ZEF - GDPR-liite

(Henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite; luotu yleisten IT 2022 sopimusehtojen pohjalta)

1   SOPIMUKSEN KOHDE

Alla mainitut Asiakas ja Toimittaja ovat tehneet tässä sovituin ehdoin sopimuksen siitä, että Toimittaja käsittelee henkilötietoja Asiakkaan lukuun tämän sopimuksen perusteella. Asiakas on rekisterinpitäjä ja Toimittaja on henkilötietojen käsittelijä. Tähän sopimukseen sovelletaan IT2022 EHK erityisehtoja henkilötietojen käsittelystä sekä IT2022 YSE yleisiä sopimusehtoja. Tämän sopimusliitteen hyväksyminen ja noudattaminen ovat edellytyksiä Zeffi-ohjelmistopalvelun käyttämiselle.

2   SOPIJAPUOLET 

Asiakas: Asiakas on taho, joka on hankkinut Toimittajalta lisenssin Ohjelmistopalvelun (Zeffi) käyttöön ja hyväksynyt tämän ZEF - GDPR-liitteen ja ZEF - Käyttöehdot

Toimittaja: ZEF Oy (Y-tunnus: 0640379-1). Toimittajan osoite: Elektroniikkatie 6, 90590 Oulu.

3   HENKILÖTIETOJEN KÄSITTELYN LUONNE JA TARKOITUS

Käsiteltävien henkilötietojen luonne ja tarkoitus on määritelty seuraavasti:

Toimittaja käsittelee Asiakkaan henkilötietoja kahden ryhmän osalta: 1) Kyselyiden laatijat, joiden tiedot on tuotu Asiakkaan hallinnoimaan Zeffi-organisaatioon ja 2) kyselyiden vastaajat, joiden tiedot Asiakas on tuonut vastaajien kutsumiseksi tai jotka vastaajat ovat itse luovuttaneet Ohjelmistopalveluun kyselyvastauksina.

Asiakkaan ohjeistus Toimittajalle on henkilötietojen käsittely ainoastaan pääsopimuksen mukaisen Ohjelmistopalvelun tuottamiseksi tätä GDPR-liitettä noudattaen. Asiakas on Zeffi-organisaatiossaan olevien tietojen osalta rekisterinpitäjä ja omistaa siinä olevat tiedot. Toimittajan henkilöstö käsittelee tietoja vain asiakaspalvelutarkoituksessa, esimerkiksi tukipyyntöihin vastattaessa, jolloin tietoja käsitellään ainoastaan tukipyynnön edellyttämässä laajuudessa.

4   HENKILÖTIETOJEN TYYPPI JA REKISTERÖITYJEN RYHMÄT 

4.1 Kyselyiden laatijoiden osalta käsiteltäviä henkilötietoja voivat olla:

- sähköposti

- nimi (valinnainen)

- puhelinnumero (valinnainen)

- sosiaalisen median tilit (valinnainen)

- kirjautumisessa käytetty IP-osoite (säilytetään rajoitetun ajan teknisen tuen tarpeisiin)

- luottokortti- ja laskutustiedot (mikäli henkilö näkyy asiakkuuden laskutuskontaktihenkilönä)

4.2 Kyselyiden vastaajien osalta käsiteltäviä henkilötietoja voivat olla (Asiakkaan määriteltävissä):

- nimi, sähköpostiosoite, kotiosoite, puhelinnumero ja muut yhteystiedot

- ikä ja syntymäaika,

- työsuhdetiedot, koulutus ja pätevyys,

- muut Asiakkaan määrittämät, vastaajan tiettyyn kyselyyn antamat henkilötiedot

Asiakas voi myös päättää tehdä kyselyn siten, ettei vastaajilta kerätä henkilötietoja. Tällöin yllä listattuja henkilötietoja ei kerätä eikä käsitellä.

5   SOVELTUVAT TIETOTURVATOIMENPITEET

Tietoturvasta on sovittu sopimuksen liitteenä olevien IT2022-sopimusehtojen mukaisesti.

Varmuuskopiointi: Asiakkaan käytössä syntyvä data säilytetään sopimuskauden aikana Toimittajan palvelimella. Asiakkaalla on lisenssinsä puitteissa kirjautuneena käyttäjänä pääsy viimeisimpään sisältöön ja lisäksi aiempia kyselyversioita säilytetään 30 päivän ajan varmuuskopioarkistossa.

 6   HINNAT

Henkilötietojen käsittelyyn ei liity erillisiä aikaperusteisia korvauksia lisenssihinnoittelun päälle. Mahdollisista työsuoritteista Toimittajalla on IT2022 EHK -ehtojen kohdan 3.4 mukainen oikeus laskuttaa  kohtuulliset korvaukset voimassa olevan hinnastonsa mukaan.

7 ASIAKKAAN YKSITYISKOHTAISEMMAT VELVOLLISUUDET REKISTERINPITÄJÄNÄ

Asiakkaan yksityiskohtaisemmat velvollisuudet rekisterinpitäjänä on määritelty seuraavasti:

7.1 Asiakkaan tulee nimetä Zeffi-organisaatiolleen Omistaja, joka vastaa on Zeffi-organisaation pääsyoikeuksien ajantasaisuudesta. Omistajan tulee peruuttaa sellaisten käyttäjien pääsyoikeudet, joilla ei ole enää oikeutta käyttää Ohjelmistopalvelua.

7.2 Asiakas vastaa IT2022 EHK -ehtojen kohdan 3.3 mukaisesti osaltaan Toimittajalle siirrettyjen tietojen tietosuojalainsäädännön mukaisesta käsittelystä.

8   HENKILÖTIETOJEN KÄSITTELYN KOHDE JA KESTO

Henkilötietojen käsittelyn kohde ja kesto on määritelty seuraavasti:

8.1 Asiakas määrittää rekisterinpitäjänä käsittelyn kohteen ja keston Zeffi-organisaatiossaan.

8.2 Asiakkaan tulee henkilötietojen käsittelyn kohteen ja keston osalta huolehtia sopimuksen kohdan 7.2 mukaisesti käsittelyn tietosuojalainsäädännön mukaisuudesta.

8.3 Toimittajan rooli tietojen käsittelijänä rajoittuu tietojen teknisluonteiseen käsittelyyn Ohjelmistopalvelun tarjoajana Asiakkaan ohjeistuksen mukaisesti.

8.4 Lisäksi Toimittajan henkilöstö tarjoaa Asiakkaalle teknistä tukipalvelua, minkä yhteydessä voidaan käsitellä asiakkaan Zeffi-organisaation tietoja tukipyynnön edellyttämässä laajuudessa. 

9 HENKILÖTIETOJEN SIJAINTI

9.1 Kyselyvastaajien osalta mitään henkilötietoja ei siirretä EU:n/ETA-alueen ulkopuolelle.

9.2 Kyselyn laatijoiden henkilötietoja voidaan EU:n/ETA-alueen lisäksi käsitellä myös US-alueella. Tiedonsiirto tapahtuu Euroopan komission mallisopimuslausekkeiden mukaisesti. 

9.3 Käsittelijän yksityiskohtaisemmat velvollisuudet henkilötietojen siirrossa EU:n/ETA-alueen ulkopuolelle on määritelty seuraavasti: Toimittaja rajoittaa tiedonsiirrot niin vähäisiksi, kuin Ohjelmistopalvelun tarjoamisen kannalta on tarpeellista. Ohjelmistopalvelun kannalta välttämättömiä tietoja ovat kirjautumisen ja autentikoinnin yhteydessä käsiteltävät sähköposti- ja IP-osoite sekä laskutustiedot. 

10 HENKILÖTIETOJEN ALIKÄSITTELIJÄT

Palvelun käyttö edellyttää, että Asiakas hyväksyy seuraavat henkilötietojen alikäsittelijät:

11 KORVAUSVELVOLLISUUS JA VASTUUNRAJOITUKSET

Henkilötietojen käsittelystä aiheutuva vahingonkorvausvelvollisuus ja vastuunrajoitukset on määritelty IT2022 EHK erityisehtojen kohdassa 9.

12 MUUT EHDOT

12.1 Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilötietojen käsittelyyn osallistuvat henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus ja lisäksi, että henkilötietoja käsitellään ainoastaan tämän Sopimusliitteen, Sopimuksen ja Asiakkaan ohjeiden mukaisesti.

12.2 Toimittaja avustaa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä Asiakasta täyttämään rekisteröityjen oikeuksien käyttämistä koskevat velvollisuutensa, sekä ilmoittamaan Asiakkaalle mahdollisesti saamistaan rekisteröityjen pyynnöistä. 

12.3 Toimittaja avustaa Asiakasta mahdollisissa Ohjelmistopalvelun tietosuojaa koskevissa vaikutustenarvioinneissa, tietoturvaloukkausilmoituksissa sekä viranomaiselle tehtävissä ennakkokuulemispyynnöissä. 

12.4 Tämä ZEF - GDPR-liite astuu voimaan 28.6.2023 ja on voimassa toistaiseksi.

13 SOPIMUKSEN LIITTEET JA PÄTEMISJÄRJESTYS

13.1 Tämä ZEF - GDPR-liite on erottamaton osa Asiakkaan ja Toimittajan välistä sopimusta. ZEF - Käyttöehdot ovat ensisijaiset suhteessa tähän ZEF - GDPR-liitteeseen.

13.2 Tähän ZEF - GDPR-liitteeseen kuuluvat erottamattomasti seuraavat liitteet (vapaasti tutustuttavissa www-osoitteessa: it-ehdot.fi/tutustu-ehtoihin)  

  1. IT2022 EHK - Erityisehtoja henkilötietojen käsittelystä
  2. IT2022 YSE - Yleiset sopimusehdot