Tietojenkäsittelysopimus

Tämä tietojenkäsittelysopimus (“Sopimus”) on osa ehtoja ja edellytyksiä (“Pääsopimus”), joka on tehty seuraavien osapuolten välillä:

  • Asiakas (“Rekisterinpitäjä”)
  • Textintel FZE (“Tietojenkäsittelijä”)

(Yhdessä “Osapuolet”).

1. Tausta

1.1 Asiakas toimii rekisterinpitäjänä ja haluaa alihankkia tiettyjä henkilötietojen käsittelyä sisältäviä palveluita tietojenkäsittelijälle.

1.2 Osapuolet pyrkivät solmimaan tietojenkäsittelysopimuksen, joka noudattaa soveltuvia tietosuojalakeja, mukaan lukien:

  • Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus, GDPR) luonnollisten henkilöiden henkilötietojen suojaamisesta ja tällaisten tietojen vapaasta liikkuvuudesta 27. huhtikuuta 2016.
  • Kaikkia muita soveltuvia henkilötietojen käsittelyä sääteleviä tietosuojaja yksityisyydensuojaa koskevia lakeja.

1.3 Tämä Sopimus määrittelee Osapuolten oikeudet ja velvollisuudet tietosuojaan ja yksityisyyteen liittyen.

2. Määritelmät ja tulkinta

2.1 Elleivät toisin ole määritelty, tässä Sopimuksessa isolla alkukirjaimella käytetyillä termeillä on seuraavat merkitykset:

  • “Sopimus” – Tämä tietojenkäsittelysopimus, mukaan lukien kaikki liitteet ja aikataulut.
  • “Asiakkaan henkilötiedot” – Kaikki henkilötiedot, joita Tietojenkäsittelijä käsittelee asiakkaan puolesta Pääsopimuksen mukaisesti.
  • “Tietosuojalainsäädäntö” – Kaikki soveltuvat tietosuoja- ja yksityisyydensuojalainsäädännöt, mukaan lukien GDPR ja kansalliset lait, jotka täydentävät tai toimeenpanevat GDPR:n.
  • “Käsittely” – Kaikki henkilötietoihin kohdistuvat toimet, kuten kerääminen, tallentaminen, siirtäminen tai poistaminen.
  • “Alitietojenkäsittelijä” – Kolmas osapuoli, jonka Tietojenkäsittelijä on valtuuttanut käsittelemään henkilötietoja asiakkaan puolesta.

2.2 Tässä Sopimuksessa määrittelemättömillä termeillä on se merkitys, joka niille on annettu GDPR:ssä.

3. Tietojenkäsittelyn laajuus

3.1 Asiakas velvoittaa Tietojenkäsittelijän käsittelemään Asiakkaan henkilötiedot yksinomaan seuraavien ohjeiden mukaisesti:

  • Asiakkaan kirjalliset ohjeet.
  • Pääsopimus ja tämä tietojenkäsittelysopimus.
  • Soveltuva tietosuojalainsäädäntö.

3.2 Tietojenkäsittelijä ei saa käsitellä Asiakkaan henkilötietoja muihin tarkoituksiin kuin tässä Sopimuksessa ja Pääsopimuksessa määritellyt.

4. Tietojenkäsittelijän velvollisuudet

4.1 Tietojenkäsittelijän on:

  • Varmistettava soveltuvan tietosuojalainsäädännön noudattaminen.
  • Käsiteltävä tiedot turvallisesti alan parhaiden käytäntöjen mukaisesti.
  • Rajoitettava pääsy valtuutetulle henkilöstölle.
  • Varmistettava, että kaikki Asiakkaan henkilötietoja käsittelevät henkilöt ovat salassapitovelvollisuuden alaisia.

5. Turvatoimet

5.1 Tietojenkäsittelijä ryhtyy asianmukaisiin teknisiin ja organisatorisiin toimenpiteisiin Asiakkaan henkilötietojen suojaamiseksi, ottaen huomioon:

  • Turvallisuusteknologioiden nykytilan.
  • Tietojenkäsittelyn luonteen, laajuuden ja kontekstin.
  • Mahdolliset riskit, mukaan lukien luvaton pääsy, tietoturvaloukkaukset ja tietojen kadotus.

5.2 Soveltuvin osin turvatoimet voivat sisältää:

  • Tietojen salaus siirron aikana ja lepotilassa.
  • Pääsynhallinta ja tunnistusmekanismit.
  • Säännölliset tietoturvatarkastukset ja riskien arvioinnit.

6. Alikäsittely

6.1 Tietojenkäsittelijä ei saa käyttää alitietojenkäsittelijää ilman Asiakkaan etukäteistä kirjallista hyväksyntää.

6.2 Asiakas hyväksyy ja valtuuttaa Tietojenkäsittelijän käyttämään seuraavia hyväksyttyjä alitietojenkäsittelijöitä:

  • Amazon Web Services
  • Meta
  • Google
  • Amplitude
  • Firebase Analytics
  • Stripe

6.3 Tietojenkäsittelijä varmistaa, että kukin alitietojenkäsittelijä noudattaa samoja velvoitteita tämän Sopimuksen mukaisesti.

7. Rekisteröidyn oikeudet

7.1 Tietojenkäsittelijä avustaa Asiakasta rekisteröidyn oikeuksien täytäntöönpanossa, mukaan lukien:

  • Pääsy henkilötietoihin.
  • Virheellisten tietojen oikaisu tai poisto.
  • Oikeus tietojen siirrettävyyteen.

7.2 Jos Tietojenkäsittelijä saa rekisteröidyn pyynnön, se:

  • Ilmoittaa siitä viipymättä Asiakkaalle.
  • Ei vastaa, ellei Asiakas ole valtuuttanut siihen.

8. Tietoturvaloukkauksesta ilmoittaminen

8.1 Henkilötietoturvaloukkauksen sattuessa Tietojenkäsittelijä:

  • Ilmoittaa asiasta Asiakkaalle ilman aiheetonta viivytystä.
  • Toimittaa kaikki tarvittavat tiedot, jotta Asiakas voi täyttää lakisääteiset ilmoitusvelvollisuutensa.
  • Ryhtyy kohtuullisiin toimenpiteisiin rikkomuksen lieventämiseksi ja korjaamiseksi.

9. Tietojen siirrot

9.1 Tietojenkäsittelijä ei saa siirtää Asiakkaan henkilötietoja EU/ETA-alueen ulkopuolelle, ellei:

  • Asiakas ole antanut etukäteistä kirjallista suostumusta;
  • Asialliset suojatoimet, kuten vakiolausekkeet (SCC), ovat voimassa.

10. Tietojen säilytys ja poisto

10.1 Pääsopimuksen päättyessä Asiakas voi vaatia:

  • Kaikkien Asiakkaan henkilötietojen poistamista 10 työpäivän kuluessa.
  • Vahvistuspoistotodistuksen, joka osoittaa vaatimuksen täyttymisen.

11. Tarkastus- ja auditointioikeudet

11.1 Asiakkaalla on oikeus:

  • Pyytää tietoja vaatimustenmukaisuuden todentamiseksi.
  • Suorittaa auditointeja ja tarkastuksia Tietojenkäsittelijän luona.

12. Luottamuksellisuus

12.1 Kumpikin osapuoli sitoutuu pitämään kaikki tämän Sopimuksen mukaisesti jaetut tiedot luottamuksellisina eikä luovuttamaan niitä ilman toisen osapuolen kirjallista suostumusta, paitsi jos:

  • Luovuttaminen on lain mukaan pakollista;
  • Tiedot ovat jo julkisesti saatavilla.

13. Sovellettava laki ja toimivalta

13.1 Tämä Sopimus on Dubain, Yhdistyneiden arabiemiirien lakien alainen.

13.2 Kaikki tästä Sopimuksesta johtuvat riidat ratkaistaan Dubain tuomioistuimissa.