Tietojenkäsittelysopimus — flydeal.fi
Etusivu Hinnat Näin se toimii Yhteystiedot
Kirjaudu sisään
tai jatka käyttäen
Google Facebook

Tietojenkäsittelysopimus

Viimeksi päivitetty: 1. maaliskuuta 2026

Tämä Tietojenkäsittelysopimus ("DPA") solmitaan flydeal.fi lentotarjoushälytyspalvelun käyttäjän ("Rekisterinpitäjä", "sinä" tai "sinun") ja Back Hills Assets LLC:n, Yhdysvaltain Delawaren osavaltiossa perustetun yhtiön ("Henkilötietojen käsittelijä", "flydeal.fi", "me" tai "meidän") välillä.

Tämä DPA muodostaa olennaisen osan Käyttöehdoista ("Sopimus") Rekisterinpitäjän ja Henkilötietojen käsittelijän välillä ja säätelee henkilötietojen käsittelyä Henkilötietojen käsittelijän toimesta Rekisterinpitäjän puolesta flydeal.fi lentotarjoushälytyspalvelun ("Palvelu") tarjoamisen yhteydessä.

Tämä DPA on suunniteltu varmistamaan yleisen tietosuoja-asetuksen (EU) 2016/679 ("GDPR") artiklan 28 ja kaikkien muiden sovellettavien tietosuojalakien noudattaminen, ja sitä on tulkittava GDPR:n mukaisesti.

Käyttämällä Palvelua Rekisterinpitäjä hyväksyy tämän DPA:n ehdot. Jos Rekisterinpitäjä ei hyväksy tätä DPA:ta, Rekisterinpitäjä ei saa käyttää Palvelua.

1. Määritelmät

Tässä DPA:ssa seuraavilla termeillä on alla esitetyt merkitykset. Kaikilla isoilla alkukirjaimilla kirjoitetuilla termeillä, joita ei ole tässä määritelty, on GDPR:ssä tai Sopimuksessa niille annettu merkitys.

  • "Rekisterinpitäjä" tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, kuten GDPR:n 4 artiklan 7 kohdassa on määritelty. Tämän DPA:n yhteydessä Rekisterinpitäjä on Palvelun käyttäjä.
  • "Henkilötietojen käsittelijä" tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja Rekisterinpitäjän puolesta, kuten GDPR:n 4 artiklan 8 kohdassa on määritelty. Tämän DPA:n yhteydessä Henkilötietojen käsittelijä on Back Hills Assets LLC.
  • "Henkilötiedot" tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön ("Rekisteröity") liittyviä tietoja, kuten GDPR:n 4 artiklan 1 kohdassa on määritelty. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetiedon, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnisteen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
  • "Käsittely" tarkoittaa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoryhmiin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista, kuten GDPR:n 4 artiklan 2 kohdassa on määritelty.
  • "Rekisteröity" tarkoittaa tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, jota henkilötiedot koskevat.
  • "Alikäsittelijä" tarkoittaa mitä tahansa kolmatta osapuolta, jonka Henkilötietojen käsittelijä (tai mikä tahansa myöhempi alikäsittelijä) on ottanut käsittelemään henkilötietoja Rekisterinpitäjän puolesta.
  • "Henkilötietojen tietoturvaloukkaus" tarkoittaa tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka luvaton pääsy tietoihin, kuten GDPR:n 4 artiklan 12 kohdassa on määritelty.
  • "Valvontaviranomainen" tarkoittaa riippumatonta julkista viranomaista, jonka EU:n jäsenvaltio on perustanut GDPR:n 51 artiklan mukaisesti. Toimivaltainen valvontaviranomainen määräytyy sen EU:n jäsenvaltion mukaan, jossa Rekisteröidyn vakinainen asuinpaikka, työpaikka tai väitetyn rikkomuksen paikka sijaitsee.
  • "Vakiolausekkeet" (SCC:t) tarkoittaa Euroopan komission GDPR:n 46 artiklan 2 kohdan c alakohdan mukaisesti hyväksymiä sopimuslausekkeita henkilötietojen siirtämiseksi Euroopan talousalueen (ETA) ulkopuolisiin maihin, jotka eivät hyödy tietosuojan riittävyyttä koskevasta päätöksestä.
  • "ETA" tarkoittaa Euroopan talousaluetta, joka koostuu Euroopan unionin jäsenvaltioista sekä Islannista, Liechtensteinista ja Norjasta.

2. Käsittelyn laajuus ja tarkoitus

2.1 Laajuus

Tämä DPA koskee kaikkea henkilötietojen käsittelyä, jota Henkilötietojen käsittelijä suorittaa Rekisterinpitäjän puolesta Palvelun tarjoamisen yhteydessä. Henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan siinä laajuudessa kuin on tarpeen Sopimuksen mukaisten velvoitteidensa täyttämiseksi ja Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti.

2.2 Käsittelyn tarkoitus

Henkilötietojen käsittelijä käsittelee henkilötietoja Rekisterinpitäjän puolesta seuraaviin erityisiin tarkoituksiin:

  • Käyttäjätilien luominen, ylläpito ja hallinta, mukaan lukien todennus, tietoturva ja tilin palauttaminen.
  • Matkustustoiveiden (lähtölentoasemat, kohde-edut, budjettialueet, matkapäivien joustavuus) tallentaminen ja käsittely räätälöityjen lentotarjoushälytysten tuottamiseksi.
  • Ilmoitusten ja lentotarjoushälytysten toimittaminen sähköpostitse.
  • Tilausmaksujen käsittely ja laskutuksen hallinta valtuutettujen maksupalveluntarjoajien kautta.
  • Asiakastuen tarjoaminen ja Palveluun liittyviin tiedusteluihin vastaaminen.
  • Anonymisoitujen ja koottujen analytiikkatietojen tuottaminen Palvelun valvontaa, ylläpitoa ja parantamista varten.
  • Palvelun ja sen taustalla olevan infrastruktuurin turvallisuuden, eheyden ja saatavuuden varmistaminen.
  • Sovellettavien lakisääteisten velvoitteiden noudattaminen, mukaan lukien vero-, kirjanpito- ja sääntelyvaatimukset.

2.3 Käsittelyn kesto

Henkilötietojen käsittelijä käsittelee henkilötietoja Sopimuksen voimassaolon ajan, ellei kirjallisesti toisin sovita tai sovellettava laki toisin edellytä. Sopimuksen päättyessä sovelletaan kohdan 13 (Tietojen palauttaminen ja poistaminen) määräyksiä.

3. Rekisteröityjen ryhmät

Tämän DPA:n mukaisesti käsiteltävät henkilötiedot koskevat seuraavia Rekisteröityjen ryhmiä:

  • Rekisteröityneet käyttäjät: Luonnolliset henkilöt, jotka ovat luoneet tilin flydeal.fi-alustalla, mukaan lukien Ilmaisen, Basic-, Pro- ja Ultra-paketin käyttäjät.
  • Verkkosivuston vierailijat: Luonnolliset henkilöt, jotka vierailevat flydeal.fi-verkkosivustolla ja joiden tietoja voidaan kerätä evästeiden ja vastaavien teknologioiden avulla, kuten Evästekäytännössämme on kuvattu.
  • Asiakastuen yhteyshenkilöt: Luonnolliset henkilöt, jotka ottavat yhteyttä flydeal.fi-palveluun tuen, tiedustelujen tai palautteen vuoksi ja joiden henkilötietoja käsitellään näiden yhteydenottojen yhteydessä.

4. Henkilötietojen tyypit

Seuraavia henkilötietoryhmiä käsitellään tämän DPA:n mukaisesti:

  • Tunnistetiedot: Sähköpostiosoite (käytetään tilin tunnisteena).
  • Yhteystiedot: Sähköpostiosoite.
  • Tilitiedot: Tilin tunniste, tiivistetty salasana, tilin luontipäivä, pakettityyppi ja tilin tila.
  • Matkustustoivetiedot: Suositellut lähtölentoasemat, kohde-edut (alueet, maat tai tietyt kaupungit), budjettialueet, matkapäivien joustavuus, matkan kestotoiveet, mukautetut reittimääritykset (Pro-paketti).
  • Viestintätoivetiedot: Valitut ilmoituskanavat (sähköposti), ilmoitustiheyden asetukset, markkinointiviestinnän suostumustila.
  • Maksu- ja tilaustiedot: Pakettityyppi, tilauksen alku- ja loppupäivämäärä, laskutusjakson päivämäärät, tapahtumatunnisteet, maksukortin neljä viimeistä numeroa, kortin merkki, kortin viimeinen voimassaolopäivä, laskutusmaa. Täydelliset maksukorttitiedot käsittelee yksinomaan Stripe, eikä Henkilötietojen käsittelijä tallenna niitä.
  • Käyttötiedot: Vieraillut sivut, käytetyt ominaisuudet, katsotut ja vuorovaikutetut tarjoukset, avatut ja klikatut hälytykset, istunnon kesto ja vuorovaikutuksen aikaleimat.
  • Tekniset tiedot: IP-osoite, selaimen tyyppi ja versio, käyttöjärjestelmä, laitetyyppi, näytön tarkkuus, laitteen kieliasetukset ja yksilölliset laitetunnisteet.
  • Tukitiedot: Rekisteröidyn tukipyyntöjen sisältö, kirjeenvaihto ja palaute.

Henkilötietojen käsittelijä ei käsittele erityisiä henkilötietoryhmiä (kuten GDPR:n 9 artiklassa on määritelty) tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja (kuten GDPR:n 10 artiklassa on määritelty) tämän DPA:n nojalla.

5. Henkilötietojen käsittelijän velvollisuudet

Henkilötietojen käsittelijä:

5.1 Käsittelyohjeet

  • Käsitellä henkilötietoja ainoastaan Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, mukaan lukien henkilötietojen siirtojen osalta kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos käsittely on tarpeen Henkilötietojen käsittelijään sovellettavan unionin tai jäsenvaltion lainsäädännön nojalla. Tällöin Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos kyseinen laki kieltää tällaisen ilmoituksen yleistä etua koskevien tärkeiden syiden vuoksi.
  • Ilmoittaa välittömästi Rekisterinpitäjälle, jos Henkilötietojen käsittelijän näkemyksen mukaan ohje rikkoo GDPR:ää tai muita unionin tai jäsenvaltioiden tietosuojasäännöksiä.

5.2 Luottamuksellisuus

  • Varmistaa, että kaikki henkilötietojen käsittelyyn valtuutetut henkilöt ovat sitoutuneet salassapitoon tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus.
  • Rajoittaa pääsy henkilötietoihin niihin työntekijöihin, urakoitsijoihin ja edustajiin, jotka tarvitsevat pääsyn tehtäviensä suorittamiseen Palveluun liittyen ja jotka on koulutettu tietosuojavelvoitteista.

5.3 Turvallisuus

  • Toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet riskiin nähden asianmukaisen turvallisuustason varmistamiseksi GDPR:n 32 artiklan mukaisesti, kuten tämän DPA:n kohdassa 8 (Tietoturvatoimenpiteet) on kuvattu tarkemmin.

5.4 Alikäsittely

  • Olla käyttämättä toista käsittelijää (alikäsittelijää) ilman Rekisterinpitäjän ennalta antamaa yleistä tai erityistä kirjallista lupaa, kuten tämän DPA:n kohdassa 7 (Alikäsittelijät) on kuvattu tarkemmin.

5.5 Rekisterinpitäjän avustaminen

  • Avustaa Rekisterinpitäjää ottaen huomioon käsittelyn luonne asianmukaisin teknisin ja organisatorisin toimenpitein, mikäli mahdollista, Rekisterinpitäjän velvollisuuden täyttämisessä vastata Rekisteröidyn oikeuksien käyttöä koskeviin pyyntöihin GDPR:n III luvun mukaisesti (oikeus saada pääsy tietoihin, oikeus oikaisuun, poistamiseen, käsittelyn rajoittamiseen, tietojen siirrettävyyteen ja vastustamisoikeus).
  • Avustaa Rekisterinpitäjää GDPR:n 32-36 artiklojen mukaisten velvoitteiden noudattamisessa (käsittelyn turvallisuus, henkilötietojen tietoturvaloukkausten ilmoittaminen, loukkausten ilmoittaminen rekisteröidyille ja tietosuojan vaikutustenarviointien laatiminen), ottaen huomioon käsittelyn luonne ja Henkilötietojen käsittelijän käytettävissä olevat tiedot.

5.6 Vaatimustenmukaisuuden osoittaminen

  • Asettaa Rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen GDPR:n 28 artiklan ja tämän DPA:n mukaisten velvoitteiden noudattamisen osoittamiseksi, sekä sallia ja myötävaikuttaa Rekisterinpitäjän tai Rekisterinpitäjän valtuuttaman toisen tarkastajan suorittamiin tarkastuksiin, mukaan lukien tarkastukset, kuten tämän DPA:n kohdassa 10 (Tarkastukset) on kuvattu.

6. Rekisterinpitäjän velvollisuudet

Rekisterinpitäjä:

  • Varmistaa, että sillä on lainmukainen peruste henkilötietojen käsittelylle ja että kaikki tarvittavat suostumukset, valtuutukset ja ilmoitukset on hankittu tai annettu sovellettavien tietosuojalakien mukaisesti.
  • Antaa Henkilötietojen käsittelijälle dokumentoidut ohjeet henkilötietojen käsittelystä ja ilmoittaa Henkilötietojen käsittelijälle viipymättä kaikista muutoksista näihin ohjeisiin.
  • Varmistaa, että Henkilötietojen käsittelijälle toimitetut henkilötiedot ovat oikeita, täydellisiä ja ajantasaisia.
  • Noudattaa velvollisuuksiaan Rekisterinpitäjänä GDPR:n ja sovellettavien tietosuojalakien mukaisesti.
  • Ilmoittaa viipymättä Henkilötietojen käsittelijälle kaikista Rekisteröidyn pyynnöistä, jotka liittyvät suoraan Henkilötietojen käsittelijän käsittelytoimintaan.

7. Alikäsittelijät

7.1 Yleinen valtuutus

Rekisterinpitäjä antaa täten Henkilötietojen käsittelijälle yleisen kirjallisen valtuutuksen käyttää alikäsittelijöitä henkilötietojen käsittelyyn tämän DPA:n nojalla, jäljempänä tässä kohdassa 7 asetetuin ehdoin.

7.2 Nykyiset alikäsittelijät

Henkilötietojen käsittelijä käyttää tällä hetkellä seuraavia alikäsittelijöitä:

  • Amazon Web Services, Inc. (AWS)
    Tarkoitus: Pilvi-infrastruktuuri, hosting, tietojen tallennus ja laskentapalvelut.
    Käsiteltävät tiedot: Kaikki kohdassa 4 luetellut henkilötietoluokat, tallennettuina ja käsiteltyinä AWS-infrastruktuurissa.
    Sijainti: Euroopan unioni (EU-West-alue, pääasiassa Irlanti).
    Suojatoimet: AWS GDPR tietojenkäsittelylisäys; ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 -sertifioinnit.
  • Stripe, Inc.
    Tarkoitus: Maksunkäsittely tilauslaskutusta varten (Basic-, Pro- ja Ultra-suunnitelmat).
    Käsiteltävät tiedot: Maksukorttitiedot (käsitellään suoraan Stripen toimesta), laskutustiedot, tapahtumatunnisteet, tilauksen metatiedot.
    Sijainti: Euroopan unioni ja Yhdysvallat.
    Suojatoimet: Stripen tietojenkäsittelysopimus; PCI DSS tason 1 sertifiointi; EU-US tietosuojakehys; Vakiosopimuslausekkeet.
  • Postmark (ActiveCampaign, LLC)
    Tarkoitus: Tapahtumasähköpostien ja ilmoitussähköpostien toimittaminen, mukaan lukien lentokohdehälytykset ja palveluun liittyvät sähköpostit.
    Käsiteltävät tiedot: Sähköpostiosoite, nimi, sähköpostin sisältö (tarjoushälytysten tiedot), toimitus- ja sitoutumismetatiedot.
    Sijainti: Yhdysvallat, EU-tietojen käsittelysitoumuksin.
    Suojatoimet: Tietojenkäsittelysopimus; Vakiosopimuslausekkeet; SOC 2 Type II -sertifiointi.

7.3 Ilmoitus muutoksista

Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle kirjallisesti (mukaan lukien sähköpostitse) alikäsittelijäluettelon suunnitelluista muutoksista, mukaan lukien alikäsittelijöiden lisäämisestä tai vaihtamisesta, vähintään 14 kalenteripäivää ennen muutoksen voimaantuloa. Ilmoitus sisältää alikäsittelijän nimen, käsittelyn luonteen ja tietojenkäsittelyn sijainnin.

7.4 Vastusoikeus

Rekisterinpitäjä voi vastustaa uuden tai korvaavan alikäsittelijän käyttöönottoa ilmoittamalla siitä kirjallisesti Henkilötietojen käsittelijälle 14 kalenteripäivän kuluessa kohdassa 7.3 kuvatun ilmoituksen vastaanottamisesta. Vastalauseen on perustuttava kohtuullisiin tietosuojaan liittyviin perusteisiin. Jos Rekisterinpitäjä vastustaa:

  • Henkilötietojen käsittelijä tekee kohtuullisia toimia tarjotakseen Rekisterinpitäjälle vaihtoehtoisen ratkaisun, joka välttää vastustetun alikäsittelijän käytön.
  • Jos kohtuullista vaihtoehtoa ei ole saatavilla ja Henkilötietojen käsittelijä kohtuudella katsoo, että alikäsittelijä on välttämätön Palvelun tarjoamiselle, kumpi tahansa osapuoli voi irtisanoa Sopimuksen 30 päivän kirjallisella irtisanomisajalla.

7.5 Alikäsittelijän velvollisuudet

Kun Henkilötietojen käsittelijä käyttää alikäsittelijää, Henkilötietojen käsittelijä:

  • Suorittaa asianmukaisen huolellisuusarvioinnin varmistaakseen, että alikäsittelijä pystyy tarjoamaan tämän DPA:n ja GDPR:n edellyttämän tietosuojan tason.
  • Asettaa alikäsittelijälle kirjallisella sopimuksella samat tietosuojavelvoitteet kuin tässä DPA:ssa on määritelty, erityisesti antaen riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamiseksi.
  • Pysyä täysin vastuussa Rekisterinpitäjälle alikäsittelijän velvollisuuksien täyttämisestä alikäsittelysopimuksen mukaisesti.

8. Tietoturvatoimenpiteet

Henkilötietojen käsittelijä toteuttaa ja ylläpitää seuraavia teknisiä ja organisatorisia turvallisuustoimenpiteitä GDPR:n 32 artiklan mukaisesti suojatakseen henkilötietoja vahingossa tapahtuvalta tai laittomalta tuhoamiselta, häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai pääsyltä:

8.1 Tekniset toimenpiteet

  • Salaus siirrossa: Kaikki käyttäjien ja Palvelun välillä siirrettävät tiedot salataan Transport Layer Security (TLS) 1.3 -protokollalla.
  • Salaus levossa: Kaikki palvelimille ja tietokantoihin tallennetut henkilötiedot on salattu levossa AES-256-salauksella.
  • Salasanojen hajautus: Käyttäjien salasanat tallennetaan bcrypt-kryptografisella hajautuksella korkealla kustannuskertoimella, mikä varmistaa, ettei salasanoja voida palauttaa selväkielisinä.
  • Palomuuri ja verkkoturvallisuus: Tuotantojärjestelmiä suojaavat palomuurit ja verkon segmentointi. Sisäisiin verkkoihin pääsy on rajoitettu valtuutetulle henkilöstölle VPN:n kautta monivaiheisella todennuksella.
  • Tunkeutumisen havaitseminen ja valvonta: Jatkuva valvonta ja tunkeutumisen havaitsemisjärjestelmät ovat käytössä mahdollisten tietoturvauhkien tunnistamiseksi ja niihin reagoimiseksi reaaliaikaisesti.
  • Haavoittuvuuksien hallinta: Säännöllisiä haavoittuvuusskannauksia ja tunkeutumistestejä suoritetaan. Tietoturvapäivitykset asennetaan viipymättä kaikkiin järjestelmiin ja ohjelmistoihin.
  • Automaattiset varmuuskopiot: Automaattisia, salattuja varmuuskopioita tehdään säännöllisesti. Varmuuskopiot tallennetaan redundantisti EU:n sisällä ja testataan säännöllisesti tietojen palautettavuuden varmistamiseksi.
  • Lokitus ja tarkastusjäljet: Henkilötietoihin pääsy kirjataan ja tarkastusjäljet ylläpidetään luvattoman pääsyn tai poikkeavan toiminnan havaitsemiseksi.
  • Turvallinen kehitys: Palvelua kehitetään turvallisten ohjelmistokehityskäytäntöjen mukaisesti, mukaan lukien koodikatselmukset, staattinen analyysi, riippuvuusskannaus ja tietoturvatestaus.

8.2 Organisatoriset toimenpiteet

  • Pääsynvalvonta: Roolipohjainen pääsynvalvonta (RBAC) on toteutettu vähimmän oikeuden periaatteen mukaisesti. Pääsy henkilötietoihin myönnetään vain henkilöstölle, joka tarvitsee sitä nimettyihin tehtäviinsä.
  • Salassapitosopimukset: Kaikki henkilöstö ja urakoitsijat, joilla on pääsy henkilötietoihin, ovat sitoutuneet kirjallisiin salassapitovelvoitteisiin.
  • Tietosuojakoulutus: Henkilötietojen käsittelyyn osallistuva henkilöstö saa säännöllistä koulutusta tietosuojaperiaatteista, GDPR:stä ja Henkilötietojen käsittelijän sisäisistä tietosuojakäytännöistä.
  • Häiriötilannesuunnitelma: Dokumentoitua häiriötilannesuunnitelmaa ylläpidetään ja testataan nopean ja tehokkaan reagoinnin varmistamiseksi henkilötietojen tietoturvaloukkauksiin ja muihin tietoturvapoikkeamiin.
  • Liiketoiminnan jatkuvuus ja palautumissuunnittelu: Liiketoiminnan jatkuvuus- ja palautumissuunnitelmia ylläpidetään ja testataan säännöllisesti käsittelyjärjestelmien saatavuuden ja häiriönsietokyvyn varmistamiseksi.
  • Toimittajariskien hallinta: Alikäsittelijöihin kohdistetaan huolellisuusarvioita ja jatkuvaa seurantaa sen varmistamiseksi, että ne ylläpitävät riittäviä tietosuoja- ja turvallisuusstandardeja.

9. Tietoturvaloukkausilmoitukset

9.1 Ilmoitus Rekisterinpitäjälle

Henkilötietojen Tietoturvaloukkauksen sattuessa Henkilötietojen käsittelijä ilmoittaa siitä Rekisterinpitäjälle ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 48 tunnin kuluessa loukkauksen havaitsemisesta. Ilmoitus toimitetaan sähköpostitse Rekisterinpitäjän rekisteröityyn sähköpostiosoitteeseen ja sisältää:

  • Kuvaus Henkilötietojen Tietoturvaloukkauksen luonteesta, mukaan lukien mahdollisuuksien mukaan asianosaisten Rekisteröityjen ryhmät ja likimääräinen lukumäärä sekä asianosaisten henkilötietotietueiden ryhmät ja likimääräinen lukumäärä.
  • Henkilötietojen käsittelijän tietosuojan yhteyshenkilön nimi ja yhteystiedot, jolta voi saada lisätietoja.
  • Kuvaus Henkilötietojen Tietoturvaloukkauksen todennäköisistä seurauksista.
  • Kuvaus Henkilötietojen käsittelijän toteuttamista tai ehdotetuista toimenpiteistä Loukkauksen käsittelemiseksi, mukaan lukien tarvittaessa toimenpiteet mahdollisten haitallisten vaikutusten lieventämiseksi.

9.2 Jatkuva yhteistyö

Jos kaikkia tietoja ei ole mahdollista antaa samanaikaisesti, Henkilötietojen käsittelijä toimittaa tiedot vaiheittain ilman aiheetonta lisäviivytystä. Henkilötietojen käsittelijä:

  • Yhteistyössä Rekisterinpitäjän kanssa toteuttaa kaikki kohtuulliset toimenpiteet loukkauksen tutkimisen, lieventämisen ja korjaamisen avustamiseksi.
  • Ryhtyä välittömiin toimiin loukkauksen vaikutusten rajoittamiseksi ja minimoimiseksi.
  • Säilyttää loukkaukseen liittyvät todisteet rikosteknistä tutkintaa varten.
  • Avustaa Rekisterinpitäjää tämän ilmoitusvelvollisuuksien täyttämisessä Valvontaviranomaiselle GDPR:n 33 artiklan mukaisesti ja Rekisteröidyille GDPR:n 34 artiklan mukaisesti, soveltuvin osin.
  • Ei anna julkisia lausuntoja tai ilmoituksia loukkauksesta ilman Rekisterinpitäjän ennalta antamaa kirjallista suostumusta, ellei sovellettava laki sitä edellytä.

9.3 Kirjanpito

Henkilötietojen käsittelijä pitää kirjaa kaikista Henkilötietojen Tietoturvaloukkauksista, mukaan lukien loukkaukseen liittyvät tosiseikat, sen vaikutukset ja toteutetut korjaavat toimenpiteet, GDPR:n 33 artiklan 5 kohdan mukaisesti.

10. Rekisteröidyn pyynnöt

10.1 Avustaminen

Henkilötietojen käsittelijä avustaa Rekisterinpitäjää tämän velvollisuuden täyttämisessä vastata Rekisteröityjen pyyntöihin heidän oikeuksiensa käyttämiseksi GDPR:n III luvun mukaisesti, mukaan lukien oikeus saada pääsy tietoihin, oikeus oikaisuun, poistamiseen, käsittelyn rajoittamiseen, tietojen siirrettävyyteen ja vastustamisoikeus.

10.2 Ilmoitus

Jos Henkilötietojen käsittelijä vastaanottaa Rekisteröidyltä pyynnön Rekisterinpitäjän puolesta käsiteltävistä henkilötiedoista, Henkilötietojen käsittelijä ilmoittaa viipymättä (ja joka tapauksessa 5 arkipäivän kuluessa) Rekisterinpitäjälle eikä vastaa pyyntöön suoraan, ellei Rekisterinpitäjä ole antanut siihen lupaa tai ellei sovellettava laki sitä edellytä.

10.3 Tekniset toimenpiteet

Henkilötietojen käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet mahdollistaakseen Rekisterinpitäjän tehokkaan vastaamisen Rekisteröityjen pyyntöihin, mukaan lukien kyvyn etsiä, hakea, viedä, korjata ja poistaa henkilötietoja Rekisterinpitäjän ohjeiden mukaisesti.

11. Auditoinnit ja tarkastukset

11.1 Oikeus auditointiin

Henkilötietojen käsittelijä asettaa Rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen GDPR:n 33 artiklassa ja tässä DPA:ssa asetettujen velvoitteiden noudattamisen osoittamiseksi, ja sallii Rekisterinpitäjän tai Rekisterinpitäjän valtuuttaman riippumattoman tarkastajan suorittamat auditoinnit, mukaan lukien tarkastukset, sekä myötävaikuttaa niihin.

11.2 Auditointimenettelyt

Auditoinnit suoritetaan seuraavien ehtojen mukaisesti:

  • Rekisterinpitäjä ilmoittaa Henkilötietojen käsittelijälle kirjallisesti vähintään 30 kalenteripäivää ennen suunniteltua auditointia.
  • Auditoinnit suoritetaan normaalin työajan puitteissa ja tavalla, joka minimoi häiriöt Henkilötietojen käsittelijän toiminnalle.
  • Rekisterinpitäjä (tai sen auditoija) noudattaa Henkilötietojen käsittelijän kohtuullisia turvallisuus- ja luottamuksellisuusvaatimuksia.
  • Auditoinnit rajoitetaan enintään yhteen kalenterivuodessa, ellei ole kohtuullisia perusteita epäillä tämän DPA:n tai GDPR:n olennaista rikkomista, tai jos auditointi on Valvontaviranomaisen edellyttämä.
  • Rekisterinpitäjä vastaa auditoinnin kustannuksista, ellei auditointi paljasta Henkilötietojen käsittelijän olennaista laiminlyöntiä, jolloin Henkilötietojen käsittelijä vastaa kohtuullisista kustannuksista.

11.3 Sertifioinnit ja raportit

Paikan päällä suoritettavan auditoinnin sijaan Henkilötietojen käsittelijä voi harkintansa mukaan toimittaa Rekisterinpitäjälle asiankuuluvia kolmannen osapuolen auditointiraportteja, sertifiointeja (kuten ISO 27001 tai SOC 2) tai muuta dokumentaatiota, joka osoittaa tämän DPA:n tietosuojavaatimusten noudattamisen.

12. Kansainväliset tiedonsiirrot

12.1 Yleinen periaate

Henkilötietojen käsittelijä tallentaa ja käsittelee henkilötietoja ensisijaisesti Euroopan talousalueella (ETA). Henkilötietojen käsittelijä ei siirrä henkilötietoja ETA:n ulkopuoliseen maahan tai kansainväliselle järjestölle, ellei asianmukaisia suojatoimia ole toteutettu GDPR:n V luvun mukaisesti.

12.2 Siirtomekanismit

Kun henkilötietoja siirretään ETA:n ulkopuolelle (esimerkiksi Yhdysvalloissa sijaitseville alikäsittelijöille), Henkilötietojen käsittelijä varmistaa, että yksi tai useampi seuraavista suojatoimista on käytössä:

  • Tietosuojan tason riittävyyttä koskeva päätös: Euroopan komissio on päättänyt, että kolmas maa tai kansainvälinen järjestö varmistaa riittävän tietosuojan tason GDPR:n 33 artiklan mukaisesti.
  • Vakiosopimuslausekkeet: Siirtoon sovelletaan Euroopan komission GDPR:n 46 artiklan 2 kohdan c alakohdan mukaisesti hyväksymiä vakiosopimuslausekkeita niiden ajantasaisimmassa versiossa.
  • EU-US-tietosuojakehys: Soveltuvin osin vastaanottaja on sertifioinut osallistumisensa EU-US-tietosuojakehykseen, jonka Euroopan komissio on tunnustanut tarjoavan riittävän suojatason.
  • Täydentävät toimenpiteet: Jos vastaanottajamaan suojatason arviointi sitä edellyttää, Henkilötietojen käsittelijä toteuttaa lisäteknisiä toimenpiteitä (kuten salaus ja pseudonymisointi) ja organisatorisia toimenpiteitä varmistaakseen, että siirretyt tiedot saavat ETA:ssa taattua olennaisesti vastaavan suojatason.

12.3 Siirron vaikutustenarviointi

Henkilötietojen käsittelijä suorittaa ja dokumentoi siirron vaikutustenarvioinnin jokaista kansainvälistä siirtoa varten, arvioiden vastaanottajamaan lainsäädäntöä ja käytäntöjä sen määrittämiseksi, ovatko täydentävät toimenpiteet tarpeen olennaisesti vastaavan tietosuojatason varmistamiseksi.

13. Kesto ja irtisanominen

13.1 Kesto

Tämä DPA tulee voimaan Rekisterinpitäjän hyväksyessä Sopimuksen ja pysyy voimassa Henkilötietojen käsittelijän suorittaman henkilötietojen käsittelyn ajan Rekisterinpitäjän puolesta.

13.2 Voimassaolon jatkuminen

Henkilötietojen käsittelijän tämän DPA:n mukaiset velvoitteet säilyvät Sopimuksen päättymisen jälkeen siinä laajuudessa kuin on tarpeen henkilötietojen palauttamisen tai poistamisen loppuunsaattamiseksi ja sovellettavan lain noudattamiseksi.

14. Tietojen palauttaminen ja poistaminen

14.1 Rekisterinpitäjän valinta

Sopimuksen päättyessä tai Rekisterinpitäjän kirjallisesta pyynnöstä Henkilötietojen käsittelijä Rekisterinpitäjän valinnan mukaan:

  • Palauttaa kaikki henkilötiedot Rekisterinpitäjälle jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa (kuten JSON tai CSV); tai
  • Poistaa kaikki henkilötiedot ja kaikki olemassa olevat kopiot, ellei unionin tai jäsenvaltion lainsäädäntö edellytä henkilötietojen säilyttämistä.

14.2 Aikataulu

Henkilötietojen käsittelijä suorittaa henkilötietojen palauttamisen tai poistamisen 30 kalenteripäivän kuluessa Rekisterinpitäjän ohjeen vastaanottamisesta tai, erityisten ohjeiden puuttuessa, 30 kalenteripäivän kuluessa Sopimuksen päättymisestä.

14.3 Poistamisen todentaminen

Poistamisen päätyttyä Henkilötietojen käsittelijä antaa Rekisterinpitäjälle kirjallisen todistuksen siitä, että kaikki henkilötiedot on poistettu turvallisesti, mukaan lukien varmuuskopioista ja arkistoiduista järjestelmistä, paitsi jos säilyttäminen on sovellettavan lain edellyttämää. Jos lakisääteisiä säilytysvaatimuksia sovelletaan, Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle säilytetyistä tiedoista, säilyttämisen oikeusperusteesta ja odotettavasta säilytysajasta.

14.4 Varmuuskopioiden poistaminen

Rutiinimaisissa varmuuskopiointijärjestelmissä olevat henkilötiedot poistetaan Henkilötietojen käsittelijän normaalin varmuuskopiointikiertosuunnitelman mukaisesti, joka ei ylitä 90 kalenteripäivää. Säilytysjakson aikana tällaiset varmuuskopiotiedot ovat edelleen tämän DPA:n mukaisen suojan piirissä eikä niitä käsitellä aktiivisesti.

15. Vastuu

15.1 Henkilötietojen käsittelijän vastuu

Henkilötietojen käsittelijä on vastuussa kaikista vahingoista, jotka aiheutuvat käsittelystä, joka ei noudata GDPR:n nimenomaan käsittelijöille suunnattuja velvoitteita, tai kun Henkilötietojen käsittelijä on toiminut Rekisterinpitäjän lainmukaisten ohjeiden ulkopuolella tai vastaisesti, GDPR:n 82 artiklan mukaisesti.

15.2 Rajoitus

Tämän DPA:n vastuusäännöksiin sovelletaan Sopimuksessa asetettuja rajoituksia, paitsi siltä osin kuin sovellettava laki (mukaan lukien GDPR) ei salli tällaista rajoitusta.

15.3 Vahingonkorvaus

Kumpikin osapuoli korvaa toiselle osapuolelle kaikki kustannukset, vaatimukset, vahingot tai kulut, jotka toiselle osapuolelle aiheutuvat tai joista toinen osapuoli voi tulla vastuuseen ensimmäisen osapuolen tai sen työntekijöiden, edustajien tai alikäsittelijöiden laiminlyönnistä noudattaa tämän DPA:n tai GDPR:n mukaisia velvoitteitaan.

16. Muutokset

Henkilötietojen käsittelijä voi muuttaa tätä DPA:ta ajoittain vastaamaan muutoksia tietojenkäsittelykäytännöissä, alikäsittelijöissä, oikeudellisissa vaatimuksissa tai turvatoimissa. Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle olennaisista muutoksista vähintään 30 kalenteripäivää ennen niiden voimaantuloa. Jos Rekisterinpitäjä ei hyväksy muutoksia, hän voi irtisanoa Sopimuksen sen ehtojen mukaisesti. Rekisterinpitäjän jatkaessa Palvelun käyttöä muutosten voimaantulopäivän jälkeen katsotaan muutettu DPA hyväksytyksi.

17. Suhde Sopimukseen

Tämän DPA:n ja Sopimuksen määräysten välisissä ristiriitatilanteissa tämän DPA:n määräykset ovat ensisijaisia tietosuojakysymyksissä. Kaikissa muissa suhteissa Sopimuksen ehdot pysyvät voimassa.

18. Sovellettava laki

Tätä DPA:ta säätelee ja tulkitaan Delawaren osavaltion, Yhdysvallat, lakien mukaisesti, ottamatta huomioon lainvalintaperiaatteita, ja GDPR:n ja muun sovellettavan EU:n tietosuojalainsäädännön pakottavien säännösten mukaisesti. Tämän DPA:n perusteella tai siihen liittyvät riidat kuuluvat Delawaren, Yhdysvallat, toimivaltaisten tuomioistuinten yksinomaiseen toimivaltaan, EU:n lainsäädännön pakottavien kuluttajansuojasäännösten mukaisesti.

19. Yhteystiedot

Tätä Henkilötietojen käsittelysopimusta koskevissa kysymyksissä, pyynnöissä tai yhteydenpidossa ota yhteyttä:

Voit myös ottaa yhteyttä paikalliseen tietosuojaviranomaiseen tietosuojaan liittyvissä huolenaiheissa. Löydät paikallisen viranomaisesi Euroopan tietosuojaneuvoston verkkosivuilta.