Henkilötietojen käsittelijän ja Rekisterinpitäjän välisen sopimuksen (myöhemmin Pääsopimus) tavoitteisiin pääsemiseksi on välttämätöntä, että Henkilötietojen käsittelijä käsittelee jäljempänä määriteltyjä Rekisterinpitäjän keräämiä ja toimittamia henkilötietoja.
Tässä sopimuksessa asetetaan ehdot, joiden mukaisesti näitä henkilötietoja on käsiteltävä.”Henkilötiedolla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (jäljempänä ”rekisteröity”) liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen tai sosiaalisen tekijän perusteella.
”Henkilötietojen käsittelyllä” tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
Tässä sopimuksessa tarkoitetussa sopimussuhteessa Rekisterinpitäjä on tiedoista määräävä osapuoli, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, ja Henkilötietojen käsittelijä tekninen toimija, joka käsittelee Pääsopimuksen osana henkilötietoja rekisterinpitäjän lukuun.
Rekisterinpitäjä
a) vastaa henkilötietojen keräämisestä;
b) käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimii muutoinkin niin, ettei rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta;
c) määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot sekä antaa Henkilötietojen käsittelijälle kirjalliset ohjeet henkilötietojen käsittelystä. Henkilötietojen käsittelyn tarkoituksesta tulee ilmetä, minkälaisissa tehtävissä henkilötietoja käsitellään;
d) vastaa siitä, että rekisteröidyille toimitetaan kaikki lainsäädännön edellyttämät henkilötietojen käsittelyä koskevat ilmoitukset ja tiedot;
e) vastaa rekisteröityjen oikeuksien toteutumisesta;
f) varmistaa, että henkilötietojen siirtäminen Henkilötietojen käsittelijälle sekä henkilötietojen käsittely tämän sopimuksen mukaisesti on lainmukaista koko sopimuksen voimassaolon ajan;
g) vakuuttaa, että jos se edustaa tässä sopimuksessa konserniyhtiöitään tai kolmansia osapuolia, sillä on oikeus sitoutua tähän sopimukseen ja antaa Henkilötietojen käsittelijälle oikeus käsitellä henkilötietoja tämän sopimuksen ja Pääsopimuksen mukaisesti;
h) vahvistaa ja vastaa siitä, että tämän sopimuksen mukainen henkilötietojen käsittely on lainsäädännössä asetettujen vaatimusten mukaista, mukaan lukien tietoturvavaatimukset;
i) vahvistaa, että se on antanut Henkilötietojen käsittelijälle kaikki tarvittavat tiedot, jotta Henkilötietojen käsittelijä voi täyttää tässä sopimuksessa sille asetetut velvoitteet tietosuojalainsäädännön vaatimusten mukaisesti; ja
j) vastaa siitä, että korjaukset, poistot ja muutokset henkilötietoihin toimitetaan viivytyksettä Henkilötietojen käsittelijälle.
Henkilötietojen käsittelijä
a) käsittelee henkilötietoja ainoastaan Pääsopimuksessa ja tässä sopimuksessa määriteltyihin tarkoituksiin, vain siinä laajuudessa kuin on tarpeen Pääsopimuksen tarkoituksen toteuttamiseksi ja ainoastaan tämän sopimuksen voimassaoloajan, ellei pakottavasta lainsäädännöstä muuta johdu. Henkilötietojen käsittelijällä ei ole oikeutta käyttää saamiaan henkilötietoja omassa toiminnassaan, luovuttaa niitä, käsitellä niitä, eikä yhdistää tietoja muuhun hallussaan olevaan aineistoon muutoin kuin Pääsopimuksen tarkoittamassa laajuudessa ja sen mukaista tehtävää hoitaessaan;
b) käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimii muutoinkin niin, ettei rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta;
c) käsittelee ja varmistaa alaisuudessaan toimivan henkilön, jolla on pääsy henkilötietoihin, käsittelevän henkilötietoja ainoastaan Rekisterinpitäjän antamien dokumentoitujen, lainmukaisten ja kohtuullisten ohjeiden mukaisesti. Tästä voidaan poiketa, jos sovellettavassa pakottavassa lainsäädännössä niin vaaditaan, mutta tällöin Henkilötietojen käsittelijän tulee informoida Rekisterinpitäjää viipymättä poikkeuksesta, edellyttäen, ettei sovellettava lainsäädäntö kiellä tällaista informointia;
d) varmistaa, että henkilötietoja käsittelevät vain ne henkilöt, joiden työtehtävien hoitaminen sitä edellyttää, ja että kyseiset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus;
e) toteuttaa kaikki lainsäädännön henkilötietojen käsittelijöiltä edellyttämät turvallisuustoimenpiteet siten kuin tässä sopimuksessa on tarkemmin sovittu;
f) avustaa mahdollisuuksien mukaan ja käsittelyn luonteen huomioon ottaen Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä;
g) avustaa käsittelyn luonteen ja Henkilötietojen käsittelijän saatavilla olevat tiedot huomioon ottaen Rekisterinpitäjää varmistamaan, että Rekisterinpitäjälle laissa asetettuja velvollisuuksia, kuten turvatoimia, vaikutusten arviointia ja ennakkokuulemista, noudatetaan. Henkilötietojen käsittelijä on velvollinen avustamaan Rekisterinpitäjää vain sovellettavassa lainsäädännössä Henkilötietojen käsittelijälle käsittelijänä asetettujen velvoitteiden mukaisessa laajuudessa;
h) huomioi Rekisterinpitäjän toimittamat tietojen korjaukset, poistot ja muutokset ilman aiheetonta viivytystä henkilötietojen käsittelyssä;
i) tämän sopimuksen aikana tai sen päätyttyä joko tuhoaa tai palauttaa Rekisterinpitäjälle asiakkaan valinnan ja ohjeiden mukaisesti kaikki henkilötiedot ja poistaa olemassa olevat jäljennökset, ellei pakottavasta lainsäädännöstä muuta johdu. Tuhoamista ja palauttamista koskevista käytännöistä voidaan sopia tarkemmin erikseen osapuolten kesken;
j) ylläpitää tarvittavia selosteita tai kirjanpitoa käsittelytoimista ja saattaa Rekisterinpitäjän saataville kaikki sellaiset tiedot, jotka osoittavat, että Henkilötietojen käsittelijä noudattaa sille tässä sopimuksessa ja sovellettavassa lainsäädännössä säädettyjä velvollisuuksia;
k) sallii Rekisterinpitäjän tai Rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit ja osallistuu niihin siten kuin tässä sopimuksessa on tarkemmin sovittu;
l) ilmoittaa Rekisterinpitäjälle, jos Henkilötietojen käsittelijä katsoo, että Rekisterinpitäjän antama ohjeistus rikkoo sovellettavaa lainsäädäntöä;
m) ilmoittaa Rekisterinpitäjälle, jos Henkilötietojen käsittelijä katsoo, että Rekisterinpitäjän toimintatavoissa on puutteita, ja avustaa tarvittaessa Rekisterinpitäjää toimintatapojen korjaamisessa.Henkilötietojen käsittelijällä on oikeus laskuttaa yllä kuvatuista avustamis-, korjaamis- ja pyyntöihin vastaamistoimista, auditoinnin tuesta sekä asiakkaan ohjeistuksen muutoksista johtuvista toimista ja kustannuksistaan erikseen.
Asiakkaiden henkilötietoja sekä asiakkaiden syöttämää sisältöä käsitellään seuraavassa mainittuja käyttötarkoituksia varten.
- Karttaselaimen mobiili- ja web-versioissa (a) asiakkaan tunnistamiseksi palveluun kirjatumista varten, (b) ulkoisen paikantimen seurannan toteuttamiseksi, (c) käyttäjän omien paikkatietojen tallentamisen toteuttamiseksi ja (d) yhteydenottotarkoitukseen mahdollisessa ongelmatilanteissa sekä asiakassuhdetoiminnassa.
- Karttaselaimen verkkokaupoissa (a) aktivointikoodien, paikantimien ja kuittien toimitusta varten ja (b) yhteydenottotarkoitukseen mahdollisessa ongelmatilanteissa sekä asiakassuhdetoiminnassa.
- Asiakaspalvelussa asiakaspalvelun toteuttamiseksi.
Henkilötietoja käsitellään henkilötietolain mukaisesti. Tietoja säilytetään rekisterissä vain niin pitkään kuin se palvelun tarjoamisen kannalta on tarpeellista. Jos käyttäjä lopettaa palvelun käytön ja pyytää tilinsä poistamista, poistetaan tiedot rekisteristä.
Tietoja käsitellään Karttaselain-tilin luoneista henkilöistä, Karttaselaimen verkkokauppojen sekä asiakastukijärjestelmän käyttäjistä.
Henkilöistä käsitellään seuraavassa kuvattuja tietoja.
- Karttaselaimen mobiili- ja web-versioissa (a) asiakkaan sähköpostiosoite (jos kirjauduttu tiliin), (b) asiakkaan nimi (jos annettu), (c) käyttäjän palveluun syöttämien ulkoisten paikantimien viimeisin sijaintitieto (jos saatavilla) palvelun toteuttamiseksi (d) käyttäjän Karttaselain-tiliin tallentamat paikkatiedot. Karttaselainta käytettäessä (e) palvelun käyttötietoja voidaan tallentaa asiakassuhdetoimintaa, tiedotteita ja asiakastukea varten mikäli et ole kieltänyt asiakasviestintää sovelluksen asetuksissa.
- Karttaselaimen verkkokaupoissa (a) asiakkaan sähköpostiosoite ja (b) tieto asiakkaan tekemistä tilauksista.
- Asiakaspalvelussa (a) asiakkaan sähköpostiosoite sekä nimi (jos annettu).
Henkilötietojen käsittelijä käyttää Karttaselain-tiliin liitettyä sähköpostiosoitetta, verkkokaupassa annettua sähköpostiosoitetta tai sovelluksen sisäistä viestintää kommunikoidaksemme käyttäjälle palvelun käyttöön liittyvistä asioista, kuten vaikkapa muutoksista tai parannuksista palveluun.
Rekisterinpitäjällä on oikeus auditoida Henkilötietojen käsittelijän tämän sopimuksen alainen tietojenkäsittelytoiminta. Henkilötietojen käsittelijän tulee avustaa auditoinnissa ja osallistua siihen parhaan kykynsä mukaisesti.
Rekisterinpitäjä voi valtuuttaa ulkopuolisen tarkastajan suorittamaan auditoinnin, mutta tällaiset tarkastajat eivät saa olla Henkilötietojen käsittelijän kilpailijoita. Osapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ennen sen suorittamista. Auditointi tulee suorittaa tavalla, joka ei haittaa Henkilötietojen käsittelijän sitoumuksia kolmansiin osapuoliin nähden. Kaikkien Rekisterinpitäjän edustajien ja auditointiin osallistuvien ulkopuolisten tarkastajien tulee allekirjoittaa tavanomainen salassapitositoumus Henkilötietojen käsittelijän hyväksi.
Rekisterinpitäjä vastaa kaikista auditoinnista aiheutuvista kustannuksista. Henkilötietojen käsittelijällä on myös oikeus laskuttaa Rekisterinpitäjää auditoinnissa avustamisesta ja muusta auditoinnista johtuvasta lisätyöstä.
Henkilötietojen käsittelijä sitoutuu
a) pitämään luottamuksellisena kaikki Rekisterinpitäjältä vastaanottamansa henkilötiedot;
b) varmistamaan, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta; sekä
c) varmistamaan, että henkilötietoja ei siirretä kolmansille osapuolille ilman Rekisterinpitäjän etukäteistä kirjallista suostumusta, ellei Henkilötietojen käsittelijä ole velvollinen ilmaisemaan tietoja pakottavan lainsäädännön tai viranomaisen määräyksen perusteella.
Mikäli rekisteröity tai viranomainen tekee henkilötietoja koskevan pyynnön, Henkilötietojen käsittelijän tulee, niin pian kuin on kohtuullisesti mahdollista, ilmoittaa Rekisterinpitäjälle tällaisesta pyynnöstä ennen pyyntöön vastaamista tai muiden henkilötietoja koskevien toimenpiteiden suorittamista. Mikäli toimivaltainen viranomainen vaatii välitöntä vastausta, ilmoittaa Henkilötietojen käsittelijä Rekisterinpitäjälle pyynnöstä niin pian kuin on mahdollista pyyntöön vastaamisen jälkeen, ellei pakottavasta laista muuta johdu.
Asiakkaan tiedot poistetaan henkilötietojen käsittelijän järjestelmistä asiakkaan pyynnöstä. Tietojen poistamisen yhteydessä poistetaan myös poistettavaan käyttäjän sähköpostiosoitteeseen liittyvä Karttaselain -tili. Tietojen poistamisesta voi tehdä pyynnön osoitteeseen [email protected] tai tilin voi poistaa mobiilisovelluksen valikossa.
Käyttäjällä on oikeus saada tieto hänestä käsiteltävistä tiedoista. Tietojen tarkistuksesta voi tehdä pyynnön osoitteeseen [email protected].
Asiakkaiden sähköpostiosoitteet ja verkkokaupan tilaustiedot välitetään suojattuna web-liikenteenä (HTTPS) asiakkaan web-selaimen (tai Karttaselain -sovelluksen) ja AccelBitin palvelimen välillä.
Asiakkaiden paikantimien sijaintiedot välitetään suojattuna web-liikenteenä (HTTPS) Karttaselaimen mobiili- tai web-sovelluksen ja AccelBitin palvelimen välillä.
Asiakkaiden palveluun tallentamat paikkatiedot välitetään suojattuna web-liikenteenä (HTTPS) asiakkaan web-selaimen (tai Karttaselain -sovelluksen) ja AccelBitin palvelimen välillä.
Henkilötietoihin pääsy on rajattu palvelun ylläpidosta vastaaville henkilöille. Tiedot sijaitsevat AccelBit Oy:n salasanasuojatulla palvelimella.
Henkilötietoja ei luovuteta AccelBit Oy:n ulkopuolelle muuta kuin viranomaisille lakisääteisin perustein.
Osa Karttaselaimen palveluista edellyttää henkilötietojen siirtämistä Euroopan unionin tai Euroopan talousalueen ulkopuolelle Yhdysvaltoihin palveluntarjoajalle, joka on sitoutunut noudattamaan GDPR tietosuoja-asetuksen säännöksiä.