Ota yhteyttä

Henkilötietojen Käsittelysopimus

 

1 Tausta

(A) Tämä tietojenkäsittelyä koskeva sopimus (”Käsittelyliite”) muodostaa olennaisen ja erottamattoman osan Palvelusopimuksesta tai Salassapitosopimuksesta (”Sopimus”), jonka mukaisesti Asiakas on sitoutunut ostamaan tai kokeilemaan ja Yhtiö on sitoutunut toimittamaan Palveluita (kuten määritelty Sopimuksessa) Asiakkaalle.

(B) Tätä Käsittelyliitettä sovelletaan Yhtiön Palveluiden yhteydessä suorittamaan Henkilötietojen Käsittelyyn.

2 Määritelmät

Tämän Käsittelyliitteen tarkoituksissa isoin alkukirjaimin kirjoitetuilla käsitteillä ”Henkilötieto”, ”Rekisterinpitäjä”, ”Henkilötietojen Käsittelijä”, ”Käsittely”, ja ”Henkilötietojen Tietoturvaloukkaus” tarkoitetaan niille yleisessä tietosuoja-asetuksessa (EU) 2016/679 (”Tietosuoja-asetus”) annettuja määritelmiä, ellei nimenomaisesti muuta mainita taikka tämä muutoin asiayhteydestä selvästi ilmene. Milloin tarkoituksenmukaista, yksikkömuoto sisältää monikon ja päinvastoin. Muilta osin sovelletaan Sopimuksen määritelmiä.

 

3. Osapuolet ja roolit

3.1 Asiakas on henkilötietojen rekisterinpitäjä ja Yhtiö Henkilötietojen Käsittelijä. Käsittelyn kohde ja kesto, Käsittelyn luonne ja tarkoitus, Henkilötietojen tyyppi ja Rekisteröityjen luokat on määritelty Sopimuksen liitteessä 1 (Palvelukuvaus).

3.2 Selvyyden vuoksi, kun Käsittelyä suoritetaan Yhtiön päättämiin tarkoituksiin ja keinoin, se on kaikkien asianomaisten Henkilötietojen rekisterinpitäjä, ja tällainen Käsittely ei kuulu tämän Käsittelyliitteen soveltamisalaan. Tällainen Käsittely sisältää esimerkiksi lokitietojen käsittelyn tietoturvaan liittyvissä tarkoituksissa.

4 Henkilötietojen Käsittely

4.1 Asiakas on vastuussa Käsittelyn oikeusperusteesta, mukaan lukien siitä, että Yhtiöllä on oikeus Käsitellä Henkilötietoja tämän Sopimuksen mukaisesti. Yhtiö käsittelee henkilötietoja vain Asiakkaan dokumentoitujen laillisten ohjeiden mukaisesti. Sopimuksesta on tulkittava Asiakkaan lopulliset ja täydelliset ohjeet ja mahdollisista lisäohjeista sovitaan erikseen osapuolten kesken. Yhtiö voi pidättäytyä noudattamasta Asiakkaan ohjeita, jos se katsoo ohjeen olevan soveltuvan lainsäädännön tai viranomaisohjeen vastainen. Tällöin Yhtiö ilmoittaa Asiakkaalle tällaisesta lakisääteisestä vaatimuksesta, paitsi jos sovellettava lainsäädäntö kieltää tällaisen ilmoittamisen.

4.2 Yhtiö varmistaa, että Henkilötietojen Käsittelyyn valtuutetut henkilöt ovat sitoutuneet luottamuksellisuuteen tai heillä on asianmukainen lakisääteinen salassapitovelvollisuus. Yhtiö ei siirrä tai millään tavalla luovuta henkilötietoja kolmansille osapuolille ilman Asiakkaan kirjallista lupaa.

4.3 Yhtiö toteuttaa tekniset ja organisatoriset toimenpiteet varmistaakseen turvallisuustason, jonka osapuolet pitävät asianmukaisena ottaen huomioon tekniikan tason, toteutuskustannukset sekä käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset. sekä todennäköisyyden ja vakavuuden vaihtelun riski rekisteröityjen oikeuksiin ja vapauksiin. Näitä toimenpiteitä voivat olla, mutta ne eivät rajoitu:

  • Salaus
  • Audit-loki
  • Tietoturvaloki ja valvonta
  • Säännöllinen tietoturva/murtotestaus kolmannen osapuolen toimesta
  • Säännöllinen tietoturva- ja tietosuojakoulutus henkilöstölle
  • Tietoverkon pääsynhallintakontrollit
  • Varmuuskopiointi
  • Pääsynhallinta

5 Alihankinta

5.1 Yhtiö saa käyttää ja Asiakas hyväksyy Yhtiön käyttävän (yleislupa) alihankkijoita Henkilötietojen Käsittelyssä, edellyttäen että Yhtiö varmistaa tämän Käsittelyliitteen mukaisten tietosuojavelvoitteiden sitovan kyseisiä alihankkijoita.

5.2 Yhtiö ilmoittaa Asiakkaalle kaikista Yhtiön henkilötietojen käsittelyyn ottamista alikäsittelijöistä Sopimuksen voimaantulopäivästä sekä niihin suunnitelluista muutoksista. Luettelo alikäsittelijöistä on saatavilla osoitteessa https://www.snowfox.ai/legal/subprocessors. Kaikista Alikäsittelijöiden luetteloon suunnitelluista muutoksista ilmoitetaan Asiakkaalle sähköpostitse. Asiakas voi aineellisista ja painavista syistä vastustaa Alikäsittelijän muutosta neljäntoista (14) päivän kuluessa ilmoituksesta; muussa tapauksessa Alikäsittelijä katsotaan hyväksytyksi. Jos Asiakas vastustaa Alikäsittelijän lisäämistä, Yhtiö voi rajoittaa Asiakkaan Palvelujen käyttöä siltä osin kuin Asiakkaan vastalause vaikuttaa, eikä tällaista rajoitusta tule tulkita Sopimuksen rikkomiseksi. Asiakkaalla on vastaavasti oikeus olla suorittamatta maksuja siltä osin kuin hänen Palveluiden käyttöä on rajoitettu, kunnes Osapuolet ovat sopineet riittävistä toimenpiteistä niiden haitallisten vaikutusten minimoimiseksi, joiden perusteella Asiakas on vastustanut alikäsittelijän vaihtamista. tai ovat löytäneet toisen molempia Osapuolia tyydyttävän ratkaisun.

5.3 Jos Yhtiön Asiakkaan puolesta Henkilötietojen käsittelyyn käyttämä Alihankkija ei täytä kohdassa 5.1 tarkoitettuja tietosuojavelvoitteitaan, Yhtiö on täysin vastuussa Asiakkaalle tällaisten alikäsittelijän velvollisuuksien täyttämisestä.

6 Henkilötietojen Käsittelyn sijainti

6.1 Yhtiö toteuttaa asianmukaiset tekniset ja sopimusperusteiset toimenpiteet varmistaakseen, että henkilötietoja käsitellään ensisijaisesti EU/ETA-alueella. Koska henkilötietojen käsittelyssä käytetään alihankkijoita, henkilötietoja voidaan käsitellä EU/ETA-alueen ulkopuolella tiettyjen palvelujen yhteydessä. Henkilötietoja siirretään vain maihin, joiden osalta Euroopan komissio on tehnyt päätöksen henkilötietojen suojan riittävästä tasosta (riittävyyspäätös).

6.2 Asiakkaan pyynnöstä Yhtiö toimittaa Asiakkaalle kirjalliset tiedot tämän tietosuojalain mukaisen henkilötietojen käsittelyn sijainnista tai paikoista.

7 Yhtiön velvoitteet

7.1 Yhtiö avustaa Asiakasta asianmukaisin teknisin ja organisatorisin toimenpitein, mikäli tämä Käsittelyn luonne huomioon ottaen on kohtuudella mahdollista, asiakkaan velvollisuuden täyttämisessä vastata rekisteröidyn pyyntöihin käyttää rekisteröidyn GDPR:n mukaisia oikeuksia. Jos rekisteröidyt esittävät tällaisia pyyntöjä suoraan Yhtiölle, Yhtiö välittää pyynnöt Asiakkaalle.

7.2 Tietoturvaloukkauksen sattuessa Yhtiö ilmoittaa Asiakkaalle ilman aiheetonta viivytystä saatuaan tietoonsa Tietoturvaloukkauksesta ja ryhtyy kaikkiin tarvittaviin toimenpiteisiin tietomurron aiheuttamien haitallisten vaikutusten lieventämiseksi. Käsittelyn luonne ja Yhtiön käytettävissä olevat tiedot huomioon ottaen se auttaa mahdollisuuksien mukaan Asiakasta ilmoittamaan Henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ja ilmoittamaan siitä rekisteröidyille.

7.3 Yhtiö avustaa tietosuoja-vaikutusten arvioinnissa ja neuvotteluissa  valvontaviranomaisen kanssa GDPR:n mukaisesti edellyttäen, että tarvittavat tiedot ovat Yhtiön saatavilla.

7.4 Yhtiö antaa Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen sen osoittamiseksi, että se noudattaa tässä tietosuojasopimuksessa Yhtiölle asetettuja velvoitteita. Yhtiö myös sallii ja osallistuu Asiakkaan tai muun Asiakkaan valtuuttaman ja Yhtiön hyväksymän auditoijan suorittamiin tarkastuksiin. Asiakkaan tulee ilmoittaa yhtiölle kirjallisesti kaikista tarkastuksista kolmekymmentä (30) päivää etukäteen. Kumpikin osapuoli on vastuussa kustannuksista, joita sille on aiheutunut tarkastuksesta. Jos tilintarkastus osoittaa, että Yhtiö on olennaisesti rikkonut tätä tietosuojaehtoa, Yhtiö korvaa Asiakkaalle raportoitujen puutteiden tarkastuksesta aiheutuneet kolmannen osapuolen kustannukset tilintarkastajan laskun mukaan. Lukuun ottamatta sovellettavan lainsäädännön pakottavia säännöksiä, Yhtiöllä ei ole minkäänlaista velvollisuutta paljastaa Yhtiön Luottamuksellisia tietoja Asiakkaalle tai tilintarkastajalle tilintarkastuksen yhteydessä tai sen yhteydessä.

7.5 Siltä osin kuin Yhtiön tämän kohdan 7 mukaisten velvoitteidensa täyttämiseen tarvittavan työn määrä ylittää yhden henkilötyöpäivän kuukaudessa, Yhtiöllä on oikeus periä Asiakkaalta kohtuulliset kustannukset tämän kohdan mukaisten velvoitteidensa suorittamisesta. 7.

 

8 Päättyminen

8.1 Tämä tietosuojasopimus tulee voimaan ostovelkojen ohjelmistopalvelusopimuksen allekirjoittamisen jälkeen ja on voimassa niin kauan kuin Yhtiö käsittelee henkilötietoja Asiakkaan puolesta Palvelujen puitteissa.

8.2 Sopimuksen päättyessä ja Asiakkaan pyynnöstä Yhtiö (mukaan lukien mahdolliset alihankkijat) poistaa tai palauttaa Asiakkaalle kaikki Asiakkaan Henkilötiedot kolmenkymmenen (30) päivän kuluttua. Yhtiö voi periä Asiakkaalta kohtuulliset kustannukset, jotka aiheutuvat henkilötietojen palauttamisesta. Yhtiö poistaa henkilötiedoista olemassa olevat kopiot sen jälkeen, kun Yhtiö on palauttanut Henkilötiedot Asiakkaalle (tarvittaessa) tai jos Asiakas ei ole pyytänyt Yhtiötä palauttamaan henkilötietoja kolmen (3) kuukauden kuluessa sopimuksen päättymisestä. Yllä olevasta huolimatta Yhtiö voi pidättäytyä henkilötietojen poistamisesta, jos säilyttäminen on tarpeen sovellettavan lainsäädännön noudattamiseksi tai oikeudellisen vaatimuksen esittämiseksi, esittämiseksi tai puolustamiseksi. Yhtiö vahvistaa tietojen poistamisen ja mahdollisen edelleen säilyttämisen Asiakkaalle kirjallisesti.