Tietosuojaliite

1. Tausta ja tarkoitus

Toimittajan (Lymed Oy) ja sen kanssa sopimuksen solmineen Asiakkaan väliseen sopimussuhteeseen sovelletaan tätä Tietosuojaliitettä, kun Toimittaja (Lymed Oy) käsittelee käsittelijänä henkilötietoja rekisterinpitäjänä toimivan Asiakkaan lukuun.

Tämän Tietosuojaliitteen tarkoituksena on ottaa huomioon Tietosuoja-asetuksen asettamat vastuut ja velvoitteet.

Asiakas on Käyttöehdoissa sovitun Palvelun yhteydessä Käsiteltävien Asiakkaan Henkilötietojen rekisterinpitäjä, joka määrittelee Henkilötietojen Käsittelyn tarkoitukset ja keinot. Toimittaja on Henkilötietojen käsittelijä, joka Käsittelee kyseisiä Henkilötietoja Asiakkaan lukuun ja toimeksiannosta tässä Tietosuojaliitteessä sovitulla tavalla. Osapuolet sopivat tässä Tietosuojaliitteessä rekisteröityjen ryhmistä, Toimittajan toteuttamista käsittelytoimista, tietoturvamenettelyistä ja siitä, mihin tarkoitukseen Toimittaja Käsittelee Asiakkaan Henkilötietoja.

2. Määritelmät

”Henkilötieto” tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella;

”Käyttöehdot” tarkoittavat sopimusta, jonka liitteenä tämä Tietosuojaliite on.
”Käsittely” tarkoittaa toimintoa tai toimintoja, joita kohdistetaan Henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;
”Palvelu” tarkoittaa Käyttöehdoissa määriteltyä palvelua, jonka Toimittaja tarjoaa Asiakkaalle.
”Sopimus” tarkoittaa Palvelun Käyttöehdoissa määriteltyä sopimussuhdetta Asiakkaan ja Toimittajan välillä.
”Tietosuojaliite” tarkoittaa tätä Henkilötietojen käsittelyn määrittelevää käyttöehtoliitettä;
”Tietosuoja-asetus” tarkoittaa Euroopan unionin yleistä tietosuoja-asetusta 2016/679, jonka soveltaminen alkaa 25.5.2018;
”Tietosuojalainsäädäntö” tarkoittaa voimassa olevaa henkilötietolakia (523/1999) 25.5.2018 saakka ja Tietosuoja-asetusta 25.5.2018 alkaen;
”Tietoturvaloukkaus” tarkoittaa tapahtumaa, jonka seurauksena on Käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin.

3. Asiakkaan velvollisuudet

Asiakas Käsittelee Henkilötietoja Tietosuojalainsäädännön mukaisesti. Asiakas vastaa Toimittajalle toimitetuista Henkilötiedoista ja niiden Käsittelyn lainmukaisuudesta koko Sopimuksen voimassaolon ajan. Asiakas vastaa siitä, että kaikille rekisteröidyille, joiden Henkilötietoja käsitellään, on toimitettu tarvittavat, lainmukaiset ilmoitukset ja tiedot Henkilötietojen Käsittelyyn liittyen. Toimittaja ei seuraa toimitettujen Henkilötietojen sisältöä, laatua tai ajantasaisuutta.

Asiakas vastaa siitä, että Henkilötietojen Käsittely ja sen tarkoitus sekä perusteet ovat Tietosuojalainsäädännön mukaisia. Asiakas vastaa lisäksi siitä, että Henkilötiedot on kerätty Tietosuojalainsäädännön mukaisesti ja että Asiakkaalla on oikeus siirtää Henkilötiedot Toimittajan Käsiteltäväksi tämän Tietosuojaliitteen mukaisesti.

Osapuolten tarkoituksena ei ole tällä Tietosuojaliitteellä siirtää mitään rekisterinpitäjän lakisääteisiä velvollisuuksia Toimittajalle, joka toimii henkilötietojen käsittelijänä.

4. Toimittajan velvollisuudet

Toimittaja Käsittelee Henkilötietoja Tietosuojalainsäädännön ja mahdollisten muiden Asiakkaan antamien kirjallisten ohjeiden mukaisesti, ellei Toimittajaan sovellettavassa laissa toisin vaadita. Tällöin Toimittaja tiedottaa Asiakkaalle kyseisestä oikeudellisesta vaatimuksesta ennen käsittelyä, ellei tiedottaminen ole lain mukaan kiellettyä. Selvyyden vuoksi todetaan, että Asiakkaan katsotaan aina ohjeistaneen Toimittajaa toimittamaan Sopimuksen mukaiset Henkilötietojen Käsittelyyn liittyvät palvelut.

Ottaen huomioon käsittelytoimien luonne, Toimittaja auttaa Asiakasta valitsemillaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat seuraavia, Tietosuoja-asetuksen luvussa 3 säädettyjen rekisteröidyn luonnollisen henkilön oikeuksien käyttämistä (edellyttäen, että rekisteröidyllä on kyseinen oikeus Tietosuoja-asetuksen mukaan):

a. oikeus saada pääsy Henkilötietoihin;
b. oikeus Henkilötietojen oikaisemiseen ja poistamiseen;
c. oikeus Käsittelyn rajoittamiseen;
d. oikeus siirtää Henkilötiedot järjestelmästä toiseen; ja
e. oikeus vastustaa Henkilötietojen Käsittelyä.

Osapuoli ilmoittaa rekisteröidyn oikeuksien käyttämistä koskevasta pyynnöstä toiselle Osapuolelle välittömästi ja viimeistään seuraavana arkipäivänä (ma-pe) pyynnön vastaanottamisesta, jos pyynnön toteuttaminen edellyttää toimenpiteitä toiselta Osapuolelta. Osapuolen on ilmoituksen yhteydessä annettava kaikki tiedot, jotka ovat tarpeen pyynnön toteuttamiseksi. Toimittajalla on oikeus veloittaa Asiakasta kaikista rekisteröidyn oikeuksien toteuttamista koskevista toimenpiteistä tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti. Ottaen huomioon käsittelytoimien luonne, Toimittaja on velvollinen toteuttamaan valitsemallaan tavalla kohdissa 5 c–d määritellyt rekisteröidyn oikeuksien toteuttamiseen liittyvät toiminnallisuudet osana Sopimuksen mukaista palvelua vasta 25.5.2018 alkaen.

Ottaen huomioon käsittelytoimien luonne ja Toimittajan saatavilla olevat tiedot, Toimittaja avustaa Asiakasta seuraavien, Tietosuoja-asetuksen 32–36 artikloissa säädettyjen, velvollisuuksien noudattamisessa:

a. Henkilötietojen Käsittelyn turvallisuuden toteuttaminen asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä;
b. Tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle ja rekisteröidyille;
c. osallistuminen tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin tekemiseen, jos vaikutustenarviointi on Tietosuoja-asetuksen 35 artiklan mukaan tarpeen; ja
d. osallistuminen tarvittaessa valvontaviranomaisen ennakkokuulemiseen, jos ennakkokuuleminen on Tietosuoja-asetuksen 36 artiklan mukaan tarpeen.

Toimittaja on velvollinen avustamaan Asiakasta vain Tietosuojalainsäädännön Henkilötietojen käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Toimittajalla on oikeus veloittaa Asiakasta edellä mainituista toimenpiteistä tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.

Toimittaja hyväksyttää toimenpiteet ja niihin liittyvät veloitukset etukäteen kirjallisesti Asiakkaalla.

5. Henkilötietojen käsittelyn tarkoitus

Asiakas siirtää Toimittajalle ja Toimittajan järjestelmiin vain sellaista tietoa, jota sillä on oikeus käsitellä kulloinkin soveltuvan tietosuojalainsäädännön mukaan. Toimittaja Käsittelee Henkilötietoja ainoastaan omien palvelujen tarjoamiseksi ja tilausten täyttämiseksi.
Toimittaja suorittaa seuraavia Henkilötietojen käsittelytoimia: kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, haku, kysely, saataville asettaminen, yhteensovittaminen tai yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen, varmuuskopioiminen.

Toimittaja käsittelee Asiakkaan lukuun henkilötietoja vain Palvelun käyttöehtojen ja tämän Tietosuojaliitteen mukaisesti, ellei kulloinkin sovellettavassa lainsäädännössä toisin vaadita. Jos Toimittaja huomaa, että kirjallinen ohjeistus on lainvastainen, Toimittaja tiedottaa Asiakasta tästä lainsäädännön vaatimuksesta ennen käsittelyä. Toimittaja ei kuitenkaan tiedota asiasta, jos ilmoittaminen on kielletty kyseisessä lainsäädännössä yleistä etua koskevien tärkeiden syiden vuoksi.

Soveltuvan tietosuojalainsäädännön niin vaatiessa, Toimittaja pitää käsittelijänä selostetta käsittelytoimista valvontaviranomaista varten.

6. Käsiteltävät rekisteröityjen ryhmät ja henkilötietotyypit

Toimittaja Käsittelee Palveluun talletettuja Asiakkaan toimintaan liittyviä Henkilötietoja. Käsiteltävät Henkilötiedot sisältävät rekisteröityjen henkilökohtaisia tietoja, kuten esimerkiksi nimi, yhteystiedot, syntymäaika.

Käsiteltävät tiedot voivat sisältää henkilötunnuksia tai tietosuoja-asetuksessa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvaa tietoa.

7. Tietoturva

Osapuolet sitoutuvat sopimaan ja implementoimaan alalla yleisesti käytetyt tekniset ja organisatoriset toimenpiteet Henkilötietojen suojaamiseksi. Osapuolten sopiessa kyseisten toimenpiteiden toteuttamisesta on suunnittelussa ja toteutuksessa otettava huomioon uusin tekniikka ja toteuttamiskustannukset, Käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä Käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille. Osapuolten on arvioidessaan asianmukaista turvallisuustasoa otettava huomioon myös Käsittelyn sisältämät riskit, erityisesti Henkilötietojen luvaton ja lainvastainen Käsittely ja vahingossa tapahtuva Henkilötietojen häviäminen, tuhoutuminen tai vahingoittuminen.

Tällaisia toimenpiteitä ovat esimerkiksi:

a. henkilötietojen pseudonymisointi ja salaus;
b. kyky taata palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c. kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; ja
d. menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Edellä mainitut toimenpiteet ovat esimerkkejä siitä, miten Osapuolet voivat varmistaa Henkilötietojen Käsittelyn turvallisuuden. Osapuolet sopivat tässä Tietosuojaliitteessä niistä toimenpiteistä ja muista tieto-turvamenettelyistä, jotka Toimittaja toteuttaa Henkilötietojen Käsittelyn osalta. Toimittaja vastaa käyttöympäristöönsä tallennettujen Henkilötietojen varmuuskopioinnista ja varmuuskopioiden toimivuuden tarkastamisesta.

Toimittaja varmistaa, että henkilöt, jotka Käsittelevät Henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai että heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. Toimittaja toteuttaa tarvittavat toimenpiteet sen varmistamiseksi, että kyseiset henkilöt Käsittelevät Henkilötietoja ainoastaan tässä Tietosuojaliitteessä määritellyssä tarkoituksessa.

Toimittaja noudattaa omia kulloinkin voimassaolevia sisäisiä tietoturvaohjeitaan Henkilötietojen Käsittelyssä. Turvallisuussyistä johtuen Toimittajan tietoturvaohjeistus on salainen ja Toimittaja esittelee ohjeistuksen sisältöä Asiakkaalle erikseen pyydettäessä.

8. Henkilötietojen siirtäminen

Toimittajalla on oikeus siirtää Palvelun toteuttamista varten Henkilötietoja Euroopan unionin, Euroopan talousalueen tai muiden maiden alueelle, joiden Euroopan Komissio on todennut takaavan riittävän tietosuojan tason. Toimittajalla on oikeus palvelun toteuttamista varten siirtää Henkilötietoja EU/ETA-alueen ulkopuolelle Tietosuojalainsäädännön nimenomaisten siirtoperusteiden mukaisesti.

9. Alihankkijat

Toimittajalla on oikeus käyttää alihankkijoita Palvelun toteuttamisessa ja siihen liittyvässä Henkilötietojen Käsittelyssä. Toimittaja ilmoittaa käyttämänsä alihankkijat Asiakkaalle pyydettäessä. Toimittaja vastaa siitä, että alihankkija Käsittelee Henkilötietoja tämän liitteen ja Tietosuojalainsäädännön mukaisesti.

10. Tietoturvaloukkaukset

Osapuoli ilmoittaa toiselle Osapuolelle ilman aiheetonta viivytystä sen tietoon tulleesta Tietoturvaloukkauksesta. Asiakkaan on Tietoturvaloukkauksen ilmoittamisen yhteydessä toimitettava Toimittajalle kaikki se tieto, jonka voidaan katsoa auttavan Tietoturvaloukkauksen selvittämisessä, rajaamisessa tai estämisessä. Toimittaja tekee ilmoituksen asiakkaan tilaustiedoissa määritellylle yhteyshenkilölle. Asiakas ilmoittaa Tietoturvaloukkauksesta ottamalla yhteyttä Toimittajaan. Toimittajan on Tietoturvaloukkauksen ilmoittamisen yhteydessä mahdollisuuksien mukaan toimitettava Asiakkaalle:

a. kuvaus Tietoturvaloukkauksesta, sisältäen mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät (siltä osin kuin kyseiset tiedot ovat Toimittajan saatavilla;
b. Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätietoja;
c. kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista; ja
d. kuvaus toimenpiteistä, jotka Toimittaja on toteuttanut Tietoturvaloukkauksen johdosta ja mahdolliset toimenpiteet, jotka Toimittaja on tehnyt Tietoturvaloukkauksen haittavaikutusten lieventämiseksi.

Jos Tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta syystä, Asiakas vastaa Toimittajalle Tietoturvaloukkauksesta ja niitä koskevista ilmoituksista aiheutuvista kustannuksista. Toimittajalla on oikeus laskuttaa Asiakasta aiheettomiksi todetuista Asiakkaan pyynnöstä käynnistetyistä selvitystöistä muodostuvista kustannuksista kulloinkin voimassa olevan Toimittajan hinnaston mukaisesti.

Asiakas vastaa Tietoturvaloukkausten ilmoittamisesta valvontaviranomaiselle ja rekisteröidylle Tietosuoja-asetuksen mukaisesti.

11. Tarkasteluoikeus

Asiakkaalla tai Asiakkaan nimeämällä riippumattomalla asiantuntijalla, joka ei voi olla Toimittajan kilpailija, on oikeus tarkastaa tämän Tietosuojaliitteen voimassaoloaikana, että Toimittaja noudattaa tässä Tietosuojaliitteessä Toimittajalle osoitettuja velvoitteita. Tarkastuksen kohteena on Asiakkaan Henkilötietojen Käsittelyyn liittyvä Toimittajan tarpeellinen aineisto sekä Henkilötietojen Käsittelyssä käytettävät Toimittajan järjestelmät ja toimitilat. Tarkastus voidaan suorittaa enintään kerran vuodessa ja siitä on ilmoitettava Toimittajalle kirjallisesti vähintään 30 päivää etukäteen. Toimittajan on edellä esitetystä huolimatta aina sallittava Asiakkaan toimintaa valvovan viranomaisen suorittamat Henkilötietojen käsittelijän toimintojen tarkastukset. Viranomaisten suorittamiin tarkastuksiin sovelletaan tätä Tietosuojaliitettä soveltuvin osin.

Toimittaja osallistuu tarkastuksen toteuttamiseen ja antaa tarkastajalle ne tiedot, jotka ovat tarpeen osoittamaan, että Toimittaja noudattaa tässä Tietosuojaliitteessä sille määriteltyjä velvollisuuksia. Tarkastuksesta ei saa aiheutua haittaa Toimittajan palvelutuotannolle, eikä tarkastajalla ole oikeutta saada pääsyä Toimittajan asiakkaiden tai yhteistyökumppaneiden tietoihin. Jos tarkastuksen suorittaja on muu kuin Asiakas, tarkastaja ja Toimittaja tekevät salassapitosopimuksen ennen tarkastuksen toteuttamista.
Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkastuksista aiheutuneet kustannukset. Mikäli tarkastukset paljastavat merkittäviä puutteita Toimittajan toiminnoissa, Toimittaja vastaa tarkastuksista aiheutuvista omista kustannuksistaan.

12. Henkilötietojen käsittelystä aiheutuneet vahingot

Jos rekisteröidylle aiheutuu vahinkoa Tietosuoja-asetuksen rikkomisesta, kumpikin Osapuoli vastaa itse rekisteröidylle aiheutuneesta vahingosta Tietosuoja-asetuksen 82 artiklan mukaisesti. Kumpikin Osapuoli vastaa itse myös valvontaviranomaisen sille mahdollisesti määräämistä Tietosuoja-asetuksen 83 artiklan mukaisista hallinnollisista sakoista.

Tähän Tietosuojaliitteeseen sovelletaan Palvelun käyttöehtojen vastuunrajoitusehtoa.

13. Henkilötietojen käsittelyn päättyminen

Toimittaja poistaa Henkilötiedot, kun Sopimus päättyy ja Henkilötietojen Käsittelyyn liittyvän palvelun tarjoaminen lakkaa tai kun tämän Tietosuojaliitteen velvoitteet päättyvät. Lisäksi Toimittaja poistaa kaikki olemassa olevat jäljennökset Henkilötiedoista Sopimuksen tai tämän Tietosuojaliitteen velvoitteiden päättyessä, ellei Toimittajan ole lain tai viranomaismääräyksen mukaan säilytettävä kyseisiä Henkilötietoja.