Tämä sopimus henkilötietojen käsittelystä (”Liite”) muodostaa osan Yleisiä sopimusehtoja
(”Sopimus”) Maximum Effort Ay:n (”Palveluntarjoaja”) ja asiakkaan (”Asiakas”) välillä.
1. Alkutiedot
Tämän Liitteen tarkoituksena on käsitellä Palveluntarjoajan ja Asiakkaan välisiä
henkilötietolainsäädännön mukaisia velvoitteita. Tämä Liite muodostaa osapuolten välille EU:n
yleisen tietosuoja-asetuksen (679/2016) mukaisen kirjallisen sopimuksen henkilötietojen
käsittelystä. Välittömästi EU:n tietosuoja-asetukseen perustuvat velvollisuudet ja oikeudet
tulevat voimaan vasta, kun EU:n tietosuoja-asetuksen soveltaminen alkaa 25.5.2018.
Sopimuksen mukaan Palveluntarjoaja tarjoaa palveluita (“Palvelu”), mukaan lukien mutta ei
yksinomaan, Hostingpalveluita ja/tai tukipalveluita Asiakkaalle. Palvelua voidaan käyttää tietojen
tallentamiseen ja/tai Käsittelyyn. Tämä koskee myös Asiakkaan Henkilötietoja. Asiakas toimii
Rekisterinpitäjänä näiden Palvelussa Käsiteltävän Henkilötiedon osalta. Palveluntarjoaja toimii
tällaisten Henkilötietojen Käsittelijänä.
2. Määritelmä
Tässä Liitteessä määrittelemättömiin termeihin sovelletaan niitä määritelmiä, jotka
Sopimuksessa on erikseen määritelty. Lisäksi seuraaville termeille on määritelty merkitykset
tässä Liitteessä:
”Rekisterinpitäjällä” tarkoitetaan Asiakasta, joka määrittää Henkilötietojen käsittelyn tarkoitukset
ja keinot.
”Lainsäädännöllä” tarkoitetaan mitä tahansa kansallisia tietosuojalakeja, Euroopan Unionin
tietosuoja-asetusta (2016/679, ”GDPR”) sen soveltamispäivästä alkaen (25.5.2018) ja
mahdollista tulevaa, kulloinkin voimassa olevaa tietosuojalainsäädäntöä.
”Mallisopimuslausekkeilla” tarkoitetaan Euroopan komission hyväksymiä vakiomuotoisia
sopimusehtoja henkilötietojen luovuttamisesta EU:n rekisterinpitäjiltä kolmansien maiden
käsittelijöille (päätös 2002/16 EY).
”Henkilötiedoilla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen
henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan
suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen,
sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen
fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen
tekijän perusteella.
”Käsittelijällä” tarkoitetaan Palveluntarjoajaa, joka Käsittelee Henkilötietoja Asiakkaan lukuun.
”Käsittelyllä” tai sanalla ”Käsittely” tarkoitetaan mitä tahansa toimintaa tai toimintoja, jossa
Henkilötietoja käsitellään.
”Alihankkijalla” tarkoitetaan käsittelijää, joka Palveluntarjoajan toimeksiannosta suorittaa tämän
Liitteen mukaista Käsittelyä Palveluntarjoajan ja Asiakkaan lukuun.
3. Palveluntarjoajan vastuut
Palveluntarjoaja Käsittelee Asiakkaan Henkilötietoja Asiakkaan lukuun ja tämän
toimeksiannosta Sopimuksen perusteella. Palveluntarjoaja sitoutuu noudattamaan Suomessa ja
Euroopan unionissa kulloinkin voimassa olevaa Henkilötietojen Käsittelyä koskevaa
lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa
muuttamaan tämän Liitteen ehtoja niiden mukaiseksi.
Palveluntarjoaja ei määrittele Asiakkaan Palveluun varastoitujen henkilötietojen tyyppiä.
Palveluntarjoaja ei myöskään vastaa siitä, miten kyseiset tiedot luokitellaan, miten ne ovat
saatavilla tai miten niitä vaihdetaan muiden osapuolten kanssa tai muutoin Käsitellään.
Palveluntarjoaja Käsittelee Henkilötietoja ainoastaan Asiakkaan puolesta, ja vain siinä määrin ja
tavalla, kuin Sopimuksessa ja Liitteessä erikseen määrätään tai Asiakas on erikseen
ohjeistanut. Asiakkaan erilliset ohjeistukset tulee dokumentoida Tilauksen, Palvelukuvauksen,
tukipyynnön tai muun kirjallisen viestinnän yhteydessä. Mikäli Palveluntarjoajalla on kohtuullinen
syy epäillä, että Asiakkaan antamat ohjeet ovat ristiriidassa: (i) sovellettavien lakien tai
määräysten, ja/tai (ii) Sopimuksen tai tämän Liitteen määräysten kanssa, ilmoittaa
Palveluntarjoaja tästä asiakkaalle ilman aiheetonta viivytystä. Palveluntarjoajalla on oikeus lykätä kyseisen ohjeistuksen täytäntöönpanoa siihen asti, että Asiakas muuttaa ohjeistustaan tai että täytäntöönpanosta on erikseen sovittu Palveluntarjoajan ja Asiakkaan välillä.
3.1 Rekisteröityjen tai viranomaisen pyynnöt
Palveluntarjoja siirtää välittömästi Asiakkaalle kaikki Rekisteröidyiltä tai viranomaiselta
saamansa Henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden Käsittelyn
kieltämistä koskevat pyynnöt tai muut Rekisteröidyltä saamansa pyynnöt jotka koskevat
voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten
Rekisteröidyn oikeuksien käyttämistä. Asiakkaan velvollisuutena on huolehtia ko. pyyntöihin
vastaamisesta. Ottaen huomioon Käsittelytoimen luonteen, Palveluntarjoaja auttaa Asiakasta
asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään
Asiakkaan velvollisuuden vastata Rekisteröidyn pyyntöihin.
Palveluntarjoaja on velvollinen, ottaen huomioon Henkilötietojen Käsittelyn luonteen ja sen
saatavilla olevat tiedot, auttamaan Asiakasta varmistamaan, että sille laissa asetettuja
velvollisuuksia noudatetaan. Nämä velvollisuudet voivat käsittää tietoturvallisuutta,
tietoturvaloukkauksista ilmoittamista, tietosuojaa koskevaa vaikutustenarviointia ja
ennakkokuulemista koskevia velvoitteita. Palveluntarjoaja on velvollinen avustamaan Asiakasta
ainoastaan sovellettavan tietosuojalainsäädännön Henkilötiedon Käsittelijälle asettamien
velvoitteiden mukaisessa laajuudessa. Ellei toisin sovita, Palveluntarjoajalla on oikeus laskuttaa
tämän sopimuskohdan mukaisista toimista aiheutuvat kustannukset voimassa olevan
hinnastonsa mukaisesti. Lisäksi Palveluntarjoajalle tulee antaa kohtuullinen aika auttaa
Asiakasta avustamisessa.
Palveluntarjoja ohjaa kaikki tietosuojaviranomaisten tiedustelut suoraan Asiakkaalle, eikä
Palveluntarjoajalla ole valtuuksia edustaa Asiakasta tai toimia Asiakkaan puolesta Asiakasta
valvovien tietosuojaviranomaisten kanssa.
3.2 Palveluntarjoaja ja Lainsäädännön noudattaminen
Palveluntarjoajan on noudatettava Sopimuksen mukaisia omaan toimintaansa ja Palvelujen
tarjoamiseen sovellettavia määräyksiä, yksityisyyden suojaa ja turvallisuutta koskevia lakeja
sekä tämän Liitteen mukaisia velvoitteita. Palveluntarjoaja ei kuitenkaan ole vastuussa
Asiakkaaseen tai Asiakkaan toimialaan sovellettavan lainsäädännön noudattamisesta, jos
kyseistä lainsäädäntöä ei yleisesti sovelleta informaatioteknologian palveluntarjoajiin. Lain niin
vaatiessa Palveluntarjoajan on nimitettävä tietosuojavastaava, jonka tulee täyttää tehtävänsä sovellettavan lain mukaisesti. Tietosuojavastaavan tiedot toimitetaan pyynnöstä asiakkaalle.
Palveluntarjoajan on ylläpidettävä kaikkia tarpeellisia selosteita, ja Asiakkaan pyynnöstä
annettava saataville kaikki sellaiset tiedot, jotka ovat tarpeen tämän Liitteen sekä
Lainsäädännön mukaisten velvoitteiden noudattamisen osoittamiseksi.
4. Asiakkaan vastuut
Asiakas sitoutuu noudattamaan Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa
Henkilötietojen Käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja
ohjeistuksia ja tarvittaessa muuttamaan tämän Liitteen ehtoja niiden mukaiseksi.
Asiakas on vastuussa siitä, että sillä on tarvittavat oikeudet ja suostumukset Sopimuksen
mukaiseen Henkilötietojen Käsittelyyn. Asiakas vastaa tietosuojaselosteen laatimisesta ja
saatavilla pidosta sekä Rekisteröityjen informoinnista ja ilmoituksista tietosuojaviranomaisille.
Asiakas määrittelee Palveluihin tallennettujen Henkilötietojen tyypin. Asiakas määrittelee myös,
miten Henkilötietoja käytetään, vaihdetaan tai muuten Käsitellään. Asiakas on vastuussa myös
Henkilötietojen käsittelyn eheydestä, turvallisuudesta, ylläpidosta ja asianmukaisesta
suojaamisesta sekä sen varmistamisesta, että Asiakas noudattaa kaikkia sovellettavia
tietosuoja-, tietoturva- ja turvallisuuslakeja sekä määräyksiä.
5. Tekniset ja organisatoriset toimenpiteet
Palveluntarjoaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Asiakkaan
Henkilötietojen suojaamiseksi ottaen huomioon Käsittelyn sisältämät riskit, joita ovat erityisesti
siirrettyjen, tallennettujen tai muuten Käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen,
hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy.
Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja
niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin,
sekä Käsiteltävien Henkilötietojen arkaluonteisuuteen.
Asiakas on velvollinen varmistamaan, että Palveluntarjoajalle tiedotetaan kaikista niistä
Rekisterinpitäjän toimittamiin Henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä
erityisten henkilöryhmien käsittelystä, jotka vaikuttavat tämän Liitteen mukaisiin teknisiin ja
organisatorisiin toimenpiteisiin. Palveluntarjoaja varmistaa, että Henkilötietojen Käsittelyyn osallistuva Palveluntarjoajan tai Palveluntarjoajan käyttämän alihankkijan henkilöstö noudattaa asianmukaista salassapitovelvollisuutta.
Toteutetut tietoturvatoimenpiteet on määritelty Toimittajan tietoturvan vähimmäisvaatimuksissa,
jotka on kuvailtu tarkemmin palveluntarjojan www-sivuilla (www.domainhotelli.fi). Asiakas on
velvollinen ilmoittamaan Toimittajalle kaikista sellaisista seikoista (mukaan lukien erityiset riskit
tai henkilötietoryhmät), jotka edellyttävät ylimääräisten teknillisten tai organisatoristen
suojaustoimenpiteiden määrittelemisestä ja sopimisesta Sopimuksessa.
Asiakas on omalta osaltaan vastuussa turvatoimien ja muiden teknisten sekä organisatoristen
suojatoimien toteuttamisesta ja ylläpidosta. Toimenpiteiden tulee olla suhteessa Asiakkaan
tallentamien ja/tai muuten Käsittelemien Henkilötietojen luonteeseen ja määrään nähden.
Asiakas on myös vastuussa Palvelua käyttävistä työntekijöistään ja henkilöistä, joille Asiakas on
antanut pääsy- tai käyttöoikeuden Palveluihin. Asiakas on vastuussa myös, mikäli kolmas
osapuoli pääsee käsiksi sen Henkilötietoihin tai Palveluun, vaikka Asiakas ei olisi antanut tälle
lupaa tietojen Käsittelyyn, jos Asiakas ei ole suorittanut tarpeellisia turvallisuustoimenpiteitä.
6. Tietoturvaloukkauksesta ilmoittaminen
Palveluntarjoajan on ilmoitettava Asiakkaalle kaikista Henkilötietoihin kohdistuneista
tietoturvaloukkauksista ilman aiheetonta viivytystä loukkauksesta tiedon saatuaan tai kun
Palveluntarjoajan käyttämä alihankkija on saanut loukkauksen tietoonsa. Asiakas vastaa
tarvittavista ilmoituksista tietosuojaviranomaisille. Asiakas on myös velvoitettu ilmoittamaan
Palveluntarjoajalle vastaavasti kohtaamistaan tietoturvaloukkauksista.
Asiakkaan pyynnöstä Palveluntarjoajan tulee ilman aiheetonta viivytystä toimittaa Asiakkaalle
kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Siltä osin kuin kyseinen tieto on
Palveluntarjoajan saatavilla, Palveluntarjoajan on Asiakkaalle tehtävässä ilmoituksessa
kuvattava vähintään:
● tapahtunut tietoturvaloukkaus,
● kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista, ja
● kuvaus korjaavista toimenpiteistä, jotka Palveluntarjoaja on suorittanut tai tulee
suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa jos
tietoturvaloukkaus on johtunut Palveluntarjoajasta, sekä tarvittaessa myös toimenpiteet
mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi.
Palveluntarjoaja dokumentoi ja raportoi selvityksen tulokset ja suoritetut toimenpiteet
Asiakkaalle.
7. Auditointi
Asiakkaalla tai tämän valtuuttamalla auditoijalla (ei kuitenkaan Palveluntarjoajan kilpailija) on
oikeus auditoida tämän Liitteen alainen toiminta. Sopijapuolet sopivat auditoinnin ajankohdasta
ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 työpäivää ennen tarkastusta. Auditointi
tulee suorittaa tavalla, joka ei haittaa Palveluntarjoajan ja sen alihankkijoiden sitoumuksia
kolmansiin osapuoliin nähden. Asiakkaan edustajien ja auditoijan on allekirjoitettava
tavanomaiset salassapitositoumukset.
Asiakas vastaa kaikista auditoinnin kustannuksista. Palveluntarjoajalla on oikeus laskuttaa
Asiakasta auditoinnin aiheuttamasta työstä.
7. Alihankkijat
Palveluntarjoajalla on oikeus käyttää alihankkijoita Asiakkaan Henkilötietojen Käsittelyssä.
Palveluntarjoaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa
vastaavat kirjalliset sopimukset Henkilötietojen Käsittelystä. Palveluntarjoaja ilmoittaa
pyydettäessä Asiakkaalle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen
mukaiseen Henkilötietojen Käsittelyyn. Asiakkaalla on perustellusta syystä oikeus vastustaa
uuden alihankkijan käyttöä. Mikäli Asiakas ei kirjallisesti vastusta alihankkijan lisäämistä tai
vaihtamista, tulkitaan se kyseisen alihankkijan vaihdoksen hyväksymisenä. Jos osapuolet eivät
pääse yksimielisyyteen uuden alihankkijan käyttämisestä, Asiakkaalla on oikeus irtisanoa
Sopimus kolmenkymmenen (30) päivän irtisanomisajalla siltä osin, kun alihankkijan muutos
vaikuttaa Sopimuksen mukaiseen Henkilötietojen Käsittelyyn.
8. Palvelinkeskuksen sijainti ja tiedonsiirto
Palveluntarjoajan palvelinkeskukset, joissa kaikkia Henkilötietoja säilytetään ja Käsitellään,
sijaitsevat pääsääntöisesti Suomessa. Palveluntarjoaja voi kuitenkin siirtää Henkilötietoja mille
tahansa EU/ETAalueella sijaitseville palvelinkeskuksille sekä EU/ETA-alueen ulkopuolella
sijaitseville palvelinkeskuksille siten kuin Palveluiden tarkemmissa kuvauksissa on kerrottu tai
Sopimuksen yhteydessä on sovittu. Henkilötietojen siirtoon EU/ETA-alueen ulkopuolelle
sovelletaan Mallisopimuslausekkeita, jotka liitetään tähän Liitteeseen, tai muuta Lainsäädännön
mahdollistamaa siirtomekanismia. Mallisopimuslausekkeet muodostavat tämän Liitteen osan ja
syrjäyttävät kaikki niiden kanssa ristiriidassa olevat Sopimuksessa tai tässä Liitteessä annetut
määräykset.
9. Muut ehdot
Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen tai Liitteen loukkauksista aineellista tai
aineetonta vahinkoa, Palveluntarjoaja on vastuussa vahingosta vain siltä osin, kuin se ei ole
noudattanut nimenomaisesti sille osoitettuja EU:n tietosuoja-asetuksen tai tämän Liitteen
velvoitteita.
Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollista
sakoista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen
lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Muilta osin osapuolten vastuu
määräytyy Sopimuksen perusteella.
Palveluntarjoaja tiedottaa Asiakasta kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa
sen kykyyn tai mahdollisuuksiin noudattaa tätä Liitettä ja Asiakkaan antamia kirjallisia ohjeita.
Osapuolet sopivat kaikki lisäykset ja muutokset tähän Liitteeseen kirjallisesti.
Liite on voimassa (i) niin pitkään kuin Sopimus on voimassa tai (ii) osapuolilla on Henkilötietojen
Käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.
Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Liitteen
voimassaolon päättymisestä riippumatta, jäävät voimaan Liitteen päättymisen jälkeen.