Tietojenkäsittelysopimus Skillhabit
Tämän asiakirjan englannin- ja saksankieliset versiot ovat oikeudellisesti sitovia. Käännökset muille kielille on esitetty vain tarkoituksenmukaisuuden vuoksi.
1. Tausta
1.1
Tämä tietojenkäsittelysopimus ("Tietojenkäsittelysopimus") on tehty Pääsopimuksen (määritelty jäljempänä) voimaantulopäivänä TicTac Learn AB:n, yritystunnus 556567-7266, Dockplatsen 1, 211 19 Malmö ("Henkilötietojen käsittelijä") ja Pääsopimuksen hyväksyvän asiakkaan (määritelty Pääsopimuksessa) ("Rekisterinpitäjä") välillä.
1.2
Rekisterinpitäjä ja Henkilötietojen käsittelijä (yhdessä "Osapuolet") ovat tehneet sopimuksen, joka koskee Henkilötietojen käsittelijän tarjoamaa pilvipohjaista alustaa nimeltä Skillhabit ("Skillhabit"), jota Rekisterinpitäjä käyttää tiedon digitaaliseen jakamiseen ja seurantaan ("Pääsopimus"). Henkilötietojen käsittelijä käsittelee Pääsopimuksen puitteissa henkilötietoja, joiden osalta Rekisterinpitäjä on Tietosuojalakien ja -asetusten mukainen Rekisterinpitäjä ("käsittely").
1.3
Tämän Tietojenkäsittelysopimuksen tarkoituksena on varmistaa, että Käsittely tapahtuu tietosuojalakien ja -asetusten, Rekisterinpitäjän ohjeiden ja Osapuolten välillä muutoin sovitun mukaisesti. Tätä Tietojenkäsittelysopimusta pidetään Pääsopimuksen erottamattomana osana.
1.4
Jos tämän Tietojenkäsittelysopimuksen ja Pääsopimuksen määräykset ovat ristiriidassa keskenään, sovelletaan tätä Tietojenkäsittelysopimusta.
2. Sovellettava laki ja määritelmät
2.1
Käsittelyyn sovelletaan Tietosuojalakeja ja -asetuksia.
2.2
”Tietosuojalailla ja -asetuksilla” tarkoitetaan kaikkia henkilötietojen käsittelyyn sovellettavia lakeja, asetuksia ja sääntöjä, mukaan lukien EU:n yleinen tietosuoja-asetus (EU) 2016/679 ja kaikki muutokset, lisäykset tai asetukset, jotka korvaavat kyseiset lait, asetukset ja säännöt.
2.3
Ellei tässä Tietojenkäsittelysopimuksessa toisin mainita, tässä Tietojenkäsittelysopimuksessa käytetyillä käsitteillä on sama merkitys kuin mitä niille on annettu tietosuojalainsäädännössä.
3. Rekisterinpitäjän vastuut
3.1
Rekisterinpitäjä on Rekisteröityjen osalta vastuussa siitä, että Käsittelyä koskevat oikeudelliset vaatimukset täyttävät Tietosuojalakien ja -asetusten vaatimukset.
3.2
Rekisterinpitäjä vahvistaa, että Käsittely on yhdenmukaista niiden tarkoitusten kanssa, joita varten Käsittelyn kohteena olevat henkilötiedot on kerätty.
3.3
Rekisterinpitäjän vastuulla on varmistaa, että Henkilötietojen käsittelijälle ilmoitetaan milloin tahansa Rekisterinpitäjän voimassa olevat ohjeet, kuten liitteessä A olevat ohjeet ja muut Rekisterinpitäjän kirjalliset Käsittelyä koskevat ohjeet. Jos Rekisterinpitäjä antaa uusia Käsittelyä koskevia ohjeita, jotka poikkeavat Pääsopimukseen liittyvien palveluiden mukaisista ohjeista, ja nämä ohjeet edellyttävät Henkilötietojen käsittelijältä enemmän ja menevät pidemmälle kuin mitä Tietosuojalaissa ja -asetuksissa tai Ruotsin tietosuojaviranomaisen neuvoissa ja lausunnoissa määrätään, Henkilötietojen käsittelijä harkitsee näitä ohjeita, mutta ei ole velvollinen hyväksymään niitä. Jos tällaiset lisäohjeet muuttavat merkittävästi Henkilötietojen käsittelijän Pääsopimuksen nojalla suorittamien palvelujen laajuutta, asia käsitellään ensisijaisesti Pääsopimuksen nojalla.
3.4
Kaikki Rekisterinpitäjän antamat ohjeet on kirjallisesti tai muulla tavoin dokumentoitava.
4. Henkilötietojen käsittelijän vastuut
4.1
Käsittely on kuvattu tarkemmin liitteessä A. Henkilötietojen käsittelijä sitoutuu käsittelemään henkilötietoja ainoastaan sellaisilla tavoilla ja sellaisissa tarkoituksissa, jotka ovat tarpeen sen Pääsopimuksen ja tämän Tietojenkäsittelysopimuksen mukaisten velvoitteiden täyttämiseksi tai Rekisterinpitäjän liitteessä A antamien ja Henkilötietojen käsittelijän hyväksymien dokumentoitujen ohjeiden mukaisesti. Henkilötietojen käsittelijä voi käsitellä henkilötietoja myös Rekisterinpitäjän ajoittain tilaamien lisäpalvelujen tarjoamiseksi.
4.2
Saatuaan Rekisterinpitäjältä kirjalliset ohjeet, kuten liitteessä A olevat ohjeet, Henkilötietojen käsittelijän on toteutettava kohtuullisen ajan kuluessa asianmukaiset toimenpiteet sen varmistamiseksi, että Käsittelyä mukautetaan ohjeiden mukaisesti. Henkilötietojen käsittelijällä on oikeus pyytää erityiskorvausta sellaisista Käsittelyä koskevista toimista, joita Rekisterinpitäjä ei ole nimenomaisesti määritellyt Pääsopimuksen ja tämän Tietojenkäsittelysopimuksen tekohetkellä.
4.3
Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikille luonnollisille henkilöille, jotka tekevät työtä sen johdolla ja joilla on pääsy henkilötietoihin, tiedotetaan tämän Tietojenkäsittelysopimuksen sisällöstä ja että he käsittelevät henkilötietoja ainoastaan Tietojenkäsittelysopimuksen ja Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti.
4.4
Henkilötietojen käsittelijän on kohtuullisesti avustettava Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä siinä määrin kuin on tarpeen, jotta Rekisterinpitäjä voi täyttää velvollisuutensa vastata Rekisteröityjen pyyntöihin, jotka koskevat henkilötietojen oikaisemista, käsittelyn rajoittamista tai poistamista.
4.5
Henkilötietojen käsittelijän on ilmoitettava Rekisterinpitäjälle henkilötietojen tietoturvaloukkauksista ilman aiheetonta viivytystä siitä, kun loukkaus on tullut Henkilötietojen käsittelijän tietoon. Henkilötietojen käsittelijän on kohtuullisessa määrin avustettava Rekisterinpitäjää tiedoilla, joita Rekisterinpitäjä tarvitsee täyttääkseen velvollisuutensa, jotka koskevat henkilötietojen tietoturvaloukkauksesta ilmoittamista toimivaltaiselle valvontaviranomaiselle, ja tarvittaessa annettava Rekisteröidyille tietoja henkilötietojen tietoturvaloukkauksesta.
4.6
Henkilötietojen käsittelijä sitoutuu avustamaan Rekisterinpitäjää tietosuojaa koskevien vaikutustenarviointien ja ennakkokuulemisten toteuttamisessa sekä avustamaan henkilötietojen tietoturvaloukkausten tutkimisessa toimivaltaisten valvontaviranomaisten kanssa.
4.7
Henkilötietojen käsittelijällä on oikeus kohtuulliseen korvaukseen kohdissa 4.4 ja 4.6 tarkoitettujen sitoumusten täyttämiseksi tehdystä työstä.
5. Henkilötietojen siirto
5.1 Siirto EU:n/ETA:n ulkopuolisiin maihin
5.1.1
Henkilötietojen käsittelijä sitoutuu olemaan siirtämättä henkilötietoja EU:n/ETA:n ulkopuolelle ilman Rekisterinpitäjän etukäteen antamaa kirjallista suostumusta.
5.1.2
Jos henkilötietojen siirto EU:n/ETA:n ulkopuolisille vastaanottajille on lain mukaan sallittua, kun on tehty erityissopimus (tai toteutettu muita toimenpiteitä) riittävän tietosuojan tason säilyttämiseksi ja Henkilötietojen käsittelijä voi osoittaa, että tällainen sopimus on olemassa (tai että tällaiset toimenpiteet on toteutettu), Rekisterinpitäjällä ei ole oikeutta kieltäytyä tällaisesta siirrosta.
5.2 Siirto kolmansille osapuolille
5.2.1
Henkilötietojen käsittelijä ei saa luovuttaa henkilötietoja kolmansille osapuolille ilman Rekisterinpitäjän etukäteen antamaa kirjallista suostumusta, ellei luovuttamista vaadita sovellettavassa laissa tai hallituksen päätöksessä. Henkilötietojen käsittelijällä on kuitenkin aina oikeus luovuttaa henkilötietoja alihankkijoille jäljempänä olevan kohdan ”Alikäsittelijöiden palkkaaminen” mukaisesti sekä osapuolille, joiden palveluja Henkilötietojen käsittelijä jakelee.
5.2.2
Jos tuomioistuin tai viranomainen määrää Henkilötietojen käsittelijän luovuttamaan henkilötietoja tai toteuttamaan muita Käsittelyyn liittyviä toimia, Henkilötietojen käsittelijällä on oikeus saada kohtuullinen korvaus tehdystä työstä. Henkilötietojen käsittelijällä on myös oikeus kohtuulliseen korvaukseen henkilötietojen luovuttamisesta muille kuin Rekisterinpitäjälle ja tällaiseen luovuttamiseen liittyvistä toimenpiteistä.
6. Alihankkijoiden palkkaaminen
6.1
Rekisterinpitäjä hyväksyy, että Henkilötietojen käsittelijä käyttää alihankkijoita henkilötietojen käsittelyn suorittamiseen ("Alikäsittelijä"). Henkilötietojen siirto Alikäsittelijälle tapahtuu Henkilötietojen käsittelijän vastuulla, eikä se aiheuta muutoksia Henkilötietojen käsittelijän ja Rekisterinpitäjän väliseen vastuunjakoon.
6.2
Henkilötietojen käsittelijä sitoutuu ilmoittamaan asiasta Rekisterinpitäjälle kirjallisesti ennen Alikäsittelijän palkkaamista. Rekisterinpitäjällä on mahdollisuus vastustaa Alikäsittelijän valintaa viiden (5) päivän kuluessa Henkilötietojen käsittelijän ilmoituksesta. Henkilötietojen käsittelijä ei saa käyttää valittua Alikäsittelijää, jos Rekisterinpitäjä on esittänyt perusteltuja vastalauseita. Osapuolet sopivat, että Rekisterinpitäjän voidaan katsoa saaneen tiedon siitä, että Henkilötietojen käsittelijä aikoo käyttää liitteessä B lueteltua Alikäsittelijää.
6.3
Kun Henkilötietojen käsittelijä ottaa Alikäsittelijän suorittamaan Käsittelyä, Henkilötietojen käsittelijä sitoutuu allekirjoittamaan Alikäsittelijän kanssa henkilötietojen käsittelyä koskevan sopimuksen, jossa Alikäsittelijällä on samat velvoitteet kuin tässä sopimuksessa.
7. Tekniset ja organisatoriset suojatoimet
7.1
Henkilötietojen käsittelijän on toteutettava Tietosuojalakien ja -asetusten edellyttämät tekniset ja organisatoriset toimenpiteet varmistaakseen riskiin nähden asianmukaisen suojatason erityisesti niiden riskien osalta, jotka liittyvät Käsittelyyn kuuluvien henkilötietojen luvattomaan käyttöön, tuhoamiseen ja muuttamiseen. Henkilötietojen käsittelijä päättää, miten tällaiset toimenpiteet toteutetaan vaaditun suojatason saavuttamiseksi.
7.2
Jos Rekisterinpitäjä pitää todennäköisenä, että tarvitaan uusi suojatoimi tai että nykyisiä suojatoimia on mukautettava, jotta ne täyttävät asianmukaista suojatasoa koskevat oikeudelliset vaatimukset tai ovat hallituksen päätösten mukaisia, Osapuolet keskustelevat tällaisen toimenpiteen toteuttamisesta tai nykyisen suojatoimen muuttamisesta. Laajennetut tai lisäsuojatoimet edellyttävät Osapuolten kirjallista sopimusta. Tällaisessa tapauksessa Henkilötietojen käsittelijällä on oikeus erityiskorvaukseen toteutetuista suojatoimista.
8. Luottamuksellisuus
8.1
Henkilötietojen käsittelijä sitoutuu olemaan luovuttamatta kolmansille osapuolille tietoja, jotka se on saanut Rekisterinpitäjältä Henkilötietojen käsittelijänä, tai tietoja, joita se on muutoin käsitellyt Henkilötietojen käsittelijänä Rekisterinpitäjälle. Henkilötietojen käsittelijä sitoutuu varmistamaan, että sen alaisuudessa työskentelevät henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tämän kohdan ”Luottamuksellisuus” mukaisesti. Salassapitovelvollisuus ei kuitenkaan koske seuraavia tietoja:
i) tietoja, jotka ovat julkisesti tiedossa tai tulevat julkisuuteen muuten kuin tämän Tietojenkäsittelysopimuksen rikkomisen vuoksi
ii) tietoja, joiden Henkilötietojen käsittelijä voi osoittaa olleen hallussaan, ennen kuin Henkilötietojen käsittelijä sai tiedot Rekisterinpitäjältä tämän Tietojenkäsittelysopimuksen yhteydessä
iii) tietoja, jotka Henkilötietojen käsittelijä saa oikeutetusti kolmansilta osapuolilta tämän sopimussuhteen ulkopuolella ilman rajoituksia tai
iv) tietoja, jotka Osapuoli on lakisääteisesti velvollinen toimittamaan pakottavan lainsäädännön, tuomioistuimen määräysten tai muun viranomaisen päätösten perusteella.
9. Auditoinnit
9.1
Rekisterinpitäjällä on oikeus suorittaa 30 päivän etukäteisilmoituksella ja omalla kustannuksellaan joko itse tai valtuutetun kolmannen osapuolen ("Auditoija") välityksellä auditointeja (mukaan lukien tarkastukset) varmistaakseen, että Henkilötietojen käsittelijä noudattaa tätä Tietojenkäsittelysopimusta.
9.2
Rekisterinpitäjän on Auditoijaa nimittäessään otettava huomioon Henkilötietojen käsittelijän ja aiotun Auditoijan välisiin liikesuhteisiin liittyvät kilpailunäkökohdat. Tältä osin Auditoijan tulee olla Henkilötietojen käsittelijän hyväksymä. Henkilötietojen käsittelijä ei saa kuitenkaan kohtuuttomasti kieltäytyä hyväksymisestä.
9.3
Henkilötietojen käsittelijä sitoutuu antamaan Rekisterinpitäjälle tai Auditoijalle käyttöön asiakirjat, jotka ovat tarpeen sen osoittamiseksi, että Henkilötietojen käsittelijä on täyttänyt Tietojenkäsittelysopimuksen mukaiset velvoitteensa, ja avustamaan Rekisterinpitäjää tai Auditoijaa myös muulla tavoin auditoinnin ja tarkastuksen suorittamisessa. Auditoinnit ja tarkastukset voidaan suorittaa arkipäivisin työaikana klo 9–17.
9.4
Henkilötietojen käsittelijä voi antaa Auditoijalle rajoitetun pääsyn Henkilötietojen käsittelijän tiloihin, joissa Käsittely suoritetaan. Auditoijan on noudatettava auditoinnissa Henkilötietojen käsittelijän kohtuullisia työsääntöjä, turvallisuusvaatimuksia ja muita työpaikalla sovellettavia määräyksiä, eikä se saa häiritä Henkilötietojen käsittelijän päivittäistä toimintaa. Auditoijalla ei saa olla pääsyä Henkilötietojen käsittelijän muihin asiakkaisiin liittyviin luottamuksellisiin tietoihin tai henkilötietoihin, joita ei käsitellä tämän Tietojenkäsittelysopimuksen mukaisesti.
10. Vahingonkorvaukset ja vastuu kolmansia osapuolia kohtaan
10.1
Osapuoli sitoutuu korvaamaan toiselle Osapuolelle vahingon, joka aiheutuu siitä, että ensimmäinen Osapuoli käsittelee henkilötietoja Tietosuojalakien ja -asetusten tai tämän Tietojenkäsittelysopimuksen vastaisesti. Tällaiseen vahinkoon voi kuulua muun muassa velvollisuus maksaa vahingonkorvauksia Rekisteröidylle tai toimivaltaisen valvontaviranomaisen määräämiä hallinnollisia sakkoja.
10.2
Osapuoli ei ole tämän Tietojenkäsittelysopimuksen nojalla velvollinen maksamaan korvausta välillisistä vahingoista, kuten voiton menetyksestä.
11. Sopimuksen voimassaoloaika ja toimenpiteet sopimuksen päättyessä
11.1
Tätä Tietojenkäsittelysopimusta sovelletaan siitä lähtien, kun molemmat Osapuolet allekirjoittavat sen, ja niin kauan kuin Henkilötietojen käsittelijä käsittelee henkilötietoja Rekisterinpitäjän puolesta. Irtisanomista koskevat määräykset löytyvät Pääsopimuksesta.
11.2
Ellei Rekisterinpitäjä nimenomaisesti määrää Henkilötietojen käsittelijää palauttamaan henkilötietoja, käsittelijä sitoutuu poistamaan kaikki Käsittelyyn liittyvät henkilötiedot Käsittelyssä käytetyistä järjestelmistä tämän Tietojenkäsittelysopimuksen päättyessä, ellei tällainen menettely ole ristiriidassa sovellettavan kansallisen tai EU:n lainsäädännön kanssa. Henkilötietojen palauttamista koskeva pyyntö on tehtävä kirjallisesti ja toimitettava Henkilötietojen käsittelijälle viimeistään Pääsopimuksen irtisanomisen yhteydessä.
11.3
Jos Pääsopimus päättyy ja uusi, henkilötietojen käsittelyä sisältävä sopimus tehdään ilman Tietojenkäsittelysopimusta, tätä Tietojenkäsittelysopimusta sovelletaan myös henkilötietojen käsittelyyn, joka tapahtuu osana uuden sopimuksen nojalla tarjottavia palveluja.
12. Sovellettava laki ja riidat
12.1
Tähän Tietojenkäsittelysopimukseen sovelletaan Ruotsin aineellista lakia ja se laaditaan Ruotsin aineellisen lain mukaisesti.
12.2
Tähän Tietojenkäsittelysopimusta liittyvät riidat ratkaistaan lopullisesti yleisessä tuomioistuimessa, jonka ensimmäinen oikeusaste on Malmön käräjäoikeus.
Liitteet
LIITE A
Käsittelyn suorittamista koskevat ohjeet
Sen lisäksi, mitä Tietojenkäsittelysopimuksessa on mainittu, Henkilötietojen käsittelijän on noudatettava alla olevia ohjeita Käsittelyä suorittaessaan.
Käsittelyn tarkoitus
Käsittelyä voidaan suorittaa ainoastaan Pääsopimuksessa määriteltyjen palvelujen tarjoamiseksi, eli pääasiassa pilvipohjaisen Skillhabitin tarjoamiseksi tiedon digitaalista jakamista ja seurantaa varten. Henkilötietojen käsittelijä ei saa käsitellä tai käyttää henkilötietoja omiin tai muihin tarkoituksiinsa.
Käsittelytyypit
Henkilötietojen käsittelijä voi käyttää sellaisia henkilötietojen käsittelytyyppejä, jotka ovat tarpeen Pääsopimuksen mukaisten palvelujen tarjoamiseksi, mukaan lukien rekisteröinti, järjestäminen, tallentaminen, muuttaminen, käyttö ja/tai poistaminen.
Henkilötietojen tyypit
Henkilötietojen käsittelijä saa käsitellä ainoastaan seuraavanlaisia henkilötietoja: henkilötunnus, nimi, osoite, puhelinnumero, työnantaja, koulutushistoria. Henkilötietojen käsittelijä voi käsitellä myös muita henkilötietoja, jos se on tarpeen Pääsopimuksen mukaisten palvelujen tarjoamiseksi.
Rekisteröityjen ryhmät
Käsittely koskee ainoastaan niitä Rekisteröityjen ryhmiä, jotka Rekisterinpitäjä on ajoittain toimittanut Skillhabitin puitteissa, eli sisäisiä ja ulkoisia käyttäjiä ja ylläpitäjiä (kuten Pääsopimuksessa on kuvattu).
Käsittelyn kesto
Henkilötietojen käsittelijä poistaa henkilötiedot Tietojenkäsittelysopimuksen päättyessä sopimuksessa määritellyn mukaisesti. Henkilötietojen käsittelijä poistaa henkilötietoja myös tapauskohtaisesti Rekisterinpitäjän kirjallisten ohjeiden mukaisesti.
Henkilötietojen käsittelijän edustajan yhteystiedot
Sähköposti: gdpr@tictac.se
Puhelinnumero: +46 40 631 88 30
LIITE B
Hyväksytyt Alikäsittelijät
Rekisterinpitäjä hyväksyy, että Henkilötietojen käsittelijä käyttää seuraavia Alikäsittelijöitä tämän Tietojenkäsittelysopimuksen kohdan ”Alikäsittelijöiden palkkaaminen” toisen kohdan mukaisesti:
- Yritykset, jotka ajoittain ovat osa sitä konsernia, johon Henkilötietojen käsittelijä kuuluu, edellyttäen, että kyseinen konserniyhtiö toimii EU:n/ETA:n alueella.
- Skillhabit AB (559287-8879) on TicTac Groupin omistama alustakehitysyritys.
- GleSYS (556647-9241), jota käytetään alihankkijana palvelimen, hostingin ja varmuuskopioinnin osalta.