Data Processing Agreement
Tältä sivulta löydät henkilötietojen käsittelysopimuksemme, jota sitoudut noudattamaan tilatessasi ja käyttäessäsi palveluitamme.
Liite yleisiin sopimusehtoihimme
Tämä sopimusliite on erottamaton osa Hostaan Oy:n (jäljempänä ”palveluntarjoaja”) yleisiä sopimusehtoja. Tätä liitettä ja näitä tietosuojaehtoja sovelletaan palveluntarjoajan toimiessa suhteessa asiakkaaseensa EU:n tietosuoja-asetuksen (2016/679) tarkoittamana henkilötietojen käsittelijänä kun asiakas on rekisterinpitäjänä ulkoistanut henkilötietojensa käsittelyä palveluntarjoajalle. Mikäli yleisten sopimusehtojen ja näiden tietosuojaehtojen välillä on ristiriitaa, sovelletaan ensisijaisesti yleisiä sopimusehtoja.
Määritelmät
Sopimusliitteessä käytetyt käsitteet, kuten rekisterinpitäjä, rekisteröity, henkilötieto, käsittely, henkilötietojen käsittelijä ja henkilötietojen tietoturvaloukkaus saavat sen merkityssisällön, joka niille on annettu Euroopan Unionin asetuksessa 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta sekä direktiivin 95/46/EY kumoamisesta (jäljempänä ”tietosuoja-asetus”).
Tarkoitus
Palveluntarjoaja on hosting-palveluita tarjoava yritys. Asiakas on yritys tai muu organisaatio tai toimija, joka hankkii hosting-palvelua palveluntarjoajalta. Tällä tietosuojaehdolla osapuolet sopivat siitä, että sopimuksen voimassaoloaikana palveluntarjoaja henkilötietojen käsittelijänä käsittelee henkilötietoja asiakkaan eli rekisterinpitäjän lukuun.
Henkilötietojen käsittelijä käsittelee henkilötietoja vain hosting-palveluiden sekä mahdollisesti muiden sopimuksessa kuvattujen velvoitteiden täyttämiseksi, ja palveluiden tarjoamiseksi ja toimittamiseksi asiakkaalle tämän antamien kirjallisten ohjeiden mukaisesti.
Henkilötietojen käsittelijä ei käsittele henkilötietoja mihinkään muuhun tarkoitukseen tai muiden hyväksi. Henkilötietojen käsittelijällä on oikeus siirtää henkilötietoja EU:n tai ETA:n ulkopuolisiin maihin noudattaen tietosuoja-asetuksessa määriteltyjä riittäviä suojamekanismeja. Henkilötietojen käsittelijän velvollisuutena on välittömästi ilmoittaa rekisterinpitäjälle, mikäli havaitaan, että rekisterinpitäjän antamat käsittelyä koskevat kirjalliset ohjeet rikkovat tietosuoja-asetusta tai muita unionin tai jäsenvaltion tietosuojasäädöksiä. Näiden ehtojen lisäksi molemmat osapuolet sitoutuvat noudattamaan sovellettavia kansallisia tietosuojalakeja ja tietosuoja-asetuksen säännöksiä toiminnassaan soveltuvin osin.
Henkilötietojen käsittelyä koskevat vaatimukset
Henkilötietojen käsittely koskee palveluntarjoajan tarjoamien palveluiden, kuten kotisivutilan, palvelintilan, pilvipalveluiden, sähköpostipalveluiden, palvelinohjelmistojen, verkkotunnusten ja muiden vastaavien hosting-palveluiden tarjoamista ja toimittamista asiakkaalle. Palveluntarjoaja kerää, tallentaa ja käsittelee rekisterinpitäjänä toimivien asiakkaiden henkilötietoja palvelusopimuksen, näiden ehtojen ja voimassaolevan lainsäädännön mukaisesti.
Koska asiakas yksinomaisesti päättää, mitä henkilötietoja palveluntarjoajan tarjoamaan hosting-palveluun tallennetaan, eikä palveluntarjoajalla ole velvollisuutta eikä tosiasiallista mahdollisuutta tarkistaa tai verifioida näitä tietoja, asiakas voi teknisesti tallentaa palveluun mitä tahansa tarpeelliseksi katsomiaan tietoja. Yleisesti todettuna tyypillisesti henkilötiedot voivat koskea henkilötietoryhmiä, kuten nimi- ja osoite-, ja muut yhteystiedot, verkkokaupan tilaushistoria, markkinoinnin suostumukset ja muu käyttökohtainen data. Tyypillisesti henkilötietoja koskevat rekisteröityneiden ryhmät ovat esimerkiksi asiakkaan omat asiakkaat, potentiaaliset asiakkaat, verkkopalveluiden käyttäjät sekä asiakkaan uutiskirjeiden tilaajat.
Alihankkijat
Henkilötietojen käsittelijällä on oikeus käyttää käsittelyssä toisen henkilötietojen käsittelijän palveluita. Käyttäessään toisen henkilötietojen käsittelijän palveluita, henkilötietojen käsittelijä huolehtii siitä, että käsittely tapahtuu noudattaen samoja tietosuojavelvoitteita, kuin mitä tässä sopimusliitteessä on kuvattu.
Salassapito
Rekisterinpitäjän lukuun käsiteltyjä henkilötietoja pidetään rekisterinpitäjän luottamuksellisina tietoina ja henkilötietojen käsittelijä sitoutuu pitämään tiedot salassa, olemaan paljastamatta niitä kenellekään kolmannelle osapuolelle tai olemaan käyttämättä tietoja muuhun kuin sovittuun tarkoitukseen.
Henkilötietoja käsittelee vain palveluntarjoajan henkilöstö, aina luottamuksellisesti ja vain siinä laajuudessa, mikä on työtehtävään nähden tarpeellista.
Tietoturva
Henkilötietojen käsittelijä toteuttaa kaikki asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla pyritään estämään henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin. Mainitut toimenpiteet suunnitellaan ja toteutetaan huomioiden tekniikka ja toteuttamiskustannukset, käsittelyn luonne ja laajuus kokonaisuudessaan sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit, kuten
- henkilötietojen asianmukainen anonymisointi ja salaaminen
- palveluiden jatkuvan luottamuksellisuuden, käytettävyyden ja vikasietoisuuden takaaminen
- nopea palautumiskyky teknisen vian sattuessa
- keinot ja toimintatavat, joilla arvioidaan käytettyjä toimenpiteitä tietojenkäsittelyn turvallisuuden varmistamiseksi
Tietoturvaloukkaukset
Mahdollisen henkilötietojen tietoturvaloukkauksen sattuessa henkilötietojen käsittelijän on ilmoitettava tästä rekisterinpitäjälle ilman aiheetonta viivytystä, sekä antaa riittävät tiedot ja muutenkin avustaa rekisterinpitäjää, jotta rekisterinpitäjä voi täyttää tietosuoja-asetuksessa määritellyt ilmoitusvelvoitteet asetetussa määräajassa sekä täyttää myös muut tietosuoja-asetuksessa asetetut velvoitteet. Henkilötietojen käsittelijän tulee myös ryhtyä tarpeellisiin jatkotoimenpiteisiin, joilla henkilötietojen tietoturvaloukkauksen haittavaikutuksia voidaan lieventää ja tulevia loukkauksia estää.
Tietosuojan vaikutustenarviointi ja rekisteröidyn oikeuksien toteuttaminen
Henkilötietojen käsittelijän havaitessa suunnitellun käsittelyn aiheuttavan korkean riskin luonnollisen henkilön oikeuksien ja vapauksien osalta, henkilötietojen käsittelijän tulee ilmoittaa asiasta rekisterinpitäjälle ja avustaa tätä tarpeen tullen tietosuojaa koskevassa vaikutustenarvioinnissa.
Huomioiden käsittelyn luonteen, henkilötietojen käsittelijän tulee kohtuudella, mutta ilman aiheetonta viivytystä, auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimilla täyttämään rekisterinpitäjän velvollisuuden vastata tietosuoja-asetuksessa määriteltyihin rekisteröidyn oikeuksien käyttämiseen, kuten esimerkiksi rekisteröidyn oikeus saada pääsy tietoon, oikeus saada tieto korjatuksi, oikeus kieltää käsittely, oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”), oikeus käsittelyn rajoittamiseen ja oikeus saada tiedot siirretyksi järjestelmästä toiseen. Edellyttäen, että tällaisia vaatimuksia esitetään henkilötietojen käsittelijälle, näistä ilmoitetaan viipymättä rekisterinpitäjälle.
Tietosuojamenetelmien auditoinnit
Tietosuoja-asetuksessa säädettyjen velvollisuuksien noudattamisen osoittamista varten tulee henkilötietojen käsittelijän saattaa rekisterinpitäjälle kaikki tätä tarvittavat tiedot. Henkilötietojen käsittelijä sallii rekisterinpitäjän tai rekisterinpitäjän valtuuttaman tahon suorittaman auditoinnin, kuten tarkastuksen henkilötietojen käsittelijän tiloihin, järjestelmiin, prosesseihin ja dokumentaatioon, sekä kohtuudella pyydettäessä osallistuu itse auditointiin, edellyttäen, että rekisterinpitäjä katsoo sellaisen toteuttamisen tarpeelliseksi. Auditointi on suoritettava erikseen sovitusti ja normaalin työajan puitteissa, aiheuttaen mahdollisimman vähän haittaa henkilötietojen käsittelijän liiketoiminnalle. Rekisterinpitäjän tulee ilmoittaa kirjallisesti henkilötietojen käsittelijälle auditoinnin toteuttamisesta vähintään kahta kuukautta etukäteen.
Avustamisvelvollisuus
Asiakas voi sopimuksen voimassaoloaikana kirjallisesti pyytää palveluntarjoajaa avustamaan asiakasta tietosuojalainsäädännön mukaisissa rekisterinpitäjää koskevien velvoitteiden täyttämisessä. Edellytyksenä on, että velvoitteet liittyvät palveluntarjoajalta hankittuihin palveluihin ja velvoitteet ovat sellaisia, että palveluntarjoajalla on velvollisuus avustaa rekisterinpitäjää, kuten avustamista rekisteröidyn oikeuksien täyttämisessä, tietosuojavaikutusten arviointien toteuttamisessa sekä tietosuojaloukkaustilanteissa.
Palveluntarjoajan avustaessa asiakasta kaikista kustannuksista vastaa asiakas. Ellei hinnoittelusta ole erikseen sovittu, palveluntarjoaja on oikeutettu laskuttamaan avustamiseen käytetystä työajasta voimassaolevan tuntiperusteisen työhinnastonsa mukaisesti.
Asiakkaan velvollisuudet
Toimiessaan rekisterinpitäjänä tietosuojaehtojen perusteella käsiteltäviin henkilötietoihin asiakas itse vastaa kaikkien niiden lainsäädännöllisten velvoitteiden täyttämisestä, joita edellytetään rekisterinpitäjältä (mm. riittävien ja lainmukaisten käsittelyperusteiden varmistaminen, suostumuksen hankkiminen, rekisteröityjen informoiminen, tietosuojaselosteiden laatiminen ja saatavilla pitäminen). Asiakas vastaa myös lainmukaisten käsittelyohjeiden toimittamisesta palveluntarjoajalle.
Asiakas vastaa palveluun tallennetuista tiedoista, mukaan lukien henkilötiedot, ja oikeudesta käsitellä ja tallentaa palveluun henkilötietoja ja luovuttaa niitä palveluntarjoajalle. Asiakas myös määrittelee ja vastaa siitä, mitä henkilötietoja ja mihin tarkoitukseen palveluun tallennetaan, miten niitä käytetään, vaihdetaan tai käsitellään, kenelle tietoja luovutetaan sekä miten tiedon laadusta, ajantasaisuudesta ja poistamisesta sekä anonymisoinnista huolehditaan.
Asiakas vastaa itse suorittamastaan henkilötietojen käsittelystä, käsittelyn eheydestä, turvallisuudesta, ylläpidosta ja asianmukaisesta suojaamisesta. Asiakas sitoutuu noudattamaan kaikkia sovellettavia tietosuoja-, tietoturva- ja turvallisuuslakeja sekä määräyksiä.
Sopimusliitteen voimaantulo ja päättyminen
Tämä sopimusliite astuu voimaan osapuolten välisen hosting-palvelusopimuksen voimaantullessa ja pysyy voimassa kyseisen sopimuksen voimassaoloehtojen mukaisesti.
Sopimuksen päätyttyä kohtuullisen ajan kuluttua tästä henkilötietojen käsittelijä joko poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat varmuuskopiot henkilötiedoista, sekä poistaa mahdolliset tunnuksensa rekisterinpitäjän tietojärjestelmiin, poislukien tapaukset jos unionin tai jäsenvaltion lainsäädännössä tai oikeudessa vaaditaan säilyttämään henkilötiedot. Tällöin henkilötietojen käsittelijällä säilyy oikeus säilyttää henkilötiedot lainmukaisesti, mutta jatkamatta henkilötietojen käsittelyä muulla tavoin, ja noudattaen edelleen liitteessä kuvattuja salassapitovelvoitteita.
Rekisterinpitäjä itse vastaa kuitenkin viime kädessä henkilötietojen poistamisesta tai säilymisestä, jolloin rekisterinpitäjän vastuulla on varmistua siitä, että hänellä on tarvittaessa tarvittavat kopiot henkilötiedoista myös sopimuksen päättymisen jälkeen, mikäli niitä edelleen tarvitaan.
Korvausvelvollisuus
Palveluntarjoaja ei ole korvausvelvollinen rekisterinpitäjälle mistään sopimusrikkomuksista, välillisistä, epäsuorista vahingoista tai kolmansien osapuolien esittämistä vaatimuksista. Näihin ehtoihin sovelletaan palveluntarjoajan yleisiin palveluehtoihin sisältyviä enimmäisvastuun rajausta koskevia ehtoja.
Hostaan Ltd
Snellmaninkatu 36-38
FI-70100 KUOPIO, Finland
Customer Service
Tel +358 20 732 0000
Support@hostaan.com
Company VAt CODE
FI29506566
VAT. REG.
We are a Carbon negative company