top of page

Tietosuojasopimus

LEADWIN OY TIETOSUOJASOPIMUS. Viimeksi päivitetty: 01.02.2023

1. Tietosuojasopimuksen soveltamisala

Tämä tietojenkäsittelysopimus ("DPA") on Leadwin Yleisen palvelusopimuksen liite ja on osa sitä, ja se säätelee Leadwinin ja sen tytäryhtiöiden henkilötietojen käsittelyä.

2. Leadwin henkilötietojen rekisterinpitäjänä ja henkilötietojen käsittelijänä Leadwinin rooli henkilötiedon käsittelyssä Leadwin käsittelee henkilötietoa kahdessa eri roolissa: Henkilötietojen rekisterinpitäjä. Leadwinilla on yksinomainen toimivalta määrittää Asiakkaalta tai Loppuasiakkaalta suoraan tai heidän kauttaan saatujen henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijänä. Leadwin toimii henkilötietojen käsittelijänä Asiakkaan puolesta, joka on henkilötietojen rekisterinpitäjä.

3. Rekisteröityjen luokat ja henkilötiedot

Rekisteröityjen luokat. Leadwin voi käsitellä Asiakkaan, Loppuasiakkaan tai kenenkä tahansa luonnollisen henkilön henkilötietoja, joka käyttää Palvelua. Henkilötieto. Käsiteltävä henkilötieto määritellään jokaisen Asiakkaan kanssa erikseen esimerkiksi Tilausvahvistuksen henkilötietoliitteessä. Kerättävä henkilötieto voi olla muun muassa, nimi, puhelinnumero, sähköpostiosoite ja muut yhteystiedot.

 

4. Leadwin henkilötiedon käsittelijänä

Leadwinin toimiessa henkilötiedon käsittelijänä henkilötietoa käsitellään seuraaviin tarkoituksiin:

1) Palvelun toimittaminen Asiakkaalle

2) Loppuasiakas -datan kerääminen ja toimittaminen Asiakkaalle

 

5. Leadwin henkilötiedon rekisterinpitäjänä

Leadwinin toimiessa henkilötiedon rekisterinpitäjänä, henkilötietoa käsitellään seuraaviin käyttötarkoituksiin:

1) Tarkkailla, ehkäistä ja havaita vilpillisiä tapahtumia ja muuta vilpillistä toimintaa Palvelussa.

2) Varmistaa Palvelun lainsäädännön mukainen käyttäminen.

3) Leadwinin palveluiden analysointi ja kehittäminen.

 

6. Leadwinin velvollisuudet henkilötiedon käsittelijänä

Leadwin käsittelee henkilötietojasi puolesta ja ohjeidesi mukaisesti. Leadwin ei myy, säilytä, käytä tai luovuta henkilötietoja mihinkään muuhun tarkoitukseen kuin Palvelun suorittamiseen ja lain noudattamiseen. Leadwin ilmoittaa Asiakkaalle, jos Asiakkaan Ohjeet rikkovat tai loukkaavat Tietosuojalainsäädäntöä.

 

Leadwin varmistaa että henkilötietoa käsittelee Asiakkaan puolesta ainoastaan henkilöt, joilla on velvollisuus pitää henkilötieto salassa. Leadwin informoi Asiakasta, mikäli se saa Tietosuojalainsäädännön mukaisen rekisteröidyn oikeuksien toteuttamista koskevan tietopyynnön. Leadwin ei vastaa Rekisteröityjen pyyntöön vaan ohjaa rekisteröidyn pyynnön Asiakkaalle, mikäli Asiakas on henkilötietojen rekisterinpitäjä, ellei Asiakas kirjallisesti pyydä Leadwinia vastaamaan Rekisteröidyn pyyntöön. Leadwin informoi Asiakasta, mikä se saa viranomaiselta pyynnön, jossa vaaditaan Leadwinia luovuttamaan henkilötietoja viranomaiselle.

 

Leadwin avustaa Asiakkaan teknisten ja organisatoristen toimenpiteiden toteuttamisessa Asiakkaan omalla kustannuksella. Tähän avustamiseen voi kuulua tietosuojavaikutusten arviointi ja Tietosuojaviranomaisen konsultointi liittyen Leadwinin Palveluiden toimittamiseen Asiakkaalle. Leadwin ylläpitää tietoturvaloukkausten ilmoitusprosessia. Mikäli Leadwin on Tietosuojalainsäädännön nojalla velvoitettu ilmoittamaan tapahtuneesta Asiakkaalle, Leadwin ilmoittaa tietoturvaloukkauksesta Asiakkaalle ilman aiheetonta viivytystä Tietosuojalainsäädännön puitteissa. Leadwin ilmoittaa Tietoturvaloukkauksesta asiakkaan loppuasiakkalle vasta sen jälkeen kun Leadwin on ensin informoinut Asiakasta Tietoturvaloukkauksesta.

 

Leadwin käyttää alikäsittelijöitä, jotka ovat tarpeen Palveluiden suorittamiseen tämän Tietosuojasopimuksen 7 kohdan mukaisesti Asiakkaan antaman yleisen kirjallisen valtuutuksen perusteella. Leadwin osallistuu Tietosuojalainsäädännön edellyttämässä laajuudessa Asiakkaan pyynnöstä auditointeihin tai tarkastuksiin antamalla Leadwinin auditointiraportit, jotka ovat Leadwinin luottamuksellista tietoa. Leadwin toimittaa ilman aiheetonta viivästystä auditointiasiakirjat, jonka laajuus on kohtuullinen koskien Leadwinin henkilötietojen käsittelyä. Kaikki toimitettu materiaali on Leadwinin luottamuksellista tietoa. Asiakas voi pyytää Leadwinia Sopimuskauden päätteeksi poistamaan tai palauttamaan kaikki Leadwinin käsittelemä Henkilötieto Asiakkaalle ellei Tietosuojalainsäädäntö edellytä Leadwinia säilyttämään Henkilötietoa pidempään.

7. Henkilötiedon alikäsittelijät

Asiakas valtuuttaa Leadwinin käyttämään henkilötiedon alikäsittelijöitä, jotka on listattu Leadwinin henkilötiedon alikäsittelijä listalla erillisellä sivustolla (”Leadwinin alihankkijat”). Leadwin ilmoittaa Asiakkaalle sähköpostitse kaikista Leadwinin Leadwin alihankkijalistaan tekemistä muutoksista vähintään 30 päivää ennen muutosten voimaantuloa, jos Asiakas on tilannut ilmoituksen muutoksista sähköpostiin.

 

Asiakas voi perustellusta syystä vastustaa muutosta 30 päivän kuluessa ilmoituksen vastaanottamisesta. Asiakas tiedostaa että Leadwinin alikäsittelijät ovat välttämättömiä Palvelun tarjoamiseksi ja jos Asiakas vastustaa alikäsittelijän käyttöä, Leadwin ei ole velvollinen suorittamaan Palvelusopimuksen mukaista Palvelua siltä osin, kun siihen käytetään Asiakkaan vastustamaa alikäsittelijää.

 

Leadwin tekee jokaisen alikäsittelijän kanssa tietosuojasopimuksen, joka asettaa kyseiselle alikäsittelijälle velvollisuuksia, jotka ovat samantasoisia kuin Leadwinin Tietosuojalainsäädännön mukaiset velvoitteet. Jos alikäsittelijä ei täytä tämän sopimuksen mukaisia tietosuojavelvoitteitaan, Leadwin on vastuussa alikäsittelijän toimista ja laiminlyönneistä samalla tavalla kuin Leadwin on vastuussa omista velvoitteistaan Tietosuojalainsäädännön nojalla.

 

 

8. Vastuunrajoitus

Leadwin ei ole vastuussa mistään rekisteröidyn vaatimuksista, jotka johtuvat Leadwinin toimista tai laiminlyönneistä tai liittyvät niihin, siltä osin kuin Leadwin on toiminut Asiakkaan antamien Ohjeiden mukaisesti.

 

 

9. Asiakkaan velvollisuudet rekisterinpitäjänä

Asiakkaan tulee antaa ainoastaan Ohjeita jotka ovat Tietosuojalainsäädännön mukaisia. Asiakkaan tulee täyttää Tietosuojalainsäädännön mukaiset velvollisuudet ja varmistaa että Asiakkaalla on laillinen peruste henkilötietojen käsittelylle.

 

 

10. Kansainväliset tiedonsiirrot

Leadwin saattaa henkilötiedon käsittelijänä siirtää Henkilötietoa ETA-alueen ulkopuolelle toteuttaakseen Palvelua. Tällaisessa tapauksessa, Leadwin varmistaa että kyseisessä maassa on riittävä henkilötietojen suojan riittävyys vastaavuuspäätöksen nojalla.

 

 

11. Tietosuojasopimuksen voimassaolo ja päättyminen

Tietosuojasopimus astuu voimaan Asiakkaan tehdessä sopimuksen Leadwinin kanssa sovitun palvelun tuottamisesta ja jatkuu sopimuksen päättymiseen saakka.

 

Lisäys 1: Henkilötietojen hyväksytty tietojensiirtomekanismi:

OSAPUOLTEN LUETTELO

 

Tietojen viejä

  1. Nimi: Osapuoli, joka solmi Palvelusopimuksen Leadwinin kanssa

  2. Osoite: Tietojen viejän osoite

  3. Yhteyshenkilön nimi, asema ja yhteystiedot: Tietojen viejän tarjoama yhteyshenkilön nimi, asema ja yhteystiedot.

  4. Näitä lausekkeita noudattaen siirrettäviin tietoihin liittyvät toimet: Henkilötiedon käsittely liittyen Tietojen viejän Palvelun käyttöön Palvelusopimuksen nojalla.

  5. Allekirjoitus ja päiväys: Käyttämällä Palvelua henkilötietojen siirtämiseen tietojen tuojalle, tietojen viejän katsotaan allekirjoittaneen tämän Liitteen 1.

  6. Rooli (rekisterinpitäjä / henkilötietojen käsittelijä): Rekisterinpitäjä

 

Tietojen tuoja

  1. Nimi: Leadwin Oy

  2. Osoite: Korkeavuorenkatu 10 B 17, 00120 Helsinki

  3. Yhteyshenkilön nimi, asema ja yhteystiedot: Aleksi Hokkanen, Operatiivinen Johtaja, aleksi@leadwin.fi Näitä lausekkeita noudattaen siirrettäviin tietoihin liittyvät toimet: Henkilötiedon käsittely liittyen Tietojen viejän Palvelun käyttöön Palvelusopimuksen nojalla.

  4. Allekirjoitus ja päiväys: Tietojen tuojan katsotaan allekirjoittaneen tämän Liitteen I kun tietojen tuoja on aloittanut henkilötietojen siirron Palvelua käyttämällä.

  5. Rooli (rekisterinpitäjä / henkilötietojen käsittelijä): Henkilötietojen käsittelijä

B. SIIRRON KUVAUS

 

Rekisteröityjen ryhmät, joiden henkilötietoja siirretään:

Tietojen viejän loppuasiakkaat, edustajat tai luonnolliset henkilöt, jotka käyttävät tietojen viejän (Asiakkaan) käyttöönottamaa Palvelua. Siirrettävät henkilötietoryhmät on määritelty tämän Tietosuojasopimuksen kohdassa 3.

Siirron toistuvuus (esim. siirretäänkö tietoja kertaluonteisesti vai jatkuvasti):

Henkilötietojen siirretään jatkuvasti Palvelusopimuksen keston ajan, kunnes henkilötiedot poistetaan Tietosuojasopimuksen kohdan X mukaisesti.

Henkilötietojen käsittelyn luonne:

Henkilötiedon käsittelyn luonne on kuvattu Tietosuojasopimuksen kohdassa 4.

Tietojen siirron ja jatkokäsittelyn tarkoitus (tarkoitukset):

Henkilötiedon käsittelyn käyttötarkoitukset on kuvattu Tietosuojasopimuksen kohdassa 4.

 

Henkilötietojen säilytysaika tai, jos sitä ei ole mahdollista ilmoittaa, säilytysajan määrittämiskriteerit:
Henkilötietojen käsittelyaika on kuvattu Tietosuojasopimuksen kohdassa 6.

 

Kun on kyse siirroista alihankkijana toimiville henkilötietojen käsittelijöille, ilmoitetaan myös käsittelyn aihe, luonne ja kesto:
Alikäsittelijöille tapahtuviin siirtoihin liittyvä käsittelyn aihe ja luonne on käsitelty liitteessä 3. Henkilötietojen käsittelyn kesto on kuvattu Tietosuojasopimuksen kohdassa 6.

LIITE II: TEKNISET JA ORGANISATORISET TOIMENPITEET, MUKAAN LUKIEN TEKNISET JA ORGANISATORISET TOIMENPITEET TIETOTURVAN VARMISTAMISEKSI

  • Palvelinten ja työasemien suojaaminen palomuurilla ja virustorjuntaohjelmistoilla

  • Suojattujen tietoliikenneyhteyksien käyttäminen (TLS/SSL)

  • Käytettävien alihankkijoiden ja teknologiakumppaneiden palveluiden käyttäminen salatuilla yhteyksillä

  • 2-vaiheinen tunnistautuminen järjestelmiin

  • Henkilökunnan käyttäjätunnuksella ja salasanalla rajoitettu pääsy Asiakas- ja henkilötietoihin

  • Rajoitettu fyysinen pääsy työskentelytiloihin ja työasemille sekä palvelimille

  • Varmistettu alihankkijoiden ja teknologiakumppaneiden tietoturvataso

  • Vain Tietosuojalainsäädännön täyttävien alihankkijoiden ja teknologiakumppaneiden käyttö

  • Päättelemällä selvitettävissä olevien järjestelmien ja palvelujen salasanojen käytön kielto

  • Kerättävän henkilötiedon minimointi

  • Vain sellaisen henkilötiedon käsittely, säilytys ja hyödyntäminen, johon on olemassa asiallinen syy Palvelun tai tuotteen toimittamiselle sekä tarpeettoman Henkilötiedon poistaminen

LIITE III: LUETTELO ALIHANKKIJANA TOIMIVISTA HENKILÖTIETOJEN KÄSITTELIJÖISTÄ


Rekisterinpitäjä on antanut yleisen valtuuden käyttää kyseisiä alikäsittelijöitä: Linkki alikäsittelijä sivulle.

LIITE IV
 

Ehto 8.1 (a) Ohjeet

Tämä Tietosuojasopimus ja Palvelusopimus ovat tietojen viejän täydelliset ja lopulliset ohjeet Henkilötiedon käsittelystä Tietosuojasopimuksen solmimishetkellä. Mahdollisista lisäohjeista on erikseen sovittava kirjallisesti Osapuolten kesken. Yleisen Vakiosopimuslausekkeiden 8.1.(a):n tarkoituksia varten tässä Tietosuojasopimuksessa kuvattu Henkilötietojen käsittely katsotaan Tietojen viejän ohjeeksi Henkilötietojen käsittelystä.

 

Ehto 9(c) : kopiot alikäsittelijöiden kanssa tehdyistä yleisistä vakiosopimuslausekkeista

 

Määritelmät

 

"Alikäsittelijä" tarkoittaa tahoa, jonka tietojen käsittelijä ottaa käyttöön henkilötietojen käsittelyssä kyseisen tietojen käsittelijän puolesta Palveluiden yhteydessä.

 

”Henkilötieto” tarkoittaa kaikkea tunnistettuun tai tunnistettavissa olevaan Rekisteröityyn liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen perusteella.

 

"Tietosuojaviranomainen” tarkoittaa viranomaista, joka on vastuussa Tietosuojalainsäädännön noudattamisen valvonnasta ja yksilöiden oikeuksien turvaamisesta heidän henkilötietoihinsa tietyllä lainkäyttöalueella.

 

”Tietoturvaloukkaus” tarkoittaa mitä tahansa henkilötietojen luvatonta pääsyä, paljastamista, muuttamista, katoamista tai tuhoamista, joko vahingossa tai tahallisesti, mikä vaarantaa tämän sopimuksen mukaisesti käsiteltyjen henkilötietojen turvallisuuden, luottamuksellisuuden tai eheyden.

 

”Tietosuojalainsäädäntö” tarkoittaa tietosuoja-asetusta (EU) 2016/679 ("GDPR").

 

”Rekisteröity” tarkoittaa tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, johon henkilötiedot liittyvät.

 

"Ohjeet" tarkoittaa tätä tietosuojasopimusta ja mitä tahansa muuta kirjallista sopimusta tai dokumentaatiota, jonka mukaisesti Asiakas rekisterinpitäjänä kehottaa Leadwinin suorittamaan tiettyä henkilötietojen käsittelyä kyseiselle rekisterinpitäjälle.

 

”Vakiosopimuslausekkeet” tarkoittavat Euroopan komission täytäntöönpanopäätöksessä (EU) 2021/914 vakiosopimuslausekkeista henkilötietojen siirtämistä kolmansiin maihin GDPR:n mukaisesti asetettujen vakiosopimuslausekkeiden moduulia 2 (Siirto: Rekisterinpitäjä käsittelijälle).

bottom of page