Päivitetty 28.3.2018
Aikaisempi rekisteriseloste laadittu 13.8.2014 (Henkilötietolaki (523/99) 10 §)
Tämä tietosuojaseloste korvaa aikaisemman rekisteriselosteen.
Lymed Oy on sitoutunut suojaamaan asiakkaidensa yksityisyyttä. Tietosuojaselosteella informoimme asiakkaitamme henkilötietojen käsittelystä. Kukin asiakas on tietosuoja-asetuksessa määritetty rekisteröity. Asiakkaan on hyväksyttävä tämän tietosuojaselosteen ehdot käyttääkseen Lymed Oy:n palveluita. Keräämämme tiedot voidaan jakaa käyttäjän antamiin, verkkopalveluiden käytöstä havainnoituihin sekä analytiikan avulla johdettuihin tietoihin. Rekisterinpitäjä voi omasta aloitteestaan tai asiakkaan pyynnöstä täydentää, korjata tai poistaa epätäydellisiä, epätarkkoja tai vanhentuneita henkilötietoja.
Käytämme tietoja:
- Helppokäyttöisen ja turvallisen palvelun toimittamiseen
- Yksilöllisten tuotteiden valmistukseen ja suunnitteluun
- Hyvän asiakaskokemuksen tarjoamiseen
- Asiakaspalvelun ja verkkokaupan kehittämiseen
Rekisterinpitäjän nimi ja yhteystiedot
Lymed Oy (y-tunnus: 0935988-8)
Pyhäjärvenkatu 5 A, 33200 Tampere
yhteys: info(at)lymed.fi, tietosuojavastaava Tanu Toikka
Rekisterin nimi: Lymed Oy:n asiakastietorekisteri
Mitä tietoja voidaan kerätä?
- Tunniste- ja yhteystietoja, kuten nimi, syntymäaika tai henkilötunnus, osoite ja puhelinnumerot, sähköpostiosoitteet ja jne. joita käytetään luonnollisen henkilön erottamiseksi toisesta mahdollisesti samannimisestä luonnollisesta henkilöstä
- Asiakasta koskevia tietoja (kuten mittoja tai hoitava taho)
- Asiakassuhdetta koskevia tietoja, kuten laskutus- ja maksutietoja, tuote- ja tilaustietoja, asiakasnumeroita, peruutuksia, reklamaatioita ja korjauksia koskevia tietoja
- Rekisteröitymistietoja, kuten käyttäjätunnus, nimimerkki, salasana ja muu mahdollinen yksilöivä tunnus
- Mahdollisia lupia ja suostumuksia
- Mahdollisia muita asiakkaan suostumuksella kerättyjä tietoja
- Maksutiedot, mukaan lukien luottosopimukset ja muut laskutustiedot
- Palvelujen käytöstä havainnoidut ja analytiikan avulla johdetut tiedot
- Ostoshistoria, mm. tilatut tuotteet ja niiden hintatiedot
- Toimitustiedot, kuten valittu toimitustapa ja toimitusosoite
- Verkkokaupan käyttö- ja selaustiedot sekä päätelaitteen tunnistetiedot
Tietolähteet
Henkilötietoja kerätään tuotteen tai palvelun tilauksen yhteydessä, asiakassuhteen aikana tai muutoin suoraan asiakkaalta tai asiakkaan hoitoa suorittavalta terveydenhuollon tai sairaanhoidon ammattilaiselta, laitokselta tai taholta. Tietojen pääasiallinen lähde on käyttäjä itse, minkä lisäksi saatamme saada lisätietoja yhteistyökumppaneiltamme, esimerkiksi jälleenmyyjäkumppaniltamme tai luottopalvelujen tarjoajalta.
Tietojen säännönmukaiset luovutukset
Asiakkaan annettua suostumuksensa tilauksen yhteydessä, ja hoidontarpeen niin vaatiessa, Lymed voi luovuttaa potilasta koskevia Lymed-tuotteiden valmistuksen kannalta välttämättömiä tietoja myös toiselle asiakkaan hoitoa suorittavalle terveydenhuollon tai sairaanhoidon ammattilaiselle, laitokselle tai taholle – asiakkaan suostumuksella. Tietoja voidaan poikkeuksellisesti luovuttaa kolmansien osapuolien käyttöön vain viranomaisten vaatimuksesta.
Tietojen säilytys ja suojaus
Lymed Oy käsittelee potilaan tietoja luottamuksellisesti salatuissa järjestelmissään (HTTPS, Hypertext Transfer Protocol Secure) ja toteuttaa tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi (mm. asiattomien pääsy tietoihin, vahingossa tai laittomasti tapahtuvalta tietojen hävittäminen, muuttaminen, luovuttaminen, siirtäminen taikka muu laiton käsittely). Manuaalisesti käsiteltävät henkilötietoja sisältävät asiakirjat tuhotaan asianmukaisesti käsittelyn jälkeen. Tietoja säilytetään rekisterinpitäjän toimitiloissa, jotka on lukittu ja joita pääsevät käsittelemään vain rekisterinpitäjän siihen erikseen valtuuttamat henkilöt. Lymed Oy säilyttää asiakastietoja Suomessa. Henkilötietojen käsittelyssä ja käsittelyn suunnittelussa noudatamme hyviä tietosuojakäytäntöjä. Konesalit ja kaupan järjestelmien tekninen sekä prosessien tietoturva ovat erittäin korkealla tasolla. Palvelimet on suojattu tietomurtoja ja palvelunestohyökkäyksiä vastaan. Henkilötietojen käsittelyssä on huomioitu 25.5.2018 alkaen noudatettavan EU:n tietosuoja-asetuksen vaatimukset.
Henkilötietojen käsittely
Asiakastietoihin on pääsy vain Lymed Oy:n omilla työntekijöillä ja henkilökuntamme on koulutettu käyttämään tietoja turvallisesti ja eettisesti.
Käytämme luotettuja sopimuskumppaneita, jolloin tietoa voidaan siirtää kolmannelle osapuolelle. Kaikkien kumppanien kanssa on sopimuksissa huomioitu EU:n tietosuoja-asetuksen ja muun lainsäädännön asettamat vaatimukset.
Tietojen hallinnasta vastuussa oleva yritys:
Lymed Oy (y-tunnus: 0935988-8)
Pyhäjärvenkatu 5 A, 33200 Tampere
yhteys: info(at)lymed.fi
Säilytysaika
Säilytämme tietoja vain tarvittavan ajan, jotta voimme täyttää tässä selosteessa kuvatut käyttötarkoitukset. Lisäksi joitain tietoja voidaan säilyttää kauemmin niiltä osin kuin se on tarpeen laissa asetettujen velvollisuuksien, kuten kirjanpitoa ja kuluttajakauppaa koskevien vastuiden, toteuttamiseksi ja niiden asianmukaisen toteuttamisen näyttämiseksi.
Asiakkaan pyynnöstä häntä koskeva henkilötieto voidaan poistaa tai anonymisoida Lymed Oy:n järjestelmistä ja tietoa ei enää käytetä selosteessa lueteltuihin tarkoituksiin. Tietoja säilytetään aktiivisen asiakassuhteen ajan, tai 5 vuotta edellisestä asiakkuustapahtumasta.
Osalle tietoa lainsäädäntö asettaa velvoitteita tiedon pidempiaikaiselle tallentamiselle, mm. seuraaviin tarkoituksiin:
• Kirjanpitolaki määrittelee tiedolle pidempiä säilytysaikoja riippumatta siitä sisältääkö aineisto henkilötietoja tai ei
• Järjestelmien lokitietoa kerätään ja säilytetään lain edellyttämällä tavalla, jotta voimme tarjota lainmukaisen ja turvallisen verkkokaupan asiakkaillemme
• Riittävien varmuuskopioiden ottaminen kaupan tietokannoista ja järjestelmistä tietojen turvaamiseksi, virhetilanteiden korjaamiseksi ja tietoturvan sekä jatkuvuuden varmentamiseksi
Oikeudet
Asiakkaalla on oikeus:
• Saada pääsy itseäsi koskeviin henkilötietoihin, mukaan lukien oikeus saada jäljennös sinua koskevista henkilötiedoista
• Pyytää itseäsi koskevien henkilötietojen oikaisemista tai poistamista
• Tietyin edellytyksin pyytää käsittelyn rajoittamista tai vastustaa henkilötietojen käsittelyä
Lisäksi, jos käsittely perustuu erilliseen suostumukseen, sinulla on oikeus peruuttaa suostumuksesi milloin tahansa. Huomaathan, ettei tämä vaikuta ennen suostumuksen peruuttamista suoritetun käsittelyn lainmukaisuuteen.
Voit tehdä oikeuksiesi käyttämistä koskevan pyynnön ottamalla yhteyttä asiakaspalveluumme. Pyynnön tulee olla riittävällä tavalla yksilöity, jotta asiakaspalvelumme voi todentaa henkilöllisyytesi. Jos jossakin tapauksessa emme pysty joltain osin toteuttamaan pyyntöäsi, kuten poistamaan kaikkia tietoja joiden säilyttämiseen meillä on lakisääteinen velvollisuus (esimerkiksi luotonantotiedot) tai oikeus, ilmoitamme sinulle asiasta.
Jos huomaat, että käsittelyssä on puutteita tai se on lainvastaista, sinulla on oikeus tehdä asiasta valitus tietosuojaviranomaiselle.
Voit pyytää järjestelmiin tallennetut tiedot itsellesi ottamalla yhteyttä asiakaspalveluumme info@lymed.fi. Asiakas voi myös koska tahansa lopettaa asiakastilinsä ja pyytää Lymed Oy:ta poistamaan omat tietonsa ottamalla yhteyttä asiakaspalveluumme. Huom! Joissain tapauksissa kaikkea tietoa ei voida poistaa ja lainsäädäntö voi vaatia säilyttämään osan asiakkaaseen liittyvästä tiedosta.
Kolmannet osapuolet
Luovutamme vain välttämättömiä tietoja kolmansille osapuolille palvelun tuottamiseksi, toimituksen takaamiseksi sekä mahdollisesti markkinointia varten. Tietosi välittyvät myös esimerkiksi luottopäätöksen yhteydessä luottoa myöntävälle taholle. Tarvittaessa luovutamme tietoja myös viranomaisten pyynnöstä, informoimme tietopyynnöistä aina myös asiakasta, jos se on lain puitteissa sallittua.
Evästeet
Lymed Oy käyttää evästeitä (”cookies”) ja muita vastaavia tekniikoita, kuten selaimen paikallista varastoa (“local storage”). Evästeet ovat päätelaitteen selaimen ja palvelimen välisiä pieniä tekstitiedostoja. Käytämme evästeitä mm. asiakkaan tunnistamiseen, kirjautumisen ylläpitämiseen ja mahdollisen ostoskorin toimintoihin. Näihin toimintoihin evästeiden käyttö ja niiden käytön hyväksyminen on pakollista. Palvelimen asettamat evästeet säilyvät selaimessa yhden (1) kuukauden, ellei niitä poisteta erikseen selaimen asetuksista. Sivustolla käynti asettaa evästeet uudelleen selaimen sen salliessa.
Evästeitä käytetään myös käyttökokemuksen personointiin. Personointia varten asiakkaan selaimeen asetetaan kolmannen osapuolen (RichRelevance) eväste. RichRelevancelle lähetettävä tieto, kuten tuotesivuilla vierailut ja hakuhistoria, on anonymisoitua, eikä kolmannen osapuolen ole mahdollista selvittää asiakkaan identiteettiä. Hyödynnämme myös muita tekniikoita, kuten kuvapistetunnisteita (mm. Google Analytics) ja jäljitteitä. Nämä tekniikat auttavat meitä ymmärtämään paremmin asiakkaidemme käyttäytymistä ja kertovat meille mitkä toiminnot ja palvelut ovat asiakkaillemme hyödyllisimpiä.
Analyysiin käytetty tieto on anonymisoitua aina kun se on mahdollista. Muutoin käsittelemme tietoja henkilökohtaisina niiltä osin kuin tunniste sisältää asiakkaan kohdentavia tietoja, kuten IP-osoitteen. Myös tunnisteet, jotka on yhdistetty asiakkaaseen jollakin tapaa, käsitellään henkilökohtaisena tietona.
Muutokset selosteeseen
Palveluiden kehityksen ja lainsäädännön muutosten johdosta pidätämme oikeuden muuttaa tietosuojaselostetta. Merkittävistä muutoksista tietosuojaselosteeseen ilmoitetaan rekisteröityneille asiakkaille ehtojen päivityksen yhteydessä.
TIETOSUOJALIITE
1. Tausta ja tarkoitus
Toimittajan (Lymed Oy) ja sen kanssa sopimuksen solmineen Asiakkaan väliseen sopimussuhteeseen sovelletaan tätä Tietosuojaliitettä, kun Toimittaja (Lymed Oy) käsittelee käsittelijänä henkilötietoja rekisterinpitäjänä toimivan Asiakkaan lukuun.
Tämän Tietosuojaliitteen tarkoituksena on ottaa huomioon Tietosuoja-asetuksen asettamat vastuut ja velvoitteet.
Asiakas on Käyttöehdoissa sovitun Palvelun yhteydessä Käsiteltävien Asiakkaan Henkilötietojen rekisterinpitäjä, joka määrittelee Henkilötietojen Käsittelyn tarkoitukset ja keinot. Toimittaja on Henkilötietojen käsittelijä, joka Käsittelee kyseisiä Henkilötietoja Asiakkaan lukuun ja toimeksiannosta tässä Tietosuojaliitteessä sovitulla tavalla. Osapuolet sopivat tässä Tietosuojaliitteessä rekisteröityjen ryhmistä, Toimittajan toteuttamista käsittelytoimista, tietoturvamenettelyistä ja siitä, mihin tarkoitukseen Toimittaja Käsittelee Asiakkaan Henkilötietoja.
2. Määritelmät
”Henkilötieto” tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella;
”Käyttöehdot” tarkoittavat sopimusta, jonka liitteenä tämä Tietosuojaliite on.
”Käsittely” tarkoittaa toimintoa tai toimintoja, joita kohdistetaan Henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;
”Palvelu” tarkoittaa Käyttöehdoissa määriteltyä palvelua, jonka Toimittaja tarjoaa Asiakkaalle.
”Sopimus” tarkoittaa Palvelun Käyttöehdoissa määriteltyä sopimussuhdetta Asiakkaan ja Toimittajan välillä.
”Tietosuojaliite” tarkoittaa tätä Henkilötietojen käsittelyn määrittelevää käyttöehtoliitettä;
”Tietosuoja-asetus” tarkoittaa Euroopan unionin yleistä tietosuoja-asetusta 2016/679, jonka soveltaminen alkaa 25.5.2018;
”Tietosuojalainsäädäntö” tarkoittaa voimassa olevaa henkilötietolakia (523/1999) 25.5.2018 saakka ja Tietosuoja-asetusta 25.5.2018 alkaen;
”Tietoturvaloukkaus” tarkoittaa tapahtumaa, jonka seurauksena on Käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin.
3. Asiakkaan velvollisuudet
Asiakas Käsittelee Henkilötietoja Tietosuojalainsäädännön mukaisesti. Asiakas vastaa Toimittajalle toimitetuista Henkilötiedoista ja niiden Käsittelyn lainmukaisuudesta koko Sopimuksen voimassaolon ajan. Asiakas vastaa siitä, että kaikille rekisteröidyille, joiden Henkilötietoja käsitellään, on toimitettu tarvittavat, lainmukaiset ilmoitukset ja tiedot Henkilötietojen Käsittelyyn liittyen. Toimittaja ei seuraa toimitettujen Henkilötietojen sisältöä, laatua tai ajantasaisuutta.
Asiakas vastaa siitä, että Henkilötietojen Käsittely ja sen tarkoitus sekä perusteet ovat Tietosuojalainsäädännön mukaisia. Asiakas vastaa lisäksi siitä, että Henkilötiedot on kerätty Tietosuojalainsäädännön mukaisesti ja että Asiakkaalla on oikeus siirtää Henkilötiedot Toimittajan Käsiteltäväksi tämän Tietosuojaliitteen mukaisesti.
Osapuolten tarkoituksena ei ole tällä Tietosuojaliitteellä siirtää mitään rekisterinpitäjän lakisääteisiä velvollisuuksia Toimittajalle, joka toimii henkilötietojen käsittelijänä.
4. Toimittajan velvollisuudet
Toimittaja Käsittelee Henkilötietoja Tietosuojalainsäädännön ja mahdollisten muiden Asiakkaan antamien kirjallisten ohjeiden mukaisesti, ellei Toimittajaan sovellettavassa laissa toisin vaadita. Tällöin Toimittaja tiedottaa Asiakkaalle kyseisestä oikeudellisesta vaatimuksesta ennen käsittelyä, ellei tiedottaminen ole lain mukaan kiellettyä. Selvyyden vuoksi todetaan, että Asiakkaan katsotaan aina ohjeistaneen Toimittajaa toimittamaan Sopimuksen mukaiset Henkilötietojen Käsittelyyn liittyvät palvelut.
Ottaen huomioon käsittelytoimien luonne, Toimittaja auttaa Asiakasta valitsemillaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään Asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat seuraavia, Tietosuoja-asetuksen luvussa 3 säädettyjen rekisteröidyn luonnollisen henkilön oikeuksien käyttämistä (edellyttäen, että rekisteröidyllä on kyseinen oikeus Tietosuoja-asetuksen mukaan):
a. oikeus saada pääsy Henkilötietoihin;
b. oikeus Henkilötietojen oikaisemiseen ja poistamiseen;
c. oikeus Käsittelyn rajoittamiseen;
d. oikeus siirtää Henkilötiedot järjestelmästä toiseen; ja
e. oikeus vastustaa Henkilötietojen Käsittelyä.
Osapuoli ilmoittaa rekisteröidyn oikeuksien käyttämistä koskevasta pyynnöstä toiselle Osapuolelle välittömästi ja viimeistään seuraavana arkipäivänä (ma-pe) pyynnön vastaanottamisesta, jos pyynnön toteuttaminen edellyttää toimenpiteitä toiselta Osapuolelta. Osapuolen on ilmoituksen yhteydessä annettava kaikki tiedot, jotka ovat tarpeen pyynnön toteuttamiseksi. Toimittajalla on oikeus veloittaa Asiakasta kaikista rekisteröidyn oikeuksien toteuttamista koskevista toimenpiteistä tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti. Ottaen huomioon käsittelytoimien luonne, Toimittaja on velvollinen toteuttamaan valitsemallaan tavalla kohdissa 5 c–d määritellyt rekisteröidyn oikeuksien toteuttamiseen liittyvät toiminnallisuudet osana Sopimuksen mukaista palvelua vasta 25.5.2018 alkaen.
Ottaen huomioon käsittelytoimien luonne ja Toimittajan saatavilla olevat tiedot, Toimittaja avustaa Asiakasta seuraavien, Tietosuoja-asetuksen 32–36 artikloissa säädettyjen, velvollisuuksien noudattamisessa:
a. Henkilötietojen Käsittelyn turvallisuuden toteuttaminen asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä;
b. Tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle ja rekisteröidyille;
c. osallistuminen tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin tekemiseen, jos vaikutustenarviointi on Tietosuoja-asetuksen 35 artiklan mukaan tarpeen; ja
d. osallistuminen tarvittaessa valvontaviranomaisen ennakkokuulemiseen, jos ennakkokuuleminen on Tietosuoja-asetuksen 36 artiklan mukaan tarpeen.
Toimittaja on velvollinen avustamaan Asiakasta vain Tietosuojalainsäädännön Henkilötietojen käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Toimittajalla on oikeus veloittaa Asiakasta edellä mainituista toimenpiteistä tuntiveloitusperusteisesti kulloinkin voimassaolevan hinnastonsa mukaisesti.
Toimittaja hyväksyttää toimenpiteet ja niihin liittyvät veloitukset etukäteen kirjallisesti Asiakkaalla.
5. Henkilötietojen käsittelyn tarkoitus
Asiakas siirtää Toimittajalle ja Toimittajan järjestelmiin vain sellaista tietoa, jota sillä on oikeus käsitellä kulloinkin soveltuvan tietosuojalainsäädännön mukaan. Toimittaja Käsittelee Henkilötietoja ainoastaan omien palvelujen tarjoamiseksi ja tilausten täyttämiseksi.
Toimittaja suorittaa seuraavia Henkilötietojen käsittelytoimia: kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, haku, kysely, saataville asettaminen, yhteensovittaminen tai yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen, varmuuskopioiminen.
Toimittaja käsittelee Asiakkaan lukuun henkilötietoja vain Palvelun käyttöehtojen ja tämän Tietosuojaliitteen mukaisesti, ellei kulloinkin sovellettavassa lainsäädännössä toisin vaadita. Jos Toimittaja huomaa, että kirjallinen ohjeistus on lainvastainen, Toimittaja tiedottaa Asiakasta tästä lainsäädännön vaatimuksesta ennen käsittelyä. Toimittaja ei kuitenkaan tiedota asiasta, jos ilmoittaminen on kielletty kyseisessä lainsäädännössä yleistä etua koskevien tärkeiden syiden vuoksi.
Soveltuvan tietosuojalainsäädännön niin vaatiessa, Toimittaja pitää käsittelijänä selostetta käsittelytoimista valvontaviranomaista varten.
6. Käsiteltävät rekisteröityjen ryhmät ja henkilötietotyypit
Toimittaja Käsittelee Palveluun talletettuja Asiakkaan toimintaan liittyviä Henkilötietoja. Käsiteltävät Henkilötiedot sisältävät rekisteröityjen henkilökohtaisia tietoja, kuten esimerkiksi nimi, yhteystiedot, syntymäaika.
Käsiteltävät tiedot voivat sisältää henkilötunnuksia tai tietosuoja-asetuksessa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvaa tietoa.
7. Tietoturva
Osapuolet sitoutuvat sopimaan ja implementoimaan alalla yleisesti käytetyt tekniset ja organisatoriset toimenpiteet Henkilötietojen suojaamiseksi. Osapuolten sopiessa kyseisten toimenpiteiden toteuttamisesta on suunnittelussa ja toteutuksessa otettava huomioon uusin tekniikka ja toteuttamiskustannukset, Käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä Käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille. Osapuolten on arvioidessaan asianmukaista turvallisuustasoa otettava huomioon myös Käsittelyn sisältämät riskit, erityisesti Henkilötietojen luvaton ja lainvastainen Käsittely ja vahingossa tapahtuva Henkilötietojen häviäminen, tuhoutuminen tai vahingoittuminen.
Tällaisia toimenpiteitä ovat esimerkiksi:
a. henkilötietojen pseudonymisointi ja salaus;
b. kyky taata palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c. kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; ja
d. menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Edellä mainitut toimenpiteet ovat esimerkkejä siitä, miten Osapuolet voivat varmistaa Henkilötietojen Käsittelyn turvallisuuden. Osapuolet sopivat tässä Tietosuojaliitteessä niistä toimenpiteistä ja muista tieto-turvamenettelyistä, jotka Toimittaja toteuttaa Henkilötietojen Käsittelyn osalta. Toimittaja vastaa käyttöympäristöönsä tallennettujen Henkilötietojen varmuuskopioinnista ja varmuuskopioiden toimivuuden tarkastamisesta.
Toimittaja varmistaa, että henkilöt, jotka Käsittelevät Henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai että heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. Toimittaja toteuttaa tarvittavat toimenpiteet sen varmistamiseksi, että kyseiset henkilöt Käsittelevät Henkilötietoja ainoastaan tässä Tietosuojaliitteessä määritellyssä tarkoituksessa.
Toimittaja noudattaa omia kulloinkin voimassaolevia sisäisiä tietoturvaohjeitaan Henkilötietojen Käsittelyssä. Turvallisuussyistä johtuen Toimittajan tietoturvaohjeistus on salainen ja Toimittaja esittelee ohjeistuksen sisältöä Asiakkaalle erikseen pyydettäessä.
8. Henkilötietojen siirtäminen
Toimittajalla on oikeus siirtää Palvelun toteuttamista varten Henkilötietoja Euroopan unionin, Euroopan talousalueen tai muiden maiden alueelle, joiden Euroopan Komissio on todennut takaavan riittävän tietosuojan tason. Toimittajalla on oikeus palvelun toteuttamista varten siirtää Henkilötietoja EU/ETA-alueen ulkopuolelle Tietosuojalainsäädännön nimenomaisten siirtoperusteiden mukaisesti.
9. Alihankkijat
Toimittajalla on oikeus käyttää alihankkijoita Palvelun toteuttamisessa ja siihen liittyvässä Henkilötietojen Käsittelyssä. Toimittaja ilmoittaa käyttämänsä alihankkijat Asiakkaalle pyydettäessä. Toimittaja vastaa siitä, että alihankkija Käsittelee Henkilötietoja tämän liitteen ja Tietosuojalainsäädännön mukaisesti.
10. Tietoturvaloukkaukset
Osapuoli ilmoittaa toiselle Osapuolelle ilman aiheetonta viivytystä sen tietoon tulleesta Tietoturvaloukkauksesta. Asiakkaan on Tietoturvaloukkauksen ilmoittamisen yhteydessä toimitettava Toimittajalle kaikki se tieto, jonka voidaan katsoa auttavan Tietoturvaloukkauksen selvittämisessä, rajaamisessa tai estämisessä. Toimittaja tekee ilmoituksen asiakkaan tilaustiedoissa määritellylle yhteyshenkilölle. Asiakas ilmoittaa Tietoturvaloukkauksesta ottamalla yhteyttä Toimittajaan. Toimittajan on Tietoturvaloukkauksen ilmoittamisen yhteydessä mahdollisuuksien mukaan toimitettava Asiakkaalle:
a. kuvaus Tietoturvaloukkauksesta, sisältäen mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät (siltä osin kuin kyseiset tiedot ovat Toimittajan saatavilla;
b. Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätietoja;
c. kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista; ja
d. kuvaus toimenpiteistä, jotka Toimittaja on toteuttanut Tietoturvaloukkauksen johdosta ja mahdolliset toimenpiteet, jotka Toimittaja on tehnyt Tietoturvaloukkauksen haittavaikutusten lieventämiseksi.
Jos Tietoturvaloukkaus johtuu Asiakkaan vastuulla olevasta syystä, Asiakas vastaa Toimittajalle Tietoturvaloukkauksesta ja niitä koskevista ilmoituksista aiheutuvista kustannuksista. Toimittajalla on oikeus laskuttaa Asiakasta aiheettomiksi todetuista Asiakkaan pyynnöstä käynnistetyistä selvitystöistä muodostuvista kustannuksista kulloinkin voimassa olevan Toimittajan hinnaston mukaisesti.
Asiakas vastaa Tietoturvaloukkausten ilmoittamisesta valvontaviranomaiselle ja rekisteröidylle Tietosuoja-asetuksen mukaisesti.
11. Tarkasteluoikeus
Asiakkaalla tai Asiakkaan nimeämällä riippumattomalla asiantuntijalla, joka ei voi olla Toimittajan kilpailija, on oikeus tarkastaa tämän Tietosuojaliitteen voimassaoloaikana, että Toimittaja noudattaa tässä Tietosuojaliitteessä Toimittajalle osoitettuja velvoitteita. Tarkastuksen kohteena on Asiakkaan Henkilötietojen Käsittelyyn liittyvä Toimittajan tarpeellinen aineisto sekä Henkilötietojen Käsittelyssä käytettävät Toimittajan järjestelmät ja toimitilat. Tarkastus voidaan suorittaa enintään kerran vuodessa ja siitä on ilmoitettava Toimittajalle kirjallisesti vähintään 30 päivää etukäteen. Toimittajan on edellä esitetystä huolimatta aina sallittava Asiakkaan toimintaa valvovan viranomaisen suorittamat Henkilötietojen käsittelijän toimintojen tarkastukset. Viranomaisten suorittamiin tarkastuksiin sovelletaan tätä Tietosuojaliitettä soveltuvin osin.
Toimittaja osallistuu tarkastuksen toteuttamiseen ja antaa tarkastajalle ne tiedot, jotka ovat tarpeen osoittamaan, että Toimittaja noudattaa tässä Tietosuojaliitteessä sille määriteltyjä velvollisuuksia. Tarkastuksesta ei saa aiheutua haittaa Toimittajan palvelutuotannolle, eikä tarkastajalla ole oikeutta saada pääsyä Toimittajan asiakkaiden tai yhteistyökumppaneiden tietoihin. Jos tarkastuksen suorittaja on muu kuin Asiakas, tarkastaja ja Toimittaja tekevät salassapitosopimuksen ennen tarkastuksen toteuttamista.
Asiakas vastaa kaikista tarkastuksesta aiheutuvista kustannuksista ja korvaa Toimittajalle tarkastuksista aiheutuneet kustannukset. Mikäli tarkastukset paljastavat merkittäviä puutteita Toimittajan toiminnoissa, Toimittaja vastaa tarkastuksista aiheutuvista omista kustannuksistaan.
12. Henkilötietojen käsittelystä aiheutuneet vahingot
Jos rekisteröidylle aiheutuu vahinkoa Tietosuoja-asetuksen rikkomisesta, kumpikin Osapuoli vastaa itse rekisteröidylle aiheutuneesta vahingosta Tietosuoja-asetuksen 82 artiklan mukaisesti. Kumpikin Osapuoli vastaa itse myös valvontaviranomaisen sille mahdollisesti määräämistä Tietosuoja-asetuksen 83 artiklan mukaisista hallinnollisista sakoista.
Tähän Tietosuojaliitteeseen sovelletaan Palvelun käyttöehtojen vastuunrajoitusehtoa.
13. Henkilötietojen käsittelyn päättyminen
Toimittaja poistaa Henkilötiedot, kun Sopimus päättyy ja Henkilötietojen Käsittelyyn liittyvän palvelun tarjoaminen lakkaa tai kun tämän Tietosuojaliitteen velvoitteet päättyvät. Lisäksi Toimittaja poistaa kaikki olemassa olevat jäljennökset Henkilötiedoista Sopimuksen tai tämän Tietosuojaliitteen velvoitteiden päättyessä, ellei Toimittajan ole lain tai viranomaismääräyksen mukaan säilytettävä kyseisiä Henkilötietoja.