Henkilötietojen käsittelyä koskevat ehdot

Päivitetty: 21.9.2020


Nämä henkilötietojen käsittelyä koskevat ehdot ovat erottamaton osa Keskuskauppakamarin Palvelu Oy:n ja Ilmoituskanava-palvelua (”Palvelu”) käyttävän organisaation välistä sopimussuhdetta. Ehtoja sovelletaan yhdessä Palvelun yleisten sopimusehtojen kanssa. Henkilötietojen käsittelyä koskevat ehdot ovat voimassa niin kauan kuin organisaatio käyttää Palvelua.

  1. Sopijapuolet

    Yrityksen nimi:
    Y-tunnus:
    Postiosoite:

Jäljempänä ”Rekisterinpitäjä” tai ”Asiakas”

Keskuskauppakamarin Palvelu Oy
Y-tunnus: 0427797-1
Aleksanterinkatu 17, 00100 Helsinki

Jäljempänä ”Käsittelijä” tai ”Toimittaja”

Kumpikin sopijapuoli erikseen ”Osapuoli” ja yhdessä ”Osapuolet”

  1. Sopimuksen kohde

Tätä henkilötietojen käsittelyä koskevaa sopimusta (”Sopimus”) sovelletaan, kun Toimittaja käsit-telee henkilötietoja Asiakkaan lukuun Ilmoituskanava-palvelun tarjoamiseksi Osapuolten teke-män sopimuksen perusteella.

Käsiteltäessä henkilötietoja Toimittaja on henkilötietojen käsittelijä ja Asiakas on rekisterinpitäjä. Tässä Sopimuksessa käytetyt termit saavat saman merkityksen kuin Euroopan unionin yleisessä tietosuoja-asetuksessa (EU 2016/679).

Tässä Sopimuksessa määritellään Asiakasta ja Toimittajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Asiakkaan toimeksiannosta kä-sittelee henkilötietoja Asiakkaan puolesta.

  1. Henkilötietojen käsittelyn tarkoitus

3.1. Toimittajan henkilötietojen käsittelyn luonne ja tarkoitus

Toimittajan henkilötietojen käsittelyn tarkoituksena on mahdollistaa Palvelun tekninen ylläpito.

3.2. Toimittajan henkilötietojen käsittelyn laajuus ja käsiteltävät tiedot

Toimittaja käsittelee Asiakkaan pääkäyttäjien henkilötietoja.

Henkilötiedot ovat tyypiltään yhteystietoja (nimi, sähköpostiosoite, puhelinnumero) sekä teknisiä tunnisteita ja lokeja (IP-osoitteet, kirjautumisloki, muutosloki).

  1. Henkilötietojen käsittelyn periaatteet, vastuut ja ohjeistus

4.1. Asiakkaan oikeus ja vastuu käsittelyn ohjaamisessa

Asiakkaalla on oikeus antaa Toimittajalle sitovia kirjallisia ohjeita henkilötietojen käsittelystä. Toi-mittaja käsittelee henkilötietoja tietosuojalainsäädännön ja Asiakkaan Toimittajalle toimittamien kirjallisten ohjeiden mukaisesti.

4.2. Asiakkaan vastuu käsittelyn lainmukaisuudesta

Asiakas vastaa Toimittajalle toimitetuista henkilötiedoista ja niiden käsittelyn lainmukaisuudesta. Asiakas vastaa lisäksi siitä, että kaikille rekisteröidyille, joiden henkilötietoja käsitellään, on toimi-tettu tarvittavat, lainmukaiset ilmoitukset ja tiedot henkilötietojen käsittelyyn liittyen. Asiakas vastaa siitä, että henkilötietojen käsittely ja sen tarkoitus sekä perusteet ovat tietosuoja-asetuksen mukaisia. Asiakas vastaa lisäksi siitä, että henkilötiedot on kerätty tietosuoja-asetuksen mukaisesti ja että Asiakkaalla on oikeus siirtää henkilötiedot Toimittajan käsiteltäväksi tämän käsittelysopimuksen mukaisesti.

4.3. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

4.4. Toimittajan velvollisuus noudattaa Asiakkaan antamia ohjeita

Toimittaja sitoutuu käsittelemään henkilötietoja Asiakkaan ohjeiden ja näiden sopimusehtojen mukaan.

Toimittaja ilmoittaa ilman aiheetonta viivytystä Asiakkaalle, jos Asiakkaan antamat ohjeet ovat puutteellisia tai jos Toimittaja epäilee niitä lainvastaisiksi.

  1. Alihankkijat

Ellei kirjallisesti ole toisin sovittu, Toimittajalla on oikeus käyttää alihankkijoita henkilötietojen kä-sittelyssä.

Toimittaja ilmoittaa pyydettäessä Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen henkilötietojen käsittelyyn.

Toimittaja vastaa siitä, että alihankkija käsittelee henkilötietoja tämän Sopimuksen ja tietosuoja-lainsäädännön mukaisesti.

Toimittaja tiedottaa Asiakkaan kirjallisen pyynnön perusteella Asiakkaalle kirjallisesti käyttämänsä alihankkijat.

  1. Henkilötietojen suojaaminen

6.1. Toimittajan vastuu

Toimittajan tulee tehdä yhdessä Asiakkaan kanssa asianmukaiset tekniset ja organisatoriset toimenpiteet torjuakseen ja ehkäistäkseen henkilötietojen luvattoman ja laittoman käsittelyn sekä torjuakseen henkilötietojen tahattoman katoamisen, muutoksen, tuhoutumisen tai vahingoittumisen.

Toimittaja ylläpitää selostetta Asiakkaan lukuun suorittamastaan henkilötietojen käsittelystä. Seloste sisältää seuraavat tiedot: a) Toimittajan ja Toimittajan mahdollisen tietosuojavastaavan nimi ja yhteystiedot sekä tiedot mahdollisista alihankkijoista; b) Asiakkaan lukuun suoritetut käsittely-toimet; c) tiedot mahdollisista Henkilötietojen siirroista EU- tai ETA-alueen ulkopuolelle; ja d) mahdollisuuksien mukaan yleinen kuvaus tämän kohdan mukaisista teknisistä ja organisatorisista turvatoimista. Toimittajan tietosuojaseloste löytyy Keskuskauppakamarin sivuilta osoitteesta https://kauppakamari.fi/tietosuojaseloste/.

6.2. Asiakkaan vastuu

Asiakas vastaa vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asi-anmukaisesta ja riittävästä tietoturvallisuudesta. Ellei toisin ole sovittu, Asiakas vastaa henkilötie-tojen varmuuskopioinnista ja varmuuskopioiden toimivuuden tarkastamisesta. Asiakas on velvol-linen tiedottamaan Toimittajaa kaikista niistä Asiakkaan toimittamiin henkilötietoihin liittyvistä sei-koista, kuten esimerkiksi riskiarvioinneista sekä erityisten henkilötietoryhmien käsittelystä, jotka vaikuttavat tämän käsittelysopimuksen mukaisesti toteutettaviin teknisiin ja organisatorisiin toi-menpiteisiin.

6.3. Palvelun tietoturva

Tämän sopimuksena erottamattomana osana (Liite 1) sovelletaan Toimittajan tietoturvakuvausta, jossa on kuvattu tarkemmin henkilötietojen suojaamisen periaatteet ja toimintatavat.

  1. Rekisteröidyn oikeuksien toteuttamisen auttaminen

7.1. Avustaminen rekisteröidyn pyynnön toteuttamisessa

Ottaen huomioon käsittelytoimien luonne Toimittaja auttaa kohtuullisessa määrin Asiakasta valit-semillaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvolli-suuden vastata rekisteröidyn oikeuksia koskeviin tietopyyntöihin.

Ellei toisin ole sovittu, Toimittajalla on oikeus veloittaa Asiakasta kohtuullisen hinnaston mukaises-ti, jos avustaminen aiheuttaa lisäkuluja Toimittajalle.

7.2. Ilmoitusvelvollisuus vastaanottaessa pyyntö rekisteröidyltä tai viranomaiselta

Toimittaja ilmoittaa viipymättä Asiakkaalle kaikista tietosuojatiedusteluista.

Toimittajan tulee ilmoittaa Asiakkaalle viipymättä tietosuojaviranomaisen tai muun viranomaisten vaatimuksista tai tiedusteluista.

  1. Tietoturvaloukkaukset

Osapuolen on ilmoitettava toiselle Osapuolelle ilman aiheetonta viivytystä tietoonsa tulleesta tie-toturvaloukkauksesta. Asiakkaan on tietoturvaloukkauksen ilmoittamisen yhteydessä toimitetta-va Toimittajalle kaikki se tieto, jonka voidaan katsoa auttavan tietoturvaloukkauksen selvittämi-sessä, rajaamisessa tai estämisessä.

Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

Asiakkaan pyynnöstä Toimittajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asi-aankuuluva tietoturvaloukkaukseen liittyvä tieto. Toimittajan on Asiakkaalle tehtävässä ilmoituk-sessa kuvattava vähintään:

a) kuvaus tietoturvaloukkauksesta, sisältäen mahdollisuuksien mukaan asianomaisten rekiste-röityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut luku-määrät (siltä osin kuin kyseiset tiedot ovat Toimittajan saatavilla);

b) Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätie-toja;

c) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista; ja

d) kuvaus toimenpiteistä, jotka Toimittaja on toteuttanut Tietoturvaloukkauksen johdosta ja mahdolliset toimenpiteet, jotka Toimittaja on tehnyt Tietoturvaloukkauksen haittavaikutus-ten lieventämiseksi.

Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaisille.

Jos tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta syystä, Asiakas vastaa Toimittajalle tie-toturvaloukkauksesta ja niitä koskevista ilmoituksista aiheutuvista kustannuksista.

  1. Auditointi

Asiakkaan valtuuttamalla riippumattomalla auditoijalla on oikeus tarkastaa Toimittajan henkilötie-tojen käsittelyn velvollisuuksien noudattaminen. Toimittajan on sallittava Asiakkaan valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin.

Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkas-tuksista aiheutuneet kustannukset. Mikäli tarkastukset paljastavat merkittäviä puutteita Toimitta-jan toiminnoissa, Toimittaja vastaa tarkastuksista aiheutuvista omista kustannuksistaan.

Tarkastus voidaan suorittaa enintään kerran vuodessa ja siitä on ilmoitettava Toimittajalle kirjalli-sesti vähintään 30 päivää etukäteen. Auditointi tulee suorittaa tavalla, joka ei haittaa Toimittajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden.

Auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Auditoija ei voi olla Toimittajan kilpailija eikä auditointia voida suorittaa tämän sopimuksen päät-tymisen jälkeen.

  1. Henkilötietojen poistaminen tai palauttaminen Rekisterinpitäjälle käsittelyn päättyessä

Sopimuksen päättyessä tai purkautuessa Toimittaja palauttaa Asiakkaalle kaikki Asiakkaan puoles-ta käsitellyt henkilötiedot sekä hävittää omat mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu.

Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toi-mittaja säilyttää henkilötiedot.

  1. Vahingonkorvausvelvollisuus

Jos rekisteröidylle aiheutuu tietosuoja-asetuksen tai näiden sopimusehtojen vahinkoa, Toimittaja on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tietosuoja-asetuksen tai tämän sopimuksen velvoitteita.

Osapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on enintään Palvelun laskennalli-nen arvonlisäveroton kuukausihinta rikkomushetkellä kerrottuna 6:lla.

Osapuoli ei vastaa välillisestä vahingosta. Välillisenä vahinkona pidetään esimerkiksi saamatta jää-nyttä voittoa tai vahinkoa, joka johtuu tuotannon tai liikevaihdon vähentymisestä tai keskeytymi-sestä.

Vastuunrajoitukset eivät koske vahinkoa, joka on aiheutettu Palvelun yleisten ehtojen vastaisella Palvelun luovutuksella, kopioinnilla tai käytöllä, immateriaalioikeuksien loukkaamiselle, salassapi-toa rikkomalla taikka tahallisesti tai törkeällä huolimattomuudella.

  1. Riidanratkaisu

Näitä sopimusehtoja koskevat erimielisyydet pyritään ratkaisemaan Osapuolen välillä ensisijaisesti neuvottelemalla.

Näistä sopimusehdoista tai Palvelusta aiheutuvat riidat ratkaistaan lopullisesti välimiesmenette-lyssä Keskuskauppakamarin nopeutettua välimiesmenettelyä koskevien sääntöjen mukaisesti. Välimiesmenettelyn paikka on Helsinki ja välimiesmenettelyn kieli on suomi.

  1. Ehtojen voimassaolo

Nämä sopimusehdot tulevat voimaan, kun Asiakas on ottanut käyttöön Ilmoituskanava-palvelun. Ehdot ovat voimassa niin kauan kuin Asiakas käyttää Palvelua, ellei kyse ole ehdoista, joiden on tarkoitettu jäävän voimaan Palvelun käytön lopettamisen jälkeenkin.

  1. Toimittajan yhteystiedot

Keskuskauppakamarin Palvelu Oy

tietosuoja@kauppakamari.fi

Liite 1: Toimittajan tietoturvakuvaus

Toimittaja sitoutuu noudattamaan parhaita saatavilla olevia tietoturvakäytäntöjä. Sähköisesti käsi-teltävät rekisterin sisältämät tiedot suojataan palomuureilla, salasanoilla, tarjoamalla kaksivaiheis-ta tunnistautumista sekä muilla tietoturvan toimialalla yleisesti hyväksyttävillä teknisillä keinoilla. Tiedonsiirto Asiakkaan ja Toimittajan välillä salataan SSL (Secure Socket Layer) -teknologialla tai muulla yleisesti tietoturvalliseksi luokitellulla ratkaisulla.

Tiedot varmuuskopioidaan säännöllisesti ja varmuuskopioita säilytetään eri sijainnissa kuin missä alkuperäinen tieto sijaitsee. Toimittaja suojaa asiakkaan tietoja luvattomalta käytöltä ja levityksel-tä. Ainoastaan yksilöidyillä Toimittajan työntekijöillä on pääsy rekisterin sisältämiin tietoihin erikseen myönnettyjen käyttöoikeuksien perusteella. Palveluun jätetyt ilmoitukset ja liitetiedostot salataan ilmoituksen jättöhetkellä. Salauksen purku ja ilmoitusten selkokielinen luku onnistuvat vain ja ainoastaan Asiakkaan ennalta määriteltyjen valtuutettujen käsittelijöiden tunnuksilla. Toi-mittaja ei voi purkaa salausta edes asiakkaan pyynnöstä. Käyttäjien käyttöoikeuksia valvotaan ja vaarallisten käyttöoikeusyhdistelmien luominen on kielletty käyttöoikeuksien hallintapolitiikassa ja niiden syntymistä valvotaan osana käyttöoikeuksien hallintaa.

Käyttöoikeudet tarkistetaan säännöllisesti ja poistetaan, kun käyttäjä ei niitä enää tarvitse. Asiakas vastaa päättyneiden käyttöoikeuksien ilmoittamisesta Toimittajalle. Toimittajalta poistuneiden työntekijöiden käyttöoikeudet poistetaan välittömästi työsuhteen päättyessä kaikista järjes-telmistä. Asiakkaan tietoja käsittelee vain se Toimittajan työntekijä, joka on osoitettu tekemään kyseinen työ. Henkilötiedon käsittely muilla perusteilla on kielletty, vaikka Toimittajan työntekijällä olisi tekninen pääsy asiakastietoon hänen työtehtävänsä ja liiketoiminnallisten syiden perus-teella.

Koko Toimittajan henkilöstöllä, ja sen lukuun toimivilla ulkopuolisilla henkilöillä, on vaitiolovelvollisuus liittyen kaikkeen asiakkaan tietoon ja henkilötietoon. Vaitiolovelvollisuus on kirjattuna Toimittajan henkilöstön työsopimuksiin, mukaan lukien sanktiot. Vaitiolovelvollisuus on kirjattuna kolmansien osapuolien kanssa tehtyihin sopimuksiin, mukaan lukien sanktiotoimet.

Toimittaja käyttää aina kun on mahdollista monipuolisia pääsynhallinta- ja muutostietolokimenetelmiä.

Asiakkaan tietoja käsittelevät työntekijät koulutetaan säännöllisillä koulutuksilla, joissa työn te-kemisen laillisuusperusteet ovat olennainen osa koulutusta. Toimittajan henkilökunnan tietoturva- ja tietosuojatietoisuutta pidetään säännöllisesti yllä eri tavoin: järjestämällä sekä säännöllisiä tietoturvaa ja tietosuojaa koskevia koko yrityksen henkilöstölle tiedoksi annettavia tietoiskuja että järjestämällä vuosittain työntekijöille pakollinen tietoturvaa ja tietosuojaa koskeva koulutus, jonka läpäisemiseksi työntekijän tulee hyväksytysti läpäistä aihealuetta koskeva testi.

Toimittajalla on tietoturvapolitiikka, jonka jokainen uusi työntekijä käy läpi aloittaessaan työnsä Toimittajalla. Tietoturvapolitiikan olemassa olosta ja sijainnista tiedotetaan säännöllisissä tietotur-vakoulutuksissa sekä muistutetaan työntekijöitä kyseisen politiikan sitovuudesta. Tietoturvapoli-tiikka kuvaa yleiset työntekijää velvoittavat tietoturvaa ja tietosuojaa koskevat säännöt, olivatpa ne teknisiä sääntöjä, tietoturvaprosesseja tai jokapäiväiseen työntekoon soveltuvia käytäntöjä ja ohjeita. Asiakkaan tietoja käsitellään tietojärjestelmissä, jotka sijaitsevat konesalissa Suomessa tai Euroopan Unionin alueella sijaitsevissa pilvipalveluissa. Näissä konesaleissa ovat käytössä palveluntuottajan toimesta sertifioidut turvallisuuskäytännöt, pääsynhallinta ja valvonta. Manuaalisesti ylläpidettävät aineistot sijaitsevat toimitiloissa, joihin asiattomilta pääsy on estetty kulunvalvon-nalla ja tärkeimmissä toimitiloissa on käytössä videovalvonta mahdollisen fyysisen turvallisuuden rikkoutumisen selvittämiseksi ja todentamiseksi.

Toimittaja toteuttaa sisäisiä ja kolmannen osapuolen suorittamia arviointeja, jotka kattavat sekä kriittisten tietojärjestelmien teknisen turvallisuuden että hallinnollista tietoturvaa ja tietosuojaa koskevia prosesseja ja ohjeistuksia.