Mallisopimuslausekkeet

Tämä tietojenkäsittelysopimus on laadittu siten, että se sisältää kaikki mahdolliset mallisopimuslausekkeiden yhdistelmät. Ne kaikki eivät välttämättä koske sinua. Selventävä huomautus:  

Kalifornian kuluttajien tietosuojaa koskeva laki (CCPA) 

Tämä tietojenkäsittelysopimus on päivitetty, koska Kalifornian yksityisyydensuojaan liittyviä oikeuksia koskeva laki (CPRA) aiheutti muutoksia CCPA-lakiin. Me emme hyväksy mitään asiakkaan tekemiä muutoksia tai lisäyksiä tähän tietojenkäsittelysopimukseen. 

Tämä SurveyMonkeyn tietojenkäsittelysopimus (”tietojenkäsittelysopimus”) muodostaa osan SurveyMonkeyn kanssa solmimaasi sopimusta ja sisältää tiettyjä tietoturvaa, yksityisyyttä ja tietosuojaa koskevia ehtoja tietosuojalainsäädännön mukaisesti soveltuvin osin. Jos eri tietosuojalainsäädäntöön kuuluvien lakien ja asetusten välillä on ristiriita (ja vain siinä laajuudessa kuin ristiriita on olemassa), osapuolet noudattavat tiukempia vaatimuksia tai standardeja, jotka määrittää kyseisen erimielisyyden tapauksessa SurveyMonkey yksinomaisen harkintansa varassa. 

Tämä DPA on voimassa asiakkaan ja asianomaisen SurveyMonkey-toimijan välillä, joka määritetään seuraavasti: 

(i) muualla kuin Yhdysvalloissa sijaitsevien asiakkaiden tapauksessa sopimustaho on SurveyMonkey Europe UC 

(ii) Yhdysvalloissa sijaitsevien asiakkaiden tapauksessa sopimustaho on SurveyMonkey Inc. 

Tämä on tietojenkäsittelysopimuksen viimeisin versio (päivätty 15. kesäkuuta 2023). 

Tässä tietojenkäsittelysopimuksessa on seuraavilla ilmauksilla seuraavat merkitykset, ellei asiayhteydestä muuta johdu: 

”Sopimus” tarkoittaa mitä tahansa SurveyMonkey Inc:n tai SurveyMonkey Europen ja asiakkaan välillä voimassa olevaa palveluita koskevaa sopimusta. Tällaista sopimusta voidaan kutsua useilla eri nimillä, kuten ”tilauslomake”, ”myyntimääräys”, ”käyttöehdot” tai ”pääasiallinen tai sovellettava palvelusopimus”. 

”Artikla 28” tarkoittaa yleisen tietosuoja-asetuksen (GDPR) ja UK GDPR ‑asetuksen 28 artiklaa asiakkaan henkilötietojen käsittelyyn sovellettavin osin.  

”Asiakas” tai ”sinä” tarkoittaa sopimuksessa tunnistettua ja/tai siinä osapuolena olevaa asiakasta.  

”Asiakkaan tiedot” tarkoittavat kaikkia asiakkaan suorittaman tai asiakkaan puolesta suoritetun palveluiden käytön yhteydessä SurveyMonkeylle luovutettuja tietoja (mukaan lukien asiakkaan henkilötiedot näihin rajoittumatta) sekä sellaisia tietoja, joita kolmannet osapuolet lähettävät asiakkaalle palveluiden kautta. 

”Asiakkaan henkilötiedot” tarkoittavat kaikkia henkilötietoja, joita lähetetään palveluihin asiakkaan toimesta tai joita lähetetään asiakkaalle, ja joita SurveyMonkey käsittelee palveluiden toimittamiseksi asiakkaalle, mukaan lukien tämän tietojenkäsittelysopimuksen liitteessä 2 mainitut henkilötiedot niihin rajoittumatta. 

”Tietosuojalainsäädäntö” tarkoittaa 
(i) yleistä tietosuoja-asetusta (asetus (EU) 2016/679) (”GDPR-asetus”) ja kaikkia muita sovellettavia EU:n, ETA:n tai Euroopan sisämarkkinoiden jäsenmaiden lakeja tai asetuksia tai näiden päivityksiä, lisäyksiä tai korvauksia, joita sovelletaan henkilötietojen käsittelyyn sopimuksen puitteissa

(ii) Sveitsin valaliiton tietosuojalakia (”FADP”) tai uutta valaliiton tietosuojalakia, joka tulee voimaan 1. tammikuuta 2023 (”nFADP”)

(ii) kaikkia Yhdysvaltain lakeja sekä asetuksia, joita sovelletaan henkilötietojen käsittelyyn sopimuksen puitteissa, mukaan lukien Kalifornian kuluttajien tietosuojaa koskeva laki vuodelta 2018 (Cal. Civ. Code §§ 1798.100–1798.199) (”CCPA”) siihen kuitenkaan rajoittumatta 

(iv) kaikkia sopimuksen puitteissa tapahtuvaan henkilötietojen käsittelyyn sovellettavia Yhdistyneessä kuningaskunnassa milloin tahansa voimassa olevia lakeja sekä asetuksia (mukaan lukien UK GDPR)

(v) henkilötietojen suojaa ja sähköisiä asiakirjoja koskevaa lakia (”PIPEDA”) tai mitä tahansa sen päivitystä, lisäystä tai korvausta, jota sovelletaan henkilötietojen käsittelyyn Kanadassa.

Käsitteillä ”rekisterinpitäjä”, ”tietosuojan vaikutusten arviointi”, ”käsitellä”, ”käsittely”, ”käsittelijä” ja ”valvova viranomainen” on samat merkitykset kuin GDPR- tai UK GDPR ‑asetuksessa.

Käsitteillä ”liiketoiminta”, ”liiketoiminnan tarkoitukset”, ”kaupalliset tarkoitukset”, ”henkilötiedot”, ”palveluntarjoaja”, ”myydä” ja ”jakaa” on samat merkitykset kuin CCPA-laissa mainituilla vastaavilla englanninkielisillä termeillä. 

”SurveyMonkey” tai ”me” tarkoittaa yhdysvaltalaisten asiakkaiden tapauksessa SurveyMonkey Inc:tä ja Yhdysvaltojen ulkopuolisten asiakkaiden tapauksessa SurveyMonkey Europea. 

”SurveyMonkey Europe” tarkoittaa SurveyMonkey Europe UC:tä, joka on irlantilainen yritys ja sijaitsee osoitteessa 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irlanti. 

”SurveyMonkey Inc.” tarkoittaa SurveyMonkey Inc:tä, joka on delawarelainen yritys ja sijaitsee osoitteessa One Curiosity Way, San Mateo, CA 94403, Yhdysvallat.  

”SurveyMonkeyn tietosuojailmoitus” tarkoittaa SurveyMonkeyn tietosuojailmoitusta, joka on osoitteessa https://fi.surveymonkey.com/mp/legal/privacy/.

”Henkilötiedot” tarkoittavat tietoja elävästä ihmisestä, joka tunnistetaan tai voidaan kohtuullisesti tunnistaa tietojen perusteella joko sellaisenaan tai yhdistettynä muuhun tietoon (”rekisteröity”).

”Palvelut” tarkoittavat asiakkaan SurveyMonkeylta sopimuksen puitteissa tilaamia palveluita. 

”SCC:t” ovat ”mallisopimuslausekkeita” (”Standard Contractual Clauses”), jotka on liitetty Euroopan komission päätökseen: i) 4. päivältä kesäkuuta 2021 vakiosopimuslausekkeista, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin GDPR-asetuksen mukaisesti tai ii) (siihen asti, kunnes SurveyMonkey on sitoutunut edellä kohdassa i) mainittuihin lausekkeisiin), 5. päivältä helmikuuta 2010 asiakkaiden henkilötietojen siirrosta kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille direktiivin 95/46/EY mukaisesti). Siellä, missä sovelletaan FADP- tai nFADP-lakia, tulee kaikki mallisopimuslausekkeiden viitteet ymmärtää vastaaviksi FADP- tai nFADP-lain viitteiksi. Kaikki tässä asiayhteydessä käytetyt käsitteet saavat siis FADP- tai nFADP-laissa niille annetut merkitykset.

”UK-lisäys” tarkoittaa (i) Yhdistyneen kuningaskunnan tietosuojavaltuutetun toimiston mallipohjalisäystä, joka on esitelty Yhdistyneen kuningaskunnan parlamentille Yhdistyneen kuningaskunnan tietosuojalain 2018 kohdan 119A mukaisesti 2 päivänä helmikuuta 2022, sellaisena kuin se on pakollisten lausekkeiden 18 §:n mukaisesti muutettuna aika ajoin. Tässä määritelmässä viitattu mallipohjalisäys tarkoittaa asiakirjaa, jonka nimike on International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0, in force 21 March 2022 (kansainvälistä tietojensiirtoa koskeva lisäys EU-komission mallisopimuslausekkeisiin, versio B1.0, voimassa 21 päivästä maaliskuuta 2022); tai (ii) (siihen asti, kunnes SurveyMonkey on sitoutunut edellä kohdassa i) mainittuun UK-lisäykseen), Euroopan komission päätös 5 päivältä helmikuuta 2010 henkilötietojen siirrosta kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille direktiivin 95/46/EY mukaisesti.

”UK GDPR” tarkoittaa EU:n tietosuojaa koskevaa GDPR-asetusta sikäli kun se muodostaa osan Englannin ja Walesin sekä Skotlannin ja Pohjois-Irlannin lakeja Euroopan unionista eroamista koskevan vuoden 2018 lain (European Union (Withdrawal) Act) 3 §:n mukaisesti ja niiltä osin kuin sitä on muutettu vuosien 2019 ja 2020 tietosuojaa, yksityisyyttä sekä sähköistä viestintää koskevien (EU-eroa koskevien) asetusten mukaisesti lisäyksineen, sekä sellaista Yhdistyneessä kuningaskunnassa kulloinkin voimassa olevaa lainsäädäntöä, jolla UK GDPR ‑asetusta muutetaan tai korvataan.

Tarjotessaan palveluita asiakkaalle SurveyMonkey on GDPR-asetuksessa tarkoitettu asiakkaan henkilötietojen käsittelijä. CCPA-lain osalta ja soveltuvin osin SurveyMonkey ja asiakas sopivat, että SurveyMonkey on ”palveluntarjoaja” ja asiakas on ”yritys” henkilötietojen osalta.

Tämä tietojenkäsittelysopimus on voimassa sopimuksen irtisanomiseen (sen ehtojen mukaisesti) tai raukeamiseen saakka. 

Asiakas takaa ja täten vakuuttaa, että sillä on oikeus siirtää asiakkaan tietoja SurveyMonkeylle, jotta SurveyMonkey voi käsitellä ja siirtää henkilötietoja laillisesti ja tämän tietojenkäsittelysopimuksen mukaisesti. Asiakkaan on varmistettava, että kaikille asianosaisille rekisteröidyille on ilmoitettu tästä käytöstä, käsittelystä ja siirrosta tietosuojalainsäädännön mukaisesti ja että lainmukaiset suostumukset on hankittu (mikäli tarpeen). Asiakkaan on varmistettava, että kaikki henkilötietojen käsittely tai siirto SurveyMonkeylle tapahtuu laillisesti ja asianmukaisesti. Asiakkaan on noudatettava kaikkia sovellettavia tietosuojalakeja.

Siellä missä SurveyMonkey käsittelee asiakkaan henkilötietoja käsittelijänä, SurveyMonkey toimii seuraavasti:

(a) käsittelee tietoja vain dokumentoitujen asiakkaan ohjeiden mukaisesti sekä tietosuojalainsäädännön mukaisesti, mukaan lukien asiakkaiden henkilötietojen siirto muille oikeustoimialueille tai kansainvälisille organisaatioille, ja osapuolet sopivat, että sopimus on tällainen asiakkaan SurveyMonkeylle antama dokumentoitu ohje, jonka mukaan asiakkaan henkilötietoja käsitellään (mukaan lukien ETA:n ulkopuolisilla alueilla) muiden asiakkaan SurveyMonkeylle (esimerkiksi sähköpostilla) toimittamien kohtuullisten ohjeiden lisäksi, kun tällaiset ohjeet ovat yhdenmukaisia sopimuksen kanssa 

(b) varmistaa, että kaikki SurveyMonkeyn asiakkaan henkilötietojen käsittelyyn osallistuva henkilöstö noudattaa henkilötietoja koskevaa salassapitovelvollisuutta 

(c) asettaa saataville tietoa, jota asiakas tarvitsee osoittaakseen noudattavansa 28 artiklan mukaisia velvoitteitaan (tai vastaavia tietosuojalainsäädännön vaatimuksia, jos näitä sovelletaan asiakkaaseen), kun tällaiset tiedot ovat SurveyMonkeyn hallussa, eikä asiakas saa niitä haltuunsa muilla tavoin SurveyMonkeyn verkkosivustoilla olevien tiliensä ja käyttäjäalueidensa kautta, edellyttäen että asiakas lähettää tällaisen tietopyynnön kirjallisena SurveyMonkeylle vähintään 14 päivää aiemmin

(d) tekee yhteistyötä asiakkaan kanssa asiakkaan kohtuullisten pyyntöjen seurauksena, jotta asiakas voi noudattaa mitä tahansa rekisteröidyn oikeuksien käyttöä, jonka tietosuojalainsäädäntö suo rekisteröidylle SurveyMonkeyn suorittaman henkilötietojen käsittelyn puitteissa liittyen palveluiden tarjoamiseen 

(e) tarjoaa apua tarvittaessa saatuaan pyynnön suoraan rekisteröidyltä koskien palveluiden kautta lähetettyjä rekisteröidyn henkilötietoja

(f) jos poistat tietoja, Momentive ei säilytä asiakkaan henkilötietoja tililtäsi pidempään kuin sovellettavat lait ja asetukset vaativat tai ylittäen sitä, mitä rutiininomaiset palautumista ja liiketoiminnan jatkuvuutta turvaavat varmuuskopioinnit edellyttävät säilytyskäytäntömme mukaisesti 

(g) tekee yhteistyötä valvontaviranomaisen tai sellaisen korvaavan tai sellaista seuraavan tahon kanssa aika ajoin (tai asiakkaan tai minkä tahansa muun tietosuoja- tai yksityisyysviranomaisen vaatimassa laajuudessa tietosuojalainsäädännön puitteissa) suorittaessaan kyseisen valvovan viranomaisen valvontatehtäviä vaadittaessa 

(h) avustaa asiakasta kohtuullisella tavalla vaadittaessa, jos asiakas: 

(i) suorittaa tietosuojan vaikutustenarvioinnin palveluiden osalta (johon voi sisältyä dokumentaation tarjoaminen, jotta asiakas voi suorittaa oman arviointinsa) tai

(ii) on edellytetty ilmoittamaan tietoturvaloukkauksesta (kuten alla on määritelty) valvontaviranomaiselle tai asianosaiselle rekisteröidylle.

(i) ei myy tai jaa mitään henkilötietoja

(j) ei kerää, säilytä, käytä, paljasta tai muuten käsittele henkilötietoja muuten kuin seuraavia nimenomaisia liiketoimintatarkoituksia ja kaupallisia tarkoituksia varten: (1) tämän sopimuksen mukaisten palvelujen tarjoaminen, (2) nykyisten palvelujen parantaminen ja uusien palvelujen kehittäminen (esimerkiksi tekemällä tutkimusta uusien tuotteiden tai ominaisuuksien kehittämiseksi), (3) omat sekä alihankkijoidemme ja integraatiokumppaneidemme toiminnalliset tarkoitukset, (4) tietoturvan ja tietojen oikeellisuuden varmistaminen siinä määrin kuin rekisteröidyn henkilötietojen käyttö on kohtuullisesti tarpeen ja suhteellista näitä käyttötarkoituksia varten, (5) nykyisiä toimintoja haittaavien virheiden tunnistaminen ja poistaminen, (6) lyhytaikainen, hetkellinen käyttö, kuten meidän tai alihankkijoidemme palveluiden yhteydessä esittämän sisällön mukauttaminen ja (7) muut käyttötavat, joista ilmoitamme sinulle tietosuojalainsäädännön sallimissa puitteissa

(k) ei säilytä, käytä, yhdistä tai paljasta sopimuksen mukaisesti kerättyjä henkilötietoja SurveyMonkeyn ja asiakkaan välisen suoran liiketoimintasuhteen ulkopuolella, ellei CCPA sitä suoraan salli  

(l) ilmoittaa tietosuojalainsäädännön niin edellyttäessä asiakkaalle saadessaan tietää, että asiakkaalta saadut ohjeet loukkaavat tietosuojalainsäädännön määräyksiä, mutta edellä mainitusta huolimatta SurveyMonkeylla ei ole minkäänlaista velvollisuutta valvoa tai tarkastaa asiakkaalta saatujen ohjeiden laillisuutta. Jos SurveyMonkey päättää, ettei se voi enää noudattaa velvollisuuksiaan CCPA:n mukaisesti, SurveyMonkey ilmoittaa tästä asiakkaalle ja

(m) SurveyMonkey vakuuttaa, että se ymmärtää tässä tietojenkäsittelysopimuksessa ja kaikissa sovellettavissa tietosuojalaeissa määritellyt rajoitteet ja velvollisuudet ja noudattaa niitä. 

6.1 Alikäsittely. Asiakas myöntää SurveyMonkeylle yleisen luvan käyttää alikäsittelijöitä tämän kohdan 6 vaatimusten mukaisesti.

6.2 Luettelo alikäsittelijöistä. SurveyMonkey toimii seuraavasti sopimuksen salassapitosäännösten tai muiden SurveyMonkeya sitovien salassapitosäännösten mukaisesti:

(a) asettaa asiakkaan saataville luettelon sellaisista SurveyMonkeyn alihankkijoista, jotka osallistuvat asiakkaan henkilötietojen käsittelyyn tai alikäsittelyyn palveluiden tarjoamisen yhteydessä (”alikäsittelijät”), sekä kuvauksen kunkin alikäsittelijän tarjoamista palveluista (”luettelo alikäsittelijöistä”). Luettelo alikäsittelijöistä on saatavilla pyynnöstä täältä 

(b) varmistaa, että kaikki alikäsittelijäluettelon alikäsittelijät noudattavat sopimusehtoja, jotka ovat oleellisilta osiltaan vähintään yhtä tiukkoja kuin tässä tietojenkäsittelysopimuksessa olevat sopimusehdot  

(c) vastaa alikäsittelijöidensä toimista ja toimimatta jättämisistä aivan kuin omistaan, jos SurveyMonkey suorittaisi alikäsittelijöiden palveluita suoraan tämän tietojenkäsittelysopimuksen puitteissa, lukuun ottamatta sitä, mistä sopimuksessa toisin määrätään. 

6.3 Uudet/korvaavat alikäsittelijät. SurveyMonkey antaa asiakkaalle kirjallisen ilmoituksen uuden alikäsittelijän lisäyksestä tai vanhan alikäsittelijän korvaamisesta uudella sopimuksen voimassaoloaikana (”ilmoitus uudesta alikäsittelijästä”). Asiakas liittyy täällä SurveyMonkeyn ylläpitämälle postituslistalle, jonka kautta tällaiset ilmoitukset toimitetaan sähköpostilla, tai vaihtoehtoisesti tarkistaa luettelon päivitykset täältä. Jos asiakkaalla on kohtuullinen peruste esittää vastalause uuden tai korvaavan alikäsittelijän käytölle, asiakas ilmoittaa tästä SurveyMonkeylle viipymättä kirjallisesti viimeistään 30 päivän kuluessa siitä, kun ilmoitus uudesta alikäsittelijästä on vastaanotettu. Tällaisen kohtuullisen vastalauseen tapauksessa joko asiakas tai SurveyMonkey voi välittömästi irtisanoa sellaisen palveluihin liittyvän sopimuksen osan, jota ei voida kohtuudella tarjota ilman vastustetun alikäsittelijän käyttämistä (mikä voi SurveyMonkeyn harkinnan varaisesti käsittää koko sopimuksen irtisanomisen), ilmoittamalla tästä toiselle osapuolelle kirjallisesti. Tällaiseen irtisanomiseen ei liity mahdollisuutta hyvittää tai palauttaa mitään asiakkaan ennakkoon maksamia maksuja irtisanomista seuraavalta kaudelta.

7.1 Turvatoimet. SurveyMonkeylla on käytössään teknisen kehityksen tason, käyttöönoton hinnan sekä palveluiden luonteen, laajuuden, asiayhteyden ja tarkoitusten sekä riskitason suhteen soveltuvat tekniset ja organisatoriset toimet (liitteen 1 mukaisesti), joilla varmistetaan turvallisuuden taso, joka vastaa asiakkaan tietojen luvattoman tai laittoman käsittelyn, tahattoman menetyksen tai vaurioitumisen riskiä. SurveyMonkey kokeilee ja arvioi näiden teknisten ja organisatoristen turvatoimien toimivuutta kohtuullisin väliajoin varmistaakseen käsittelyn turvallisuuden.

7.2 Tietoturvaloukkaukset ja niistä ilmoittaminen. Jos SurveyMonkey saa tietoonsa luvattoman tai laittoman asiakkaan henkilötietojen käytön, haltuun saamisen, muutoksen, luovutuksen tai tuhoamisen (”tietoturvaloukkaus”), SurveyMonkey ryhtyy kohtuullisiin toimiin ilmoittaakseen tästä asiakkaalle ilman aiheetonta viivästystä. Tietoturvaloukkauksia eivät ole epäonnistuneet yritykset tai toimet, jotka eivät vaaranna henkilötietojen turvallisuutta; näitä ovat esimerkiksi epäonnistuneet sisäänkirjautumisyritykset, yhteyskokeilut, porttiluotaukset, palvelunestohyökkäykset tai muut palomuureihin tai verkkojärjestelmiin kohdistuvat verkkohyökkäykset. Mikään asiakkaalle lähetettävä ilmoitus tietoturvaloukkauksesta ei merkitse, että SurveyMonkey myöntää olevansa korvausvelvollinen.

7.3 SurveyMonkey ryhtyy myös kohtuullisiin yhteistyötoimiin asiakkaan kanssa koskien tietoturvaloukkauksiin liittyviä tutkimuksia valmistelemalla vaaditut ilmoitukset ja tarjoamalla asiakkaan kohtuullisesti pyytämiä tietoja tietoturvaloukkaukseen liittyen. 

8.1 Tarkastukset. Jos SurveyMonkey käsittelee asiakkaan henkilötietoja asiakkaan puolesta (ainoastaan) käsittelijänä, asiakas toimittaa SurveyMonkeylle kirjallisen ennakkoilmoituksen asiakkaan itsensä tai asiakkaan nimittämän itsenäisen tarkastajan suorittamasta tarkastuksesta vähintään kuukautta ennen tarkastusta (sillä ehdolla, että tarkastuksen suorittaja ei ole SurveyMonkeyn kilpailija tai toimi minkään SurveyMonkeyn kilpailijan puolesta) (”tarkastaja”). Tarkastuksen laajuus on seuraava:

(a) Asiakas saa suorittaa tarkastuksen korkeintaan kerran tilausvuotta kohden, ellei laki tai valvontaviranomainen, jolla on vakiintunut valta asiakkaaseen, edellytä asiakasta suorittamaan tai edistämään useampaa kuin yhtä tarkastusta saman vuoden aikana (missä tapauksessa asiakas ja SurveyMonkey sopivat ennen tällaisia tarkastuksia sopivasta korvauksesta SurveyMonkeylle aiheutuneista tarkastuskustannuksista).

(b) SurveyMonkey suostuu asianmukaisten ja kohtuullisten luottamuksellisuusrajoitteiden puitteissa osoittamaan soveltavansa vaatimusten noudattamista koskevia sertifikaatteja ja standardeja, ja se antaa pyynnöstä asiakkaan käyttöön SurveyMonkeyn yhteenvedon uusimmista vuosittaisista tietoturvaloukkaustesteistä. Yhteenvetoon on sisällyttävä toimenpiteet, joihin SurveyMonkey on ryhtynyt kyseisten testien perusteella. 

(c) Tarkastuksen laajuus rajoittuu SurveyMonkeyn järjestelmiin, prosesseihin sekä dokumentaatioon, jotka ovat oleellisia asiakkaan henkilötietojen käsittelemiseksi ja suojaamiseksi, ja tarkastajat suorittavat tarkastuksensa SurveyMonkeyn pyytämien soveltuvien ja kohtuullisten luottamuksellisuusrajoitteiden puitteissa.

(d) Asiakas ilmoittaa viivytyksettä SurveyMonkeylle luottamuksellisesti kaikki tarkastuksen yhteydessä ilmenneet yksityiskohdat koskien velvoitteiden noudattamatta jättämistä ja turvallisuusuhkia.

8.2 Osapuolet sopivat, että ellei asiakkaaseen valtaa käyttävän valvontaviranomaisen tai lainsäätäjän määräyksestä tai muusta sitovasta asetuksesta muuta johdu, tässä kohdassa 8 määrätään koko asiakkaan tarkastusoikeuden laajuudesta SurveyMonkeya kohtaan.

9.1 Sikäli kuin on sovellettavissa ja asiakkaan henkilötietojen siirtojen osalta Euroopan talousalueelta (”ETA”), Sveitsistä tai Yhdistyneestä kuningaskunnasta ETA:n, Sveitsin ja Yhdistyneen kuningaskunnan ulkopuolisille alueille (joko suoraan tai edelleen lähetyksen kautta), joilla ei ole voimassa Euroopan komission tai soveltuvan tietosuojalainsäädännön määrityksen tasoisia tietosuojastandardeja, SurveyMonkey nojaa seuraaviin:

(a) SCC:t sekä

(b) Yhdistyneen kuningaskunnan lisäys UK GDPR:n alaisten siirtojen osalta tai

(c) muut soveltuvat suojakeinot tai poikkeukset (rajoitetusti soveltuvin osin), jotka on määritetty tai hyväksytty tietosuojalainsäädännön puitteissa. 

9.2 Mikäli niin vaaditaan, osapuolet sitoutuvat täten mallisopimuslausekkeisiin (joista on saatavilla kopio täällä) sekä Yhdistyneen kuningaskunnan lisäykseen (liite 3). Mallisopimuslausekkeet otetaan osaksi tätä sopimusta viittauksella, ja niitä sovelletaan seuraavasti:

(a) kun asiakas solmii sopimuksen SurveyMonkey Inc:n kanssa Yhdysvalloissa palvelusopimuksen puitteissa ja on asiakkaan henkilötietojen rekisterinpitäjä sekä siirtää palveluiden käytön kautta asiakkaan henkilötietoja ETA:n alueelta paikkoihin, joissa Euroopan komissio ei katso olevan käytössä riittäviä henkilötietojen suojauskeinoja, SurveyMonkey sitoutuu mallisopimuslausekkeisiin tietojen tuojana, ja asiakas sitoutuu mallisopimuslausekkeisiin tietojen viejänä, ja mallisopimuslausekkeiden moduulia kaksi sovelletaan ja/tai

(b) kun asiakas solmii sopimuksen SurveyMonkey Inc:n kanssa Yhdysvalloissa palvelusopimuksen puitteissa ja on asiakkaan henkilötietojen rekisterinpitäjä sekä siirtää palveluiden käytön kautta asiakkaan henkilötietoja ETA:n alueelta paikkoihin, joissa Euroopan komissio ei katso olevan käytössä riittäviä henkilötietojen suojauskeinoja, SurveyMonkey sitoutuu mallisopimuslausekkeisiin tietojen tuojana, ja asiakas sitoutuu mallisopimuslausekkeisiin tietojen viejänä, ja mallisopimuslausekkeiden moduulia kolme sovelletaan ja/tai

(c) kun asiakas ei ole ETA:n alueella sijaitseva toimija ja solmii sopimuksen SurveyMonkey Europe UC:n kanssa asiakkaan henkilötietojen säilytyksestä ETA:n alueella sopimuksen puitteissa ja on asiakkaan henkilötietojen rekisterinpitäjä sekä siirtää palveluiden käytön kautta asiakkaan henkilötietoja ETA:n alueelta paikkoihin, joissa Euroopan komissio ei katso olevan käytössä riittäviä henkilötietojen suojauskeinoja, SurveyMonkey sitoutuu mallisopimuslausekkeisiin tietojen viejänä, ja asiakas sitoutuu mallisopimuslausekkeisiin tietojen tuojana, ja mallisopimuslausekkeiden moduulia neljä sovelletaan ja

(d) lausekkeen 7 osalta sovelletaan valinnaista liittymislauseketta

(e) lausekkeen 11 osalta ei sovelleta valinnaista sanamuotoa

(f) lausekkeen 17 osalta SCC:t ovat Irlannin lain soveltamisalan piirissä

(g) lausekkeen 18 osalta riidat ratkaistaan Irlannin tuomioistuimissa ja

(h) mallisopimuslausekkeiden liitteet I ja II katsotaan täytetyiksi sopimuksessa mainituin tiedoin sekä tämän tietojenkäsittelysopimuksen liitteissä mainituin tiedoin.

9.3 FADP- tai nFADP-lain suojaamien siirtojen osalta sovelletaan mallisopimuslausekkeita edeltävän kohdan 9.2 mukaisesti seuraavia lukuun ottamatta: 

(a) kaikki mallisopimuslausekkeiden viittaukset GDPR-asetukseen tulee tulkita viittauksiksi FADP- tai nFADP-lakiin  

(b) kaikki viittaukset ”EU:hun”, ”unioniin” ja ”jäsenmaiden lakiin” tulee tulkita viittauksina Sveitsiin ja Sveitsin lakiin  

(c) kaikki viittaukset ”toimivaltaiseen valvovaan viranomaiseen” sekä ”toimivaltaisiin oikeusistuimiin” tulee tulkita viittauksina soveltuviin tietosuojaviranomaisiin ja oikeusistuimiin Sveitsissä, ellei edellä kuvatulla tavalla toimeenpantuja mallisopimuslausekkeita voida käyttää tällaisen asiakkaan henkilötietojen lailliseen siirtämiseen FADP- tai nFADP-lain mukaisesti, jossa tapauksessa Sveitsin mallisopimuslausekkeet otetaan osaksi tätä tietojenkäsittelysopimusta viittaamalla niihin, jolloin ne muodostavat sen erottamattoman osan, ja niitä sovelletaan tällaisiin siirtoihin. Sveitsin mallisopimuslausekkeiden tarkoituksissa tulee Sveitsin mallisopimuslausekkeiden oleelliset liitteet täyttää käyttäen tämän tietojenkäsittelysopimuksen liitteissä I ja II olevia tietoja (soveltuvin osin) ja soveltaa tässä kohdassa 9.3 mainittuja tulkintasääntöjä (soveltuvin osin ja siten, kuin FADP- tai nFADP-lain noudattaminen vaatii).

9.4 SurveyMonkey toimittaa kirjallisen pyynnön saatuaan sekä mallisopimuslausekkeiden tai Yhdistyneen kuningaskunnan lisäyksen (sovellettavin osin) mukaisesti kopiot niistä mallisopimuslausekkeista tai siitä Yhdistyneen kuningaskunnan lisäyksestä, minkä perusteella se on solminut sopimuksen tietojen tuojien kanssa roolissaan asiakkaan tietojen käsittelijänä.

10.1 Vahingonkorvausvastuu tietojen käsittelystä. Kunkin osapuolen kokonaisvastuu mistä tahansa vaatimuksesta, joko sopimuksellisesta, oikeudenloukkauksesta (laiminlyönnit mukaan lukien), lakisääteisen velvollisuuden rikkomuksesta tai muutoin liittyen tähän tietojenkäsittelysopimukseen tai siitä johtuen on kuten sopimuksessa on määrätty, elleivät osapuolet ole muuta kirjallisesti sopineet.

10.2 Ristiriidat. Jos on ristiriita tai epäselvyyttä (i) tämän tietojenkäsittelysopimuksen ehtojen ja sopimuksen ehtojen välillä liittyen tämän tietojenkäsittelysopimuksen sisältöön, tämän tietojenkäsittelysopimuksen ehdot ovat ensisijaiset, tai (ii) tässä tietojenkäsittelysopimuksessa olevien ehtojen tai säännösten ja mallisopimuslausekkeiden säännösten välillä, mallisopimuslausekkeiden säännökset ovat ensisijaiset.

10.3 Itsenäinen käsittely. Asiakas on yksin vastuussa sen tietosuojalainsäädännön noudattamisesta sellaisen henkilötietojen itsenäisen keräämisen ja käsittelyn osalta, joka ei liity palveluihin. Asiakkaan on asetettava saataville omat selkeät ja helposti huomattavat tietosuojailmoitukset, joissa kuvataan tarkasti se, miten tämä toteutetaan, eikä SurveyMonkey vastaa mistään asiakkaan suorittamasta henkilötietojen käsittelystä näissä olosuhteissa. Asiakas vapauttaa täten SurveyMonkeyn kaikesta korvausvelvollisuudesta ja vastuusta sellaisten vaatimusten osalta, jotka liittyvät tällaiseen henkilötietojen keräämiseen ja käyttöön näissä olosuhteissa.

10.4 Koko sopimus. Sopimus (sisältäen tämän tietojenkäsittelysopimuksen) ja mahdolliset tilauslomakkeet muodostavat osapuolten välillä voimassa olevan koko sopimuksen, ja se ohittaa ja ylittää kaikki muut aiemmat tai samanaikaiset sopimukset tai ehdot, jotka koskevat sen sisältöä, olivatpa nämä sitten kirjallisia tai suullisia. Kumpikin osapuoli vahvistaa, että se ei ole turvautunut mihinkään sopimuksessa kirjaamattomiin lupauksiin, jotka olisivat houkutelleet sitä solmimaan sopimuksen.

10.5 Erotettavuus. Jos sovellettavan oikeustoimialueen tuomioistuin katsoo jonkin tämän tietojenkäsittelysopimuksen kohdan toimeenpanokelvottomaksi, kyseinen kohta erotetaan muista ja jäljellä olevat kohdat pysyvät voimassa. Mitään tässä tietojenkäsittelysopimuksessa olevaa ei ole tarkoitettu siten, eikä mitään tule niin tulkita, että se muodostaisi minkään osapuolten välisen kumppanuus- tai yhteisyrityssuhteen tai valtuuttaisi minkään osapuolen sitoutumaan mihinkään toisen osapuolen puolesta paitsi siten kuin tässä on nimenomaisesti sovittu.

10.6 Elektroninen kopio. Tietojenkäsittelysopimus toimitetaan elektronisena asiakirjana.

10.7 Sovellettava laki. Tähän tietojenkäsittelysopimukseen sovelletaan Irlannin lakia, ja osapuolet alistuvat Irlannin oikeusistuimien yksinomaiseen toimivaltaan (kaikkien sopimuksellisten ja ei-sopimuksellisten riitojen osalta) paitsi nykyisten tai tulevien tietosuojalakien, ‑asetusten, ‑ohjeistusten tai itsesäätelyohjeiden väitettyjä rikkomuksia tai rikkomuksia koskevissa tapauksissa Amerikan Yhdysvaltojen osavaltio- tai liittovaltiotasolla, missä tapauksessa Kalifornian osavaltion lait ovat määrääviä, ellei laki muuta määrää.

SurveyMonkeyn toimeenpanemien teknisten ja organisatoristen turvatoimien kuvaus 

SurveyMonkey pitää yllä riittäviä hallinnollisia, fyysisiä ja teknisiä suojakeinoja (”turvallisuutta koskevat suojakeinot”) suojatakseen sille lähetettyjen henkilötietojen turvallisuutta, luottamuksellisuutta sekä eheyttä, joita se käyttää palveluiden tarjoamiseen asiakkaalle. 

Turvallisuutta koskevat suojakeinot sisältävät seuraavia: 

(a) Ala: tietoturvan järjestäminen.

(i) Turvallisuuden roolit ja vastuut. SurveyMonkeyn henkilöstö, jolla on pääsy tietoihin, noudattaa luottamuksellisuusvelvoitteita.

(ii) Riskinhallintaohjelma. SurveyMonkey suorittaa soveltuvissa tilanteissa riskinarvioinnin ennen tietojen käsittelyä.

(b) Ala: varainhoito.

(i) Varojen käsittely.

(1) SurveyMonkeylla on käytössään menettelytavat asiakkaan henkilötietoja sisältävien painotuotteiden hävittämiseksi.

(2) SurveyMonkey ylläpitää luetteloa kaikista asiakkaan tallennettuja tietoja sisältävistä laitteista.

(c) Ala: henkilöstöhallinnon turvallisuus.

(i) Turvallisuuskoulutus.

(1) SurveyMonkey ilmoittaa henkilöstölleen oleellisista turvatoimista sekä henkilöstön roolista niissä. SurveyMonkey ilmoittaa henkilöstölleen myös mahdollisista turvasääntöjen sekä menettelytapojen rikkomusten seuraamuksista.

(d) Ala: fyysinen ja ympäristön turvallisuus.

(i) Fyysinen pääsy tiloihin. SurveyMonkey rajoittaa pääsyä tiloihin, joissa asiakkaan tietoja käsittelevät tietojärjestelmät sijaitsevat, ja vain tunnistetut ja valtuutetut yksilöt voivat päästä sisään.

(ii) Häiriösuojaus. SurveyMonkey käyttää useita alan standardit täyttäviä järjestelmiä suojautuakseen tietojen menetyksiltä, jotka aiheutuvat virransyötön pettämisestä tai sähköverkon häiriöistä.

(iii) Komponenttien hävittäminen. SurveyMonkey käyttää alan standardit täyttäviä prosesseja poistaakseen asiakkaan tiedot, kun niitä ei enää tarvita.

(e) Ala: viestinnän ja liiketoiminnan hallinta. 

(i) Toimintapolitiikka. SurveyMonkey ylläpitää suojattua dokumentaatiota, jossa kuvataan sen turvatoimet sekä niihin liittyvät menettelyt ja sen henkilöstön vastuut, jolla on käyttöoikeus asiakkaan tietoihin. 

(ii) Tietojen palauttamismenettelyt.  

(1) SurveyMonkey luo varmuuskopioita asiakkaan tiedoista säännöllisesti ja jatkuvasti, jotta asiakkaan tiedot voidaan palauttaa ensisijaisen kopion menettämisen tapauksessa. 

(2) SurveyMonkey säilyttää kopioita asiakkaan tiedoista ja tietojen palautusmenettelyjä muualla kuin siellä, missä säilytetään pääasiallista asiakkaan tietojen käsittelyyn käytettävää tietokonelaitteistoa. 

(3) SurveyMonkeylla on käytössään määritellyt menettelyt, joilla hallitaan asiakkaan tietojen kopioiden käyttöä. 

(iii) Haittaohjelmistot. SurveyMonkeylla on käytössään haittaohjelmistojen torjuntaan tarkoitettuja hallintakeinoja, joilla vältetään haitallisten ohjelmistojen pääsy asiakkaan tietoihin, mukaan lukien julkisista verkoista saapuvat haittaohjelmistot.

(iv) Tiedot rajojen ulkopuolella.  

(1) SurveyMonkey salaa asiakkaan tiedot, joita lähetetään yleisissä verkoissa. 

(v) Tapahtumien kirjaaminen.

(1) SurveyMonkey kirjaa tietojenkäsittelyjärjestelmiensä käytöt. 

(2) SurveyMonkey kirjaa asiakkaan tietoja sisältävien järjestelmien käytöt ja niihin kirjautumiset merkiten ylös kirjautumistunnisteen, aikaleiman sekä tiettyjä oleellisia suoritettuja toimintoja.

(f) Ala: tietoturvaloukkausten hallinta.

(i) Loukkausten käsittelyprosessi. 

(1) SurveyMonkeylla on suunnitelma loukkausten käsittelyä varten.  

(2) SurveyMonkey ylläpitää tallennetta tietoturvaloukkauksista, mikä sisältää loukkauksen kuvauksen, ajanjakson, seuraukset, ilmoittajan ja ilmoituksen vastaanottajan nimet sekä mahdolliset korjaavat toimenpiteet.

(g) Ala: liiketoiminnan jatkuvuuden hallinta.

(i) SurveyMonkeyn vikasietoinen tallennus sekä menettelyt tietojen palauttamista varten on suunniteltu palauttamaan asiakkaan tiedot niiden alkuperäisessä tilassa katoamista tai tuhoutumista edeltävältä ajalta.   

(h) Kulunvalvonta käsittelyalueille.  Menettelyt asiakkaan henkilötietoja sisältävien tietojenkäsittelylaitteistojen (eli puhelinten, tietokantojen sekä sovelluspalvelimien ja niihin liittyvien laitteistojen) luvattoman käyttämisen estämiseksi ovat seuraavia: 

(i) turvallisten alueiden luominen 

(ii) pääsyreittien suojaaminen ja rajoittaminen

(iii) matkapuhelinten suojaaminen   

(iv) tietojenkäsittelylaitteistot ja henkilökohtaiset tietokoneet

(v) kaikki kulku palvelinkeskuksiin, joissa asiakkaan henkilötietoja säilytetään, kirjataan ylös ja sitä valvotaan ja seurataan  

(vi) palvelinkeskukset, joissa asiakkaan henkilötietoja säilytetään, turvataan hälytysjärjestelmällä sekä muilla sopivilla turvatoimenpiteillä  

(vii) tilat on suunniteltu kestämään haitallisia sääolosuhteita tai muita kohtuullisesti ennakoitavia luonnonolosuhteita, suojattu ympärivuorokautisella vartioinnilla, avainkortilla ja/tai biometrisillä tunnisteilla (riskin tasoon nähden soveltuvalla tasolla) sekä pääsyoikeudella vain saatettuna, ja sitä tukevat myös paikalla sijaitsevat varavoimageneraattorit sähkökatkon varalta.

(i) Tietojenkäsittelyjärjestelmien käyttöoikeuksien hallinta. Menettelyt tietojenkäsittelyjärjestelmien luvattoman käytön ehkäisemiseksi sisältävät seuraavia:  

(i) tietojenkäsittelyjärjestelmiin suuntautuvan toiminnan päätelaitteen ja/tai käyttäjän tunnistaminen 

(ii) automaattinen aikakatkaisu korkeintaan 30 minuutin kuluttua, jos päätelaite on käyttämättä, ja avaaminen edellyttää tunnistautumista ja salasanaa

(iii) tunnistekoodien myöntäminen ja suojaaminen  

(iv) salasanojen vahvuusvaatimukset (vähimmäispituus, vanheneminen jne.) 

(v) suojautuminen ulkoista käyttöä vastaan alan standardit täyttävällä palomuurilla.  

(j) Tietojenkäsittelyjärjestelmien tiettyjen osien käyttöoikeuksien hallinta. Toimenpiteet, joilla varmistetaan, että tietojenkäsittelyjärjestelmiä luvallisesti käyttävät henkilöt pääsevät käsiksi tietoihin ainoastaan käyttöoikeuksiaan (valtuutustaan) vastaavassa laajuudessa ja että asiakkaan henkilötietoja ei voida lukea, kopioida, muokata tai poistaa ilman valtuutusta, seuraavat mukaan lukien:

(i) sitovien henkilöstökäytäntöjen käyttöönotto sekä koulutuksen tarjoaminen, joka koskee kunkin henkilöstön jäsenen käyttöoikeuksia asiakkaan henkilötietoihin

(ii) toimivat ja harkitut kurinpidolliset toimenpiteet sellaisia henkilöitä vastaan, jotka käyttävät asiakkaan henkilötietoja ilman lupaa  

(iii) tietojen luovuttaminen vain valtuutetuille henkilöille  

(iv) pienimmän etuoikeuden periaatteen käyttäminen asiakkaan henkilötietoja sisältävien tietojen käytön osalta, joka perustuu salaisiin tietoihin liittyviin vaatimuksiin

(v) tuotantoverkon ja tietojen käytönhallinnan turvaaminen virtuaalisella erillisverkolla, vahvalla tunnistautumisella sekä rooliperustaisilla käyttöoikeuksien hallinnalla

(vi) sovellus- ja infrastruktuurijärjestelmät kirjaavat tietoja keskeisesti hallittuun kirjaamoon vianetsintää, turvallisuuskatsauksia sekä analyysiä varten  

(vii) menettelyt varmuuskopioiden säilytystä varten, jotka ovat sovellettavien lakien mukaisia ja sopivat kyseisiin tietoihin sekä vastaavaan riskitasoon.

(k) Lähetyksen hallinta. Menettelyt, joilla estetään asiakkaan henkilötietojen lukeminen, kopiointi, muuttaminen tai poistaminen valtuuttamattomien tahojen toimesta tietojen siirron tai tietovälineiden kuljetuksen aikana, ja sen varmistaminen, että on mahdollista tarkastaa ja määritellä kenelle asiakkaan henkilötietojen siirron on tarkoitus tapahtua tietojen siirtovälineiden avulla, mukaan lukien:

(i) palomuurien ja salaustekniikoiden käyttö niiden porttien ja väylien suojaamiseksi, joiden kautta tieto kulkee

(ii) virtuaalisen erillisverkon yhteydet, joilla suojataan yhteys yrityksen sisäiseen verkkoon

(iii) infrastruktuurin jatkuva valvonta (esim. ICMP-Ping verkon tasolla, levytilan tarkkailu järjestelmätasolla, määritettyjen testisivujen lähetyksen onnistuminen sovellustasolla) 

(iv) tiedonsiirron täydellisyyden ja eheyden valvonta (päästä päähän ‑tarkastus).

(l) Säilytyksen hallinta. Kun asiakkaan henkilötietoja säilytetään, ne varmuuskopioidaan salatussa muodossa osana määritettyä varmuuskopiointi- ja palautusprosessia käyttäen kaupallisesti tuettua salausratkaisua, ja samoin salataan myös kaikki asiakkaan henkilötiedoiksi määritellyt siirrettävällä tai kannettavalla tietokoneella tai kannettavalla säilytyslaitteella säilytetyt tiedot. Salausratkaisut ovat vähintään 128-bittisiin avaimiin perustuvia symmetrisessä salauksessa ja 1 024 -bittisiin (tai suurempiin) avaimiin perustuvia epäsymmetrisessä salauksessa.

(m) Syötteenhallinta. Toimenpiteet, joilla varmistetaan, että on mahdollista tarkastaa ja määritellä, onko asiakkaan henkilötietoja syötetty tietojenkäsittelyjärjestelmiin tai poistettu niistä, ja kuka sen on tehnyt, mukaan lukien:

(i) valtuutetun henkilöstön tunnistaminen

(ii) suojausmenettelyt muistiin syötetyille tiedoille sekä tallennettujen tietojen lukemiselle, muuttamiselle ja poistamiselle

(iii) käyttäjäkoodien (salasanojen) käyttö

(iv) syötteen valtuutuksen todisteet, jotka on määritetty tietojen tuojan organisaatiossa

(v) sen varmistaminen, että tietojen käsittelylaitoksiin (tietokoneet ja niihin liittyvät laitteet sisältäviin tiloihin) vievät kulkutiet on lukittu.

(n) Saatavuuden hallinta. Toimenpiteet, joilla varmistetaan, että asiakkaan henkilötiedot ovat turvassa tahattomalta tuhoutumiselta tai häviämiseltä, sisältäen infrastruktuurin päällekkäisyydet sekä säännölliset tietokantapalvelimien varmuuskopioinnit. 

(o) Käsittelyn erottelu. Menettelyt, joilla varmistetaan, että eri tarkoituksiin kerättyjä tietoja voidaan käsitellä erikseen, mukaan lukien:

(i) tietojen erottelu sovellusturvallisuuden avulla soveltuville käyttäjille

(ii) tietojen säilyttäminen tietokantatasolla eri taulukoissa, joita erottaa niiden tukema moduuli tai toiminto

(iii) liittymien, eräprosessien ja raporttien suunnittelu vain tiettyjä tarkoituksia ja toimintoja varten, jotta tiettyjä tarkoituksia varten kerättyjä tietoja käsitellään erillään

(iv) reaaliaikaisten tietojen testaustarkoituksiin käyttämisen estäminen, sillä vain testaustarkoituksiin luotuja valetietoja voidaan käyttää tähän.

(p) Haavoittuvuuksien hallintaohjelma. Ohjelma, jolla varmistetaan, että järjestelmät tarkastetaan säännöllisesti haavoittuvuuksien varalta ja että havaitut korjataan välittömästi, mukaan lukien:

(i) kaikki verkot, mukaan lukien testaus- ja tuotantoympäristöt, jotka tarkastetaan säännöllisesti  

(ii) tietosuojatestit, joita suoritetaan säännöllisesti, ja haavoittuvuudet korjataan viipymättä.

(q) Tietojen tuhoaminen. Jos sopimus raukeaa tai irtisanotaan kumman tahansa osapuolen toimesta tai muusta asiakkaan pyynnöstä, joka johtuu rekisteröidyn tai sääntelyelimen pyynnön vastaanottamisesta: 

(i) Kaikki asiakkaan tiedot tuhotaan turvallisesti kolmen kuukauden kuluessa.

(ii) kaikki asiakkaan tiedot poistetaan SurveyMonkeyn ja/tai kolmansien osapuolten kaikilta tallennuslaitteilta, mukaan lukien varmuuskopiot, kuuden kuukauden kuluessa irtisanomisesta tai asiakkaan pyynnön vastaanottamisesta, ellei laki vaadi SurveyMonkeya muuten säilyttämään jotain tietoluokkaa pidempään. SurveyMonkey varmistaa, että tiedot, joita ei enää tarvita, tuhotaan siten, että niitä ei varmasti voida enää palauttaa.

(r) Standardit ja sertifikaatit. Tietojen tallennusratkaisuilla ja/tai ‑sijainneilla on vähintään SOC 1 (SSAE 16) ‑sertifiointi tai SOC 2 ‑raportit – vastaavat tai samankaltaiset sertifikaatit tai turvatasot tarkastetaan tapauskohtaisesti.

Henkilötietojen käsittelyn tarkoitus ja luonne, henkilötietoluokat, rekisteröidyt henkilöt 

LIITTEET mallisopimuslausekkeisiin

LIITE I -

A. OSAPUOLET

MODUULI KAKSI: siirto rekisterinpitäjältä käsittelijälle

MODUULI KOLME: siirto käsittelijältä käsittelijälle

MODUULI NELJÄ: siirto käsittelijältä rekisterinpitäjälle

Tietojen viejä(t): kuten sopimuksessa mainittu

Yhteyshenkilön nimi, asema ja yhteystiedot: kuten sopimuksessa mainittu

Näiden lausekkeiden puitteissa siirrettyjä tietoja koskevat oleelliset toimet: kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu

Tietojen tuoja(t): kuten sopimuksessa mainittu

Nimi: kuten sopimuksessa mainittu

Yhteyshenkilön nimi, asema ja yhteystiedot: kuten sopimuksessa mainittu

Näiden lausekkeiden puitteissa siirrettyjä tietoja koskevat oleelliset toimet: kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu

B. SIIRRON KUVAUS

MODUULI KAKSI: siirto rekisterinpitäjältä käsittelijälle

MODUULI KOLME: siirto käsittelijältä käsittelijälle

MODUULI NELJÄ: siirto käsittelijältä rekisterinpitäjälle

Niiden rekisteröityjen luokat, joiden henkilötietoja siirretään: kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu

Siirrettyjen henkilötietojen luokat: kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu

Siirretyt arkaluonteiset tiedot (jos on) sekä sovelletut rajoitukset ja suojatoimet, joissa huomioidaan täysimääräisesti tietojen luonne sekä liittyvät riskit, kuten esimerkiksi tiukka tarkoitukseen perustuva rajoite, käytön rajoitteet (mukaan lukien käytön salliminen vain erikoiskoulutuksen suorittaneille henkilöille), tietojen käytön kirjaaminen, edelleen siirtämistä koskevat rajoitteet tai ylimääräiset turvatoimet: kuten tietojenkäsittelysopimuksen liitteissä 1 ja 2 mainittu

Siirtojen toistuvuus (esim. siirretäänkö tietoja kertaluonteisesti vai jatkuvasti): kertaluonteinen ja jatkuva (riippuen palveluiden käytöstä)

Käsittelyn luonne: kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu

Tietojen siirron ja jatkokäsittelyn tarkoitus (tarkoitukset): kuten tietojenkäsittelysopimuksen liitteessä 2 mainittu

Henkilötietojen säilytysaika tai, jos tämän ilmoittaminen ei ole mahdollista, ajan määrityksen kriteerit: kuten on nähtävissä sopimuksessa ja täällä

(Ali)käsittelijöille siirron osalta määritä myös käsittelyn aihe, luonne ja kesto: katso täältä.

C. TOIMIVALTAINEN VALVONTAVIRANOMAINEN

Ilmoita toimivaltainen valvontaviranomainen/‑viranomaiset lausekkeen 13 mukaisesti: Irlanti

LIITE II – TIETOJENKÄSITTELYSOPIMUKSEN LIITTEESSÄ 1 MAINITUT TEKNISET JA ORGANISATORISET TOIMENPITEET

LIITE III – LUETTELO ALIKÄSITTELIJÖISTÄ

MODUULI KAKSI: siirto rekisterinpitäjältä käsittelijälle

MODUULI KOLME: siirto käsittelijältä käsittelijälle

MODUULI NELJÄ: siirto käsittelijältä rekisterinpitäjälle. Asiakas on valtuuttanut seuraavien alikäsittelijöiden käytön: katso täältä.

YHDISTYNEEN KUNINGASKUNNAN LISÄYS 

1. UK GDPR:n alaisten tietojen siirtojen osalta osapuolet hyväksyvät täten Yhdistyneen kuningaskunnan lisäyksen (jonka kopio on saatavilla täältä), ja kyseinen lisäys otetaan osaksi tätä sopimusta siihen viittaamalla. UK GDPR:n alaisten tietojen siirtojen osalta tulee kaikki viittaukset ”toimivaltaiseen valvontaviranomaiseen” sekä ”toimivaltaisiin oikeusistuimiin” tulkita viittauksiksi Yhdistyneen kuningaskunnan soveltuvaan tietosuojaviranomaiseen sekä soveltuviin oikeusistuimiin. 

2. Osapuolet sopivat, että Yhdistyneen kuningaskunnan lisäyksen osassa 1 olevien taulukoiden muoto ja sisältö korvataan seuraavalla taulukolla.

3. Jos tämän sopimuksen ja Yhdistyneen kuningaskunnan lisäyksen välillä on ristiriitoja tai epäjohdonmukaisuuksia, lisäys katsotaan määrääväksi, ja sitä sovelletaan ensin tällaisen ristiriidan tai epäjohdonmukaisuuden tapauksessa.