Tämän tietojenkäsittelysopimuksen osapuolet ovat Sopimuksessa mainitut osapuolet.
Rekisterinpitäjä on Sopimuksen hyväksynyt Yritys.
Tietojenkäsittelijänä:
Nettiaika Oy Y-tunnus: 2033182-7 Joensuunkatu 7 24100 SALO Suomi
Henkilötietojen käsittelijä tarjoaa Rekisterinpitäjälle palveluita Sopimuksen mukaisesti. Palveluiden tarjoamisen yhteydessä Henkilötietojen käsittelijä käsittelee Rekisterinpitäjän asiakkaita, työntekijöitä tai muita henkilöitä koskevia Henkilötietoja.
Tämän Tietojenkäsittelysopimuksen tarkoitus on varmistaa Henkilötietoja koskeva tieto-suoja ja tietoturva, kun Henkilötietojen käsittelijä käsittelee Henkilötietoja Rekisterinpitäjän puolesta.
”Henkilötietoja” ovat kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti tunnisteiden, kuten nimen, osoitteen, henkilötunnuksen, liittymänumeron, IP-osoitteen, sijaintitiedon, verkkotunnisteen, välitystietojen tai viestin sisällön perusteella taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Muilta osin, seurataan Sopimuksessa todettuja määritelmiä.
Rekisterinpitäjä hyväksyy ja vakuuttaa, että Osapuolten väliseen Sopimukseen liittyvien Henkilötietojen käsittely on Sovellettavan tietosuojalainsäädännön mukaan laillista.
Rekisterinpitäjä vakuuttaa erityisesti, että:
(i) Henkilötietojen käsittely perustuu oikeutettuihin tarkoituksiin, joilla on lailliset perusteet
(ii) Rekisteröidyt henkilöt ovat saaneet asianmukaisesti tiedon Henkilötietojen käsittelystä
(iii) Rekisterinpitäjällä on oikeus siirtää Henkilötiedot Henkilötietojen käsittelijälle käsittelyä varten.
Rekisterinpitäjä ohjeistaa tietojen käsittelijää tietojen käsittelystä seuraavasti:
Rekisterinpitäjä vakuuttaa, että tämä Tietojenkäsittelysopimus sekä Rekisterinpitäjän antamat lainmukaiset ohjeet antavat riittävät takuut siitä, että Henkilötietojen käsittelijän Sopimuksen nojalla suorittama Henkilötietojen käsittely täyttää Sovellettavan tietosuojalainsäädännön vaatimukset. Osapuolet sopivat yhteisesti mahdollisista muutoksista tietojenkäsittelyohjeeseen.
Tietojen käsittelyssä tulee noudattaa äärimmäistä huolellisuutta ja noudattaa alla olevia ohjeita, jotta varmistetaan henkilötietojen asianmukainen käsittely.
• Rekisterinpitäjän luovuttamia tietoja käsitellään maksupalvelun tarjoamiseen, mikäli se on kytketty ja ajanvarausjärjestelmän ylläpitämiseen perustuvan perustellun tarpeen johdosta.
• Henkilötietojen tulostamisesta jää aina jälki Tietojenkäsittelijän ja Rekisterinpitäjän järjestelmän käsittelyhistoriaan.
• Rekisterinpitäjän luovuttamiin henkilötietoihin liittyvät työdokumentit tulee viivyttelemättä ja tietoturvallisesti tuhota käytön jälkeen.
• Tietojenkäsittelijää sitoo salassapitovelvollisuus henkilötietoihin liittyen.
Henkilötietojen käsittelijä saa käsitellä Henkilötietoja ainoastaan Tietojenkäsittelysopimuksessa määriteltyjen dokumentoitujen ohjeiden mukaisesti.
Tietojenkäsittelijä käyttää seuraavia alihankkijoita:
Nebula Oy Y-tunnus: 2305424-7 Valimotie 21 00380 HELSINKI Suomi
Mikäli maksujärjestelmä on kytketty, lisäksi maksutietoja prosessoivat Paytrailin kautta kaikki ne maksutapojen tarjoajat, jotka Nettiaika on valinnut Paytrailin maksupalveluunsa.
Alihankkijoiden tulee noudattaa samoja tietojenkäsittelyperiaatteita ja velvoitteita kuin allekirjoittaneen tietojenkäsittelijän. Ennen kuin Tietojenkäsittelijä vaihtaa tai lisää henkilötietojen käsittelyyn osallistuvia alihankkijoita, Tietojenkäsittelijä ilmoittaa asiasta kirjallisesti Rekisterinpitäjälle ilman aiheetonta viivästystä. Jos Rekisterinpitäjä ei hyväksy alihankkijan vaihtamista tai lisäämistä, Rekisterinpitäjällä on oikeus irtisanoa Sopimus 30 päivän irtisanomisajalla.
Nettiaika ei luovuta Rekisterinpitäjän keräämiä henkilötietoja ilman viranomaisen pakottavaa laillista päätöstä kenellekkään. Vain Rekisterinpitäjällä on oikeus keräämiinsä tietoihin.
Henkilötietoja ei myöskään luovuteta EU–alueen ulkopuolelle.
Tietojenkäsittelijä ottaa huomioon tarjoamaansa palveluun liittyvät riskit ja tekee ne huomioiden tarpeelliset toimenpiteet hallinnollisesti ja tietoteknisesti, jotta riskit rekisterinpitäjän toimittamaan henkilötietodataan oikeudettomaan käyttöön minimoidaan.
Lisäksi tietojenkäsittelijä tekee tarvittavat toimenpiteet, jotta tietojen eheys ja saatavuus taataan.
Tietojenkäsittelijä varmistaa, että henkilötietoja käsittelevät työntekijät ovat saaneet asiankuuluvan koulutuksen ja ohjeistuksen henkilötietojen käsittelyyn.
Tietojenkäsittelijä tekee muun muassa, mutta ei rajoittuen, seuraavia tietoturvatoimia henkilötietojen suojaamiseksi:
- Henkilötietojen salaus tietokannassa
- Käyttöoikeushallinta ja käyttöoikeuksien minimointi
- Tekniset ratkaisut tiedonsiirron salaamiseksi
- Hallinnollinen tietoturva
- Riskienhallinta
- Järjestelmien tietoturvatestaus
- Päivittäiset varmuuskopioinnit
Tietojenkäsittelijä takaa Rekisterinpitäjälle tietosuojalainsäädännön edellyttämät oikeudet Tietojenkäsittelijän auditointiin. Kumpikin osapuoli vastaa omalta osaltaan tarkastuksista aiheutuvista kustannuksista.
Tietojenkäsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa ja viimeistään 36 tunnin kuluessa.
Tietojenkäsittelijän on annettava Rekisterinpitäjälle vähintään seuraavat tiedot tieto-turvaloukkauksesta:
1) kuvattava henkilötietojen tietoturvaloukkaus
2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;
3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä
4) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Kumpikin Osapuoli on vastuussa kustannuksista, kuluista, korvauksista, menetyksistä ja vahingoista, joita toiselle Osapuolelle aiheutuu tämän Tietojenkäsittelysopimuksen, ja/tai Sovellettavan tietosuojalainsäädännön taikka toimivaltaisen tietosuojaviranomaisen tekemän päätöksen vastaisesta menettelystä.
Tietojenkäsittelysopimuksen siirron osalta seurataan Sopimusta.
Tähän tietojenkäsittelysopimukseen sovelletaan Sopimuksessa sovittua lakia. Kaikki tästä Tietojenkäsittelysopimuksesta johtuvat riidat, riita-asiat ja vaatimukset ratkaistaan Sopimuksessa sovitulla tavalla.