sitoutuu varmistamaan, että kaikki henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan Sopimuksessa määrättyä salassapitovelvollisuutta tai mahdollista lakisääteistä salassapitovelvollisuutta.

Vilkas sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi alan vakiintuneiden käytäntöjen mukaiset ja objektiivisesti katsoen asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä käsittelyn sisältämät riskit, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen ja luvaton luovuttaminen tai henkilötietoihin pääsy. Vilkkaalla on oikeus laskuttaa Asiakkaalta tästä aiheutuvat kustannukset.

Vilkas auttaa mahdollisuuksiensa mukaan ja ottaen huomioon käsittelytoimen luonteen rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröidyn lainmukaisten oikeuksien käyttämistä.

Vilkas sitoutuu tarvittaessa ja korvausta vastaan avustamaan Asiakasta henkilötietojen käsittelyä koskevan lainsäädännön mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä ja mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa ottaen huomioon Vilkkaan saatavilla olevat tiedot ja käsittelyn luonteen.

Vilkas sitoutuu poistamaan tai palauttamaan erikseen sovittavasti Sopimukseen liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot Asiakkaalle ja poistaa olemassa olevat jäljennökset, paitsi jos lainsäädännössä vaaditaan säilyttämään henkilötiedot.

Vilkas saattaa Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen tässä sopimusliitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Asiakkaan valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Osapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ennen sen suorittamista. Asiakas vastaa kaikista auditoinnista aiheutuvista kustannuksista ja korvaa Vilkkaalle aiheutuvat kustannukset.

Tietoturvaloukkaukset

Tietoturvaloukkauksella tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten tämän sopimuksen tai muun osapuolten keskinäisen sopimuksen nojalla käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Vilkkaan on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Asiakkaalle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Vilkkaan on annettava Asiakkaalle vähintään seuraavat tiedot koskien tietoturvaloukkausta:

1. kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

2. ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;

3. kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

4. kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Vastuu vahingosta

Asiakas on rekisterinpitäjänä vastuussa vahingosta, joka on aiheutunut sen henkilötietojen käsittelystä, jolla on rikottu henkilötietojen käsittelyä ja tietosuojaa koskevaa lainsäädäntöä. Vilkas on henkilötietojen käsittelijänä vastuussa henkilötietojen käsittelyssä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja lainsäädännön velvoitteita tai jos se on toiminut Sopimuksessa annetun lainmukaisen rekisterinpitäjän ohjeistuksen ulkopuolella tai sen vastaisesti. Vilkas ei vastaa miltään osin tietosuojaan liittyvistä hallinnollisista sakoista.

Muut ehdot

Osapuolet ymmärtävät, että Sopimusta tehtäessä tietosuojaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat tässä sopimuksessa määriteltyihin Osapuolten asemaan tai velvollisuuksiin, tätä sopimusliitettä voidaan tarvittaessa niiltä osin tarkistaa.

Erimielisyydet

Tähän sopimusliitteeseen sovelletaan Suomen lakia poislukien lainvalintasäädökset. Tätä liitettä koskevat erimielisyydet pyritään ensisijaisesti ratkaisemaan keskinäisin neuvotteluin ja jos se ei tuota tulosta, riita voidaan viedä ratkaistavaksi Pirkanmaan käräjäoikeuteen.