Updated 25.5.2018

DATA PROCESSIN AGREEMENT

1 Introduction

This attachment to the processing of personal data (“Data processin agreement”) is inseparable part of Liveto Group Oy`s (“supplier”) and event organizers (“glient”) agreement.

The parts of data processin agreemenr are Liveto Group Oy and as well as the event organizer using its services. Register keeper is client that has agreet all the parts of Data processin agreement.

Data processor: Liveto Group Oy Y-ID: 2647803-7 Lutakonaukio 7 40100 Jyväskylä Finland

The purpose of this Agreement is to guarantee clients Personal Data Protection and Security in Supplier Services. This Agreement forms a general EU data protection regulation between the parties (679/2016) a written agreement on the processing of personal data. The application of the EU Data Protection Regulation starts on 25.5.2018 then all the reculations will put into operation.

If the information of this attachment or agreement of the personal data protection have mixed terms, both parties of the agreement will apply the information of this agreement.

 

 

2 Definitions

In this agreement in accordance to the EU Data Protection Regulation

“register keeper” is client which defines the purposes and means of processing personal data.

“supplier” Supplier who handles the personal information for the register keeper aggording to the Agreement.

“handling” process or processing which are targetet to personal data or the groups of information that includes personal information data by using automatical informationt process or manual process, example collecting the information, saving data, arranging data, keeping data, editing and changing data, search, inquiry, use, passing the information by moving it, spreading it or putting it somewhere to be collected, coordinating or combining data, limiting data, deleting and destroying data.

“personal data” every information that is attached to any identifiable person, traceable to any registeration, related information; Identifiable is considered a person that can be recognizable by directly or indirectly identifies, in particular, the identification data, by name, personal identity number, location, network identification information, or something that is familiar for indentifying a person like physical, physiological, genetic, mental, financial, cultural or base on social factors.

“personal information security breaches”  tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

3 Tietosuoja ja henkilötietojen käsittely

3.1 Toimittajan ja Asiakkaan vastuut

Toimittaja käsittelee Asiakkaan henkilötietoja Asiakkaan lukuun ja tämän toimeksiannosta Sopimuksen perusteella. Toimittajan käsittelemät henkilötiedot voivat liittyä esim. työntekijöihin tai asiakkaisiin. Asiakas on palvelussa käsiteltävien henkilötietojensa rekisterinpitäjä ja Toimittaja käsittelijä. Osapuolet sitoutuvat noudattamaan Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa henkilötietojen käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän liitteen ehtoja niiden mukaiseksi.

Rekisterinpitäjänä Asiakas on vastuussa siitä, että sillä on tarvittavat oikeudet ja suostumukset Sopimuksen mukaiseen henkilötietojen käsittelyn. Asiakas vastaa selosteen laatimisesta ja saatavilla pidosta sekä rekisteröityjen informoinnista ja ilmoituksista tietosuojaviranomaisille. Asiakas vastaa Toimittajalle antamiensa henkilötietojen oikeellisuudesta.

Asiakkaalla on oikeus ja velvollisuus määrittää henkilötietojen käsittelyn tarkoitus ja keinot. Käsittelyn kohde, luonne ja tarkoitus on tarkemmin määritelty Sopimuksessa. Palveluissa käsiteltävien henkilötietojen tyypit ja rekisteröityjen ryhmät on määritelty Sopimuksessa.

Toimittajalla on oikeus käsitellä Asiakkaan henkilötietoja ja muita Asiakkaan tietoja vain Sopimuksen, tämän Liitteen ja Asiakkaan kirjallisten ohjeiden mukaisesti ja vain siltä osin ja siten kuin on tarpeellista palveluiden toimittamiseksi. Toimittaja ilmoittaa Asiakkaalle, mikäli ohjeissa havaitaan EU:n tai Suomen

tietosuojasäännösten vastaisuutta ja tällöin Toimittaja voi välittömästi kieltäytyä ja lopettaa soveltamasta Asiakkaan ohjeita.

Toimittaja ylläpitää palvelun kuvausta tai muuta EU:n tietosuoja-asetuksen vaatimaa selostetta palvelussa suoritettavista käsittelytoimista. Toimittajalla on oikeus kerätä Sopimuksen mukaisten palvelujen käytöstä anonyymiä ja tilastollista tietoa, joka ei yksilöi Asiakasta eikä rekisteröityjä ja käyttää sitä palvelujensa analysointiin ja kehittämiseen.

3.2 Tietojen poisto/palauttaminen

3.3 Alihankkijat

Sopimuksen päätyttyä Toimittaja palauttaa tai poistaa, Asiakkaan antaman ohjeistuksen mukaisesti, kaikki Asiakkaan henkilötiedot Asiakkaalle sekä poistaa olemassa olevat jäljennökset, ellei sovellettava lainsäädäntö edellytä henkilötietojen säilyttämistä.

Toimittajalla on oikeus käyttää alihankkijoita Asiakkaan henkilötietojen käsittelyssä. Toimittaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset henkilötietojen käsittelystä. Toimittaja ilmoittaa pyydettäessä Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen henkilötietojen käsittelyyn. Asiakkaalla on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä. Jos osapuolet eivät pääse yksimielisyyteen uuden alihankkijan käyttämisestä, Asiakkaalla on oikeus irtisanoa Sopimus kolmenkymmenen (30) päivän irtisanomisajalla siltä osin, kun alihankkijan muutos vaikuttaa Sopimuksen mukaiseen henkilötietojen käsittelyyn.

3.4 Toimittajan avustamisvelvollisuus

Toimittaja siirtää välittömästi Asiakkaalle kaikki Rekisteröidyiltä saamansa henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden käsittelyn kieltämistä koskevat pyynnöt tai muut Rekisteröidyltä saamansa pyynnöt. Asiakkaan velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta. Ottaen huomioon käsittelytoimen luonteen, Toimittaja auttaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Asiakkaan velvollisuuden vastata Rekisteröidyn pyyntöihin.

Toimittaja on velvollinen, ottaen huomioon henkilötietojen käsittelyn luonteen ja sen saatavilla olevat tiedot, auttamaan Asiakasta varmistamaan, että sille laissa asetettuja velvollisuuksia noudatetaan. Nämä velvollisuudet voivat käsittää tietoturvallisuutta, tietoturvaloukkauksista ilmoittamista, tietosuojaa koskevaa vaikutustenarviointia ja ennakkokuulemista koskevia velvoitteita. Toimittaja on velvollinen avustamaan Asiakasta ainoastaan sovellettavan tietosuojalainsäädännön henkilötiedon käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Ellei toisin sovita, Toimittajalla on oikeus laskuttaa tämän sopimuskohdan 3.4 mukaisista toimista aiheutuvat kustannukset voimassa olevan hinnastonsa mukaisesti.

Toimittaja ohjaa kaikki tietosuojaviranomaisten tiedustelut suoraan Asiakkaalle, eikä Toimittajalla ei ole valtuuksia edustaa Asiakasta tai toimia Asiakkaan puolesta Asiakasta valvovien tietosuojaviranomaisten kanssa.

4 Käsittely EU:n / ETA:n ulkopuolella

Toimittaja ja sen alihankkijat eivät käsittele henkilötietoja EU-/ETA-alueen ulkopuolella ilman Asiakkaan kirjallista suostumusta.

Osapuolet sopivat kirjallisesti etukäteen kaikista Asiakkaan tietojen siirroista tai käsittelystä EU:n/ETA:n ulkopuolella ja niihin sovelletaan lähtökohtaisesti Euroopan Unionin hyväksymiä mallisopimuslausekkeita henkilötietojen siirtämisestä EU:n/ETA:n ulkopuolelle.

5 Auditointi

Asiakkaalla tai tämän valtuuttamalla auditoijalla (ei kuitenkaan Toimittajan kilpailija) on oikeus auditoida Liitteen alainen toiminta. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 työpäivää ennen tarkastusta. Auditointi tulee suorittaa tavalla, joka ei haittaa Toimittajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden. Asiakkaan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Asiakas vastaa itselleen ja Toimittajalle auditoinnista aiheutuvista kustannuksista. Mikäli Toimittajan toimissa havaitaan auditoinnissa merkittäviä puutteita, vastaa Toimittaja auditoinnista aiheutuvista kustannuksista.

6 Tietoturva

Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Asiakkaan henkilötietojen suojaamiseksi ottaen huomioon käsittelyn sisältämät riskit, joita ovat erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy. Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin sekä käsiteltävien henkilötietojen arkaluonteisuuteen.

Asiakas on velvollinen varmistamaan, että Toimittajalle tiedotetaan kaikista niistä Asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat tämän Liitteen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin. Toimittaja varmistaa, että henkilötietojen käsittelyyn osallistuva Toimittajan tai Toimittajan käyttämän alihankkijan henkilöstö noudattaa asianmukaista salassapitovelvollisuutta.

7 Tietoturvaloukkauksesta ilmoittaminen

Toimittajan on ilmoitettava Asiakkaalle kaikista henkilötietoihin kohdistuneista tietoturvaloukkauksista ilman aiheetonta viivytystä loukkauksesta tiedon saatuaan tai kun Toimittajan käyttämä alihankkija on saanut loukkauksen tietoonsa.

Asiakkaan pyynnöstä Toimittajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Siltä osin

8 Muut ehdot

kuin kyseinen tieto on Toimittajan saatavilla, Toimittajan on Asiakkaalle tehtävässä ilmoituksessa kuvattava vähintään:

  1. (a)  tapahtunuttietoturvaloukkaus,
  2. (b)  mahdollisuuksien mukaan rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvoidut lukumäärät,
  3. (c)  kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista, ja
  4. (d)  kuvaus korjaavista toimenpiteistä, jotka Toimittaja on suorittanut tai tulee suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa, sekä tarvittaessa myös toimenpiteet mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi.

Toimittaja dokumentoi ja raportoi selvityksen tulokset ja suoritetut toimenpiteet Asiakkaalle.

Asiakas vastaa tarvittavista ilmoituksista tietosuojaviranomaisille.

Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen tai Liitteen loukkauksista aineellista tai aineetonta vahinkoa, Toimittaja on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja EU:n tietosuoja-asetuksen tai tämän Liitteen velvoitteita.

Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollista sakoista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Muilta osin osapuolten vastuu määräytyy Sopimuksen perusteella.

Toimittaja tiedottaa Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä Liitettä ja Asiakkaan antamia kirjallisia ohjeita. Osapuolet sopivat kaikki lisäykset ja muutokset tähän Liitteeseen kirjallisesti.

Tämä Liite tulee voimaan automaattisesti osana voimassaolevia sopimuksia. Liite on voimassa (i) niin pitkään kuin Sopimus on voimassa tai (ii) osapuolilla on henkilötietojen käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.

Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Liitteen voimassaolon päättymisestä riippumatta, jäävät voimaan Liitteen päättymisen jälkeen.