DATA PROCESSING ADDENDUM

BAS-IP / TIETOJEN KÄSITTELYÄ KOSKEVA LISÄYS

Viimeksi päivitetty: [10.12.2025]

Tämä tietokäsittelyliite (jäljempänä ’DPA’) solmitaan sinun (jäljempänä ’Asiakas’, ’sinä’, ’sinun’) ja BAS-IP DISTRIBUTION LTD:n (jäljempänä ’Yhtiö’, ’BAS-IP’, ’me’, ’meidät’ tai ’meidän’) välillä, joita kutsutaan tästä eteenpäin yksilöllisesti ’osapuoleksi’ tai yhdessä nimellä ’Juhlat. Tämä DPA täydentää osapuolten välisiä ehtoja (tästä eteenpäin ’sopimus’).

Tämä DPA säätelee henkilökohtaisten tietojen käsittelyä, joita Asiakas toimittaa BAS-IP:lle BAS-IP:n tuotteiden ja palveluiden (yhdessä ’Palvelut’) käytön yhteydessä, sekä kaikkia henkilötietoja, joita BAS-IP saa Palvelun suorittamisen aikana Asiakkaalle.

Ellei tässä DPA:ssa toisin määritetä, kaikki tässä DPA:ssa käytetyt isolla kirjaimilla merkityt merkitykset ovat sopimuksessa määriteltyjä. Tämä DPA pysyy voimassa, kunnes sopimus päättyy sinun ja meidän välillä, joka koskee palveluiden käyttöäsi. Mikäli tämän DPA:n ja sopimuksen välillä ilmenee ristiriita, henkilötietojen käsittelyn osalta sovelletaan tämän DPA:n määräyksiä.

1. Määritelmät

Tämän DPA:n tarkoituksiin sovelletaan seuraavia määritelmiä:

”Asiakastiedot” tarkoittavat kaikkia henkilökohtaisia tietoja, joita asiakas lataa, välittää tai muuten toimittaa BAS-IP:lle palveluiden yhteydessä, sekä kaikkia henkilötietoja, joita BAS-IP käsittelee palveluiden suorittamisen aikana.

”Tietosuojalait” tarkoittavat kaikkia sovellettavia lakeja ja säädöksiä, jotka liittyvät asiakastietojen käsittelyyn, mukaan lukien Euroopan unionin, Euroopan talousalueen ja sen jäsenvaltioiden, Yhdistyneen kuningaskunnan, säädökset, kuten:

EU:n yleinen tietosuojaasetus (EU GDPR);
Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen (GDPR);
tietosuojalaki 2018;
Data (Use and Access) Act 2025 (DUAA);
mahdolliset muut sovellettavat tietosuojalait ja säädökset, siltä osin kuin ne koskevat osapuolia ja tämän DP:n käsittelytoimia.

”Tietojen siirtomekanismi” tarkoittaa mitä tahansa laillisesti tunnustettua mekanismia, välinettä tai kehystä, joka sallii asiakastietojen siirron yhdestä lainkäyttöalueesta toiseen sovellettavien tietosuojalakien mukaisesti, mukaan lukien rajoituksetta, EU:n standardisopimuslausekkeet ja Yhdistyneen kuningaskunnan lisäys.

“EU:n SCC:t” tarkoittaa EU:n vakiosopimuslausekkeita asiakastietojen siirrosta kolmansille maille Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 mukaisesti, joka on hyväksytty Euroopan komission toimeenpanopäätöksellä (EU) 2021/914 4. kesäkuuta 2021, kuten tällä hetkellä on esitetty https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

”Yleinen tietosuojaasetus (GDPR)” tarkoittaa Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 27. huhtikuuta 2016, joka koskee luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä ja tiedon vapaata liikkuvuutta sekä direktiivin 95/46/EY kumoamista.

”Kansainvälinen tietojen siirto” tarkoittaa mitä tahansa asiakastietojen siirtoa maasta, jossa tiedot kerätään, maahan kyseisen lainkäyttöalueen ulkopuolelle, jossa sovellettavat tietosuojalait edellyttävät asianmukaisia turvatoimia tällaiselle siirrolle.

”Julkinen viranomainen” tarkoittaa valtion virastoa tai lainvalvontaviranomaista, mukaan lukien oikeudelliset viranomaiset.

”Arkaluontoiset asiakastiedot” tarkoittavat asiakastietoja, jotka paljastavat rotu- tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset uskomukset, ammattiliittojäsenyyden, geneettisen datan tai biometriset tiedot luonnollisen henkilön yksinomaisen tunnistamisen tarkoituksena, terveyteen, seksuaalielämään tai seksuaaliseen suuntautumiseen liittyviä tietoja, tai rikostuomioihin ja rikoksiin liittyviä tietoja.

”Palvelut” tarkoittavat Yhtiön Asiakkaalle tarjoamia palveluja.

”Valvontaviranomainen” tarkoittaa riippumatonta julkista viranomaista, joka vastaa tietosuojalainsäädännön soveltamisen valvonnasta.

”Tekniset ja organisatoriset turvallisuustoimenpiteet” tarkoittavat toimenpiteitä, joiden tarkoituksena on suojata henkilötietoja tahattomalta tuhoutumiselta, tahattomalta katoamiselta, muutoksilta, luvattomalta paljastamiselta tai pääsyltä, erityisesti silloin, kun käsittely sisältää datan siirtoa verkon kautta, sekä kaikkia muita laittomia käsittelymuotoja vastaan.

”Yhdistyneen kuningaskunnan GDPR” tarkoittaa EU:n yleisen tietosuojaasetuksen säilytettyä versiota osana Yhdistyneen kuningaskunnan lainsäädäntöä, yhdessä mahdollisten muutosten kanssa, joita on tehnyt tietosuojalaki 2018 ja muu soveltuva Iso-Britannian lainsäädäntö, joka säätelee henkilötietojen käsittelyä.

”Yhdistyneen kuningaskunnan lisäys” tarkoittaa kansainvälistä tiedonsiirtolisäystä EU:n standardisopimuslausekkeisiin, jonka on antanut rajoitettuja siirtoja tehneiden osapuolten tietosuojavaltuutettu Yhdistyneen kuningaskunnan tietosuojalakien merkityksessä, kuten se on tällä hetkellä määritelty vuonna https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

”controller”, ”prosessor”, ”alikäsittelijä”, ”data subject”, ”personal data” ja ”processing” tarkoittavat samalla tavalla kuin tietosuojalaeissa.

2.Roolit ja vastuut

Kun BAS-IP käsittelee asiakasdataa puolestasi palveluiden yhteydessä, tunnustat ja hyväksyt, että asiakastietojen käsittelyssä olet controller tai käsittelijä, ja me olemme käsittelijä tai alikäsittelijä (kuten tietosuojalait määrittelevät), jotka toimivat puolestasi. Tällaisen käsittelyn kuvaus on esitetty tämän DPA:n liitteessä 1. Tätä DPA:ta sovelletaan asianmukaisesti vakiintuneisiin rooleihin eikä tilanteisiin, joissa toimimme controllerina BAS-IP:n tietosuojakäytännön mukaisesti.

Jos asiakas on käsittelijä, asiakas takaa BAS-IP:lle, että asiakkaan ohjeet ja toimet henkilötietoihin liittyen, mukaan lukien BAS-IP:n nimittäminen alikäsittelijäksi ja, jos sovellettavissa, EU-SCC-sopimusten tai muiden lisäysten tekeminen tämän DPA:n 9 §:n nojalla (mukaan lukien ne voidaan muuttaa kohdassa 9 alla), ovat olleet (ja tulevat, tämän DPA:n voimassaoloajaksi on edelleen hyväksytty asianomaisen kolmannen osapuolen valvojan toimesta.

3. Ohjeet

Osapuolet sopivat, että tämä DPA ja sovellettava sopimus muodostavat asiakkaan täydelliset ja lopulliset dokumentoidut ohjeet asiakastietojen käsittelystä (jäljempänä ’Ohjeet’), jossa asiakas toimii controllerina tai käsittelijänä ja BAS-IP käsittelejänä tai alikäsittelijänä tietosuojalakien mukaisesti.

Kaikki lisäohjeet tai vaihtoehtoiset ohjeet on sovittava kirjallisesti osapuolten kesken, ja niiden tulee olla yhdenmukaisia tämän DPA:n ja sopimuksen kanssa.

4. Käsittelyn kuvaus

Asiakastietojen käsittely asiakkaan puolesta palveluiden yhteydessä on kuvattu tämän DPA:n liitteessä 1. Pidätämme oikeuden päivittää käsittelyn kuvausta ajoittain vastaamaan palveluita sisältäviä uusia toimintoja.

5. Asiakkaan velvollisuudet

5.1. Controllerin velvollisuudet

DPA:n puitteissa, kun asiakas toimii controllerina, asiakas vastaa kaikkien tietosuojalakien mukaisen asiakkaan vaatimusten noudattamisesta.

Kun toimit ohjaajana, sinun täytyy:

(a) ylläpitää asiakastietojen tarkkuutta, laatua, luottamuksellisuutta ja turvallisuutta;

(b) noudattaa ja täyttää velvollisuutesi tietosuojalakien nojalla, mukaan lukien tietoalaisten oikeudet, tietoturva ja luottamuksellisuus, sekä varmistaa, että sinulla on asianmukainen oikeudellinen perusta henkilötietojen käsittelylle;

(c) toimittaa BAS-IP:lle vain laillisesti hankittuja asiakastietoja ja varmistaa, että tiedot ovat riittäviä, relevantteja ja suhteellisia suunniteltuihin tarkoituksiin;

(d) varmistamaan, että BAS-IP:lle annetut ohjeet asiakastietojen käsittelystä noudattavat tietosuojalakeja, mukaan lukien tietojen minimointi-, käyttötarkoituksen rajoittamisen ja tallennusrajoituksen periaatteet.

5.2. Käsittelijän velvollisuudet

DPA:n puitteissa, kun asiakas toimii käsittelijänä, asiakas vastaa kaikkien tietosuojalakien mukaisen asiakkaan vaatimusten noudattamisesta.

Toimiessasi prosessorina sinun täytyy:

(a) tarjota BAS-IP:lle vain käsittelykäskyjä, jotka tarkasti heijastavat kyseisen ohjaimen dokumentoituja ohjeita;

(b) toimittaa BAS-IP:lle vain asiakastietoja, jotka on laillisesti saatu kyseiseltä ohjaajalta ja jotka ovat riittävät, relevantit ja rajoittuneet sallittujen tarkoitusten tarpeisiin;

(d) noudattaa kaikkia sovellettavien tietosuojalakien mukaisia velvoitteita käsittelijänä;

(e) varmistaa, että henkilöstösi tai kolmas osapuoli, joka käyttää asiakastietoja, noudattavat tätä DPA:ta ja sopimusta.

6. BAS-IP-velvoitteet

6.1. Yleiset velvoitteet

Kun BAS-IP toimii prosessorina/aliprosessorina, meidän täytyy:

(a) käsitellä asiakastietoja ohjeidesi mukaisesti ja yksinomaan määriteltyihin tarkoituksiin;

(b) ilmoittaa sinulle, jos BAS-IP:n kohtuullisen mielipiteen mukaan:

(i) ohjeesi rikkovat tai saattavat rikkoa sovellettavia tietosuojalakeja; tai

(ii) BAS-IP ei pysty noudattamaan ohjeitasi;

(c) toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia toimenpiteitä asiakastietojen luottamuksellisuuden varmistamiseksi;

(d) noudattaa kaikkia sovellettavia tietosuojalakeja, mukaan lukien velvoitteet, jotka liittyvät tiedonalaisten oikeuksiin, tietoturvaan ja luottamuksellisuuteen;

(e) varmistaa, kirjallisin sopimusten tai muiden oikeudellisesti sitovien keinojen kautta, että mikä tahansa alikäsittelijä, joka on palkattu käsittelemään asiakastietoja BAS-IP:n puolesta, on vastuussa vastaavista tietosuojavelvoitteista, kuten tässä DPA:ssa ja sopimuksessa on määritelty;

(f) ylläpitää tarkkaa kirjaa kaikista puolestasi tämän DPA:n mukaisesti suoritetuista käsittelytoimista ja toimittaa nämä tiedot sinulle pyynnöstä;

(g) ilmoittaa viipymättä, jos BAS-IP saa tietää, että antamasi asiakastiedot ovat epätarkkoja, puutteellisia tai vanhentuneita;

(g) soveltaa asianmukaisia ja tarvittavia turvatoimia tai rajoituksia käsitellessäsi arkaluonteisia asiakastietoja, kuten tietosuojalait tai ohjeet edellyttävät;

(h) toimittaa sinulle kaikki kohtuullisesti tarpeelliset tiedot osoittamaan BAS-IP:n noudattamisen velvoitteidensa mukaisesti sovellettavien tietosuojalakien mukaisesti.

6.2. Ilmoitukset asiakkaalle

Kun saamme tiedon, ilmoitamme sinulle kaikista laillisesti sitovista pyynnöistä julkisen viranomaisen asiakkaan tietojen luovuttamisesta, ellei laki muuta kieltää ilmoittamasta asiakkaalle, esimerkiksi julkisen viranomaisen tutkinnan luottamuksellisuuden säilyttämiseksi. Ilmoitamme sinulle, jos BAS-IP saa tietää valvontaviranomaisen tekemästä ilmoituksesta, tiedustelusta tai tutkinnasta, joka koskee asiakastietojen käsittelyä tämän DPA:n nojalla, jota teidän ja meidän välillämme tehdään.

6.3. Luottamuksellisuus

Emme pääse käsiksi, käytä tai paljasta kolmansille osapuolille mitään asiakastietoja, paitsi jokaisessa tapauksessa palveluiden ylläpitämiseksi tai tarjoamiseksi tai sopimus- ja oikeudellisten velvoitteiden tai julkisen tahon sitovan määräyksen (kuten haasteen tai tuomioistuimen määräyksen) noudattamiseksi.

Varmistamme, että jokainen työntekijä/urakoitsija, jolle annamme luvan käyttää asiakastietojamme puolestamme, on asianmukaisen luottamuksellisuuden, sopimus- tai lakisääteisen velvoitteen alaisena asiakastietojen osalta.

6.4. Turvatoimet

Toteutamme ja ylläpidämme asianmukaisia teknisiä ja organisatorisia toimenpiteitä suojellaksemme asiakastietoja kaikilta tietomurroilta, kuten todelliselta tai epäillyltä vahingolta tai laittomalta tuhoutumiselta, katoamiselta, muuttamiselta, luvattomalta luovuttamiselta tai pääsyltä asiakasdataan, joka on siirretty, tallennettu tai muuten käsitelty (jäljempänä ’turvallisuustapaukset’), tämän DPA:n liitteessä 2 määriteltyjen turvallisuusstandardiemme mukaisesti.

Tunnustat, että turvatoimet ovat teknisen kehityksen alaisia, joten voimme muuttaa tai päivittää tämän DPA:n liitettä 2 omalla harkintallamme, edellyttäen että tällainen muutos tai päivitys ei aiheuta merkittävää heikkenemistä tämän DPA:n liitteen 2 tarjoamissa turvatoimissa.

6.5. Turvallisuustapaus

Kun saamme tietoisuuden turvallisuustapauksesta, teemme:

ilmoittaa sinulle viipymättä sen jälkeen, kun saamme tietää turvallisuustapauksesta;
toimittaa ajantasaista tietoa turvallisuustapaukseen liittyen (henkilötietojen tyyppi, kategoriat ja mahdollinen määrä henkilöitä tai asiakirjoja) sitä mukaa kun ne tulevat tiedoksi tai mitä kohtuudella pyydät; ja
ryhdytä viipymättä kohtuullisiin toimiin mahdollisen turvallisuustapauksen hillitsemiseksi ja tutkimiseksi, jotta voit ilmoittaa asiaankuuluville viranomaisille ja/tai asiaan vaikuttaneille tietoturva-alaisille tietohenkilöille.

Ilmoitusta tai reagointiamme turvallisuustapaukseen ei tule tulkita tunnustamiseksi mistään syystä tai vastuusta liittyen turvallisuustapaukseen.

6.6. Asiakastietojen palautus tai poistaminen

Kun sopimus päättyy tai päättyy, poistamme tai palautamme kaikki hallussamme olevat tai hallinnassamme olevat asiakastiedot. Tämä vaatimus ei koske siinä määrin kuin sovellettava laki tai vastaavat sopimusvelvoitteet edellyttävät säilyttämään osan tai kaiken asiakastiedoista.

6.7. Kohtuullinen apu

Sitoudumme tarjoamaan kohtuullista apua asiakkaalle seuraavissa asioissa:

(a) kaikki pyynnöt tietosubjektilta, jotka koskevat asiakkaan puolesta käsittelemiämme tietojen käsittelyä tai niiden korjaamista, poistamista, rajoittamista, siirrettävyyttä, estettä tai poistamista. Jos tietokanta lähettää tällaisen pyynnön suoraan meille, sovelletaan tämän DPA:n 7 §:ää;

(b) turvallisuustapauksen tutkinta ja tarvittavien ilmoitusten välittäminen näistä turvallisuustapahtumista, tämän DPA:n pykälän 6.5 mukaisesti;

(c) tietosuojavaikutusten arviointien (’DPIA:t’) laatiminen ja tarvittaessa asiakkaan konsultointi valvontaviranomaisen kanssa GDPR:n artiklojen 35 ja 36 mukaisesti.

6.8 Auditointi ja sertifiointi

6.8.1 Valvontaviranomaisten tarkastus

Jos valvontaviranomainen vaatii auditointia tietojenkäsittelylaitoksistamme, joita käytämme asiakkaan tietojen käsittelyyn varmistaaksemme tai seurataksemme asiakkaan tietosuojalakien noudattamista, teemme yhteistyötä tarkastuksen kanssa. Asiakas vastaa kaikista tilintarkastukseen liittyvistä kustannuksista ja palkkioista, mukaan lukien kaikki kohtuulliset kulut ja maksut kaikesta tarkastukseen käytetystä ajasta, sekä palveluhinnoista, joita me suorittamme.

6.8.2 Tarkastukset

Asiakas voi ennen käsittelyn aloittamista ja säännöllisin väliajoin sen jälkeen tarkastaa tekemämme tekniset ja organisatoriset toimenpiteet. Jos Asiakas toimii henkilötietojen valvojana, jonka käsittelemme puolestaan, kohtuullisella ja ajallaan tehdyllä ennakkosopimuksella, säännöllisten aukioloaikojen aikana ja ilman liiketoiminnan keskeytyksiä, voimme antaa Asiakkaalle kaikki tarvittavat tiedot GDPR:n artiklan 28 mukaisen velvoitteiden noudattamisen osoittamiseksi sekä mahdollistaa ja osallistua tilintarkastuksiin, mukaan lukien tarkastukset, jotka Asiakas tai toinen Asiakkaan määräämä tilintarkastaja suorittaa tällaista käsittelyä varten.

Asiakkaan kirjallisesta pyynnöstä ja kohtuullisessa ajassa toimitamme asiakkaalle kaiken tarkastukseen tarvittavan tiedon siltä osin kuin nämä tiedot ovat hallinnassamme eikä meitä ole estetty paljastamasta niitä sovellettavan lain, salassapitovelvollisuuden tai muun kolmannen osapuolen velvoitteen vuoksi.

7. Tietopyynnöt

Jos henkilö ottaa meihin yhteyttä liittyen oikeuksiensa käyttämiseen tietosuojalakien nojalla (erityisesti pyynnöt asiakkaan tietojen käsittelystä, korjaamisesta tai poistamisesta), teemme kaikki kohtuulliset keinot välittääksemme tällaiset pyynnöt sinulle. Jos meidän on lain mukaan vastattava tällaiseen pyyntöön, ilmoitamme siitä sinulle välittömästi ja toimitamme kopion pyynnöstä, ellei se ole lain mukaan kielletty.

8. Aliprosessorit

BAS-IP:llä on asiakkaan yleinen kirjallinen valtuutus aliprosessorien palkkaamiseen sovitusta listasta. BAS-IP sitoutuu ilmoittamaan asiakkaalle kaikista suunnitelluista muutoksista kyseiseen listaan liittyen aliprosessorien lisäämiseen tai korvaamiseen vähintään 10 päivää ennen kyseisen aliprosessorin sitoutumista, antaen asiakkaalle mahdollisuuden vastustaa tällaisia muutoksia. BAS-IP:n tulee antaa asiakkaalle tiedot, jotka mahdollistavat asiakkaan oikeuden käyttää vastalauseita.

Jos tämän DPA:n 9 §:tä sovelletaan, alaprosessorien palkkaamismenettelyä säätelevät tämän DPA:n 9 §:n asiaankuuluvat määräykset. Tällaisessa tapauksessa pykälän 9 säännökset ovat voimassa.

Sovittu aliprosessorien lista on esitetty tämän DPA:n liitteessä 3.

9. Asiakastietojen siirrot

9.1. Kenraali

Myönnät ja hyväksyt, että BAS-IP-palveluiden käyttö voi tarkoittaa asiakastietojen siirtämistä muihin lainkäyttöalueisiin sovellettavien tietosuojalakien mukaisesti.

Jos tällaiset siirrot vaativat asianmukaisia turvatoimia, käytetään sovellettavia tiedonsiirtomekanismeja, kuten EU:n SCC-sopimuksia ja Yhdistyneen kuningaskunnan lisäystä. Nämä tiedonsiirtomekanismit sisältyvät tähän DPA:han ja muodostavat olennaisen osan, kuten tarkemmin kuvataan kohdassa 9.2. ja 9.3.

Mikäli tämän DPA:n määräysten ja sovellettavien tiedonsiirtomekanismien välillä ilmenee ristiriita, kyseisen tiedonsiirtomekanismin määräykset ovat voimassa yksinomaan kyseisen ristiriidan laajuudessa.

9.2. Siirrot GDPR:n nojalla

Kun asiakastietojen käsittely puolestasi palveluihin liittyen muodostaa GDPR:n mukaisen ”siirron”, sovelletaan standardisopimuslausekkeita.

Kun olet controller, ja me olemme prosessori, EU SCC:iden moduuli kaksi on sovellettavissa, ja kun sinä olet prosessori ja me aliprosessori, sovelletaan EU:n SCC:iden moduuli kolme.

EU:n SCC:iden osalta BAS-IP on ”Data Importer” ja sinä olet ”Data Exporter”.

EU:n SCC-määräyksiin sisältyvät asiaankuuluvat määräykset sisällytetään viitteiden kautta ja ovat olennainen osa tätä DPA:ta. EU:n SCC:iden pykälät ja liitteet katsotaan täytetyiksi seuraavasti:

(i) kohdassa 7 valinnainen telakointiehto ei sovelle;

(ii) kohdassa 9 sovelletaan vaihtoehtoa 2 (yleinen kirjallinen valtuutus). Kohdan 9(a) tarkoituksessa tiedon viejälle ilmoittamisen aikakausi on 10 päivää;

(iii) pykälässä 11 valinnainen määräys ei sovelleta;

(iv) pykälässä 13 sovelletaan erityistä vaihtoehtoa tapauksen mukaan;

(v) kohdassa 17 sovelletaan vaihtoehtoa 1. EU:n SCC:itä säätelee Saksan liittotasavallan laki;

(vi) kohdassa 18(b) riidat ratkaistaan Saksan liittotasavallan tuomioistuimissa;

(vii) EU:n SCC-liite I katsotaan täydennetyksi tämän DPA:n liitteen 1 tiedoilla;

(viii) EU:n SCC-liite II katsotaan täytetyksi tämän DPA:n liitteen 2 tiedoilla.

9.3. Siirrot Yhdistyneen kuningaskunnan tietosuojakehyksen puitteissa

Kun asiakastietojen käsittely puolestasi Palveluihin liittyen muodostaa ”rajoitetun siirron” Yhdistyneen kuningaskunnan tietosuojalakien mukaan, sovelletaan Yhdistyneen kuningaskunnan liitettä.

Kun olet controlleri ja BAS-IP on prosessori, EU SCC:iden moduuli kaksi sovelletaan ja kun olet prosessori ja me aliprosessori, EU SCC:iden moduuli kolme sovelletaan kuten alakohdassa 9.2 on suoritettu. tästä DPA:sta.

Yhdistyneen kuningaskunnan lisäosan yhteydessä BAS-IP on ”Tuoja” ja sinä olet ”Viejä”.

Yhdistyneen kuningaskunnan liitteen asiaankuuluvat säännökset sisällytetään viitteenä ja ovat olennainen osa tätä DPA:ta. Yhdistyneen kuningaskunnan lisäosan taulukot katsotaan täytetyiksi seuraavasti:

(i) Osan 1 taulukko 1 katsotaan täytetyksi tämän DPA:n liitteen 1 tiedoilla, ja maahantuojan virallinen rekisterinumero on 328138502, ja viennin virallinen rekisteröintinumero on asiakkaan tilillä, jos sellainen on;

(ii) Osa 1:n taulukko 2 katsotaan täytetyksi alakohdassa 9.2 esitettyjen tietojen mukaisesti. tästä DPA:sta;

(iii) Osa 1:n taulukko 3 katsotaan täytetyksi tämän DPA:n liitteissä 1, 2 ja 3 esitetyillä tiedoilla;

(iv) Osan 1 taulukossa 4 kumpikaan osapuoli ei voi päättää tätä lisäystä kuten Yhdistyneen kuningaskunnan lisäosan 19 kohdassa on esitetty.

LIITE 1 – KÄSITTELYN KUVAUS

PUOLUEIDEN LUETTELO

Asiakasohjelma (Data Exporter)

Nimi: Sinä, ’Asiakas’

Osoite: olennaiset tiedot löytyvät asiakkaan tililtä.

Yhteyshenkilön nimi, tehtävä ja yhteystiedot: asiaankuuluvat tiedot löytyvät asiakkaan tilistä.

Toimintoja, jotka liittyvät näiden pykälien mukaisiin siirtyviin tietoihin: palveluiden tarjoaminen.

Allekirjoitus ja päivämäärä: osapuolet sopivat, että sopimuksen toteuttaminen tietojen viejän toimesta tarkoittaa tämän DPA:n täytäntöönpanoa sekä tietojen maahantuojan että tiedon viejän toimesta. Tilin rekisteröintipäivä alustalla katsotaan tämän DPA:n täytäntöönpanopäiväksi.

Rooli: ohjain tai prosessori

BAS-IP DISTRIBUTION LTD (Tietojen tuoja)

Nimi: BAS-IP DISTRIBUTION LTD

Osoite: Crown House 27 Old Gloucester Street, Lontoo, Englanti

Yhteyshenkilön nimi, tehtävä ja yhteystiedot: [syötä nimi, tehtävä ja yhteystiedot, esim. sähköposti]

Toimintoja, jotka liittyvät näiden pykälien mukaisiin siirtyviin tietoihin: palveluiden tarjoaminen.

Rooli: prosessori tai aliprosessori

SIIRRON KUVAUS

Henkilötietoja siirrettävien henkilötietojen kategoriat:

Asiakkaan asiakkaat;
muut henkilöt, joiden henkilötietoja siirretään yrityksen tarjoamien palveluiden aikana asiakkaalle.
Siirrettyjen henkilötietojen kategoriat:

henkilökohtaisia tietoja, jotka liittyvät asiakkaan asiakkaisiin;
muita henkilötietoja, jotka voidaan siirtää Yhtiön tarjoamien palveluiden aikana Asiakkaalle.
Arkaluonteiset tiedot siirrettiin (jos sovellettavissa) ja sovellettu rajoituksia tai turvatoimia, jotka ottavat täysin huomioon datan luonteen ja siihen liittyvät riskit:

Tietojen maahantuoja saa pääsyn arkaluontoisiin tietoihin vain, jos asiakas toimittaa arkaluontoiset tiedot ja ainoastaan siinä määrin kuin se on tarpeen palveluiden suorittamiseksi. Tällaisissa tapauksissa tietojen maahantuoja toteuttaa liitteen 2 tekniset ja organisatoriset toimenpiteet sekä muut asianmukaiset ja tarpeelliset turvatoimet tai rajoitukset, ottaen huomioon arkaluontoisen datan luonteen ja niiden käsittelyyn liittyvät riskit, sovellettavien lakien ja säädösten mukaisesti.

Siirron taajuus:

Henkilötietoja siirretään jatkuvasti.

Käsittelyn luonne:

Henkilötietojen käsittely koostuu seuraavista: kerääminen, tallentaminen, organisointi, jäsentäminen, tallentaminen, mukauttaminen tai muokkaaminen, haku, konsultointi, yhdenmukaistaminen tai yhdistäminen, rajoittaminen, pyyhkiminen tai tuhoaminen.

Tiedonsiirron ja jatkokäsittelyn tarkoitukset:

Näiden lausekkeiden mukaisen tiedonkäsittelyn tarkoituksena on tietojen viejän palveluiden suorittaminen tietojen tuojan toimesta tiedon maahantuojan ja tiedon viejän välisen sopimuksen mukaisesti.

Aika, jonka aikana henkilötietoja säilytetään, tai, jos se ei ole mahdollista, kriteerit, joita käytetään kyseisen ajanjakson määrittämiseen:

Henkilötietoja on säilytettävä tämän DPA:n ajan, joka on solmittu tietojen tuojan ja viejän välillä, ellei kirjallisesti toisin sovittu tai maahantuojan on sovellettavan lain mukaan velvollinen säilyttämään osan tai kaikki siirretyt henkilötiedot.

Siirroissa (ala-)prosessoreille määrittele myös käsittelyn aihe, luonne ja kesto:

Aihealue: Palveluiden suorittaminen

Luonne: keräys, tallennus, organisointi, jäsentäminen, varastointi, sopeutuminen tai muokkaaminen, palautus, konsultointi, linjaus tai yhdistäminen, rajoittaminen, pyyhkiminen tai tuhoaminen.

kesto: palveluiden suorittaminen Data Importerille (ala-)käsittelijän toimesta palvelusopimuksen mukaisesti, joka on tehty Data Importerin ja (ali)käsittelijän välillä.

PÄTEVÄ VALVONTAVIRANOMAINEN

Kohdan 13 mukaisesti pätevä valvontavirain määritellään sen mukaan, mikä kohdan 13(a) versio koskee tietojen viejää.

LIITE 2 – TEKNISET JA ORGANISATORISET TOIMENPITEET

TEKNISET JA ORGANISATORISET TOIMENPITEET, MUKAAN LUKIEN TEKNISET JA ORGANISATORISET TOIMENPITEET DATAN TURVALLISUUDEN VARMISTAMISEKSI

Kuvaus teknisistä ja organisatorisista toimenpiteistä, joita tietojen maahantuoja on toteuttanut asianmukaisen turvallisuustason varmistamiseksi, ottaen huomioon käsittelyn luonne, laajuuden, kontekstin ja tarkoituksen sekä luonnollisten henkilöiden oikeuksien ja vapauksien riskit:

Data Importer on sitoutunut säilyttämään kaikkien kyseisten henkilötietojen luottamuksellisuuden, eheyden, saatavuuden ja resilienssin koko käsittelytoimintansa ajan sekä varmistamaan, että henkilötietoja suojataan katoamiselta ja tuhoutumiselta ottamalla käyttöön asianmukaiset sisäiset tietoturvakäytännöt, -menettelyt ja muut asianmukaiset toimenpiteet.
Data Importer myöntää pääsyn henkilötietoihin tiukasti tarpeen mukaan, ja tällaiset tiedot ovat saatavilla vain valtuutetuille henkilöille.
Data Importer on ottanut käyttöön roolipohjaiset käyttöoikeudet ja käyttöoikeuksien hallintalistat tiukan käyttäjien käyttöoikeuksien erottelun varmistamiseksi.
Data Importerin tietoturvamenettelyt tarkistetaan säännöllisesti.
Data Importer käyttää luotettavia palveluntarjoajia ja seuraa, mitä teknisiä ja organisatorisia toimenpiteitä heillä on varmistaakseen henkilötietojen suojan koko ajan.
Data Importer on toteuttanut toimenpiteitä, joiden tarkoituksena on suojata henkilötietojen luottamuksellisuutta ja eheyttä tiedonsiirron aikana.
Data Importer on ottanut käyttöön teknisiä ja organisatorisia toimenpiteitä, jotka on suunniteltu rajoittamaan tietoturvahäiriöitä ja estämään lisätietojen katoamista ja -vahinkoja.

AIKATAULU 3 – ALIPROSESSORIT

Ohjaaja on valtuuttanut seuraavien aliprosessorien käytön:

Aliprosessori 1

Nimi: Hetzner Online GmbH / Hetzner Finland Oy

Osoite: Industriestr. 25, 91710 Gunzenhausen, Saksa / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Suomi

Yhteyshenkilön nimi, tehtävä ja yhteystiedot: [email protected]

Käsittelyn kuvaus: tietojen isännöinti Hetzner Online GmbH:n / Hetzner Finland Oy:n palvelimilla

Aliprosessori 2

Nimi: DigitalOcean, LLC

Osoite: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, Yhdysvallat

Yhteyshenkilön nimi, tehtävä ja yhteystiedot: [email protected]

Käsittelyn kuvaus: datan isännöinti DigitalOcean, LLC:n palvelimilla