Tietosuojalauseke

Konffan tietoliikenteeseen liittyvät teknologiset ratkaisut ja prosessit kattavat Euroopan unionin yleisen tietosuoja-asetuksen 2016/679 (GDPR) vaatimukset. Käyttämämme palvelimet sijaitsevat EU:n sisällä ja noudattavat lainsäädäntöä.  Olemme solmineet kolmansien osapuolten kanssa tarvittavat sopimukset vaaditulla tavalla.

Palveluidemme toimittaminen vaatii pääsääntöisesti asiakastapahtumien osallistujien henkilötietojen käsittelyä asiakkaan puolesta ja lukuun, olemme laatineet tietosuojaa koskevan erillisen sopimusliitteen, jossa määritellään Konffan ja asiakkaidemme oikeudet ja velvollisuudet osallistujien henkilötietojen käsittelyyn liittyen. Tämä sopimusliite allekirjoitetaan asiakkaan kanssa erikseen.

Niiden asiakkaiden, joiden toimeksianto on alkanut ennen 25.5.2018 ovat samat säännöt ja ehdot voimassa, ilman erillisistä sopimusta.

KONFFA OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN EHDOT

1.  Tarkoitus ja soveltamisala


Euroopan Unionin yleisen tietosuoja-asetuksen 2016/679 (“Tietosuoja-asetus”) soveltaminen alkaa 25.5.2018. Tietosuoja-asetus velvoittaa henkilötietojen käsittelijän ja rekisterinpitäjän sopimaan kirjallisesti henkilötietojen käsittelystä.


Tällä liitteellä määritetään osapuolten tietosuojalainsäädännön mukaiset velvollisuudet henkilötietojen käsittelijänä ja rekisterinpitäjänä. Tämä liite henkilötietojen käsittelystä tulee voimaan automaattisesti alkaen 25.5.2018 ja tämän liitteen ehtoja sovelletaan osana Konffa Oy:n yleisiä toimitusehtoja tai osapuolten välistä muuta sopimusta.

 

Näitä henkilötietojen käsittelyä koskevia yleisiä ehtoja sovelletaan Konffa Oy:n asiakkaalle toimittamiin palveluihin, joissa asiakas toimii rekisterinpitäjä ja Konffa Oy toimii Tietosuoja-asetuksen mukaisena henkilötietojen käsittelijänä, joka käsittelee  henkilötietoja asiakkaan puolesta ja lukuun.

 

Asiakas valtuuttaa Konffan käsittelemään henkilötietoja Konffan toimittaman palvelun toimittamisen edellyttämässä laajuudessa. Konffan käsittelemien henkilötietojen käsittelyn tarkoitus ja luonne sekä henkilötietojen tyypit ja rekisteröityjen ryhmät on kuvattu erikseen palvelukuvauksessa tai muussa osapuolten välisessä asiakirjassa. Konffa voi käsitellä henkilötietoja asiakkaan puolesta muun muassa palvelujen toteuttamiseksi ja käyttämiseksi esimerkiksi tarjoamalla asiakkaalle ilmoittautumis-, markkinointi- ja asiakasviestintäjärjestelmän. Henkilötietoja käsitellään edellä mainittujen tai osapuolten erikseen sopiman käyttötarkoituksen ja sovellettavassa lainsäädännössä määritetyn edellyttämän ajan.

 

2.  Osapuolten vastuut ja velvollisuudet

 

Kumpikin osapuoli vastaa kulloinkin voimassaolevan, soveltuvan tietosuojalainsäädännön noudattamisesta omalta osaltaan.


Asiakas vastaa rekisterinpitäjänä seuraavista asioista:

  • Henkilötietojen käsittely on kaikissa tapauksissa asianmukaista asiakkaan toiminnan kannalta ja henkilötietojen keräämiseen ja käsittelyyn on saatu asianmukaiset luvat tai suostumukset rekisteröidyiltä;
  • Kerättävien henkilötietojen käsittelytarkoitus on määritelty;
  • Henkilötietojen käsittely on suunniteltu etukäteen;
  • Tiettyyn tarkoitukseen kerättyjä henkilötietoja ei käytetä muuhun tarkoitukseen;
  • Henkilötietoja käsitellään laillisesti, noudattaen huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimii muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta;
  • Huolehtii kerättävien ja käsiteltävien henkilötietojen suojaamisesta asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Tämän suojaamisvelvoitteen piiriin kuuluu myös tietoturvasta huolehtiminen;
  • Huolehtii, että asiakas ei rekisterinpitäjänä ilman erillistä sopimusta tallenna eikä käsittele lasten henkilötietoja (alle 16 vuotta) tai arkaluonteisia henkilötietoja;
  • Henkilörekisteri, joka ei enää ole tarpeellinen asiakkaan toiminnan kannalta, hävitetään, jollei siihen talletettuja tietoja ole erikseen säädetty tai määrätty säilytettäviksi;
  • Henkilötiedot, jotka ovat käsittelyn tarkoituksiin nähden epätarkat ja virheelliset, poistetaan tai oikaistaan viipymättä;
  • Asiakkaan laatima rekisteriseloste on jokaisen saatavilla ja että siihen on  merkitty sovellettavassa tietosuojalainsäädännössä säädetyt keskeiset rekisterinpidon vastuita, käsiteltävien henkilötietojen käyttötarkoitusta ja rekisterin tietosisältöä sekä henkilötietojen säännönmukaisia luovutuksia ja suojaamista koskevat tiedot;
  • Kaikista muista sovellettavassa tietosuojalainsäädännössä olevista rekisterinpitäjän vastuulle kuuluvista seikoista.


Asiakas vastaa siitä, että se pystyy osoittamaan noudattaneensa edellä olevissa kohdissa mainittuja velvollisuuksia.

 

Konffa vastaa henkilötietojen käsittelijänä seuraavista asioista:

 

  • Henkilötietojen käsittelyn ylläpidosta, suojaamisesta, tietoturvallisuudesta ja tietojen säilyttämisestä asiakkaan lukuun, sekä tarkastusoikeuden toteuttamisesta.
  •  Henkilötietojen käsittelystä ainoastaan asiakkaan antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos sovellettavassa lainsäädännössä toisin vaaditaan, missä tapauksessa Konffa tiedottaa asiakkaalle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;
  • Sen varmistamisesta, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapito-velvollisuus;
  • Kaikkien Tietosuoja-asetuksen 32 artiklassa vaadittujen toimenpiteiden toteuttamisesta (ml. riittävän turvallisuustason varmistamiseksi asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen);
  • Asiakkaan avustamisesta, ottaen huomioon käsittelytoimen luonteen, asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat Tietosuoja-asetuksen III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä (kuten rekisteröidyn oikeus päästä rekisteröidyn omiin henkilötietoihin, oikeus peruuttaa suostumus henkilötietojen keräämiseen ja oikeus tietojen poistamiseen);
  • Asiakkaan auttamisesta varmistamaan, että Tietosuoja-asetuksen 32–36 artiklassa säädettyjä velvollisuuksia (käsittelyn turvallisuus, henkilötietojen tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle, henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle, tietosuojaa koskeva vaikutustenarviointi sekä mahdollinen ennakkokuuleminen), noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot;
  • Asiakkaan valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;
  • Konffa sitoutuu, että se ei käytä henkilötietojen käsittelyyn alihankkijaa ilman asiakkaan etukäteistä kirjallista suostumusta. Mikäli Konffa käyttää asiakkaan suostumuksella alihankkijaa, sitoutuu Konffa siihen, että alihankintasopimus tehdään kirjallisena, ja että alihankkija sitoutuu samoihin henkilötietojen käsittelijän velvollisuuksiin, kuin mihin Konffa on sitoutunut.
  • Konffa sallii asiakkaan ja lain nojalla viranomaisen suorittamat henkilötietojen käsittelyä koskevat tarkastukset. Osapuolet sopivat asiakkaan suorittaman tarkastuksen yksityiskohdista tarkemmin erikseen.
  • Elleivät osapuolet erikseen toisin sovi, Koodiviidakolla on oikeus laskuttaa asiakasta hinnastonsa mukaisesti asiakkaan kirjallisten ohjeiden edellyttämästä työstä ja toimenpiteistä. Lisäksi, mikäli Konffalla aiheutuu turvallisuusvaatimusten noudattamisesta tai asiakkaan avustamisesta kuluja, Konffalla on oikeus laskuttaa nämä kulut asiakkaalta.

3. Henkilötietojen siirtäminen

 

Konffa ei käsittele tai luovuta ja varmistaa, etteivät sen palveluiden tuottamisessa mahdollisesti käyttämät alihankkijat käsittele tai luovuta henkilötietoja Euroopan Unionin ulkopuolelle ilman asiakkaan erillistä ja etukäteistä kirjallista suostumusta tai valtuutusta. Valtuutuksesta huolimatta, Konffa (ml. alihankkijat) käsittelee henkilötietoja aina sovellettavan tietosuojalainsäädännön mukaisesti.

 

4. Oikeudet henkilötietoihin


Paitsi täyttääkseen tämän sopimuksen mukaiset velvoitteensa, Konffa sitoutuu pitämään henkilötiedot luottamuksellisina, eikä sillä ole oikeuksia henkilötietoihin, eikä Konffa saa sallia pääsyä henkilötietoihin, käyttää, käsitellä tai luovuttaa niitä (kokonaan tai osittain) kolmannelle osapuolelle, elleivät osapuolet nimenomaisesti kirjallisesti erikseen toisin sovi. Sopimuksen päättyessä Konffa toimittaa asiakkaalle ajantasaiset kopiot kaikista Henkilötiedoista (ml. varmuuskopiot) siinä muodossa kuin asiakas kohtuullisesti pyytää. Konffa sitoutuu, ja varmistaa, että sen alihankkijat sitoutuva sopimuksen päättyessä tuhoamaan ja poistamaan hallussaan olevat henkilötiedot tietojärjestelmistään ja ohjelmistoistaan, jolla Konffa on

käsitellyt henkilötietoja, ja vahvistaa tämän kirjallisesti asiakkaalle.


5. Suojatoimenpiteet


Konffa toteuttaa ja ylläpitää asianmukaisia operatiivisia, hallinnollisia, fyysisiä ja teknisiä toimenpiteitä henkilötietojen suojaamiseksi tahattomalta, luvattomalta tai laittomalta tuhoutumiselta, häviämiseltä, muuttamiselta, paljastumiselta tai pääsyltä siten, että kaikki henkilötietojen käsittely on sovellettavan tietosuojalainsäädännön mukaista. Teknisten suojatoimenpiteiden on sisällettävä ajan tasalla oleva virustorjunta niille tiedostoille, jotka sisältävät henkilötietoja, ja näiden tiedostojen varmuuskopioille.

 

Konffa pitää ajantasaista kirjaa kaikesta tämän sopimuksen mukaisesta henkilötietojen käsittelystä ja rajoittaa henkilötietoihin pääsyn vain sellaisille työntekijöilleen, joilla on riittävät valtuudet ja koulutus sekä selkeästi määritelty tarve tietää henkilötietoja, ja jotka ovat sidottuja asianmukaisiin salassapitoehtoihin, ja jotka käsittelevät henkilötietoja asiakkaan ohjeiden mukaisesti, ellei pakottavassa lainsäädännössä toisin vaadita.

 

6. Vastuunrajoitus


Asiakas ja Konffa hyväksyvät, että toimivaltaisten viranomaisten määräämiin hallinnollisiin sanktioihin tai rekisteröidyn tämän henkilötietojen käsittelyä koskevan liitteen perusteella esittämien korvaus-vaatimuksien vastuut kohdentuvat osapuolille näille sovellettavassa tietosuojalainsäädännössä asetettujen velvoitteiden mukaisesti. Näin ollen sovellettavassa tietosuojalainsäädännössä asetetun velvoitteen noudattamisen laiminlyönyt osapuoli on velvollinen suorittamaan määrätyt hallinnolliset sanktiot tai vahingonkorvaukset niiden määräämiseen oikeutetun toimivaltaisen viranomaisen tai tuomioistuimen päätöksen mukaisesti.


Konffa ei vastaa mistään epäsuorista tai välillisistä vahingoista. Tähän liitteeseen sovelletaan Konffa Oy:n yleisten toimitusehtojen mukaisia vastuu- ja vastuunrajoitusehtoja.

 

7. Salassapito

 

Osapuolet sitoutuvat olemaan luovuttamatta millekään kolmannelle osapuolelle mitään toista osapuolta tai sen liiketoimintaa koskevia tietoja, joita osapuoli on saanut tietoonsa tämän sopimuksen mukaisen yhteistyön aikana, ellei tietojen luovuttaminen ole lakisääteistä tai ellei sääntelyviranomainen vaadi luovuttamaan tällaisia tietoja.