Tietojenkäsittelysopimus
välillä
Asiakas YTJ:n mukaisesti rekisterinpitäjänä (jäljempänä "Resurssien valvoja"),
ja
Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Saksa tietojenkäsittelijänä (jäljempänä 'tietojen käsittelijä', rekisterinpitäjä ja tietojen käsittelijä yhdessä 'osapuolet').
Johdanto
Rekisterinpitäjä on antanut tietojen käsittelijälle toimeksiannon yleisessä sopimusehtosopimuksessa (jäljempänä 'pääsopimus') siinä määriteltyjä palveluja varten. Osa sopimuksen toteuttamista on henkilötietojen käsittely. Rekisterinpitäjä on erityisesti asetuksen (EY) N:o 2100/94 art. 28 GDPR asettaa erityisvaatimuksia tällaiselle toimeksiantosuhteiselle käsittelylle. Näiden vaatimusten täyttämiseksi osapuolet tekevät seuraavan tietojenkäsittelysopimuksen (jäljempänä "sopimus"), jonka suorittamisesta ei makseta erillistä korvausta, ellei siitä ole erikseen sovittu.
§ 1 Määritelmät
(1) Artiklan 1 kohdan mukaisesti. 4 (7) GDPR:n mukaan rekisterinpitäjä on yksikkö, joka yksin tai yhdessä muiden rekisterinpitäjien kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.
(2) Artiklan 2 kohdan mukaisesti. 4 (8) GDPR:n mukaan henkilötietojen käsittelijä on luonnollinen henkilö tai oikeushenkilö, viranomainen, laitos tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.
(3) Artiklan 3 artiklan mukaisesti. 4 artiklan 1 kohdan mukaisesti henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (jäljempänä 'rekisteröity') liittyviä tietoja; tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan suoraan tai välillisesti tunnistaa erityisesti tunnisteen, kuten nimen, henkilötunnuksen, sijaintitietojen, verkkotunnisteen tai yhden tai useamman kyseisen luonnollisen henkilön fyysiseen, fysiologiseen, geneettiseen, psyykkiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen identiteettiin liittyvän tekijän perusteella.
(4) Erityistä suojaa edellyttävät henkilötiedot ovat henkilötietoja, jotka on määritelty tietosuojasäännösten 2 artiklassa. 9 GDPR:n mukaiset henkilötiedot, joista käy ilmi rekisteröidyn rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset tai ammattiyhdistyksen jäsenyys, tietosuoja-asetuksen 9 artiklan mukaiset henkilötiedot. 10 GDPR:n mukaiset rikostuomioita ja rikoksia tai niihin liittyviä turvatoimia koskevat tiedot sekä geneettiset tiedot GDPR:n 10 artiklan mukaisesti. 4(13) GDPR:n mukaiset biometriset tiedot, biometriset tiedot GDPR:n 4(13) artiklan mukaisesti, biometriset tiedot GDPR:n 4(13) artiklan mukaisesti. 4 (14) GDPR:n mukaiset henkilötiedot, terveystiedot GDPR:n 4 (14) artiklan mukaisesti, terveystiedot GDPR:n 4 (14) artiklan mukaisesti. 4 artiklan 15 kohdan mukaiset tiedot sekä luonnollisen henkilön sukupuolielämää tai seksuaalista suuntautumista koskevat tiedot.
(5) Yleisen tietosuoja-asetuksen 4 artiklan 2 kohdan mukaan käsittely on mitä tahansa automaattista tai ei-automaattista toimintaa tai toimintojen sarjaa, joka kohdistuu henkilötietoihin, kuten tietojen kerääminen, tallentaminen, järjestäminen, arkistointi, säilyttäminen, muokkaaminen tai muuttaminen, haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla ne muutoin saataville, yhteensovittaminen tai yhdisteleminen, rajoittaminen, poistaminen tai tuhoaminen.
(6) Yleisen tietosuoja-asetuksen 4 artiklan 21 kohdan mukaan valvontaviranomainen on jäsenvaltion yleisen tietosuoja-asetuksen 51 artiklan mukaisesti perustama riippumaton valtion elin.
2 § Sopimuksen kohde
(1) Tietojen käsittelijä tarjoaa rekisterinpitäjälle pääsopimuksessa määritellyt palvelut. Näin tehdessään henkilötietojen käsittelijä saa pääsyn henkilötietoihin, joita henkilötietojen käsittelijä käsittelee rekisterinpitäjän puolesta yksinomaan rekisterinpitäjän puolesta ja tämän ohjeiden mukaisesti. Tietojenkäsittelijän suorittaman tietojenkäsittelyn laajuus ja tarkoitus määritellään pääsopimuksessa ja siihen liittyvissä palvelukuvauksissa. Rekisterinpitäjä vastaa tietojenkäsittelyn hyväksyttävyyden arvioinnista.
(2) Osapuolet tekevät tämän sopimuksen tarkentaakseen tietosuojalainsäädännön mukaiset keskinäiset oikeudet ja velvollisuudet. Epäselvissä tapauksissa tämän sopimuksen määräykset ovat ensisijaisia pääsopimuksen määräyksiin nähden.
(3) Tämän sopimuksen määräyksiä sovelletaan kaikkiin pääsopimukseen liittyviin toimiin, joissa henkilötietojen käsittelijä ja sen työntekijät tai henkilötietojen käsittelijän valtuuttamat henkilöt joutuvat kosketuksiin rekisterinpitäjältä peräisin olevien tai rekisterinpitäjän lukuun kerättyjen henkilötietojen kanssa.
(4) Tämän sopimuksen voimassaoloaika määräytyy pääsopimuksen voimassaoloajan mukaan, elleivät seuraavat määräykset aiheuta lisävelvoitteita tai irtisanomisoikeuksia.
§ 3 Oikeus saada opetusta
(1) Tietojen käsittelijä saa kerätä, käsitellä tai käyttää tietoja ainoastaan pääsopimuksen puitteissa ja rekisterinpitäjän ohjeiden mukaisesti. Jos tietojen käsittelijä on velvollinen suorittamaan jatkokäsittelyä Euroopan unionin tai sen jäsenvaltion lainsäädännön nojalla, johon se kuuluu, sen on ilmoitettava rekisterinpitäjälle näistä oikeudellisista vaatimuksista ennen käsittelyä.
(2) Rekisterinpitäjän ohjeet määritellään aluksi tässä sopimuksessa. Sen jälkeen rekisterinpitäjä voi muuttaa, täydentää tai korvata niitä kirjallisesti tai tekstimuodossa annettavilla yksittäisillä ohjeilla (yksilölliset ohjeet). Rekisterinpitäjällä on oikeus antaa tällaisia ohjeita milloin tahansa. Tämä koskee myös tietojen korjaamista, poistamista ja suojaamista koskevia ohjeita.
(3) Valvoja dokumentoi kaikki annetut ohjeet. Ohjeita, jotka ylittävät pääsopimuksessa sovitun palvelun, käsitellään palvelumuutospyyntönä.
(4) Jos henkilötietojen käsittelijä katsoo, että rekisterinpitäjän ohje on tietosuojasäännösten vastainen, sen on ilmoitettava siitä rekisterinpitäjälle ilman aiheetonta viivytystä. Tietojen käsittelijällä on oikeus keskeyttää kyseisen ohjeen täytäntöönpano, kunnes rekisterinpitäjä on vahvistanut tai muuttanut sen. Tietojen käsittelijä voi kieltäytyä toteuttamasta ilmeisen lainvastaista määräystä.
§ 4 Käsiteltävät tietotyypit, rekisteröityjen ryhmä, kolmas maa
(1) Pääsopimuksen täytäntöönpanon puitteissa tietojen käsittelijällä on pääsy Liitteessä 1 tarkemmin eriteltyihin henkilötietoihin.
(2) Niiden rekisteröityjen ryhmä, joita tietojenkäsittely koskee, on lueteltu Liitteessä 1..
(3) Henkilötietojen siirto kolmanteen maahan voi tapahtua artikla. 44 artiklan ja sitä seuraavien artiklojen mukaisesti. GDPR:N MUKAISESTI.
§ 5 Tietojen käsittelijän suojatoimenpiteet
(1) Henkilötietojen käsittelijä on velvollinen noudattamaan tietosuojaa koskevia lakisääteisiä säännöksiä eikä luovuta rekisterinpitäjän verkkotunnuksesta saatuja tietoja kolmansille osapuolille tai altista niitä niiden saataville. Asiakirjat ja tiedot on turvattava siten, että ne eivät joudu sivullisen tietoon, ottaen huomioon tekniikan taso.
(2) Henkilötietojen käsittelijän on järjestettävä vastuualueensa sisäinen organisaatio siten, että se täyttää tietosuojan erityisvaatimukset. Sen on toteutettava Liitteessä 2 määritellyt tekniset ja organisatoriset toimenpiteet rekisterinpitäjän tietojen asianmukaiseksi suojaamiseksi Liitteen 2 mukaisesti. 32 yleisen tietosuoja-asetuksen mukaisesti, ja rekisterinpitäjä tunnustaa nämä riittäviksi. Henkilötietojen käsittelijä pidättää itsellään oikeuden muuttaa toteutettuja turvatoimenpiteitä varmistaen samalla, että sopimuksessa sovittua suojan tasoa ei aliteta.
(3) Henkilötietojen käsittelijän tietojenkäsittelyssä työskenteleviä henkilöitä kielletään keräämästä, käsittelemästä tai käyttämästä henkilötietoja ilman lupaa. Tietojen käsittelijä velvoittaa kaikkia henkilöitä, joille se on antanut tehtäväksi käsitellä ja toteuttaa tätä sopimusta (jäljempänä 'työntekijät'), noudattamaan tätä velvoitetta (salassapitovelvollisuus, art. 28 (3) lit. b GDPR) ja varmistaa tämän velvoitteen noudattamisen asianmukaisella huolellisuudella.
(4) Henkilötietojen käsittelijä on nimittänyt tietosuojavastaavan. Rekisterinpitäjän tietosuojavastaava on heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.
§ 6 Tietojen käsittelijän tiedonantovelvollisuudet
(1) Jos henkilötietojen käsittelijän, sen palveluksessa sopimuksen puitteissa olevien henkilöiden tai kolmansien osapuolten suorittamassa henkilötietojen käsittelyssä ilmenee häiriöitä, epäiltyjä tietosuojarikkomuksia tai sopimusvelvoitteiden rikkomisia, epäiltyjä turvallisuuteen liittyviä vaaratilanteita tai muita väärinkäytöksiä, henkilötietojen käsittelijän on ilmoitettava asiasta rekisterinpitäjälle ilman aiheetonta viivytystä. Sama koskee tietosuojaa valvovan viranomaisen suorittamia tietojenkäsittelijän tarkastuksia. Henkilötietojen tietoturvaloukkausta koskevan ilmoituksen on sisällettävä vähintään seuraavat tiedot:
(a) kuvaus henkilötietojen tietoturvaloukkauksen luonteesta, mukaan lukien mahdollisuuksien mukaan niiden rekisteröityjen luokat ja lukumäärä, joita tietoturvaloukkaus koskee, sekä niiden luokkien ja henkilötietueiden lukumäärä, joita tietoturvaloukkaus koskee;
(b) kuvaus toimenpiteistä, jotka henkilötietojen käsittelijä on toteuttanut tai joita se on ehdottanut tietoturvaloukkauksen korjaamiseksi, ja tarvittaessa toimenpiteet sen mahdollisten kielteisten vaikutusten lieventämiseksi;
(c) kuvaus henkilötietojen tietoturvaloukkauksen todennäköisistä seurauksista.
(2) Henkilötietojen käsittelijän on välittömästi toteutettava tarvittavat toimenpiteet tietojen suojaamiseksi ja rekisteröidyille mahdollisesti aiheutuvien haitallisten seurausten lieventämiseksi, ilmoitettava tästä rekisterinpitäjälle ja pyydettävä lisäohjeita.
(3) Lisäksi henkilötietojen käsittelijä on velvollinen antamaan rekisterinpitäjälle tietoja milloin tahansa siltä osin kuin 1 kohdan mukainen tietoturvaloukkaus vaikuttaa rekisterinpitäjän tietoihin.
(4) Tietojen käsittelijän on ilmoitettava rekisterinpitäjälle kaikista merkittävistä muutoksista 5 jakson 2 kohdan mukaisiin turvatoimiin.
§ 7 Rekisterinpitäjän valvontaoikeudet
(1) Rekisterinpitäjä voi varmistua henkilötietojen käsittelijän teknisistä ja organisatorisista toimenpiteistä ennen tietojenkäsittelyn aloittamista ja sen jälkeen säännöllisesti vuosittain. Tätä tarkoitusta varten rekisterinpitäjä voi esimerkiksi hankkia tietoja henkilötietojen käsittelijältä, hankkia olemassa olevia todistuksia asiantuntijoilta, sertifiointeja tai sisäisiä tarkastuksia tai, ajoissa tapahtuneen koordinoinnin jälkeen, tarkastaa henkilötietojen käsittelijän tekniset ja organisatoriset toimenpiteet henkilökohtaisesti tavanomaisina työaikoina tai tarkastuttaa ne toimivaltaisella kolmannella osapuolella edellyttäen, että kolmas osapuoli ei ole kilpailusuhteessa henkilötietojen käsittelijän kanssa. Rekisterinpitäjä suorittaa tarkastuksia vain siinä määrin kuin on tarpeen eikä häiritse suhteettomasti tietojenkäsittelijän toimintaa.
(2) Henkilötietojen käsittelijä sitoutuu toimittamaan rekisterinpitäjälle tämän suullisesta tai kirjallisesta pyynnöstä kohtuullisessa ajassa kaikki tiedot ja todisteet, jotka ovat tarpeen henkilötietojen käsittelijän teknisten ja organisatoristen toimenpiteiden tarkastamiseksi.
(3) Rekisterinpitäjän on dokumentoitava tarkastuksen tulokset ja ilmoitettava niistä henkilötietojen käsittelijälle. Jos rekisterinpitäjä havaitsee virheitä tai sääntöjenvastaisuuksia erityisesti tarkastuksen tulosten tarkastuksen aikana, rekisterinpitäjän on ilmoitettava niistä tietojen käsittelijälle ilman aiheetonta viivytystä. Jos tarkastuksen aikana havaitaan seikkoja, joiden välttäminen tulevaisuudessa edellyttää muutoksia tilattuun menettelyyn, rekisterinpitäjän on viipymättä ilmoitettava tarvittavista menettelytapamuutoksista henkilötietojen käsittelijälle.
§ 8 Palveluntarjoajien käyttö
(1) Sopimuksessa sovitut palvelut suoritetaan Liitteessä 3 mainittujen palveluntarjoajien (jäljempänä 'alipalveluntarjoajat') avustuksella. Rekisterinpitäjä antaa henkilötietojen käsittelijälle yleisen valtuutuksen yleisen tietosuoja-asetuksen 28 artiklan 2 kohdan 1 alakohdan mukaisesti käyttää lisää alihankkijoita sopimusvelvoitteidensa puitteissa tai korvata jo käytetyt alihankkijat.
(2) Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle ennen alihankkijan osallistumiseen tai korvaamiseen liittyviä suunniteltuja muutoksia. Rekisterinpitäjä voi vastustaa aiottua alihankkijan käyttöä tai vaihtamista tietosuojalainsäädännön mukaisesta tärkeästä syystä.
(3) Vastalause aiotusta alihankkijan osallistumisesta tai korvaamisesta on esitettävä kahden viikon kuluessa muutosta koskevan tiedon vastaanottamisesta. Jos vastalausetta ei esitetä, osallistuminen tai korvaaminen katsotaan hyväksytyksi. Jos on olemassa tietosuojalainsäädännön mukainen painava syy eikä sovintoratkaisu ole mahdollinen rekisterinpitäjän ja henkilötietojen käsittelijän välillä, rekisterinpitäjällä on erityinen irtisanomisoikeus vastalauseen esittämistä seuraavan kuukauden lopussa.
(4) Kun henkilötietojen käsittelijä käyttää alihankkijoita, henkilötietojen käsittelijän on velvoitettava heidät noudattamaan tämän sopimuksen määräyksiä.
(5) Näissä säännöksissä tarkoitettua alihankkijasuhdetta ei ole olemassa, jos henkilötietojen käsittelijä antaa kolmansille osapuolille toimeksiantoja, joita pidetään puhtaasti liitännäispalveluina. Tällaisia ovat esimerkiksi posti-, kuljetus- ja lähetyspalvelut, siivouspalvelut, televiestintäpalvelut, joissa ei ole erityistä viittausta henkilötietojen käsittelijän rekisterinpitäjälle tarjoamiin palveluihin, ja vartiointipalvelut. Huolto- ja testauspalvelut ovat suostumusta edellyttäviä alihankkijasuhteita siltä osin kuin niitä tarjotaan tietoteknisille järjestelmille, joita käytetään myös rekisterinpitäjälle tarjottavien palvelujen yhteydessä.
§ 9 Rekisteröidyn pyynnöt ja oikeudet
(1) Henkilötietojen käsittelijä tukee rekisterinpitäjää sopivilla teknisillä ja organisatorisilla toimenpiteillä rekisterinpitäjän 12-22 ja 32-36 artiklan mukaisten velvoitteiden täyttämisessä.
(2) Jos rekisteröity käyttää oikeuksiaan, kuten oikeutta saada pääsy tietoihinsa, oikaista niitä tai poistaa ne, suoraan henkilötietojen käsittelijää vastaan, henkilötietojen käsittelijä ei saa reagoida itsenäisesti, vaan sen on ohjattava rekisteröity rekisterinpitäjän puoleen ja odotettava rekisterinpitäjän ohjeita.
§ 10 Vastuu
(1) Sisäisessä suhteessa henkilötietojen käsittelijään rekisterinpitäjä on yksin vastuussa rekisteröidylle korvauksesta vahingosta, joka rekisteröidylle aiheutuu tietosuojalainsäädännön nojalla luvattomasta tai virheellisestä tietojenkäsittelystä tai käytöstä toimeksiannon mukaisen käsittelyn puitteissa.
(2) Tietojen käsittelijällä on rajoittamaton vastuu vahingosta, jos vahingon syy perustuu tietojen käsittelijän, sen laillisen edustajan tai avustajan tahalliseen tai törkeän huolimattomaan velvollisuuksien rikkomiseen.
(3) Henkilötietojen käsittelijä on vastuussa huolimattomuudesta vain, jos hän rikkoo velvollisuutta, jonka täyttäminen on edellytys sopimuksen asianmukaiselle täyttämiselle ja jonka noudattamiseen rekisterinpitäjä säännöllisesti luottaa ja johon hän voi luottaa, kuitenkin rajoitettuna sopimukselle tyypilliseen keskimääräiseen vahinkoon. Muilta osin henkilötietojen käsittelijän vastuu - mukaan lukien vastuu sen apulaisista - on suljettu pois.
(4) 10.3 §:n mukaista vastuunrajoitusta ei sovelleta vahingonkorvausvaatimuksiin, jotka johtuvat hengen, ruumiin tai terveyden vahingoittumisesta tai takuun ottamisesta.
§ 11 Pääsopimuksen irtisanominen
(1) Pääsopimuksen päättymisen jälkeen henkilötietojen käsittelijän on palautettava rekisterinpitäjälle kaikki sille toimitetut asiakirjat, tiedot ja tietovälineet tai - rekisterinpitäjän pyynnöstä, jollei unionin oikeuden tai Saksan liittotasavallan lainsäädännön nojalla ole velvollisuutta säilyttää henkilötietoja - poistettava ne. Tämä koskee myös kaikkia tietojen varmuuskopioita henkilötietojen käsittelijällä. Tietojen käsittelijän on pyynnöstä toimitettava dokumentoitu todiste tietojen asianmukaisesta poistamisesta.
(2) Rekisterinpitäjällä on oikeus valvoa tietojen täydellistä ja sopimuksenmukaista palauttamista tai poistamista henkilötietojen käsittelijällä asianmukaisella tavalla.
(3) Tietojen käsittelijä on velvollinen pitämään luottamuksellisina tiedot, jotka se on saanut tietoonsa pääsopimuksen yhteydessä, myös pääsopimuksen päättymisen jälkeen. Tämä sopimus on voimassa myös pääsopimuksen päättymisen jälkeen niin kauan kuin henkilötietojen käsittelijällä on käytössään henkilötietoja, jotka rekisterinpitäjä on toimittanut sille tai jotka se on kerännyt rekisterinpitäjän puolesta.
§ 12 Loppusäännökset
(1) Siltä osin kuin henkilötietojen käsittelijä ei nimenomaisesti suorita tämän sopimuksen mukaisia tukitoimia maksutta, se voi veloittaa rekisterinpitäjältä kohtuullisen maksun, ellei henkilötietojen käsittelijän omat toimet tai laiminlyönnit ole tehneet tällaista tukea suoraan tarpeelliseksi.
(2) Tämän sopimuksen muutokset ja täydennykset on tehtävä kirjallisesti. Tämä koskee myös tästä muotovaatimuksesta luopumista. Yksittäisten sopimusten ensisijaisuus ei vaikuta yksittäisten sopimusten ensisijaisuuteen.
(3) Jos tämän sopimuksen yksittäiset määräykset ovat tai tulevat kokonaan tai osittain pätemättömiksi tai täytäntöönpanokelvottomiksi, tämä ei vaikuta muiden määräysten pätevyyteen.
(4) Tähän sopimukseen sovelletaan Saksan lakia.
Liite 1 - Kuvaus tiedoista/tietoryhmistä ja rekisteröidyistä, joita asia koskee, ja rekisteröidyistä, joita asia koskee, tai rekisteröityjen ryhmistä, joita asia koskee
| Asiakastyyppi | Rekisteröityjen ryhmät | Tietoluokat |
|---|---|---|
| Yrityksen tilit | Työntekijät | Nimi, yhteystiedot, asema, osasto, valokuva, yritystiedot, linkit sosiaaliseen mediaan. |
| Yritystilit ja yksittäiset käyttäjät | Asianomaiset osapuolet | IP-osoite (kaupunki, maa), yhteystiedot, nimi, yritys, viesti (vapaaehtoinen). |
Liite 2 - Tietojen käsittelijän tekniset ja organisatoriset toimenpiteet
1. Johdanto
Tässä asiakirjassa esitetään yhteenveto teknisistä ja organisatorisista toimenpiteistä, jotka henkilötietojen käsittelijä on toteuttanut tietosuoja-asetuksen 3 artiklan mukaisesti. 32 artiklan 1 kohdan mukaisesti. 1 GDPR:N MUKAISESTI. Nämä ovat toimenpiteitä, jotka henkilötietojen käsittelijä on toteuttanut henkilötietojen suojaamiseksi. Asiakirjan tarkoituksena on tukea rekisterinpitäjää sen täyttäessä vastuuvelvollisuuksiaan, jotka perustuvat art. 5 GDPR:n 2 kohdan mukaisia velvollisuuksiaan.
2. Luottamuksellisuus (yleisen tietosuoja-asetuksen 32 artiklan 1 kohdan b alakohta).
2.1 Sisääntulon valvonta
Seuraavat toteutetut toimenpiteet estävät luvattomien henkilöiden pääsyn tietojenkäsittelyjärjestelmiin:
Työskentely kotoa käsin: luvattomilla henkilöillä ei ole pääsyä työntekijöiden koteihin.
Työskentely kotitoimistossa: ohje työntekijöille, että heidän on mahdollisuuksien mukaan työskenneltävä olohuoneesta erillisessä toimistossa.
2.2 Pääsynvalvonta
Seuraavat toteutetut toimenpiteet estävät luvattomien henkilöiden pääsyn tietojenkäsittelyjärjestelmiin:
Tunnistautuminen käyttäjän ja salasanan avulla
Palomuurien käyttö
Mobiililaitteiden hallinnan käyttö
Tietovälineiden salaus
Automaattinen työpöydän lukitus
Käyttäjien valtuutusten hallinta
Käyttäjäprofiilien luominen
Keskitetyt salasanasäännöt
2-tekijätodennuksen käyttö
Yrityksen turvallisia salasanoja koskeva politiikka
Yleinen ohje työpöydän lukitsemiseksi manuaalisesti työasemalta poistuttaessa.
2.3 Pääsynvalvonta
Seuraavilla toteutetuilla toimenpiteillä varmistetaan, että asiattomilla henkilöillä ei ole pääsyä henkilötietoihin:
Sovellusten käytön kirjaaminen (erityisesti tietojen syöttäminen, muuttaminen ja poistaminen).
Ylläpitäjien määrä pidetään mahdollisimman pienenä.
Järjestelmänvalvojien suorittama käyttäjäoikeuksien hallinta
Ohje työntekijöille, että tiedot poistetaan vasta kuulemisen jälkeen.
2.4 Erotuksen valvonta
Seuraavilla toimenpiteillä varmistetaan, että eri tarkoituksia varten kerättyjä henkilötietoja käsitellään erikseen:
Fyysisesti erillinen varastointi erillisissä järjestelmissä tai tietovälineissä.
Tuotanto- ja testausjärjestelmän erottaminen toisistaan
Asiakkaiden looginen erottelu (ohjelmistopuolella)
Tietokantaoikeuksien määritelmä
Sisäinen ohje henkilötietojen anonymisoimiseksi/pseudonymisoimiseksi, jos tietoja luovutetaan tai lakisääteisen poistoajan päätyttyä, jos se on mahdollista.
3. Rehellisyys (yleisen tietosuoja-asetuksen 32 artiklan 1 kohdan b alakohta).
3.1 Siirron valvonta
On varmistettava, että henkilötietoja ei voida lukea, kopioida, muuttaa tai poistaa ilman lupaa siirron tai tallennuksen aikana tietovälineillä ja että on mahdollista tarkistaa, mitkä henkilöt tai elimet ovat saaneet henkilötietoja. Tämän varmistamiseksi on toteutettu seuraavat toimenpiteet:
WLAN-salaus (WPA2 ja vahva salasana)
Käyttökertojen ja hakujen kirjaaminen
Tietojen toimittaminen salattujen yhteyksien, kuten SFTP:n tai HTTPS:n, kautta.
Kielto ladata yrityksen tietoja ulkoisille palvelimille
3.2 Tulojen valvonta
Seuraavilla toimenpiteillä varmistetaan, että on mahdollista tarkistaa, kuka on käsitellyt henkilötietoja tietojenkäsittelyjärjestelmissä ja milloin:
Tietojen tallentamisen, muuttamisen ja poistamisen kirjaaminen lokiin.
Tukien manuaalinen tai automaattinen valvonta
Tietojen syöttämisen, muuttamisen ja poistamisen jäljitettävyys yksittäisten käyttäjätunnusten (ei käyttäjäryhmien) kautta.
Selkeät vastuualueet poistojen osalta
legal.dpa.latest.annexes.2.3.2.text.6
4. Saatavuus ja joustavuus (yleisen tietosuoja-asetuksen 32 artiklan 1 kohdan b alakohta).
Seuraavilla toimenpiteillä varmistetaan, että henkilötiedot on suojattu vahingossa tapahtuvalta tuhoutumiselta tai katoamiselta ja että ne ovat aina asiakkaan saatavilla:
Palosammuttimet palvelinhuoneissa
Palvelinhuoneiden lämpötilan ja kosteuden valvontalaitteet
Ilmastointi palvelinhuoneissa
Suojapistorasiapistorasiat palvelinhuoneissa
Keskeytymätön virtalähde (UPS)
Palvelinhuoneiden videovalvonta
Hälytysviesti luvattomasta pääsystä palvelinhuoneisiin
Säännölliset varmuuskopiot
Varmuuskopiointiprosessin tarkistaminen
Tietojen varmuuskopioiden säilyttäminen turvallisessa, ulkopuolisessa paikassa.
Säännölliset tietojen palautustestit ja tulosten kirjaaminen lokiin
Palvelinhuoneessa tai sen yläpuolella ei ole saniteettitiloja.
Hosting (ainakin tärkeimmät tiedot) ammattimaisella hosterilla
5. Säännöllistä tarkastelua, arviointia ja arviointia koskevat menettelyt (yleisen tietosuoja-asetuksen 32 artiklan 1 kohdan d alakohta; yleisen tietosuoja-asetuksen 25 artiklan 1 kohta).
5.1 Tietosuojan hallinta
Seuraavien toimenpiteiden tarkoituksena on varmistaa, että organisaatio täyttää tietosuojalainsäädännön perusvaatimukset:
heyData-alustan käyttö tietosuojan hallinnassa
Tietosuojavastaavan nimittäminen heyData
Työntekijöiden salassapitovelvollisuus
Säännöllinen tietosuojakoulutus työntekijöille
Yleiskatsauksen ylläpitäminen käsittelytoimista (yleinen tietosuoja-asetus, 30 artikla).
5.2 Häiriötilanteiden hallinta
Seuraavien toimenpiteiden tarkoituksena on varmistaa, että tietosuojarikkomusten yhteydessä käynnistetään raportointiprosessit:
Tietosuojarikkomuksista ilmoittaminen tietosuojasäännösten mukaisesti. 4 N:o 12 GDPR valvontaviranomaisille (GDPR 33 artikla).
Tietosuojaloukkauksista ilmoittaminen tietosuojaloukkausten osalta artiklan mukaisesti. 4 N:o 12 yleisen tietosuoja-asetuksen mukaisesti rekisteröidyille (yleisen tietosuoja-asetuksen 34 artikla).
Tietosuojavastaavan osallistuminen tietoturvaloukkauksiin ja tietoturvaloukkauksiin.
Palomuurien käyttö
5.3 Tietosuojaystävälliset oletusasetukset (yleisen tietosuoja-asetuksen 25 artiklan 2 kohta)
Seuraavien toimenpiteiden tarkoituksena on varmistaa, että tietosuojarikkomusten yhteydessä käynnistetään raportointiprosessit:
Tietosuojarikkomuksista ilmoittaminen tietosuojasäännösten mukaisesti. 4 N:o 12 GDPR valvontaviranomaisille (GDPR 33 artikla).
Tietosuojaloukkauksista ilmoittaminen tietosuojaloukkausten osalta artiklan mukaisesti. 4 N:o 12 yleisen tietosuoja-asetuksen mukaisesti rekisteröidyille (yleisen tietosuoja-asetuksen 34 artikla).
5.4 Tilausten valvonta
Seuraavilla toimenpiteillä varmistetaan, että henkilötietoja voidaan käsitellä vain ohjeiden mukaisesti:
Toimeksisaajalle annetut kirjalliset ohjeet tai ohjeet tekstimuodossa (esim. tietojenkäsittelysopimuksen kautta).
Tietojen hävittämisen varmistaminen tilauksen päätyttyä, esimerkiksi pyytämällä vastaavat vahvistukset.
Toimeksisaajien vahvistus siitä, että ne sitoutuvat omien työntekijöidensä salassapitovelvollisuuteen (yleensä tietojenkäsittelysopimuksessa).
Toimeksisaajien huolellinen valinta (erityisesti tietoturvan osalta).
Toimeksisaajien ja niiden toiminnan jatkuva tarkastelu
Tietojen hävittämisen varmistaminen tilauksen päätyttyä, esimerkiksi pyytämällä vastaavat vahvistukset.
Liite 3 - Nykyiset alihankkijat
Kaikki yhdysvaltalaiset alihankkijat on sertifioitu [Data Privacy Framework] (https://www.dataprivacyframework.gov/) mukaisesti.
| Nimi | Osoite | Toiminto | Palvelimen sijainti |
|---|---|---|---|
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Germany | Hosting & infrastruktuuri | EU |
| Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107, USA | Sisällönjakeluverkko ja turvallisuus | Maailmanlaajuinen, käyttäjän sijainnista riippuen |
| ActiveCampaign, LLC | 1 N Dearborn St., 5th Floor, Chicago, Illinois 60602, USA | Sähköpostin toimitus | YHDYSVALLAT |
| Functional Software, Inc. | 132 Hawthorne Street San Francisco, CA 94107, USA | Virheiden raportointi ja seuranta | EU |
| Microsoft Ireland Operations, Ltd. | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | Asiakaspalvelu ja viestintä | EU |
| HubSpot, Inc. | 25 1st Street Cambridge, MA 0214, USA | Asiakaspalvelu ja viestintä | EU |
Versio 1.3, voimaan 10. huhtikuuta 2024.
| Nimi: | |
| Asema: | |
| Sähköposti: | |
| Päivämäärä: | |
| Allekirjoitus: |
| Nimi: | Florian Theimer |
| Asema: | Founder & CEO |
| Sähköposti: | privacy@spreadly.app |
| Päivämäärä: | |
| Allekirjoitus: |
Tulosta tämä tietojenkäsittelysopimus ja lähetä allekirjoitettu versio osoitteeseen privacy@spreadly.app, johon on liitetty asiakasnumerosi. Saat meiltä allekirjoitetun version seuraavien työpäivien aikana.
Haluatko allekirjoitetun kopion tietojenkäsittelysopimuksestamme?
Tulosta tämä tietojenkäsittelysopimus ja lähetä allekirjoitettu versio osoitteeseen privacy@spreadly.app, johon on liitetty asiakasnumerosi.
Saat meiltä allekirjoitetun version seuraavien työpäivien aikana.