Mash Group Oyj (Y-tunnus 22379904) on vuodesta 2007 asti toiminut suomalainen rahoitusalan yritys. Rahoituspalvelulle on myönnetty avainlippu takeeksi kotimaisesta laadusta.


MASH - TIETOSUOJALIITE

 

1 MÄÄRITELMÄT

”Rekisterinpitäjä” tarkoittaa tahoa, joka määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot.

”Henkilötietojen käsittelijä” tarkoittaa tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

”Rekisteröity” tarkoittaa tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä; tunnistettu tai tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumerontaikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

”Kolmas osapuoli” tarkoittaa muuta luonnollista henkilöä tai oikeushenkilöä, mukaan lukien rekisteröityä, julkista viranomaista, virastoa tai muuta toimielintä, kuin rekisterinpitäjää tai henkilötietojen käsittelijää tai tahoa, joka rekisterinpitäjän tai henkilötietojen käsittelijän suorassa määräysvallassa on oikeutettu käsittelemään henkilötietoja.

”Lait” tarkoittavat sovellettavaa lainsäädäntöä liittyen tietosuojaan, yksityisyyden suojaan ja tietoturvaan, kuten EU:n direktiivin 95/46/EY EU ja direktiivin 2002/58/EY (yhdessä ”EU-direktiivit”) sekä näiden muutokset, laajennukset ja uudistukset, mukaan lukien EU:n yleinen tietosuoja-asetus 2016/679 sekä sitovat kansalliset lait, joilla EU:n direktiivejä pannaan täytäntöön, sekä muut tietosuoja-, yksityisyys- ja tietoturvallisuusdirektiivit, -lait, -säädökset ja -päätökset, jotka soveltuvat käsiteltäessä henkilötietoja Sopimuksen mukaisesti.

”Mallisopimuslausekkeet” tarkoittavat 5. päivänä helmikuuta 2010 annettuun Euroopan komission päätökseen 2010/87/EU pohjautuvia kulloinkin voimassaolevia henkilötietojen siirtoa kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille EU-direktiivien mukaisesti varten laadittuja mallisopimuslausekkeita ja Euroopan komission niihin tekemiä muutoksia ja täydennyksiä.

”Henkilötiedot” tarkoittavat rekisteröityyn liittyviä tietoja, jotka lähetetään Yhteistyökumppanille, joita Yhteistyökumppani käyttää tai joita Yhteistyökumppani muuten käsittelee Mashin puolesta Palveluihin liittyen.

”Henkilötietojen loukkaus” tarkoittaa turvallisuuden loukkausta, joka johtaa siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen tahattomaan tai laittomaan tuhoutumiseen, menetykseen, muuttamiseen, luvattomaan ilmaisuun tai käyttämiseen.

”Käsittely” tarkoittaa mitä tahansa Yhteistyökumppanin, sen kumppaneiden tai alihankkijoiden toimenpidettä, jolla nämä käsittelevät henkilötietoja, kuten tietojen kerääminen, tallentaminen, yhdistäminen, järjestely, muuttaminen, laskenta, analysointi, käyttö, ilmaiseminen siirtämällä, levittäminen, tyhjentäminen ja poistaminen. Tarvittaessa käsittelyä koskevia ohjeita ja käytäntöjä voidaan sopia erillisessä liitteessä.

”Palvelut” tarkoittavat Yhteistyökumppanin Mashille Sopimuksen mukaisesti toimittamia palveluita.

”Tekniset ja organisatoriset suojaustoimenpiteet” tarkoittavat toimenpiteitä, joiden tarkoituksena on henkilötietojen suojaaminen tahattomalta tai laittomalta tuhoutumiselta tai tahattomalta menetykseltä, muutokselta, luvattomalta ilmaisulta tai käytöltä, erityisesti prosessin koskiessa tietojen välittämistä verkon välityksellä, ja kaikilta muilta luvattomilta käsittelemisen muodoilta.

2 HENKILÖTIETOJEN KÄSITTELEMINEN

2.1 Sopijapuolten roolit

Sopijapuolet ymmärtävät ja hyväksyvät, että Mash on Rekisterinpitäjä ja Yhteistyökumppani on Henkilötietojen käsittelijä liittyen kaikkeen Henkilötietojen Käsittelyyn tämän Tietosuojaliitteen mukaisesti.

2.2 Henkilötietojen käsitteleminen

Yhteistyökumppani sitoutuu noudattamaan kaikkien Henkilötietojen Käsittelemiseen sovellettavien Lakien määräyksiä. Yhteistyökumppanin on myös noudatettava (ja varmistettava, että sen mahdolliset alihankkijat noudattavat) Mashin tai tietosuojaviranomaisten Yhteistyökumppanille antamia kirjallisia ohjeita, koskien esimerkiksi Henkilötietojen Käsittelemistä, suojaamista ja salaamista. Yhteistyökumppanilla ei ole oikeutta vaatia lisäveloitusta näiden ohjeiden noudattamisesta, siltä osin, kun ohjeiden noudattaminen on tarpeellista Mashin tai Yhteistyökumppanin Lainmukaisten velvoitteiden täyttämiseksi. Yhteistyökumppanin on avustettava Mashin tämän näin pyytäessä suorittamaan käsittelytoimien vaikutusten arviointeja ja konsultoimaan valvontaviranomaisia ennen Henkilötietojen Käsittelyä, mikäli vaikutusten arviointi osoittaa korkeaa riskiä.

Ellei pakottavista Laeista muuta johdu, Yhteistyökumppani ei saa käyttää tai Käsitellä Henkilötietoja mihinkään muihin tarkoituksiin kuin Mashin määrittämällä tai ohjeistamalla tavalla. Yhteistyökumppanin on pidettävä Henkilötiedot luottamuksellisina eikä sillä ole mitään oikeuksia Henkilötietoihin. Yhteistyökumppani ei saa Sopimuksen voimassaoloaikana tai sen jälkeen ilmaista tai siirtää Henkilötietoja tai mahdollistaa pääsyä niihin tai niiden käyttöä kenellekään kolmannelle osapuolelle ilman Mashin antamaa kirjallista suostumusta. Selvyyden vuoksi todetaan, että henkilötietojen siirtäminen Mashin kirjallisesti etukäteen hyväksymille alihankkijoille tämän Sopimuksen ja Tietosuojaliitteen mukaisten velvollisuuksien toteuttamista varten ja tässä Tietosuojaliitteessä kuvatusti on sallittu. Yhteistyökumppani ei saa ilmaista henkilötiedoista johdettuja tietoja tai käyttää niitä omiin tarkoituksiinsa.

2.3 Alihankkijoiden käyttäminen

Yhteistyökumppanilla ei ole oikeutta käyttää alihankkijoita ilman Mashin etukäteistä kirjallista suostumusta. Jos Mash on hyväksynyt Yhteistyökumppanin alihankkijan tai alihankkijoiden käyttämisen Henkilötietojen Käsittelemiseen, a) kyseisestä toimeksiannosta on Yhteistyökumppanin ja alihankkijan välillä sovittava kirjallisesti ja b) alihankintasopimuksessa alihankkijaa on velvoitettava noudattamaan vähintään samoja ja saman tasoisia velvoitteita kuin Yhteistyökumppanille tästä Tietosuojaliitteestä ja Sopimuksesta ja Laeista johtuu. Yhteistyökumppani vastaa alihankkijoiden toimista ja laiminlyönneistä Mashille ja sen kumppaneille täysimääräisesti.

2.4 Tietojen poistaminen Sopimuksen päättyessä

Sopimuksen tai Palveluiden toimittamisen päättyessä Yhteistyökumppanin on välittömästi palautettava Mashille kaikki Henkilötiedot, ja tämän jälkeen poistettava Henkilötiedot Yhteistyökumppanin Henkilötietojen Käsittelemiseen käyttämistä tietokonelaitteista (mukaan lukien tallennusvälineet), ohjelmistoista ja tietokannoista sekä annettava Mashille kirjallinen vahvistus näiden toimien toteuttamisesta. Yhteistyökumppanin on lisäksi varmistettava, että sen alihankkijat suorittavat vastaavat toimet.

2.5 Tietojen ilmaiseminen

Yhteistyökumppanin mahdollisesti saamat viranomaisten tietopyynnöt koskien Henkilötietoja, joita se Käsittelee Mashin lukuun, on välittömästi ilmoitettava Mashille, paitsi jos pakottavat Lait estävät tällaisen ilmoituksen tekemisen. Yhteistyökumppanin ei tule vastata tällaisiin tietopyyntöihin ilman Mashin etukäteen antamaa kirjallista suostumusta.

3 HENKILÖTIETOJEN SIIRTÄMINEN

Yhteistyökumppani ei saa (ja sen on varmistettava, että sen alihankkijat eivät myöskään siirrä tai Käsittele) siirtää tai Käsitellä henkilötietoja ETA-maiden ulkopuolella sopimatta tästä kirjallisesti etukäteen Mashin kanssa. Mikäli Mash antaa suostumuksensa henkilötietojen siirtämiseen ETA-maiden ulkopuolelle, Yhteistyökumppanin on varmistettava, että tietojen ETA-maiden ulkopuolella Käsittelemistä koskevia Lakien mukaisia velvoitteita noudatetaan.

Lakien niin vaatiessa Yhteistyökumppanin on käytettävä asianmukaisia Mallisopimuslausekkeita ja varmistettava, että sen alihankkijat toimivat samoin. Mallisopimuslausekkeiden muuttamattomat versiot katsotaan sisällytetyiksi tähän Tietosuojaliitteeseen, ja niitä sovelletaan, mikäli Yhteistyökumppani tai sen alihankkija voivat joko a) käyttää Euroopan talousalueella säilytettäviä Henkilötietoja etäyhteydellä muusta kuin ETA-maasta tai b) siirtää Henkilötietoja tai käyttää muussa kuin ETA-maassa olevia Henkilötietoja.

4 TIETOTURVALLISUUS JA SUOJAUSTOIMET

Yhteistyökumppanin on otettava käyttöön ja jatkuvasti ylläpidettävä riittäviä, asianmukaisia organisatorisia, toiminnallisia, hallinnollisia, fyysisiä ja teknisiä toimia Henkilötietojen ja Mashin muiden mahdollisten tietojen suojaamiseksi tahattomalta, luvattomalta tai laittomalta tuhoutumiselta, häviämiseltä, muuttumiselta, julkaisulta, levittämiseltä tai käyttämiseltä siten, että kaikki Käsitteleminen on Lakien ja Mashin kirjallisten ohjeiden mukaista, erityisesti liittyen Henkilötietojen siirtämiseen verkon välityksellä. Yhteistyökumppanin tulee taata suojaustaso, joka on suojattavien tietojen Käsittelyyn ja niiden luonteeseen liittyvien riskien mukainen ottaen huomioon toimien käyttöönottohetken ajantasaisuus ja siitä aiheutuvat kustannukset.

Teknisiin suojausmenetelmiin on kuuluttava kaikki Yhteistyökumppanin määrittelemät tekniset suojauskeinot, jotka perustuvat ISO/IEC 27000 -sarjan suosituksiin tai vastaaviin, kuten SSAE-16(2). Yhteistyökumppanin on rajoitettava pääsy Henkilötietoihin Yhteistyökumppanin valtuuttamiin ja asianmukaisesti kouluttamiin henkilöihin, joilla on selkeästi määritelty tarve käyttää Henkilötietoja ja joita velvoittavat asianmukainen vaitiolovelvollisuus. Yhteistyökumppanin on myös varmistettava teknisesti ja organisatorisesti, että Henkilötietoja ei Käsitellä muihin tarkoituksiin (esimerkiksi Yhteistyökumppanin muiden asiakkaiden hyväksi) ja että Henkilötietoja Käsitellään erillään Yhteistyökumppanin muiden asiakkaiden ja sen omien asiakkaiden tiedoista.

Yhteistyökumppani vakuuttaa, että toimittaessaan Palveluita Sopimuksen mukaisesti se noudattaa kaikkia varotoimia estääkseen Henkilötietojen häviämisen ja muuttumisen, Mashin IT-järjestelmän luvattoman käytön, virusten saattamisen Mashin järjestelmiin ja Mashin IT-järjestelmän sekä Mashin luottamuksellisten tietojen luvattoman ja virheellisen käyttämisen ja tietojen paljastumisen.

5 ITSEARVIOINTI JA TARKASTUKSET

Sopimuksen aikana Mashilla on oikeus puolivuosittain pyytää Yhteistyökumppanin turvallisuusdokumentaation tarkastamista ja/tai kirjallista itsearvioinnin raporttia koskien Yhteistyökumppanin tämän Tietosuojaliitteen, Sopimuksen ja Lakien noudattamista.

Lisäksi Mashilla (tai sen puolesta toimivalla riippumattomalla kolmannella osapuolella) on oikeus tarkistaa Yhteistyökumppanin ja sen alihankkijoiden käsittelytoimet hyväksytyn tarkastussuunnitelman mukaisesti ilmoittamalla tästä kirjallisesti kaksitoista (12) päivää etukäteen. Jos missä tahansa tarkastuksessa käy ilmi, että Palvelut eivät ole tämän Tietosuojaliitteen, Sopimuksen tai Lakien mukaisia, Yhteistyökumppanin on suoritettava yksinomaisella kustannuksellaan kaikki tarpeelliset toimet varmistaakseen, että Palvelut noudattavat sovellettavia säännöksiä, Lakeja ja ohjeita. Mashilla on oikeus varmistaa vaatimustenmukaisuus suorittamalla toisen tarkastuksen valitsemanaan ajankohtana kyseisten korjaustoimenpiteiden jälkeen.

Mash on vastuussa tarkastusten kustannuksista. Mikäli tarkastuksessa kuitenkin ilmenee Yhteistyökumppanin puolelta tämän Tietosuojaliitteen tai Sopimuksen loukkaus tai laiminlyönti, Yhteistyökumppanin on korvattava tarkastuksesta aiheutuvat kustannukset viivytyksettä ja korjattava loukkaus tai laiminlyönti.

6 TIETOSUOJALOUKKAUSTEN KÄSITTELEMINEN

Mikäli Henkilötietojen Käsittelemisessä tapahtuu Henkilötietojen loukkaus tai Yhteistyökumppania uhkaa pakkotäytäntöönpanotoimenpide koskien Henkilötietoja, Yhteistyökumppanin on ilmoitettava tästä Mashille asianmukaisella kirjallisella ilmoituksella välittömästi saatuaan tästä tiedon, joka tapauksessa viimeistään kahdenkymmenenneljän (24) tunnin kuluessa. Mashin etukäteen antaman suostumuksen mukaisesti, Yhteistyökumppanin on tehtävät sovitut toimet ratkaistakseen tilanne mahdollisimman nopeasti ja estääkseen lisävahinkojen syntyminen. Yhteistyökumppanin on lisäksi informoitava Rekisteröityjä ja viranomaisia lainsäädännön edellyttämällä tavalla.

Yhteistyökumppanin on myös Mashin niin pyytäessä suoritettava Rekisteröidyille ja muutoin asianmukaiset korjaavat toimet.

7 REKISTERÖITYJEN OIKEUDET

Täyttääkseen Laista johtuvat velvollisuutensa Mashin niin pyytäessä, Yhteistyökumppanin on kohtuullisin, ja todellisiin käytettyihin työtunteihin perustuvin kustannuksin: a) annettava Mashille viivytyksettä rekisteröityjen Henkilötiedoista kopio fyysisessä ja/tai elektronisessa muodossa, b) viivytyksettä korjattava, estettävä tai poistettava rekisteröityjen Henkilötiedot, c) viivytyksettä annettava Mashille tiedot ja tehtävä tämän kanssa kohtuullisissa määrin yhteistyötä Henkilötietojen sopimuksenmukaiseen Käsittelemiseen liittyen kohtuullisen ja d) annettava rekisteröidyille, joiden Henkilötietoja Käsitellään, Käsittelemistä koskevat Mashin kohtuullisesti pyytämät tiedot.

8 VAHINGONKORVAUS

Yhteistyökumppanin on kustannuksellaan puolustettava ja suojattava Mashia sekä korvattava tälle kaikki vaateet, toimet, menetykset ja kustannukset, mukaan lukien kohtuulliset asianajopalkkiot, jotka johtuvat kolmansien osapuolten vaateista Mashia tai sen kumppaneita kohtaan, jotka ovat aiheutuneet Yhteistyökumppanin tämän Tietosuojaliitteen mukaisten velvollisuuksien laiminlyönnistä.

Mikäli kolmas osapuoli esittää vaateen Yhteistyökumppania kohtaan Henkilötietoja koskevaan tietoturvaloukkaukseen liittyen koskien Mashin työntekijöitä (nykyisiä ja aiempia), työnhakijoita, ulkoista työvoimaa tai asiakkaita (mahdollisia, nykyisiä ja entisiä), Yhteistyökumppanin on Mashin oikeuksien suojaamiseksi kustannuksellaan varattava Mashille oikeus osallistua keskusteluihin, neuvotteluihin tai oikeustoimiin itsenäisesti tai väliintulijana. Mikäli kolmannen osapuolen vaade osoittautuu perusteettomaksi, Yhteistyökumppanilla ei ole velvollisuutta korvata Mashille aiheutuneita kuluja. Muussa tapauksessa Yhteistyökumppani on vastuussa kaikista Mashille kyseisestä kolmannen osapuolen vaateesta aiheutuneista kustannuksista, korvauksista, menetyksistä ja vahingonkorvauksista.

Sopimuksessa mahdollisesti sovittua vastuunrajoitusta ei sovelleta tämän Tietosuojaliitteen rikkomuksesta aiheutuneisiin vahinkoihin tai menetyksiin.

9 VOIMASSAOLO

Tämä Tietosuojaliite on kokonaisuudessaan voimassa Sopimuksen voimassaoloajan ja tämän jälkeen niin kauan kuin on tarpeellista Sopimuksen päättymisen jälkeisten toimenpiteiden suorittamiseksi. Mikäli Yhteistyökumppani Käsittelee tai sen lukuun Käsitellään Henkilötietoja mistä tahansa syystä Sopimuksen päättämisen tai päättymisen jälkeen, tämä Tietosuojaliite pysyy voimassa kyseiseen Käsittelemiseen nähden niin kauan kuin Käsittelemistä tapahtuu.

Yhteistyökumppanin (tai sen mahdollisten alihankkijoiden) tämän Tietosuojaliitteen mukaisten velvoitteiden rikkominen katsotaan Sopimuksen olennaiseksi sopimusrikkomukseksi.

Velvoitteet, joiden on luonteensa vuoksi säilyttävä voimassa myös Sopimuksen ja tämän Tietosuojaliitteen voimassaolon päättymisen jälkeen, pysyvät täten voimassa.

Tämän Tietosuojaliitteen ja Sopimuksen ehtojen välillä ollessa ristiriidassa sovelletaan Tietosuojaliitteen ehtoja. Tietosuojaliitteeseen mahdollisesti tehtävät muutokset on molempien Sopijapuolten hyväksyttävä kirjallisesti ollakseen päteviä.

Tämän Tietosuojaliiteen mukaiset vaatimukset ovat voimassa 1.3.2018 alkaen.