Tietosuojaliite liitettäväksi Asiakkaan ja Toimittajan väliseen sopimukseen (29.3.2018)
EU:n tietosuoja-asetuksen huomioiminen NettiTieto Oy:n (myöhemmin Toimittaja) ja Asiakkaan välisessä sopimuksissa
Tällä tietosuojaliitteellä päivitetään Asiakkaan ja Toimittajan välisiä sopimuksen liitteitä liittämällä tämä tietosuojaliite osaksi sopimusta.
Tätä liitettä sovelletaan vain sellaisiin tietoihin, joiden osalta Asiakas on rekisterinpitäjä ja Toimittaja on henkilötietojen käsittelijä.
Toimittajan toimittamia palveluita koskeva henkilö- ja välitystietojen käsittely
Toimittajan toimittamissa palveluissa Asiakas toimii palvelun käytön perusteella mahdollisesti syntyvien henkilörekisterien suhteen EU:n yleisen tietosuoja-asetuksen (EU 2016/679) ja muun kulloinkin voimassa olevan soveltuvan tietosuojalainsäädännön mukaisena rekisterinpitäjänä sekä viestintäpalvelussa käsiteltäviä käyttäjiensä ja loppuasiakkaidensa tietoja koskien tietoyhteiskuntakaaren (917/2014) tarkoittamana yhteisötilaaja. Toimittaja toimii mahdollisesti palvelun käytön perusteella syntyvien henkilörekisterien suhteen henkilötietojen käsittelijänä ja viestintäpalvelussa käsiteltäviä käyttäjien tietoja koskien yhteisötilaajan alihankkijana Asiakkaan puolesta ja lukuun.
Asiakas vastaa rekisterinpitäjänä siitä, että se käsittelee henkilö- ja välitystietoja lainsäädännöstä sekä viranomaisten määräyksistä ja ohjeista johtuvien vaatimusten mukaisesti. Asiakas vastaa myös siitä, että Asiakas on suorittanut kaikki tietojen käsittelyn edellyttämät toimenpiteet, kuten EU:n yleisen tietosuoja-asetuksen, tietoyhteiskuntakaaren ja muun kulloinkin voimassa olevan soveltuvan tietosuojalainsäädännön edellyttämät menettelyt.
Asiakas valtuuttaa Toimittajan käsittelemään henkilötietoja palvelun toimittamisen edellyttämässä laajuudessa. Toimittaja voi käsitellä välitystietoja Asiakkaan puolesta verkko- ja viestintäpalvelun käyttämiseksi, laskuttamiseksi, tietoturvan varmistamiseksi, teknisen vian havaitsemiseksi, palvelujen toteuttamiseksi ja käyttämiseksi, palveluiden optimointiin sekä muihin laillisiin, perusteltuihin ja hyväksyttäviin käyttötarkoituksiin voimassa olevan lainsäädännön mukaisesti. Henkilötietoja käsitellään sopimuksen voimassaoloajan, ellei lainsäädännöstä muuta johdu. NettiTieto Oy varmistaa tietoturva- ja salassapitosopimuksin, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta.
Asiakas vastaa siitä, että palvelun käyttäjät tietävät heitä koskevien henkilö- ja välitystietojen luovuttamisesta Toimittajalle ja niiden käyttötarkoituksesta kulloinkin voimassa olevan lainsäädännön mukaisesti sekä mahdollisten henkilötietojen käsittelyn ja luovutuksen edellyttämien käyttäjien suostumusten keräämisestä ja olemassa olosta.
Toimittaja voi toimittaa Asiakkaalle tämän pyynnöstä henkilö- ja välitystietoja tietoyhteiskuntakaaren ja muun soveltuvan tietosuojalainsäädännön sallimissa ja edellyttämissä rajoissa. Tietojen luovutuksessa ja sitä koskevassa menettelyssä noudatetaan aina kulloinkin voimassa olevan lainsäädännön vaatimuksia. Asiakas sitoutuu käyttämään Toimittajalta saamiaan tietoja ainoastaan siihen käyttötarkoitukseen ja vain siinä laajuudessa, joka on lain nojalla sallittua rekisterinpitäjälle ja yhteisötilaajalle.
Toimittaja käsittelee henkilötietoja sopimuksen ja Asiakkaan kirjallisten ohjeiden mukaisesti. Toimittaja on oikeutettu laskuttamaan Asiakasta kulloinkin voimassa olevan hinnaston mukaisesti Asiakkaan kirjallisten ohjeiden edellyttämästä työstä ja toimenpiteistä, ellei toisin ole sovittu sopimuksessa. Käsittelyn päätyttyä Toimittaja Asiakkaan valinnan mukaan joko poistaa tai palauttaa Asiakkaan henkilötiedot yleisesti käytössä olevassa muodossa, jollei niiden säilyttämistä ole laissa edellytetty.
Toimittaja toteuttaa sovitut tekniset ja organisatoriset toimenpiteet henkilötietojen turvaamiseksi. Toimenpiteiden tulee taata turvallisuustaso, joka on asianmukainen ottaen huomioon:
Toimittajan käsitellessä henkilötietoja Asiakkaan puolesta Toimittaja auttaa Asiakasta varmistamaan, että EU:n yleisen tietosuoja-asetuksen henkilötietojen turvallista käsittelyä koskevissa 32–36 artikloissa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonne ja Toimittajan saatavilla olevat tiedot.
Jos Toimittajalle aiheutuu kustannuksia turvallisuusvaatimusten noudattamisesta tai Asiakkaan avustamisesta, Toimittajalla on oikeus veloittaa Asiakkaalta tällaiset kulut.
Henkilö- ja välitystietoja voidaan siirtää ja luovuttaa Toimittajan alihankkijoille, jos se on tarpeen palvelun tuottamiseksi. Tietoja voidaan siirtää ja luovuttaa EU:n ja ETA:n ulkopuolelle EU:n yleisen tietosuojalainsäädännön mukaisin edellytyksin. Muissa tapauksissa Toimittaja ei luovuta henkilö- tai välitystietoja kolmansille osapuolille ilman Asiakkaan etukäteistä suostumusta, ellei Toimittajaa ole lain nojalla velvoitettu luovuttamaan tietoja.
Toimittaja ohjaa henkilötietojen käsittelijänä rekisteröidyn, tietosuojavaltuutetun tai vastaavan viranomaisen tai kolmannen osapuolen henkilötietopyynnöt Asiakkaalle. Lisäksi Toimittaja ohjaa Asiakkaalle henkilötietojen korjaus-, poisto-, luovutus- ja estopyynnöt ja mahdollisuuksien mukaan kohtuullisin teknisin toimenpitein auttaa Asiakasta vastaamaan pyyntöihin.
Toimittaja ilmoittaa ilman aiheetonta viivytystä Asiakkaalle havaitsemansa Asiakkaan henkilötietoihin kohdistuvat tietomurrot tai niiden yritykset.
Toimittaja sallii Asiakkaan ja lain nojalla viranomaisen suorittamat henkilötietojen käsittelyä koskevat tarkastukset. Asiakkaan suorittaman tarkastuksen yksityiskohdista sovitaan tarkemmin erikseen. Toimittajalla on oikeus veloittaa Asiakkaalta tarkastuksiin liittyvät kustannukset voimassa olevan hinnaston mukaisesti.
Toimittaja velvoittaa alihankkijoitaan lain vaatimusten edellyttämällä tavalla ja laajuudessa noudattamaan vastaavia ehtoja kuin tässä liitteessä on kuvattu.
Kumpikin osapuoli vastaa kulloinkin voimassaolevan, soveltuvan tietosuojalainsäädännön noudattamisesta omalta osaltaan.
GDPR ei edellytä Asiakkaalta muita toimenpiteitä suhteessa Toimittajaan.
Mikäli Asiakkaan kanssa on sovittu henkilötietojen käsittelystä erillisellä tietojenkäsittelysopimuksella tai vastaavalla dokumentilla, noudatetaan ensisijaisesti sitä.
