Sopimuksen tarkoitus
Tätä Sopimusta sovelletaan Huhtala Logistics konsernin Asiakkaiden ja Yhteistyökumppaneiden liikesuhteissa. Tätä Sopimusta on voitu tarkentaa tai siitä on voitu poiketa Osapuolten välisellä pääsopimuksella tai sen liitteillä, mutta muilta osin henkilötietojen käsittelyssä noudatetaan ensisijaisesti tätä Sopimusta. Huhtala Logistics konserni käsittelee henkilötietoja Asiakkaidensa puolesta ja näiden lukuun tämän Sopimuksen tai tätä Sopimusta tarkentavien osien mukaan.
Määritelmät
Sopimuksen määritelmillä on samankaltainen merkitys, kuin Tietosuojasäännöksissä yleensä on tarkoitettu poiketen niiden mahdollisista muista merkityksistä muissa säännöksissä. Erityinen huomio on kiinnitettävä siihen, että myös epäsuorasti luonnolliseen henkilöön liitettävä tieto voi olla henkilötietoa ja käsittelyyn sisältyy myös pelkkä tiedon säilyttäminen tai sen saataville asettaminen.
Ellei tässä Sopimuksessa ole nimenomaisesti toisin määrätty tai asiayhteydestä muuta ilmene, tässä Sopimuksessa seuraavilla määritelmillä on alla oleva merkityssisältö:
”Rekisterinpitäjä” tarkoittaa Tietosuojasäännöksissä tarkoitettua rekisterinpitäjää, joka on vastuussa Tietosuojasäännösten mukaisille rekisteröidyille henkilötietojen käsittelyn lainmukaisuudesta ja joka määrittelee käsittelyn tarkoituksen ja keinot;
”Käsittelijä” tarkoittaa Tietosuojasäännöksissä tarkoitettua henkilötietojen käsittelijää, joka käsittelee henkilötietoja Rekisterinpitäjän puolesta ja lukuun sovittujen palveluiden tuottamiseksi;
”Tietosuojasäännökset” tarkoittaa Euroopan Unionin yleistä tietosuoja-asetusta (2016/679), tietosuojalakia (2018/1050), sähköisen viestinnän tietosuojalakia (2014/917) ja muuta sovellettavaa Euroopan Unionin tai kansallista tietosuojalainsäädäntöä mukaan lukien Europan tietosuojaneuvoston ja valvontaviranomaisten antamat ohjeet.
Henkilötietojen käsittelyn luonne ja tarkoitus
Henkilötietojen käsittelyn tarkoituksena on tuottaa Rekisterinpitäjälle logistiikkapalveluita sekä näihin liittyvää asiakaspalvelua ja muita tarvittavia tukitoimintoja (myöhemmin Palveluita). Käsittelijä ei saa käsitellä henkilötietoja muihin tarkoituksiin. Käsittelijällä on mahdollisuus vaikuttaa oman toimintansa puitteissa käsittelyn tapoihin ja keinoihin, mutta kaikki päätökset koskien käsittelyn tarkoituksia tai olennaisia keinoja on varattu Rekisterinpitäjälle. Tällaisia keinoja ovat esimerkiksi päättäminen siitä, mitä henkilötietoja käsitellään, miten pitkään ja kenellä on pääsy henkilötietoihin.
Mikäli Käsittelijä tekee itsenäisesti edellä mainittuja päätöksiä, tekee se itsestään Tietosuojasäännösten tarkoittaman rekisterinpitäjän ja vastaa täysin itsenäisesti rekisterinpitäjälle asetetuista vastuista ja velvoitteista kustannuksineen ja korvausvelvoitteineen. Henkilötietojen omistajuus tai tekijänoikeudet eivät vaikuta näiden vastuiden jakautumiseen.
Käsittelyn kohde; rekisteröidyt
Rekisteröityjä voivat olla ketkä tahansa Palveluita käyttävät organisaatiot, heidän asiakkaansa tai henkilöstönsä.
Rekisteröityjä ovat myös Palveluihin osallistuvat palvelutuottajat ja toimittajat mukaan lukien esimerkiksi kuljetusliikkeet ja kuljettajat.
Rekisteröitynä voi olla myös suoraan kuluttaja-asiakas, joka jonkin tilauksen tai toimituksen yhteydessä on Palvelun tilaajan roolissa.
Käsittelyn kohde; käsiteltävät henkilötietoryhmät
Palveluiden tuottamiseksi tarvittavat tiedot. Tyypillisesti tällaisia henkilötietoja ovat lähettäjän ja vastaanottajan nimi, osoite, yritys, puhelinnumero, sähköpostiosoite, laskutustiedot ja muut vastaavat tiedot.
Kuljetusten osalta käsitellään kuljettajien tunnuksia, henkilönumeroita, ajoneuvojen tietoja, sijaintitietoja ja rekisterinumeroita. Kuljettajien osalta myös työajan tai ajoajan seurantaan liittyviä tietoja käsitellään. Kuljetusten reitit, lastaus- ja purkupaikat ovat myös kuljettajiin ja toimituksiin liitettäviä tietoja.
Toimituksissa käsitellään toimitus- ja rahtiasiakirjoja, joista selviää, osapuolitietoja, tilattuja tuotteita, niiden määriä ja laatua ja erilaisia tuotekoodeja.
Arkaluonteisia tai erityisiä tietoryhmiä ei palveluiden tuottamisen kannalta ole tarpeen käsitellä. Tilausten lisätietoihin voi kuitenkin tallentua mitä tahansa osapuolten ilmoittamia toimitusten tekemiseksi tai sen tukemiseksi tarvittavia tietoja. Esimerkiksi vastaanottajien sijaisia ja heidän kuvauksiaan ja yhteystietojaan, rakennusten kuvauksia, ovikoodeja tai paikallaoloaikoja. Näitä tietoja ei saa käsitellä pidempään kuin palvelun onnistuneen toimituksen tekemiseksi ja sen varmentamiseksi on tarpeen.
Kaikkia edellä mainittuja tietoja ei käsitellä säännönmukaisesti aina ja kaikissa palvelutyypeissä. Muutokset edellisiin on sovittava osapuolten välillä kirjallisesti.
Rekisterinpitäjän vastuut
Rekisterinpitäjä sitoutuu huolehtimaan Tietosuojasäännösten mukaisista rekisterinpitäjän velvollisuuksista.
Jos henkilötietojen käsittely perustuu rekisteröidyn suostumukseen, on Rekisterinpitäjän pystyttävä tarvittaessa osoittamaan suostumuksen saaminen paitsi silloin, kun sen hankkiminen on palveluketjussa käsittelijän vastuulla. Rekisterinpitäjä säilyttää suostumukset ja myös suostumusten peruttamiseen liittyvät pyynnöt. Myös henkilötietojen säilyttämiseen, poistamiseen ja käsittelyn rajoittamiseen tai vastustamiseen liittyvien pyyntöjen säilyttäminen on Rekisterinpitäjän vastuulla.
Rekisterinpitäjä vastaa omalla kustannuksellaan yhteydenpidosta rekisteröityjen ja valvontaviranomaisen suuntaan, sekä vastaa omalla kustannuksellaan rekisteröityjen oikeuksien käyttöpyynnöistä ja niihin vastaamisesta.
Rekisterinpitäjän vastuulla on kuvata henkilötietovirrat ja suorittaa katsoessaan tarpeelliseksi tietosuojan vaikutustenarviointi ja tietosuojariskiarviot koko käsittelyketjun osalta, sekä ohjeistaa Käsittelijä henkilötietojen käsittelystä tarpeelliseksi katsomassaan laajuudessa. Jos henkilötietojen käsittelyyn liittyy olennaisia riskejä, Rekisterinpitäjä saattaa ne Käsittelijän tietoon ja ohjeistaa niiltä suojautumiseen liittyvät tekniset ja organisatoriset tietoturvamenettelyt.
Rekisterinpitäjä vastaa henkilöstönsä kouluttamisesta ja asianmukaisten salassapitosopimusten tekemisestä tai salassapitovelvoitteen olemassaolosta henkilöstön kanssa.
Rekisterinpitäjän vastuulla on koostaa rekisteröidylle 13. Ja 14. artiklan mukaiset tiedot käsittelystä ja ohjeistaa niiden toimittaminen palveluketjussa. Samoin tieto käsittelyn tarkoituksen muuttumisesta (15. artikla).
Rekisterinpitäjä vastaa 30. artiklan tarkoittamien käsittelytoimiselosteiden ylläpitämisestä osaltaan.
Rekisterinpitäjä sitoutuu siihen, että mikäli Rekisterinpitäjä haluaa henkilötietoja käsiteltävän Tietosuojasäännöksiä sekä tässä Sopimuksessa kuvattua tiukemmin, menettelyn kustannuksista vastaa Rekisterinpitäjä.
Käsittelijän vastuut
Henkilötietojen Käsittelijä ei hoida yhteydenpitoa rekisteröityjen suuntaan, elleivät Rekisterinpitäjän ohjeet sitä edellytä. Jos edellyttää, jakautuvat käsittelyn kustannukset Osapuolten sopimalla tavalla.
Käsittelijä käsittelee henkilötietoja Tietosuojasäännösten, tämän Sopimuksen ja Rekisterinpitäjän mahdollisesti antamien tarkentavien kirjallisten ohjeiden mukaisesti.
Henkilötietojen Käsittelijän vastuulla on kuvata omalta osaltaan henkilötietovirrat ja suorittaa tietosuojan vaikutustenarviointi ja tietosuojariskiarviot. Käsittelijä vastaa omalla kustannuksellaan 30. artiklan tarkoittamien käsittelytoimien selosteiden ylläpitämisestä osaltaan.
Käsittelijä auttaa mahdollisuuksiensa mukaan Rekisterinpitäjää varmistamaan, että Tietosuoja-asetuksen 32-36 artiklassa säädettyjä Rekisterinpitäjän velvollisuuksia noudatetaan, ottaen huomioon käsittelyn luonteen ja Käsittelijän saatavilla olevat tiedot.
Henkilötietojen Käsittelijä vastaa henkilöstönsä riittävästä kouluttamisesta Tietosuojasäännösten ja Rekisterinpitäjän ohjeiden mukaan sekä asianmukaisten salassapitosopimusten tekemisestä tai salassapitovelvoitteen olemassaolosta henkilötietoja käsittelevän henkilöstön kanssa.
Käsittelijä käsittelee henkilötietoja huolehtien asianmukaisesta turvallisuustasosta, ilmoittaa kaikista henkilötietojen tietoturvaloukkauksista kirjallisesti Rekisterinpitäjälle ilman aiheetonta viivytystä, sekä avustaa Rekisterinpitäjää tarvittaessa tämän pyynnöstä tietosuojaa koskevien vaikutustenarviointien ja ennakkokuulemisen valmistelussa.
Tietoturvaloukkauksissa tiedotteen on sisällettävä:
- Kuvaus tietoturvaloukkauksesta
- Mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät
- Kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
- Kuvattava toimenpiteet, jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi
- Yhteyspiste tai lisätietojen toimittaja, jos se poikkeaa tämän Sopimuksen yhteyshenkilöstä
Edellä mainittujen tietojen puuttuminen ei saa viivästyttää ilmoitusta. Jos kaikki edellä mainitut tiedot eivät ole saatavilla, ensimmäinen ilmoitus tehdään vaillinaisin tiedoin ja täydennetään ilmoitusta myöhemmin.
Henkilötietojen Käsittelijä saa käyttää ulkopuolista henkilötietojen käsittelijää ilman Rekisterinpitäjän erillistä kirjallista suostumusta. Tällaisessa tapauksessa tässä sopimuksessa mainittu Käsittelijä vastaa omalla kustannuksellaan ulkopuolisen käsittelijän ohjeistamisesta ja Rekisterinpitäjän ohjeiden muutoksista tiedottamisesta eteenpäin sekä vastaa ulkopuolisen käsittelijän toiminnasta kuten omastaan Rekisterinpitäjään nähden. Myös rekisteröityjen oikeuksien käyttöpyyntöjen välitys eteenpäin käsittelyketjussa on Käsittelijän vastuulla. Käsittelijä ei saa laajentaa Rekisterinpitäjän Käsittelijälle antamia valtuuksia enempää kuin käsittelyohjeissa on määritelty.
Henkilötietojen Käsittelijän on tiedotettava viipymättä Rekisterinpitäjää henkilötietojen luovutuksista, siirroista, siirron kohteesta sekä siirron tarkoituksesta, aina kun se poikkeaa aiemmin sovitusta toimintamallista. Käsittelijä tai Käsittelijän käyttämä ulkopuolinen henkilötietojen käsittelijä ei siirrä henkilötietoja EU:n tai ETA-alueen ulkopuolelle ilman Rekisterinpitäjän etukäteistä kirjallista suostumusta taikka nimenomaista ohjeistusta. Jos siirto tapahtuu Käsittelijästä johtuvasta syystä, vastaa Käsittelijä siirron lainmukaisuudesta, siirtomekanismien valinnasta, lisäsuojakeinoista ja niiden käyttöönotosta ja kuvaamisesta omalla kustannuksellaan.
Mikäli Rekisterinpitäjä ei hyväksy uutta käsittelijää tai siirtoa, Osapuolet neuvottelevat vaihtoehtoisen ratkaisun löytämiseksi. Mikäli Rekisterinpitäjän hyväksymää ratkaisua ei löydy, oikeuttaa se purkamaan Sopimuksen Rekisterinpitäjän ilmoittamalla tavalla ja ajassa. Jos Käsittelijällä ei ole mahdollisuutta tuottaa palvelua ilman kyseistä käsittelijää tai siirtoa, ei sillä ole velvollisuutta tuottaa korvaavaa palvelua.
Henkilötietojen Käsittelijä vastaa omalla kustannuksellaan yhteistyöstä valvontaviranomaisen suuntaan, mikäli valvontaviranomainen sitä Käsittelijältä pyytää. Käsittelijä ilmoittaa Rekisterinpitäjälle viivytyksettä tietosuojaviranomaisten tai muiden viranomaisten Käsittelijälle esittämistä tiedusteluista ja kysymyksistä koskien sovitun mukaista henkilötietojen käsittelyä.
Käsittelyn päätyttyä Käsittelijä on omalla kustannuksellaan velvollinen poistamaan Rekisterinpitäjän lukuun käsittelemänsä henkilötiedot. Käsittelijällä on oikeus säilyttää henkilötiedot niiltä osin ja siten kuin lait ja asetukset määräävät, huomioiden esim. sopimukset tai kirjanpidon vaatimukset.
Käsittelijä ilmoittaa Rekisterinpitäjälle viivytyksettä, jos Käsittelijä katsoo, että Rekisterinpitäjän ohjeistukset tai käytännöt rikkovat Tietosuojasäännöksiä.
Käsittelijä vastaa Tietosuojasäännösten ja Rekisterinpitäjän ohjeiden mukaisista riskiarvioista ja tietoturva- ja tietosuojatoimien kustannuksista. Rekisterinpitäjän pyytäessä näitä laajempia turvallisuustoimia Käsittelijä on oikeutettu veloittamaan Rekisterinpitäjää siitä aiheutuvista kustannuksista ilmoittamalla kustannusten synnystä kirjallisesti etukäteen.
Osapuolten yhteiset vastuut
Molemmilla Osapuolilla on myötävaikutusvelvollisuus henkilötietojen käsittelyn osalta sen lainmukaisuuden ja sovittujen palveluiden toteuttamiseksi. Molemmat Osapuolet vastaavat siitä, että toimivat lakien ja asetusten mukaan myös niiltä osin, kun tässä Sopimuksessa ei ole määritelty.
Auditointioikeus
Mikäli Rekisterinpitäjä katsoo tarpeelliseksi suorittaa Tietosuojasäännöksissä tarkoitetun auditoinnin tai arvioinnin henkilötietojen käsittelyn sekä käsittelyä suojaavien teknisten ja organisatoristen toimenpiteiden todentamiseksi, auditointiajankohta sovitaan yhdessä Rekisterinpitäjän ja Käsittelijän välillä, ellei pakottavasta viranomaispäätöksestä muuta johdu. Rekisterinpitäjällä on oikeus käyttää tarkastukseen esittämäänsä ulkopuolista kolmatta osapuolta. Tarkastava taho ei kuitenkaan saa olla Käsittelijän kilpailija ja Käsittelijällä on oikeus perustellusta syystä hylätä esitetty ulkopuolinen tarkastaja.
Auditointi suoritetaan Käsittelijän tai sen alihankkijan normaalin toimistoajan puitteissa eikä se saa haitata Käsittelijän normaalia toimintaa. Osapuolet käyvät läpi suoritetun auditoinnin ja sopivat yhdessä noudatettavista toimintatavoista sekä niiden kustannusvaikutuksista, joilla toteutetaan auditoinnin perusteella mahdollisesti ehdotetut muutokset. Molemmat osapuolet vastaavat auditointien ja tarkastusten osalta omista kustannuksistaan. Kustannusvastuu mahdollisesta ulkoisesta auditoijasta on auditoinnin vaatimuksen esittäjällä, ellei Käsittelijän toimissa havaita tietosuoja-asetuksen tai tämän Sopimuksen vaatimuksista johtuvia puutteita, jolloin Käsittelijä vastaa kustannuksista.
Vahingonkorvaus
Vahingonkorvausvastuu ei ulotu välillisiin vahinkoihin, joita ovat esimerkiksi mainehaitta tai ennakoidun myynnin vähentyminen. Kumpikin Osapuoli vastaa sille tietosuojaan liittyvien lakien nojalla määrätyistä hallinnollisista sakoista tai välittömistä vahingoista, jotka johtuvat esimerkiksi käsittelykiellosta. Mikäli Rekisterinpitäjä joutuu maksamaan hallinnollisia sakkoja tai vahingonkorvauksia rekisteröidyille ja maksuvelvollisuus johtuu Käsittelijän Tietosuojasäännösten, Rekisterinpitäjän ohjeiden tai sopimusten rikkomisesta, laiminlyönnistä, tahallisuudesta tai tuottamuksellisuudesta, on Käsittelijä velvollinen korvaamaan Rekisterinpitäjälle näin aiheutuneet välittömät vahingot täysimääräisesti mahdollisista muista vastuunrajoituksista riippumatta.
Muutokset
Henkilötietojen käsittelyyn liittyen sovelletaan ensisijaisesti tätä Sopimusta. Muutoksista tähän Sopimukseen sovitaan kirjallisesti.
Voimassaolo
Tämä Sopimus tulee voimaan, kun Osapuolet sopivat yhteistyön aloittamisesta ja päättyy, kun henkilötietojen käsittely on lakannut. Tätä Sopimusta tai sen liitteitä ei saa luovuttaa kolmannelle osapuolelle ilman Osapuolten kirjallista suostumusta.
Tietosuojasäännösten, Rekisterinpitäjän ohjeiden ja tämän sopimuksen rikkominen oikeuttaa purkamaan yhteistyön Rekisterinpitäjän ilmoittamalla tavalla ja ajassa. Sopimuksen purkautumisen jälkeen päättyvät myös kustannusvastuut.