Yksityisyydensuoja

Yksityisyydensuoja

1. Näiden ohjeiden kohde ja soveltaminen

Näitä ohjeita Henkilötietojen käsittelystä (jatkossa myös ”Tietosuojaliite”), on erottamaton osa Asiakkaan tai sen kanssa samaan konserniin kuuluvan yhtiön (”Asiakas”) ja Toimittajan kanssa sovittua kulloinkin voimassa olevaa palvelu- tai muuta sopimusta tai tilausta (”Pääsopimus”).

Asiakas ja Toimittaja ovat sopineet tässä Tietosuojaliitteessä, että Asiakas Rekisterinpitäjänä määrittelee Henkilötietojen käsittelyn tarkoitukset ja keinot ja Toimittaja Henkilötietojen käsittelijänä käsittelee Henkilötietoja Asiakkaan antamien ohjeiden mukaisesti.  Tämä Tietosuojaliite muodostaa Sopijapuolten välille EU:n tietosuoja-asetuksen mukaisen kirjallisen sopimuksen Henkilötietojen käsittelystä

Tämän Tietosuojaliitteen määräyksiä ja ohjeita sovelletaan aina, kun Toimittaja käsittelee Asiakkaan Henkilötietoja. Jos tämän Tietosuojaliitteen ja Pääsopimuksen ehdot ovat ristiriidassa keskenään, sovelletaan ensisijaisesti tämän Tietosuojaliitteen ehtoja.

2.  Käytetyt määritelmät

Henkilötieto tarkoittaa kaikkea tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvää tietoa tai muuta Tietosuojalainsäädännössä määriteltyä henkilötietoa.

Henkilötietojen käsittelijä (jäljempänä myös ”Käsittelijä”) tarkoittaa Toimittajaa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun ja ohjeiden mukaisesti.

Käsittely tarkoittaa toimintoa tai toimintoja, joita Toimittaja tekee Asiakkaan lukuun sopijapuoltenvälisen sopimuksen perusteella ja joita kohdistetaan henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, tai muuta Tietosuojalainsäädännössä määriteltyä Henkilötietojen käsittelyä.

Rekisterinpitäjä tarkoittaa Asiakasta, joka yksin tai yhdessä toisten kanssa määrittelee Henkilötietojen käsittelyn tarkoitukset ja keinot.

3. Henkilötietojen käsittelyn luonne ja tarkoitus

Tämän sopimuksen puitteissa käsiteltävät henkilötiedot ovat Asiakkaan henkilötietorekistereihinsä tallentamia Henkilötietoja ja joita Asiakas luovuttaa Toimittajalle mm. seuraaviin käyttötarkoituksiin:

* Asiakkaan järjestämiin matkoihin ja muihin palveluihin liittyvät asiat

* Asiakkaan järjestämien matkojen osallistujiin liittyvät asiat.

Käsittelyn kohde, luonne ja tarkoitus määritellään tarkemmin erikseen Pääsopimuksessa.

4. Henkilötietojen tyyppi

Toimittajan käsittelemät henkilötiedot voivat olla:

* Asiakkaan rekistereihinsä tallentamien rekisteröityjen Henkilötietoja kuten: Nimi, syntymäaika, osoite, puhelinnumero, sähköpostiosoite ja muut tarpeelliset yhteystiedot sekä rekisteröidyn työtehtävät, ammatti, asema ja tehtävä organisaatioissa.

* Rekisteröidyn itse tuottama sisältö kuten sekä hänen itsestään antamat lisätiedot kuten matkoihin ja muihin palveluihin liittyvät toiveet, tyytyväisyystiedot, kiinnostuksen kohteet ja muut vastaavat tiedot.

5. Yleiset velvollisuudet

1. Asiakkaan velvollisuudet

Asiakas on vastuussa siitä, että sillä on tarvittava oikeudellinen peruste ja suostumukset Pääsopimuksen mukaiseen Henkilötietojen käsittelyyn ja että rekisteröidyille on annettu riittävät tiedot Henkilötietojen käsittelystä.

Asiakkaan velvollisuus on määrittää Henkilötietojen käsittelyn tarkoitus ja keinot. Asiakas antaa Toimittajalle riittävän kattavat, kirjalliset ja lain mukaiset ohjeet Henkilötietojen käsittelystä Pääsopimuksen mukaisten palveluiden suorittamista varten.

2. Toimittajan velvollisuudet

Toimittajan tulee ilmoittaa Asiakkaalle välittömästi, mikäli Toimittaja katsoo, että Asiakkaan ohjeistus rikkoo tietosuojalainsäädäntöä. Tällöin Toimittajan tulee pyytää tarkennettuja ohjeita.

Toimittaja ylläpitää EU:n tietosuoja-asetuksen vaatimaa selostetta Henkilötietojen käsittelytoimista (Tietosuojaseloste).

Toimittajan tulee käsitellä Henkilötietoja Asiakkaan ohjeiden mukaisesti. Ohjeiden noudattamiseen liittyvä työ sisältyy pääsopimuksen palveluihin.

6. Tietoturva

Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Asiakkaan Henkilötietojen suojaamiseksi ottaen huomioon käsittelyn sisältämät riskit, erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen Henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai Henkilötietoihin pääsy.

Asiakas voi antaa tarkempia ohjeita koskien tietoturvaa Henkilötietojen käsittelyssä. Tietojen siirrossa Asiakkaan ja Toimittajan välillä noudatetaan Asiakkaan määrittämiä tiedonsiirtotapoja.

3. Tietoturvaloukkauksista ilmoittaminen

Toimittajaan tulee ilmoittaa Asiakkaalle välittömästi (max. 36 tunnin sisällä) kirjallisesti kaikista Henkilötietoihin kohdistuneista tietoturvaloukkauksista ja muista tapahtumista, joiden perusteella Asiakkaan lukuun käsiteltyjen Henkilötietojen tietoturvallisuus on saattanut vaarantua.

Asiakkaan pyynnöstä Toimittajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Siltä osin kuin kyseinen tieto on Toimittajan saatavilla, Toimittajan on Asiakkaalle tehtävässä ilmoituksessa kuvattava vähintään: a) tapahtunut tietoturvaloukkaus, b) mahdollisuuksien mukaan rekisteröityjen ryhmät ja arvioidut lukumäärät sekä Henkilötietotyyppien ryhmät ja arvioidut lukumäärät, c) kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista, ja d) kuvaus korjaavista toimenpiteistä, jotka Toimittaja on suorittanut tai tulee suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa, sekä tarvittaessa myös toimenpiteet mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi.

Toimittaja dokumentoi ja raportoi selvityksen tulokset ja suoritetut toimenpiteet Asiakkaalle. Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaisille ja rekisteröidyille.

7. Avustaminen ja tiedonantovelvollisuus

Toimittaja ilmoittaa välittömästi Asiakkaalle kaikista rekisteröityjen, tietosuojavaltuutetun tai muun viranomaisen vaatimuksista ja tiedusteluista. Toimittaja avustaa pyydettäessä Asiakasta selvittämään asioita jotka koskevat esimerkiksi tietoturvaa, tietoturvaloukkauksista ilmoittamista sekä vastaamaan rekisteröityjen oikeuksien käyttöön liittyviin pyyntöihin.

 

8. Henkilötietojen käsittelyaika ja tuhoaminen

Toimittaja on velvollinen tuhoamaan ja/tai palauttamaan hallussaan olevat Asiakkaalta Pääsopimuksen mukaiset tiedot ja aineistot sekä itse Pääsopimuksen nojalla luomansa henkilötiedot ja tietovarastot viimeistään kolme (3) kuukautta sen jälkeen, kun toimitettavan palvelun kannalta sovitut tai tarvittavat toimenpiteet on suoritettu. Tietojen tuhoaminen ja/tai palauttaminen koskee myös alihankkijoita ja kaikkia varmuuskopiota.

9. Henkilötietojen siirto ja käsittely EU:n / ETA -alueen ulkopuolella

Toimittaja ja sen alihankkijat saavat käsitellä henkilötietoja EU-/ETA-alueen ulkopuolella ilman Asiakkaan kirjallista suostumusta. Tällöin kumpikin Sopijapuoli varmistaa osaltaan Tietosuojalainsäädännön vaatimusten ja rajoitusten noudattamisen henkilötietojen käsittelyn osalta.

10. Salassapito

Sopijapuolet sitoutuvat pitämään luottamuksellisina toiselta sopijapuolelta saamansa aineistot ja tiedot, jotka on merkitty luottamukselliseksi tai jotka on sellaisiksi ymmärrettävä, sekä olemaan käyttämättä niitä muihin kuin sopimuksen mukaisiin tarkoituksiin. Salassapitovelvollisuus ei kuitenkaan koske aineistoa tai tietoa, (a) joka on yleisesti saatavilla taikka muuten julkista, (b) jonka vastaanottava sopijapuoli on saanut kolmannelta Sopijapuolelta ilman salassapitovelvollisuutta, (c) joka oli vastaanottavan sopijapuolen hallussa ilman niitä koskevaa salassapitovelvollisuutta ennen niiden saamista toiselta sopijapuolelta, (d) jonka vastaanottava sopijapuoli on itsenäisesti kehittänyt hyödyntämättä toiselta sopija-puolelta saamaansa aineistoa tai tietoa taikka (e) jonka vastaanottava sopijapuoli on velvollinen luovuttamaan lain tai viranomaismääräyksen perusteella.

Toimittajan on välittömästi lopetettava Asiakkaalta saamansa luottamuksellisen aineiston ja tietojen käyttäminen sekä pyynnöstä palautettava tai hävitettävä kyseinen aineisto luotettavalla tavalla kaikkine kopioineen, kun Pääsopimus päättyy tai Toimittaja ei enää tarvitse kyseistä aineistoa tai kyseisiä tietoja Pääsopimuksen mukaisiin tarkoituksiin. Sopijapuolella on kuitenkin oikeus säilyttää lain tai viranomaismääräyksen edellyttämä aineisto tai kopiot niistä.

Sopijapuolet vastaavat, että heidän työntekijänsä ja muut samaan konserniin kuuluvat yhtiöt ja alihankkijansa noudattavat tämän Tietosuojaliitteen salassapitoa koskevia määräyksiä.

11. Muut ehdot

1. Toimittaja tiedottaa Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä Tietosuojaliitettä ja Asiakkaan antamia kirjallisia ohjeita.

2. Salassapitoa koskevat velvoitteet ja muut velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Tietosuojaliitteen voimassaolon päättymisestä riippumatta, jäävät voimaan Pääsopimuksen ja Tietosuojaliitteen päättymisen jälkeen.