Sävymedia toimittaa Sukukompassi-verkkopalvelun asiakkaan käyttöön ja toimii henkilötietojen käsittelijänä asiakkaan lukuun tämän henkilötietojen käsittelysopimuksen mukaisesti. Asiakas toimii rekisterinpitäjänä.

Tämä henkilötietojen käsittelysopimus on voimassa 5.3.2019 alkaen.

1. Sopimuksen kohde ja soveltaminen

1.1. Sopimuksen kohde

Tätä sopimusta sovelletaan, kun Sävymedia (jatkossa “toimittaja”) käsittelee henkilötietoja asiakkaan lukuun sopijapuolten välisen sopimuksen perusteella.

1.2. Osapuolten roolit

Asiakas on Sopimuksessa sovitun palvelun yhteydessä käsiteltävien asiakkaan henkilötietojen rekisterinpitäjä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Toimittaja on henkilötietojen käsittelijä, joka käsittelee kyseisiä henkilötietoja asiakkaan lukuun ja toimeksiannosta tässä käsittelysopimuksessa sovitulla tavalla. Sopijapuolet tarkentavat sopimuksessa käsittelyn luonnetta, rekisteröityjen ryhmiä, henkilötietojen tyyppejä, toimittajan käsittelytoimia sekä tietoturvamenettelyitä.

Tässä sopimuksessa määritellään Asiakasta ja Toimittajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Asiakkaan toimeksiannosta käsittelee henkilötietoja Asiakkaan puolesta. Näissä ehdoissa kuvatuista Toimittajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.

Osapuolet sitoutuvat noudattamaan Suomessa ja EU:ssa kulloinkin voimassa olevaa henkilötietojen käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän sopimuksen ehtoja niiden mukaiseksi.

2. Henkilötietojen käsittelyn tarkoitus

2.1. Toimittajan henkilötietojen käsittelyn luonne ja tarkoitus

Toimittajan henkilötietojen käsittelyn tarkoituksena on 1) varmistaa Asiakkaan palveluun tallentamien tietojen saatavuus, tietoturvallisuus ja eheys (mm. varmuuskopiointi ja lokitus); 2) Asiakkaan palveluun kutsumien käyttäjien turvallinen tunnistaminen; sekä 3) pyynnöstä Asiakkaan auttaminen erilaisissa ongelmatilanteissa.

2.2. Toimittajan käsittelemien henkilötietojen tyyppi ja rekisteröityjen ryhmät

Toimittaja käsittelee 1) asiakkaan pääkäyttäjien; 2) pääkäyttäjän kutsumien muiden käyttäjien henkilötietoja; sekä 3) käyttäjien sukupuuhun tallentamia henkilötietoja. Henkilötiedot ovat tyypiltään 1) yhteystietoja (nimi, sähköpostiosoite, puhelinnumero); 2) teknisiä tunnisteita ja lokeja (IP-osoitteet, tekniset lokitiedot); sekä 3) käyttäjien palveluun tallentamaa sisältöä (sukututkimuksen henkilötiedot, valokuvat jne.).

3. Henkilötietojen käsittelyn periaatteet ja vastuut

3.1. Toimittajan vastuu käsittelyn lainmukaisuudesta

Toimittajan ja toimittajan henkilöstön tulee käsitellä henkilötietoja soveltuvan tietosuojalainsäädännön mukaisesti sekä sopijapuolten sopimuksen mukaisesti. Liitteessä tarkennetaan henkilötietojen käyttötarkoituksia.

3.2. Asiakkaan vastuu käsittelyn lainmukaisuudesta

Asiakas vastaa Toimittajalle toimitetuista henkilötiedoista ja niiden käsittelyn lainmukaisuudesta. Asiakas vastaa lisäksi siitä, että kaikille rekisteröidyille, joiden henkilötietoja käsitellään, on toimitettu tarvittavat, lainmukaiset ilmoitukset ja tiedot henkilötietojen käsittelyyn liittyen. Asiakas vastaa siitä, että henkilötietojen käsittely ja sen tarkoitus sekä perusteet ovat tietosuoja-asetuksen mukaisia. Asiakas vastaa lisäksi siitä, että henkilötiedot on kerätty tietosuoja-asetuksen mukaisesti ja että Asiakkaalla on oikeus siirtää henkilötiedot Toimittajan käsiteltäväksi tämän käsittelysopimuksen mukaisesti.

3.3. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Toimittajalla on oikeus käsitellä Asiakkaan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Asiakkaan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.

3.4. Toimittajan muut oikeudet ja vastuut

Toimittaja saa käsittelyn aikana ja sen päätyttyä säilyttää ja käyttää hyväksi henkilötiedoista anonymisoimalla syntyneitä tietoja toimintansa ja tuotteidensa kehittämisessä. Anonymisoinnilla tarkoitetaan tietojen muokkaamista siten, ettei niistä voida millään toimenpiteillä enää tunnistaa henkilöitä.

Toimittaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

Toimittaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Asiakkaan henkilötietoihin liittyviä yhteydenottoja varten. Toimittaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot Asiakkaalle.

4. Toisen henkilötiedon käsittelijän käyttö

4.1. Oikeus alihankkijoiden käyttöön

Ellei kirjallisesti ole toisin sovittu, toimittajalla on oikeus käyttää alihankkijoita henkilötietojen käsittelyssä.

4.2. Ilmoitus alihankkijoiden lisäämisestä tai vaihtamisesta

Toimittaja ilmoittaa pyydettäessä Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen henkilötietojen käsittelyyn.

4.3. Vastuu alihankkijan toiminnasta

Toimittaja vastaa siitä, että alihankkija Käsittelee Henkilötietoja tämän Käsittelysopimuksen ja Tietosuojalainsäädännön mukaisesti.

5. Henkilötietojen salassapito

5.1. Salassapitovelvollisuuden järjestäminen

Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Asiakkaan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksella vahvistettuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

Toimittaja toteuttaa tarvittavat toimenpiteet sen varmistamiseksi, että kyseiset henkilöt käsittelevät henkilötietoja ainoastaan työtehtävien yhteydessä ja rekisterinpitäjän ohjeiden mukaisesti.

6. Henkilötietojen suojaaminen

6.1. Toteutettavat turvallisuuskäytännöt

Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Asiakkaan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.

Asiakas vastaa vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asianmukaisesta ja riittävästä tietoturvallisuudesta. Ellei toisin ole sovittu, Asiakas vastaa henkilötietojen varmuuskopioinnista ja varmuuskopioiden toimivuuden tarkastamisesta. Asiakas on velvollinen tiedottamaan Toimittajaa kaikista niistä Asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista, kuten esimerkiksi riskiarvioinneista sekä erityisten henkilötietoryhmien käsittelystä, jotka vaikuttavat tämän käsittelysopimuksen mukaisesti toteutettaviin teknisiin ja organisatorisiin toimenpiteisiin.

7. Rekisteröidyn oikeuksien toteuttamisen auttaminen

7.1. Avustaminen pyynnön käsittelyssä

Ottaen huomioon käsittelytoimien luonne Toimittaja auttaa Asiakasta valitsemillaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata rekisteröidyn oikeuksia koskeviin tietopyyntöihin.

Toimittaja on velvollinen avustamaan Asiakasta ainoastaan sovellettavan tietosuojalainsäädännön henkilötiedon käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa.

7.2. Ilmoitusvelvollisuus vastaanotettaessa pyyntö

Toimittaja ilmoittaa viipymättä asiakkaalle kaikista rekisteröityjen, tietosuojavaltuutetun tai muun viranomaisen vaatimuksista ja tiedusteluista.

Toimittaja ei itse vastaa näihin pyyntöihin.

Asiakkaan velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta.

7.3. Veloitus avustamisesta

Toimittajalla on oikeus veloittaa Asiakasta kaikista rekisteröidyn oikeuksien toteuttamista koskevista toimenpiteistä tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.

7.4. Tietosuojaviranomaisten tiedustelut

Toimittajan tulee ilmoittaa Asiakkaalle viipymättä tietosuojaviranomaisen tai muun viranomaisten vaatimuksista tai tiedusteluista. Toimittajalla ei ole valtuuksia edustaa Asiakasta tai toimia Asiakkaan puolesta Asiakasta valvovien tietosuojaviranomaisten kanssa.

8. Tietoturvaloukkausten informoinnin, vaikutustenarvioinnin sekä ennakkokuulemisen auttaminen

8.1. Tietoturvaloukkauksesta ilmoittaminen

Sopijapuolen on ilmoitettava toiselle Sopijapuolelle ilman aiheetonta viivytystä tietoonsa tulleesta tietoturvaloukkauksesta. Asiakkaan on tietoturvaloukkauksen ilmoittamisen yhteydessä toimitettava Toimittajalle kaikki se tieto, jonka voidaan katsoa auttavan tietoturvaloukkauksen selvittämisessä, rajaamisessa tai estämisessä.

8.2. Tietoturvaloukkausta koskevan ilmoituksen sisältö

Asiakkaan pyynnöstä Toimittajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Toimittajan on Asiakkaalle tehtävässä ilmoituksessa kuvattava vähintään: a) kuvaus Tietoturvaloukkauksesta, sisältäen mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät (siltä osin kuin kyseiset tiedot ovat Toimittajan saatavilla); b) Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätietoja; c) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista; ja d) kuvaus toimenpiteistä, jotka Toimittaja on toteuttanut Tietoturvaloukkauksen johdosta ja mahdolliset toimenpiteet, jotka Toimittaja on tehnyt Tietoturvaloukkauksen haittavaikutusten lieventämiseksi.

Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

Toimittajan tulee dokumentoida kaikki tietoturvaloukkaukset, niiden vaikutukset sekä korjaavat toimenpiteet.

Jos Tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta syystä, Asiakas vastaa Toimittajalle Tietoturvaloukkauksesta ja niitä koskevista ilmoituksista aiheutuvista kustannuksista. Toimittajalla on oikeus laskuttaa Asiakasta aiheettomiksi todetuista Asiakkaan pyynnöstä käynnistetyistä selvitystöistä muodostuvista kustannuksista kulloinkin voimassa olevan Toimittajan hinnaston mukaisesti.

9. Avoin tiedonjako ja auditointioikeus

9.1. Oikeus auditointiin

Asiakkaalla tai tämän valtuuttamallaan auditoijalla on oikeus tarkastaa Toimittajan tai tämän käyttämien alihankkijoiden henkilötietojen käsittelyn velvollisuuksien noudattaminen. Toimittajan on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.

Tarkastus voidaan suorittaa enintään kerran vuodessa ja siitä on ilmoitettava Toimittajalle kirjallisesti vähintään 30 päivää etukäteen.

Auditointi tulee suorittaa tavalla, joka ei haittaa Toimittajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden.

Asiakkaan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Auditoija ei voi olla Toimittajan kilpailija eikä auditointia voida suorittaa tämän sopimuksen päättymisen jälkeen.

9.2. Tiedonjako ja toimittajan osallistuminen

Toimittaja osallistuu tarkastuksen toteuttamiseen ja antaa tarkastajalle ne tiedot, jotka ovat tarpeen osoittamaan, että Toimittaja noudattaa tässä sopimuksessa sille määriteltyjä velvollisuuksia. Tarkastajalla ei ole oikeutta saada pääsyä Toimittajan asiakkaiden tai yhteistyökumppaneiden tietoihin.

9.3. Auditoinnin kustannukset

Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkastuksista aiheutuneet kustannukset. Mikäli tarkastukset paljastavat merkittäviä puutteita Toimittajan toiminnoissa, Toimittaja vastaa tarkastuksista aiheutuvista omista kustannuksistaan.

10. Henkilötietojen poistaminen tai palauttaminen rekisterinpitäjälle käsittelyn päättyessä

10.1. Poistaminen sopimuksen päätyttyä

Sopimuksen päättyessä tai purkautuessa Toimittaja poistaa tai palauttaa henkilötiedot Asiakkaan kirjallisen pyynnön mukaisesti sekä poistaa kaikki kopiot niistä.

Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toimittaja säilyttää henkilötiedot.

Toimittajalla on oikeus veloittaa Asiakasta henkilötietojen palauttamisesta tai tuhoamisesta tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.

Jos Asiakas ei sopimuksen päätyttyä pyydä poistamaan henkilötietoja, tulee Toimittajan säilyttää niitä kuusi (6) kuukautta ennen kuin poistaa ne, ellei lainsäädännöstä muuta johdu.

11. Sopimuksen voimaantulo

11.1. Voimaantulo

Tämä sopimus tulee voimaan, kun asiakas ottaa palvelun käyttöönsä.

11.2. Sopimuksen päättyminen

Tämä sopimus päättyy kun pääsopimus osapuolten välillä päättyy.