← Takaisin käytäntöihin

Tietojenkäsittelysopimus

1. Johdanto

Tämä tietojenkäsittelysopimus (“TKS”) on osa Morgon Equity Partners Oy:n (“Käsittelijä”, “me”, “meitä”) ja asiakkaan (“Rekisterinpitäjä”, “sinä”) välistä käyttöehtosopimusta, ja sitä sovelletaan siltä osin kuin käsittelemme henkilötietoja puolestasi palveluidemme tarjoamisen yhteydessä käyttöehtosopimuksen mukaisesti (“Palvelut”).

Tämän TKS:n tarkoituksena on varmistaa soveltuvien tietosuojalakien noudattaminen, mukaan lukien Euroopan unionin yleinen tietosuoja-asetus (GDPR), ja se täydentää käyttöehtosopimusta osapuolten tietosuojavelvoitteiden osalta.

2. Määritelmät

Termeillä “Henkilötieto”, “Rekisteröity”, “Käsittely”, “Rekisterinpitäjä”, “Käsittelijä” ja “Valvontaviranomainen” on sama merkitys kuin GDPR:ssä. Muilla isoilla alkukirjaimilla kirjoitetuilla termeillä, joita ei ole määritelty tässä, on käyttöehtosopimuksessa määritelty merkitys.

3. Henkilötietojen käsittely

3.1 Ohjeet. Käsittelemme henkilötietoja puolestasi vain dokumentoitujen ohjeidesi mukaisesti. Käyttöehtosopimus ja tämä TKS muodostavat täydelliset ja lopulliset ohjeesi meille henkilötietojen käsittelyyn liittyen. Näiden ohjeiden ulkopuolinen käsittely edellyttää sinun ja meidän välistä etukäteistä kirjallista sopimusta.

3.2 Käsittelyn yksityiskohdat. Käsittelytoimien yksityiskohdat (mukaan lukien käsittelyn kohde, kesto, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät) on määritelty tämän TKS:n liitteessä 1.

3.3 Lakien noudattaminen. Kumpikin osapuoli noudattaa kaikkia soveltuvia tietosuojalakeja tämän TKS:n mukaisen suorituksensa osalta. Ilmoitamme sinulle, jos mielestämme jokin ohjeistasi rikkoo GDPR:ää tai muita soveltuvia tietosuojalakeja.

4. Luottamuksellisuus

Varmistamme, että kaikki henkilöt, joilla on valtuudet käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai ovat asianmukaisen lakisääteisen salassapitovelvollisuuden alaisia.

5. Turvatoimet

5.1 Toimenpiteiden toteuttaminen. Toteutamme asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaaksemme riskiä vastaavan turvallisuustason, mukaan lukien tämän TKS:n liitteessä 2 luetellut toimenpiteet. Arvioidessamme asianmukaista turvallisuustasoa otamme huomioon käsittelystä aiheutuvat riskit, erityisesti henkilötietojen tahattomasta tai lainvastaisesta tuhoamisesta, häviämisestä, muuttamisesta, luvattomasta luovuttamisesta tai käytöstä johtuvat riskit.

5.2 Turvatoimien päivitykset. Voimme päivittää tai muokata turvatoimia aika ajoin, edellyttäen, että tällaiset päivitykset ja muokkaukset eivät johda palveluiden yleisen turvallisuuden heikkenemiseen.

6. Alikäsittelijät

6.1 Yleinen valtuutus. Annat täten yleisen valtuutuksen meille käyttää alikäsittelijöitä henkilötietojen käsittelyyn puolestasi.

6.2 Nykyiset alikäsittelijät. Luettelo nykyisistä alikäsittelijöistämme on saatavilla pyynnöstä. Ilmoitamme sinulle kaikista aiotuista muutoksista koskien alikäsittelijöiden lisäämistä tai korvaamista päivittämällä tätä luetteloa ja antamalla sinulle mahdollisuuden vastustaa tällaisia muutoksia.

6.3 Alikäsittelijöiden vaatimukset. Varmistamme, että jokainen alikäsittelijä täyttää tässä TKS:ssä asetetut velvoitteet, kun ne koskevat kyseisen alikäsittelijän suorittamaa henkilötietojen käsittelyä.

7. Rekisteröityjen oikeudet

7.1 Rekisteröityjen pyynnöt. Autamme sinua toteuttamalla asianmukaiset tekniset ja organisatoriset toimenpiteet, siinä määrin kuin se on mahdollista, täyttääksesi velvollisuutesi vastata GDPR:n mukaisiin rekisteröityjen oikeuksia koskeviin pyyntöihin.

7.2 Pyyntöihin vastaaminen. Jos saamme pyynnön rekisteröidyltä koskien hänen henkilötietojaan, ilmoitamme sinulle viipymättä tällaisesta pyynnöstä emmekä vastaa rekisteröidylle suoraan ilman ennakkolupaa, ellei laki sitä edellytä.

8. Henkilötietojen tietoturvaloukkaukset

8.1 Tietoturvaloukkauksesta ilmoittaminen. Ilmoitamme sinulle ilman aiheetonta viivästystä tultuamme tietoiseksi henkilötietojen tietoturvaloukkauksesta, joka vaikuttaa tämän TKS:n mukaisesti käsiteltyihin henkilötietoihin.

8.2 Tietoturvaloukkauksen tiedot. Ilmoitukseen sisältyy vähintään:

  • kuvaus henkilötietojen tietoturvaloukkauksen luonteesta;
  • tietosuojavastaavamme nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoja;
  • kuvaus henkilötietojen tietoturvaloukkauksen todennäköisistä seurauksista; ja
  • kuvaus toimenpiteistä, jotka on toteutettu tai joita ehdotetaan toteutettavaksi henkilötietojen tietoturvaloukkauksen johdosta, mukaan lukien tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

8.3 Avustaminen. Autamme sinua täyttämään velvollisuutesi ilmoittaa henkilötietojen tietoturvaloukkauksista valvontaviranomaisille ja rekisteröidyille, kun se on sovellettavissa.

9. Tietosuojan vaikutustenarviointi ja ennakkokuuleminen

Autamme sinua kohtuullisesti kaikissa tietosuojan vaikutustenarvioinneissa ja valvontaviranomaisten ennakkokuulemisissa, jotka sinun on toteutettava GDPR:n mukaisesti, kussakin tapauksessa ainoastaan siltä osin kuin ne liittyvät henkilötietojen käsittelyyn meidän toimestamme tämän TKS:n nojalla, ja ottaen huomioon käsittelyn luonteen ja meillä käytettävissä olevat tiedot.

10. Henkilötietojen palauttaminen tai poistaminen

Palveluiden päättyessä poistamme tai palautamme valintasi mukaan kaikki puolestasi käsitellyt henkilötiedot ja poistamme olemassa olevat kopiot, ellei sovellettava laki edellytä henkilötietojen säilyttämistä.

11. Tarkastusoikeudet

11.1 Tiedot ja tarkastukset. Asetamme saatavillesi kaikki tiedot, jotka ovat tarpeen osoittaaksemme tässä TKS:ssä asetettujen velvoitteiden noudattamisen, ja sallimme ja osallistumme sinun tai nimeämäsi toisen tarkastajan suorittamiin tarkastuksiin, mukaan lukien tarkastuskäynnit.

11.2 Tarkastuksen ehdot. Tarkastuksiin sovelletaan seuraavia ehtoja:

  • tarkastukset on suoritettava normaalina työaikana;
  • tarkastukset on suoritettava kohtuullisella ennakkoilmoituksella (vähintään 30 päivää);
  • tarkastuksia ei saa suorittaa useammin kuin kerran kalenterivuodessa, ellei se ole tarpeen todennetun henkilötietojen tietoturvaloukkauksen vuoksi;
  • sinun tai tarkastajasi on allekirjoitettava salassapitosopimus ennen tarkastuksen suorittamista;
  • tarkastukset eivät saa kohtuuttomasti häiritä liiketoimintaamme.

12. Kansainväliset siirrot

Jos siirrämme henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, varmistamme, että GDPR:n edellyttämät asianmukaiset suojatoimet on toteutettu.

13. Yleiset ehdot

13.1 Vastuu. Kunkin osapuolen vastuu, joka johtuu tästä TKS:stä tai liittyy siihen, on käyttöehtosopimuksessa määriteltyjen vastuunrajoitusten alainen.

13.2 Sovellettava laki. Tähän TKS:ään sovelletaan käyttöehtosopimuksessa sopimuksen sovellettavaksi laiksi määriteltyä lakia.

13.3 Muutokset. Voimme muokata tätä TKS:ää aika ajoin ilmoittamalla siitä sinulle. Jos vastustat tällaisia muutoksia, voit irtisanoa käyttöehtosopimuksen.

Liite 1: Käsittelyn yksityiskohdat

Käsittelyn kohde: Palveluiden tarjoaminen rekisterinpitäjälle käyttöehtosopimuksen mukaisesti.

Käsittelyn kesto: Käyttöehtosopimuksen voimassaoloaika sekä ajanjakso voimassaolon päättymisestä siihen saakka, kunnes käsittelijä on poistanut kaikki henkilötiedot TKS:n mukaisesti.

Käsittelyn luonne ja tarkoitus: Käsittelijän suorittama henkilötietojen käsittely, joka on tarpeen käyttöehtosopimuksen mukaisten palveluiden tarjoamiseksi.

Henkilötietojen tyypit:

  • Yhteystiedot (esim. nimi, sähköpostiosoite, puhelinnumero)
  • Tilitiedot (esim. käyttäjätunnus, salasana)
  • Yritystiedot (esim. yrityksen nimi, työtehtävä)
  • Tapahtumatiedot
  • Käyttötiedot
  • Muut henkilötiedot, jotka rekisterinpitäjä tai sen käyttäjät toimittavat palveluiden kautta

Rekisteröityjen ryhmät:

  • Rekisterinpitäjän työntekijät, edustajat ja alihankkijat
  • Rekisterinpitäjän asiakkaat
  • Kaikki muut henkilöt, joiden henkilötietoja rekisterinpitäjä tai sen käyttäjät toimittavat palveluiden kautta

Liite 2: Turvatoimet

Käsittelijä toteuttaa seuraavat turvatoimet henkilötietojen suojaamiseksi:

1. Organisatoriset toimenpiteet:

  • Tietoturvapolitiikat ja -menettelyt
  • Työntekijöiden salassapitosopimukset
  • Säännölliset tietoturvakoulutukset
  • Pääsynhallinta- ja hallintamenettelyt
  • Poikkeamanhallintamenettelyt

2. Tekniset toimenpiteet:

  • Tietojen salaus siirron aikana ja levossa
  • Vahvat todennusmekanismit
  • Verkkoturvallisuuden hallinta
  • Turvalliset kehityskäytännöt
  • Säännölliset tietoturva-arvioinnit ja haavoittuvuustestit
  • Järjestelmätoiminnan lokikirjaus ja valvonta
  • Varmuuskopiointi ja palautumismenettelyt

3. Fyysiset turvatoimenpiteet:

  • Suojatut palvelinkeskukset, joissa pääsynhallinta
  • Ympäristön suojatoimenpiteet
  • Valvontajärjestelmät
  • Fyysisen pääsyn lokit
Päivitetty viimeksi: 19.3.2025