Henkilötietojen käsittelysopimus


1. Osapuolet Rekisterinpitäjä: ResComi Oy Y-tunnus 1541866-1 Rantakatu 8, 92100 Raahe Henkilötietojen käsittelijä: Raaseli-verkkopalvelussa palveluja tarjoava yritys 2. Taustaa Henkilötietojen käsittelijä käsittelee Rekisterinpitäjän asiakkaiden henkilötietoja ostotapahtumasta lähetettävien sähköpostivahvistuksien käsittelyn yhteydessä. Tämän henkilötietojen käsittelysopimuksen tarkoitus on varmistaa henkilötietoja koskeva tietosuoja ja tietoturva, kun Henkilötietojen käsittelijä käsittelee henkilötietoja Rekisterinpitäjän puolesta. 3. Määritelmät Tässä sopimuksessa tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti Rekisterinpitäjällä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijällä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelyllä toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista. Henkilötiedoilla kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröityyn, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Henkilötietojen tietoturvaloukkauksella tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. 4. Rekisterinpitäjän velvollisuudet Rekisterinpitäjä hyväksyy ja vakuuttaa, että palveluiden käytön yhteydessä tapahtuva henkilötietojen käsittely on sovellettavan tietosuojalainsäädännön mukaan laillista. Rekisterinpitäjä vakuuttaa erityisesti, että: Henkilötietojen käsittely perustuu oikeuksiin ja suostumuksiin, joilla on lailliset perusteet Rekisteröidyt henkilöt ovat saaneet asianmukaisesti tiedon henkilötietojen käsittelystä Rekisterinpitäjällä on oikeus siirtää henkilötiedot Henkilötietojen käsittelijälle käsittelyä varten Tietosuojaseloste on laadittu ja saatavilla Rekisterinpitäjä vakuuttaa, että tämä henkilötietojen käsittelysopimus sekä Rekisterinpitäjän antamat lainmukaiset ohjeet antavat riittävät takuut siitä, että Henkilötietojen käsittelijän suorittama henkilötietojen käsittely täyttää sovellettavan tietosuojalainsäädännön vaatimukset. Osapuolet sopivat yhteisesti mahdollisista muutoksista tietojenkäsittelyohjeeseen. Rekisterinpitäjä ohjeistaa Henkilötietojen käsittelijää tietojen käsittelystä seuraavasti: TIETOJENKÄSITTELYOHJE Henkilötietojen käsittelyssä tulee noudattaa äärimmäistä huolellisuutta ja noudattaa seuraavia ohjeita, jotta varmistetaan henkilötietojen asianmukainen käsittely: Rekisterinpitäjän luovuttamia tietoja käsitellään vain palvelun tarjoamiseen tai ylläpitämiseen perustuvan perustellun tarpeen johdosta Rekisterinpitäjän luovuttamiin henkilötietoihin liittyvät työdokumentit ja jäljennökset tulee viivyttelemättä ja tietoturvallisesti tuhota käytön jälkeen Henkilötietojen käsittelijää sitoo salassapitovelvollisuus henkilötietoihin liittyen 5. Henkilötietojen käsittelijän velvollisuudet Henkilötietojen käsittelijä saa käsitellä henkilötietoja ainoastaan tietojenkäsittelysopimuksessa määriteltyjen dokumentoitujen ohjeiden mukaisesti. Alihankkijoiden tulee noudattaa samoja tietojenkäsittelyperiaatteita ja velvoitteita kuin Henkilötietojen käsittelijän. Alihankkijoille on toimitettava kirjallinen ohje henkilötietojen käsittelystä. Ennen kuin Henkilötietojen käsittelijä vaihtaa tai lisää henkilötietojen käsittelyyn osallistuvia alihankkijoita, Henkilötietojen käsittelijä ilmoittaa asiasta kirjallisesti Rekisterinpitäjälle ilman aiheetonta viivästystä. Jos Rekisterinpitäjä ei hyväksy alihankkijan vaihtamista tai lisäämistä perustellusta syystä, niin Rekisterinpitäjällä on oikeus irtisanoa sopimus 30 päivän irtisanomisajalla. 6. Tietojen luovutus EU-alueen ulkopuolelle Henkilötietoja ei siirretä eikä luovuteta Euroopan unionin tai Euroopan talousalueen ulkopuolelle. 7. Tietoturva Henkilötietojen käsittelijä ottaa huomioon tarjoamaansa palveluun liittyvät riskit ja tekee ne huomioiden tarpeelliset toimenpiteet hallinnollisesti ja teknisesti, jotta riskit Rekisterinpitäjän henkilötietojen oikeudettomaan, tahattomaan ja laittomaan käyttöön minimoidaan. Lisäksi Henkilötietojen käsittelijä tekee tarvittavat toimenpiteet, jotta tietojen eheys ja saatavuus taataan. Henkilötietojen käsittelijä varmistaa, että henkilötietoja käsittelevät työntekijät ovat saaneet asiankuuluvan koulutuksen ja ohjeistuksen henkilötietojen käsittelyyn. Henkilötietojen käsittelijä tekee muun muassa, mutta ei rajoittuen, seuraavia tietoturvatoimia henkilötietojen suojaamiseksi: Henkilötietojen salaus Käyttöoikeushallinta ja käyttöoikeuksien minimointi Tekniset ratkaisut tiedonsiirron salaamiseksi Hallinnollinen tietoturva Riskienhallinta Henkilöstön turvaselvitykset Henkilötietojen käsittelijä takaa Rekisterinpitäjälle tietosuojalainsäädännön edellyttämät oikeudet Henkilötietojen käsittelijän auditointiin. Kumpikin osapuoli vastaa omalta osaltaan tarkastuksista aiheutuvista kustannuksista. 8. Toimenpiteet tietoturvaloukkauksen sattuessa Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Rekisterinpitäjälle ilman aiheetonta viivytystä ja viimeistään 36 tunnin kuluessa saatuaan sen tietoonsa. Henkilötietojen käsittelijän on annettava Rekisterinpitäjälle vähintään seuraavat tiedot tietoturvaloukkauksesta: kuvattava henkilötietojen tietoturvaloukkaus ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset kuvattava toimenpiteet, joita kyseinen Henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja niiden ennaltaehkäisemiseksi jatkossa sekä tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten minimoimiseksi 9. Vastuut Jos rekisteröidylle aiheutuu EU:n tietosuoja-asetuksen tai tämän sopimuksen loukkauksista aineellista tai aineetonta vahinkoa, Henkilötietojen käsittelijä on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja EU:n tietosuoja-asetuksen tai tämän sopimuksen velvoitteita. Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollisista sakoista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Henkilötietojen käsittelijä tiedottaa Rekisterinpitäjää kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä sopimusta ja Rekisterinpitäjän antamia kirjallisia ohjeita. Osapuolet sopivat kaikki lisäykset ja muutokset tähän sopimukseen kirjallisesti. Tämä sopimus tulee voimaan, kun Henkilötietojen käsittelijä on sen Raaseli-verkkopalveluun rekisteröitymisen yhteydessä hyväksynyt. Tämä sopimus on voimassa niin pitkään kuin osapuolilla on henkilötietojen käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.