63% of people consider a company's privacy and security history before using their products or services.
Lataa kopio Momentiven asiakkaan tietojenkäsittelysopimuksesta täältä.
Mallisopimuslausekkeet
Tämä tietojenkäsittelysopimus on laadittu siten, että se sisältää kaikki mahdolliset mallisopimuslausekkeiden yhdistelmät. Ne kaikki eivät välttämättä koske sinua. Selventävä huomautus:
Kalifornian yksityisyydensuojalaki (CCPA)
Tämä tietojenkäsittelysopimus on päivitetty, koska Kalifornian yksityisyydensuojaan liittyviä oikeuksia koskeva laki (CPRA) aiheutti muutoksia CCPA-lakiin. Me emme hyväksy mitään asiakkaan tekemiä muutoksia tai lisäyksiä tähän tietojenkäsittelysopimukseen.
Tämä Momentiven tietojenkäsittelysopimus (”DPA”) muodostaa osan Momentiven kanssa solmimaasi sopimusta ja sisältää tiettyjä tietoturvaa, yksityisyyttä ja tietosuojaa koskevia ehtoja tietosuojalainsäädännön mukaisesti soveltuvin osin. Jos eri tietosuojalainsäädäntöön kuuluvien lakien ja asetusten välillä on ristiriita (ja vain siinä laajuudessa kuin ristiriita on olemassa), osapuolet noudattavat tiukempia vaatimuksia tai standardeja, jotka määrittää kyseisen erimielisyyden tapauksessa Momentive yksinomaisen harkintansa varassa.
Tämä DPA on voimassa asiakkaan ja asianomaisen Momentive-toimijan välillä, joka määritetään seuraavasti:
(i) muualla kuin Yhdysvalloissa sijaitsevien asiakkaiden tapauksessa sopimustaho on Momentive Europe UC;
(ii) Yhdysvalloissa sijaitsevien asiakkaiden tapauksessa sopimustaho on Momentive Inc.
Tämä on tietojenkäsittelysopimuksen viimeisin versio (päivätty 1. tammikuuta 2023).
Tässä tietojenkäsittelysopimuksessa on seuraavilla ilmauksilla seuraavat merkitykset, ellei asiayhteydestä muuta johdu:
”Sopimus” tarkoittaa mitä tahansa Momentive Inc:n tai Momentive Europen ja asiakkaan välillä voimassa olevaa palveluita koskevaa sopimusta. Tällaista sopimusta voidaan kutsua useilla eri nimillä, kuten ”tilauslomake”, ”myyntimääräys”, ”käyttöehdot” tai ”pääasiallinen tai sovellettava palvelusopimus”.
”Artikla 28” tarkoittaa GDPR-asetuksen ja UK GDPR -asetuksen 28 artiklaa asiakkaan henkilötietojen käsittelyyn sovellettavin osin.
”Asiakas” tai ”sinä” tarkoittaa sopimuksessa tunnistettua ja/tai siinä osapuolena olevaa asiakasta.
”Asiakkaan tiedot” tarkoittavat kaikkia asiakkaan suorittaman tai asiakkaan puolesta suoritetun palveluiden käytön yhteydessä Momentivelle luovutettuja tietoja (mukaan lukien asiakkaan henkilötiedot näihin rajoittumatta) sekä sellaisia tietoja, joita kolmannet osapuolet lähettävät asiakkaalle palveluiden kautta.
”Asiakkaan henkilötiedot” tarkoittavat sellaisia tietoja, joita lähetetään palveluihin asiakkaan toimesta tai joita lähetetään asiakkaalle, ja joita Momentive käsittelee palveluiden toimittamiseksi asiakkaalle, mukaan lukien tämän tietojenkäsittelysopimuksen liitteessä 2 mainitut henkilötiedot niihin rajoittumatta.
”Tietosuojalainsäädäntö” tarkoittaa
(i) yleistä tietosuoja-asetusta (asetus (EU) 2016/679) (”GDPR-asetus”) ja kaikkia muita sovellettavia EU:n, ETA:n tai Euroopan sisämarkkinoiden jäsenmaiden lakeja tai asetuksia tai näiden päivityksiä, lisäyksiä tai korvauksia, joita sovelletaan henkilötietojen käsittelyyn sopimuksen puitteissa
(ii) Sveitsin valaliiton tietosuojalakia (”FADP”) tai uutta valaliiton tietosuojalakia, joka tulee voimaan 1. tammikuuta 2023 (”nFADP”)
(ii) kaikkia Yhdysvaltain lakeja sekä asetuksia, joita sovelletaan henkilötietojen käsittelyyn sopimuksen puitteissa, mukaan lukien Kalifornian vuoden 2018 yksityisyydensuojalaki (Cal. Civ. Code §§ 1798.100–1798.199) (”CCPA”) siihen kuitenkaan rajoittumatta
(iv) kaikkia sopimuksen puitteissa tapahtuvaan henkilötietojen käsittelyyn sovellettavia Yhdistyneessä kuningaskunnassa milloin tahansa voimassa olevia lakeja sekä asetuksia (mukaan lukien UK GDPR)
(v) henkilötietojen suojaa ja sähköisiä asiakirjoja koskevaa lakia (”PIPEDA”) tai mitä tahansa sen päivitystä, lisäystä tai korvausta, jota sovelletaan henkilötietojen käsittelyyn Kanadassa.
Käsitteillä ”rekisterinpitäjä”, ”tietosuojan vaikutusten arviointi”, ”käsitellä”, ”käsittely”, ”käsittelijä” ja ”valvova viranomainen” on samat merkitykset kuin GDPR- tai UK GDPR -asetuksessa.
”Momentive” tai ”me” tarkoittaa yhdysvaltalaisten asiakkaiden tapauksessa Momentive Inc:iä ja Yhdysvaltain ulkopuolisten asiakkaiden tapauksessa Momentive Europea.
”Momentive Europe” tarkoittaa Momentive Europe UC:tä, joka on irlantilainen yritys ja sijaitsee osoitteessa 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irlanti.
”Momentive Inc.” tarkoittaa Momentive Inc:iä, joka on delawarelainen yritys ja sijaitsee osoitteessa One Curiosity Way, San Mateo, CA 94403, Yhdysvallat.
”Momentiven tietosuojailmoitus” tarkoittaa Momentiven tietosuojailmoitusta, joka on osoitteessa https://fi.surveymonkey.com/mp/legal/privacy/.
”Henkilötiedot” tarkoittavat elävää ihmistä, joka tunnistetaan tai voidaan tunnistaa tietojen perusteella joko sellaisenaan tai yhdistettynä muuhun tietoon (”rekisteröity”).
”Palvelut” tarkoittavat asiakkaan Momentivelta sopimuksen puitteissa tilaamia palveluita.
”SCC:t” ovat ”mallisopimuslausekkeita” (”Standard Contractual Clauses”), jotka on liitetty Euroopan komission päätökseen i) 4 päivältä kesäkuuta 2021 vakiosopimuslausekkeista, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin GDPR-asetuksen mukaisesti, tai ii) (siihen asti, kunnes Momentive on sitoutunut edellä kohdassa i) mainittuihin lausekkeisiin) 5 päivältä helmikuuta 2010 asiakkaiden henkilötietojen siirrosta kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille direktiivin 95/46/EY mukaisesti). Siellä missä sovelletaan FADP- tai nFADP-lakia tulee kaikki mallisopimuslausekkeiden viitteet ymmärtää vastaaviksi FADP- tai nFADP-lain viitteiksi. Kaikki tässä asiayhteydessä käytetyt käsitteet saavat siis FADP- tai nFADP-laissa niille annetut merkitykset.
”UK-lisäys” tarkoittaa (i) Yhdistyneen kuningaskunnan tietosuojavaltuutetun toimiston mallipohjalisäystä, joka on esitelty Yhdistyneen kuningaskunnan parlamentille Yhdistyneen kuningaskunnan tietosuojalain 2018 119A §:n mukaisesti 2 päivänä helmikuuta 2022, sellaisena kuin se on pakollisten lausekkeiden § 18 mukaisesti muutettuna aika ajoin. Tässä määritelmässä viitattu mallipohjalisäys tarkoittaa asiakirjaa, jonka nimike on International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0, in force 21 March 2022 (kansainvälistä tietojensiirtoa koskeva lisäys EU-komission mallisopimuslausekkeisiin, versio B1.0, voimassa 21 päivästä maaliskuuta 2022); tai (ii) (siihen asti, kunnes Momentive on sitoutunut edellä kohdassa i) mainittuun UK-lisäykseen), Euroopan komission päätös 5 päivältä helmikuuta 2010 henkilötietojen siirrosta kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille direktiivin 95/46/EY mukaisesti.
”UK GDPR” tarkoittaa EU:n tietosuojaa koskevaa GDPR-asetusta sikäli kun se muodostaa osan Englannin ja Walesin sekä Skotlannin ja Pohjois-Irlannin lakeja Euroopan unionista eroamista koskevan vuoden 2018 lain (European Union (Withdrawal) Act) 3 §:n mukaisesti ja niiltä osin, kuin sitä on muutettu vuosien 2019 ja 2020 tietosuojaa, yksityisyyttä sekä sähköistä viestintää koskevien (EU-eroa koskevien) asetusten mukaisesti lisäyksineen, sekä sellaista Yhdistyneessä kuningaskunnassa kulloinkin voimassa olevaa lainsäädäntöä, jolla UK GDPR ‑asetusta muutetaan tai korvataan.
Tarjotessaan palveluita asiakkaalle Momentive on GDPR-asetuksessa tarkoitettu asiakkaiden henkilötietojen käsittelijä. CCPA-lain osalta ja soveltuvin osin Momentive ja asiakas sopivat, että Momentive on ”palveluntarjoaja” ja asiakas on ”yritys” henkilötietojen osalta (CCPA-laissa määritetyllä tavalla).
Tämä tietojenkäsittelysopimus on voimassa sopimuksen irtisanomiseen (sen ehtojen mukaisesti) tai raukeamiseen saakka.
Asiakas takaa ja täten vakuuttaa, että sillä on oikeus siirtää asiakkaan tietoja Momentivelle, jotta Momentive voi käsitellä ja siirtää henkilötietoja laillisesti ja tämän tietojenkäsittelysopimuksen mukaisesti. Asiakkaan on varmistettava, että kaikille asianosaisille rekisteröidyille on ilmoitettu tästä käytöstä, käsittelystä ja siirrosta tietosuojalainsäädännön mukaisesti ja että lainmukaiset suostumukset on hankittu (mikäli tarpeen). Asiakkaan on varmistettava, että kaikki henkilötietojen käsittely tai siirto Momentivelle tapahtuu laillisesti ja asianmukaisesti.
Siellä missä Momentive käsittelee asiakkaan henkilötietoja käsittelijänä, Momentive toimii seuraavasti:
(a) käsittelee tietoja vain dokumentoitujen asiakkaan ohjeiden mukaisesti sekä tietosuojalainsäädännön mukaisesti, mukaan lukien henkilötietojen siirto muille oikeustoimialueille tai kansainvälisille organisaatioille, ja osapuolet sopivat, että sopimus on tällainen asiakkaan dokumentoitu ohje Momentivelle, jonka mukaan asiakkaan henkilötietoja käsitellään (mukaan lukien ETA:n ulkopuolisille alueille) muiden asiakkaan Momentivelle toimittamien kohtuullisten ohjeiden lisäksi (esim. sähköpostilla), missä tällaiset ohjeet ovat sopimuksen kanssa yhteneväisiä
(b) varmistaa, että kaikki Momentiven asiakkaan henkilötietojen käsittelyyn osallistuva henkilöstö noudattaa henkilötietoja koskevaa salassapitovelvollisuutta
(c) asettaa saataville tietoa, jota asiakas tarvitsee osoittaakseen noudattavansa 28 artiklan mukaisia velvoitteitaan (jos näitä sovelletaan asiakkaaseen), missä tällaiset tiedot ovat Momentiven hallussa eikä asiakas saa niitä haltuunsa muilla tavoin Momentiven verkkosivustoilla olevien tiliensä ja käyttäjäalueidensa kautta, edellyttäen että asiakas lähettää tällaisen tietopyynnön kirjallisena Momentivelle vähintään 14 päivää aiemmin
(d) tekee yhteistyötä asiakkaan kanssa asiakkaan kohtuullisten pyyntöjen seurauksena, jotta asiakas voi noudattaa mitä tahansa rekisteröidyn oikeuksien käyttöä, jonka tietosuojalainsäädäntö suo rekisteröidylle Momentiven suorittaman henkilötietojen käsittelyn puitteissa liittyen palveluiden tarjoamiseen
(e) tarjoaa apua tarvittaessa saatuaan pyynnön suoraan rekisteröidyltä koskien palveluiden kautta lähetettyjä rekisteröidyn henkilötietoja
(f) jos poistat tietoja, Momentive ei säilytä asiakkaan henkilötietoja tililtäsi pidempään kuin sovellettavat lait ja asetukset vaativat tai ylittäen sitä, mitä rutiininomaiset palautumista ja liiketoiminnan jatkuvuutta turvaavat varmuuskopioinnit edellyttävät säilytyskäytäntömme mukaisesti
(g) tekee yhteistyötä valvontaviranomaisen tai sellaisen korvaavan tai sellaista seuraavan tahon kanssa aika ajoin (tai asiakkaan tai minkä tahansa muun tietosuoja- tai yksityisyysviranomaisen vaatimassa laajuudessa tietosuojalainsäädännön puitteissa) suorittaessaan kyseisen valvovan viranomaisen valvontatehtäviä vaadittaessa
(h) avustaa asiakasta kohtuullisella tavalla vaadittaessa, jos asiakas:
(i) suorittaa tietosuojan vaikutustenarvioinnin palveluiden osalta (johon voi sisältyä dokumentaation tarjoaminen, jotta asiakas voi suorittaa oman arviointinsa) tai
(ii) on edellytetty ilmoittamaan tietoturvaloukkauksesta (kuten alla on määritelty) valvontaviranomaiselle tai asianosaiselle rekisteröidylle.
(i) ei (a) myy tai jaa mitään (CCPA:n määrityksen mukaisia) henkilötietoja kaupallisiin tarkoituksiin tai (b) kerää, säilytä, käytä, luovuta tai muutoin käsittele henkilötietoja muihin tarkoituksiin kuin (1) täyttääkseen asiakkaaseen kohdistuvat velvollisuutensa sopimuksen puitteissa, (2) asiakkaan puolesta, (3) asiakkaan liiketoiminnallisiin tarkoituksiin, (4) Momentiven sisäiseen käyttöön tietosuojalainsäädännön sallimalla tavalla, (5) havaitsemaan tietoturvaloukkauksia tai suojautumaan petokselliselta ja laittomalta toiminnalta tai (6) muuhun tietosuojalainsäädännön sallimaan tarkoitukseen
(j) jos tietosuojalainsäädäntö niin edellyttää, Momentive ilmoittaa asiakkaalle saadessaan tietää, että asiakkaalta saadut ohjeet loukkaavat tietosuojalainsäädännön määräyksiä, mutta edellä mainitusta huolimatta Momentivella ei ole minkäänlaista velvollisuutta valvoa tai tarkastaa asiakkaalta saatujen ohjeiden laillisuutta
(k) Momentive vakuuttaa, että se ymmärtää tässä tietojenkäsittelysopimuksessa määritellyt rajoitteet ja velvollisuudet ja noudattaa niitä.
6.1 Alikäsittely. Asiakas myöntää Momentivelle yleisen luvan käyttää alikäsittelijöitä tämän kohdan 6 vaatimusten mukaisesti.
6.2 Luettelo alikäsittelijöistä. Momentive toimii seuraavasti sopimuksen salassapitosäännösten tai muiden Momentivea sitovien salassapitosäännösten mukaisesti:
(a) asettaa asiakkaan saataville luettelon sellaisista Momentiven alihankkijoista, jotka osallistuvat asiakkaan henkilötietojen käsittelyyn tai alikäsittelyyn palveluiden tarjoamisen yhteydessä (”alikäsittelijät”) sekä kuvauksen kunkin alikäsittelijän tarjoamista palveluista (”luettelo alikäsittelijöistä”). Luettelo alikäsittelijöistä on saatavilla pyynnöstä täältä.
(b) varmistaa, että kaikki alikäsittelijäluettelon alikäsittelijät noudattavat sopimusehtoja, jotka ovat oleellisilta osiltaan vähintään yhtä tiukkoja kuin tässä tietojenkäsittelysopimuksessa olevat sopimusehdot
(c) vastaa alikäsittelijöidensä toimista ja toimimatta jättämisistä aivan kuin omistaan, jos Momentive suorittaisi alikäsittelijöiden palveluita suoraan tämän tietojenkäsittelysopimuksen puitteissa, lukuun ottamatta sitä, mistä sopimuksessa toisin määrätään.
6.3 Uudet/korvaavat alikäsittelijät. Momentive lähettää asiakkaalle kirjallisen ilmoituksen mahdollisesta uuden alikäsittelijän lisäyksestä tai vanhan alikäsittelijän korvaamisesta uudella sopimuksen voimassaoloaikana (”ilmoitus uudesta alikäsittelijästä”). Asiakas liittyy Momentiven ylläpitämälle postituslistalle, jonka kautta tällaiset ilmoitukset toimitetaan sähköpostilla, tai vaihtoehtoisesti tarkastaa luettelon päivityksen täältä. Jos asiakkaalla on kohtuullinen peruste esittää vastalause uuden tai korvaavan alikäsittelijän käytölle, asiakas ilmoittaa tästä Momentivelle viipymättä kirjallisesti viimeistään 30 päivän kuluessa siitä, kun ilmoitus uudesta alikäsittelijästä on vastaanotettu. Tällaisen kohtuullisen vastalauseen tapauksessa joko asiakas tai Momentive voi välittömästi irtisanoa sellaisen palveluihin liittyvän sopimuksen osan, jota ei voida kohtuudella tarjota ilman vastustetun alikäsittelijän käyttämistä (mikä voi Momentiven harkinnan varaisesti käsittää koko sopimuksen irtisanomisen), ilmoittamalla tästä toiselle osapuolelle kirjallisesti. Tällaiseen irtisanomiseen ei liity mahdollisuutta hyvittää tai palauttaa mitään asiakkaan ennakkoon maksamia maksuja irtisanomista seuraavalta kaudelta.
7.1 Turvatoimet. Momentivella on käytössään teknisen kehityksen tason, käyttöönottokustannusten sekä palveluiden luonteen, laajuuden, asiayhteyden ja tarkoitusten sekä riskitason suhteen soveltuvat tekniset ja organisatoriset toimet (liitteen 1 mukaisesti), joilla varmistetaan turvallisuuden taso, joka vastaa asiakkaan tietojen luvattoman tai laittoman käsittelyn, tahattoman menetyksen tai vaurioitumisen riskiä. Momentive testaa ja arvioi näiden teknisten ja organisatoristen turvatoimien toimivuutta kohtuullisin väliajoin varmistaakseen käsittelyn turvallisuuden.
7.2 Tietosuojaloukkaukset ja niistä ilmoittaminen. Jos Momentive saa tietoonsa luvattoman tai laittoman asiakkaan henkilötietojen käytön, haltuun saamisen, muutoksen, luovutuksen tai tuhoamisen (”tietosuojaloukkaus”), Momentive ryhtyy kohtuullisiin toimiin ilmoittaakseen tästä asiakkaalle ilman aiheetonta viivästystä. Tietosuojaloukkauksia eivät ole epäonnistuneet yritykset tai toimet, jotka eivät vaaranna henkilötietojen turvallisuutta; näitä ovat esimerkiksi epäonnistuneet sisäänkirjautumisyritykset, yhteyskokeilut, porttiluotaukset, palvelunestohyökkäykset tai muut palomuureihin tai verkkojärjestelmiin kohdistuvat verkkohyökkäykset. Mikään asiakkaalle lähetettävä ilmoitus tietosuojaloukkauksesta ei merkitse, että Momentive myöntää olevansa korvausvelvollinen.
7.3 Momentive ryhtyy myös kohtuullisiin yhteistyötoimiin asiakkaan kanssa koskien tietosuojaloukkauksiin liittyviä tutkimuksia valmistelemalla vaaditut ilmoitukset ja tarjoamalla asiakkaan kohtuullisesti pyytämiä tietoja tietosuojaloukkaukseen liittyen.
8.1 Tarkastukset. Jos Momentive käsittelee asiakkaan henkilötietoja asiakkaan puolesta (ainoastaan) käsittelijänä, asiakas toimittaa Momentivelle kirjallisen ennakkoilmoituksen asiakkaan itsensä tai asiakkaan nimittämän itsenäisen tarkastajan suorittamasta tarkastuksesta vähintään kuukautta ennen tarkastusta (sillä ehdolla, että tarkastuksen suorittaja ei ole Momentiven kilpailija tai toimi minkään Momentiven kilpailijan puolesta) (”tarkastaja”). Tarkastuksen laajuus on seuraava:
(a) Asiakas saa suorittaa tarkastuksen korkeintaan kerran tilausvuotta kohden, ellei laki tai valvontaviranomainen, jolla on vakiintunut valta asiakkaaseen, edellytä asiakasta suorittamaan tai edistämään useampaa kuin yhtä tarkastusta saman vuoden aikana (missä tapauksessa asiakas ja Momentive sopivat ennen tällaisia tarkastuksia sopivasta korvauksesta Momentivelle aiheutuneista tarkastuskustannuksista).
(b) Momentive suostuu asianmukaisten ja kohtuullisten luottamuksellisuusrajoitteiden puitteissa osoittamaan soveltavansa vaatimusten noudattamista koskevia sertifikaatteja ja standardeja, ja se antaa pyynnöstä asiakkaan käyttöön yhteenvedon Momentiven uusimmista vuosittaisista tietoturvaloukkaustesteistä, joihin sisältyvät toimenpiteet, joihin Momentive on ryhtynyt kyseisten testien perusteella.
(c) Tarkastuksen laajuus rajoittuu Momentiven järjestelmiin, prosesseihin sekä dokumentaatioon, jotka ovat oleellisia asiakkaan henkilötietojen käsittelemiseksi ja suojaamiseksi, ja tarkastajat suorittavat tarkastuksensa Momentiven pyytämien soveltuvien ja kohtuullisten luottamuksellisuusrajoitteiden puitteissa.
(d) Asiakas ilmoittaa viivytyksettä Momentivelle luottamuksellisesti kaikki tarkastuksen yhteydessä ilmenneet yksityiskohdat koskien velvoitteiden noudattamatta jättämistä ja turvallisuusuhkia.
8.2 Osapuolet sopivat, että ellei asiakkaaseen valtaa käyttävän valvontaviranomaisen tai lainsäätäjän määräyksestä tai muusta sitovasta asetuksesta muuta johdu, tässä kohdassa 8 määrätään koko asiakkaan tarkastusoikeuksien laajuudesta Momentivea kohtaan.
9.1 Sikäli kuin on sovellettavissa ja asiakkaan henkilötietojen siirtojen osalta Euroopan talousalueelta (”ETA”), Sveitsistä tai Yhdistyneestä kuningaskunnasta ETA:n, Sveitsin ja Yhdistyneen kuningaskunnan ulkopuolisille alueille (joko suoraan tai edelleen lähetyksen kautta), joilla ei ole voimassa Euroopan komission tai soveltuvan tietosuojalainsäädännön määrityksen tasoisia tietosuojastandardeja, Momentive nojaa seuraaviin:
(a) SCC:t sekä
(b) Yhdistyneen kuningaskunnan lisäys UK GDPR:n alaisten siirtojen osalta tai
(c) muut soveltuvat suojakeinot tai poikkeukset (rajoitetusti soveltuvin osin), jotka on määritetty tai hyväksytty tietosuojalainsäädännön puitteissa.
9.2 Mikäli tarpeen, osapuolet sitoutuvat täten mallisopimuslausekkeisiin (joista on saatavilla kopio täällä) sekä Yhdistyneen kuningaskunnan lisäykseen (liite 3). SCC:t otetaan osaksi tätä sopimusta viittauksella, ja niitä sovelletaan seuraavasti:
(a) kun asiakas solmii sopimuksen Momentive Inc:n kanssa Yhdysvalloissa palvelusopimuksen puitteissa ja on asiakkaan henkilötietojen rekisterinpitäjä sekä siirtää palveluiden käytön kautta asiakkaan henkilötietoja ETA:n alueelta paikkoihin, joissa Euroopan komissio ei katso olevan käytössä riittäviä henkilötietojen suojauskeinoja, Momentive sitoutuu mallisopimuslausekkeisiin tietojen tuojana, ja asiakas sitoutuu mallisopimuslausekkeisiin tietojen viejänä, ja mallisopimuslausekkeiden moduulia kaksi sovelletaan ja/tai
(b) kun asiakas solmii sopimuksen Momentive Inc:n kanssa Yhdysvalloissa palvelusopimuksen puitteissa ja on asiakkaan henkilötietojen rekisterinpitäjä sekä siirtää palveluiden käytön kautta asiakkaan henkilötietoja ETA:n alueelta paikkoihin, joissa Euroopan komissio ei katso olevan käytössä riittäviä henkilötietojen suojauskeinoja, Momentive sitoutuu mallisopimuslausekkeisiin tietojen tuojana, ja asiakas sitoutuu mallisopimuslausekkeisiin tietojen viejänä, ja mallisopimuslausekkeiden moduulia kolme sovelletaan ja/tai
(c) kun asiakas ei ole ETA:n alueella sijaitseva toimija ja solmii sopimuksen Momentive Europe UC:n kanssa asiakkaan henkilötietojen säilytyksestä ETA:n alueella sopimuksen puitteissa ja on asiakkaan henkilötietojen rekisterinpitäjä sekä siirtää palveluiden käytön kautta asiakkaan henkilötietoja ETA:n alueelta paikkoihin, joissa Euroopan komissio ei katso olevan käytössä riittäviä henkilötietojen suojauskeinoja, Momentive sitoutuu mallisopimuslausekkeisiin tietojen viejänä, ja asiakas sitoutuu mallisopimuslausekkeisiin tietojen tuojana, ja mallisopimuslausekkeiden moduulia neljä sovelletaan ja
(d) lausekkeen 7 osalta sovelletaan valinnaista liittymislauseketta
(e) lausekkeen 11 osalta ei sovelleta valinnaista sanamuotoa
(f) lausekkeen 17 osalta SCC:t ovat Irlannin lain soveltamisalan piirissä
(g) lausekkeen 18 osalta riidat ratkaistaan Irlannin tuomioistuimissa ja
(h) mallisopimuslausekkeiden liitteet I ja II katsotaan täytetyiksi sopimuksessa mainituin tiedoin sekä tämän tietojenkäsittelysopimuksen liitteissä mainituin tiedoin.
9.3 FADP- tai nFADP-lain suojaamien siirtojen osalta sovelletaan mallisopimuslausekkeita edeltävän kohdan 9.2 mukaisesti seuraavia lukuun ottamatta:
(a) kaikki mallisopimuslausekkeiden viittaukset GDPR-asetukseen tulee tulkita viittauksiksi FADP- tai nFADP-lakiin
(b) kaikki viittaukset ”EU:hun”, ”unioniin” ja ”jäsenmaiden lakiin” tulee tulkita viittauksina Sveitsiin ja Sveitsin lakiin
(c) kaikki viittaukset ”toimivaltaiseen valvovaan viranomaiseen” sekä ”toimivaltaisiin oikeusistuimiin” tulee tulkita viittauksina soveltuviin tietosuojaviranomaisiin ja oikeusistuimiin Sveitsissä, ellei edellä kuvatulla tavalla toimeenpantuja mallisopimuslausekkeita voida käyttää tällaisen asiakkaan henkilötietojen lailliseen siirtämiseen FADP- tai nFADP-lain mukaisesti, jossa tapauksessa Sveitsin mallisopimuslausekkeet otetaan osaksi tätä tietojenkäsittelysopimusta viittaamalla niihin, jolloin ne muodostavat sen erottamattoman osan, ja niitä sovelletaan tällaisiin siirtoihin. Sveitsin mallisopimuslausekkeiden tarkoituksessa tulee Sveitsin mallisopimuslausekkeiden oleelliset liitteet täyttää käyttäen tämän tietojenkäsittelysopimuksen liitteissä I ja II olevia tietoja (soveltuvin osin) ja soveltaa tässä kohdassa 9.3 mainittuja tulkintasääntöjä (soveltuvin osin ja siten, kuin FADP- tai nFADP-lain noudattaminen vaatii).
9.4 Momentive toimittaa kirjallisen pyynnön saatuaan sekä mallisopimuslausekkeiden tai Yhdistyneen kuningaskunnan lisäyksen (sovellettavin osin) mukaisesti kopiot niistä mallisopimuslausekkeista tai siitä Yhdistyneen kuningaskunnan lisäyksestä, minkä perusteella se on solminut sopimuksen tietojen tuojien kanssa roolissaan asiakkaan tietojen käsittelijänä.
10.1 Vahingonkorvausvastuu tietojen käsittelystä. Kunkin osapuolen kokonaisvastuu mistä tahansa vaatimuksesta, joko sopimuksellisesta, oikeudenloukkauksesta (laiminlyönnit mukaan lukien), lakisääteisen velvollisuuden rikkomuksesta tai muutoin liittyen tähän tietojenkäsittelysopimukseen tai siitä johtuen on kuten sopimuksessa on määrätty, elleivät osapuolet ole muuta kirjallisesti sopineet.
10.2 Ristiriidat. Jos on ristiriita tai epäselvyyttä: (i) tämän tietojenkäsittelysopimuksen ehtojen ja sopimuksen ehtojen välillä liittyen tämän tietojenkäsittelysopimuksen sisältöön, tämän tietojenkäsittelysopimuksen ehdot ovat ensisijaiset; (ii) tässä tietojenkäsittelysopimuksessa olevien ehtojen tai mallisopimuslausekkeiden säännösten välillä, mallisopimuslausekkeiden säännökset ovat ensisijaiset.
10.3 Itsenäinen käsittely. Asiakas on edelleen yksinomaisesti vastuussa omasta tietosuojalainsäädännön noudattamisestaan kaiken itsenäisesti suoritetun ja palveluihin liittymättömän henkilötietojen keräämisen ja käsittelyn osalta. Asiakas toimittaa omat selkeät ja helposti löydettävät tietosuojailmoituksensa, joissa kuvataan tarkasti tavat, joilla asiakas toiminnan suorittaa, eikä Momentive ole missään vastuussa mistään asiakkaan suorittamasta henkilötietojen käsittelystä tässä yhteydessä. Asiakas vapauttaa täten Momentiven kokonaan kaikista vaatimuksista tai vastuista, jotka johtuvat tällaisesta sen suorittamasta henkilötietojen keräämisestä ja käytöstä näissä olosuhteissa.
10.4 Koko sopimus. Sopimus (sisältäen tämän tietojenkäsittelysopimuksen) ja mahdolliset tilauslomakkeet muodostavat osapuolten välillä voimassa olevan koko sopimuksen, ja se ohittaa ja ylittää kaikki muut aiemmat tai samanaikaiset sopimukset tai ehdot, jotka koskevat sen sisältöä, olivatpa nämä sitten kirjallisia tai suullisia. Kumpikin osapuoli vahvistaa, että se ei ole turvautunut mihinkään sopimuksessa kirjaamattomiin lupauksiin, jotka olisivat houkutelleet sitä solmimaan sopimuksen.
10.5 Erotettavuus. Jos toimivaltainen tuomioistuin katsoo, että jokin tämän tietojenkäsittelysopimuksen osa on toimeenpanokelvoton, kyseinen osa erotetaan, ja muut ehdot jäävät täysimääräisinä voimaan. Minkään tässä tietojenkäsittelysopimuksessa olevan ei ole tarkoitus muodostaa mitään kumppanuutta tai yhteisyritystä osapuolten välillä tai valtuuttaa osapuolia sitoutumaan mihinkään toisen osapuolen puolesta erikseen mainittuja varauksia lukuun ottamatta, eikä mitään sopimuksen osaa tule näin tulkita.
10.6 Elektroninen kopio. Tietojenkäsittelysopimus toimitetaan elektronisena asiakirjana.
10.7 Sovellettava laki. Tähän tietojenkäsittelysopimukseen sovelletaan Irlannin lakia, ja osapuolet alistuvat Irlannin oikeusistuimien yksinomaiseen toimivaltaan (kaikkien sopimuksellisten ja ei-sopimuksellisten riitojen osalta) paitsi nykyisten tai tulevien tietosuojalakien, ‑asetusten, ‑ohjeistusten tai itsesäätelyohjeiden väitettyjä rikkomuksia tai rikkomuksia koskevissa tapauksissa Amerikan yhdysvaltojen osavaltio- tai liittovaltiotasolla, missä tapauksessa Kalifornian osavaltion lait ovat määrääviä, ellei laki muuta määrää.
Momentiven toimeenpanemien teknisten ja organisatoristen turvatoimien kuvaus
Momentive pitää yllä riittäviä hallinnollisia, fyysisiä ja teknisiä suojakeinoja (”turvallisuutta koskevat suojakeinot”) suojatakseen sille lähetettyjen henkilötietojen turvallisuutta, luottamuksellisuutta sekä eheyttä, joita se käyttää palveluiden tarjoamiseen asiakkaalle.
Turvallisuutta koskevat suojakeinot sisältävät seuraavia:
(a) Ala: tietoturvan järjestäminen.
(i) Turvallisuuden roolit ja vastuut. Momentiven henkilöstö, jolla on pääsy tietoihin, noudattaa luottamuksellisuusvelvoitteita.
(ii) Riskinhallintaohjelma. Momentive suorittaa soveltuvissa tilanteissa riskinarvioinnin ennen tietojen käsittelyä.
(b) Ala: varainhoito.
(i) Varojen käsittely.
(1) Momentivella on käytössään menettelytavat asiakkaan henkilötietoja sisältävien painotuotteiden hävittämiseksi.
(2) Momentive ylläpitää luetteloa kaikista asiakkaan tallennettuja tietoja sisältävistä laitteista.
(c) Ala: henkilöstöhallinnon turvallisuus.
(i) Turvallisuuskoulutus.
(1) Momentive ilmoittaa henkilöstölleen oleellisista turvatoimista sekä henkilöstön roolista niissä. Momentive ilmoittaa henkilöstölleen myös mahdollisista turvasääntöjen sekä menettelytapojen rikkomusten seuraamuksista.
(d) Ala: fyysinen turvallisuus ja ympäristöturvallisuus.
(i) Fyysinen pääsy tiloihin. Momentive rajoittaa pääsyä tiloihin, joissa asiakkaan tietoja käsittelevät tietojärjestelmät sijaitsevat, ja vain tunnistetut ja valtuutetut yksilöt voivat päästä sisään.
(ii) Häiriösuojaus. Momentive käyttää useita alan standardit täyttäviä järjestelmiä suojautuakseen tietojen menetyksiltä, jotka aiheutuvat virransyötön pettämisestä tai sähköverkon häiriöistä.
(iii) Komponenttien hävittäminen. Momentive käyttää alan standardit täyttäviä prosesseja poistaakseen asiakkaan tiedot, kun niitä ei enää tarvita.
(e) Ala: viestinnän ja liiketoiminnan hallinta.
(i) Toimintakäytäntö. Momentive ylläpitää suojattua dokumentaatiota, jossa kuvataan sen turvatoimet sekä niihin liittyvät menettelyt ja sen henkilöstön vastuut, jolla on käyttöoikeus asiakkaan tietoihin.
(ii) Tietojen palauttamismenettelyt.
(1) Momentive luo varmuuskopioita asiakkaan tiedoista säännöllisesti ja jatkuvasti, jotta asiakkaan tiedot voidaan palauttaa ensisijaisen kopion menettämisen tapauksessa.
(2) Momentive säilyttää kopioita asiakkaan tiedoista ja tietojen palautusmenettelyjä muualla kuin siellä, missä säilytetään pääasiallista asiakkaan tietojen käsittelyyn käytettävää tietokonelaitteistoa.
(3) Momentivella on käytössään määritellyt menettelyt, joilla hallitaan asiakkaan tietojen kopioiden käyttöä.
(iii) Haittaohjelmistot. Momentivella on käytössään haittaohjelmistojen torjuntaan tarkoitettuja hallintakeinoja, joilla vältetään haitallisten ohjelmistojen pääsy asiakkaan tietoihin, mukaan lukien yleisistä verkoista saapuvat haittaohjelmistot.
(iv) Tiedot rajojen ulkopuolella.
(1) Momentive salaa asiakkaan tiedot, joita lähetetään yleisissä verkoissa.
(v) Tapahtumien kirjaaminen.
(1) Momentive kirjaa tietojenkäsittelyjärjestelmiensä käytöt.
(2) Momentive kirjaa asiakkaan tietoja sisältävien järjestelmien käytöt ja niihin kirjautumiset merkiten ylös kirjautumistunnisteen, aikaleiman sekä tiettyjä oleellisia suoritettuja toimintoja.
(f) Ala: tietoturvaloukkausten hallinta.
(i) Loukkausten käsittelyprosessi.
(1) Momentivella on suunnitelma loukkausten käsittelyä varten.
(2) Momentive ylläpitää tallennetta tietoturvaloukkauksista, mikä sisältää loukkauksen kuvauksen, ajanjakson, seuraukset, ilmoittajan ja ilmoituksen vastaanottajan nimet sekä mahdolliset korjaavat toimenpiteet.
(g) Ala: liiketoiminnan jatkuvuuden hallinta.
(i) Momentiven vikasietoinen tallennus sekä menettelyt tietojen palauttamista varten on suunniteltu palauttamaan asiakkaan tiedot niiden alkuperäisessä tilassa katoamista tai tuhoutumista edeltävältä ajalta.
(h) Kulunvalvonta käsittelyalueille. Menettelyt, joiden avulla estetään valtuuttamattomien henkilöiden pääsy asiakkaan tietoja sisältäviin tietojenkäsittelylaitteistoihin (eli puhelimiin, tietokantoihin sekä sovelluspalvelimiin ja niihin liittyviin laitteistoihin), ovat seuraavia:
(i) turvallisten alueiden luominen
(ii) pääsyreittien suojaaminen ja rajoittaminen
(iii) matkapuhelinten suojaaminen
(iv) tietojenkäsittelylaitteistot ja henkilökohtaiset tietokoneet
(v) kaikki kulku palvelinkeskuksiin, joissa asiakkaan henkilötietoja säilytetään, kirjataan ylös ja sitä valvotaan ja seurataan
(vi) palvelinkeskukset, joissa asiakkaan henkilötietoja säilytetään, turvataan hälytysjärjestelmällä sekä muilla sopivilla turvatoimenpiteillä
(vii) tilat on suunniteltu kestämään haitallisia sääolosuhteita tai muita kohtuullisesti ennakoitavia luonnonolosuhteita, suojattu ympärivuorokautisella vartioinnilla, avainkortilla ja/tai biometrisillä tunnisteilla (riskin tasoon nähden soveltuvalla tasolla) sekä pääsyoikeudella vain saatettuna, ja tiloja tukevat myös paikalla sijaitsevat varavoimageneraattorit sähkökatkon varalta.
(i) Tietojenkäsittelyjärjestelmien käyttöoikeuksien hallinta . Menettelyt tietojenkäsittelyjärjestelmien luvattoman käytön ehkäisemiseksi sisältävät seuraavia:
(i) tietojenkäsittelyjärjestelmiin suuntautuvan toiminnan päätelaitteen ja/tai käyttäjän tunnistaminen
(ii) automaattinen aikakatkaisu enintään 30 minuutin kuluttua, jos päätelaite on käyttämättä, ja avaaminen uudelleen edellyttää tunnistautumista ja salasanaa
(iii) tunnistekoodien myöntäminen ja suojaaminen
(iv) salasanojen vahvuusvaatimukset (vähimmäispituus, vanheneminen jne.)
(v) suojautuminen ulkoista käyttöä vastaan alan standardit täyttävällä palomuurilla.
(j) Käyttöoikeuksien hallinta tiettyjen tietojenkäsittelyjärjestelmien alueiden käyttämiseksi. Toimenpiteisiin, joilla varmistetaan, että ainoastaan tietojenkäsittelyjärjestelmiä luvallisesti käyttävät henkilöt pääsevät käsiksi tietoihin lupiansa (valtuutuksiaan) vastaavassa laajuudessa, ja että asiakkaan henkilötietoja ei voida lukea, kopioida, muokata tai poistaa ilman valtuutusta, lukeutuvat seuraavat:
(i) sitovien henkilöstökäytäntöjen käyttöönotto sekä koulutuksen tarjoaminen, joka koskee kunkin henkilöstön jäsenen käyttöoikeuksia asiakkaan henkilötietoihin
(ii) toimivat ja harkitut kurinpidolliset toimenpiteet sellaisia henkilöitä vastaan, jotka käyttävät asiakkaan henkilötietoja ilman lupaa
(iii) tietojen luovuttaminen vain valtuutetuille henkilöille
(iv) pienimmän etuoikeuden periaatteen käyttäminen asiakkaan henkilötietoja sisältävien tietojen käytön osalta, joka perustuu salaisiin tietoihin liittyviin vaatimuksiin
(v) tuotantoverkon ja tietojen käytönhallinnan turvaaminen virtuaalisella erillisverkolla, vahvalla tunnistautumisella sekä rooliperustaisilla käyttöoikeuksien hallinnalla
(vi) sovellus- ja infrastruktuurijärjestelmät kirjaavat tietoja keskeisesti hallittuun kirjaamoon vianetsintää, turvallisuuskatsauksia sekä analyysiä varten
(vii) menettelyt varmuuskopioiden säilytystä varten, jotka ovat sovellettavien lakien mukaisia ja sopivat kyseisiin tietoihin sekä vastaavaan riskitasoon.
(k) Lähetyksen hallinta. Menettelyt, joilla estetään asiakkaan henkilötietojen lukeminen, kopiointi, muuttaminen tai poistaminen valtuuttamattomien tahojen toimesta tietojen siirron tai tietovälineiden kuljetuksen aikana, ja sen varmistaminen, että on mahdollista tarkastaa ja määritellä kenelle asiakkaan henkilötietojen siirron on tarkoitus tapahtua tietojen siirtovälineiden avulla, mukaan lukien:
(i) palomuurien ja salaustekniikoiden käyttö niiden porttien ja väylien suojaamiseksi, joiden kautta tieto kulkee
(ii) virtuaalisen erillisverkon yhteydet, joilla suojataan yhteys yrityksen sisäiseen verkkoon
(iii) infrastruktuurin jatkuva valvonta (esim. ICMP-Ping verkon tasolla, levytilan tarkkailu järjestelmätasolla, määritettyjen testisivujen lähetyksen onnistuminen sovellustasolla)
(iv) tiedonsiirron täydellisyyden ja eheyden valvonta (päästä päähän ‑tarkastus).
(l) Säilytyksen hallinta. Kun asiakkaan henkilötietoja säilytetään, ne varmuuskopioidaan salatussa muodossa osana määritettyä varmuuskopiointi- ja palautusprosessia käyttäen kaupallisesti tuettua salausratkaisua, ja samoin kaikki asiakkaan henkilötiedoiksi määritellyt siirrettävällä tai kannettavalla tietokoneella tai kannettavalla säilytyslaitteella säilytetyt tiedot salataan myös. Salausratkaisut ovat vähintään 128-bittisiin avaimiin perustuvia symmetrisessä salauksessa ja 1 024 ‑bittisiin (tai suurempiin) avaimiin perustuvia epäsymmetrisessä salauksessa.
(m) Syötteenhallinta. Toimenpiteet, joilla varmistetaan, että on mahdollista tarkastaa ja määritellä, onko asiakkaan henkilötietoja syötetty tietojenkäsittelyjärjestelmiin tai poistettu niistä, ja kuka sen on tehnyt, mukaan lukien:
(i) valtuutetun henkilöstön tunnistaminen
(ii) suojausmenettelyt muistiin syötetyille tiedoille sekä tallennettujen tietojen lukemiselle, muuttamiselle ja poistamiselle
(iii) käyttäjäkoodien (salasanojen) käyttö
(iv) syötteen valtuutuksen todisteet, jotka on määritetty tietojen tuojan organisaatiossa
(v) sen varmistaminen, että tietojen käsittelylaitoksiin (tietokoneet ja niihin liittyvät laitteet sisältäviin tiloihin) vievät kulkutiet on lukittu.
(n) Saatavuuden hallinta. Toimenpiteet, joilla varmistetaan, että asiakkaan henkilötiedot ovat turvassa tahattomalta tuhoutumiselta tai häviämiseltä, mikä sisältää infrastruktuurin vikasietoisen tallennuksen sekä säännölliset tietokantapalvelimien varmuuskopioinnit.
(o) Käsittelyn erottelu. Menettelyt, joilla varmistetaan, että eri tarkoituksiin kerättyjä tietoja voidaan käsitellä erikseen, mukaan lukien:
(i) tietojen erottelu sovellusturvallisuuden avulla soveltuville käyttäjille
(ii) tietojen säilyttäminen tietokantatasolla eri taulukoissa, joita erottaa niiden tukema moduuli tai toiminto
(iii) liittymien, eräprosessien ja raporttien suunnittelu vain tiettyjä tarkoituksia ja toimintoja varten, jotta tiettyjä tarkoituksia varten kerättyjä tietoja käsitellään erillään
(iv) reaaliaikaisten tietojen testaustarkoituksiin käyttämisen estäminen, sillä vain testaustarkoituksiin luotuja valetietoja voidaan käyttää tähän.
(p) Haavoittuvuuksien hallintaohjelma. Ohjelma, jolla varmistetaan, että järjestelmät tarkastetaan säännöllisesti haavoittuvuuksien varalta ja että havaitut korjataan välittömästi, mukaan lukien:
(i) kaikki verkot, mukaan lukien testaus- ja tuotantoympäristöt, jotka tarkastetaan säännöllisesti
(ii) tietosuojatestit, joita suoritetaan säännöllisesti, ja haavoittuvuudet korjataan viipymättä.
(q) Tietojen tuhoaminen. Jos sopimus raukeaa tai irtisanotaan kumman tahansa osapuolen toimesta tai muusta asiakkaan pyynnöstä, joka seuraa rekisteröidyn tai sääntelyelimen pyyntöä:
(i) Kaikki asiakkaan tiedot tuhotaan turvallisesti kolmen kuukauden kuluessa.
(ii) Kaikki asiakkaan tiedot poistetaan Momentiven ja/tai kolmansien osapuolten tallennuslaitteilta, mukaan lukien varmuuskopiot, kuuden kuukauden kuluessa irtisanomisesta tai asiakkaan pyynnön vastaanottamisesta, ellei laki vaadi Momentivea muuten säilyttämään jotain tietoluokkaa pidempään. Momentive varmistaa, että tiedot, joita ei enää vaadita, tuhotaan siten, että voidaan varmistua siitä, että niitä ei voida enää palauttaa.
(r) Standardit ja sertifikaatit. Tietojen tallennusratkaisuilla ja/tai ‑sijainneilla on vähintään SOC 1 (SSAE 16) ‑sertifiointi tai SOC 2 ‑raportit – vastaavat tai samankaltaiset sertifikaatit tai turvatasot tarkastetaan tapauskohtaisesti .
Henkilötietojen käsittelyn tarkoitus ja luonne, henkilötietoluokat, rekisteröidyt henkilöt
Käsittelyn tarkoitus ja luonne | Momentive voi käsitellä asiakkaan henkilötietoja tarpeen mukaan palveluiden teknistä toteutusta varten, mukaan lukien seuraavat soveltuvin osin: • isännöinti- ja säilytyspalvelu • varmuuskopiointi ja vakavasta häiriöstä palauttaminen • palvelun tekninen parantaminen • palvelun muutostenhallinta • ongelmien ratkaisu • turvallisten ja salattujen palveluiden tarjoaminen • uusien tuote- tai järjestelmäversioiden, ‑korjausten, ‑päivitysten ja ‑parannusten toteuttaminen • järjestelmän käytön ja suorituskyvyn valvonta ja testaus • virheiden ennalta havaitseminen ja poistaminen • IT-turvallisuus, mukaan lukien tietoturvaloukkausten hallinta • teknisten tukijärjestelmien sekä IT-infrastruktuurin ylläpito ja suorituskyky • siirtämiset, toteutukset, konfigurointi ja suorituskyvyn testaus • tuotesuositusten antaminen • asiakastuen tarjoaminen; tietojen siirto ja • rekisteröityjen pyyntöjen kanssa avustaminen (tarpeen mukaan). |
Henkilötietoluokat | Asiakas voi lähettää palveluihin asiakkaan henkilötietoja sekä pyytää asiakkaan vastaajia lähettämään palveluihin henkilötietoja, joiden laajuuden määrittää ja joita hallinnoi asiakas oman harkintansa varassa ja jotka voivat sisältää seuraavia niihin rajoittumatta: • Kaikentyyppiset henkilötiedot, joita asiakkaan vastaajat voivat lähettää asiakkaalle palveluiden käytön yhteydessä (kuten kyselytutkimusten tai muiden palautetyökalujen yhteydessä). Esimerkiksi: nimi, sijainti, ikä, yhteystiedot, IP-osoite, ammatti, sukupuoli, taloudellinen tilanne, henkilökohtaiset mieltymykset, osto- tai kulutuskäyttäytyminen ja muut mieltymykset tai henkilötiedot, joita asiakas pyytää tai kerää vastaajiltaan. • Kaikentyyppiset henkilötiedot, jotka voivat sisältyä lomakkeisiin ja kyselytutkimuksiin, joita isännöidään asiakkaan puolesta palveluissa (kuten kyselytutkimuskysymyksiin sisältyvät). • Asiakkaan työntekijöiden, valtuutettujen loppukäyttäjien ja muiden liiketoimintakontaktien yhteystiedot ja laskutustiedot. Esimerkiksi: nimi, asema, työnantaja, yhteystiedot (yritys, sähköposti, puhelin, osoite ym.), maksutiedot ja muut tilitiedot. • Asiakkaan vastaajat voivat lähettää asiakkaalle palveluiden kautta erityisiä henkilötietoluokkia, joiden laajuuden määrittää ja joita hallinnoi asiakas. Selvyyden vuoksi todetaan, että nämä erityiset henkilötietoluokat voivat sisältää tietoja, jotka paljastavat etnisen alkuperän, poliittisia mielipiteitä, uskonnollisia tai muita uskomuksia, ammattiliiton jäsenyyden sekä terveyttä tai seksielämää koskevien tietojen käsittelyn. |
Rekisteröidyt | Rekisteröityjä ovat: • luonnolliset henkilöt, jotka lähettävät henkilötietoja Momentivelle palveluiden käytön kautta (mukaan lukien Momentiven asiakkaan puolesta ylläpitämien verkkokyselytutkimusten ja lomakkeiden kautta) • luonnolliset henkilöt, joiden henkilötietoja vastaajat voivat lähettää asiakkaalle palveluiden käytön kautta • luonnolliset henkilöt, jotka ovat asiakkaan työntekijöitä, edustajia tai muita liiketoimintakontakteja • asiakkaan käyttäjät, joilla on asiakkaan valtuutus käyttää palveluita. |
LIITTEET mallisopimuslausekkeisiin
LIITE I -
A. OSAPUOLET
MODUULI KAKSI: siirto rekisterinpitäjältä käsittelijälle
MODUULI KOLME: siirto käsittelijältä käsittelijälle
MODUULI NELJÄ: siirto käsittelijältä rekisterinpitäjälle
Tietojen viejä(t): kuten sopimuksessa mainittu
Yhteyshenkilön nimi, asema ja yhteystiedot: kuten sopimuksessa mainittu
Näiden lausekkeiden puitteissa siirrettyjä tietoja koskevat oleelliset toimet: kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu
Tietojen tuoja(t): kuten sopimuksessa mainittu
Nimi: kuten sopimuksessa mainittu
Yhteyshenkilön nimi, asema ja yhteystiedot: kuten sopimuksessa mainittu
Näiden lausekkeiden puitteissa siirrettyjä tietoja koskevat oleelliset toimet: kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu
B. SIIRRON KUVAUS
MODUULI KAKSI: siirto rekisterinpitäjältä käsittelijälle
MODUULI KOLME: siirto käsittelijältä käsittelijälle
MODUULI NELJÄ: siirto käsittelijältä rekisterinpitäjälle
Niiden rekisteröityjen luokat, joiden henkilötietoja siirretään: kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu
Siirrettyjen henkilötietojen luokat: kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu
Siirretyt arkaluonteiset tiedot (jos on) sekä sovelletut rajoitukset ja suojatoimet, joissa huomioidaan täysimääräisesti tietojen luonne sekä liittyvät riskit, kuten esimerkiksi tiukka tarkoitukseen perustuva rajoite, käytön rajoitteet (mukaan lukien käytön salliminen vain erikoiskoulutuksen suorittaneille henkilöille), tietojen käytön kirjaaminen, edelleen siirtämistä koskevat rajoitteet tai ylimääräiset turvatoimet: kuten tietojenkäsittelysopimuksen liitteissä 1 ja 2 mainittu
Siirtojen toistuvuus (esim. siirretäänkö tietoja kertaluonteisesti vai jatkuvasti): kertaluonteinen ja jatkuva (riippuen palveluiden käytöstä)
Käsittelyn luonne: kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu
Tietojen siirron ja jatkokäsittelyn tarkoitus (tarkoitukset): kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu
Henkilötietojen säilytysaika tai, jos tämän ilmoittaminen ei ole mahdollista, ajan määrityksen kriteerit: kuten sopimuksessa ja täällä mainittu
(Ali)käsittelijöille siirron osalta määritä myös käsittelyn aihe, luonne ja kesto: katso täältä.
C. TOIMIVALTAINEN VALVONTAVIRANOMAINEN
Ilmoita toimivaltainen valvontaviranomainen/‑viranomaiset lausekkeen 13 mukaisesti: Irlanti
LIITE II – TIETOJENKÄSITTELYSOPIMUKSEN LIITTEESSÄ 1 MAINITUT TEKNISET JA ORGANISATORISET TOIMENPITEET
LIITE III – LUETTELO ALIKÄSITTELIJÖISTÄ
MODUULI KAKSI: siirto rekisterinpitäjältä käsittelijälle
MODUULI KOLME: siirto käsittelijältä käsittelijälle
MODUULI NELJÄ: siirto käsittelijältä rekisterinpitäjälle Asiakas on valtuuttanut seuraavien alikäsittelijöiden käytön: katso täältä.
YHDISTYNEEN KUNINGASKUNNAN LISÄYS
1. UK GDPR:n alaisten tietojen siirtojen osalta osapuolet hyväksyvät täten Yhdistyneen kuningaskunnan lisäyksen (jonka kopio on saatavilla täältä), ja kyseinen lisäys otetaan osaksi tätä sopimusta siihen viittaamalla. UK GDPR:n alaisten siirtojen osalta tulee kaikki viittaukset ”toimivaltaiseen valvontaviranomaiseen” sekä ”toimivaltaisiin oikeusistuimiin” tulkita viittauksiksi Yhdistyneen kuningaskunnan soveltuvaan tietosuojaviranomaiseen sekä soveltuviin oikeusistuimiin.
2. Osapuolet sopivat, että Yhdistyneen kuningaskunnan lisäyksen osassa 1 olevien taulukoiden muoto ja sisältö korvataan seuraavalla taulukolla.
Yhdistyneen kuningaskunnan lisäyksen taulukkoviite | Taulukon täydentävät tiedot |
Taulukko 1: Aloituspäivä | Voimassa sopimuksen voimaantulopäivästä alkaen. |
Taulukko 1: Osapuolten tiedot | Katsotaan täydennetyksi tämän sopimuksen liitteessä 2 olevin tiedoin. |
Taulukko 2: EU SCC:iden lisäys | Osapuolet valitsevat seuraavan vaihtoehdon taulukosta 2: ”Hyväksytyt EU SCC:t, mukaan lukien liitetiedot ja vain seuraavin hyväksyttyjen EU SCC:iden moduulein, lausekkein tai valinnaisin määräyksin, jotka tulevat voimaan tämän lisäyksen tarkoituksissa”. Yhdistyneen kuningaskunnan lisäystä varten voimaan tulevien SCC:iden ”moduulien”, ”lausekkeiden” ja ”valinnaisten määräyksien” tiedot on mainittu tämän sopimuksen edeltävässä kohdassa 9.2. |
Taulukko 3: liite 1A – Osapuolet | Katsotaan täydennetyksi tämän sopimuksen liitteessä 2 olevin tiedoin |
Taulukko 3: liite 1B – Siirron kuvaus | Katsotaan täydennetyksi tämän sopimuksen liitteessä 2 olevin tiedoin. |
Taulukko 3: liite II – Tekniset ja organisatoriset toimenpiteet | Katsotaan täydennetyksi tämän sopimuksen liitteessä 1 olevin tiedoin. |
Taulukko 3: liite III: Luettelo alikäsittelijöistä (moduulit 2) | Luettelo alikäsittelijöistä löytyy sopimuksen alikäsittelijöitä koskevien ehtojen mukaisesti. |
Taulukko 4: Lisäyksen päättäminen | Osapuolet päättävät, että kumpikaan osapuoli ei voi päättää Yhdistyneen kuningaskunnan lisäystä, sillä se on otettu osaksi sopimusta. |
3. Jos tämän sopimuksen ja Yhdistyneen kuningaskunnan lisäyksen välillä on ristiriitoja tai epäjohdonmukaisuuksia, lisäys katsotaan määrääväksi, ja sitä sovelletaan ensin tällaisen ristiriidan tai epäjohdonmukaisuuden tapauksessa.