Tietojenkäsittelysopimus

Tietojenkäsittelysopimus

Voimassa 1.5.2025 alkaen

  1. Sopimuksen tausta

    Käyttäessäsi Pilviboksi.fi palveluita (myöhempänä “palvelu”) sinun tai organisaatiosi rekisterinpitäjänä keräämien henkilötietojen käsittelyyn, toimii Pilviboksi.fi käsittelijänä henkilötiedoille. EU:n yleisessä tietosuoja-asetuksessa (2016/679) on määritelty, mistä asioista sopimuksessa on sovittava. Tästä johtuen tämä tietojenkäsittelysopimus on pakollinen osa Pilviboksi.fi -palvelun yleisiä käyttöehtoja, jos käsittelet palvelussa henkilötietoja.

  2. Sopimuksen tarkoitus ja kohde

    2.1. Tässä tietojenkäsittelysopimuksessa (jäljempänä “sopimus”) sovitaan Pilviboksi.fi:n ja rekisterinpitäjän välisistä oikeuksista ja velvollisuuksista EU:n yleisen tietosuoja-asetuksen (2016/679; https://eur-lex.europa.eu/eli/reg/2016/679) 28 artiklan edellyttämällä tavalla, kun Pilviboksi.fi käsittelee rekisterinpitäjän puolesta henkilötietoja palvelussa. Tätä sopimusta ei sovelleta henkilötietojen käsittelyyn muissa yhteyksissä. Tämä sopimus on erottamaton osa palvelun käytöstä tehtävää sopimusta, jolla käyttäjä voi tallentaa ja käsitellä henkilötietoja sisältävää Sisältöä Pilviboksi.fi-palvelussa. Henkilötietojen käsittelyssä noudatetaan ensisijaisesti tätä sopimusta, jos muu sopimus tai ohje on sen kanssa ristiriidassa.

    2.2. Tämän sopimuksen henkilötietojen käsittelyyn liittyvät käsitteet, kuten ”henkilötieto”, ”rekisterinpitäjä” ja ”käsittelijä”, vastaavat tietosuoja-asetuksen määritelmiä.

    2.3. Pilviboksi.fi toimii henkilötietojen käsittelijänä rekisterinpitäjän lukuun, ellei nimenomaisesti muuta sovita.

    2.4. Käsiteltävät henkilötiedot ovat rekisterinpitäjän tai rekisterinpitäjän valtuuttaman tahon palveluun tallentamia henkilötietoja.

    2.5. Pilviboksi.fi käsittelee henkilötietoja palveluiden toteuttamiseksi rekisterinpitäjän pyynnöstä.

    2.6. Tämän sopimuksen hyväksyvä henkilö toimittaa kirjallisesti Pilviboksi.fi:lle käsiteltävien henkilötietojen rekisterinpitäjän nimi- ja yhteystiedot

    2.7. Tämän sopimuksen mukaiset henkilötietojen käsittelyä koskevat ilmoitukset lähetetään sähköisesti rekisterinpitäjälle, jos muuta yhteystietoa ei ole ilmoitettu.

    2.8. Tämän sopimuksen hyväksyjä sitoutuu ilmoittamaan kirjallisesti kohtien 2.6 ja 2.7 tietojen muutokset Pilviboksi.fi:lle.

    2.9. Palvelun käyttäjä vastaa tallentamansa sisällön laillisuudesta, luotettavuudesta, eheydestä, täsmällisyydestä ja laadusta.

    2.10. Pilviboksi.fi ottaa käsittelyssä huomioon kaikki rekisterinpitäjän toimittamat ohjeet. Pilviboksi.fi käsittelee henkilötietoja vain tämän sopimuksen ja rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti.

    2.11. Jos EU:n oikeudessa tai sen jäsenvaltion lainsäädännössä edellytetään toimenpiteitä tämän sopimuksen perusteella käsiteltäviin henkilötietoihin, Pilviboksi.fi ilmoittaa tällaisesta vaatimuksesta rekisterinpitäjälle ennen toimenpiteiden aloittamista, ellei ilmoittaminen ole lain mukaan kiellettyä yleistä etua koskevien tärkeiden syiden vuoksi.

  3. Käsittelyn turvallisuus

    3.1. Sekä rekisterinpitäjän että henkilötietojen käsittelijän on toteutettava tarpeelliset tekniset ja hallinnolliset toimenpiteet käsittelyn turvallisuuden varmistamiseksi. Pilviboksi.fi antaa pyynnöstä lisätietoja tässä sopimuksessa määriteltyihin käsittelytoimiin sovellettavista teknisistä ja hallinnollisista turvatoimista.

    3.2. Rekisterinpitäjä tai rekisterinpitäjän valtuuttama osapuoli ei saa toimittaa Pilviboksi.fi:n käsiteltäväksi sellaisia arkaluonteisia tai erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, joiden käsittely edellyttäisi Pilviboksi.fi:ltä yleisistä palveluehdoista poikkeavia tai niitä täydentäviä erityisiä tietoturva- tai tietosuojavelvoitteita.

    3.3. Henkilötietojen käsittelijä noudattaa soveltuvia lakisääteisiä vaitiolo- ja salassapitovelvollisuuksia. Henkilötietojen käsittelijä varmistaa, että henkilöt, joilla on lupa käsitellä henkilötietoja, ovat sitoutuneet luottamuksellisuuteen tai että heillä on asianmukainen lakisääteinen salassapitovelvollisuus.

    3.4. Henkilötietojen käsittelijä ei käsittele, eikä salli kolmannen osapuolen käsitellä, henkilötietoja Euroopan talousalueen ulkopuolella. Jos henkilötietoja halutaan siirtää Euroopan talousalueen ulkopuolelle, on siirrossa noudatettava tietosuoja-asetuksessa määriteltyjä tiedonsiirron periaatteita.

  4. Yhteistyö eräissä tilanteissa

    4.1. Pilviboksi.fi avustaa rekisterinpitäjää mahdollisuuksien mukaan rekisteröityjen oikeuksien toteuttamisessa.

    4.2. Jos rekisteröity esittää tämän sopimuksen kohteena olevia henkilötietoja koskevan pyyntönsä Pilviboksi.fi:lle, Pilviboksi.fi ilmoittaa siitä ilman aiheetonta viivytystä rekisterinpitäjälle. Pilviboksi.fi ei toteuta rekisteröidyn pyyntöihin liittyviä toimenpiteitä ilman rekisterinpitäjän kirjallista ohjetta. Pilviboksi.fi ohjaa rekisteröityä ottamaan yhteyttä rekisterinpitäjään.

    4.3. Pilviboksi.fi:ltä voidaan lain perusteella vaatia henkilötietoja koskevia toimenpiteitä, esimerkiksi haasteen tai muun oikeustoimen yhteydessä tai viranomaisen määräyksestä, kuten kansallinen turvallisuuden ollessa uhattuna tai rikosten selvittämiseksi. Pilviboksi.fi ilmoittaa viipymättä rekisterinpitäjälle pyynnöistä päästä tietoihin, ellei ilmoittamista kielletä laissa.

    4.4. Pilviboksi.fi avustaa pyynnöstä rekisterinpitäjää mahdollisuuksien mukaan tietosuojasääntelyn edellyttämässä tietosuojan vaikutustenarvioinnissa. Avustamisessa huomioidaan henkilötietojen käsittelyn luonne ja saatavilla olevat tiedot.

    4.5. Pyynnöstä Pilviboksi.fi antaa rekisterinpitäjälle kaikki tiedot ja sallii sellaiset auditoinnit ja tarkastukset, jotka ovat tarpeen tämän sopimuksen noutamisen osoittamiseksi. Rekisterinpitäjällä on tiedonsaanti- ja auditointioikeus vain, jos riittävät tiedot eivät ole muutoin rekisterinpitäjän saatavilla ja auditointioikeus vain siinä laajuudessa kuin se on tarpeellista tietosuojalainsäädännön vaatimustenmukaisuuden osoittamiseksi. Osapuolet sopivat hyvissä ajoin etukäteen auditoinnin ajankohdan, suorittajan ja muut sen toteuttamiseen liittyvät asiat. Rekisterinpitäjä vastaa auditoinnin kustannuksista, ellei toisin sovita.

    4.6. Pilviboksi.fi ilmoittaa välittömästi rekisterinpitäjälle, jos rekisterinpitäjän antaman ohjeen epäillään olevan EU:n tai jäsenvaltion tietosuojasäännöksen vastainen.

    4.7. Pilviboksi.fi ilmoittaa rekisterinpitäjälle ilman aiheetonta viivytystä tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta, joka kohdistuu tämän sopimuksen perusteella käsiteltävään henkilötietoon. Ilmoitus sisältää vähintään seuraavat tiedot:

    • Kuvaus tapahtuneesta henkilötietojen tietoturvaloukkauksesta.
    • Kuvaus tämän sopimuksen perusteella suoritetuista käsittelytoimista.
    • Kuvaus henkilötietojen tietoturvaloukkauksen johdosta toteutetuista toimenpiteistä.
    • Pilviboksi.fi:n tietosuojavastaavan yhteystiedot tai muu yhteyspiste, joista voi saada lisätietoja tapahtuneesta henkilötietojen tietoturvaloukkauksesta.

    4.8. Edellisessä kohdassa mainittujen tietojen lisäksi Pilviboksi.fi antaa rekisterinpitäjälle pyynnöstä hallussaan olevat ja käsittelyn luonteen kannalta tarpeelliset ja kohtuullisesti toimitettavissa olevat tiedot, jotka rekisterinpitäjä tarvitsee tietoturvaloukkauksen selvittämiseksi ja mahdollisten haittavaikutusten lieventämiseksi.

  5. Alikäsittelijöiden käyttö

    5.1. Rekisterinpitäjä antaa ennakkoluvan Pilviboksi.fi:lle käyttää alikäsittelijöitä, kun se on tarpeen palvelun toteuttamiseksi.

    5.2. Pilviboksi.fi antaa rekisterinpitäjälle pyynnöstä tiedon alikäsittelijöistä ja ilmoittaa alikäsittelijöihin suunnitelluista muutoksista. Rekisterinpitäjällä on oikeus irtisanoa palvelusopimus, jos se ei hyväksy alikäsittelijöitä.

    5.3. Tässä sopimuksessa sovitut tietosuojavelvoitteet on asetettava sopimuksella koskemaan myös alikäsittelijöitä. Pyynnöstä Pilviboksi.fi antaa rekisterinpitäjälle alikäsittelijän kanssa laaditusta sopimuksesta tiedot, jotka se tarvitsee tämän sopimuksen velvoitteiden arvioimiseksi. Rekisterinpitäjällä ei ole oikeutta alikäsittelijän kanssa sovitun sopimuksen luottamuksellisiin tai muihin kuin tämän sopimuksen noudattamisen arvioimiseksi tarvittaviin tietoihin.

  6. Sopimuksen voimassaolo ja muut ehdot

    6.1. Sopimus tulee voimaan sen hyväksymisestä alkaen ja on voimassa niin kauan kuin Pilviboksi.fi käsittelee henkilötietoja rekisterinpitäjän puolesta.

    6.2. Jos toinen osapuolista sopimuksen voimassaoloaikana katsoo, että käsittely ei ole enää perusteltua ja ilmoittaa siitä kirjallisesti toiselle osapuolelle, päättyy tämän sopimuksen mukainen käsittely. Sopimuksen päättyessä Pilviboksi.fi poistaa palveluun tallennetut henkilötiedot ja niistä tehdyt jäljennykset ilman aiheetonta viivytystä, ellei erillisellä sopimuksella ole muuta sovittu.

    6.3. Palvelua käyttävien henkilöiden yhteystiedot tallennetaan Pilviboksi.fi:n ylläpitämään käyttäjärekisteriin. Pilviboksi.fi toimii käyttäjärekisterin tietojen rekisterinpitäjänä. Tämän kohdan mukaisia henkilötietoja käsitellään tämän sopimuksen täytäntöönpanon ja palvelun tarjoamisen mahdollistamiseksi.

    6.4. Tämän sopimuksen hyväksyvä henkilö vakuuttaa, että hänellä on riittävät valtuudet sopia tämän sopimuksen edellyttämässä laajuudessa tietoihin liittyvistä oikeuksista ja henkilötietojen käsittelyn ehdoista.

    6.5. Henkilötietojen käsittelijällä on oikeus muuttaa tätä sopimusta. Palvelun käytöstä sovittaessa käytettyä sopimuksen versiota sovelletaan, kunnes palvelun käytöstä tehty sopimus irtisanotaan tai uusitaan. Käsittelijä ylläpitää sopimuksen muutoshistoriaa. On suositeltavaa, että tämän sopimuksen hyväksyvä tallentaa hyväksymänsä sopimuksen rekisterinpitäjälle.

    6.6. Tähän sopimukseen sovelletaan Suomen lakia.