Tietojenkäsittelysopimus

1. Taustaa

(A) Tämä tietojenkäsittelysopimus (“DPA“) on erottamaton ja erottamaton osa palvelusopimusta tai tarvittaessa salassapitosopimusta (“Sopimus“), jonka mukaisesti Asiakas on suostunut ostamaan tai kokeilemaan palvelua ja Yhtiö on suostunut toimittamaan Palvelut (siten kuin ne on määritelty sopimuksessa) Asiakkaalle.

(B) Tätä tietosuojasäännöstöä sovelletaan henkilötietojen käsittelyyn, jonka yritys suorittaa asiakkaan puolesta palvelujen puitteissa.

2. Määritelmät

Tässä tietosuojasopimuksessa termeillä “henkilötiedot“, “rekisterinpitäjä“, “henkilötietojen käsittelijä“, “käsittely” (joka kattaa tässä yhteydessä myös johdannaisverbin “käsitellä“) ja “henkilötietojen tietoturvaloukkaus” on tietosuoja-asetuksessa (EU) 2016/679 (“yleinentietosuoja-asetus“) määritellyt merkitykset, jollei asiayhteydestä käy ilmi tai jollei nimenomaisesti toisin mainita. Yksikkö (tarvittaessa) sisältää myös monikon ja päinvastoin. Muutoin sovelletaan sopimuksen määritelmiä.

3. Osapuolet ja roolit

3.1 Asiakas on henkilötietojen rekisterinpitäjä ja yritys on henkilötietojen käsittelijä. Käsittelyn kohde ja kesto, Käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät on esitetty Sopimuksen liitteessä 1 (Palvelukuvaus).

3.2 Selkeyden vuoksi todetaan, että kun Käsittely suoritetaan Yhtiön päättämiä tarkoituksia varten ja päättämin keinoin, se on kyseisten henkilötietojen rekisterinpitäjä, ja tällainen Käsittely ei kuulu tämän tietosuojasopimuksen soveltamisalaan. Tällaista käsittelyä on esimerkiksi lokitietojen käsittely tietoturvaan liittyviä tarkoituksia varten.

4. Henkilötietojen käsittely

4.1 Asiakas on vastuussa Käsittelyn laillisesta perustasta, mukaan lukien siitä, että yrityksellä on oikeus käsitellä henkilötietoja sopimuksen mukaisesti. Yhtiö käsittelee henkilötietoja ainoastaan Asiakkaan dokumentoitujen laillisten ohjeiden mukaisesti. Sopimuksen katsotaan olevan Asiakkaan lopulliset ja täydelliset ohjeet, ja mahdollisista lisäohjeista on sovittava erikseen Osapuolten välillä. Yhtiö voi olla noudattamatta Asiakkaan ohjeita, jos se katsoo ohjeen olevan sovellettavan lainsäädännön tai sääntelyohjeiden vastainen. Tällaisessa tapauksessa Yhtiön on ilmoitettava Asiakkaalle tällaisesta oikeudellisesta vaatimuksesta, paitsi jos sovellettava lainsäädäntö kieltää tällaisen ilmoituksen.

4.2 Yhtiö varmistaa, että henkilötietojen käsittelyyn valtuutetut henkilöt ovat sitoutuneet salassapitovelvollisuuteen tai heillä on asianmukainen lakisääteinen salassapitovelvollisuus. Yhtiö ei siirrä tai millään tavoin aseta henkilötietoja kolmansien osapuolten saataville ilman Asiakkaan kirjallista lupaa.

4.3 Yhtiö toteuttaa tekniset ja organisatoriset toimenpiteet varmistaakseen sellaisen turvallisuustason, jonka osapuolet katsovat asianmukaiseksi ottaen huomioon tekniikan tason, toteutuskustannukset ja käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä rekisteröityjen oikeuksiin ja vapauksiin kohdistuvan riskin, jonka todennäköisyys ja vakavuus vaihtelevat. Näihin toimenpiteisiin voivat kuulua muun muassa seuraavat:

• Salaus
• Tilintarkastuksen kirjaaminen
• Tietoturvalokitukset ja uhkien havaitseminen
• Säännöllinen kolmannen osapuolen suorittama tunkeutumistestaus
• Henkilöstön säännöllinen turvallisuus- ja tietosuojakoulutus
• Verkon käyttöoikeuksien valvonta
• Varmuuskopiot
• Tuotantotietojen käyttö edellyttää vahvaa monitekijätodennusta.

5. Jatkojalostus

5.1 Yhtiö voi käyttää alihankkijoita henkilötietojen käsittelyyn, ja Asiakas valtuuttaa täten (yleinen valtuutus) Yhtiön käyttämään alihankkijoita henkilötietojen käsittelyyn edellyttäen, että Yhtiö asettaa alihankkijoille samat tietosuojavelvoitteet kuin tässä tietosuojasopimuksessa on määritelty.

5.2 Yhtiö ilmoittaa Asiakkaalle kaikista alihankkijoista, jotka Yhtiö on palkannut henkilötietojen käsittelyyn sopimuksen voimaantulopäivänä, sekä kaikista niihin suunnitelluista muutoksista. Luettelo alihankkijoista on saatavilla osoitteessa https://www.snowfox.ai/legal/subprocessors. Kaikista aiotuista muutoksista alihankkijaluetteloon ilmoitetaan asiakkaalle sähköpostitse. Asiakas voi olennaisin ja perustelluin syin vastustaa alihankkijan vaihtamista neljäntoista (14) päivän kuluessa ilmoituksesta; muussa tapauksessa alihankkija katsotaan hyväksytyksi. Jos Asiakas vastustaa alihankkijan vaihtamista, Yhtiö voi rajoittaa Asiakkaan Palvelujen käyttöä siltä osin kuin Asiakkaan vastalause vaikuttaa siihen, eikä tällaisen rajoituksen katsota merkitsevän Sopimuksen rikkomista. Asiakkaalla on vastaavasti oikeus pidättäytyä maksujen suorittamisesta siltä osin kuin sen palvelujen käyttöä on rajoitettu, kunnes osapuolet ovat sopineet riittävistä toimenpiteistä niiden haitallisten vaikutusten minimoimiseksi, joiden perusteella asiakas on vastustanut alihankkijan vaihtamista, tai päässeet muuhun molempia osapuolia tyydyttävään ratkaisuun.

5.3 Jos alihankkija, jonka Yhtiö on palkannut henkilötietojen käsittelyyn Asiakkaan puolesta, ei täytä kohdassa 5.1 tarkoitettuja tietosuojavelvoitteitaan, Yhtiö on edelleen täysin vastuussa Asiakkaalle alihankkijan velvoitteiden täyttämisestä.

6. Henkilötietojen käsittelyn sijainti

6.1 Yhtiö toteuttaa asianmukaiset tekniset ja sopimukselliset toimenpiteet varmistaakseen, että henkilötietoja käsitellään ensisijaisesti EU:n/ETA:n alueella. Koska henkilötietojen käsittelyyn käytetään alihankkijoita, henkilötietoja saatetaan käsitellä EU:n/ETA:n ulkopuolella tiettyjen palvelujen tarjoamisen helpottamiseksi. Henkilötietoja siirretään vain maihin, joiden osalta Euroopan komissio on tehnyt päätöksen henkilötietojen suojan riittävästä tasosta (tietosuojan riittävyyttä koskeva päätös).

6.2 Yhtiö toimittaa Asiakkaan pyynnöstä Asiakkaalle kirjalliset tiedot henkilötietojen käsittelyn sijainnista tai sijainneista tämän tietosuojasopimuksen mukaisesti.

7. Yhtiön velvoitteet

7.1 Yritys avustaa asiakasta asianmukaisin teknisin ja organisatorisin toimenpitein, sikäli kuin se on käsittelyn luonne huomioon ottaen kohtuullisesti mahdollista, täyttämään asiakkaan velvollisuutta vastata rekisteröidyn pyyntöihin, jotka koskevat tietosuoja-asetuksessa säädettyjen rekisteröidyn oikeuksien käyttämistä. Jos rekisteröidyt esittävät tällaisia pyyntöjä suoraan yhtiölle, yhtiön on välitettävä pyynnöt asiakkaalle.
7.2 Tietosuojaloukkauksen sattuessa yhtiön on ilmoitettava asiakkaalle ilman aiheetonta viivytystä sen jälkeen, kun se on saanut tietoonsa tietosuojaloukkauksen, ja ryhdyttävä kaikkiin tarvittaviin toimenpiteisiin tietosuojaloukkauksesta aiheutuvien haitallisten vaikutusten lieventämiseksi. Ottaen huomioon käsittelyn luonteen ja Yhtiön käytettävissä olevat tiedot se avustaa mahdollisuuksiensa mukaan Asiakasta henkilötietojen tietoturvaloukkauksen ilmoittamisessa valvontaviranomaiselle ja siitä tiedottamisessa rekisteröidyille.

7.3 Yhtiö avustaa tietosuoja-asetuksen mukaisissa tietosuojaa koskevissa vaikutustenarvioinneissa ja valvontaviranomaisen ennakkokuulemisissa edellyttäen, että tarvittavat tiedot ovat yhtiön saatavilla.

7.4 Yhtiön on annettava Asiakkaan käyttöön kaikki tiedot, jotka ovat tarpeen sen osoittamiseksi, että se noudattaa tässä tietosuojasopimuksessa Yhtiölle asetettuja velvoitteita. Yhtiön on myös sallittava Asiakkaan tai muun Asiakkaan valtuuttaman ja Yhtiön hyväksymän tilintarkastajan suorittamat tarkastukset ja osallistuttava niihin. Asiakkaan on ilmoitettava yhtiölle kirjallisesti kaikista tarkastuksista kolmekymmentä (30) päivää etukäteen. Kumpikin sopimuspuoli vastaa kustannuksista, joita sille on aiheutunut tarkastuksesta. Jos tarkastus osoittaa, että Yhtiö on olennaisesti rikkonut tätä tietosuojasopimusta, Yhtiö korvaa Asiakkaalle kolmannen osapuolen kustannukset, jotka ovat aiheutuneet raportoitujen puutteiden tarkastamisesta tilintarkastajan laskun mukaisesti. Lukuun ottamatta sovellettavan lainsäädännön pakottavia säännöksiä, Yhtiöllä ei ole mitään velvollisuutta paljastaa mitään Yhtiön luottamuksellisia tietoja Asiakkaalle tai tilintarkastajalle tarkastuksen yhteydessä tai sen yhteydessä.

7.5 Siltä osin kuin Yhtiön tämän kohdan 7 mukaisten velvoitteidensa täyttämiseen tarvitsema työmäärä ylittää yhden henkilötyöpäivän kuukaudessa, Yhtiöllä on oikeus periä Asiakkaalta kohtuulliset kustannukset tämän kohdan 7 mukaisten velvoitteidensa täyttämisestä.

8. Lopetus

8.1 Tämä tietosuojasopimus tulee voimaan, kun Tilitoimisto-ohjelmistopalvelusopimus allekirjoitetaan, ja se on voimassa niin kauan kuin yritys käsittelee henkilötietoja asiakkaan puolesta palvelujen puitteissa.

8.2 Sopimuksen päättyessä ja Asiakkaan pyynnöstä Yhtiö (mukaan lukien mahdolliset alihankkijat) poistaa tai palauttaa Asiakkaan kaikki Henkilötiedot Asiakkaalle kolmenkymmenen (30) päivän kuluttua. Yhtiö voi periä Asiakkaalta kohtuulliset kulut, jotka aiheutuvat Henkilötietojen palauttamisesta. Yhtiön on poistettava olemassa olevat henkilötietojen kopiot sen jälkeen, kun Yhtiö on palauttanut henkilötiedot Asiakkaalle (tarvittaessa) tai jos Asiakas ei ole pyytänyt Yhtiötä palauttamaan henkilötietoja kolmen (3) kuukauden kuluessa Sopimuksen päättymisestä. Edellä sanotusta huolimatta Yhtiö voi olla poistamatta Henkilötietoja, jos niiden säilyttäminen on tarpeen sovellettavan lainsäädännön noudattamiseksi tai oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Yhtiö vahvistaa tietojen poistamisen ja mahdollisen säilyttämisen jatkamisen asiakkaalle kirjallisesti.