Tietosuojaehdot
Päivitetty viimeksi 31.3.2022 termistöä selkiytetty ja poistettu ylimääräistä sisältöä.
Osapuolet ja tausta
Tämä henkilötietojen käsittelysopimus (DPA) on Shipit Oy Ab 2705721-8 (jatkossa myös palvelun tarjoaja, henkilö- ja rekisteritietojen käsittelijä sekä Shipit) ja asiakkaan välillä joka on tekemässä lähetystä, mahdollisesti tekemässä lähetystä, rekisteröitymässä Shipitiin asiakkaana, aikeissa rekisteröityä Shipitin asiakkaaksi tai tiedustelee muita mahdolliseen asiakkuuteen johtavia asioita Shipitiltä. Markkinointia lukuunottamatta tämä koskee myös ennakkomaksuasiakkaita. Shipit toimii tilanteessa henkilötietojen käsittelijänä ja käsittelee rekisterinpitäjän (jatkossa myös asiakkaan) tietoja joilla varmistetaan lähetyksien perille meno sekä palveluiden kehittäminen. Tämän sopimuksen tarkoituksena on varmistaa henkilötietoja koskeva tietosuoja, tietoturva ja käsittelytaso. Tämä sopimusliite on olennainen ja erottamaton osa Shipit Oy Ab:n sopimusehtoja.
Shipit Oy Ab Askonkatu 9 A, 15100, Lahti Suomi. Postiosoite PB 60, 22101 Maarianhamina, Ahvenanmaa Suomi.
Tämä tietojenkäsittelysopimus on määritelty (EU) 679/2016 (GDPR) mukaisesti ja tulevat voimaan 25.5.2018, mikäli yleiset sopimusehdot ja tietojenkäsittelysopimus on ristiriidassa keskenään sovelletaan ensisijaisesti henkilötietojen käsittelysopimusta.
Määritelmät
Tässä sopimusliitteessä käytetyt käsitteet saavat sen merkityssisällön, joka niille on annettu Euroopan Unionin asetuksessa luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ("Tietosuoja-asetus").
Tällaisia käsitteitä ovat erityisesti termit:
- Lainsäädäntö. Euroopan unionin tietosuoja-asetus (2016/679, "GDPR") sen soveltamispäivästä alkaen (25.5.2018) ja mahdollista tulevaa, kulloinkin voimassa olevaa lainsäädäntöä
- Rekisterinpitäjä. Asiakas, joka määrittää Henkilötietojen Käsittelyn tarkoitukset ja keinot. Poislukien luonnolliset henkilöt jotka käsittelevät lähetyksiä Shipitin kautta
- Rekisteröity. Lainsäädännön tarkoittama luonnollinen henkilö
- Henkilötiedot. Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot
- Käsittelijä. Palveluntarjoaja, joka Käsittelee Henkilötietoja Asiakkaan lukuun
- Käsittely. Mitä tahansa toimintaa tai toimintoja, joissa Henkilötietoja käsitellään
- Alihankkija/alikäsittelijä. Palveluntarjoajan toimeksiannosta suorittaa tämän liitteen mukaista Käsittelyä Palveluntarjoajan ja Asiakkaan lukuun
- Mallisopimuslauseke. Euroopan komission hyväksymiä vakiomuotoisia sopimusehtoja henkilötietojen luovuttamisesta EU:n rekisterinpitäjiltä kolmansien maiden käsittelijöille (päätös 2002/16 EY)
Tarkoitus
Tällä liitteellä osapuolet sopivat siitä, että Palveluntarjoaja henkilötietojen käsittelijänä Käsittelee sopimuksen voimassaoloaikana henkilötietoja Asiakkaan, rekisterinpitäjän, lukuun.
Shipit voi käsitellä henkilötietoja asiakkaan puolesta jotka voivat viitata luonnollisen henkilön (jäljempänä myös rekisteröidyn) tunnistamiseen. Suorat ja epäsuorat tiedot esim. henkilön nimi, osoitetietoa, IP-osoite, sijaintitieto, verkkotunniste, puhelinnumero, sähköposti, välitystiedot ja viestit. Shipit ei käsittele sivuillaan henkilötunnuksia mutta voi tarvittaessa auttaa asiakasta tämän toimittamisessa kuljetusyhtiölle esim. vienti- tai tuontiselvitystä varten.
Jollei muuten määritelty asiakkaan kirjallisella määräyksellä Shipit voi käsitellä kaikkia lähetykseen liittyvien suorien tai epäsuorien tahojen tietoja.
Asiakkaan velvollisuudet
Asiakas toimii sovellettavassa lainsäädännössä tarkoitettuna Rekisterinpitäjänä niiden asiakkaitaan, työntekijöitään tai muita henkilöitä koskevien henkilötietojen osalta, joita Palveluntarjoaja käsittelee Palvelussa sen toteuttamiseksi ("Asiakkaan Henkilötiedot").
Asiakas määrittelee miten henkilötietoja käytetään, vaihdetaan tai muuten käsitellään. Asiakkaan tehtävä on varmistaa, että kaikille rekisteröidyille on asianmukaisesti ilmoitettu, ja että heille on annettu tarpeelliset tiedot heidän Henkilötietojensa käsittelystä, sekä että Asiakkaalla on tarvittavat oikeudet ja suostumukset Henkilötietojen käsittelyyn. Asiakas on rekisterinpitäjänä vastuussa myös käsittelyä koskevan selosteen laatimisesta.
Asiakas siirtää palveluun ja järjestelmiin vain sellaista tietoa, jota sillä on oikeus käsitellä kulloinkin soveltuvan tietosuojalainsäädännön mukaan.
Asiakas on velvollinen ilmoittamaan Palveluntarjoajalle kaikista sellaisista seikoista (mukaan lukien erityiset riskit tai henkilötietoryhmät), jotka voivat edellyttää ylimääräisiä teknisiä tai organisatorisia suojaustoimenpiteitä.
Asiakas on myös vastuussa Palvelua käyttävistä työntekijöistään ja henkilöistä, joille Asiakas on antanut pääsy- tai käyttöoikeuden Palveluihin. Asiakas on vastuussa tässä tietojenkäsittelysopimuksessa kuitatusta käsittelystä, mikäli kolmas osapuoli pääsee oikeudettomasti käsiksi sen Henkilötietoihin tai Palveluun.
Käsittelijän velvollisuudet
Shipit ja sen alaisuudessa toimiva henkilöstö käsittelee Asiakkaan lukuun henkilötietoja vain sopimuksen ja liitteiden mukaisesti sekä mahdollisen erikseen sovitun kirjallisen ohjeistuksen mukaisesti, ellei kulloinkin sovellettavassa lainsäädännössä toisin edellytetä.
Shipit pitää Asiakkaan henkilötiedot luottamuksellisena ja varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta.
- Henkilötietojen käsittely perustuu rekisterinpitäjän tai kolmannen tahon oikeutettuun etuun
- Henkilö-osapuoli on saanut asianmukaisen tiedon henkilötietojen käsittelystä
- Rekisterinpitäjällä on oikeus siirtää ja hallita henkilötietoja kyseisessä tapauksessa
- Rekisterinpitäjä käsittelee tietoja sovellettavan tietosuojalainsäädännön mukaisesti.
Tietojenkäsittely ja toimet
Shipit toteuttaa asianmukaiset toimenpiteet niin, että käsittely täyttää sovellettavan lainsäädännön vaatimukset ja suojatoimet, joilla pyritään estämään henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Näissä toimenpiteissä huomioidaan riskiä vastaava turvallisuustason varmistaminen.
- Henkilötietojen tarkastelemisesta jää aina jälki Shipitin järjestelmään
- Rekisterinpitäjän luovuttamia tietoja säilytetään lain vaatimissa puitteissa
- Shipitin työntekijöitä sitoo salassapitovelvollisuus henkilötietoihin liittyen
- Henkilötietojen pseudonymisointi ja salaus
- Käyttöoikeuksien hallinta
- Järjestelmien tietoturvatestaus ja salasanaratkaisut tiedonsiirron salaamiseksi
- Riskienhallinta
- Henkilöstön turvaselvitykset
Lähetystietoja voivat käsitellä tarpeen vaatimassa laajuudessa myös Shipitin alihankkiijoinaan käyttävät kuljetusyritykset.
Lopullinen hyväksyntä näille ehdoille tapahtuu aina kun asiakas luo lähetyksen Shipitin kautta tai kun asiakas luovuttaa tietoja Shipitin käsiteltäväksi esim. kuljetuskyselyissä.
Shipit auttaa mahdollisuuksien mukaan rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä vastaamaan pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Asiakas on velvollinen korvaamaan Shipitille tästä työstä aiheutuvat kulut Shipitin sen hetkisen hinnaston mukaisesti.
Shipit auttaa rekisterinpitäjää varmistamaan, että henkilötietojen turvallisuuteen sekä tietosuojaa koskevaan vaikutustenarviointiin ja ennakkokuulemiseen liittyviä velvollisuuksia noudatetaan. Asiakas on velvollinen korvaamaan Shipitille tästä työstä aiheutuvat kulut Shipitin sen hetkisen hinnaston mukaisesti.
Riippuen asiakkaan pyynnöstä Shipit poistaa tai palauttaa kaikki henkilötiedot asiakkaalle 60 päivän sisällä siitä kun prosessointipalvelu on suoritettu loppuun jollei EU tai EU jäsenvaltion lakipykälät toisin määrittele. Jos tietojen palautus ei ole mahdollista tai sen palauttaminen vaatisi suhteettomia toimia tulee tiedot poistaa samaisen aikataulun sisällä.
Alihankkijoiden käyttö
Asiakas antaa Shipitille luvan käyttää toimintojen suorittamiseksi myös alihankintaa, Shipitin ja alihankkijan välillä on sopimus joka velvoittaa alihankkijaa toimimaan tämän tietojenkäsittelysopimuksen mukaisesti. Shipitin vastuulla on myös että alihankkija toimii sopimuksen mukaisesti.
Jos asiakas löytää aukon alihankkijan toiminnassa tai alihankkija toisin tavoin ei noudata alihankkijalle asetettuja määrityksiä, on asiakkaalla oikeus perustellusta syystä kirjallisesti vaatia, ettei kyseistä alihankkijaa käytetä kyseisen asiakkaan tietojen käsittelyyn. Alihankkijan tulee tälläisessa tilanteessa joko poistaa tai palauttaa asiakkaan tiedot.
Selvyyden vuoksi todettakoon että Shipit on asiakkaan ainoa sopimuskumppani ja että Asiakas voi Shipitin kautta tilata palveluita Shipitin alihankkijoilta (kuljetusyhtiöiltä), joiden yhteydessä tietoja siirretään kolmannelle osapuolelle joka käsittelee Asiakkaan henkilötietoja Shipitin lukuun.
Henkilötietojen tietoturvaloukkaukset
Kumpikin osapuoli ilmoittaa ilman aiheetonta viivästystä tietoonsa tulevasta tietoturvapoikkeamasta ja -loukkauksesta, jolla on, tai voi olla, vaikutusta henkilötietojen käsittelyyn.
Shipit avustaa rekisterinpitäjää, mikäli toimintaan kohdistuu viranomaisselvitys. Näissä tapauksissa asiakas on velvollinen kompensoimaan Shipitiä sen hetkisen hinnaston mukaisesti. Shipit informoi asiakasta näissä asioissa ellei laki toisin velvoita esim. rikostutkimuksen johdosta.
Shipit on velvollinen ilmoittamaan asiakkaalle henkilötietojen käsittelyyn kohdistuneet pyynnöt kolmansilta osapuolilta.
Jos Shipitille selviää henkilötietojen tietoturvaloukkaus, informoi Shipit tästä viipymättä asiakasta - tiedoilla jotka vaaditaan viranomaisilmoituksen tekemiseksi - kuitenkin myöhäisintään 36 tunnin päästä tiedon saamisesta. Shipit myös auttaa toimissa kohtuullisuuden rajoissa jotta asia saadaan viranomaistahojen kanssa viimeisteltyä ja haittavaikutusten lieventämiseksi.
Shipit luovuttaa vähintään seuraavat tiedot asiakkaalle loukkauksen sattuessa:
- Kuvaus henkilötietojen tietoturvaloukkauksesta
- Vastuuhenkilö keneltä voi saada asiassa lisätietoja
- Loukkauksesta johtuvat todennäköiset seuraukset
- Shipitin tekemät tai suunnittelemat toimenpiteet, joita käsittelijä ehdottaisi rekisterinpitäjän tehtäväksi.
Kumpikin osapuoli tutkii tietoturvaloukkausta omalla vastuualueellaan ja ryhtyy asianmukaisiin toimiin loukkausten pysäyttämiseksi, sen vaikutusten lieventämiseksi sekä muiden vastaavien tietoturvaloukkausten estämiseksi. Osapuolten on dokumentoitava ja ilmoitettava toiselle osapuolelle tutkimuksensa tulokset ja toteutetut toimet. Osapuolet tekevät kohtuulliseksi katsottavaa yhteistyötä voidakseen täyttää tietosuojaliitteen ja lainsäädännön mukaiset velvollisuutensa.
Auditoinnit
Asiakkaalla on lupa selvittää omalla kustannuksellaan tai kolmannen osapuolen avulla että Shipit noudattaa tätä tietojenkäsittelysopimusta. Kyseiset selvitykset pitää tehdä tavalla joka ei häiritse Shipitin muita toimia muuta kuin välttämättömällä tavalla. Shipitillä on oikeus määrätä että selvitykset tehdään ammattilaistahon toimesta joka pystyy tälläisen tarkistuksen tekemään jos tekemiset voivat johtaa arkaluontoisten tietojen vaarantumiseen tai jos kolmas osapuoli todetaan pätemättömäksi kyseisen asian hoitamisessa. Mikäli asiakas löytää suuria puutteita henkilötietojen käsittelyssä joita ei saada korjattua 30 päivän sisällä löydöstä asiakkaalla on oikeus sopimuksen purkuun viiveettä. Jos vain pieniä virheitä löydetään on Shipitillä oikeus kohtuulliseen korvaukseen tarkastuksesta johtuen.
Vastuunrajoitukset
Palveluntarjoaja on henkilötietojen käsittelijänä vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tietosuojalainsäädännön velvoitteita tai jos se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen vastaisesti. Palveluntarjoaja ei vastaa epäsuorista tai välillistä vahingoista, kuten ansion tai tuoton menetyksistä.
Sijainti ja tietojen siirto
Shipitin palvelinkeskukset, joissa kaikkia henkilötietoja säilytetään ja käsitellään, sijaitsevat Suomessa. Shipit voi kuitenkin siirtää henkilötietoja mille tahansa EU/ETA-alueella sijaitseviin tai Euroopan komission päättämien riittävän tietosuojan tason maissa sijaitseviin palvelinkeskuksiin tai alikäsittelijöille.
Tietojen siirto kolmansiin maihin
Mikäli tapahtuma velvoittaa Shipitiä siirtämään henkilötietoja yritykselle joka toimii EU:n ulkopuolella tai kansalliselle järjestölle joka toimii EU / EEA ulkopuolella on asiakas itse velvollinen tarkistamaan että tarvittavat suojaukset ovat paikoillaan GDPR artikkeli 46 mukaan. Shipit ei ole velvollinen siirtämään henkilötietoja loppuun mikäli turvatoimet eivät ole kohdillaan. Shipit voi käyttää tiedonsiirtoon EU/ETA-alueen ulkopuolelle myös vakiosopimuslausakkeita ja asianmukaisia tietosuojatoimia.
Luottamuksellisuus
Kaikkia henkilötietoja joita Shipit käsittelee rekisterinpitäjän lukuun pidetään rekisterinpitäjän luottamuksellisina tietoina ja olemaan luovuttamatta tai paljastamatta niitä kenellekään kolmannelle osapuolelle tai käyttämättä tietoja muuhun kuin sovittuun tarkoitukseen. Shipit sitoutuu myös olemaan luovuttamatta ja paljastamatta henkilötietoja omassa organisaatiossaan muille kuin sellaisille työntekijöilleen tai muille henkilöille (ml. mahdolliset alihankkijat), joiden on tarpeen tuntea kyseinen tieto sovittua tarkoitusta varten ja jotka ovat palvelu- tai muiden sopimustensa perusteella taikka lakisääteisesti velvollisia pitämään tiedon luottamuksellisena.
Sopimusliitteen voimaantulo ja sopimuksen päättymisen vaikutukset
Tämä liite tulee voimaan 25.5.2018 ja pysyy voimassa sopimuksen voimassaoloa koskevien ehtojen mukaisesti kunnes osapuoli irtisanoo palvelusopimuksen irtisanomisaikaa noudattaen tai sopimus muusta syystä päättyy. Asiakkaalla on velvollisuus esittää pyyntö Shipitille, mikäli tiedot tulee palauttaa sille ennen sopimusvelvoitteiden lakkaamista.
Sopimuksen päättyessä tietojenkäsittelijä poistaa Asiakkaan henkilötiedot käytäntöjensä mukaisesti. Henkilötietojen käsittelijällä on kuitenkin oikeus säilyttää Asiakkaan henkilötietoja sopimuksen päättymisenkin jälkeen niin pitkään kuin on tarpeen Palveluntarjoajan omien lakisääteisten velvoitteiden, palveluiden turvallisuuden varmistamiseksi tai väärinkäytösten selvittämiseksi, jatkamatta muutoin henkilötietojen käsittelyä ja noudattaen edelleen tässä liitteessä kuvattuja salassapitovelvoitteita.