Kopio sopimuksesta lähetetään sinulle, kun olet allekirjoittanut ja vahvistanut sopimuksen.

Tietojenkäsittelysopimus

Tätä tietojenkäsittelysopimusta sovelletaan asiakkaan ja Automaattisesti-yrityksen (”Automaattisesti”) välillä siltä osin kuin Automaattisesti käsittelee henkilötietoja Asiakkaan puolesta, kun Asiakas käyttää AutomaattisestiMH-verkkoalustaa (”Palvelu”) Automaattisesti-yrityksen palveluehtojen (”Sopimus”) mukaisesti.

Asiakasta pidetään tällaisten henkilötietojen rekisterinpitäjänä EU:n asetuksen 2016/679 (”GDPR”) mukaisesti, ja Automaattisesti käsittelee, tarjotessaan Palvelua Asiakkaalle, tällaisia henkilötietoja Asiakkaan puolesta tietojenkäsittelijänä Sopimuksen tarkoituksia varten. Tässä sopimuksessa ”henkilötiedoilla” tarkoitetaan sellaisia henkilötietoja, joita Automaattisesti käsittelee Asiakkaan puolesta Asiakkaan tietojenkäsittelijänä.

Epäselvyyksien välttämiseksi tätä tietojenkäsittelysopimusta ei sovelleta sellaisten henkilötietojen käsittelyyn, joiden osalta Automaattisesti toimii itsenäisenä rekisterinpitäjänä yleisen tietosuoja-asetuksen mukaisesti (esim. liiketoiminnan yhteystiedot ja laskutustiedot osapuolten yhteistyön puitteissa).

Käsittely määritellään seuraavasti:

Käsittelyn luonne, tarkoitus ja kesto: Palvelun tarjoaminen Asiakkaalle Sopimuksen voimassaoloaikana.

Henkilötietojen tyypit: Nimet ja yhteystiedot, tunnistettavissa olevan henkilön antama palaute, tunnistettavissa oleva mediasisältö, kuten videotodistukset ja valokuvat.

Rekisteröityjen ryhmät: Asiakkaat, Asiakkaan työntekijät tai alihankkijat.

1. Henkilötietojen käsittely

Automaattisesti käsittelee henkilötietoja ainoastaan tämän tietojenkäsittelysopimuksen ja Asiakkaan dokumentoitujen ohjeiden mukaisesti, ellei Euroopan Unionin tai Suomen laki edellytä toisin. Tällaisessa tapauksessa Automaattisesti ilmoittaa Asiakkaalle kyseisestä laillisesta vaatimuksesta ennen käsittelyä, ellei tämä laki kiellä kyseistä tiedonantoa tärkeistä yleistä etua koskevista syistä.

Asiakkaan ohjeiden on oltava kaupallisesti kohtuullisia, sovellettavan tietosuojalainsäädännön mukaisia ja yhdenmukaisia tämän tietojenkäsittelysopimuksen kanssa. Jos Asiakkaan ohjeet vaativat Automaattisesti-yritykseltä lisätoimenpiteitä tai -työtä, Automaattisesti-yrityksellä on oikeus periä Asiakkaalta tuntiveloitteinen konsultointimaksu Asiakkaan ohjeiden mukaisesti Automaattisesti-yrityksen nykyisen konsultointipalveluiden hinnaston mukaan, edellyttäen Asiakkaan etukäteistä hyväksyntää kyseisille lisäkustannuksille.

Automaattisesti ilmoittaa Asiakkaalle viipymättä kirjallisesti, jos sen mielestä Asiakkaan ohje rikkoo sovellettavaa tietosuojalainsäädäntöä. Mikäli Asiakkaan ohjeet eivät ole GDPR:n tai muun sovellettavan tietosuojalainsäädännön mukaisia, Automaattisesti ei ole velvollinen noudattamaan kyseisiä Asiakkaan ohjeita.

2. Tietoturva

Ottaen huomioon tekniikan kehittyneisyys, toteutuskustannukset sekä Automaattisesti-yrityksen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset, sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus, Automaattisesti toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia tietoturvatoimenpiteitä henkilötietojen suojaamiseksi luvattomalta tai lainvastaiselta käsittelyltä ja vaurioitumiselta, erityisesti vahingossa tai lainvastaisesti tapahtuvalta tuhoamiselta, häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai pääsyltä henkilötietoihin.

Automaattisesti ilmoittaa viipymättä kirjallisesti Asiakkaalle kaikista henkilötietoihin liittyvistä tietoturvaloukkauksista sen jälkeen, kun se on tullut tietoiseksi niistä. Automaattisesti-yrityksen ilmoitus Asiakkaalle loukkauksesta sisältää vähintään seuraavat tiedot: (i) kuvaus loukkauksen luonteesta; (ii) Automaattisesti-yrityksen yhteyshenkilön nimi ja yhteystiedot, jolta lisätietoja on saatavilla; (iii) kuvaus loukkauksen todennäköisistä seurauksista; (iv) kuvaus toimenpiteistä, jotka Automaattisesti on toteuttanut loukkauksen käsittelemiseksi, mukaan lukien mahdollisuuksien mukaan toimenpiteet sen mahdollisten haittavaikutusten lieventämiseksi. Automaattisesti dokumentoi kaikki henkilötietojen tietoturvaloukkaukset, sisältäen henkilötietojen tietoturvaloukkaukseen liittyvät tosiasiat, sen vaikutukset ja toteutetut korjaavat toimenpiteet.

Automaattisesti varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet luottamuksellisuuteen tai ovat asianmukaisen lakisääteisen salassapitovelvollisuuden alaisia.

3. Avustamisvelvoitteet

Ottaen huomioon käsittelyn luonne, Automaattisesti avustaa Asiakasta asianmukaisin teknisin ja organisatorisin toimenpitein, siinä määrin kuin se on mahdollista, Asiakkaan velvoitteiden täyttämiseksi vastata tietosubjektin oikeuksien käyttöä koskeviin pyyntöihin GDPR:n III luvun mukaisesti (kuten oikeus saada pääsy tietoihin ja oikeus tietojen oikaisuun tai poistamiseen).

Ottaen huomioon käsittelyn luonteen ja Automaattisesti-yrityksen käytettävissä olevat tiedot, Automaattisesti avustaa lisäksi Asiakasta Asiakkaan GDPR:n 32-36 artikloissa säädettyjen velvoitteiden täyttämisessä (esim. tietoturva- ja tietosuojaa koskevien vaikutustenarviointien, siirtovaikutustenarviointien, tietoturvaloukkausilmoitusten ja toimivaltaisen valvontaviranomaisen ennakkokuulemisten suorittaminen).

Mikäli tällainen avustaminen vaatii toimenpiteitä Automaattisesti-yritykseltä, Automaattisesti-yrityksellä on oikeus periä tuntiveloitteinen konsultointimaksu Asiakkaalta avustamispyyntöjen käsittelystä Automaattisesti-yrityksen nykyisen konsultointipalveluiden hinnaston mukaisesti, edellyttäen Asiakkaan etukäteistä hyväksyntää kyseisille lisäkustannuksille.

4. Alikäsittelijät

Asiakas antaa Automaattisesti-yritykselle yleisen valtuutuksen käyttää alihankkijoita henkilötietojen käsittelijöinä henkilötietojen käsittelyssä Palvelun yhteydessä.

Automaattisesti voi vapaasti valita ja vaihtaa alihankkijoitaan. Lista Automaattisesti käyttämistä alihankkijoista on nähtävillä tästä. Mikäli alihankkija vaihtuu myöhemmin (lisäys tai korvaaminen), Automaattisesti ilmoittaa Asiakkaalle tällaisesta muutoksesta, jolloin Asiakkaalla on mahdollisuus vastustaa muutosta. Jos Automaattisesti ei suostu vaihtamaan alihankkijaa, johon Asiakas on vastustanut, molemmilla osapuolilla on oikeus irtisanoa Sopimus ja tämä tietojenkäsittelysopimus.

Kun Automaattisesti käyttää alihankkijaa suorittamaan tiettyjä käsittelytoimia Asiakkaan puolesta, samat tietosuojavelvoitteet kuin tässä tietojenkäsittelysopimuksessa asetetaan sisällytetään Automaattisesti-yrityksen ja kyseisen alihankkijan väliseen tietojenkäsittelysopimukseen. Mikäli alihankkija laiminlyö tietosuojavelvoitteidensa täyttämisen, Automaattisesti on edelleen täysin vastuussa Asiakkaalle alihankkijan velvoitteiden täyttämisestä.

5. Kansainväliset siirrot

Asiakas hyväksyy, että Automaattisesti-yritys voi käsitellä henkilötietoja ja alihankkijoiden henkilötietoja Euroopan talousalueen (”ETA”) ulkopuolella Palvelun tarjoamiseksi. Mikäli henkilötietoja siirretään ETA-alueelta käsiteltäväksi ETA-alueen ulkopuolella olevaan maahan, jota Euroopan komissio ei ole tunnustanut riittävää tietosuojan tasoa tarjoavaksi, Asiakas valtuuttaa Automaattisesti-yrityksen solmimaan Asiakkaan puolesta, Euroopan komission hyväksymät tai hyväksymät uudet vakiosopimuslausekkeet (Module Three, käsittelijältä käsittelijälle -siirrot), joita sovelletaan ETA-alueen ulkopuoliseen käsittelyyn, tai Automaattisesti-yritys tarjoaa muita asianmukaisia suojatoimia henkilötietojen suojan takaamiseksi ETA-alueen ulkopuolella tapahtuvien siirtojen osalta GDPR:n mukaisesti.

Pyynnöstä Automaattisesti-yritys antaa Asiakkaalle tietoja kansainvälisten siirtojen yhteydessä toteutetuista lisäsuojatoimista, mukaan lukien tietoja toteutetuista lisätoimenpiteistä, joilla suojataan henkilötietoja sen lainkäyttöalueen sisällä, johon ne siirretään.

6. Auditoinnit

Asiakkaalla tai Asiakkaan nimeämällä tarkastajalla on oikeus Automaattisesti-yrityksen avustuksella tarkastaa Automaattisesti-yrityksen käsittelytoimintaa tämän tietojenkäsittelysopimuksen mukaisesti Automaattisesti-yrityksen sopimusvelvoitteiden ja sovellettavan tietosuojalainsäädännön noudattamisen arvioimiseksi Automaattisesti-yrityksen normaaleina aukioloaikoina ja 30 päivän kirjallisella etukäteisilmoituksella. Asiakas vastaa kaikista auditoinnin yhteydessä Automaattisesti-yritykselle tai Asiakkaalle aiheutuneista kustannuksista.

Mikäli auditointi saattaa Automaattisesti-yrityksen yksinomaisen mielipiteen mukaan johtaa Automaattisesti-yrityksen liikesalaisuuksien paljastumiseen tai uhata Automaattisesti-yrityksen immateriaalioikeuksia, Asiakas käyttää auditoinnin suorittamiseen riippumatonta tarkastajaa, joka ei ole Automaattisesti-yrityksen kilpailija, ja tarkastaja sitoutuu luottamuksellisuuteen Automaattisesti-yrityksen eduksi.

Automaattisesti-yritys tarjoaa Asiakkaalle tämän pyynnöstä tarpeelliset tiedot GDPR:n noudattamisen osoittamiseksi. Mikäli edellä mainitut Asiakkaan pyynnöt edellyttävät toimenpiteitä tai työtä Automaattisesti-yritykseltä, Automaattisesti-yrityksellä on oikeus periä tuntiveloitteinen konsultointimaksu nykyisen konsultointipalveluiden hinnaston mukaisesti, edellyttäen Asiakkaan etukäteistä hyväksyntää kyseisille lisäkustannuksille.

7. Henkilötietojen poistaminen tai palauttaminen

Kohtuullisen ajan kuluessa Sopimuksen päättymisestä tai erääntymisestä tai sen jälkeen, kun Asiakas on lopettanut Palvelun pysyvän käytön, Automaattisesti poistaa tai palauttaa Asiakkaalle kaikki henkilötiedot Asiakkaan ohjeiden mukaisesti, paitsi siltä osin kuin Automaattisesti on velvollinen säilyttämään tällaisia henkilötietoja Euroopan unionin tai jäsenvaltion lain nojalla.

8. Asiakkaan tietosuojakäytäntö

Asiakas toimittaa tarvittaessa Automaattisesti-yritykselle soveltuvan tietosuojakäytäntönsä koskien sellaisia henkilötietoja, joiden osalta Asiakas toimii rekisterinpitäjänä Palvelun ohjeiden mukaisesti. Tämä voidaan tehdä lataamalla tietosuojakäytäntö alustalle, josta se näytetään rekisteröidyille, jotka jättävät palautetta Asiakkaalle AutomaattisestiMH-palvelun kautta.