Henkilötietojen käsittely (DPA)
REKISTERI- JA TIETOSUOJASELOSTE
Tämä on Yrityksen EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste. Laadittu 10.9.2021 ja päivitetty 12.5.2022
Tämä tietosuojaseloste kertoo henkilötietojen keräämisestä ja käsittelystä Rowly Oy:n yhteydessä.
1. REKISTERIN PITÄJÄ
RowlyGO
3320839-3
Kisällinkatu 8,
70780 Kuopio
2. YHTEYSTIEDOT REKISTERIASIOITA VARTEN
Tietosuojavastaavan yhteystiedot
Tietosuojavastaava
Pasi Pesonen
pasi.pesonen@rowlygo.com
010 582 7302
3 JOHDANTO JA SOPIMUKSEN TARKOITUS
3.1 Tätä henkilötietojen käsittelysopimusta (”Liite”) sovelletaan Rowly Oy:n (jäljempänä “Toimittaja”) ja asiakkaan (”Asiakas”) välillä solmittuihin sopimuksiin, liittyen RowlyGO:n tuotteisiin ja palveluihin, joissa käsitellään Asiakkaiden ja/tai Asiakkaan asiakkaiden henkilötietoja (”Sopimus”).
3.2 Tässä Liitteessä sovitaan Asiakkaan ja Asiakkaan asiakkaiden henkilötietojen tietosuojasta ja tietoturvasta Toimittajan palveluissa. Tämä Liite muodostaa osapuolten välille EU:n yleisen tietosuoja-asetuksen (679/2016) mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä.
3.3 Jos tämän Liitteen ja Sopimuksen henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, osapuolet soveltavat ensisijaisesti tämän Liitteen ehtoja.
4 MÄÄRITELMÄT
4.1 Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti:
“rekisterinpitäjällä” Asiakasta, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
“käsittelijällä” Toimittajaa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun Sopimuksen perusteella.
“käsittelyllä” toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
“henkilötiedoilla” kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ”rekisteröityyn”, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
“henkilötietojen tietoturvaloukkauksella” tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
5 TIETOSUOJA JA HENKILÖTIETOJEN KÄSITTELY
5.1 Toimittajan ja Asiakkaan vastuut
5.1.1 Toimittaja käsittelee Asiakkaan henkilötietoja Asiakkaan lukuun ja tämän toimeksiannosta Sopimuksen perusteella. Henkilötietoja voivat olla esim. jäseniä, työntekijöitä taikka muita luonnollisia henkilöitä koskevat tiedot. Asiakas on palvelussa käsiteltävien henkilötietojensa rekisterinpitäjä ja Toimittaja käsittelijä. Osapuolet sitoutuvat noudattamaan Suomessa ja EU:ssa kulloinkin voimassa olevaa henkilötietojen käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän Liitteen ehtoja niiden mukaiseksi.
5.1.2 Rekisterinpitäjänä Asiakas on vastuussa siitä, että sillä on tarvittavat oikeudet ja suostumukset Sopimuksen mukaiseen henkilötietojen käsittelyyn. Asiakas vastaa selosteen laatimisesta ja saatavilla pidosta sekä rekisteröityjen informoinnista ja ilmoituksista tietosuojaviranomaisille. Asiakas vastaa Toimittajalle antamiensa henkilötietojen oikeellisuudesta.
5.1.3 Asiakkaalla on oikeus ja velvollisuus määrittää henkilötietojen käsittelyn tarkoitus ja keinot. Käsittelyn kohde, luonne ja tarkoitus on tarkemmin määritelty Sopimuksessa. RowlyGO:n palveluissa käsiteltävien henkilötietojen tyypit ja rekisteröityjen ryhmät on määritelty Palvelua koskevassa rekisteriselosteessa tai palvelukuvauksessa / palvelusopimuksessa.
5.1.4 Toimittajalla on oikeus käsitellä Asiakkaan henkilötietoja ja muita Asiakkaan tietoja vain Sopimuksen, tämän Liitteen ja Asiakkaan kirjallisten ohjeiden mukaisesti ja vain siltä osin ja siten kuin on tarpeellista palveluiden toimittamiseksi. Toimittaja ilmoittaa Asiakkaalle, mikäli ohjeissa havaitaan EU:n tai Suomen tietosuojasäännösten vastaisuutta ja tällöin Toimittaja voi välittömästi kieltäytyä ja lopettaa soveltamasta Asiakkaan ohjeita.
5.1.5 Toimittaja ylläpitää palvelun kuvausta tai muuta EU:n tietosuoja-asetuksen vaatimaa selostetta palvelussa suoritettavista käsittelytoimista. Toimittajalla on oikeus kerätä Sopimuksen mukaisten palvelujen käytöstä anonyymiä ja tilastollista tietoa, joka ei yksilöi Asiakasta eikä rekisteröityjä ja käyttää sitä palvelujensa analysointiin ja kehittämiseen.
5.2 Tietojen poisto/palauttaminen
5.2.1 Sopimuksen päätyttyä Toimittaja palauttaa tai poistaa, Asiakkaan antaman ohjeistuksen mukaisesti, kaikki Asiakkaan henkilötiedot Asiakkaalle sekä poistaa olemassa olevat jäljennökset, ellei sovellettava lainsäädäntö edellytä henkilötietojen säilyttämistä. Toimittajalla on oikeus veloittaa Asiakasta henkilötietojen palauttamisesta tai poistamisesta tuntiperusteisesti.
5.3 Alihankkijat
5.3.1 Toimittajalla on oikeus käyttää alihankkijoita Asiakkaan henkilötietojen käsittelyssä. Toimittaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset henkilötietojen käsittelystä. Toimittaja on Sopimuksessa ilmoittanut Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen henkilötietojen käsittelyyn.
5.3.2 Asiakkaalla on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä.
5.4 Toimittajan avustamisvelvollisuus
5.4.1 Toimittaja siirtää Asiakkaalle kaikki Rekisteröidyiltä saamansa henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden käsittelyn kieltämistä koskevat pyynnöt tai muut Rekisteröidyltä saamansa pyynnöt. Asiakkaan velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta. Ottaen huomioon käsittelytoimen luonteen, Toimittaja auttaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Asiakkaan velvollisuuden vastata Rekisteröidyn pyyntöihin. Toimittajalla on oikeus veloittaa Asiakasta avustamisesta tuntiperusteisesti.
5.4.2 Toimittaja on velvollinen, ottaen huomioon henkilötietojen käsittelyn luonteen ja sen saatavilla olevat tiedot, auttamaan Asiakasta varmistamaan, että sille laissa asetettuja velvollisuuksia noudatetaan. Nämä velvollisuudet voivat käsittää tietoturvallisuutta, tietoturvaloukkauksista ilmoittamista, tietosuojaa koskevaa vaikutustenarviointia ja ennakkokuulemista koskevia velvoitteita. Toimittaja on velvollinen avustamaan Asiakasta ainoastaan sovellettavan tietosuojalainsäädännön henkilötiedon käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Ellei toisin sovita, Toimittajalla on oikeus laskuttaa tämän sopimuskohdan mukaisista toimista aiheutuvat kustannukset voimassa olevan hinnastonsa mukaisesti.
5.4.3 Toimittaja ohjaa kaikki tietosuojaviranomaisten tiedustelut suoraan Asiakkaalle, eikä Toimittajalla ole valtuuksia edustaa Asiakasta tai toimia Asiakkaan puolesta Asiakasta valvovien tietosuojaviranomaisten kanssa.
6 KÄSITTELY EU:N / ETA:N ULKOPUOLELLA
6.1 Toimittaja ja sen alihankkijat eivät käsittele henkilötietoja EU-/ETA-alueen ulkopuolella ilman Asiakkaan kirjallista suostumusta, joka annetaan lähtökohtaisesti palvelusopimuksessa.
6.2 Osapuolet sopivat kirjallisesti etukäteen kaikista Asiakkaan tietojen siirroista tai käsittelystä EU:n/ETA:n ulkopuolella ja niihin sovelletaan lähtökohtaisesti Euroopan Unionin hyväksymiä mallisopimuslausekkeita henkilötietojen siirtämisestä EU:n/ETA:n ulkopuolelle.
7 AUDITOINTI
7.1 Asiakkaalla tai tämän valtuuttamalla auditoijalla (joka ei kuitenkaan saa olla Toimittajan kilpailija) on oikeus auditoida Liitteen alainen toiminta. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 20 arkipäivää ennen tarkastusta. Auditointi tulee suorittaa tavalla, joka ei haittaa Toimittajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden. Asiakkaan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.
7.2 Osapuolet vastaavat omalta osaltaan auditoinnista aiheutuvista kustannuksista.
8 TIETOTURVA
8.1 Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Asiakkaan henkilötietojen suojaamiseksi ottaen huomioon käsittelyn sisältämät riskit, erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy. Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin sekä käsiteltävien henkilötietojen arkaluonteisuuteen.
8.2 Asiakas on velvollinen varmistamaan, että Toimittajalle tiedotetaan kaikista niistä Asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat tämän Liitteen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin. Toimittaja varmistaa, että henkilötietojen käsittelyyn osallistuva Toimittajan tai Toimittajan käyttämän alihankkijan henkilöstö noudattaa asianmukaista salassapitovelvollisuutta.
9 TIETOTURVALOUKKAUKSESTA ILMOITTAMINEN
9.1 Toimittajan on ilmoitettava Asiakkaalle kaikista henkilötietoihin kohdistuneista tietoturvaloukkauksista ilman aiheetonta viivytystä loukkauksesta tiedon saatuaan tai kun Toimittajan käyttämä alihankkija on saanut loukkauksen tietoonsa.
9.2 Asiakkaan pyynnöstä Toimittajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Siltä osin kuin kyseinen tieto on Toimittajan saatavilla, Toimittajan on Asiakkaalle tehtävässä ilmoituksessa kuvattava vähintään:
(a) tapahtunut tietoturvaloukkaus,
(b) mahdollisuuksien mukaan rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvoidut lukumäärät,
(c) kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista, ja
(d) kuvaus korjaavista toimenpiteistä, jotka Toimittaja on suorittanut tai tulee suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa, sekä tarvittaessa myös toimenpiteet mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi.
9.3 Jos tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta syystä, Asiakas vastaa Toimittajalle Tietoturvaloukkauksesta ja sen selvittelystä aiheutuvista kustannuksista.
9.4 Toimittaja dokumentoi ja raportoi selvityksen tulokset ja suoritetut toimenpiteet Asiakkaalle.
9.5 Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaisille ja rekisteröidyille.
10 MUUT EHDOT
10.1 Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen loukkauksista välitöntä vahinkoa, Toimittaja on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja EU:n tietosuoja-asetuksen velvoitteita.
10.2 Kumpikin osapuoli vastaa itse valvontaviranomaisen tai toimivaltaisen tuomioistuimen sille määräämistä hallinnollisista sanktioista, jotka ovat ko. valvontaviranomaisen tai tuomioistuimen päätöksen mukaisesti seurausta siitä, että kyseinen osapuoli ei ole noudattanut sille tietosuojalainsäädännössä asetettuja vaatimuksia tai velvoitteita.
10.3 Muilta osin osapuolten vastuu määräytyy Sopimuksen perusteella.
10.4 Toimittaja tiedottaa Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä Liitettä ja Asiakkaan antamia kirjallisia ohjeita. Toimittaja voi muuttaa tämän Liitteen sisältöä perustellusta syystä ilmoittamalla siitä Asiakkaalle kirjallisesti kaksi (2) viikkoa ennen muutoksen voimaanastumista.
10.5 Tämä Liite tulee voimaan kun Sopimus astunut voimaan. Liite on voimassa (i) niin pitkään kuin Sopimus on voimassa tai (ii) osapuolilla on henkilötietojen käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.
10.6 Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Liitteen voimassaolon päättymisestä riippumatta, jäävät voimaan Liitteen päättymisen jälkeen.