Mitä on TEMA?

Henkilötietojen käytäntö

Henkilötietojen käsittely

Sopimuksessa käytetyt määritelmät

Asiakkaan aineisto  tarkoittaa Asiakkaan Toimittajalle luovuttamaa tai käyttöön asetettua tietoa tai aineistoa tai muuta sopijapuolten Asiakkaan aineistoksi määrittelemää tietoa tai aineistoa.

Henkilötieto  tarkoittaa kaikkea tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvää tietoa tai muuta Tietosuojalainsäädännössä määriteltyä henkilötietoa.

Henkilötietojen käsittelijä  (jäljempänä myös ”Käsittelijä”) tarkoittaa Toimittajaa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun ja ohjeiden mukaisesti.

Käsittely  tarkoittaa toimintoa tai toimintoja, joita Toimittaja tekee Asiakkaan lukuun sopijapuoltenvälisen sopimuksen perusteella ja joita kohdistetaan henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, tai muuta Tietosuojalainsäädännössä määriteltyä Henkilötietojen käsittelyä.

Rekisterinpitäjä  tarkoittaa Asiakasta, joka yksin tai yhdessä toisten kanssa määrittelee Henkilötietojen käsittelyn tarkoitukset ja keinot.

Tietosuojaliite  tarkoittaa tätä sopimusta Henkilötietojen käsittelystä

Tietosuojalainsäädäntö  tarkoittaa Euroopan unionin yleistä tietosuoja-asetusta (679/2016) ja muita soveltuvia tietosuojasäännöksiä sekä tietosuojaviranomaisten määräyksiä ja ohjeita.

Sopimuksen kohde ja soveltaminen

Tämä sopimus Henkilötietojen käsittelystä (jatkossa myös ”Tietosuojaliite”), on erottamaton osa Asiakkaan tai sen kanssa samaan konserniin kuuluvan yhtiön (”Asiakas”) ja Toimittajan kanssa sovittua kulloinkin voimassa sopimusta tai muuta palvelusopimusta (”Pääsopimus”).

Asiakas ja Toimittaja ovat sopineet tässä Tietosuojaliitteessä, että Asiakas Rekisterinpitäjänä määrittelee Henkilötietojen käsittelyn tarkoitukset ja keinot ja Toimittaja Henkilötietojen käsittelijänä käsittelee Henkilötietoja Asiakkaan antamien ohjeiden mukaisesti.  Tämä Tietosuojaliite muodostaa Sopijapuolten välille EU:n tietosuoja-asetuksen mukaisen kirjallisen sopimuksen Henkilötietojen käsittelystä

Tämän Tietosuojaliitteen määräyksiä ja ohjeita sovelletaan aina, kun Toimittaja käsittelee Asiakkaan Henkilötietoja.

Jos tämän Tietosuojaliitteen ja Pääsopimuksen ehdot ovat ristiriidassa keskenään, sovelletaan ensisijaisesti tämän Tietosuojaliitteen ehtoja.

Henkilötietojen käsittelyn luonne ja tarkoitus

Tämän sopimuksen puitteissa käsiteltävät henkilötiedot ovat Asiakkaan henkilötietorekistereihinsä tallentamia Henkilötietoja ja joita Asiakas luovuttaa Toimittajalle mm. seuraaviin käyttötarkoituksiin:

  • Asiakkaan järjestämiin matkoihin ja muihin palveluihin liittyvät asiat
  • Asiakkaan järjestämien matkojen osallistujiin liittyvät asiat.
  • Yritysasiakkaiden työntekijät, yhteistyökumppanit ja muut Asiakkaaseen liittyvät henkilöt, jotka Asiakas on kerännyt ja antanut Toimittajalle Pääsopimuksen täyttämiseen liittyvässä tarkoituksessa.

Käsittelyn kohde, luonne ja tarkoitus määritellään tarkemmin erikseen Pääsopimuksessa.

Henkilötietojen tyyppi

Toimittajan käsittelemät henkilötiedot voivat olla:

  • Asiakkaan rekistereihinsä tallentamien rekisteröityjen Henkilötietoja kuten: Nimi, syntymäaika, osoite, puhelinnumero, sähköpostiosoite ja muut tarpeelliset yhteystiedot sekä rekisteröidyn työtehtävät, ammatti, asema ja tehtävä organisaatioissa.
  • Rekisteröidyn itse tuottama sisältö kuten sekä hänen itsestään antamat lisätiedot kuten matkoihin ja muihin palveluihin liittyvät toiveet, tyytyväisyystiedot, kiinnostuksen kohteet ja muut vastaavat tiedot.
  • Tietoja rekisteröidyn aiemmin käyttämistä Asiakkaan palveluista muita asiakkuuteen liittyviä tietoja.
  • Tunnistamis- ja varmentamisvälineiden ja -palveluiden käyttöön liittyviä tarpeellisia tietoja.
  • Tiedon käsittelyyn liittyviä tietoja, kuten tallennuspäivämäärä ja tietolähde.
  • Kieltoja, rajoituksia, suostumuksia ja muita valintoja.

Yleiset velvollisuudet

Asiakkaan velvollisuudet

Asiakas on vastuussa siitä, että sillä on tarvittava oikeudellinen peruste ja suostumukset Pääsopimuksen mukaiseen Henkilötietojen käsittelyyn ja että rekisteröidyille on annettu riittävät tiedot Henkilötietojen käsittelystä.

Asiakkaan velvollisuus on määrittää Henkilötietojen käsittelyn tarkoitus ja keinot. Asiakas antaa Toimittajalle riittävän kattavat, kirjalliset ja lain mukaiset ohjeet Henkilötietojen käsittelystä Pääsopimuksen mukaisten palveluiden suorittamista varten.

Toimittajan velvollisuudet

Toimittajan tulee ilmoittaa Asiakkaalle välittömästi, mikäli Toimittaja katsoo, että Asiakkaan ohjeistus rikkoo tietosuojalainsäädäntöä. Tällöin Toimittajan tulee pyytää tarkennettuja ohjeita.

Toimittaja ylläpitää EU:n tietosuoja-asetuksen vaatimaa selostetta Henkilötietojen käsittelytoimista (Tietosuojaseloste).

Toimittajan tulee käsitellä Henkilötietoja Asiakkaan ohjeiden mukaisesti. Ohjeiden noudattamiseen liittyvä työ sisältyy pääsopimuksen palveluihin.

 

Tietoturva

Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Asiakkaan Henkilötietojen suojaamiseksi ottaen huomioon käsittelyn sisältämät riskit, erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen Henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai Henkilötietoihin pääsy.

Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin sekä käsiteltävien Henkilötietojen arkaluonteisuuteen.

Asiakas on velvollinen tiedottomaan Toimittajalle kaikista niistä Asiakkaan toimittamiin Henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat tämän Tietosuojaliitteen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin.

Asiakas voi antaa tarkempia ohjeita koskien tietoturvaa Henkilötietojen käsittelyssä.

Tietojen siirrossa Asiakkaan ja Toimittajan välillä noudatetaan Asiakkaan määrittämiä tiedonsiirtotapoja.

Tietoturvaloukkauksista ilmoittaminen

Toimittajaan tulee ilmoittaa Asiakkaalle välittömästi (max. 36 tunnin sisällä) kirjallisesti kaikista Henkilötietoihin kohdistuneista tietoturvaloukkauksista ja muista tapahtumista, joiden perusteella Asiakkaan lukuun käsiteltyjen Henkilötietojen tietoturvallisuus on saattanut vaarantua.

Asiakkaan pyynnöstä Toimittajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Siltä osin kuin kyseinen tieto on Toimittajan saatavilla, Toimittajan on Asiakkaalle tehtävässä ilmoituksessa kuvattava vähintään:

  1. tapahtunut tietoturvaloukkaus,
  2. mahdollisuuksien mukaan rekisteröityjen ryhmät ja arvioidut lukumäärät sekä Henkilötietotyyppien ryhmät ja arvioidut lukumäärät,
  3. kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista, ja
  4. kuvaus korjaavista toimenpiteistä, jotka Toimittaja on suorittanut tai tulee suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa, sekä tarvittaessa myös toimenpiteet mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi.

Toimittaja dokumentoi ja raportoi selvityksen tulokset ja suoritetut toimenpiteet Asiakkaalle.

Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaisille ja rekisteröidyille.

Avustaminen ja tiedonantovelvollisuus

Toimittaja ilmoittaa välittömästi Asiakkaalle kaikista rekisteröityjen, tietosuojavaltuutetun tai muun viranomaisen vaatimuksista ja tiedusteluista.

Ottaen huomioon Henkilötietojen käsittelyn luonteen sekä käytettävissä olevat tiedot ja tekniset välineet, Toimittaja avustaa pyydettäessä Asiakasta selvittämään asioita jotka koskevat esimerkiksi tietoturvaa, tietoturvaloukkauksista ilmoittamista sekä vastaamaan rekisteröityjen oikeuksien käyttöön liittyviin pyyntöihin.

Henkilötietojen käsittelyaika ja tuhoaminen

Toimittaja on velvollinen tuhoamaan ja/tai palauttamaan hallussaan olevat Asiakkaalta Pääsopimuksen mukaiset tiedot ja aineistot sekä itse Pääsopimuksen nojalla luomansa henkilötiedot ja tietovarastot viimeistään kolme (3) kuukautta sen jälkeen, kun toimitettavan palvelun kannalta sovitut tai tarvittavat toimenpiteet on suoritettu. Tietojen tuhoaminen ja/tai palauttaminen koskee myös alihankkijoita ja kaikkia varmuuskopiota.

Henkilötietojen siirto ja käsittely EU:n / ETA -alueen ulkopuolella

Toimittaja ja sen alihankkijat saavat käsitellä henkilötietoja EU-/ETA-alueen ulkopuolella ilman Asiakkaan kirjallista suostumusta. Tällöin kumpikin Sopijapuoli varmistaa osaltaan Tietosuojalainsäädännön vaatimusten ja rajoitusten noudattamisen henkilötietojen käsittelyn osalta.

Alihankkijoiden käyttö

Toimittajalla on oikeus käyttää alihankkijoita Henkilötietojen käsittelyssä. Alihankkijoiden käyttämisestä on ilmoitettava ennakkoon Asiakkaalle. 

Toimittaja huolehtii siitä, että Henkilötietojen käsittelyyn osallistuvat alihankkijat sitoutuvat noudattamaan samoja tai vastaavia velvollisuuksia kuin Toimittajalle tämän Tietosuojaliitteen mukaan kuuluu. Toimittaja vastaa alihankkijoidensa työstä kuin omastaan.

Auditointi

Asiakkaalla tai tämän valtuuttamalla auditoijalla on oikeus auditoida tämän Tietosuojaliitteen alainen toiminta. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 työpäivää ennen tarkastusta.

Auditointi tulee suorittaa tavalla, joka ei haittaa Toimittajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden. Asiakkaan edustajien ja auditoijan on allekirjoitettava Tietosuojalainsäädännön edellyttämät salassapitositoumukset.

Sopijapuolet vastaavat omalta osaltaan auditoinnista aiheutuvista kustannuksista.

Salassapito

Sopijapuolet sitoutuvat pitämään luottamuksellisina toiselta sopijapuolelta saamansa aineistot ja tiedot, jotka on merkitty luottamukselliseksi tai jotka on sellaisiksi ymmärrettävä, sekä olemaan käyttämättä niitä muihin kuin sopimuksen mukaisiin tarkoituksiin. Salassapitovelvollisuus ei kuitenkaan koske aineistoa tai tietoa, (a) joka on yleisesti saatavilla taikka muuten julkista, (b) jonka vastaanottava sopijapuoli on saanut kolmannelta Sopijapuolelta ilman salassapitovelvollisuutta, (c) joka oli vastaanottavan sopijapuolen hallussa ilman niitä koskevaa salassapitovelvollisuutta ennen niiden saamista toiselta sopijapuolelta, (d) jonka vastaanottava sopijapuoli on itsenäisesti kehittänyt hyödyntämättä toiselta sopija-puolelta saamaansa aineistoa tai tietoa taikka (e) jonka vastaanottava sopijapuoli on velvollinen luovuttamaan lain tai viranomaismääräyksen perusteella.

Toimittajan on välittömästi lopetettava Asiakkaalta saamansa luottamuksellisen aineiston ja tietojen käyttäminen sekä pyynnöstä palautettava tai hävitettävä kyseinen aineisto luotettavalla tavalla kaikkine kopioineen, kun Pääsopimus päättyy tai Toimittaja ei enää tarvitse kyseistä aineistoa tai kyseisiä tietoja Pääsopimuksen mukaisiin tarkoituksiin. Sopijapuolella on kuitenkin oikeus säilyttää lain tai viranomaismääräyksen edellyttämä aineisto tai kopiot niistä.

Sopijapuolet vastaavat, että heidän työntekijänsä ja muut samaan konserniin kuuluvat yhtiöt noudattavat tämän Tietosuojaliitteen salassapitoa koskevia määräyksiä.

Korvausvelvollisuus

Sopijapuolten vastuun, joka liittyy valvontaviranomaisen tai tuomioistuimen määräämiin hallinnollisiin sakkoihin ja/tai vahingonkorvauksiin, jakautuminen perustuu kummankin Sopijapuolen velvollisuuteen täyttää omat tietosuojalainsäädännön mukaiset velvoitteensa. Kumpikin Sopijapuoli on näin ollen vastuussa niistä valvontaviranomaisen tai tuomioistuimen määräämistä hallinnollisista sakoista ja/tai vahingonkorvauksista, jotka sille on määrätty kyseisen Sopijapuolen aiheuttamista tietosuojalainsäädännön rikkomuksista.

Jos rekisteröidylle aiheutuu Tietosuojalainsäädännön tai Tietosuojaliitteen loukkauksista aineellista tai aineetonta vahinkoa, Toimittaja on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti Henkilötietojen käsittelijöille osoitettuja Tietosuojalainsäädännön tai tämän Tietosuojaliitteen velvoitteita.

Muilta osin toiselle Sopijapuolelle tai kolmannelle aiheutettuun vahinkoon sovelletaan voimassaolevan lainsäädännön mukaisia vahingonkorvausta koskevia säädöksiä. Sopijapuolet eivät ole toisiinsa näiden vastuussa välillisistä vahingoista. Vastuun rajoituksia ei sovelleta vahinkoihin, jotka ovat aiheutuneet tahallisuudesta, törkeästä huolimattomuudesta tai salassapitovelvoitteen rikkomisesta.

Muut ehdot

  • Toimittaja tiedottaa Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä Tietosuojaliitettä ja Asiakkaan antamia kirjallisia ohjeita.
  • Sopijapuolet sitoutuvat noudattamaan Suomessa ja EU:ssa kulloinkin voimassa Tietosuojalainsäädäntöä sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän Tietosuojaliitteen ehtoja niiden mukaiseksi.
  • Kaikki muutokset tähän Tietosuojaliitteeseen on tehtävä kirjallisesti. Asiakkaalla on kuitenkin oikeus antaa tämän Tietosuojaliitteen mukaisia kirjallisia ohjeita ja määräyksiä.
  • Tämä Tietosuojaliite tulee voimaan, kun molemmat Sopijapuolet ovat sen allekirjoittaneet ja on voimassa toistaiseksi.
  • Salassapitoa koskevat velvoitteet ja muut velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Tietosuojaliitteen voimassaolon päättymisestä riippumatta, jäävät voimaan Pääsopimuksen ja Tietosuojaliitteen päättymisen jälkeen.

Lisätietoja saat 

 
XClose