Tietojenkäsittelysopimus

Voimassa September 29, 2023 alkaen | Näytä tietojenkäsittelysopimuksen edellinen versio | Vertaa muutoksia

Euroopan parlamentin ja neuvoston 27. huhtikuuta 2016 antaman yksilöiden suojelua henkilötietojen käsittelyssä sekä näiden tietojen vapaata liikkuvuutta koskevan sekä direktiivin 95/46/EY kumoavan EU-asetuksen 2016/679 (jäljempänä ”GDPR”) mukaisesti palveluntarjoaja (jäljempänä ”henkilötietojen käsittelijä”) sekä sinä (jäljempänä ”rekisterinpitäjä”) solmitte tietojenkäsittelyä koskevan sopimuksen, jossa määritellään henkilötietojen käsittelyn ehdot, henkilötietojen suojaustapa sekä molempien osapuolten muut rekisteröityjen henkilötietojen rekisterinpitäjän puolesta tapahtuvaa käsittelyä koskevat oikeudet ja velvollisuudet näiden pääsopimuksena sovellettavien ehtojen sisällön täytäntöönpanon aikana.

1. Henkilötietojen käsittely. Näiden ehtojen mukaisesti tarjotut palvelut sisältävät tietosuojakäytännössä mainittuun tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvien tietojen käsittelyä (jäljempänä ”henkilötiedot”).

2. Valtuutus. Rekisterinpitäjä valtuuttaa henilötietojen käsittelijän käsittelemään henkilötietoja. Käsittelyssä on noudatettava seuraavia ohjeita:

(i) Käsittelyn tarkoitus tarkoittaa näiden ehtojen mukaisten palvelujen tarjoamista. Henkilötietojen käsittelijä saa käsitellä henkilötietoja vain rekisterinpitäjän puolesta rekisterinpitäjän pyytämien palvelujen tarjoamista varten. Kaikkien muita tarkoituksia varten kerättyjen tietojen käsittelyyn ei sovelleta rekisterinpitäjän ja henkilötietojen käsittelijän välistä sopimusta.

(ii) Käsittelyaika tarkoittaa ajanjaksoa, joka alkaa näiden ehtojen mukaisen yhteistyön alkamisesta ja päättyy palvelujen lopettamiseen.

(iii) Henkilötietojen laajuus ja luokat. Palvelut on tarkoitettu vain yleisten henkilötietojen käsittelyyn. Rekisterinpitäjä on kuitenkin yksin vastuussa henkilötietojen laajuuden määrittämisestä.

(iv) Rekisteröity tarkoittaa luonnollista henkilöä, joka on rekisterinpitäjän laitteiden valtuutettu käyttäjä.

(v) Käsittelytoimet tarkoittavat kaikkia käsittelyn kannalta tarpeellisia toimenpiteitä.

(vi) Dokumentoidut ohjeet tarkoittavat näissä ehdoissa, niiden liitteissä, tietosuojakäytännössä ja palveludokumentaatiossa kuvattuja ohjeita. Rekisterinpitäjän vastuulla on varmistaa henkilötietojen käsittelijän suorittaman henkilötietojen käsittelyn oikeudellinen hyväksyttävyys sovellettavien tietosuojalainsäädännön säännösten mukaisesti.

3. Henkilötietojen käsittelijän velvollisuudet. Henkilötietojen käsittelijällä on seuraavat velvollisuudet:

(i) Henkilötietojen käsittely ainoastaan dokumentoitujen ohjeiden perusteella sekä ehdoissa, niiden liitteissä, tietosuojakäytännössä ja palveludokumentaatiossa määriteltyyn tarkoitukseen.

(ii) Henkilötietojen käsittelyyn valtuutettujen henkilöiden (jäljempänä ”valtuutetut henkilöt”) ohjeistaminen GDPR:n mukaisista oikeuksista ja velvollisuuksista sekä vastuista rikkomustapauksissa sekä sen varmistaminen, että valtuutetut henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta ja dokumentoituja ohjeita.

(iii) Ehdoissa, niiden liitteissä, tietosuojakäytännössä ja palveludokumentaatiossa kuvattujen toimenpiteiden toteuttaminen ja noudattaminen.

(iv) Rekisterinpitäjän avustaminen rekisteröityjen oikeuksiin liittyviin pyyntöihin vastaamisessa. Henkilötietojen käsittelijä ei saa korjata tai poistaa henkilötietoja tai rajoittaa niiden käsittelyä ilman rekisterinpitäjän ohjeita. Kaikki rekisteröidyn pyynnöt, jotka liittyvät rekisterinpitäjän puolesta käsiteltyihin henkilötietoihin, on välitettävä rekisterinpitäjälle viipymättä.

(v) Rekisterinpitäjän avustaminen henkilötietojen tietoturvaloukkauksista ilmoittamisessa valvontaviranomaisille ja rekisteröidyille. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle henkilötietojen käsittelyn tai suojauksen rikkomuksista välittömästi tilanteen havaitsemisen jälkeen. Henkilötietojen käsittelijän on tehtävä kohtuullisessa määrin yhteistyötä tällaisten rikkomusten tutkinnassa ja korjaamisessa sekä rajoitettava muita haitallisia vaikutuksia kohtuullisin toimin.

(vi) Rekisterinpitäjän valinnan mukaan kaikkien henkilötietojen poistaminen tai palauttaminen rekisterinpitäjälle käsittelyajan päättymisen jälkeen. Rekisterinpitäjä sitoutuu ilmoittamaan henkilötietojen käsittelijälle päätöksestään kymmenen (10) päivän kuluessa käsittelyajan päättymisestä. Tämä määräys ei vaikuta henkilötietojen käsittelijän oikeuteen säilyttää henkilötietoja tarvittavassa laajuudessa yleisen edun mukaisia arkistointitarkoituksia, tieteellisiä tutkimustarkoituksia, tilastollisia tarkoituksia tai oikeudellisten vaatimusten laatimista, käyttämistä tai puolustamista varten.

(vii) Ajantasaisen rekisterin pitäminen kaikista rekisterinpitäjän puolesta suoritettavien käsittelytoimien luokista.

(viii) Kaikkien sellaisten tietojen tarjoaminen rekisterinpitäjälle, jotka ovat tarpeen vaatimustenmukaisuuden osoittamiseksi osana ehtoja, niiden liitteitä, tietosuojakäytäntöä ja palveludokumentaatiota. Jos rekisterinpitäjä tarkastaa tai valvoo henkilötietojen käsittelyä, rekisterinpitäjä on velvollinen ilmoittamaan siitä henkilötietojen käsittelijälle kirjallisesti vähintään kolmekymmentä (30) päivää ennen suunniteltua tarkastusta tai valvontaa.

4. Toisen henkilötietojen käsittelijän käyttäminen. Henkilötietojen käsittelijällä on oikeus käyttää toista henkilötietojen käsittelijää tiettyjen käsittelytoimien suorittamiseen, kuten pilvitallennuksen ja infrastruktuurin tarjoamiseen, ehtojen, niiden liitteiden, tietosuojakäytännön ja palveluasiakirjojen mukaisesti. Tällä hetkellä Microsoft tarjoaa pilvitallennus- ja infrastruktuuripalveluita osana Azure-pilvipalvelua. Tällaisessa tapauksessa henkilötietojen käsittelijä pysyy ainoana yhteyspisteenä ja on vastuussa vaatimustenmukaisuudesta. Henkilötietojen käsittelijä sitoutuu ilmoittamaan rekisterinpitäjälle mahdollisesta toisen henkilötietojen käsittelijän lisäämisestä tai korvaamisesta tarjoten mahdollisuuden vastustaa tällaista muutosta.

5. Käsittelyalue. Henkilötietojen käsittelijä varmistaa, että henkilötietoja käsitellään Euroopan talousalueella tai Euroopan komission päätöksen mukaisesti turvalliseksi määritetyssä maassa rekisterinpitäjän päätöksellä. Vakiosopimuslausekkeita sovelletaan, jos henkilötietoja siirretään tai käsitellään Euroopan talousalueen tai Euroopan komission päätöksen mukaisesti turvalliseksi määritetyn maan ulkopuolelle.

6. Tietoturva Henkilötietojen käsittelijä on ISO 27001:2013 -sertifioitu, ja se noudattaa ISO 27001 -standardin mukaisesti kerroksellista puolustusstrategiaa soveltaessaan tietoturvavalvontaa verkon kerrokseen, käyttöjärjestelmiin, tietokantoihin, sovelluksiin, henkilöstöön ja toimintaprosesseihin. Sääntely- ja sopimusvaatimusten noudattamista arvioidaan ja tarkastellaan säännöllisesti samalla tavalla kuin muuta henkilötietojen käsittelijän infrastruktuuria ja toimintaa, ja jatkuva vaatimustenmukaisuus varmistetaan tarvittavin toimin. Henkilötietojen käsittelijä huolehtii tietoturvasta tietoturvan hallintajärjestelmän avulla ISO 27001 -standardin perusteella. Tietoturvadokumentaatio sisältää pääasiassa tietoturvaa, fyysistä turvallisuutta, laitteiden suojaamista, tietoturvapoikkeamien hallintaa sekä tietovuotojen ja tietoturvapoikkeamien käsittelyä koskevia toimintaperiaatteita.

7. Tekniset ja organisatoriset toimenpiteet. Henkilötietojen käsittelijän on suojattava henkilötietoja satunnaisilta ja laittomilta vahingoilta ja tuhoutumiselta, satunnaiselta katoamiselta, muutoksilta, luvattomalta käytöltä ja luovuttamiselta. Tätä tarkoitusta varten henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, jotka vastaavat käsittelytapaa ja käsittelyn aiheuttamaa riskiä rekisteröidyn oikeuksille, GDPR:n vaatimusten mukaisesti. Yksityiskohtainen kuvaus teknisistä ja organisatorisista toimenpiteistä on tietoturvakäytännössä.

8. Henkilötietojen käsittelijän yhteystiedot. Kaikki ilmoitukset, pyynnöt, vaatimukset ja muu henkilötietojen suojausta koskeva viestintä on lähetettävä ESET, spol. s.r.o.:lle ja osoitettava tietosuojavastaavalle: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.