Yleisen tietosuoja-asetuksen (jäljempänä „GDPR“) 28 artiklan 3 kohdan mukainen sopimus tilausten käsittelystä.

NatureWebServices GmbH toimii yleisen tietosuoja-asetuksen 28 artiklan mukaisena henkilötietojen käsittelijänä (jäljempänä „toimeksisaaja“) tarjotessaan palveluja asiakkaille, jotka käyttävät palveluja yrittäjinä. Näissä käyttöehdoissa tarkoitettu yrittäjä on luonnollinen tai oikeushenkilö tai oikeuskelpoinen henkilöyhtiö, joka käyttöehtoja tehdessään toimii kaupallisen tai itsenäisen ammatillisen toimintansa puitteissa. Tässä tapauksessa tietojenkäsittelystä vastaava henkilö on asiakas, joka käyttää palveluja yrittäjänä (jäljempänä „asiakas“). Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukainen tietojenkäsittelysopimus tehdään toimeksisaajan ja asiakkaan välillä, kun asiakas hyväksyy käyttöehdot.

• Tilauksen käsittelysopimuksen kohteena on verkkopalvelun ja APP-palvelun käyttötietojen (sähköpostiosoite), sovellukseen vapaaehtoisesti syötettyjen tietojen (titteli, etunimi, sukunimi) sekä kuvien ja/tai videoiden käsittely käyttöehtojen mukaisesti (jäljempänä „käsittelytoiminta“).
• Tämä tietojenkäsittelysopimus alkaa käyttöehtojen hyväksymisestä ja päättyy kohdassa kuvatulla tavalla. 10 Sopimuskausi ja irtisanominen viitattu.
• Käsittelytoiminta on suoritettava yksinomaan Euroopan unionin jäsenvaltiossa tai Euroopan talousalueesta tehdyn sopimuksen allekirjoittajavaltiossa. Palvelun tai sen osien siirtäminen kolmanteen maahan edellyttää asiakkaan ennakkosuostumusta.
• Toimeksisaaja sitoutuu käsittelemään tietoja ja käsittelytuloksia ainoastaan näiden käyttöehtojen puitteissa. Jos toimeksisaaja saa virallisen määräyksen luovuttaa asiakkaan tietoja, toimeksisaajan on - jos se on laillisesti sallittua - ilmoitettava siitä asiakkaalle välittömästi ja osoitettava viranomainen asiakkaalle. Samoin tietojen käsittely toimeksisaajan omiin tarkoituksiin edellyttää asiakkaan kirjallista suostumusta.
• Asiakas on yksin vastuussa käsittelyn sallittavuuden arvioinnista yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukaisesti ja rekisteröityjen oikeuksien turvaamisesta yleisen tietosuoja-asetuksen 12-22 artiklan mukaisesti. Toimeksisaajan on välitettävä tiedustelut asiakkaalle, jos ne on tunnistettavasti osoitettu yksinomaan asiakkaalle.
• Toimeksisaajan velvollisuudet
  • Toimeksisaaja vahvistaa, että se on tietoinen GDPR:n tietosuoja-asetuksista, jotka koskevat tilausten käsittelyä.
  • Toimeksisaaja vakuuttaa oikeudellisesti sitovalla tavalla, että se on velvoittanut kaikki tietojenkäsittelyn toimeksiantajat vaitiolovelvollisuuteen ennen toiminnan aloittamista tai että heitä koskee asianmukainen lakisääteinen vaitiolovelvollisuus. Erityisesti tietojenkäsittelyyn valtuutettujen henkilöiden salassapitovelvollisuus on voimassa myös heidän toimintansa päättymisen ja toimeksisaajan palveluksesta eroamisen jälkeen.
  • Toimeksisaaja vakuuttaa oikeudellisesti sitovasti, että se on toteuttanut kaikki tarvittavat toimenpiteet varmistaakseen käsittelyn turvallisuuden yleisen tietosuoja-asetuksen 32 artiklan mukaisesti.
  • Toimeksisaajan on varmistettava, että palvelun suojan taso vastaa riskiä, joka kohdistuu niiden luonnollisten henkilöiden oikeuksiin ja vapauksiin, joihin käsittely vaikuttaa. Tätä varten otetaan huomioon yleisen tietosuoja-asetuksen 32 artiklan 1 kohdan mukaiset suojelutavoitteet, kuten järjestelmien ja palvelujen luottamuksellisuus, eheys ja saatavuus sekä niiden kestävyys suhteessa käsittelyn tyyppiin, laajuuteen, olosuhteisiin ja tarkoitukseen, siten, että riskiä lievennetään pysyvästi asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä.
  • Toimeksisaaja suorittaa käsittelyn turvallisuuden varmistamiseksi toteutettujen teknisten ja organisatoristen toimenpiteiden tehokkuuden tarkastelun, arvioinnin ja arvioinnin tarpeen mukaan, kuitenkin vähintään kerran vuodessa.
  • Toimeksisaajan on toteutettava tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että asiakas voi milloin tahansa lakisääteisten määräaikojen puitteissa toteuttaa rekisteröidyn oikeudet yleisen tietosuoja-asetuksen III luvun mukaisesti (tietojen antaminen, pääsy, oikaiseminen ja poistaminen, tietojen siirrettävyys, vastustaminen ja automatisoitu päätöksenteko yksittäistapauksissa), ja annettava asiakkaalle kaikki tarvittavat tiedot verkko- ja APP-palvelujen kautta. Jos toimeksisaajalle lähetetään vastaava pyyntö ja toimeksisaaja huomaa, että hakija luulee virheellisesti olevansa sen suorittaman tietojenkäsittelyn asiakas, toimeksisaajan on toimitettava pyyntö viipymättä asiakkaalle ja ilmoitettava tästä hakijalle.
  • Toimeksisaaja tukee asiakasta yleisen tietosuoja-asetuksen 32-36 artiklassa säädettyjen velvoitteiden noudattamisessa (tietoturvatoimenpiteet, henkilötietojen tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle, ilmoitus henkilötietojen tietoturvaloukkauksen kohteeksi joutuneelle henkilölle, tietosuojaa koskeva vaikutustenarviointi, ennakkokuuleminen).
  • Toimeksisaajan on tehtävä tarvittavassa määrin yhteistyötä, jotta asiakas voi toteuttaa rekisteröityjen oikeuksia yleisen tietosuoja-asetuksen 12-22 artiklan mukaisesti, laatia käsittelytoimia koskevia asiakirjoja ja tehdä tarvittavat tietosuojaa koskevat vaikutustenarvioinnit, ja tuettava asiakasta mahdollisuuksien mukaan asianmukaisella tavalla.
  • Toimeksisaajan on ilmoitettava tilaajalle kaikista häiriöistä, toimeksisaajan tai hänen palveluksessaan olevien henkilöiden tekemistä rikkomuksista, tietosuojasäännösten tai tilauksessa tehtyjen eritelmien rikkomisesta sekä epäillyistä tietosuojarikkomuksista tai henkilötietojen käsittelyyn liittyvistä sääntöjenvastaisuuksista. Tämä koskee myös kaikkia yleisen tietosuoja-asetuksen 33 ja 34 artiklan mukaisia tilaajan raportointi- ja ilmoitusvelvoitteita. Tarvittaessa toimeksisaaja tukee asiakasta asianmukaisesti tietosuoja-asetuksen 33 ja 34 artiklan mukaisissa velvoitteissa.
  • Toimeksisaaja laatii yleisen tietosuoja-asetuksen 30 artiklan mukaisen käsittelyluettelon tätä tilauksen käsittelyä varten.
  • Asiakkaalle myönnetään oikeus tarkastaa ja valvoa tietojenkäsittelytiloja milloin tahansa, myös asiakkaan valtuuttamien kolmansien osapuolten toimesta, asiakkaan toimittamien tietojen käsittelyn osalta. Toimeksisaaja sitoutuu toimittamaan tilaajalle tarvittavat tiedot, jotta voidaan valvoa tässä sopimuksessa määriteltyjen velvoitteiden noudattamista.
  • Toimeksisaaja tarjoaa asiakkaalle mahdollisuuden käyttää verkko- ja APP-palveluja,
    • ladata yksittäisiä tai kaikkia kuvia ja/tai videoita milloin tahansa ja/tai
    • poistaa yksittäisiä tai kaikkia kuvia ja/tai videoita toimeksisaajan palvelimelta.

Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan g alakohdan mukaisesti asiakkaan verkko- ja APP-palveluiden kautta suorittama pääsytietojen (sähköpostiosoite), sovellukseen vapaaehtoisesti syötettyjen lisätietojen (titteli, etunimi, sukunimi) ja kuvien ja/tai videoiden poistaminen poistaa myös kaikki poistetut henkilötiedot toimeksisaajalta ja sen alihankkijoilta. Varmuuskopiotiedostojen tiedot poistetaan seuraavan varmuuskopiointisyklin päätyttyä.

• Aliprosessorit
  • Asiakas antaa toimeksisaajalle yleisen valtuutuksen käyttää muita yleisen tietosuoja-asetuksen 28 artiklassa tarkoitettuja alihankkijoita sopimuksen täyttämiseksi. On varmistettava, että alihankkijana toimiva henkilö täyttää samat velvoitteet, jotka kuuluvat toimeksisaajalle tämän sopimuksen perusteella. Jos alihankkija ei täytä tietosuojavelvoitteitaan, toimeksisaaja on vastuussa asiakkaalle alihankkijan velvoitteiden noudattamisesta.
  • Toimeksisaajan on ilmoitettava asiakkaalle alihankkijan nimi ja osoite sekä aiottu toiminta sähköpostipyynnöstä (info@icuserver.com) kanssa. Toimeksisaajan on varmistettava, että se valitsee alihankkijan huolellisesti ja ottaa erityisesti huomioon alihankkijan toteuttamien teknisten ja organisatoristen toimenpiteiden soveltuvuuden yleisen tietosuoja-asetuksen 32 artiklassa tarkoitetulla tavalla.