Tietosuojasopimus
Voimassa 1. toukokuuta 2024 alkaen.
Tämä tietosuojasopimus (tietosuojasopimus) täydentää Visioston asiakassopimusta (sopimus). Jollei tietosuojasopimuksessa tai sopimuksessa ole määritelty toisin, kaikilla tietosuojasopimuksessa käytetyillä termeillä on sama määritelmä kuin sopimuksessa on annettu.
1. Soveltamisala ja voimassaolo
1.1. Käsittelytoiminta.
(a) Asiakkaan henkilötiedot. Visiosto käsittelee asiakkaan henkilötietoja henkilötietojen käsittelijänä asiakkaan dokumentoitujen ohjeiden mukaisesti kohdassa 2.1 kuvatulla tavalla.
(b) Asiakastilin tiedot. Visiosto käsittelee asiakastilin tietoa rekisterinpitäjänä (i) tarjotakseen ja parantaakseen palveluita, (ii) asiakassuhteen hallintaan, mukaan lukien yhteydenpitoon asiakkaan kanssa, asiakkaan kyselyihin vastaamiseen ja tuen tarjoamiseen, (iii) palveluiden turvallisuuden varmistamiseksi, petosten estämiseksi, suorituskyvyn seuraamiseksi, liiketoiminnan jatkuvuuden varmistamiseksi ja häiriötilanteista palautumisen helpottamiseksi ja (iv) liiketoimintaan, kuten laskutukseen, kirjanpitoon ja verotukseen.
(c) Käyttötiedot. Visiosto käsittelee käyttötietoja rekisterinpitäjänä (i) tarjotakseen, parantaakseen, suojatakseen ja ylläpitääkseen palveluita, (ii) parantaakseen palveluiden käyttökokemusta, (iii) kehittääkseen liiketoimintaansa, (iv) valvoakseen asiakkaan palvelun käyttöä palvelun ehtojen mukaisesti ja (v) liiketoimintaan, kuten laskutukseen, kirjanpitoon ja verotukseen.
(d) Seloste käsittelytoiminnasta. Seloste Visioston suorittamasta käsittelytoiminnasta on annettu tietosuojasopimuksen liitteessä 1.
1.2. Voimassaolo. Tietosuojasopimuksen voimassaolo alkaa, sopimuksen voimassaolo alkaa, ja sen voimassaolo päättyy, kun Visiosto lopettaa kaiken asiakkaan henkilötietojen ja asiakastilin tietojen käsittelyn ja sopimus ei ole enää voimassa.
2. Henkilötietojen käsittely
2.1. Asiakkaan dokumentoidut ohjeet. Visiosto käsittelee asiakkaan henkilötietoja asiakkaan dokumentoitujen ohjeiden mukaisesti. Tilaus, sopimus kokonaisuudessaan ja palvelun ehdot muodostavat asiakkaan täydelliset ja ainoat dokumentoidut ohjeet henkilötietojen käsittelyyn.
2.2. Salassapito. Sopimuksessa määriteltyjä poikkeuksia lukuun ottamatta Visiosto käsittelee asiakkaan henkilötietoja sopimuksen mukaisina luottamuksellisina tietoina.
3. Tietoturva
3.1. Tietoturvatoimenpiteet. Visiosto toteuttaa ja ylläpitää teknisiä ja organisatorisia toimenpiteitä asiakkaan tietojen suojaamiseksi luvattomalta pääsyltä, tuhoamiselta, käytöltä, muokkaamiselta ja luovuttamiselta sekä henkilötietojen tietoturvaloukkauksilta. Asiakas on velvollinen käyttämään palveluita palveluiden ehtojen mukaisesti ja Visioston antamien ohjeiden mukaan tietoturvan varmistamiseksi. Visioston tämänhetkiset tekniset ja organisatoriset toimenpiteet on kuvattu täällä. Asiakas hyväksyy, että nämä toimenpiteet ovat teknisen kehityksen kohteena ja että Visiosto voi ajoittain muuttaa ja päivittää toimenpiteitä niin, ettei se olennaisesti heikennä palveluiden tietoturvaa tilausjakson aikana.
3.2. Tietoturvaloukkaukset. Jos Visiosto saa tietää tietoturvaloukkauksesta, sen on ilmoitettava asiakkaalle siitä ilman aiheetonta viivettä ja viimeistään 72 tunnin sisällä tiedon saamisesta. Visioston on pyrittävä tunnistamaan ja korjaamaan tietoturvaloukkauksen syy ja lieventämään sen vaikutuksia siten kuin Visioston on mahdollista siihen vaikuttaa. Asiakkaan pyynnöstä ja siten kuin on käsittelyn luonteen vuoksi ja Visiostolla olevien tietojen nojalla mahdollista, Visioston on avustettava asiakasta toimittamalla asiakkaan tarvitsemia tietoja, jotta asiakas voi täyttää tietosuojavaatimusten mukaiset velvollisuutensa tietoturvaloukkauksista ilmoittamisesta. Visiosto ilmoitus tietoturvaloukkauksesta ei ole tunnustus Visioston virheestä, syyllisyydestä tai vastuusta.
4. Alikäsittelijät
4.1. Yleinen lupa. Hyväksymällä sopimuksen ja samalla tietosuojasopimuksen asiakas antaa Visiostolle yleisen luvan käyttää toisten henkilötietojen käsittelijöiden (alikäsittelijöiden) palveluita asiakkaan henkilötietojen käsittelyyn. Visioston on sopimuksella varmistettava, että alikäsittelijä suojaa henkilötietoja tietosuojavaatimuksia noudattaen ja vähintään tietosuojasopimuksen tasolla. Visiosto on vastuussa asiakkaalle, jos alikäsittelijä ei täytä sille asetettuja velvoitteitaan henkilötietojen käsittelyn osalta.
4.2. Uudet alikäsittelijät. Visiosto ylläpitää ajantasaista listaa sen käyttämistä alikäsittelijöistä täällä. Visiosto toimittaa asiakkaalle ilmoituksen vähintään 30 päivää ennen kuin se antaa uuden alikäsittelijän käsitellä asiakkaan henkilötietoja (uuden alikäsittelijän ilmoitusaika).
4.3. Uusien alikäsittelijöiden vastustaminen. Asiakas voi vastustaa uuden alikäsittelijän käyttöönottoa uuden alikäsittelijän ilmoitusajan sisällä. Tällöin asiakas voi irtisanoa soveltuvat tilaukset ja palvelut sopimuksen kohdan 11.2 mukaisesti.
5. Rekisteröityjen oikeudet ja tietopyynnöt
5.1. Rekisteröityjen oikeudet. Käsittelyn luonne huomioon ottaen Visioston on tarjottava asiakkaalle apua, jotta asiakas voi asiakkaan henkilötietojen osalta vastata pyyntöihin koskien rekisteröityjen oikeuksien käyttämistä, mukaan lukien oikeus saada tutustua tietoihin, oikeus oikaista tietoja, oikeus poistaa tietoja, oikeus rajoittaa tietojen käsittelyä, oikeus siirtää tiedot järjestelmästä toiseen ja oikeus vastustaa henkilötietojen käsittelyä.
5.2. Yhteistyö. Asiakkaan pyynnöstä ja ottaen huomioon käsittelyn luonteen Visiosto avustaa asiakasta tietosuojavaatimusten täyttämisessä edellyttäen, että asiakas ei voi kohtuullisesti täyttää näitä tietosuojavaatimuksia itsenäisesti Visioston tarjoamien tietojen ja ohjeiden avulla.
5.3. Kolmannen osapuolen pyynnöt. Jollei laki tai viranomaismääräys estä, Visiosto ilmoittaa asiakkaalle viipymättä kaikista viranomaisen antamista määräyksistä, jotka pakottavat Visioston luovuttamaan asiakkaan henkilötietoja. Jos Visiosto vastaanottaa muulta kolmannelta osapuolelta tietopyynnön asiakkaan henkilötietojen käsittelystä, Visiosto ohjaa pyynnön suoraan asiakkaalle eikä luovuta tietoja, jollei laki tai viranomaismääräys niin vaadi.
6. Asiakkaan henkilötietojen poistaminen ja palauttaminen
6.1. Tilausjakson aikana. Tilausjakson aikana asiakas ja käyttäjät voivat palveluiden ominaisuuksien avulla tutustua asiakkaan henkilötietoihin ja korjata, ladata ja poistaa asiakkaan henkilötietoja. Jos tämä ei onnistu palveluiden ominaisuuksien avulla, Visiosto tarjoaa apua asiakkaalle tähän.
6.2. Irtisanomisen jälkeen. Sopimuksen päättymisen tai irtisanomisen jälkeen Visiosto poistaa asiakkaan henkilötiedot 90 päivän kuluessa. Visiosto voi kuitenkin säilyttää asiakkaan henkilötietoja pidempään (a) lain tai viranomaismääräyksen niin edellyttäessä tai (b) osana tavallista varmuuskopiointia ja tallenteiden säilyttämistä. Kummassakin tapauksessa Visiosto säilyttää asiakkaan henkilötietojen luottamuksellisuuden, noudattaa tietosuojasopimusta eikä käsittele niitä muuten kuin näihin tarkoituksiin.
7. Määritelmät
Asiakastili tarkoittaa asiakkaan asiakassuhdetta Visioston kanssa.
Asiakastilin tiedot tarkoittavat henkilötietoja, jotka liittyvät asiakkaan ja Visioston suhteeseen ja jotka luodaan sen yhteydessä, mukaan lukien (a) asiakkaan ja asiakkaan edustajien henkilö- ja yhteystiedot, kuten nimi, sähköpostiosoite, puhelinnumero, henkilötunnus ja postiosoite, (b) asiakkaan laskutustiedot, kuten laskutusosoite, sähköpostiosoite, nimi ja maksukortin tiedot, (c) asiakkaan Visiostolle lähettämien viestien ja tukipyyntöjen sisältö ja (d) mahdolliset asiakkaan asiakassuhteeseen, tukipyyntöihin ja muihin vastaaviin liittyvät tunnisteet.
Asiakkaan henkilötiedot tarkoittavat asiakkaan tietoihin sisältyviä henkilötietoja, joita Visiosto sopimuksen nojalla ja yksinomaan asiakkaan puolesta käsittelee.
EU:n ja ETA:n paikalliset tietosuojalait tarkoittavat mitä tahansa alemman tason lakia tai määräystä, joka panee täytäntöön GDPR:n.
Käyttötiedot tarkoittavat henkilötietoja, jotka liittyvät palveluiden käyttöön, suorituskykyyn, toimintaan tai tukeen tai jotka on saatu näiden yhteydessä. Käyttötiedot voivat sisältää muun muassa tapahtuman nimen, tapahtuman aikaleiman, tietoa käytetystä päätteestä ja muita diagnostiikkatietoja. Selvyyden vuoksi käyttötiedot eivät sisällä asiakkaan henkilötietoja.
Tietosuojavaatimukset tarkoittavat GDPR:ää, EU:n ja ETA:n paikallisia tietosuojalakeja ja muita sovellettavia lakeja, määräyksiä ja oikeudellisia vaatimuksia, jotka liittyvät (a) yksityisyyteen ja tietoturvaan ja (b) henkilötietojen käyttöön, keräämiseen, säilymiseen, säilyttämiseen, turvallisuuteen, julkaisuun, luovuttamiseen, siirtoon, hävittämiseen ja muuhun käsittelyyn.
Vakiosopimuslausekkeet tarkoittavat 4. kesäkuuta 2021 annettuja vakiosopimuslausekkeita, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 mukaisesti kuten GDPR:n 46. artiklassa on kuvattu ja kuten Euroopan komission täytäntöönpanopäätöksellä (EU) 2021/914 on hyväksytty.
Tietosuojasopimuksessa käytetyillä mutta määrittelemättömillä termeillä, kuten henkilötietojen tietoturvaloukkaus, käsittely, rekisterinpitäjä, henkilötietojen käsittelijä, profilointi, henkilötiedot ja rekisteröity, on sama merkitys kuin GDPR:n 4. artiklassa. Termeillä tietojen tuoja ja tietojen viejä on vakiosopimuslausekkeissa annettu merkitys.
Kohdassa 4.1 määriteltyä termiä alikäsittelijä käytetään tarkoittamaan myös vakiosopimuslausekkeissa tarkoitettavaa alihankkijana toimivaa henkilötietojen käsittelijää.
Liite 1: Seloste käsittelytoiminnasta
1. Yhteystiedot. Henkilötietojen käsittelijänä ja soveltuvin osin rekisterinpitäjänä toimii Visiosto oy. Asiakas voi olla yhteydessä Visiostoon näiden ohjeiden mukaisesti. Visioston yhteyshenkilö tietosuoja-asioissa on Gurmann Saini, gurmann.saini@visiosto.fi.
2. Käsittelyn tarkoitus.
2.1. Asiakkaan henkilötiedot. Visiosto käsittelee asiakkaan henkilötietoja henkilötietojen asiakkaan dokumentoitujen ohjeiden, kuten tietosuojasopimuksen kohdassa 2.1 on kuvattu, mukaisesti.
2.2. Asiakastilin tiedot. Visiosto käsittelee asiakastilin tietoja tietosuojasopimuksen kohdassa 1.1(b) rajattuihin ja kuvattuihin tarkoituksiin.
2.3. Käyttötiedot. Visiosto käsittelee käyttötietoja tietosuojasopimuksen kohdassa 1.1(c) rajattuihin ja kuvattuihin tarkoituksiin.
3. Käsittelyn luonne. Visiosto käsittelee henkilötietoja tarjotakseen asiakkaalle palveluita ja harjoittaakseen näihin liittyvää liiketoimintaansa sopimuksen, mukaan lukien tietosuojasopimus, mukaisesti. Lisätietoja käsittelyn luonteesta ja muista käsittelyyn liittyvistä yksityiskohdista voidaan tarjota palvelun ehdoissa.
4. Rekisteröityjen ryhmät. Rekisteröityjen ryhmät ovat asiakas, mukaan lukien asiakkaan edustajat, ja sen käyttäjät.
5. Henkilötietoryhmät. Käsiteltävät henkilötietoryhmät ovat asiakastilin tiedot, käyttötiedot ja asiakkaan henkilötiedot.
6. Siirrettävät arkaluonteiset henkilötiedot. Asiakastilin tiedot ja käyttötiedot eivät sisällä arkaluonteisia henkilötietoja. Asiakas ja sen käyttäjät voivat sisällyttää sopimuksen kohdan 7.3 mukaisesti arkaluonteisia henkilötietoja asiakkaan henkilötietoihin. Asiakas määrittelee näiden tietojen laajuuden ja valvoo näitä tietoja.
7. Käsittelyn kesto.
7.1. Asiakkaan henkilötiedot. Visiosto käsittelee asiakkaan henkilötietoja sopimuksen voimassaoloaikana ja sen jälkeen kuten kappaleessa 6 on kuvattu.
7.2. Asiakastilin tiedot ja käyttötiedot. Visiosto käsittelee asiakastilin tietoja ja käyttötietoja niin kauan kuin on tarpeen (a) palveluiden tarjoamikseksi asiakkaalle sopimuksen mukaisesti, (b) Visioston liiketoiminnan tarkoituksiin kuten kohdassa 1.1 on kuvattu ja (c) lakien, säädösten ja viranomaismääräysten nojalla.
8. Siirron toistuvuus. Jatkuva.
9. Siirto käsittelijöille ja alikäsittelijöille. Visiosto siirtää asiakkaan henkilötietoja, asiakastilin tietoja ja käyttötietoja henkilötietojen käsittelijöille ja alikäsittelijöille kappaleessa 4 sallitulla tavalla.
Liite 2: Vakiosopimuslausekkeet
Tätä liitettä sovelletaan, jos Visioston käsittelemiä henkilötietoja siirretään joko välittömästi ja välillisesti Euroopan unionin tai Euroopan talousalueen ulkopuoliseen maahan, johon ei sovelleta Euroopan komission päätöstä tietosuojan riittävästä tasosta.
(a) Vakiosopimuslausekkeet sisällytetään tietosuojasopimukseen seuraavalla tavalla:
(i) Asiakas on tietojen viejä ja Visiosto on tietojen tuoja.
(ii) Vakiosopimuslausekkeiden MODUULIA 1 (Siirto rekisterinpitäjältä rekisterinpitäjälle) sovelletaan, kun Visiosto käsittelee asiakastilin tietoja tai käyttötietoja.
(iii) Vakiosopimuslausekkeiden MODUULIA 2 (Siirto rekisterinpitäjältä käsittelijälle) sovelletaan, kun asiakas on asiakkaan henkilötietojen rekisterinpitäjä ja Visiosto käsittelee asiakkaan henkilötietoja henkilötietojen käsittelijänä.
(iv) Vakiosopimuslausekkeiden MODUULIA 3 (Siirto käsittelijältä käsittelijälle) sovelletaan, kun asiakas on asiakkaan henkilötietojen käsittelijä ja Visiosto käsittelee asiakkaan henkilötietoja alikäsittelijänä.
(v) Hyväksymällä tietosuojasopimuksen katsotaan hyväksyneen ja allekirjoittaneen vakiosopimuslausekkeet tietosuojasopimuksen alkamispäivästä alkaen.
(b) Kunkin vakiosopimuslausekkeiden moduulin osalta sovelletaan soveltuvin osin seuraavaa:
(i) 7 lauseketta, vapaaehtoista liittymistä koskevaa lauseketta, ei sovelleta.
(ii) 9 lausekkeessa sovelletaan VAIHTOEHTOA 2, ja alihankkijana toimivien henkilötietojen käsittelijöiden lisäämistä tai korvaamista koskevan ennakkoilmoituksen aika on annettu tietosuojasopimuksen kappaleessa 4.
(iii) 11 lausekkeessa ei sovelleta vaihtoehtoista tekstiä.
(iv) 17 lausekkeessa sovelletaan VAIHTOEHTOA 1 ja sovellettava lainsäädäntö on Suomen lainsäädäntö.
(v) 18 lausekken mukaan riidat ratkaistaan Suomen tuomioistuimissa.
(vi) Vakiosopimuslausekkeiden liitteet täydennetään siten, että liitteessä I.A tarvittavat tiedot on määritelty sopimuksessa ja palvelun ehdoissa, liitteessä I.B tarvittavat tiedot on määritelty tietosuojasopimuksen liitteessä 1, liitteessä I.C tarkoitettu toimivaltavinen viranomainen on Suomen tietosuojavaltuutettu, liitteessä II tarvittavat tiedot on kuvattu täällä ja että liitteessä III tarvittavat tiedot on kuvattu täällä.