Funktio- Henkilötietojen käsittelyä koskevat ehdot

1. Johdanto

Nämä henkilötietojen käsittelyä koskevat ehdot (”Liite”) ovat erottamaton osa Verkkoasema Oy:n (”Toimittaja”) ja asiakkaan (”Asiakas”) välistä SaaS-palvelusopimusta (”Sopimus”). Nämä ehdot tulevat voimaan, kun Asiakas hyväksyy Sopimuksen.

Tämä Liite määrittää ehdot Asiakkaan Henkilötietojen tietosuojan ja tietoturvan toteuttamiselle Toimittajan palveluissa. Tämä Liite muodostaa osapuolten välille EU:n yleisen tietosuoja-asetuksen (679/2016) mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä.

Jos tämän Liitteen ja Sopimuksen henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, osapuolet soveltavat ensisijaisesti tämän Liitteen ehtoja.

2. Määritelmät

Kaikilla viittauksilla ”henkilötietoihin”, ”rekisterinpitäjään”, ”käsittelyyn”, ”rekisteröityyn”, ”henkilötietojen tietoturvaloukkaukseen” ja muihin tietosuojalainsäädännössä määriteltyihin termeihin, joita ei ole tässä nimenomaisesti määritelty, on sama merkitys tässä henkilötietojen käsittelysopimuksessa kuin EU:n tietosuoja-asetuksessa.

3. Tietosuoja ja Henkilötietojen Käsittely

3.1      Toimittajan ja Asiakkaan vastuut

Toimittaja käsittelee Asiakkaan henkilötietoja Asiakkaan lukuun ja tämän toimeksiannosta Sopimuksen perusteella. Toimittajan käsittelemät henkilötiedot voivat liittyä esim. Asiakkaan asiakkaisiin tai potentiaalisiin asiakkaisiin.

Siltä osin kuin Toimittajan Asiakkaalle toimittamiin, Sopimuksen mukaisiin palveluihin liittyy henkilötietojen käsittelyä Asiakkaan puolesta ja lukuun, Asiakas on palvelussa käsiteltävien henkilötietojen rekisterinpitäjä ja Toimittaja käsittelijä.

Osapuolet sitoutuvat noudattamaan Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa, henkilötietojen käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän Liitteen ehtoja niiden mukaiseksi.

Asiakas on vastuussa siitä, että sillä on tarvittavat oikeudet ja suostumukset Sopimuksen mukaiseen henkilötietojen käsittelyyn. Asiakas vastaa tietosuojaselosteen laatimisesta ja saatavilla pidosta sekä rekisteröityjen informoinnista ja ilmoituksista tietosuojaviranomaisille. Asiakas vastaa Toimittajalle antamiensa henkilötietojen oikeellisuudesta.

Asiakkaalla on oikeus ja velvollisuus määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Käsittelyn kohde, luonne ja tarkoitus on tarkemmin määritelty tämän Liitteen liitteenä 1 olevassa Käsittelytoimien kuvauslomakkeessa sekä Sopimuksessa. Palveluissa käsiteltävien henkilötietojen tyypit ja rekisteröityjen ryhmät on myös määritelty liitteenä 1 olevassa Käsittelytoimien kuvauslomakkeessa.

Toimittajalla on oikeus käsitellä Asiakkaan henkilötietoja ja muita Asiakkaan tietoja vain Sopimuksen, tämän Liitteen ja Asiakkaan kirjallisten ohjeiden mukaisesti ja vain siltä osin ja siten kuin on tarpeellista palveluiden toimittamiseksi. Toimittaja ilmoittaa Asiakkaalle, mikäli Asiakkaan ohjeissa havaitaan EU:n tai Suomen tietosuojasäännösten vastaisuutta ja tällöin Toimittaja voi välittömästi kieltäytyä ja lopettaa soveltamasta Asiakkaan ohjeita.

Toimittaja ylläpitää palvelun kuvausta tai muuta EU:n tietosuoja-asetuksen vaatimaa selostetta palvelussa suoritettavista käsittelytoimista, mikäli voimassa oleva lainsäädäntö niin edellyttää. Toimittajalla on oikeus kerätä Sopimuksen mukaisten palvelujen käytöstä anonyymiä ja tilastollista tietoa, joka ei yksilöi Asiakasta eikä rekisteröityjä ja käyttää sitä palvelujensa analysointiin ja kehittämiseen.

3.2. Tietojen poisto/palauttaminen

Sopimuksen päätyttyä Toimittaja palauttaa kaikki Asiakkaan henkilötiedot Asiakkaalle tai poistaa ne olemassa olevine jäljennöksineen Asiakkaan antaman ohjeistuksen mukaisesti, ellei sovellettava lainsäädäntö edellytä henkilötietojen säilyttämistä.

3.3. Alihankkijat

Toimittajalla on oikeus käyttää alihankkijoita Asiakkaan henkilötietojen käsittelyssä. Toimittaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset henkilötietojen käsittelystä. Toimittaja ilmoittaa muutoksista alihankkijoiden käytössä ja pyydettäessä ilmoittaa Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen henkilötietojen käsittelyyn. Asiakkaalla on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä. Jos osapuolet eivät pääse yksimielisyyteen uuden alihankkijan käyttämisestä, Asiakkaalla on oikeus irtisanoa Sopimus kolmenkymmenen (30) päivän irtisanomisajalla siltä osin, kun alihankkijan muutos vaikuttaa Sopimuksen mukaiseen henkilötietojen käsittelyyn.

Selvyyden vuoksi todetaan, että Toimittajan käyttäessä Asiakkaan puolesta eri digitaalisen markkinoinnin sähköisiä työkaluja, (kuten Googlen, Active Campaignin ja Metan palveluita), muita Asiakkaan verkkosivustojen toimintaan liittyviä sähköisiä järjestelmiä, asiakkuudenhallintajärjestelmiä tai toiminnanohjausjärjestelmiä, tällaisten järjestelmien toimittajia ei pidetä Toimittajan alihankkijoina, vaan sopimussuhde syntyy suoraan kyseisein järjestelmän toimittajan ja Asiakkaan välille. Toimittaja ei ole missään vastuussa Asiakkaalle tällaisten järjestelmien toimittajien toiminnasta tai niiden harjoittamasta henkilötietojen käsittelystä.

3.4. Toimittajan avustamisvelvollisuus

Toimittaja siirtää välittömästi Asiakkaalle kaikki rekisteröidyiltä saamansa henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden käsittelyn kieltämistä koskevat pyynnöt tai muut rekisteröidyltä saamansa pyynnöt, jotka koskevat voimassa olevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä. Asiakkaan velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta. Ottaen huomioon käsittelytoimen luonteen, Toimittaja auttaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata rekisteröidyn pyyntöihin.

Toimittaja on velvollinen, ottaen huomioon henkilötietojen käsittelyn luonteen ja sen saatavilla olevat tiedot, auttamaan Asiakasta varmistamaan, että sille laissa asetettuja velvollisuuksia noudatetaan. Nämä velvollisuudet voivat käsittää tietoturvallisuutta, tietoturvaloukkauksista ilmoittamista, tietosuojaa koskevaa vaikutustenarviointia ja ennakkokuulemista koskevia velvoitteita taikka muita tietosuojaviranomaisen esittämiä vaatimuksia tai ohjeita. Toimittaja on velvollinen avustamaan Asiakasta ainoastaan sovellettavan tietosuojalainsäädännön henkilötiedon käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Ellei toisin sovita, Toimittajalla on oikeus laskuttaa tämän sopimuskohdan 3.4 mukaisista avustamis- ja muista toimista aiheutuvat kustannukset Asiakkaalta voimassa olevan hinnastonsa mukaisesti.

Toimittaja ohjaa kaikki tietosuojaviranomaisten tiedustelut suoraan Asiakkaalle, eikä Toimittajalla ole valtuuksia edustaa rekisterinpitäjää tai toimia rekisterinpitäjän puolesta rekisterinpitäjää valvovien tietosuojaviranomaisten kanssa.

4. Käsittely EU:n/ETA:n ulkopuolella

Toimittaja ja sen alihankkijat eivät pääsääntöisesti tallenna henkilötietoja EU-/ETA-alueen ulkopuolelle. Asiakas hyväksyy, että poikkeustilanteessa Toimittajan alihankkijalla voi olla pääsy henkilötietoihin EU-/ETA-alueen ulkopuolelta, esimerkiksi teknisen tuen tarjoamista varten. Tällaisiin siirtoihin sovelletaan Euroopan komission kulloinkin hyväksymiä mallisopimuslausekkeita ja/tai muuta vastaavaa EU:n yleisen tietosuoja-asetuksen hyväksymää juridista suojamekanismia. 

Selvyyden vuoksi todetaan, että Toimittajan käyttäessä Asiakkaan puolesta eri digitaalisen markkinoinnin sähköisiä työkaluja tai muita, edellä kohdassa 3.3 yksilöityjä sähköisiä järjestelmiä, Asiakas vastaa tällaisten järjestelmien puitteissa mahdollisesti tapahtuvien henkilötietojen siirroista EU-/ETA-alueen ulkopuolelle. Toimittaja ei ole osapuolena kyseisissä sopimuksissa, vaan sopimussuhde syntyy suoraan kyseisen järjestelmän toimittajan ja Asiakkaan välille.

5. Auditointi

Asiakkaalla tai tämän valtuuttamalla auditoijalla (ei kuitenkaan Toimittajan kilpailija) on oikeus auditoida tämän Liitteen alainen toiminta. Osapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 30 työpäivää ennen tarkastusta. Auditointi tulee suorittaa tavalla, joka ei haittaa Toimittajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden. Asiakkaan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Asiakas vastaa itselleen sekä Toimittajalle auditoinnista aiheutuvista kustannuksista. Toimittajalla on oikeus laskuttaa auditoinnista Toimittajalle aiheutuvat kustannukset Asiakkaalta voimassa olevan hinnastonsa mukaisesti.

6. Tietoturva

Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Asiakkaan henkilötietojen suojaamiseksi ottaen huomioon käsittelyn sisältämät riskit, joita ovat erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy. Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin sekä käsiteltävien henkilötietojen arkaluonteisuuteen.

Henkilötietoihin on pääsy vain sellaisilla henkilöillä, jotka tarvitsevat niitä työnsä puolesta. Salasanoja säilytetään salasanojen hallintaohjelmistossa. Toimittaja seuraa kaikesta tämän Sopimuksen mukaista henkilötietojen käsittelyä ja rajoittaa henkilötietoihin pääsyn vain sellaisille henkilöille, joilla on riittävät valtuudet ja koulutus sekä selkeästi määritelty tarve käsitellä henkilötietoja ja, jotka ovat sidottuja asianmukaisiin salassapitoehtoihin.

Toimittajan tietoverkot ja tietotekninen ympäristö on suojattu asianmukaisesti palomuureilla ja virustorjuntaohjelmilla. Laitteiden ja ohjelmistojen päivityksistä huolehditaan säännöllisesti ja laitteissa ja ohjelmistoissa on käytössä vahvat salasanat.

Fyysiset palvelimet sijaitsevat erillään lukitussa ja valvotuissa tiloissa, joissa on käytössä murtohälytysjärjestelmä.

Asiakas on velvollinen varmistamaan, että Toimittajalle tiedotetaan kaikista niistä Asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat tämän Liitteen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin ja henkilötietojen lainmukaisen käsittelyn suorittamiseen.

Toimittaja antaa pyynnöstä lisätietoja käytössä olevista teknisistä ja organisatorisista turvatoimista ja sallii niiden tarkastukset enintään kerran vuodessa erikseen sovittavalla tavalla. Tarkastusten kuluista vastaa Asiakas. Mikäli tarkastukset aiheuttavat lisätyötä Toimittajalle, on Toimittajalla oikeus veloittaa Asiakasta kulloinkin voimassa olevan hinnastonsa mukaisesti.

7. Tietoturvaloukkauksesta ilmoittaminen

Toimittajan on ilmoitettava Asiakkaalle kaikista henkilötietoihin kohdistuneista tietoturvaloukkauksista ilman aiheetonta viivytystä loukkauksesta tiedon saatuaan tai kun Toimittajan käyttämä alihankkija on saanut loukkauksen tietoonsa.

Asiakkaan pyynnöstä Toimittajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Siltä osin kuin kyseinen tieto on Toimittajan saatavilla, Toimittajan on Asiakkaalle tehtävässä ilmoituksessa kuvattava vähintään:

  • tapahtunut tietoturvaloukkaus,
  • mahdollisuuksien mukaan rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvoidut lukumäärät,
  • kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista, ja
  • kuvaus korjaavista toimenpiteistä, jotka Toimittaja on suorittanut tai tulee suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa, sekä tarvittaessa myös toimenpiteet mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi.

Toimittaja dokumentoi ja raportoi selvityksen tulokset ja suoritetut toimenpiteet Asiakkaalle.

Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaisille.

8. Vastuut

Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen tai Liitteen loukkauksista aineellista tai aineetonta vahinkoa, Toimittaja on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti sille osoitettuja EU:n tietosuoja-asetuksen tai tämän Liitteen velvoitteita.

Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollista sakoista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Toimittajan vastuu on joka tapauksessa rajoitettu, kuten Sopimuksessa on yksilöity.

Jos kolmas osapuoli tekee osapuolelle Liitteen mukaiseen henkilötietojen käsittelyyn liittyvällä perusteella korvausvaatimuksen, siitä on ilmoitettava toiselle osapuolelle viipymättä. Jos Toimittaja joutuu maksamaan kolmannelle osapuolelle vahingonkorvausta, Asiakkaan on hyvitettävä Toimittajalle tästä aiheutunut menetys sikäli, kun se ei johdu Toimittajan virheestä tai laiminlyönnistä sopimusehtojen noudattamisessa.

Vaatimukset Toimittajalle on tehtävä kirjallisesti viipymättä, mutta viimeistään neljäntoista (14) päivän kuluttua siitä, kun virhe on havaittu tai se olisi pitänyt havaita.

9. Muut ehdot

Toimittaja tiedottaa Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä Liitettä ja Asiakkaan antamia kirjallisia ohjeita.

Toimittaja voi päivittää tämän Liitteen ehtoja, mikäli päivitys on tarpeen (a) sovellettavan tietosuojalainsäädännön muutosten seurauksena tai (b) palveluissa tapahtuvista olennaisista muutoksista johtuen. Toimittaja ilmoittaa asiakkaalle kirjallisesti vähintään kolmekymmentä (30) päivää etukäteen muutoksista.

Jos tähän Liitteeseen tehdään Asiakkaan vaatimuksesta sellaisia muutoksia, joista aiheutuu Toimittajalle olennaisia lisäkustannuksia, niiden korvaamisesta sovitaan erikseen Toimittajan kulloinkin soveltama hinnasto huomioiden.  

Tämä Liite on voimassa (i) niin pitkään kuin Sopimus on voimassa tai (ii) osapuolilla on henkilötietojen käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.

Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Liitteen voimassaolon päättymisestä riippumatta, jäävät voimaan Liitteen päättymisen jälkeen.

10. Toimittajan yhteyshenkilöt henkilötietojen käsittelyyn liittyvissä asioissa

Verkkoasema Oy
Puhelinnumero                                     020 735 0299
Sähköpostiosoite                                info@funktio.fi 

LIITTEET                                     

1. Käsittelytoimien kuvauslomake

KÄSITTELYTOIMIEN KUVAUSLOMAKE (LIITE 1)

Tämä Käsittelytoimien kuvauslomake on Henkilötietojen käsittelyä koskevan liitteen erottamaton osa. Käsittelytoimien kuvauslomakkeessa yksilöidään käsittelytoimeksianto, jonka Käsittelijä suorittaa Rekisterinpitäjän lukuun, siten kun Sopimuksessa ja tässä Liitteessä tarkemmin kuvataan.

PalvelutKäsittely koskee seuraavia Rekisterinpitäjän toimeksi antamia Palveluja (henkilötietojen käsittelyn kohde, luonne ja tarkoitus)
SaaS-palvelun tuottaminen ja siihen liittyvät kehitys- ja ylläpitopalvelut
Henkilötietojen maantieteellinen sijaintiHenkilötietoja käsitellään[1] seuraavissa maissa tai seuraavilla alueilla: EU/ETA-alue Toimittajan alihankkijalla voi poikkeustilanteessa olla pääsy henkilötietoihin EU-/ETA-alueen ulkopuolelta, esimerkiksi teknisen tuen tarjoamista varten
Rekisteröityjen ryhmätKäsiteltävät Henkilötiedot koskevat seuraavia Rekisteröityjen ryhmiä[2]: Rekisterinpitäjän työntekijät, asiakkaat, potentiaaliset asiakkaat ja muut sidosryhmät (palvelujen pääkäyttäjät ja järjestelmää käyttävät henkilöt)
Henkilötietojen tyypit      Käsiteltävät henkilötiedot koostuvat seuraavista Henkilötietojen tyypeistä[3]: Palvelun kohteena olevan tietojärjestelmän sisältämät tiedot, joihin Rekisterinpitäjä voi antaa Käsittelijälle pääsyn, kuten:perus- ja yhteystiedot, kuten nimi, sähköpostiosoite, osoite ja puhelinnumero, asiakasnumero tai muu yksilöivä tunnisteyritystä ja yrityksen yhteyshenkilöitä koskevat tiedot, kuten yhteyshenkilön nimi ja asema yrityksessäasiakkuuden hallintaan liittyvät tiedot, kuten tilaukset, ostot, laskutustiedot (kuten tilinumero, laskutusosoite) asiakashankintaan ja markkinointiin liittyvät tiedot, kuten rekisteröidylle osoitettu sähköinen suoramarkkinointi ja viestintä rekisteröidyn kanssatyösuhteeseen liittyvät tiedot, kuten työnantaja, työntekijän asema ja titteli, toimipaikka, työtehtävät, koulutus ja pätevyystiedot, palkkaa ja palkkioita koskevat tiedot, työaika ja läsnäolotiedottekniset tiedot, kuten IP-osoite, istuntotunniste, selaintiedot, reititystiedot, laitetunniste ja aikaleima, palvelun käyttöä koskevat lokitiedotmahdolliset muut rekisterinpitäjän määrittelemät tiedot, joita tietojärjestelmässä käsitellään
Erityiset henkilötietoryhmät[4] : Ei erityisiä henkilötietoryhmiä

[1] Mm. tallennus, säilytys, viankorjaus- ja ylläpitopalvelut ja kapasiteettipalvelut.

[2] Esim. työntekijät, asiakkaat, potentiaaliset asiakkaat, toimittajat

[3] Käsiteltävien henkilötietojen tyyppejä voivat olla esim. asiakastiedot ja toimittajan tiedot kuten nimi, titteli, kotiosoite, puhelinnumero, sähköpostiosoite, syntymäaika, sukupuoli, asiakasnumero, osto- ja palvelujen käyttöhistoria; sekä taloudelliset tiedot; työntekijä- ja henkilöstötiedot; sekä IT-hallintatiedot kuten laitteistojen tiedot liittyen tarjottaviin palveluihin, mukaan lukien tekniset tunnisteet, käyttäjänimet, sijainti, yhteystiedot, ja tarjottuihin palveluihin liittyvät tekniset tapahtumat, kuten järjestelmä- ja sovelluslokitiedot sekä turvallisuuslokitiedot, tilojen ja järjestelmien valvontatiedot ja tietoturvapoikkeamien tiedot. Merkitse myös henkilötunnuksen kerääminen taikka turvallisuusselvitykset tähän kohtaan.

[4] Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisten tai biometristen tietojen käsittely henkilön yksiselitteiseksi tunnistamiseksi, terveyteen liittyvät tiedot, seksuaalinen suuntautumiseen tai käyttäytymiseen liittyvät tiedot.