Suomen 16100 Oy:n yleiset sopimusehdot 1/2018 Liite 1

TIETOSUOJALIITE

1. TAUSTA JA TARKOITUS

Suomen 16100 Oy:n (”16100”) ja sen kanssa sopimuksen solmineen asiakkaan (”Asiakas”) väliseen sopimussuhteeseen sovelletaan tätä Suomen 16100 Oy:n yleisten sopimusehtojen tietosuojaliitettä, kun 16100 käsittelee käsittelijänä henkilötietoja rekisterinpitäjänä toimivan Asiakkaan lukuun. Jos tämän tietosuojaliitteen ja yleisten sopimusehtojen henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, sovelletaan ensisijaisesti tämän tietosuojaliitteen ehtoja.

Tämän tietosuojaliitteen tarkoituksena on sopia Asiakkaan henkilötietojen suojasta ja tietoturvasta 16100:n tuottaessa Asiakkaalle yleisten sopimusehtojen mukaisia palveluita. 16100 ja Asiakas noudattavat kulloinkin sovellettavaa tietosuojalainsäädäntöä käsitellessään 16100:n ja Asiakkaan välisen sopimuksen perusteella rekisteröityjen henkilötietoja. Tietosuojalainsäädännöllä tarkoitetaan henkilötietojen suojaan liittyvää kansallista ja EU-lainsäädäntöä, kuten Euroopan unionin yleistä tietosuoja-asetusta (EU 2016/679). Niitä tietosuojaan liittyviä termejä, joita ei ole määritelty tässä tietosuojaliitteessä, käytetään EU:n yleisen tietosuoja-asetuksen määrittämällä tavalla. Palvelussa 16100 käsittelee henkilötietoja yleisten sopimusehtojen mukaisten palveluiden tuottamiseksi Asiakkaalle. Palvelut voivat olla esimerkiksi numerotiedustelun tuottamiseen liittyviä palveluita. Rekisteröidyt ovat toimeksiannon kohteena olevia asiakkaita tai näiden henkilöstöä, toimeksiantoon liittyviä muita henkilöitä ja/tai Asiakkaan henkilöstöä.

Toimeksiannon kohteena olevista asiakkaista tai näiden henkilöstöstä käsitellään palvelun toteuttamiseksi ja toimeksiantojen hoitamiseksi tarpeellisia henkilötietoja, kuten asiakasnumero, nimi, henkilötunnus tai syntymäaika, osoite, puhelinnumero, sähköpostiosoite, yhteyshenkilöiden nimet ja yhteystiedot, pankkiyhteystiedot ja muut toimeksiannon hoitamisen kannalta tarpeelliset tiedot toimeksiannon kohteesta. Lisäksi toimeksiantojen hoitamiseksi voidaan käsitellä muita tarpeellisia tietoja mukaan lukien laskutustietoja, laskua, sen määrää ja perustetta sekä sen maksamista koskevia tietoja, toimeksiannon asianumeroa ja sen käsittelyvaihetta koskevia tietoja, perintätoimenpiteitä ja perinnän vaihetta koskevia tietoja, rekisteröidyn itse antamia tietoja sekä viranomaisilta ja julkisista rekistereistä saatavia toimeksiannon hoitamisen kannalta tarpeellisia tietoja, viranomaispäätöksiä ja täytäntöönpanotietoja sekä tietoja asiakaspalvelun kanssa käydyistä puhelinkeskusteluista ja muusta viestinnästä.

Asiakkaan henkilöstöstä käsiteltäviä tietoja ovat nimi, puhelinnumero ja sähköpostiosoite.

2. TIETOJEN KÄSITTELY

Asiakas siirtää 16100:lle ja 16100:n järjestelmiin vain sellaista tietoa, jota sillä on oikeus käsitellä kulloinkin soveltuvan tietosuojalainsäädännön mukaan.

16100 ja sen alaisuudessa toimiva henkilöstö käsittelee Asiakkaan lukuun henkilötietoja vain sopimuksen ja sen liitteiden, kuten tämän tietosuojaliitteen, mukaisesti sekä mahdollisen erikseen sovitun kirjallisen ohjeistuksen mukaisesti, ellei kulloinkin sovellettavassa lainsäädännössä toisin vaadita. Jos 16100 huomaa, että kirjallinen ohjeistus on lainvastainen, 16100 tiedottaa Asiakasta tästä lainsäädännön vaatimuksesta ennen käsittelyä. 16100 ei kuitenkaan tiedota asiasta, jos ilmoittaminen on kielletty kyseisessä lainsäädännössä yleistä etua koskevien tärkeiden syiden vuoksi.

16100 varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta.

16100:lla on oikeus siirtää ja luovuttaa henkilötietoja Asiakkaan kanssa solmitun sopimuksen ja kulloinkin sovellettavan lainsäädännön sallimissa ja velvoittamissa tilanteissa esimerkiksi rekisteröidylle itselleen ja/tai tuomioistuimille, ulosottoviranomaisille, poliisiviranomaisille, luottotietoyhtiöille ja/tai numero-, osoite- ja yhteystietopalveluyrityksille tietojen tarkistamista varten.

Sopimuksen päätyttyä 16100 poistaa kohtuullisessa ajassa ne sopimuksen perusteella asiakkaan lukuun käsitellyt henkilötiedot, joita soveltuvan lainsäädännön vuoksi ei ole perusteltua säilyttää. 16100 säilyttää henkilötietoja sen aikaa kuin se on soveltuvan lainsäädännön vuoksi perusteltua, minkä jälkeen ne sopimussuhteen loputtua poistetaan kohtuullisessa ajassa.

3. TIETOTURVA

16100 toteuttaa riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöön panemiseksi niin, että käsittely täyttää sovellettavan lainsäädännön vaatimukset. Näissä teknisissä ja organisatorisissa toimenpiteissä huomioidaan riskiä vastaava turvallisuustason varmistaminen kuten:

• tarvittaessa henkilötietojen pseudonymisointi ja salaus;
• kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
• kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
• menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organistoristen toimenpiteidentehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

16100 kiinnittää huomiota turvallisuustason arvioimisessa käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattomat luovuttamisen tai henkilötietoihin pääsyn vuoksi.

Jos tapahtuu Asiakkaan lukuun käsiteltäviä henkilötietoja koskeva tietoturvaloukkaus, 16100 ilmoittaa siitä Asiakkaalle ilman aiheetonta viivästystä saatuaan sen tietoonsa. Ottaen huomioon käsittelyn luonteen ja 16100:n saatavilla olevat tiedot, 16100 antaa Asiakkaalle tarpeelliset tiedot tietoturvaloukkauksesta, jotta Asiakas voi täyttää sovellettavan tietosuojalainsäädännön vaatimukset, kuten ilmoitusvelvollisuutensa tai tietoturvaloukkausten dokumentointivelvollisuutensa. Asiakas ilmoittaa 16100:lle ilman aiheetonta viivästystä, jos Asiakkaan tietoon tulee tietoturvaloukkaus, joka saattaa koskea 16100:n Asiakkaan lukuun käsittelemiä henkilötietoja. Jos 16100 tarvitsee tietoturvaloukkaustilanteessa tarpeellisia tietoja Asiakkaalta voidakseen täyttää tämän tietosuojaliitteen ja lainsäädännön mukaiset velvollisuutensa, Asiakkaan on annettava ne 16100:lle ilman aiheetonta viivytystä.

4. AUDITOINTIOIKEUS

Asiakkaalla ja/tai sen tätä tarkoitusta varten valtuuttamalla kolmannella taholla on oikeus suorittaa auditointi, kuten tarkastus, arvioidakseen tämän liitteen mukaisten tietosuojavelvoitteiden täyttämistä ja tietoturvan tasoa. Valtuutettu kolmas taho ei saa olla 16100:n suora kilpailija. 16100:lla on oikeus määrittää, onko valtuutettu kolmas taho 16100:n suora kilpailija. 16100:lla on oikeus edellyttää sellaisen valtuutetun kolmannen tahon käyttämistä auditointiin, joka ei ole suora kilpailija.

16100:n tulee osallistua tarkastuksiin ja antaa Asiakkaalle kaikki tiedot, jotka ovat tarpeen 16100:n velvollisuuksien noudattamisen osoittamista varten. Asiakkaalla on oikeus tarkastaa myös 16100:n käyttämien alihankkijoiden toiminta niiltä osin, kuin se on tarpeen palvelussa käsiteltävien henkilötietojen suojaamiseksi. Asiakas vastaa tarkastuksen kustannuksista kolmannen tahon osalta, muilta osin osapuolet vastaavat omista kustannuksistaan. Asiakkaalla ja sen valtuuttamalla kolmannella taholla on salassapitovelvollisuus auditoinnissa ilmi käyneistä 16100:n liikesalaisuuksista. Auditointioikeuden käyttämisestä ja auditoinnin sisällöstä ja menettelyistä sekä ajankohdasta sovitaan aina erikseen 16100:n kanssa. Auditoinnin ajankohta voi olla aikaisintaan kolmekymmenen (30) päivän kuluttua auditointia koskevasta kirjallisesta yhteydenotosta.

Myös viranomaisilla on tarkastusoikeus esimerkiksi silloin, kun viranomainen tarkastaa Asiakkaan prosessia, johon kuuluu osana 16100:n Asiakkaalle käsittelijänä toimittama palvelu.

5. ALIHANKKIJAT

Asiakas antaa tällä tietosuojaliitteellä 16100:lle luvan käyttää alihankkijoita henkilötietojen käsittelyssä. Alihankkijat käsittelevät henkilötietoja heidän kanssaan sovitun mukaisessa laajuudessa.

16100 ilmoittaa Asiakkaalle tulevista muutoksista alihankkijoissa. Jos Asiakas ei anna lupaa uuden alihankkijan käyttämiseksi henkilötietojen käsittelyssä, Asiakkaalla on oikeus irtisanoa sopimus neljäntoista (14) päivän kuluessa alihankkijoiden muutosilmoituksesta. Jos Asiakas ei irtisano sopimusta, 16100 voi käyttää ilmoitettuja uusia alihankkijoita. Asiakkaan irtisanoessa sopimuksen noudatetaan yleisten sopimusehtojen kohtaa sopimuksen irtisanomisesta ja irtisanomisajasta.

16100:n käyttäessä alihankkijoita Asiakkaan henkilötietojen käsittelyyn, 16100 huolehtii siitä, että alihankkijaan sovelletaan sopimuksen tai muun oikeudellisen asiakirjan perusteella samoja tai vähintään yhtä tiukkoja tietosuojavelvoitteita kuin tässä tietosuojaliitteessä. Erityisesti alihankkijan on annettava riittävät takeet siitä, että käsittelyyn liittyvät tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää sovellettavan lainsäädännön vaatimukset. Jos 16100:n alihankkija ei täytä tietosuojavelvoitteitaan, on 16100 edelleen täysimääräisesti vastuussa alihankkijan velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.

6. KÄSITTELY EUROOPAN UNIONIN JA EUROOPAN TALOUSALUEEN ULKOPUOLELLA

Henkilötietoja ei siirretä eikä luovuteta Euroopan unionin, Euroopan talousalueen tai Euroopan komission päättämien riittävän tietosuojan tason maiden ulkopuolelle ilman, että 16100 ilmoittaa asiasta etukäteen Asiakkaalle. Jos Asiakas ei anna lupaa siirtoon, Asiakkaalla on oikeus irtisanoa sopimus neljäntoista (14) päivän kuluessa ilmoituksesta. Asiakkaan irtisanoessa sopimuksen noudatetaan yleisten sopimusehtojen kohtaa sopimuksen irtisanomisesta ja irtisanomisajasta.

Mikäli henkilötietoja siirretään Euroopan unionin, Euroopan talousalueen ja Euroopan komission päättämien riittävän tietosuojan tason maiden ulkopuolelle, osapuolet käyttävät asianmukaisia suojatoimia, kuten Euroopan komission vahvistamia tietosuojaa koskevia vakiolausekkeita.

7. AUTTAMINEN

16100 auttaa omalla kustannuksellaan Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään sovellettavan lainsäädännön mukaisesti rekisterinpitäjänä toimivan Asiakkaan velvollisuuden vastata tiettyihin rekisteröidyn oikeuksia koskeviin pyyntöihin. Nämä pyynnöt voivat koskea i) oikeutta tietojen oikaisuun; ii) oikeutta tietojen poistamiseen; iii) oikeutta käsittelyn rajoittamiseksi tai iv) oikeutta siirtää tiedot järjestelmästä toiseen. Osan näistä tehtävistä Asiakas voi suorittaa 16100:n palvelun osana olevan järjestelmän kautta. Ottaen huomioon käsittelyn luonteen ja 16100:n saatavilla olevat tiedot 16100: auttaa Asiakasta varmistamaan, että tämä voi rekisterinpitäjänä täyttää velvollisuutensa vaikutustenarviointia tai valvontaviranomaisen ennakkokuulemista varten soveltuvan lainsäädännön niin vaatiessa.

16100 saattaa Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen soveltuvassa lainsäädännössä säädettyjen rekisterinpitäjän ja käsittelijän välisen suhteen velvollisuuksien noudattamisen osoittamiseksi. 16100:n on välittömästi ilmoitettava Asiakkaalle, jos 16100 katsoo, että mahdollisesti erikseen sovittu Asiakkaan kirjallinen ohjeistus rikkoo soveltuvaa kansallista tai EU:n tietosuojalainsäädäntöä.

Jos 16100 tarvitsee Asiakkaalta tietoja tai muuta apua voidakseen täyttää tämän kohdan 7. mukaiset auttamisvelvollisuutensa, Asiakkaalla on velvollisuus ilman aiheetonta viivytystä maksutta tarjota nämä tiedot tai muu 16100:n pyytämä apu.