Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (GDPR) 28 artiklan 3 kohdan mukaisesti henkilötietojen käsittelijän toiminnan sääntelyn tarkoituksessa tämä tietojenkäsittelysopimus (Overeenkomst inzake gegevensverwerking) on liite Shine-alustan ja tilaajan välisiin palveluehtoihin.
Overeenkomst inzake gegevensverwerking katsotaan rekisterinpitäjän allekirjoittamaksi, kun hän allekirjoittaa palveluehdot.
"Tietojenkäsittelijä" tarkoittaa Shine-alustaa sellaisena kuin se on määritelty palveluehdoissa, eli Shine-konserniin kuuluvaa yritystä, jonka kanssa asiakas on tehnyt palveluehdot.
"Rekisterinpitäjä" tarkoittaa Shine-alustan asiakasta.
Tämän asiakirjan nykyinen versio on voimassa 2025-11-26 alkaen. Aiemmat versiot ovat nähtävissä täällä.
Käyttämällä palveluita ja mitä tahansa saatavilla olevia lisätoimintoja tai integraatioita alustaan liittyen (jäljempänä "Palvelut"), tietojenkäsittelijä on vastuussa henkilötietojen käsittelystä alustalla.
Tietojenkäsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti ja tietojenkäsittelijän henkilötietokäytännön mukaisesti, edellyttäen että tällainen käytäntö ei ole ristiriidassa rekisterinpitäjän ohjeiden kanssa tämän sopimuksen tai GDPR:n nojalla.
Tämän tietojenkäsittelysopimuksen osapuolet tekevät sen, jotta molemmat osapuolet noudattaisivat kansallista tietosuojalainsäädäntöä, mukaan lukien GDPR, sekä yksityiselämän ja luonnollisten henkilöiden perusoikeuksien suojelua. Tietojenkäsittelysopimus hahmottelee ohjeet, joiden perusteella tietojenkäsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta.
Tietojenkäsittelysopimuksessa käytetään kansallisessa tietosuojalainsäädännössä ja GDPR:ssä mainittuja määritelmiä.
Rekisterinpitäjä on vastuussa siitä, että henkilötietojen käsittely tapahtuu GDPR:n 24 artiklan ja kansallisten tietosuojasääntöjen mukaisesti.
Rekisterinpitäjällä on oikeus ja velvollisuus tehdä päätöksiä henkilötietojen käsittelyn tarkoituksesta ja teknisistä välineistä. Lisäksi rekisterinpitäjä on vastuussa siitä, että käsittelylle ja siirrolle on laillinen perusta, jonka tietojenkäsittelijä on ohjeistettu suorittamaan.
Rekisterinpitäjänä heidän on täytettävä kaikki tiedonantovelvoitteet rekisteröityjä kohtaan heidän henkilötietojensa käsittelystä, sekä annettava asiaankuuluvat takuut suhteessa kaikkiin teknisiin ja turvallisuusmääräyksiin rekisteröityjen henkilötietojen suojaamiseksi.
Käyttämällä alustaa rekisterinpitäjä on yksin vastuussa liitteessä A määriteltyjen henkilötietojen toimittamisesta ja käsittelyn rajoittamisesta sen ulkopuolelle, mukaan lukien GDPR:n 9 artiklassa mainitut erityiset henkilötietojen luokat.
Rekisterinpitäjä antaa tietojenkäsittelijälle nimenomaisen suostumuksen toimia tilitietopalvelun tarjoajana (AISP) sovellettavan kansallisen lainsäädännön mukaisesti, joka panee täytäntöön maksupalveluista sisämarkkinoilla annetun direktiivin (EU) 2015/2366 (PSD2).
Tämä suostumus on tietojenkäsittelijälle välttämätön, jotta se voi käyttää ja käsitellä rekisterinpitäjän maksutileiltä haettuja henkilötietoja, ainoastaan pyydettyjen palveluiden, kuten tilikoonnin, tapahtumahistorian ja taloudellisten automaatiotoimintojen tarjoamiseksi.
Rekisterinpitäjä voi peruuttaa tämän suostumuksen milloin tahansa. Tällaisen peruuttamisen yhteydessä siihen liittyvät tilitietopalvelut lopetetaan automaattisesti, ja tietojenkäsittelijä lopettaa kaikki siihen liittyvät käsittelytoimet, ellei sovellettava laki muuten salli tai vaadi.
Tietojenkäsittelijän on varmistettava, että pääsy tilitietoihin on rajoitettu siihen, mikä on ehdottoman välttämätöntä pyydetyn palvelun suorittamiseksi, ja että kaikki käsittely suoritetaan GDPR:n ja asiaankuuluvien kansallisten maksujärjestelyjen mukaisesti.
Tietojenkäsittelijä saa käsitellä henkilötietoja ainoastaan rekisterinpitäjän dokumentoitujen ohjeiden perusteella ja käsittelee niitä rekisterinpitäjän puolesta. Rekisterinpitäjä ohjeistaa tietojenkäsittelijää käsittelemään henkilötietoja i) sovellettavan lainsäädännön mukaisesti, ii) täyttääkseen velvoitteensa, jotka on mainittu rekisterinpitäjän ja tietojenkäsittelijän välisessä sopimuksessa, ja iii) kuten tässä sopimuksessa on kuvattu.
Tietojenkäsittelijä on vastuussa rekisterinpitäjän ilmoittamisesta, jos ohje on tietojenkäsittelijän mielestä GDPR:n tai kansallisen tietosuojalainsäädännön vastainen.
Mikäli tietojenkäsittelijä arvioi, että rekisterinpitäjän ohje on laiton tai sovellettavan lainsäädännön vastainen, tietojenkäsittelijä on velvollinen ilmoittamaan asiasta rekisterinpitäjälle, jonka on korjattava ohje ajoissa. Jos rekisterinpitäjä ei pysty korjaamaan ohjetta, tietojenkäsittelijällä on oikeus lopettaa osapuolten välinen palvelusopimus.
Tietojenkäsittelijä avustaa rekisterinpitäjää asianmukaisten teknisten ja turvatoimien toteuttamisessa, ottaen huomioon käsittelyn luonteen ja henkilötietojen luokan.
Lisäksi tietojenkäsittelijä avustaa rekisterinpitäjää rekisteröityjen oikeuksien käyttöä koskevissa pyynnöissä GDPR:n mukaisesti. Tietojenkäsittelijä ei vastaa näihin pyyntöihin, ellei rekisterinpitäjä ole valtuuttanut häntä siihen.
Rekisterinpitäjän pyynnöstä, joka koskee tietoja tai apua rekisterinpitäjän turvatoimien tai yleisesti henkilötietojen käsittelyn suhteen, ja jos tällainen pyyntö ylittää sen, mikä on tarpeen sovellettavan tietosuojalainsäädännön mukaan, tietojenkäsittelijällä on oikeus vaatia maksuja tällaisista lisäpalveluista.
Tietojenkäsittelijä varmistaa luottamuksellisuuden henkilötietojen käsittelyssä, mukaan lukien rekisterinpitäjän työntekijät. Tämä pätee myös tietojenkäsittelysopimuksen päättymisen jälkeen.
Tietojenkäsittelijä ei ole vastuussa mistään epäsuorista, satunnaisista, erityisistä, seurannaisista tai rangaistusluonteisista vahingoista, mukaan lukien voittojen, tulojen tai tietojen menetys, vaikka olisi ilmoitettu tällaisten vahinkojen mahdollisuudesta. Tietojenkäsittelijän kokonaisvastuu, joka johtuu tästä sopimuksesta tai liittyy siihen, olipa kyseessä sopimus, vahingonkorvaus tai muu, rajoitetaan rekisterinpitäjän tietojenkäsittelijälle maksamaan kokonaismäärään palveluehtojen mukaisesti kahdentoista (12) kuukauden aikana ennen vahingonkorvausvaatimuksen syntyä. Tämä rajoitus on voimassa riippumatta vaatimusten lukumäärästä tai luonteesta ja riippumatta kanteen syystä, paitsi jos tietojenkäsittelijän tahallinen väärinkäytös tai törkeä huolimattomuus on todistettu toimivaltaisessa tuomioistuimessa.
Tietojenkäsittelijän on täytettävä GDPR:n 28 artiklan 2 ja 4 kohdassa mainitut ehdot voidakseen käyttää toista tietojenkäsittelijää (alikäsittelijöitä).
Tietojenkäsittelijä käyttää alikäsittelijöitä, mukaan lukien Shine-konsernin sisäisiä yksiköitä ja kolmannen osapuolen tarjoajia EU:n/ETA:n sisä- tai ulkopuolella, palveluidensa toimittamiseksi.
Tietojenkäsittelijällä on tietojenkäsittelysopimukset kaikkien alikäsittelijöiden kanssa, ja tyhjentävä luettelo näistä löytyy liitteestä B. Tietojenkäsittelijä varmistaa, että kaikki alikäsittelijät noudattavat vastaavaa velvoitetta ja vaatimuksia tässä tietojenkäsittelysopimuksessa ja tietosuojalainsäädännössä.
Tämän sopimuksen katsotaan olevan rekisterinpitäjän yleinen kirjallinen valtuutus alikäsittelijöiden käyttöön GDPR:n 28 artiklan 2 kohdan mukaisesti.
Tietojenkäsittelijä siirtää tietoja kumppaneille osana rekisterinpitäjälle tarjottua palvelua. Hyväksymällä palvelusopimuksen ehdot rekisterinpitäjälle ilmoitetaan, että tietojenkäsittelijän kumppanit saavat henkilötiedot voidakseen tarjota tarjouksen rekisterinpitäjän palvelupyyntöön.
Kun henkilötietoja siirretään EU:n/ETA:n ulkopuolelle, tietojenkäsittelijä varmistaa, että tällaiset siirrot suoritetaan GDPR:n V luvun mukaisesti ja että riittävä suojelun taso taataan.
Tietojenkäsittelijä voi tukeutua useisiin GDPR:n mukaisiin laillisiin siirtomekanismeihin, mukaan lukien, mutta ei rajoittuen:
Euroopan komission riittävyyspäätöksiin,
EU:n komission vakiosopimuslausekkeisiin (SCC),
sitoviin yrityssääntöihin (BCR), jos sovellettavissa, tai
muihin asianmukaisiin suojatoimiin, jotka on mainittu GDPR:n 46 artiklassa.
Tarvittaessa tietojenkäsittelijä toteuttaa täydentäviä teknisiä, organisatorisia ja sopimuksellisia toimenpiteitä varmistaakseen, että siirretyt henkilötiedot saavat suojan tason, joka vastaa olennaisesti EU:ssa/ETA:ssa taattua tasoa.
Jos tietojenkäsittelijä vaihtaa alikäsittelijöitä, rekisterinpitäjälle ilmoitetaan asiasta, ja hänellä on oikeus vastustaa tällaista alikäsittelijöiden vaihtoa, jos uusi alikäsittelijä ei käsittele henkilötietoja sovellettavan tietosuojalainsäädännön mukaisesti. Jos rekisterinpitäjä vastustaa uuden alikäsittelijän käyttöä kohtuullisin ja dokumentoiduin tietosuojasyin, osapuolet aloittavat vilpittömässä mielessä neuvottelut asian ratkaisemiseksi. Jos ratkaisua ei saavuteta kolmenkymmenen (30) päivän kuluessa, tietojenkäsittelijä pidättää oikeuden jatkaa alikäsittelijän käyttöä, ellei rekisterinpitäjä päätä irtisanoa vastalauseen kohteena olevaa palvelua. Irtisanominen ei johda tietojenkäsittelijän osalta mihinkään korvauksiin, vahingonkorvauksiin tai vastuuseen.
Tietojenkäsittelijä on vastuussa alikäsittelijöiden vaatimisesta noudattamaan tietojenkäsittelijän velvoitteita, jotka on mainittu tässä tietojenkäsittelysopimuksessa sekä GDPR:ssä.
Kohtuullisen pyynnön perusteella tietojenkäsittelijä toimittaa rekisterinpitäjälle asiaankuuluvat tiedot, jotka osoittavat, että alikäsittelijöihin sovelletaan vastaavia tietosuojavelvoitteita, mukaan lukien yhteenveto tai ote alikäsittelysopimusten tietosuojalausekkeista, jos se on tarpeen vaatimustenmukaisuuden osoittamiseksi. Täysiä kopioita alikäsittelysopimuksista ei vaadita, ellei sovellettava laki tai valvontaviranomainen sitä edellytä.
Jos jokin alikäsittelijöistä rikkoo tietosuojasääntöjä, tietojenkäsittelijä on täysin vastuussa siitä, että alikäsittelijä täyttää velvoitteensa rekisterinpitäjää kohtaan.
Rekisterinpitäjä tunnustaa ja hyväksyy, että tietojenkäsittelijä voi sallia muiden Shine-konsernin yksiköiden, mukaan lukien tytäryhtiöt, emoyhtiöt ja sisaryhtiöt, pääsyn tässä sopimuksessa käsiteltyihin henkilötietoihin siinä määrin kuin se on tarpeen palveluiden suorittamisen, ylläpidon, turvallisuuden ja parantamisen kannalta.
Nämä konserniyksiköt voivat toimia EU:ssa/ETA:ssa tai sen ulkopuolella. Tällaisissa tapauksissa tietojenkäsittelijä varmistaa, että kaikki tiedonsiirrot ovat GDPR:n V luvun mukaisia ja että asianmukaiset suojatoimet ovat käytössä. Luettelo asiaankuuluvista konserniyksiköistä ja niiden rooleista voidaan antaa rekisterinpitäjälle pyynnöstä.
Konserniyksiköiden pääsyä ei pidetä uusien alikäsittelijöiden käyttönä, joka vaatisi erillisen ilmoituksen.
Tietojenkäsittelijä saa myöntää pääsyn rekisterinpitäjän puolesta käsiteltäviin henkilötietoihin ainoastaan tietojenkäsittelijän alaisuudessa oleville henkilöille, jotka ovat sitoutuneet luottamuksellisuuteen.
Rekisterinpitäjän pyynnöstä tietojenkäsittelijän on osoitettava asianomaisten henkilöiden luottamuksellisuustoimenpiteet.
Rekisterinpitäjä on vastuussa yleisten turvallisuusvaatimusten määrittelystä, ja tietojenkäsittelijä toteuttaa toimenpiteet sen mukaisesti.
Tietojenkäsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet GDPR:n 32 artiklan mukaisesti ottaen huomioon tekniikan tason, toteutuskustannukset ja käsittelytoimiin liittyvät erityiset riskit, joita se suorittaa rekisterinpitäjän puolesta.
Dokumentoidun pyynnön perusteella tietojenkäsittelijä avustaa rekisterinpitäjää, tässä sopimuksessa tarkoitettujen käsittelytoimien puitteissa ja kohtuullisessa määrin, 32 artiklan mukaisten velvoitteiden noudattamisen varmistamisessa.
Tietojenkäsittelijä siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle ainoastaan rekisterinpitäjän dokumentoitujen ohjeiden perusteella ja aina GDPR:n V luvun mukaisesti.
Tietojenkäsittelijä voi suorittaa tällaisia siirtoja, kun se on vaadittu unionin tai jäsenvaltion lainsäädännön nojalla, jota tietojenkäsittelijään sovelletaan. Tällaisissa tapauksissa tietojenkäsittelijä ilmoittaa rekisterinpitäjälle oikeudellisesta vaatimuksesta ennen käsittelyä, ellei tällainen ilmoittaminen ole kielletty yleisen edun syistä sovellettavan lain nojalla.
Tietojenkäsittelijä ylläpitää dokumentaatiota rekisterinpitäjän ohjeista seuraavissa tilanteissa:
Rekisterinpitäjä tunnustaa ja hyväksyy tämän sopimuksen allekirjoittamalla tietojenkäsittelijän alikäsittelijöiden käytön kolmansissa maissa, kuten liitteessä B on lueteltu. Tietojenkäsittelijä varmistaa, että kaikki tällaiset siirrot perustuvat pätevään siirtomekanismiin GDPR:n V luvun mukaisesti, joka voi sisältää:
Tarvittaessa tietojenkäsittelijä toteuttaa täydentäviä teknisiä, organisatorisia tai sopimuksellisia toimenpiteitä varmistaakseen, että henkilötietojen suojan taso on olennaisesti vastaava kuin EU:ssa/ETA:ssa, sovellettavien oikeudellisten ohjeiden (esim. EDPB:n suositukset ja kansallisten sääntelijöiden odotukset) mukaisesti.
Tietojenkäsittelijä ei ole vastuussa siirroista, jotka on suoritettu rekisterinpitäjän ohjeiden ja GDPR:n V luvun vaatimusten mukaisesti, ellei tietojenkäsittelijä ole laiminlyönyt sovittujen suojatoimien toteuttamista. Kaikki velvoitteet, jotka liittyvät kohdemaan oikeudellisen kehyksen arviointiin tai siirron vaikutusarvioinnin (TIA) suorittamiseen, koordinoidaan yhdessä osapuolten toimesta, rekisterinpitäjän kantaessa ensisijaisen vastuun päätöksestä jatkaa.
Tietojenkäsittelijä on tehnyt kirjalliset tietojenkäsittelysopimukset kaikkien alikäsittelijöiden kanssa ja on varmistanut, että kaikki asiaankuuluvat suojatoimet ja sopimusvelvoitteet ovat olemassa, jotta varmistetaan sovellettavan tietosuojalainsäädännön noudattaminen tietojen siirtojen yhteydessä EU:n/ETA:n ulkopuolelle.
Tietojenkäsittelijä avustaa rekisterinpitäjää kohtuullisessa määrin ja ottaen huomioon käsittelyn luonteen ja käsittelijän saatavilla olevat tiedot, rekisterinpitäjän velvoitteiden täyttämisessä sovellettavan tietosuojalainsäädännön, mukaan lukien GDPR ja asiaankuuluva kansallinen lainsäädäntö Ranskassa, Saksassa, Alankomaissa ja Tanskassa.
Tällainen avustaminen voi sisältää, rekisterinpitäjän kirjallisen ja dokumentoidun pyynnön perusteella:
Tietojenkäsittelijä ei vastaa suoraan rekisteröidyille eikä kommunikoi valvontaviranomaisen kanssa, ellei rekisterinpitäjä ole nimenomaisesti kirjallisesti ohjeistanut häntä siihen. Kaikesta avusta, joka ylittää sen, mitä GDPR:n 28 artikla ehdottomasti edellyttää, voidaan periä lisäkorvaus, josta osapuolet sopivat.
Tietojenkäsittelijä ilmoittaa rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan tietää henkilötietojen tietoturvaloukkauksesta, joka koskee tässä sopimuksessa käsiteltyjä henkilötietoja.
Ilmoituksen tulee sisältää, siinä määrin kuin tiedetään tuolloin, asiaankuuluvat tiedot, jotka auttavat rekisterinpitäjää täyttämään velvoitteensa GDPR:n 33 artiklan ja, soveltuvin osin, 34 artiklan mukaisesti.
Tietojenkäsittelijä antaa kohtuullista yhteistyötä ja apua rekisterinpitäjälle loukkauksen tutkinnassa ja lieventämisessä sekä vaadittujen ilmoitusten valmistelussa valvontaviranomaisille tai rekisteröidyille, ottaen huomioon käsittelyn luonteen ja tietojenkäsittelijän saatavilla olevat tiedot.
Jos loukkaus todennäköisesti johtaa korkeaan riskiin luonnollisten henkilöiden oikeuksille ja vapauksille, tietojenkäsittelijä avustaa rekisterinpitäjää valmistelemaan kaiken viestinnän asianomaisille rekisteröidyille, kuten sovellettava tietosuojalainsäädäntö edellyttää.
Palvelun päätyttyä, joka sisältää henkilötietojen käsittelyn, tietojenkäsittelijä on velvollinen poistamaan kaikki rekisterinpitäjän puolesta käsitellyt henkilötiedot ja vahvistamaan rekisterinpitäjälle, että henkilötiedot on poistettu.
Edellä mainittu ei päde, jos EU- tai kansallinen lainsäädäntö vaatii henkilötietojen säilyttämistä palvelun päätyttyä. Lisäksi edellä mainittu ei päde henkilötietoihin, joita tietojenkäsittelijä käsittelee rekisterinpitäjänä osapuolten välisessä asiakassuhteessa. Tämä sisältää säilytyksen erityislainsäädännön, mukaan lukien Tanskan kirjanpitolainsäädännön, mukaisesti.
Tietojenkäsittelijä toimittaa rekisterinpitäjälle pyynnöstä tiedot, jotka ovat ehdottoman välttämättömiä osoittamaan tässä sopimuksessa ja sovellettavassa tietosuojalainsäädännössä, mukaan lukien GDPR, asetettujen velvoitteiden noudattamisen.
Tietojenkäsittelijä myöntää myös pääsyn toimivaltaisille valvontaviranomaisille tiloihinsa tai dokumentaatioonsa, kun sitä edellytetään sovellettavan lain nojalla.
Tietojenkäsittelijä pidättää oikeuden muuttaa tätä Overeenkomst inzake gegevensverwerking:ta milloin tahansa. Rekisterinpitäjälle ilmoitetaan tällaisista muutoksista sähköpostitse tai alustan kautta.
Lukuun ottamatta muutoksia, jotka liittyvät Overeenkomst inzake gegevensverwerking:n liitteessä B säädeltyihin alikäsittelijöihin, muutokset tähän Overeenkomst inzake gegevensverwerking:han sovelletaan rekisterinpitäjään, vaikka hänen sitoutumisensa olisi tapahtunut ennen muutoksia, viisitoista (15) päivää sen jälkeen, kun ilmoitus on annettu.
Jos muutokset haittaavat olennaisesti rekisterinpitäjää eivätkä ole vaadittuja sovellettavilla laeilla, määräyksillä, direktiiveillä, ohjeilla tai Euroopan tietosuojaviranomaisen päätöksillä tai tuomioistuimen päätöksellä, rekisterinpitäjä voi vastustaa kirjallisesti viidentoista (15) päivän kuluessa ilmoituksen saamisesta ja esittää perusteet vastustukselleen.
Jos osapuolet eivät pääse sopimukseen kolmenkymmenen (30) päivän kuluessa rekisterinpitäjän vastalauseen vastaanottamisesta, rekisterinpitäjä voi irtisanoa kyseisen palvelun ilman seuraamuksia lähettämällä kirjallisen ilmoituksen tietojenkäsittelijälle.
Kaikki palvelun jatkuva käyttö ilmoituksen jälkeen katsotaan rekisterinpitäjän hyväksynnäksi päivitetylle Overeenkomst inzake gegevensverwerking:lle.
Osapuolet voivat sopia muista ehdoista, jotka koskevat tietojenkäsittelijän rekisterinpitäjälle tarjoamaa palvelua, edellyttäen, että tällaiset ehdot eivät suoraan tai epäsuorasti ole ristiriidassa tämän tietojenkäsittelysopimuksen säännösten kanssa henkilötietojen käsittelystä tai muulla tavalla heikennä tietosuojalainsäädännössä määriteltyjä rekisteröityjen perusoikeuksia.
Tämän tietojenkäsittelysopimuksen ehdot tulevat voimaan osapuolten välisten palveluehtojen allekirjoituspäivänä.
Tietojenkäsittelysopimus on voimassa palvelusopimuksen keston ajan. Tänä aikana sopimusta ei voi irtisanoa kumpikaan osapuoli, ellei palvelusopimusta irtisanota samanaikaisesti. Palvelusopimuksen irtisanominen voi tapahtua palvelusopimuksen irtisanomista koskevan määräyksen mukaisesti.
Tätä sopimusta sääntelee Tanskan laki, ja kaikki riidat ovat Tanskan lainkäyttövallan alaisia.
A.1. Rekisteröityjen luokat
A.2. Henkilötietojen luokat
Tietojenkäsittelijä ei käsittele erityisiä henkilötietojen luokkia, ellei rekisterinpitäjä ole nimenomaisesti ohjeistanut sitä siihen. Mikäli erityisten henkilötietojen luokkien käsittely ei olisi luonnollinen osa edellä mainittuja luokkia, rekisterinpitäjää kehotetaan anonymisoimaan tiedot ennen pääsyn antamista tietojenkäsittelijälle tässä sopimuksessa mainitulla tavalla.
A.3. Henkilötietojen käsittelyn tarkoitukset
Tässä sopimuksessa kuvatut käsittelyn tarkoitukset toteutetaan johdonmukaisesti kaikissa maissa, joissa käsittelijä toimii. Tietyt käsittelytoimet voidaan kuitenkin suorittaa vain niissä lainkäyttöalueissa, joissa vastaavat palvelut tai tekniset valmiudet ovat saatavilla.
Käsittelyn luonne sisältää keräämisen, tallentamisen, jäsentelyn, haun, käytön, analysoinnin, siirtämisen kautta tapahtuvan paljastamisen, poistamisen ja tuhoamisen. Henkilötietoja käsitellään asiakassuhteen ajan, kunnes rekisterinpitäjä tai tietojenkäsittelijä irtisanoo palveluehdot. Palveluehtojen päättymisen jälkeen henkilötietoja säilytetään tietojenkäsittelijän säilytysajan mukaisesti.
In addition to the Shine Group companies, the Data Processor have the following sub-processors that processes data on behalf of the Data Controller:
C.1 – Käsittelyn luonne ja tarkoitus Tietojenkäsittelijä käsittelee henkilötietoja yksinomaan rekisterinpitäjän dokumentoitujen ohjeiden perusteella, kuten alla on määritelty tai erikseen kirjallisesti ilmoitettu ja molempien osapuolten hyväksymä.
Tietojenkäsittelijän suorittamat käsittelytoimet sisältävät:
Rekisterinpitäjä on yksin vastuussa käsittelytoimien oikeusperustan määrittämisestä, mukaan lukien GDPR:n 6 ja 9 artiklan nojalla. Kaikki tämän soveltamisalan ulkopuoliset käsittelyt on suoritettava rekisterinpitäjän erillisen dokumentoidun ohjeen mukaisesti.
C.2 – Tietojen ja rekisteröityjen luokat
Henkilötietojen ja rekisteröityjen luokat on kuvattu yksityiskohtaisesti liitteessä A.
Erityisiä tietoluokkia (GDPR:n 9 artikla) ei saa käsitellä, ellei rekisterinpitäjä ole nimenomaisesti ja virallisesti valtuuttanut sitä siihen. Rekisterinpitäjää kehotetaan anonymisoimaan tai pseudonymisoimaan tällaiset tiedot aina kun mahdollista.
C.3 – Turvatoimet
Tietojenkäsittelijän on toteutettava, ylläpidettävä ja tarvittaessa mukautettava asianmukaisia teknisiä ja organisatorisia toimenpiteitä varmistaakseen riskille sopivan turvallisuustason GDPR:n 32 artiklan mukaisesti.
Näissä toimenpiteissä otetaan huomioon tekniikan taso, toteutuskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä henkilötietojen vahingossa tai laittoman tuhoamisen, menetyksen, muuttamisen, luvattoman paljastamisen tai pääsyn riskit.
Tietojenkäsittelijä varmistaa erityisesti, että:
Edellä mainittujen velvoitteiden estämättä, yksityiskohdat toteutetuista erityisistä turvatoimista voidaan toimittaa erikseen pyynnöstä, sovellettavien luottamuksellisuusrajoitusten mukaisesti.
C.4 – Tietojen säilyttäminen ja poistaminen
Tietojenkäsittelijä poistaa tai palauttaa henkilötiedot sopimussuhteen päätyttyä rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, ellei unionin tai jäsenvaltion lainsäädäntö muuten vaadi, erityisesti kirjanpito- tai verotustarkoituksiin.
C.5 – Alikäsittelijät
Tietojenkäsittelijällä on rekisterinpitäjän yleinen valtuutus käyttää liitteessä B lueteltuja alikäsittelijöitä.
Tietojenkäsittelijä voi myös käyttää muita alikäsittelijöitä, edellyttäen että se ilmoittaa siitä rekisterinpitäjälle etukäteen kohtuullisen ajan kuluessa ennen muutoksen toteuttamista.
Rekisterinpitäjä voi esittää perustellun kirjallisen vastalauseen kolmenkymmenen (30) päivän kuluessa ilmoituksesta, yksinomaan henkilötietojen suojeluun liittyvillä laillisilla ja dokumentoiduilla perusteilla. Jos vastalausetta ei vastaanoteta, muutos katsotaan hyväksytyksi.
Oikeutetun vastalauseen tapauksessa osapuolet sopivat tekevänsä vilpittömässä mielessä yhteistyötä löytääkseen molemminpuolisesti hyväksyttävän ratkaisun. Jos ratkaisua ei löydy kohtuullisessa ajassa, tietojenkäsittelijä pidättää oikeuden jatkaa nimetyn alikäsittelijän kanssa, jolloin rekisterinpitäjä voi irtisanoa vain kyseiset palvelut, ilman korvausvelvollisuutta tai vastuuta tietojenkäsittelijälle.
C.6 – Tietojen siirrot ETA:n ulkopuolelle
Tietojenkäsittelijä käsittelee tietoja Euroopan talousalueella (ETA) ja hänen valtuuttamansa alikäsittelijät liitteessä B mainitulla tavalla.
Henkilötietojen siirtoja ETA:n ulkopuolelle voi tapahtua kansainvälisten palveluntarjoajien käytön yhteydessä. Rekisterinpitäjä valtuuttaa nimenomaisesti tällaiset siirrot, edellyttäen että tietojenkäsittelijä noudattaa GDPR:n V lukua ja toteuttaa asianmukaiset suojatoimet, kuten:
C.7 – Yhteistyö ja noudattamisohjeet
Tietojenkäsittelijä sitoutuu:
Tietojenkäsittelijä ei kommunikoi suoraan rekisteröityjen tai valvontaviranomaisten kanssa ilman rekisterinpitäjän nimenomaisia kirjallisia ohjeita.
Kaikesta avusta, joka ylittää sen, mitä GDPR:n 28 artikla ehdottomasti edellyttää, voidaan periä lisäkorvaus, josta osapuolet sopivat.
C.8 – Pääsy ja tarkastus
Rekisterinpitäjän pyynnöstä ja jos on uskottavia todisteita noudattamatta jättämisestä, tietojenkäsittelijä sallii ja osallistuu näiden lausekkeiden kattamien käsittelytoimien tarkastuksiin. Tällainen tarkastus voidaan suorittaa kerran kalenterivuodessa, edellyttäen kuusikymmentä (60) päivän kirjallista ennakkoilmoitusta tietojenkäsittelijälle.
Tarkastus on suoritettava tavalla, joka säilyttää tietojenkäsittelijän dokumentaation ja menettelyjen turvallisuuden ja luottamuksellisuuden. Se ei saa ylittää yhtä (1) työpäivää ja sen on tapahduttava normaaleina työaikoina tietojenkäsittelijän tiloissa.
Rekisterinpitäjä voi päättää suorittaa tarkastuksen itse tai nimittää riippumattoman tarkastajan, josta molemmat osapuolet sopivat keskenään ja joka on sidottu luottamuksellisuusvelvoitteeseen. Tietojenkäsittelijä voi hylätä ehdotetun tarkastajan, jos on olemassa selkeä eturistiriita tai riittämätön pätevyys.
Vastoin mitään toisin määrättyä, rekisterinpitäjä kantaa kaikki tällaisen tarkastuksen seurauksena syntyvät kustannukset ja/tai kulut.