Yleiset henkilötietojen käsittelyn ehdot

Rainmaker – Yleiset henkilötietojen käsittelyn ehdot

1 Yleistä

Tämä sopimusliite ”Yleiset henkilötietojen käsittelyn ehdot” on osa palvelusopimusta, jäljempänä ”Sopimus”, jonka Asiakas on tehnyt Rainmakerin kanssa.

Tässä sopimusliitteessä määritellään Asiakasta ja Rainmakeria sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Rainmaker Asiakkaan toimeksiannosta käsittelee henkilötietoja Asiakkaan puolesta ja lukuun Sopimuksessa olevien sopimusehtojen lisäksi. Kuitenkin mikäli Rainmaker on Asiakkaan työntekijöiden juridinen työnantaja ja Rainmakerille syntyy näin ollen työsuhderekisteri, Rainmaker toimii näiltä osin henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä.

Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä, ja lisäksi Osapuolet sitoutuvat saattamaan henkilötietojen käsittelyn ja tietosuojan EU:n yleisen tietosuoja-asetuksen (EU)2016/679 mukaiselle vaatimustasolle 25.05.2018 mennessä, jolloin tietosuoja-asetuksen soveltaminen alkaa.

Selkeyden vuoksi toteamme, että Rainmaker voi kerätä ja käsitellä Asiakkaaseen liittyviä henkilötietoja omiin käyttötarkoituksiinsa kuten asiakassuhteen ylläpitoon ja laskutukseen liittyen. Näissä tapauksissa Rainmaker toimii kyseisten henkilötietojen rekisterinpitäjänä. Tämä liite ei sovellu edellä mainittuun käsittelyyn, joka on kuvattu Rainmakerin rekisteriselosteessa.

Rainmakerilla on oikeus kerätä Sopimuksen mukaisten palvelujen käytöstä anonyymiä ja tilastollista tietoa, joka ei yksilöi Asiakasta eikä rekisteröityjä, ja käyttää sitä palveluidensa analysointiin ja kehittämiseen.

Jos tämän liitteen ja Sopimuksen henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, osapuolet soveltavat ensisijaisesti tämän liitteen ehtoja.

2 Roolit

Asiakas toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Rainmaker toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Asiakkaan henkilötietoja Asiakkaan puolesta ja lukuun. Rainmakerin Sopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat Asiakkaan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Asiakkaan puolesta ja lukuun. Ryhmittymän ollessa toimittajana tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

Vain siinä tapauksessa, että Rainmaker on Asiakkaan työntekijöiden juridinen työnantaja ja Rainmakerille syntyy näin ollen työsuhderekisteri, Rainmaker toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Niiltä osin, kun Asiakas käyttää Rainmakerilla työsuhteessa olevien työntekijöiden henkilötietoja oman liiketoimintansa edellyttämiin käyttötarkoituksiin Asiakkaalle muodostuu henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittaman rekisterinpitäjän vastuu.

Asiakas sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista. Asiakas vakuuttaa Rainmakerille, että sillä on henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukainen laillinen peruste käsitellä henkilötietoja, joiden käsittelyyn Rainmaker osallistuu. Asiakas vastaa henkilötietojen käsittelyä kuvaavan selosteen laatimisesta ja saatavilla pidosta sekä rekisteröityjen informoinnista heitä koskevien tietojen käsittelystä.

Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä Rekisterinpitäjän ja Käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksessa, sopimuksen mukaisen palvelun aikana laadittavassa ja Rainmakeria sitovassa dokumentaatiossa tai muussa Asiakkaan ohjeistuksessa. Rainmaker sitoutuu noudattamaan Sopimuksessa, dokumentaatiossa ja ohjeistuksessa olevia henkilötietojen käsittelyä koskevia ehtoja ja kuvauksia, elleivät nämä ohjeet ole lainvastaisia, jolloin Rainmaker voi ilmoittaa käsittelyn lainvastaisuudesta Asiakkaalle ja lopettaa välittömästi henkilötietojen käsittelyn. Asiakas vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

Jos edeltävän kappaleen mukaista kuvausta ei ole tehty tai se on puutteellinen, Asiakas laatii tai täydentää kuvausta tarvittaessa yhteistyössä Rainmakerin kanssa. Rainmakerin on ilmoitettava Asiakkaalle, jos tämän antama ohjeistus on puutteellinen tai jos Rainmaker epäilee sitä lainvastaiseksi.

3 Alihankkijat, jotka käsittelevät henkilötietoja

Rainmakerilla on oikeus käyttää alihankkijoita Rekisterinpitäjän henkilötietojen käsittelyssä. Rainmaker vastaa alihankkijoiden toimista ja laatii alihankkijoiden kanssa kirjalliset sopimukset henkilötietojen käsittelystä, joissa se sitouttaa käyttämänsä alihankkijat noudattamaan Rainmakerin velvoitteita sekä Asiakkaan antamia henkilötietojen käsittelyyn liittyviä ohjeita. Jos Asiakas perustellusti katsoo, että Rainmakerin alihankkija ei täytä tietosuojavelvoitteitaan, Asiakkaalla on oikeus vaatia Rainmakeria vaihtamaan alihankkijaa.

4 Henkilötietojen käsittelijän yleiset velvollisuudet

Henkilötietojen käsittelijä käsittelee henkilötietoja Sopimuksen ja Asiakkaan antamien ohjeiden mukaisesti.

Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Asiakkaan ohjeita ja mahdollisia Asiakkaan ohjeiden päivityksiä.

Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen ja Asiakkaan ohjeiden mukaisesti.

Henkilötietojen käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Asiakkaalle kaikista sille tulleista rekisteröityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä.

Henkilötietojen käsittelijä sitoutuu avustamaan Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Asiakas pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Henkilötietojen käsittelijä ymmärtää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja/tai henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei näiden tehtävien ole sovittu sisältyvän Sopimuksen mukaisiin palveluihin ja niistä veloitettaviin maksuihin, Rainmakerilla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksessa sovituilla henkilötyöhinnoilla.

Rainmakerin on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, että ne voidaan automaattisesti irrottaa järjestelmästä siirrettäväksi toiseen järjestelmään.

Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Asiakasta EU:n yleisen tietosuoja-asetuksen mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Rainmakerilla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksessa sovituilla henkilötyöhinnoilla.

Henkilötietojen käsittelijä sitoutuu Asiakkaan valinnan mukaan poistamaan tai palauttamaan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki Asiakkaan henkilötiedot Asiakkaalle ja poistamaan olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Asiakas voi antaa tältä osin tarkempia ohjeita henkilötietojen käsittelijälle.

Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle, ellei se noudata tässä kohdassa selostettua menettelyä. Henkilötietojen siirtäminen kolmansiin maihin voidaan tehdä asianmukaisella siirtosopimuksella noudattaen EU-komission kulloinkin voimassa olevia mallilausekkeita ja/tai muita tuolloin voimassaolevia henkilötietojen siirtoa koskevia vaatimuksia. Yhdysvaltoihin tehtävien henkilötietojen siirtojen osalta asianmukaiseksi menettelyksi katsotaan myös tietojen siirto Privacy Shield -järjestelmään rekisteröityneelle siirronsaajalle.

5 Auditointi

Asiakkaalla tai Asiakkaan valtuuttamalla auditoijalla (ei kuitenkaan Rainmakerin kilpailija) on oikeus auditoida tämän Liitteen alainen toiminta. Auditointi tai muu tarkastus tulee suorittaa aika- ja kustannustehokkaalla tavalla ilman Rainmakerin päivittäisiin toimiin kohdistuvaa tarpeetonta häiriötä. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 vuorokautta ennen tarkastusta. Auditointi tulee suorittaa tavalla, joka ei haittaa Rainmakerin ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden. Asiakkaan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Asiakas vastaa kaikista auditoinnista aiheutuvista kustannuksista. Rainmakerilla on oikeus laskuttaa Asiakasta aika- ja materiaaliperusteisesti auditointiin kuluneen ajan ja kustannusten perusteella. Jos auditoinnissa havaitaan Rainmakerin toimissa merkittäviä puutteita, Rainmaker vastaa auditoinnista aiheutuvista omista kustannuksistaan.

6 Tietoturvaloukkaukset

Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Asiakkaalle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

Asiakkaan pyynnöstä Rainmaker toimittaa ilman aiheetonta viivytystä kaiken asiaankuuluvan tietoturvaloukkaukseen liittyvän tiedon. Siltä osin kun kyseinen tieto on Rainmakerin saatavissa, kuvataan ilmoituksessa vähintään seuraavaa:

kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Asiakas on vastuussa tarvittavista ilmoituksista tietosuojaviranomaisille.

7 Muut ehdot

Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen tai liitteen loukkauksista aineellista tai aineetonta vahinkoa, Rainmaker on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti sille osoitettuja EU:n tietosuoja-asetuksen tai tämän liitteen mukaisia velvoitteita. Muilta osin osapuolten vastuu määräytyy Sopimuksen perusteella.

Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista tai hallinnollista sakoista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Kuitenkin enimmillään Sopimuksen mukaisesti.

Rainmaker tiedottaa kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä liitettä ja Asiakkaan antamia kirjallisia ohjeita. Kaikki lisäykset ja muutokset tähän liitteeseen tehdään kirjallisesti.

Liite on voimassa:

Niin pitkään kuin Sopimus on voimassa
Osapuolilla on henkilötietojen Käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.

Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän liitteen voimassaolon päättymisestä riippumatta, jäävät voimaan liitteen päättymisen jälkeen.

Liitteeseen sovelletaan esitettyjä lakeja ja riidat ratkaistaan Sopimuksen määräysten mukaisesti.

Rekisteriasioista vastaava yhteyshenkilö

Rainmaker Group Oy
Heikkiläntie 7
00210 Helsinki
Rainmaker / Kiki Metsokumpu
etunimi.sukunimi(@)rainmaker.fi

Päivitetty 18.1.2023