TIETOJENKÄSITTELYSOPIMUS

Tämä tietosuojaa ja Henkilötietojen Käsittelyä koskeva sopimus ("Tietosuojaliite") on erottamaton osa Palveluun rekisteröityvän Tuottajan ("Asiakas" tai "Rekisterinpitäjä") ja Yhtiön ("Toimittaja" tai "Käsittelijä") välillä solmittuja Ehtoja ("Sopimus"). Tässä Tietosuojaliitteessä määritellään Henkilötietojen Käsittelyä koskevat ehdot, mukaan lukien asianmukaiset tietoturvatoimenpiteet, joita Toimittaja sitoutuu noudattamaan Käsitellessään Henkilötietoja Asiakkaan lukuun.

Alla on tiivistelmä Tietosuojaliitteen ehdoista ymmärtämisen helpottamiseksi, mutta pyydämme lukemaan Tietosuojaliitteen kokonaan:

  • Rekisterinpitäjä vastaa Henkilötietojen lainmukaisesta Käsittelystä sekä muiden Rekisterinpitäjän Tietosuojalainsäädännön mukaisten velvoitteiden täyttämisestä. Käsittelijä avustaa Rekisterinpitäjää velvoitteiden täyttämisessä kaupallisesti kohtuullisin keinoin.

  • Käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet ja ilmoittaa Rekisterinpitäjälle kirjallisesti ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin sisällä siitä, kun Käsittelijä on tullut tietoiseksi tai olisi pitänyt tulla tietoiseksi mistä tahansa Henkilötietojen vahingossa tapahtuvasta tai lainvastaisesta tuhoutumisesta, häviämisestä, muuttamisesta, luvattomasta luovuttamisesta taikka pääsystä Henkilötietoihin.

  • Käsittelijä vastaa siitä, että se pystyy vahvistamaan tämän Tietosuojaliitteen ja Tietosuojalainsäädännön noudattamisen ja sallii alla mainituin ehdoin Rekisterinpitäjän suorittamat auditoinnit. Rekisterinpitäjä vastaa auditoinnin kustannuksista.

  • Rekisterinpitäjä antaa Käsittelijälle yleisen ennakkoluvan käyttää Alikäsittelijöitä Rekisterinpitäjän lukuun suoritettavassa Henkilötietojen Käsittelyssä.

  • Sopimuksissa sovittuja vastuunrajauksia sovelletaan myös tähän Tietosuojaliitteeseen.

  • Käsittelyyn liittyvien palveluiden irtisanomisen tai päättymisen yhteydessä Käsittelijä palauttaa kaikki Henkilötiedot Rekisterinpitäjälle jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.

1. Määritelmät

1.1 "Henkilötiedolla" tarkoitetaan mitä tahansa tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvää tietoa, mukaan lukien tunnistetiedot, kuten nimi, henkilötunnus, sijaintitieto, verkkotunnistetieto taikka yksi tai useampi luonnolliselle henkilölle tunnusomainen fyysinen, fysiologinen, geneettinen, psyykkinen, taloudellinen, kulttuurillinen tai sosiaalinen tekijä.

1.2 "Rekisteröity" tarkoittaa luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa Henkilötiedon avulla.

1.3 "Käsittelyllä" tarkoitetaan mitä tahansa toimintoja, joita kohdistetaan Henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

1.4 "Alikäsittelijä" tarkoittaa mitä tahansa Käsittelijään sopimussuhteessa olevaa kolmatta osapuolta, tai tämän käyttämää Alikäsittelijää, joka osallistuu Rekisterinpitäjän Henkilötietojen Käsittelyyn.

1.5 "Vakiosopimuslausekkeet" tarkoittavat Euroopan komission 4.6.2021 hyväksymiä vakiolausekkeita koskien Henkilötietojen siirtoja kolmansissa maissa sijaitseville käsittelijöille taikka mitä tahansa kyseisiä Vakiosopimuslausekkeita virallisesti muuttavia tai korvaavia vakiolausekkeita.

1.6 "Tietosuojalainsäädäntö" tarkoittaa mitä tahansa voimassa olevaa ja soveltuvaa EU:n tai sen jäsenvaltion lainsäädäntöä liittyen luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä, mukaan lukien erityisesti yleinen tietosuoja-asetus (EU) 2016/679 ("GDPR") sekä kaikki muut aika ajoin soveltuvat EU:n tai sen jäsenvaltion lait, säädökset, asetukset ja sääntelyohjeet koskien yksityisyydensuojaa ja tietosuojaa.

2. Henkilötietojen käsittely

Rekisterinpitäjä vastaa Henkilötietojen lainmukaisesta Käsittelystä sekä muiden Rekisterinpitäjän Tietosuojalainsäädännön mukaisten velvoitteiden täyttämisestä. Rekisterinpitäjän vastuulla on myös informoida Rekisteröityjä heidän Henkilötietojensa Käsittelystä.

Käsittelijä sitoutuu Käsittelemään Henkilötietoja vain tässä Tietosuojaliitteessä annettujen kirjallisten ohjeiden mukaisesti. Jos Käsittelijältä puuttuu ohjeet, joita Käsittelijä pitää tarpeellisena Rekisterinpitäjältä saamansa tehtävän suorittamiseksi, tai Rekisterinpitäjän antamat ohjeet ovat Tietosuojalainsäädännön tai muun soveltuvan lain vastaisia, Käsittelijä ilmoittaa tästä Rekisterinpitäjälle.

Käsittelijän ilmoittaa Rekisterinpitäjälle ilman aiheetonta viivytystä kaikista valvontaviranomaisen yhteydenotoista, jotka liittyvät tai joilla on merkitystä Rekisterinpitäjän lukuun suoritettavaan Henkilötietojen Käsittelyyn. Käsittelijä ei voi edustaa Rekisterinpitäjää, tai toimia Rekisterinpitäjän puolesta, suhteessa valvontaviranomaiseen tai mihin tahansa kolmanteen osapuoleen.

Käsittelijä avustaa kaupallisesti kohtuullisin keinoin Rekisterinpitäjää sen Tietosuojalainsäädännön mukaisten velvoitteiden noudattamisessa, kuten avustaminen tietoturvatoimenpiteiden täytäntöön panemisessa, tietosuojan vaikutustenarvioinneissa (mukaan lukien valvontaviranomaisen ennakkokuulemiset) ja Henkilötietojen tietoturvaloukkauksen ilmoittamisessa. Jos Rekisteröity pyytää Käsittelijältä tietoja Henkilötietojen Käsittelyyn liittyen, Käsittelijä välittää pyynnön eteenpäin Rekisterinpitäjälle ja avustaa Rekisterinpitäjää pyyntöön vastaamisessa Tietosuojalainsäädännön asettamien vaatimusten mukaisesti. Käsittelijä avustaa Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, ottaen huomioon Käsittelyn luonteen. Käsittelijällä on oikeus laskuttaa Rekisterinpitäjää avustamisesta tavanomaisen hinnastonsa mukaisesti.

Käsittelijän tulee asettaa asianmukaiset salassapitoa ja tietoturvaa koskevat sopimusvelvoitteet henkilöstölle, joka on valtuutettu Käsittelemään Henkilötietoja.

3. Tietoturva

Tietosuojalainsäädännön mukaisesti Käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Henkilötietojen turvallisuuden varmistamiseksi. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, Käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä Käsittelyyn liittyvä riskitaso, Käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet tietoturvan varmistamiseksi, mukaan lukien muun muassa:

a) Henkilötietojen pseudonymisointi ja salaus;

b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; ja

d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

4. Tietoturvaloukkaukset

Käsittelijä ilmoittaa Rekisterinpitäjälle kirjallisesti ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin sisällä siitä, kun Käsittelijä on tullut tietoiseksi tai olisi pitänyt tulla tietoiseksi mistä tahansa Henkilötietojen vahingossa tapahtuvasta tai lainvastaisesta tuhoutumisesta, häviämisestä, muuttamisesta, luvattomasta luovuttamisesta taikka pääsystä Henkilötietoihin. Tietoturvaloukkausta koskevan ilmoituksen on sisällettävä vähintään seuraavat tiedot:

a) kuvaus tietoturvaloukkauksen luonteesta ja mahdollisuuksien mukaan sen kohteena olevien Rekisteröityjen ryhmät ja arvioidut lukumäärät sekä sen kohteena olevien Henkilötietojen ryhmät ja arvioitu määrä;

b) kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja

c) kuvaus Käsittelijän tekemistä tai tehtäväksi ehdotetuista toimenpiteistä tietoturvaloukkauksen korjaamiseksi, mukaan lukien tarvittaessa toimenpiteet haitallisten vaikutusten lieventämiseksi.

5. Auditoinnit

Käsittelijä vastaa siitä, että se pystyy vahvistamaan tämän Tietosuojaliitteen ja Tietosuojalainsäädännön noudattamisen. Rekisterinpitäjällä, mukaan lukien sen tätä tarkoitusta varten valtuuttamalla kolmannella osapuolella, joka ei saa olla Käsittelijän kilpailija, on oikeus suorittaa auditointeja arvioidakseen ja vahvistaakseen Käsittelijän tämän Tietosuojaliitteen ja Tietosuojalainsäädännön noudattamisen. Rekisterinpitäjän on ilmoitettava auditoinnista neljätoista (14) kalenteripäivää ennen auditoinnin suorittamista. Käsittelijän on, Rekisterinpitäjän ilmoituksen saatuaan, tarjottava tarpeellista avustusta ja sallittava Rekisterinpitäjän suorittamat tarkastukset kaikkeen Käsittelijän asiaankuuluvan dokumentaation. Mikäli tällaista dokumentaatiota ei voida katsoa riittäväksi tai olosuhteiden niin vaatiessa, on Käsittelijän, Rekisterinpitäjän ilmoituksen saatuaan, tarjottava Rekisterinpitäjälle tarpeellinen pääsy sekä sallittava Rekisterinpitäjän suorittamat tarkastukset Käsittelyssä käytettäviin resursseihin.

Rekisterinpitäjä vastaa auditoinnista aiheutuvista kustannuksista. Käsittelijällä on oikeus laskuttaa Rekisterinpitäjää tavanomaisen hinnastonsa mukaisesti auditoinnissa avustamisesta.

6. Alikäsittely

Rekisterinpitäjä antaa Käsittelijälle yleisen ennakkoluvan käyttää Alikäsittelijöitä Rekisterinpitäjän lukuun suoritettavassa Henkilötietojen Käsittelyssä. Käsittelijä tiedottaa Rekisterinpitäjää ennen kuin se siirtää Henkilötietoja uudelle Alikäsittelijälle. Saatuaan tiedon uudesta Alikäsittelijästä, Rekisterinpitäjällä on oikeus vastustaa uuden Alikäsittelijän käyttöä kolmen arkipäivän kuluessa tiedon saatuaan.

Käsittelijä solmii asianmukaiset kirjalliset sopimukset kaikkien käyttämiensä Alikäsittelijöiden kanssa ehdoilla, jotka olennaisesti vastaavat tässä tietosuojaliitteessä sovittua. Käsittelijä vastaa kaikilta osin sen käyttämien Alikäsittelijöiden toimista ja laiminlyönneistä Rekisterinpitäjää kohtaan.

7. Henkilötietojen siirto kolmansiin maihin

Jos tämän Tietosuojaliitteen alainen Henkilötietojen Käsittely sisältää Henkilötietojen siirtämisen Alikäsittelijälle Euroopan talousalueen ulkopuoliseen maahan, jonka osalta Euroopan komissio ei ole antanut päätöstä riittävästä tietosuojan tasosta Tietosuojalainsäädännön mukaisesti, Käsittelijällä on velvollisuus solmia Alikäsittelijän kanssa Vakiosopimuslausekkeet ja ottaa käyttöön täydentäviä suojatoimia taatakseen Henkilötietojen tietosuojan tason säilyvän samana myös tiedon siirron yhteydessä. Käsittelijän ei ole sallittua siirtää mitään Henkilötietoja kyseessä olevalle Alikäsittelijälle ennen kuin se on solminut Vakiosopimuslausekkeet Alikäsittelijän kanssa edellä mainitun mukaisesti. Rekisterinpitäjällä on oikeus saada Alikäsittelijöiden kanssa solmitut Vakiosopimuslausekkeet nähtäväksi pyynnöstä.

8. Vahingonkorvaus

Sopimuksissa sovittuja vastuunrajauksia sovelletaan myös tähän Tietosuojaliitteeseen. Osapuolten vastuu valvontaviranomaisen määräämiin hallinnollisiin sakkoihin määräytyy Tietosuojalainsäädännön mukaisesti.

9. Voimassaolo

Tietosuojaliite on voimassa niin kauan, kun Henkilötietoja käsitellään Käsittelijän toimesta Reksiterinpitäjän lukuun. Käsittelyyn liittyvien palveluiden irtisanomisen tai päättymisen yhteydessä Käsittelijä palauttaa kaikki Henkilötiedot Rekisterinpitäjälle jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.

ALALIITE A – HENKILÖTIETOJEN KÄSITTELYN KUVAUS

Alaliitteen tarkoitus

Tämä alaliite A (”Alaliite”) täydentää Rekisterinpitäjän ja Käsittelijän välillä tehtyä Tietosuojaliitettä ja on sen erottamaton osa. Tietosuojaliitteen ehdot soveltuvat tähän Alaliitteeseen, eikä tällä Alaliitteellä muuteta Tietosuojaliitteen sisältöä enempää kuin mitä alempana on sovittu. Käsittelijä sitoutuu Käsittelemään Henkilötietoja Rekisterinpitäjän puolesta tämän Alaliitteen mukaisesti.

Osapuolet sopivat seuraavasti:

Käsittelyn kohde, laajuus ja tarkoitus

Käsittelijä Käsittelee Henkilötietoja ainoastaan Graani verkkokauppa-alustan tarjoamisen yhteydessä tarjotakseen Palvelun Rekisterinpitäjälle Ehtojen mukaisesti.

Käsittelytoimet

Käsittelijän suorittamiin olennaisiin Henkilötietojen käsittelytoimiin kuuluvat Henkilötietojen tai Henkilötioihin:

  • Kerääminen

  • Järjestäminen

  • Säilyttäminen

  • Hakeminen

  • Käyttäminen

  • Levittäminen tai asettaminen muutoin saataville

  • Rajoittaminen

  • Tallentaminen

  • Jäsentäminen

  • Muokkaaminen tai muuttaminen

  • Pääseminen, hakeminen tai kysely

  • Luovuttaminen siirtämällä

  • Yhteensovittaminen tai yhdistäminen

  • Poistaminen tai tuhoaminen

  • Muu (täsmennä): –

Henkilötietojen maantieteellinen sijainti

Henkilötietoja käsitellään (ml. etäkäyttö tai ylläpito) seuraavissa maissa tai paikossa:

  • Euroopan unioni (EU) tai Euroopan talousalue (ETA)

  • Yhdysvallat (lisää tietojen tuojan nimi): –

  • Muu maa tai alue (täsmennä ja lisää tietojen tuojan nimi): –

Rekisteröityjen ryhmät

Rekisteröidyt, joiden Henkilötietoja Käsitellään ovat Rekisterinpitäjän kuluttaja-asiakkaita ja verkkokaupan vierailijoita.

Henkilötietoryhmät

Käsiteltävät Henkilötiedot sisältävät kuluttaja-asiakkaiden yhteystietoja.

Käsittelyn kesto

Henkilötietoja käsitellään ainoastaan niin kauan kuin on tarpeen Ehtojen mukaisen Palvelun tarjoamista varten.