DAYRADAR OY – YLEISET HENKILÖTIETOJEN KÄSITTELYN EHDOT

1 Yleistä

Tämä sopimusliite ”Yleiset henkilötietojen käsittelyn ehdot” on osa palvelusopimusta, jäljempänä ”Sopimus”, jonka Asiakas on tehnyt DayRadarin kanssa.

Tässä sopimusliitteessä määritellään Asiakasta ja DayRadaria sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti DayRadar Asiakkaan toimeksiannosta käsittelee henkilötietoja Asiakkaan puolesta ja lukuun Sopimuksessa olevien sopimusehtojen lisäksi. Kuitenkin mikäli DayRadar on Asiakkaan työntekijöiden juridinen työnantaja ja DayRadarille syntyy näin ollen työsuhderekisteri, DayRadar toimii näiltä osin henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä.

Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä, ja lisäksi Osapuolet sitoutuvat saattamaan henkilötietojen käsittelyn ja tietosuojan EU:n yleisen tietosuoja-asetuksen (EU)2016/679 mukaiselle vaatimustasolle 25.05.2018 mennessä, jolloin tietosuoja-asetuksen soveltaminen alkaa.

Selkeyden vuoksi toteamme, että DayRadar voi kerätä ja käsitellä Asiakkaaseen liittyviä henkilötietoja omiin käyttötarkoituksiinsa kuten asiakassuhteen ylläpitoon ja laskutukseen liittyen. Näissä tapauksissa DayRadar toimii kyseisten henkilötietojen rekisterinpitäjänä. Tämä liite ei sovellu edellä mainittuun käsittelyyn, joka on kuvattu DayRadarin rekisteriselosteessa.

DayRadarilla on oikeus kerätä Sopimuksen mukaisten palvelujen käytöstä anonyymiä ja tilastollista tietoa, joka ei yksilöi Asiakasta eikä rekisteröityjä, ja käyttää sitä palveluidensa analysointiin ja kehittämiseen.

Jos tämän liitteen ja Sopimuksen henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, osapuolet soveltavat ensisijaisesti tämän liitteen ehtoja.

2 Roolit

Asiakas toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

DayRadar toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Asiakkaan henkilötietoja Asiakkaan puolesta ja lukuun. DayRadarin Sopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat Asiakkaan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Asiakkaan puolesta ja lukuun. Ryhmittymän ollessa toimittajana tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

Vain siinä tapauksessa, että DayRadar on Asiakkaan työntekijöiden juridinen työnantaja ja DayRadarille syntyy näin ollen työsuhderekisteri, DayRadar toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Niiltä osin, kun Asiakas käyttää DayRadarilla työsuhteessa olevien työntekijöiden henkilötietoja oman liiketoimintansa edellyttämiin käyttötarkoituksiin Asiakkaalle muodostuu henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittaman rekisterinpitäjän vastuu.

Asiakas sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista. Asiakas vakuuttaa DayRadarille, että sillä on henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukainen laillinen peruste käsitellä henkilötietoja, joiden käsittelyyn DayRadar osallistuu. Asiakas vastaa henkilötietojen käsittelyä kuvaavan selosteen laatimisesta ja saatavilla pidosta sekä rekisteröityjen informoinnista heitä koskevien tietojen käsittelystä.

Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä Rekisterinpitäjän ja Käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksessa, sopimuksen mukaisen palvelun aikana laadittavassa ja DayRadaria sitovassa dokumentaatiossa tai muussa Asiakkaan ohjeistuksessa. DayRadar sitoutuu noudattamaan Sopimuksessa, dokumentaatiossa ja ohjeistuksessa olevia henkilötietojen käsittelyä koskevia ehtoja ja kuvauksia, elleivät nämä ohjeet ole lainvastaisia, jolloin DayRadar voi ilmoittaa käsittelyn lainvastaisuudesta Asiakkaalle ja lopettaa välittömästi henkilötietojen käsittelyn. Asiakas vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

Jos edeltävän kappaleen mukaista kuvausta ei ole tehty tai se on puutteellinen, Asiakas laatii tai täydentää kuvausta tarvittaessa yhteistyössä DayRadarin kanssa. DayRadarin on ilmoitettava Asiakkaalle, jos tämän antama ohjeistus on puutteellinen tai jos DayRadar epäilee sitä lainvastaiseksi.

3 Alihankkijat, jotka käsittelevät henkilötietoja

DayRadarilla on oikeus käyttää alihankkijoita Rekisterinpitäjän henkilötietojen käsittelyssä. DayRadar vastaa alihankkijoiden toimista ja laatii alihankkijoiden kanssa kirjalliset sopimukset henkilötietojen käsittelystä. Jos Asiakas perustellusti katsoo, että DayRadarin alihankkija ei täytä tietosuojavelvoitteitaan, Asiakkaalla on oikeus vaatia DayRadaria vaihtamaan alihankkijaa.

DayRadar ylläpitää listaa tämän hetkisistä alihankkijoistaan osoitteessa: www.dayroll.fi/privacy/alihankkijat. DayRadarin tehdessä muutoksia listaukseen, päivitetään ne internetsivuille ja merkataan päivityksen ajankohta. Asiakkaalla on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä. Jos Osapuolet eivät pääse yksimielisyyteen uuden alihankkijan käyttämisestä, Asiakkaalla on oikeus irtisanoa Sopimus, siinä määritellyn voimassaolon ja päättymisen mukaan.

4 Henkilötietojen käsittelijän yleiset velvollisuudet

Henkilötietojen käsittelijä käsittelee henkilötietoja Sopimuksen ja Asiakkaan antamien ohjeiden mukaisesti.

Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Asiakkaan ohjeita ja mahdollisia Asiakkaan ohjeiden päivityksiä.

Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen ja Asiakkaan ohjeiden mukaisesti.

Henkilötietojen käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Asiakkaalle kaikista sille tulleista rekisteröityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä.

Henkilötietojen käsittelijä sitoutuu avustamaan Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Asiakas pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Henkilötietojen käsittelijä ymmärtää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja/tai henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei näiden tehtävien ole sovittu sisältyvän Sopimuksen mukaisiin palveluihin ja niistä veloitettaviin maksuihin, DayRadarilla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksessa sovituilla henkilötyöhinnoilla.

DayRadarin on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, että ne voidaan automaattisesti irrottaa järjestelmästä siirrettäväksi toiseen järjestelmään.

Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Asiakasta EU:n yleisen tietosuoja-asetuksen mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. DayRadarilla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksessa sovituilla henkilötyöhinnoilla.

Henkilötietojen käsittelijä sitoutuu Asiakkaan valinnan mukaan poistamaan tai palauttamaan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki Asiakkaan henkilötiedot Asiakkaalle ja poistamaan olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Asiakas voi antaa tältä osin tarkempia ohjeita henkilötietojen käsittelijälle.

Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle, ellei se noudata tässä kohdassa selostettua menettelyä. Henkilötietojen siirtäminen kolmansiin maihin voidaan tehdä asianmukaisella siirtosopimuksella noudattaen EU-komission kulloinkin voimassa olevia mallilausekkeita ja/tai muita tuolloin voimassaolevia henkilötietojen siirtoa koskevia vaatimuksia. Yhdysvaltoihin tehtävien henkilötietojen siirtojen osalta asianmukaiseksi menettelyksi katsotaan myös tietojen siirto Privacy Shield -järjestelmään rekisteröityneelle siirronsaajalle.

5 Auditointi

Asiakkaalla tai Asiakkaan valtuuttamalla auditoijalla (ei kuitenkaan DayRadarin kilpailija) on oikeus auditoida tämän Liitteen alainen toiminta. Auditointi tai muu tarkastus tulee suorittaa aika- ja kustannustehokkaalla tavalla ilman DayRadarin päivittäisiin toimiin kohdistuvaa tarpeetonta häiriötä. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 vuorokautta ennen tarkastusta. Auditointi tulee suorittaa tavalla, joka ei haittaa DayRadarin ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden. Asiakkaan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Asiakas vastaa kaikista auditoinnista aiheutuvista kustannuksista. DayRadarilla on oikeus laskuttaa Asiakasta aika- ja materiaaliperusteisesti auditointiin kuluneen ajan ja kustannusten perusteella. Jos auditoinnissa havaitaan DayRadarin toimissa merkittäviä puutteita, DayRadar vastaa auditoinnista aiheutuvista omista kustannuksistaan.

6 Tietoturvaloukkaukset

Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Asiakkaalle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

Asiakkaan pyynnöstä DayRadar toimittaa ilman aiheetonta viivytystä kaiken asiaankuuluvan tietoturvaloukkaukseen liittyvän tiedon. Siltä osin kun kyseinen tieto on DayRadarin saatavissa, kuvataan ilmoituksessa vähintään seuraavaa:

kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä
kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Asiakas on vastuussa tarvittavista ilmoituksista tietosuojaviranomaisille.

7 Muut ehdot

Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen tai liitteen loukkauksista aineellista tai aineetonta vahinkoa, DayRadar on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti sille osoitettuja EU:n tietosuoja-asetuksen tai tämän liitteen mukaisia velvoitteita. Muilta osin osapuolten vastuu määräytyy Sopimuksen perusteella.

Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista tai hallinnollista sakoista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Kuitenkin enimmillään Sopimuksen mukaisesti.

DayRadar tiedottaa kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä liitettä ja Asiakkaan antamia kirjallisia ohjeita. Kaikki lisäykset ja muutokset tähän liitteeseen tehdään kirjallisesti.

Liite on voimassa:

Niin pitkään kuin Sopimus on voimassa
Osapuolilla on henkilötietojen Käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.

Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän liitteen voimassaolon päättymisestä riippumatta, jäävät voimaan liitteen päättymisen jälkeen.

Liitteeseen sovelletaan esitettyjä lakeja ja riidat ratkaistaan Sopimuksen määräysten mukaisesti.