Tietosuojaliite Aacon Oy:n sopimusehtoihin

Tämä sopimusliite on oleellinen osa Aacon Oy:n yleisiä palveluehtoja ja sääntelee siihen liittyvää henkilötietojen käsittelyä, joka on palveluehtojen kohta 5: Henkilötietojen käsittely.

Lähtökohtaisesti Aacon Oy ei käsittele asiakkaan palveluun tallentamia henkilötietoja. Erikoistapauksissa, asiakkaan pyynnöstä Aacon Oy voi toimia käsittelijänä tarjotessaan asiakkaalle sopimuksen mukaista tukipalvelua. Tässä tilanteessa sovelletaan tätä sopimuksen tietosuojaliitettä.

 

Määritelmät

Henkilötietojen, erityisten henkilötietoryhmien (esimerkiksi arkaluontoiset henkilötiedot), henkilötietojen käsittelyn, rekisteröidyn henkilön (Rekisteröity), rekisterinpitäjän (Rekisterinpitäjä) ja henkilötietojen käsittelijän (Käsittelijä) määrittely vastaa termien käyttöä ja tulkintaa tietosuojaan liittyvässä lainsäädännössä, mukaan lukien EU:n yleisessä tietosuoja-asetuksessa (General Data Protection Regulation, GDPR) 25.5.2018 alkaen.

Asiakas toimii Rekisterinpitäjänä Aacon Oy:n palveluihin tallettamiensa tietojen osalta. Aacon Oy toimii tietyissä rajatuissa tapauksissa Käsittelijänä ja noudattaa toiminnassaan omaa tietosuojaohjeistustaan.

 

Sopimusliitteen sisältö

Tämä sopimusliite sääntelee Käsittelijän Rekisterinpitäjän puolesta tekemää henkilötietojen käsittelyä ja määrittelee sen, miten Käsittelijä osaltaan varmistaa yksityisyyden Rekisterinpitäjän ja sen Rekisteröityjen puolesta teknisillä ja organisatorisilla toimenpiteillä. Osapuolten tarkoituksena ei ole tässä liitteessä siirtää mitään Rekisterinpitäjän lakisääteisiä velvollisuuksia Käsittelijälle.

Käsittelijän Rekisterinpitäjän puolesta tekemän henkilötietojen käsittelyn tarkoitus on palvelusopimuksen ja tämän liitteen noudattaminen.

Ristiriitatilanteissa tämä liite on ensisijainen palvelusopimukseen tai osapuolten keskenään solmimiin muihin sopimuksiin nähden. Tämä liite on voimassa niin kauan kuin yksikin henkilötietojen käsittelyä sisältävä osapuolten välinen palvelusopimus on voimassa.

 

Käsittelijän velvollisuudet

Käsittelijä käsittelee henkilötietoja vain Rekisterinpitäjän puolesta ja Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti. Hyväksyessään tämän liitteen Rekisterinpitäjä ohjeistaa Käsittelijän käsittelemään henkilötietoja seuraavalla tavalla:

  1. vain sovellettavien lakien mukaisesti
  2. palvelusopimuksesta johtuvien velvollisuuksien noudattamiseksi
  3. vain Rekisterinpitäjän erikseen pyytäessä, tukipalvelun suorittamisessa tarvittavien tietojen saamiseksi
  4. Käsittelijä ei tukipalvelua suorittaessaan lisää, muuta tai poista palveluun tallennettuja henkilötietoja
  5. tässä liitteessä määritellyllä tavalla

Käsittelijä ilmoittaa Rekisterinpitäjälle saadessaan tiedon sellaisista ohjeista tai muusta Rekisterinpitäjän käsittelytoimenpiteistä, jotka Käsittelijän mielestä rikkovat sovellettavaa tietosuojasääntelyä.

Tämän liitteen mukaisesti käsiteltävät rekisteröityjen henkilöiden ryhmät ja käsiteltävien henkilötietojen tyypit on lueteltu kohdassa A.

Käsittelijä auttaa Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, ottaen mahdollisuuksien mukaan huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot, täyttämään Rekisterinpitäjän velvollisuuden vastata Rekisteröityjen GDPR:n jakson 3 mukaisiin pyyntöihin ja varmistaakseen yksityisyyden suojan GDPR:n 32-36 artiklojen edellyttämällä tavalla.

Jos Rekisterinpitäjä pyytää tietoja tai avustusta tietoturvaan liittyvistä toimenpiteistä, dokumentaatiosta tai muista Käsittelijän henkilötietojen käsittelyyn liittyvistä tiedoista, ja pyyntöjen sisältö poikkeaa Käsittelijän sovellettavan tietosuojasääntelyn vaatimusten mukaan esittämistä vakiotiedoista tai avustuksesta ja tästä aiheutuu ylimääräistä työtä Käsittelijälle, Käsittelijä voi veloittaa Rekisterinpitäjää tällaisista ylimääräisistä palveluista.

Käsittelijä varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

Käsittelijä ilmoittaa ilman aiheetonta viivytystä tietoturvaloukkauksista Rekisterinpitäjälle, jotta Rekisterinpitäjä voi täyttää lakisääteisen tietoturvaloukkauksiin liittyvän ilmoitusvelvollisuutensa tietosuojaviranomaisille ja Rekisteröidyille. Lisäksi Käsittelijä ilmoittaa Rekisterinpitäjälle seuraavista asioista siinä määrin kuin se on asianmukaista ja laillista;

  1. Rekisteröidyn esittämät pyynnöt saada pääsy henkilötietoihin,
  2. viranomaisten, kuten esimerkiksi poliisin, esittämät pyynnöt saada pääsy henkilötietoihin

Käsittelijä ei vastaa suoraan Rekisteröityjen pyyntöihin, ellei Rekisterinpitäjä ole valtuuttanut Käsittelijää toimimaan tällä tavalla. Käsittelijä ei anna pääsyä tämän liitteen perusteella käsiteltäviin henkilötietoihin viranomaisille, kuten esimerkiksi poliisille, muutoin kuin lain nojalla, esimerkiksi tuomioistuimen päätöksellä tai muulla vastaavalla määräyksellä.

Käsittelijä ei hallinnoi eikä vastaa siitä, miten Rekisterinpitäjä käyttää Käsittelijän tarjoamaa API-rajapintaa tai vastaavaa kolmannen osapuolen ohjelmistojen integroimiseksi käsittelijän tarjoamaan palveluun. Rekisterinpitäjä on täysin vastuussa näistä integraatioista.

 

Rekisterinpitäjän velvollisuudet

Rekisterinpitäjä vahvistaa seuraavat kohdat hyväksyessään tämän liitteen:

  • Tämä liite täyttää Rekisterinpitäjän sijoittautumismaan tietosuojalakien asettamat Rekisterinpitäjän kirjallista henkilötietojen käsittelysopimusta koskevat vaatimukset.
  • Rekisterinpitäjä käsittelee henkilötietoja sovellettavan tietosuojasääntelyn mukaisesti käyttäessään Käsittelijän tarjoamia palveluja palvelusopimuksen mukaisesti.
  • Rekisterinpitäjällä on lakisääteinen oikeus käsitellä ja siirtää kyseeseen tulevat henkilötiedot Käsittelijälle (myös Käsittelijän käyttämät alihankkijat).
  • Rekisterinpitäjä on yksinomaan vastuussa Käsittelijälle luovutettujen henkilötietojen paikkansapitävyydestä, eheydestä, sisällöstä, luotettavuudesta ja laillisuudesta.
  • Rekisterinpitäjä on täyttänyt kaikki pakolliset viranomaisille henkilötietojen käsittelyyn liittyen tehtävät ilmoitukset ja lupien hankintaa koskevat velvollisuudet ja vaatimukset.
  • Rekisterinpitäjä on täyttänyt velvollisuutensa tarjota oleellisia Rekisteröityjen henkilötietojen käsittelyyn liittyviä tietoja Rekisteröidyille sovellettavan pakollisen tietosuojasääntelyn mukaisesti.
  • Rekisterinpitäjä on hyväksynyt, että Käsittelijän tässä liitteessä esittämät Rekisteröidyn yksityisyyden suojan ja henkilötietojen riittävän suojaamisen edellyttämät tekniset ja organisatoriset turvatoimet ovat riittävät.
  • Rekisterinpitäjä käyttää Käsittelijän tarjoamia palveluja palvelusopimuksen mukaisesti ja ei välitä Käsittelijälle arkaluonteisia henkilötietoja kuin ainoastaan tämän liitteen kohdassa A yksiselitteisesti määritetyissä tapauksissa.
  • Rekisterinpitäjä ylläpitää ajantasaista rekisteriä sellaisista käsittelemiensä henkilötietojen tyypeistä ja ryhmistä, joiden käsittely poikkeaa tämän liitteen kohdan A mukaisista henkilötietojen tyypeistä ja ryhmistä.

 

Alihankkijoiden käyttö ja palveluiden siirtäminen

Käsittelijällä on oikeus siirtää palvelun toteuttamista varten henkilötietoja Euroopan unionin ja Euroopan talousalueen sisällä.

Käsittelijä voi käyttää alihankkijoita palvelusopimuksen ja tämän liitteen mukaiseen palvelujen tarjoamiseen Rekisterinpitäjälle. Käsittelijä varmistaa, että alihankkijat sitoutuvat noudattamaan tämän liitteen mukaisia velvollisuuksia vastaavia velvoitteita. Tämän liitteen kohdassa B on listattu Käsittelijän nykyiset alihankkijat, joilla on pääsy henkilötietoihin.

Käsittelijällä on oikeus vaihtaa alihankkijoita palvelusopimuksen voimassaoloaikana. Käsittelijä ilmoittaa Rekisterinpitäjälle ennakkoon kaikista henkilötietoja käsittelevien alihankkijoiden muutoksista. Rekisterinpitäjällä on oikeus vastustaa tällaisia muutoksia perustellusta syystä. Rekisterinpitäjän on ilmoitettava vastustamisesta ilman aiheetonta viivytystä sen jälkeen, kun se sai Käsittelijältä tiedon asiasta. Jos Rekisterinpitäjä ei hyväksy alihankkijan vaihtamista tai lisäämistä, Käsittelijällä on oikeus irtisanoa palvelusopimus 30 päivän irtisanomisajalla.

Hyväksyessään tämän liitteen Rekisterinpitäjä hyväksyy Käsittelijän alihankkijoiden käytön yllä kuvatulla tavalla.

 

Turvallisuus

Käsittelijä sitoutuu tarjoamaan turvallisuutensa puolesta korkeatasoisia tuotteita ja palveluja. Käsittelijä varmistaa asianmukaisen turvallisuuden organisatoristen, teknisten ja fyysisten turvatoimien avulla, jotka vastaavat GDPR:n artiklan 32 mukaisia tietoturvatoimia ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa käsittelyyn liittyviin riskeihin ja suojattavien henkilötietojen luonteeseen tässä liitteessä täsmennetyllä tavalla. Rekisterinpitäjä vastaa vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asianmukaisesta ja riittävästä tietoturvallisuudesta.

 

Tarkastusoikeudet

Rekisterinpitäjä voi tarkastaa Käsittelijän tämän liitteen noudattamisen enintään kerran vuodessa. Rekisterinpitäjä voi pyytää tarkastusten suorittamista useammin, mikäli Rekisterinpitäjään sovellettava lainsäädäntö edellyttää tätä. Tarkastusta pyytäessään Rekisterinpitäjän on esitettävä Käsittelijälle yksityiskohtainen tarkastussuunnitelma, josta ilmenee tarkastuksen suunniteltu laajuus, kesto ja alkamispäivä, vähintään 4 viikkoa ennen tarkastuksen suunniteltua alkamisajankohtaa. Jos kolmas osapuoli suorittaa tarkastuksen, molempien osapuolten on sovittava tästä yhteisesti. Jos tietojen käsittely tapahtuu ympäristössä, jota käyttävät Käsittelijän muut asiakkaat tai muut kolmannet osapuolet, Käsittelijä voi vaatia, että, että turvallisuussyistä tarkastuksen suorittaa Käsittelijän valitsema neutraali kolmas osapuoli.

Rekisterinpitäjä vastaa kaikista pyytämiensä tarkastusten kustannuksista.

 

Voimassaoloaika

Tämä liite on voimassa niin kauan kuin Käsittelijä käsittelee henkilötietoja Rekisterinpitäjän puolesta palvelusopimuksen mukaisesti. Tämän liitteen voimassaolo päättyy automaattisesti palvelusopimuksen päätyttyä. Tämän liitteen voimassaolon päättyessä Käsittelijä poistaa Rekisterinpitäjän puolesta käsittelemänsä henkilötiedot palvelusopimuksen soveltuvien ehtojen mukaisesti.

Käsittelijä voi säilyttää henkilötiedot palvelusopimuksen päättymisen jälkeen siinä määrin kuin laki edellyttää, ja noudattamalla tässä liitteessä määriteltyjä vastaavia teknisiä ja organisatorisia turvallisuustoimenpiteitä.

 

A – Rekisteröityjen henkilöiden ryhmät ja käsiteltävien henkilötietojen tyypit

Tämän liitteen mukaisesti käsiteltävät Rekisteröityjen henkilöiden ryhmät ja käsiteltävien henkilötietojen tyypit

a. Rekisteröityjen henkilöiden ryhmät

  1. asiakkaan henkilökunnan käyttäjät
  2. asiakkaan alihankkijoiden käyttäjät

b. Käsiteltävien henkilötietojen tyypit

  1. henkilön täydellinen nimi
  2. fyysinen osoite
  3. yhteystiedot
  4. syntymäaika
  5. lokitiedot ja IP osoitteet

 

B – Nykyisten alihankkijoiden tiedot

Aacon Oy:n nykyiset alihankkijat, jotka osallistuvat palveluiden tuottamiseen ja näin käsittelevät Rekisterinpitäjän palveluun tallentamia henkilötietoja tämän liitteen hyväksymisen jälkeen, ovat listattuna alla.

Nimi: Valtti Kumppanit Oy (Ent. Datacenter Finland Oy)
Alihankkijan rooli: Palvelinsalin toimittaja

Nimi: Lemonsoft Oy
Alihankkijan rooli: Tukipalveluiden toimittaja





Julkaistu 5/2018. Päivitetty 5/2020 alihankkijoiden tiedot. Päivitetty 10/2020 alihankkijan nimenmuutos.

Yhteyshenkilönne sopimusasioissa:

Henna Hannola

Henna Hannola

Operatiivinen johtaja

040 550 9264
henna.hannola@aacon.fi

Kellokortti.fi on nykyaikainen pilvipalvelu, jossa työajanseuranta voidaan tehdä leimauslaitteilla, tietokoneella tai matkapuhelimella. Tarjoamme myös innovatiiviset ratkaisut matkalaskuihin ja lomasuunnitteluun!

Tutustu palveluun

2020 © Kaikki oikeudet pidätetään Kellokortti.fi

Ota yhteyttä

ETSI