Tietosuojaliite sopimusehtoihin (yhdistys / yhteisö)

TIETOSUOJALIITE (DPA) SOPIMUSEHTOIHIN

Voimassa alkaen 25.5.2018

Membook Free – Membook Basic Mini – Membook Basic

Tämä sopimusliite on olennainen ja erottamaton osa Asiakkaan ja Membook Oy:n välisiä yleisiä Membook -palvelun käyttöä koskevia sopimusehtoja. Mikäli sopimusehtojen ja tämän liitteen ehtojen välillä on ristiriitaisuuksia, saa tämä liite etusijan.

Määritelmät

Tässä liitteessä käytetyt käsitteet saavat sen merkityssisällön, joka niille on annettu Euroopan Unionin asetuksessa 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä “tietosuoja-asetus”). Tällaisia käsitteitä ovat erityisesti termit rekisterinpitäjä, henkilötietojen käsittelijä, henkilötieto, rekisteröity, käsittely ja henkilötietojen tietoturvaloukkaus.

Tarkoitus

Asiakas on Membook -palvelun sopimusehdot hyväksynyt yhdistys (r.y. mutta ei r.p.), joka sopimusehdot hyväksymällä on ottanut käyttöön Membook -palvelun Free, Basic Mini tai Basic -version. Asiakkaalla on lakisääteinen velvollisuus ylläpitää jäsenrekisteriä. Asiakas on asetuksen tarkoittama ”Rekisterin pitäjä”.

Membook Oy on saman nimistä jäsenrekisteripalvelua tuottava yritys. Membook Oy on asetuksen tarkoittama ”Rekisterin käsittelijä”.

Tällä liitteellä osapuolet sopivat siitä, että Membook Oy henkilötietojen käsittelijänä käsittelee sopimuksen voimassaoloaikana Asiakkaan henkilötietoja Asiakkaan eli rekisterinpitäjän, lukuun.

Henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan sopimuksessa kuvattujen velvoitteiden täyttämiseksi rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti.

Henkilötietojen käsittelijällä ei ole oikeutta käsitellä henkilötietoja mihinkään muuhun tarkoitukseen tai kenenkään muun hyväksi. Henkilötietojen käsittelijällä ei ole oikeutta siirtää henkilötietoja EU:n tai ETA:n ulkopuolisiin maihin, ellei se ole saanut siihen rekisterinpitäjältä kirjallista etukäteistä suostumusta. Tällaisessa tilanteessa henkilötietojen käsittelijän on noudatettava niitä velvoitteita, joita tietosuoja-asetuksessa määritellään kansainvälisille henkilötietojen siirroille EU:n ja ETA:n ulkopuolelle.

Henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos tämä katsoo, että rekisterinpitäjän antamat käsittelyä koskevat kirjalliset ohjeistukset rikkovat tietosuoja-asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä. Tämän liitteen ehtojen lisäksi kumpikin osapuoli sitoutuu noudattamaan sovellettavia kansallisia tietosuojalakeja ja tietosuoja-asetuksen säännöksiä toimintaansa soveltuvin osin.

Käsittelyä koskevat tarkemmat tiedot, kuten käsittelyn luonne, henkilötietojen tyyppi ja rekisteröityjen ryhmät, on kuvattu alaliitteessä A.

Alihankinnat

Henkilötietojen käsittelijällä on oikeus käyttää käsittelyssä toisen henkilötietojen käsittelijän palveluja edellyttäen, että henkilötietojen käsittelijä ilmoittaa tästä kirjallisesti vähintään 30 päivää etukäteen rekisterinpitäjälle. Kirjallisten ilmoitusten toimittamisvelvollisuus koskee suunniteltua käsittelijän lisäämistä, poistamista tai vaihtamista. Ilmoituksen saatuaan rekisterinpitäjä voi vastustaa suunniteltuja muutoksia.

Käyttäessään toisen henkilötietojen käsittelijän palveluja, henkilötietojen käsittelijän tulee sopia palveluntarjoajan kanssa, että käsittely tapahtuu noudattaen samoja tietosuojavelvoitteita, kuin mitä tässä liitteessä on kuvattuna. Henkilötietojen käsittelijä vastaa siitä, että sen käyttämän toisen henkilötietojen käsittelijän palvelut toteutetaan tämän liitteen vaatimusten mukaisina.

Alihankintapalvelut voivat sijaita EU-/ETA -alueen ulkopuolella. Membook Oy on varmistanut sopimuksin että käytetyt palvelut täyttävät EU:n tietosuoja-asetuksen velvoitteet ja toimittajien kanssa on tehty vastaava DPA kuin mitä tämä tietosuojaliite on. Alihankkijat ja palveluntuottajat on lueteltu alaliitteessä B.

Salassapito

Kaikkia henkilötietoja, joita henkilötietojen käsittelijä käsittelee rekisterinpitäjän lukuun, pidetään rekisterinpitäjän luottamuksellisina tietoina ja henkilötietojen käsittelijä sitoutuu pitämään tiedot salassa ja olemaan luovuttamatta tai paljastamatta niitä kenellekään kolmannelle osapuolelle tai käyttämättä tietoja muuhun kuin sovittuun tarkoitukseen. Henkilötietojen käsittelijä sitoutuu myös olemaan luovuttamatta ja paljastamatta henkilötietoja omassa organisaatiossaan muille kuin sellaisille työntekijöilleen tai muille henkilöille (ml. mahdolliset alihankkijat), joiden on tarpeen tuntea kyseinen tieto sovittua tarkoitusta varten ja jotka ovat palvelu- tai muiden sopimustensa perusteella taikka lakisääteisesti velvollisia pitämään tiedon luottamuksellisena. Salassapitovelvoitteet pysyvät voimassa sopimuksen päättymisestä huolimatta.

Tietoturva

Henkilötietojen käsittelijän tulee huolehtia, että se toteuttaa kaikki asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla pyritään estämään henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Toimenpiteet tulee suunnitella huomioiden uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.

Toimenpiteet ovat muunmuassa mutta ei pelkästään:

kyky taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus
kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa
menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Henkilötietojen tietoturvaloukkaukset

Henkilötietojen käsittelijän on ilmoitettava tietoonsa tulleesta käsittelyssä tapahtuneesta henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä, jotta rekisterinpitäjä voi täyttää tietosuoja-asetuksessa määritellyt ilmoitusvelvoitteet asetetussa määräajassa. Tietoturvaloukkauksesta tulee antaa riittävät tiedot ja henkilötietojen käsittelijän tulee muutoinkin avustaa rekisterinpitäjää, jotta rekisterinpitäjä voi täyttää tälle tietosuoja-asetuksessa asetetut velvoitteet. Henkilötietojen käsittelijän tulee myös ryhtyä tarpeellisiin jatkotoimenpiteisiin, joilla henkilötietojen tietoturvaloukkauksen haittavaikutuksia voidaan lieventää tai tulevia loukkauksia estää.

Tietosuojaa koskeva vaikutustenarviointi

Mikäli henkilötietojen käsittelijä tulee tietoiseksi siitä, että suunniteltu käsittely aiheuttaisi korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta, tulee sen ilmoittaa tästä rekisterinpitäjälle ja avustaa tätä tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin toteuttamisessa.

Rekisteröidyn oikeuksien toteuttaminen

Ottaen huomioon käsittelytoimen luonteen, henkilötietojen käsittelijän tulee kohtuudella ja ilman aiheetonta viivästystä auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat tietosuoja-asetuksessa säädettyjen rekisteröidyn oikeuksien käyttämistä. Tällaisia oikeuksia voivat olla muun muassa, sellaisina kuin ne on tietosuoja-asetuksessa määritelty, rekisteröidyn oikeus saada pääsy tietoon, oikeus saada tieto korjatuksi, oikeus kieltää käsittely, oikeus tietojen poistamiseen (ns. “oikeus tulla unohdetuksi”), oikeus käsittelyn rajoittamiseen ja oikeus saada tiedot siirretyksi järjestelmästä toiseen.

Mikäli tällaisia vaatimuksia esitetään suoraan henkilötietojen käsittelijälle, sen tulee viipymättä ilmoittaa niistä rekisterinpitäjälle.

Auditoinnit

Henkilötietojen käsittelijän tulee saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tietosuoja-asetuksessa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja henkilötietojen käsittelijä sallii ja kohtuudella avustaa rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset henkilötietojen käsittelijän tiloihin, järjestelmiin, prosesseihin ja dokumentaatioon, sekä osallistuu itse niihin, mikäli rekisterinpitäjä katsoo tarpeelliseksi sellaisen toteuttamisen. Auditoinnit pyritään suorittamaan normaalin työajan puitteissa siten, että niistä aiheutuisi mahdollisimman vähän haittaa henkilötietojen käsittelijän liiketoiminnalle. Kumpikin osapuoli vastaa omista auditoinnin suorittamiseen liittyvistä kustannuksistaan. Rekisterinpitäjän tulee ilmoittaa henkilötietojen käsittelijälle vähintään 15 päivää etukäteen auditoinnin toteuttamisesta.

Liitteen voimaantulo ja sopimuksen päättymisen vaikutukset

Tämä liite astuu voimaan 25.5.2018 ja pysyy voimassa sopimuksen voimassaoloa koskevien ehtojen mukaisesti.

Sopimuksen päättyessä henkilötietojen käsittelijän tulee, rekisterinpitäjän valinnan mukaan, joko poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Siinä tapauksessa henkilötietojen käsittelijällä on oikeus säilyttää henkilötiedot lain vaatimusten mukaisesti, jatkamatta muutoin henkilötietojen käsittelyä ja noudattaen edelleen tässä liitteessä kuvattuja salassapitovelvoitteita.

ALALIITE A:

KÄSITTELYÄ KOSKEVAT VAATIMUKSET

Käsittelyn luonne:

Yhdistyksen jäsenrekisterin ylläpito ja säilyttäminen. Jäsenrekisterin yhteydessä syntyvän rinnakkaisen käyttäjärekisterin ylläpito ja säilyttäminen.

Henkilötietojen käsittelijä saa käsitellä seuraavia henkilötietoja liitteessä ja sopimuksessa kuvatun tarkoituksen edistämiseksi:

Yhdistyksen määrittämä jäsenrekisterin sisältö Membook-palvelussa
Jäsenmaksuja koskeva tieto maksujen kirjaamiseksi palvelussa ja maksujen tilittämistä varten
Jäsenen itsensä vapaaehtoisesti antama palvelun käyttäjätunnusta koskeva tieto. Käyttäjärekisteri muodostaa lisäksi oman erillisen rekisterinsä, jonka osalta Membook Oy on rekisterin pitäjä. (Lue: Palvelun käyttäjän käyttöehdot)

Henkilötiedot koskevat seuraavia rekisteröityjen ryhmiä:

Yhdistyksen jäsenrekisterin sisältämät jäsenet, muut kontaktit ja mahdollinen palvelun käyttäjätunnus.

ALALIITE B:

HYVÄKSYTYT ALIHANKKIJAT HENKILÖTIETOJEN KÄSITTELYLLE

Alihankkijoiden kanssa on varmistettu tietosuoja-asetuksen vaatimusten täyttyminen alihankintasopimuksissa ja tietosuojaliitteissä (DPA).

Identcard Oy - Tulostus- ja postituspalvelukumppani, jäsenkorttien tuottajakumppani.

Netorek Oy - Membook-palvelimien ylläpito- ja hosting -kumppani (palvelimien tietoturvavastuu, varmuuskopioinnit ja tietojen palautus)

Nemit Oy - Membook-palvelun tuotekehityskumppani (palvelun kehittämisvastuu, palvelun tietoturvavastuu, virheiden selvittelyvastuu)

KÄYTETYT TAUSTAPALVELUT JOIHIN SIIRRETÄÄN HENKILÖTIETOA

MailChimp Inc. / Mandrill palvelu.

Transaktionaalinen sähköpostiliikenne Membookin taustalla (esim. käyttäjätunnuksen luonti, salasanan vaihto, viestien välitys, laskuviestien välitys). Taustapalveluun siirretään automaattisesti Membookin viestipyyntö, viestin sisältö ja henkilötietojen osalta vastaanottajan sähköposti viestin välittämistä varten. Tietoja säilytetään palvelussa 30 vrk jonka jälkeen ne tuhotaan automaattisesti. Palvelu voi säilyttää tietoja EU-alueen ulkopuolella. Palvelun käytöstä on tehty EU:n tietosuoja-asetuksen mukainen sopimus ja alihankkija täyttää tietosuoja-asetuksen vaatimukset.

Groove Networks, LLC / Groove asiakastukijärjestelmä

Asiakastukijärjestelmässä käsitellään asiakkailta, näiden jäseniltä tai rekisteröityneiltä Membook-käyttäjiltä saapuvia palvelun käyttöön liittyviä viestejä. Viesti lähetetään joko info@membook.fi sähköpostiin tai nettisivulla olevan widgetin kautta. Viestejä säilytetään järjestelmässä 6 kk ajan, jotta varmistetaan asian hyvä hoito ja tarvittaessa asiaan palaaminen. Järjestelmä säilyttää palvelupyynnön jättäjästä nimi- ja sähköpostitiedon sekä mahdollisen muun julkisesta lähteestä saatavilla olevan tiedon (esim. Twitter-tilin). Palvelun käytöstä on tehty EU:n tietosuoja-asetuksen mukainen sopimus ja alihankkija täyttää tietosuoja-asetuksen vaatimukset.

ALALIITE C: VÄHIMMÄISVAATIMUKSET TIETOTURVAA KOSKIEN

Palvelimien sijainti: Suomi
Palvelimiin pääsy huoltotoimia varten: Vain nimetyillä alihankkijan henkilöillä vaihtuvan salasanan turvin
Ylläpito ja varmistukset: Palvelimet on varustettu 24/7 etävalvontamenetelmillä. Varmistukset otetaan kerran vuorokaudessa.
Tekninen ja fyysinen tietoturva: Tarkempi luottamuksellinen pavelinympäristön tietoturvakuvaus saatavilla pyydettäessä.