1/5 Tämä sopimusliite ( liite ) on olennainen ja erottamaton osa Pulse247 Oy:n ( Palveluntarjoaja ) ja asiakkaan ( Asiakas ) välisiä palveluja ( Palvelu ) koskevia käyttöehtoja (jäljempänä myös sopimus ). Mikäli sopimuksen ehtojen ja tämän liitteen ehtojen välillä on ristiriitaisuuksia, saa tämä liite etusijan. Määritelmät Tässä liitteessä käytetyt käsitteet saavat sen merkityssisällön, joka niille on annettu Euroopan Unionin asetuksessa luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ( Tietosuoja-asetus ). Tällaisia käsitteitä ovat erityisesti termit: Lainsäädäntö. Euroopan unionin tietosuoja-asetus (2016/679, GDPR ) sen soveltamispäivästä alkaen () ja mahdollista tulevaa, kulloinkin voimassa olevaa lainsäädäntöä Rekisterinpitäjä. Asiakas, joka määrittää Henkilötietojen Käsittelyn tarkoitukset ja keinot Rekisteröity. Lainsäädännön tarkoittama luonnollinen henkilö Henkilötiedot. Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot Käsittelijä. Palveluntarjoaja, joka Käsittelee Henkilötietoja Asiakkaan lukuun Käsittely. Mitä tahansa toimintaa tai toimintoja, joissa Henkilötietoja käsitellään Alihankkija. Palveluntarjoajan toimeksiannosta tämän liitteen mukaista Käsittelyä Palveluntarjoajan ja Asiakkaan lukuun suorittava taho Mallisopimuslauseke. Euroopan komission hyväksymiä vakiomuotoisia sopimusehtoja henkilötietojen luovuttamisesta EU:n rekisterinpitäjiltä kolmansien maiden käsittelijöille (päätös 2002/16 EY) Tarkoitus Tällä liitteellä osapuolet sopivat siitä, että Palveluntarjoaja henkilötietojen Käsittelijänä Käsittelee sopimuksen voimassaoloaikana henkilötietoja Asiakkaan, rekisterinpitäjän, lukuun. Asiakkaan velvollisuudet Asiakas toimii sovellettavassa lainsäädännössä tarkoitettuna Rekisterinpitäjänä niiden asiakkaitaan, työntekijöitään tai muita henkilöitä koskevien henkilötietojen osalta, joita Palveluntarjoaja Käsittelee Palvelussa sen toteuttamiseksi ( Asiakkaan Henkilötiedot ). Asiakas määrittelee miten Henkilötietoja käytetään, vaihdetaan tai muuten Käsitellään. Asiakkaan tehtävä on varmistaa, että kaikille rekisteröidyille on asianmukaisesti ilmoitettu, ja että heille on annettu tarpeelliset tiedot heidän Henkilötietojensa Käsittelystä, sekä että Asiakkaalla on tarvittavat oikeudet ja suostumukset Henkilötietojen Käsittelyyn. Asiakas on vastuussa myös Käsittelyä koskevan selosteen laatimisesta.
2/5 Asiakas siirtää palveluun ja järjestelmiin vain sellaista tietoa, jota sillä on oikeus käsitellä kulloinkin soveltuvan tietosuojalainsäädännön mukaan. Asiakas on velvollinen ilmoittamaan Palveluntarjoajalle kaikista sellaisista seikoista (mukaan lukien erityiset riskit tai henkilötietoryhmät), jotka edellyttävät ylimääräisiä teknisiä tai organisatorisia suojaustoimenpiteitä. Asiakas on myös vastuussa Palvelua käyttävistä työntekijöistään ja henkilöistä, joille Asiakas on antanut pääsy- tai käyttöoikeuden Palveluihin. Asiakas on vastuussa myös, mikäli kolmas osapuoli pääsee käsiksi sen Henkilötietoihin tai Palveluun, vaikka Asiakas ei olisi antanut lupaa tietojen Käsittelyyn, jos Asiakas ei ole suorittanut tarpeellisia turvallisuustoimenpiteitä. Asiakas ilmoittaa Palveluntarjoajalle ilman aiheetonta viivästystä, jos Asiakkaan tietoon tulee tietoturvaloukkaus, joka saattaa koskea Palveluntarjoajan Asiakkaan lukuun käsittelemiä henkilötietoja. Jos Palveluntarjoaja tarvitsee tietoturvaloukkaustilanteessa tarpeellisia tietoja Asiakkaalta voidakseen täyttää tämän tietosuojaliitteen ja lainsäädännön mukaiset velvollisuutensa, Asiakkaan on annettava ne ilman aiheetonta viivytystä. Palveluntarjoajan velvollisuudet Palveluntarjoaja ja sen alaisuudessa toimiva henkilöstö Käsittelee Asiakkaan lukuun henkilötietoja vain sopimuksen ja liitteiden mukaisesti sekä mahdollisen erikseen sovitun kirjallisen ohjeistuksen mukaisesti, ellei kulloinkin sovellettavassa lainsäädännössä toisin mainita. Palveluntarjoaja pitää Asiakkaan Henkilötiedot luottamuksellisena ja varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta. Palveluntarjoajan on ylläpidettävä kaikkia tarpeellisia selosteita, ja Asiakkaan pyynnöstä annettava saataville kaikki sellaiset tiedot, jotka ovat tarpeen tämän Liitteen sekä lainsäädännön mukaisten velvoitteiden noudattamisen osoittamiseksi. Palveluntarjoaja ilmoittaa Asiakkaalle ilman aiheetonta viivästystä saatuaan tietoonsa Asiakkaan lukuun käsiteltäviä henkilötietoja koskeva tietoturvaloukkaus. Ottaen huomioon Käsittelyn luonteen ja saatavilla olevat tiedot, Palveluntarjoaja antaa Asiakkaalle tarpeelliset tiedot tietoturvaloukkauksesta, jotta Asiakas voi täyttää sovellettavan tietosuojalainsäädännön vaatimukset, kuten ilmoitusvelvollisuutensa tai tietoturvaloukkausten dokumentointivelvollisuutensa. Palveluntarjoaja ilmoittaa Asiakkaalle viipymättä, mikäli Rekisteröidyt esittävät tietojaan koskevia vaatimuksia suoraan Palveluntarjoajalle. Alihankinnat Asiakas antaa Palveluntarjoajalle luvan käyttää alihankkijoita henkilötietojen Käsittelyssä. Alihankkijat Käsittelevät henkilötietoja heidän kanssaan sovitun mukaisessa laajuudessa. Palveluntarjoajan käyttäessä alihankkijoita Asiakkaan Henkilötietojen Käsittelyyn, Palveluntarjoaja huolehtii siitä, että Alihankkijaan sovelletaan sopimuksen tai muun oikeudellisen asiakirjan perusteella samoja tai vähintään yhtä tiukkoja tietosuojavelvoitteita kuin tässä tietosuojaliit-
3/5 teessä. Erityisesti Alihankkijan on annettava riittävät takeet siitä, että Käsittelyyn liittyvät tekniset ja organisatoriset toimet toteutetaan niin, että Käsittely täyttää sovellettavan lainsäädännön vaatimukset. Palveluntarjoaja vastaa sen Alihankkijoiden suorittamista Palveluista samaan tapaan kuin jos se itse olisi suorittanut Palvelut. Asiakkaalla on oikeus pyytää tietoa Palveluntarjoajan käyttämistä alihankkijoista ja alihankkijoihin tiedossa olevista muutoksista. Asiakkaalla on oikeus vastustaa alihankkijan käyttöä henkilötietojen Käsittelyssä. Palveluntarjoajalla on oikeus irtisanoa sopimus, mikäli Palvelun toimintaa tai turvallisuutta ei voida varmistaa Asiakkaan vastutuksesta johtuen. Selvyyden vuoksi todettakoon, että Asiakas voi Palvelussa aktivoida ominaisuuksia, joiden yhteydessä tietoja siirretään kolmannelle osapuolelle, kuten maksu-, logistiikka- tai analytiikkapalveluiden tarjoajalle, joka Käsittelee Asiakkaan Henkilötietoja Asiakkaan lukuun. Tällöin kolmatta osapuolta ei pidetä Palveluntarjoajan Alihankkijana. Asiakas on vastuussa näiden kolmansien osapuolien käsittelytoimien dokumentoinnista omissa selosteissaan. Rekisteröidyn oikeuksien toteuttaminen Sopimuksen voimassaoloaikana Asiakas voi pyytää, että Palveluntarjoaja avustaa Asiakasta soveltuvan tietosuojalainsäädännön vaatimien velvoitteiden täyttämisessä. Palveluntarjoaja auttaa ja tukee Asiakasta varmistamaan, että tämä voi rekisterinpitäjänä täyttää velvollisuutensa vastata tietosuoja-asetuksessa säädettyjen rekisteröidyn oikeuksien käyttämistä koskeviin pyyntöihin. Tällaisia oikeuksia voivat olla muun muassa, sellaisina kuin ne on tietosuoja-asetuksessa määritelty, rekisteröidyn oikeus saada pääsy tietoon, oikeus saada tieto korjatuksi, oikeus kieltää Käsittely, oikeus tietojen poistamiseen (ns. oikeus tulla unohdetuksi ), oikeus Käsittelyn rajoittamiseen ja oikeus saada tiedot siirretyksi järjestelmästä toiseen. Osan kyseisiin velvollisuuksiin liittyvistä tehtävistä Asiakas voi suorittaa Palvelun kautta. Palveluntarjoaja pyrkii kehittämään menetelmiä ja teknisiä ratkaisuja Palveluun, jotka mahdollistavat Rekisteröidyn oikeuksien toteutumisen ja niitä koskeviin pyyntöihin vastaamisen. Ottaen huomioon Käsittelyn luonteen sekä Palveluntarjoajan saatavilla olevat tiedot Palveluntarjoaja voi Asiakkaan pyynnöstä ja kustannuksella avustaa Asiakasta vastaamaan Rekisteröidyn pyyntöihin edellyttäen että kyseiset velvollisuudet liittyvät Palveluun ja ovat kohtuullisia. Salassapito Kaikkia henkilötietoja joita henkilötietojen Käsittelijä Käsittelee rekisterinpitäjän lukuun pidetään rekisterinpitäjän luottamuksellisina tietoina ja henkilötietojen Käsittelijä sitoutuu pitämään tiedot salassa ja olemaan luovuttamatta tai paljastamatta niitä kenellekään kolmannelle osapuolelle tai käyttämättä tietoja muuhun kuin sovittuun tarkoitukseen. Henkilötietojen Käsittelijä sitoutuu myös olemaan luovuttamatta ja paljastamatta henkilötietoja omassa organisaatiossaan muille kuin sellaisille työntekijöilleen tai muille henkilöille (ml. mahdolliset alihankkijat), joiden on tarpeen tuntea kyseinen tieto sovittua tarkoitusta varten ja jotka ovat palvelu- tai muiden sopimustensa
4/5 perusteella taikka lakisääteisesti velvollisia pitämään tiedon luottamuksellisena. Salassapitovelvoitteet pysyvät voimassa sopimuksen päättymisestä huolimatta. Tietoturva Palveluntarjoaja toteuttaa asianmukaiset toimenpiteet niin, että Käsittely täyttää sovellettavan lainsäädännön vaatimukset ja suojatoimet, joilla pyritään estämään henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Näissä toimenpiteissä huomioidaan riskiä vastaava turvallisuustason varmistaminen. henkilötietojen pseudonymisointi ja salaus; kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Henkilötietojen tietoturvaloukkaukset Kumpikin osapuoli ilmoittaa ilman aiheetonta viivästystä tietoonsa tulevasta tietoturvapoikkeamasta ja -loukkauksesta. Ilmoitukseen on liitettävä seuraavat tiedot, jos ne ovat saatavilla: tietomurtoon johtaneet olosuhteet kuvaus tietomurron luonteesta, mukaan luettuna mahdollisuuksien mukaan tietomurron kohteena olleet Henkilötietojen ryhmät ja arvioitu lukumäärä sekä kohteena olleet rekisteröityjen henkilöiden ryhmät ja arvioitu lukumäärä kuvaus tietomurron todennäköisistä seurauksista kuvaus toimenpiteistä, jotka on toteutettu tai joita on ehdotettu toteutettavaksi tietomurtoon reagoimiseksi, mukaan lukien tarvittaessa toimenpiteet sen mahdollisten haittavaikutusten lieventämiseksi Kumpikin osapuoli tutkii kaikki syyt tietomurtoon omalla vastuualueellaan ja ryhtyy asianmukaisiin toimiin tietomurron pysäyttämiseksi, sen vaikutusten lieventämiseksi sekä muiden vastaavien murtojen estämiseksi. Osapuolten on dokumentoitava ja ilmoitettava toiselle osapuolelle tutkimuksensa tulokset ja toteutetut toimet. Osapuolet tekevät kohtuulliseksi katsottavaa yhteistyötä voidakseen täyttää tietosuojaliitteen ja lainsäädännön mukaiset velvollisuutensa. Auditoinnit Asiakkaalla on oikeus suorittaa auditointi, kuten tarkastus, arvioidakseen tämän liitteen mukaisten tietosuojavelvoitteiden täyttämistä ja tietoturvan tasoa. Asiakas voi valtuuttaa kolmannen tahon suorittamaan auditoinnin. Valtuutettu kolmas taho ei saa olla Palveluntarjoajan kilpailija. Palveluntarjoajalla on oikeus määrittää onko valtuutettu kolmas taho Palveluntarjoajan kilpailija. Palveluntarjoajalla on oikeus edellyttää sellaisen valtuutetun kolmannen tahon käyttämistä auditointiin, joka ei ole Palveluntarjoan kilpailija.
5/5 Palveluntarjoajan tulee osallistua tarkastuksiin ja antaa Asiakkaalle kaikki tiedot, jotka ovat tarpeen Palveluntarjoajan velvollisuuksien noudattamisen osoittamista varten. Asiakkaalla on oikeus tarkastaa myös Palveluntarjoajan käyttämien alihankkijoiden toiminta niiltä osin, kuin se on tarpeen palvelussa käsiteltävien henkilötietojen suojaamiseksi. Asiakkaalla ja sen valtuutetulla kolmannella taholla on salassapitovelvollisuus auditoinnissa ilmi käyneistä Palveluntarjoajan liikesalaisuuksista. Auditointioikeuden käyttämisestä ja auditoinnin sisällöstä ja menettelyistä sekä ajankohdasta sovitaan aina erikseen. Palveluntarjoaja sitoutuu tilaamaan pätevien kolmansien osapuolien suorittamat alan standardien mukaiset tarkastukset, jotka kohdistuvat sen palveluun sekä henkilötietojen Käsittelyyn. Asiakas vastaa tarkastuksen osalta Palveluntarjoajan ja kolmannen osapuolen kustannuksista. Myös viranomaisilla on tarkastusoikeus esimerkiksi silloin, kun viranomainen tarkastaa Asiakkaan prosessia, johon kuuluu osana Palveluntarjoajan Asiakkaalle Käsittelijänä toimittama palvelu. Sijainti ja tietojen siirto Palveluntarjoajan palvelinkeskukset, joissa kaikkia Henkilötietoja säilytetään ja Käsitellään, sijaitsevat Suomessa. Palveluntarjoaja voi kuitenkin siirtää Henkilötietoja mille tahansa EU/ETA-alueella sijaitseviin tai Euroopan komission päättämien riittävän tietosuojan tason maissa sijaitseviin palvelinkeskuksiin tai alikäsittelijöille. Kun henkilötietoja siirretään EU:n / ETA:n ulkopuolelle, siirto tapahtuu EU-U.S. Privacy Shield -järjestelyllä, käyttäen EU-komission mallisopimuslausekkeita tai muuta lainsäädännön sallimaa siirtomekanismia. Palveluntarjoaja huolehtii tällöin muun muassa sopimuksin siitä, että tietojen luottamuksellisuus säilyy ja että tietoja käsitellään myös muutoin lainmukaisesti. Asiakkaalla on oikeus pyytää tietoa Palveluntarjoajan EU/ETA alueen ulkopuolisista siirroista ja siirtoihin tiedossa olevista muutoksista. Asiakkaalla on oikeus vastustaa henkilötietojen siirtoa EU/ETA alueen ulkopuolelle. Palveluntarjoajalla on oikeus irtisanoa sopimus, mikäli Palvelun toimintaa tai turvallisuutta ei voida varmistaa Asiakkaan vastutuksesta johtuen. Liitteen voimaantulo ja sopimuksen päättymisen vaikutukset Tämä liite tulee voimaan ja pysyy voimassa sopimuksen voimassaoloa koskevien ehtojen mukaisesti kunnes osapuoli irtisanoo sopimuksen irtisanomisaikaa noudattaen. Asiakkaalla on velvollisuus huolehtia tietojen siirtämisestä tai varmuuskopioimisesta ennen sopimuksen päättämistä. Sopimuksen päättyessä Käsittelijä poistaa Asiakkaan Henkilötiedot käytäntöjensä mukaisesti. Henkilötietojen Käsittelijällä on kuitenkin oikeus säilyttää Asiakkaan Henkilötietoja sopimuksen päättymisenkin jälkeen niin pitkään kuin on tarpeen Palveluntarjoajan omien lakisääteisten velvoitteiden, palveluiden turvallisuuden varmistamiseksi tai väärinkäytösten selvittämiseksi, jatkamatta muutoin henkilötietojen Käsittelyä ja noudattaen edelleen tässä liitteessä kuvattuja salassapitovelvoitteita.