Tietojenkäsittelyliite

Päivitetty viimeksi: 21.3.2023

Tämä sinun, eli käyttäjän, ja mahdollisten edustamiesi yhtiöiden ja muunlaisten yritysten (yhdessä “asiakas”) ja sopimuksen mukaisen Vistaprint-sopimusosapuolen (“VistaPrint”) välinen tietojenkäsittelysopimus (“tietojenkäsittelysopimus”) liitetään viittaamalla osaksi ja täydennykseksi ehtoihin (yhdessä “sopimus”), jotka ohjaavat eri VistaPrint-palvelujen käyttöä. Tätä tietojenkäsittelysopimusta sovelletaan, kun VistaPrint toimii sopimuksen mukaisena henkilötietojen käsittelijänä tai palveluntarjoajana (soveltuvin osin) asiakkaan puolesta. Tämä tietojenkäsittelysopimus tulee voimaan ja saa etusijan suhteessa mahdollisiin aiemmin tehtyihin sen aihetta käsitteleviin ehtoihin sopimuksen voimaantulopäivästä alkaen ja säilyy voimassa siihen asti, kunnes tällainen sopimus päättyy.

1. MÄÄRITELMÄT

“Riittävä maa” tarkoittaa, soveltuvin osin, (i) EU:n tietosuoja-asetuksen soveltuessa Euroopan talousaluetta (“ETA-alue”) tai maata tai aluetta, jonka Euroopan komissio katsoo tarjoavan riittävän suojan tason, (ii) Yhdistyneen kuningaskunnan tietosuoja-asetuksen soveltuessa Yhdistynyttä kuningaskuntaa tai maata tai aluetta, jonka katsotaan tarjoavan Yhdistyneen kuningaskunnan vuoden 2018 tietosuojalain, muutoksineen ja täydennyksineen, mukaisen riittävän tietosuojan, (iii) ja Sveitsin liittovaltion tietosuojalain, muutoksineen ja täydennyksineen, soveltuessa Sveitsiä tai Sveitsin ulkopuolista maata tai aluetta, jonka Sveitsin liittovaltion tietosuojasta ja informaatiosta vastaava komissaari arvioi tarjoavan riittävän suojan tason.

“Liiketoimintatarkoitus” tarkoittaa liitteessä I määritettyä nimenomaista rajallista tarkoitusta, jota varten VistaPrint vastaanottaa henkilötietoja ja saa pääsyoikeuden niihin.

“Tietosuojalait” tarkoittaa kaikkia sovellettavia tietosuojaan ja yksityisyyteen liittyviä lakeja ja asetuksia, jos ne soveltuvat osapuoliin, mukaan lukien rajoituksetta, soveltuvin osin, EU:n tietosuojalait ja Yhdysvaltain tietosuojalait ja mahdolliset muut osavaltioiden tai maiden tietosuojaa, tiedollista yksityisyyttä tai tietoturvaa koskevat lait, jotka soveltuvat palvelujen sisältöön, ottaen huomioon niihin ajoittain tehdyt muutokset tai uudistukset tai niitä korvaavat säädökset.

“Loppukäyttäjien henkilötiedot” tarkoittavat asiakkaan palvelujen vierailijoiden ja käyttäjien henkilötietoja, joita VistaPrint käsittelee asiakkaan puolesta palvelujen tarjoamista varten.

“EU:n tietosuojalait” tarkoittaa (i) Euroopan parlamentin ja neuvoston asetusta 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EC kumoamisesta (yleinen tietosuoja-asetus tai “EU:n GDPR”), (ii) GDPR:ää siten kuin se on sisällytetty Yhdistyneen kuningaskunnan kansalliseen lakiin Euroopan unionia (vetäytyminen) koskevan vuoden 2018 lain osion 3 mukaisesti (“UK:n GDPR”), (iii) 19.6.1992 annettua Sveitsin liittovaltion tietosuojalakia ja siihen liittyviä hallinnollisia määräyksiä (“FADP”), (iv) EU:n direktiiviä 2002/58/EY sähköisen viestinnän tietosuojasta ja (v) mitä tahansa kohtien i - iii nojalla annettua EU:n jäsenvaltion tai Yhdistyneen kuningaskunnan lakia ottaen huomioon niihin ajoittain tehdyt muutokset tai uudistukset tai niitä korvaavat säädökset.

Käsitteillä “Henkilötiedot”, “rekisteröity”, “käsittely” tai “käsitteleminen”, “rekisterinpitäjä” ja “käsittelijä” on niille tietosuojalaeissa, tai määritelmien puuttuessa GDPR:ssä, annetut merkitykset ja käsitteillä “liiketoiminta” ja “palveluntarjoaja” on niille CCPA:ssa annetut merkitykset.

“Palvelut” tarkoittavat VistaPrintin verkkosivustossaan asiakkaalleen tarjoamia eri palveluja, kun VistaPrint toimii käsittelijänä tai palveluntarjoajana (soveltuvin osin) asiakkaan puolesta asiaankuuluvan sopimuksen, mukaan lukien ProAdvantage-ohjelman sopimuksen ja ProShop-käyttöehtojen, nojalla.

“Vakiosopimuslausekkeet” tai “SCC:t” tarkoittavat (i) EU:n GDPR:n ja/tai Sveitsin FADP:n soveltuessa EU:n vakiosopimuslausekkeita siten kuin ne on hyväksytty 4.6.2021 annetulla Euroopan komission päätöksellä (EU) 2021/914 (“EU:n vakiosopimuslausekkeet”) ja (ii) UK:n GDPR:n soveltuessa EU:n vakiosopimuslausekkeita siten kuin niitä on muutettu Yhdistyneen kuningaskunnan informaatiovaltuutetun toimiston antamalla EU:n komission vakiosopimuslausekkeiden kansainvälisiä tiedonsiirtoja koskevalla liitteellä (“UK:n liite”) ottaen huomioon niihin ajoittain tehdyt muutokset tai uudistukset tai niitä korvaavat säädökset. EU:n vakiosopimuslausekkeet ja UK:n liite sisällytetään viittauksella tähän tietojenkäsittelysopimukseen ja ovat niiden olennainen osa.

“Alihankkijana toimiva käsittelijä” tarkoittaa mitä tahansa tahoa, mukaan lukien VistaPrintin tytäryhtiöitä, jota VistaPrint käyttää apuna sopimuksen tai tämän tietojenkäsittelysopimuksen mukaisia velvollisuuksia toteuttaessaan.

“Siirron riskinarviointi” tarkoittaa lisätakeita, joilla täydennetään vakiosopimuslausekkeiden ja UK:n liitteen antamia takeita.

“Yhdysvaltain tietosuojalait” tarkoittaa minkä tahansa Yhdysvaltojen lainkäyttöalueen kaikkia sovellettavia lakeja ja asetuksia, jotka liittyvät yksityisyyteen, tietosuojaan tai tietoturvaan (ottaen huomioon niihin ajoittain tehdyt muutokset tai uudistukset tai niitä korvaavat säädökset), mukaan lukien rajoituksetta Kalifornian kuluttajien tietosuojalaki, siten kuin sitä on täydennetty Kalifornian tietosuojalailla, yhdessä sen nojalla annettujen asetusten kanssa (yhdessä “CCPA”), Virginian kuluttajien tietosuojalaki, Coloradon yksityisyysoikeuksia koskeva laki, Connecticutin tiedollista yksityisyyttä koskeva laki ja Utahin kuluttajien yksityisyyttä koskeva laki.

Muilla käsitteillä, joita ei määritetä tässä tietojenkäsittelysopimuksessa, on niille sopimuksessa annetut määritelmät.

2. TEHTÄVÄT JA KÄSITTELYN KOHDE

2.1 Osapuolten tehtävät Osapuolet sopivat, että kun kyse on tämän tietojenkäsittelysopimuksen mukaisesta loppukäyttäjien henkilötietojen käsittelystä, asiakas on rekisterinpitäjä tai yritys (soveltuvin osin) ja VistaPrint on tietojen käsittelijä tai palveluntarjoaja (soveltuvin osin).

Asiakas hyväksyy, että VistaPrint on henkilötietojen itsenäinen rekisterinpitäjä suhteessa henkilötietoihin, joita se kerää suoraan asiakkailta tai vierailijoilta kuluttajille suunnatuista sovelluksista tai palveluista.

2.2 Käsittelyn kohde Kukin osapuoli noudattaa sovellettavia tietosuojalakeja ja sopimuksen ja tietojenkäsittelysopimuksen mukaisia velvollisuuksiaan, kun kyse on loppukäyttäjien henkilötietojen käsittelystä liitteessä I kuvatulla tavalla. Edellä sanottua rajoittamatta VistaPrint tarjoaa saman tietosuojatason, jota CCPA edellyttää (CCPA:n määritelmän mukaisilta) yrityksiltä.

3. OSAPUOLTEN VELVOLLISUUDET

3.1 Asiakkaan velvollisuudet Käyttäessään VistaPrintin tarjoamia palveluja

(i) asiakas vakuuttaa ja takaa, että se on toimittanut rekisteröidyille ilmoituksen ja määrittänyt VistaPrintille ja sen alihankkijana toimiville käsittelijöille kaikki oikeudelliset perusteet ja hankkinut kaikki sovellettavien tietosuojalakien mukaan tarvittavat suostumukset loppukäyttäjien henkilötietojen käsittelemiselle sen puolesta ja palvelujen tarjoamiselle sopimuksen, mukaan lukien tämän tietojenkäsittelysopimuksen, mukaan

(ii) asiakas on yksin vastuussa toimitettujen loppukäyttäjien henkilötietojen täsmällisyydestä ja laadusta ja loppukäyttäjien henkilötietojen hankkimiseen, luovuttamiseen ja käsittelyyn käytettävien keinojen lainmukaisuudesta. Asiakas on yksinomaan vastuussa siitä, että se noudattaa sovellettavia tietosuojalakeja kerätessään ja käsitellessään henkilötietoja itsenäisesti ilman yhteyttä palveluihin

(iii) asiakas ohjeistaa VistaPrintiä käsittelemään loppukäyttäjien henkilötietoja puolestaan tämän tietojenkäsittelysopimuksen nojalla ja varmistaa, että sen antamat ohjeet ovat sovellettavien tietosuojalakien mukaisia. Tämä tietojenkäsittelysopimus ja sopimus muodostavat asiakkaan VistaPrintille antamat täydelliset ja lopulliset ohjeet. Sopimukseen tai tähän tietojenkäsittelysopimukseen sisältymättömistä lisäohjeista, mukaan lukien asiakkaan lisämaksuista VistaPrintille lisäohjeiden noudattamisen vuoksi, on sovittava erikseen kirjallisesti.

3.2 VistaPrintin velvollisuudet Kun kyse on loppukäyttäjien henkilötietojen käsittelemisestä, VistaPrint

(i) käsittelee loppukäyttäjien henkilötietoja liiketoimintatarkoituksia varten ja asiakkaan ohjeiden mukaisesti niiltä osin kuin ohjeet ovat sopimuksen ja tämän tietojenkäsittelysopimuksen mukaisia

(ii) käsittelee loppukäyttäjien henkilötietoja luottamuksellisina tietoina ja käsittelee niitä vain siinä laajuudessa ja sillä tavalla kuin on tarpeen sopimuksen mukaisten velvollisuuksien suorittamista varten ja jäljempänä liitteessä I tarkemmin määriteltyjä tarkoituksia varten. VistaPrint ei saa käsitellä loppukäyttäjien henkilötietoja mitään muuta tarkoitusta varten, paitsi jos laki velvoittaa VistaPrintin tekemään niin. Siinä tapauksessa VistaPrint ilmoittaa asiakkaalle tällaisesta lakisääteisestä vaatimuksesta kirjallisesti ennen käsittelyä, paitsi jos laki estää tällaisen ilmoittamisen painavan yleisen edun perusteella

(iii) auttaa asiakkaan kohtuullisen pyynnön perusteella asiakasta varmistamaan, että se noudattaa kaikkia sovellettavien tietosuojalakien mukaisia velvollisuuksiaan, joihin saattaa sisältyä mahdollisten edellytettyjen tietosuojan vaikutustenarviointien toteuttaminen tai asiaankuuluvien tietosuojaviranomaisten neuvojen pyytäminen

(iv) ilmoittaa asiakkaalle, jos se uskoo, että asiakkaan käsittelyohjeet loukkaavat sovellettavia tietosuojalakeja. Siinä tapauksessa VistaPrint pidättää oikeuden keskeyttää loppukäyttäjien henkilötietojen käsittelemisen siihen asti, kunnes asiakas antaa uudet ohjeet, eikä VistaPrintillä ole velvollisuutta korvata asiakkaalle mitään sopimuksen mukaisten palvelujen toimittamatta jättämistä tällaisen ajanjakson aikana

(v) varmistaa, että sen työntekijöillä ja alihankkijana toimivilla käsittelijöillä, joilla on pääsy loppukäyttäjien henkilötietoihin, on asianmukaiset salassapitovelvollisuudet

(vi) ilmoittaa asiakkaalle, jos se havaitsee, ettei se enää voi täyttää tämän tietojenkäsittelysopimuksen tai tietosuojalakien mukaisia velvollisuuksiaan

(vii) ilmoittaa asiakkaalle viipymättä mahdollisista rekisteröidyn tai lainvalvontaviranomaisen esittämästä loppukäyttäjän henkilötietoja koskevista pyynnöistä, jotta asiakas voi vastata tällaiseen pyyntöön

(viii) toimii viipymättä yhteistyössä ja antaa asiakkaan tarvitsemaa kohtuullista apua asiakkaan tietosuojalakien mukaisten, rekisteröidyn pyyntöihin tai asianmukaisen sääntelyviranomaisen tai valvontaviranomaisen pyyntöihin liittyvien velvollisuuksien täyttämistä varten

sovellettavien tietosuojalakien sallimissa määrin VistaPrint voi käyttää koostettuja ja anonymisoituja, loppukäyttäjien henkilötiedoista saatuja tietoja (“anonymisoidut tiedot”) sisäisesti palvelujen luomista ja laadun parantamista varten edellyttäen, että tällaiset anonymisoidut tiedot eivät ole sovellettavien tietosuojalakien mukaan henkilötietoja.

3.3 VistaPrintiltä kielletyt käsittelytoimet VistaPrint ei

(i) myy tai jaa (siten kuin CCPA:ssa on määritelty) loppukäyttäjän henkilötietoja tai säilytä, käytä tai luovuta loppukäyttäjän henkilötietoja mihinkään kaupallisiin tarkoituksiin (siten kuin CCPA:ssa on määritetty) tai sen ja asiakkaan välisen suoran liikesuhteen ulkopuolelle ja vain asiakkaan etukäteen antaman valtuutuksen perusteella ja

(ii) sekoita tai yhdistä loppukäyttäjän henkilötietoja omiin tietoihinsa tai minkään kolmannen osapuolen tietoihin, paitsi jos se on ehdottoman välttämätöntä palvelujen toteuttamista varten.

VistaPrint vakuuttaa, että se ymmärtää loppukäyttäjien henkilötietojen käyttöä koskevat rajoitukset tämän tietojenkäsittelysopimuksen mukaisia palveluja tarjottaessa.

4. REKISTERÖIDYN OIKEUDET

VistaPrint tarjoaa, mahdollisuuksien mukaan ja sovellettavan lain mukaisesti, ottaen huomioon käsittelyn luonteen, kohtuullista apua, jotta asiakas voi vastata mahdollisiin rekisteröidyiltä vastaanotettuihin pyyntöihin saada käyttää sovellettavien tietosuojalakien mukaisia oikeuksiaan. Asiakas vastaa kaikista VistaPrintille tällaisen avun tarjoamisen seurauksena aiheutuneista kustannuksista. Jos tällaisia pyyntöjä esitetään suoraan VistaPrintille, VistaPrint ilmoittaa siitä asiakkaalle, paitsi jos se on kielletty VistaPrintiltä laissa, ja asiakas on yksinomaan vastuussa tällaiseen pyyntöön vastaamisesta. VistaPrint ei ole vastuussa asiakkaalle tämän osion mukaisesti vilpittömässä mielessä annetuista tiedoista.

5. ALIHANKKIJANA TOIMIVAT KÄSITTELIJÄT

5.1 Yleinen valtuutus Asiakas myöntää VistaPrintille täten yleisen valtuuden käyttää alihankkijana toimivia käsittelijöitä (mukaan lukien tytäryhtiöitään) loppukäyttäjien henkilötietojen käsittelemiseen, jotta se voi tarjota palveluja ja täyttää sopimuksen ja tämän tietojenkäsittelysopimuksen mukaiset velvollisuutensa. VistaPrint antaa asiakkaan pyytäessä, ottaen huomioon sopimuksen salassapitomääräykset, asiakkaan saataville luettelon käyttämistään alihankkijana toimivista käsittelijöistä.

5.2 Velvollisuudet VistaPrint määrittää käyttämilleen alihankkijana toimiville käyttäjille olennaisesti samat sopimusvelvoitteet, jotka sitovat VistaPrintiä tämän tietojenkäsittelysopimuksen nojalla siinä määrin kuin ne soveltuvat kunkin alihankkijana toimivan käsittelijän tarjoamien palvelujen luonteeseen.

5.3 Oikeus vastustaa uusia alihankkijana toimivia käsittelijöitä Kun VistaPrint ryhtyy käyttämään uuden alihankkijana toimivan käsittelijän palveluja, se ilmoittaa siitä asiakkaalle etukäteen mahdollisimman pian, jos ja niiltä osin kuin alihankinta liittyy asiaankuuluvien palvelujen tarjoamiseen.

5.3.1. Asiakas voi vastustaa VistaPrintin alihankkijan nimittämistä tai vaihtamista kirjallisesti kymmenen (10) työpäivän kuluessa ilmoituksen vastaanottamisesta sovellettaviin tietosuojalakeihin liittyvin kohtuullisin perustein. Tällaisessa tapauksessa VistaPrint voi oman harkintansa mukaan käyttää kaupallisesti kohtuullisia ponnisteluja (mutta ei ole velvollinen) tarjotakseen asiakkaan käyttöön vaihtoehtoisen ratkaisun, jolla vältetään loppukäyttäjien henkilötietojen käsittely uuden tai korvaavan alihankkijan toimesta. Kunnes VistaPrint tekee päätöksen Asiakkaan vastalauseesta, VistaPrint voi joutua tilapäisesti keskeyttämään asiaan liittyvien Loppukäyttäjien henkilötietojen käsittelyn, mukaan lukien, jos tämä asia sitä vaatii, keskeyttämään tai rajoittamaan pääsyä Asiakkaan tilille tai keskeyttämään tai rajoittamaan tiettyjä Asiakkaalle tarjottujen Palvelujen ominaisuuksia. Jos VistaPrint pystyy kohtuullisesti tarjoamaan Palvelut Asiakkaalle Sopimuksen mukaisesti ilman Alihankkijan käyttöä ja päättää harkintansa mukaan tehdä niin, Asiakkaalla ei ole tämän kohdan mukaisia muita oikeuksia Alihankkijan ehdotetun käytön suhteen.

5.3.2. Jos VistaPrint harkintansa mukaan vaatii alihankkijan käyttöä eikä pysty tyydyttämään Asiakkaan vastalausetta uuden tai korvaavan alihankkijan ehdotetusta käytöstä kolmenkymmenen (30) päivän kuluessa pätevän perustellun vastalauseen vastaanottamisesta, Asiakas voi irtisanoa sovellettavan Sopimuksen voimassaolevaksi siitä päivästä alkaen, jolloin VistaPrint aloittaa uuden tai korvaavan alihankkijan käytön ainoastaan niiden Palveluiden osalta, joissa ehdotettua uutta alihankkijaa käytetään Henkilötietojen Käsittelyyn, ilmoittamalla siitä kirjallisesti VistaPrintille. Tällainen irtisanominen ei rajoita Asiakkaalle ennen kyseisten Palveluiden irtisanomista aiheutuneita maksuja, eikä Asiakkaalla ole muita vaatimuksia VistaPrintille kyseisten Palveluiden irtisanomiseen liittyen.

5.3.3. Jos Asiakas ei vastusta kirjallisesti VistaPrintin uuden alihankkijan nimeämistä kymmenen (10) työpäivän kuluessa ilmoituksen vastaanottamisesta, Asiakkaan katsotaan hyväksyneen kyseisen uuden alihankkijan.

5.4. Vastuu. VistaPrint on vastuussa kaikista tämän tietosuojasopimuksen rikkomisista, jotka johtuvat sen alihankkijoiden teosta tai laiminlyönnistä, samassa laajuudessa kuin VistaPrint on vastuussa omasta rikkomisestaan, ellei sopimuksessa toisin määrätä.

6. KANSAINVÄLISET TIEDONSIIRROT

6.1 Yleiset ehdot Asiakas valtuuttaa, osana palvelujen tarjoamista, VistaPrintin, sen tytäryhtiöt ja sen alihankkijana toimivat käsittelijät tallentamaan, käsittelemään ja siirtämään loppukäyttäjien henkilötietoja mihin tahansa paikkaan maailmassa, jossa VistaPrint, sen tytäryhtiöt tai sen alihankkijana toimivat käsittelijät toteuttavat käsittelytoimia. Jos EU:n, Yhdistyneen kuningaskunnan tai Sveitsin henkilötietoja siirretään ETA-alueen, Yhdistyneen kuningaskunnan tai Sveitsin ulkopuolelle, VistaPrint käsittelee EU:n, Yhdistyneen kuningaskunnan tai Sveitsin henkilötietoja tai sallii niitä käsiteltävän ETA-alueen, Yhdistyneen kuningaskunnan tai Sveitsin ulkopuolella vain seuraavien edellytysten täyttyessä:

a) EU:n Yhdistyneen kuningaskunnan tai Sveitsin loppukäyttäjien henkilötiedot siirretään riittävään maahan tai

b) VistaPrintin ja asiakkaan ja/tai VistaPrintin ja alihankkijana toimivan käsittelijän, soveltuvin osin, välillä on käytössä vakiosopimuslausekkeet ja siirron riskinarviointi.

6.2 EU:n henkilötietojen siirrot Jos henkilötietoja siirretään miltä tahansa ETA-alueen lainkäyttöalueelta, jossa GDPR ohjaa kansainvälistä siirtoa, EU:n vakiosopimuslausekkeet muodostavat osan tätä tietojenkäsittelysopimusta ja niiden katsotaan olevan voimassa seuraavalla tavalla:

(i) Osa kaksi (rekisterinpitäjältä käsittelijälle) soveltuu, kun asiakas on rekisterinpitäjä ja henkilötietojen maastaviejä ja VistaPrint on henkilötietojen käsittelijä ja maahantuoja.

(ii) Osa kolme (rekisterinpitäjältä käsittelijälle) soveltuu, kun VistaPrint rekisterinpitäjän puolesta toimiva käsittelijä ja henkilötietojen maastaviejä ja alihankkijana toimiva käsittelijä on henkilötietojen käsittelijä ja maahantuoja.

(iii) Lausekkeen 7 alakohdat a - c soveltuvat.

(iv) Lausekkeen 9 vaihtoehto 2 soveltuu ja alihankkijana toimivan käsittelijän muutoksia koskevan ennakkoilmoituksen ajankohta määräytyy alihankkijana toimivalle käsittelijälle tässä tietojenkäsittelysopimuksessa määritetyn ilmoitusmenettelyn mukaisesti.

(v) Lauseke 11 ei sovellu.

(vi) Lausekkeen 17 vaihtoehto soveltuu ja EU:n vakiosopimuslausekkeita hallitaan sopimuksessa määritellyn lain mukaisesti edellyttäen, että kyseinen laki on EU:n jäsenvaltion laki, jossa tunnustetaan kolmannen osapuolen edunsaajan oikeudet. Muussa tapauksessa sovelletaan Alankomaiden lakia.

(vii) Lausekkeen 18 alakohta b:ssä tarkoitetut kiistat ratkaistaan sopimuksessa määritetyissä tuomioistuimissa edellyttäen, että kyseiset tuomioistuimet sijaitsevat EU:n jäsenvaltiossa. Muussa tapauksessa kohta viittaa Alankomaiden tuomioistuimiin. Lauseketta 17 ja lausekkeen 18 alakohtaa b sovelletaan joka tapauksessa johdonmukaisesti siten, että tuomiopaikka ja tuomiovalta ovat maassa, jonka lakia tilanteessa sovelletaan.

(viii) EU:n vakiosopimuslausekkeiden liitteet täytetään asiaankuuluvilla tiedoilla, jotka on määritetty tämän tietojenkäsittelysopimuksen liitteessä I, liitteessä II ja liitteessä III.

(ix) Jos ja siinä määrin kuin EU:n vakiosopimuslausekkeet ovat ristiriidassa tämän tietojenkäsittelysopimuksen kanssa, EU:n vakiosopimuslausekkeet saavat etusijan ristiriidan osalta.

6.3 Yhdistyneen kuningaskunnan henkilötietojen siirrot Jos Yhdistyneen kuningaskunnan henkilötietoja, joiden kansainvälisiin siirtoihin sovelletaan UK:n GDPR:ää, siirretään, edellä kohdassa 6.2 viitatut EU:n vakiosopimuslausekkeet soveltuvat yhdessä Yhdistynyttä kuningaskuntaa koskevan liitteen kanssa ja niiden katsotaan sisältävän seuraavat täydennykset:

(i) Yhdistyneen kuningaskunnan liitteen osan 1 taulukoiden 1 - 3 katsotaan olevan täydennettyjä tämän tietojenkäsittelysopimuksen liitteisiin sisältyvillä tiedoilla.

(ii) Yhdistyneen kuningaskunnan liitteen osan 2 taulukon 4 katsotaan olevan täydennetty, kun “maahantuoja” valitaan.

(iii) Mahdolliset EU:n vakiosopimuslausekkeiden ja Yhdistynyttä kuningaskuntaa koskevan liitteen ristiriidat ratkaistaan Yhdistyneen kuningaskunnan liitteen osien 10 ja 11 mukaisesti.

6.4 Sveitsin henkilötietojen siirrot Niiltä osin kuin henkilötietoja siirretään Sveitsistä tavalla, jonka seurauksena Sveitsin liittovaltion tietosuojalaki (“FADP”) soveltuu, EU:n vakiosopimuslausekkeet soveltuvat kyseisiin siirtoihin ja niiden katsotaan sisältävän muutokset, joilla niihin lisätään asiaankuuluvat viittaukset ja määritelmät siten, että EU:n vakiosopimuslausekkeet riittävät välineeksi tällaisten siirtojen tekemiseen FADP:n mukaisesti, mukaan lukien rajoituksetta seuraavat muutokset:

(i) EU:n vakiosopimuslausekkeiden liitteen I osaston C lausekkeen 13 mukainen toimivaltainen valvontaviranomainen on Sveitsin liittovaltion tietosuojasta ja informaatiosta vastaava komissaari.

(ii) EU:n vakiosopimuslausekkeiden lausekkeen 17 mukainen sovellettava laki sopimusvaatimuksia käsiteltäessä on Sveitsin laki tai sellaisen maan laki, joka sallii kolmannen osapuolen edunsaajien oikeudet ja myöntää ne.

(iii) EU:n vakiosopimuslausekkeissa käytettyä termiä “jäsenvaltio” ei tulkita tavalla, joka estää Sveitsissä sijaitsevia rekisteröityjä nostamasta oikeuksiaan koskevaa kannetta tavanomaisessa asuinpaikassaan (Sveitsi) lausekkeen 18 alakohdan c mukaisesti, ja

(iv) Lisäksi EU:n vakiosopimuslausekkeet suojaavat oikeushenkilöiden tietoja siihen asti, kunnes uudistettu FADP tulee voimaan.

6.5 Täydentävät suojakeinot Niiltä osin kuin VistaPrint käsittelee ETA-alueella, Yhdistyneessä kuningaskunnassa tai Sveitsissä sijaitsevien tai ETA-alueen, Yhdistyneen kuningaskunnan tai Sveitsin sovellettavien tietosuojalakien piiriin kuuluvien rekisteröityjen henkilötietoja, VistaPrint on ottanut käyttöön useita täydentäviä suojakeinoja henkilötietojen siirroille näiltä lainkäyttöalueilta. VistaPrint on toteuttanut siirron riskinarvioinnin, joka toimitetaan asiakkaalle, jos tämä lähettää kirjallisen pyynnön sähköpostitse osoitteeseen [email protected].

7. TIETOTURVA JA TIETOSUOJALOUKKAUKSESTA ILMOITTAMINEN

7.1 Turvatoimet VistaPrint on ottanut käyttöön jatkuvasti ylläpidettävät asianmukaiset tekniset ja organisatoriset turvatoimet, joiden tarkoitus on suojata loppukäyttäjien henkilötietoja luvattomalta tai laittomalta käsittelyltä ja tahattomalta häviämiseltä ja muuttumiselta (“tietoturvaloukkaus”). VistaPrint on ottanut käyttöön erityisesti liitteessä II luetellut tekniset ja organisatoriset keinot.

7.2 Tietoturvaloukkauksesta ilmoittaminen Jos VistaPrint saa tietää loppukäyttäjien henkilötietoihin vaikuttavasta tietoturvaloukkauksesta, VistaPrint pyrkii kohtuullisin toimin ilmoittamaan siitä asiakkaalle ilman aiheetonta viivästystä ja

(i) antaa asiakkaalle tietoturvaloukkauksen tiedot, jotka se voi kohtuudella luovuttaa asiakkaalle ottaen huomioon palvelujen luonteen, VistaPrintin käytössä olevat tiedot ja mahdolliset muut tietojen luovuttamisen rajoitukset, kuten tietojen luottamuksellisuuden

(ii) tarjoaa asiakkaan niin pyytäessä asiakkaalle kohtuullista apua, jotta asiakas voi tehdä ilmoituksen asiaankuuluville viranomaisille tai kohteena oleville rekisteröidyille siten kuin sovellettavissa tietosuojalaeissa edellytetään.

Tietoturvaloukkauksia eivät ole epäonnistuneet yritykset tai toimet, jotka eivät vaaranna loppukäyttäjien henkilötietojen turvallisuutta. VistaPrintin antama tietoturvaloukkausta koskeva ilmoitus tai siihen reagoiminen ei merkitse kyseiseen tietoturvaloukkaukseen liittyvän syyllisyyden tai vastuuvelvollisuuden hyväksymistä.

8. TARKASTUKSET

8.1 Tarkastusraportit Asiakkaan esittämän kirjallisen pyynnön perusteella ja kohtuullisin väliajoin (enintään kerran vuodessa), ottaen huomioon salassapitovelvoitteet, VistaPrint toimittaa jäljennöksen VistaPrintillä kulloinkin olevista uusimmista kolmansien osapuolten tarkastusten, sertifiointien ja raporttien tiivistelmistä, soveltuvin osin. Osapuolet sopivat, että sovellettavissa tietosuojalaeissa kuvatut tarkastusoikeudet täyttyvät, kun VistaPrint toimittaa tällaiset yhteenvedot ja/tai raportit.

8.2 Valvontaviranomaisen tarkastus VistaPrint antaa asiakkaalle kohtuullisen pääsyoikeuden asiakirjoihinsa ja järjestelmiinsä, jos sääntelyviranomainen tai valvontaviranomainen edellyttää tarkastuksen tekemistä sovellettavien tietosuojalakien noudattamista varten.

8.3 Luottamukselliset tiedot Kaikki VistaPrintin tämän osion 8 mukaisesti toimittamat tiedot ovat luottamuksellisia tietoja. VistaPrintiä ei vaadita kertomaan mitään kauppasalaisuuksia, mukaan lukien algoritmeja, lähdekoodia, ammattisalaisuuksia tai muita vastaavia tietoja.

9. TIETOJEN POISTAMINEN

Osapuolet sopivat, että kun tietojenkäsittelysopimus irtisanotaan tai asiakas esittää kirjallisen pyynnön, VistaPrint tuhoaa suojatusti ja vaatii käyttämiään alihankkijana toimivia käsittelijöitä tuhoamaan suojatusti kaikki loppukäyttäjien henkilötiedot ja niiden kappaleet niin pian kuin on kohtuudella mahdollista sopimuksen ehtojen ja sovellettavien lakien mukaisesti. Edellä sanottuun vaikuttamatta VistaPrint voi säilyttää kaikki tai jotkin luovutetut loppukäyttäjien henkilötiedot, jos sitä edellytetään sopimuksessa tai sovellettavassa laissa tai asetuksessa (mukaan lukien sovellettavissa tietosuojalaeissa) edellyttäen, että tällaisia loppukäyttäjien henkilötietoja suojataan edelleen tämän tietojenkäsittelysopimuksen ehtojen ja sovellettavien tietosuojalakien mukaisesti.

10. SEKALAISIA MÄÄRÄYKSIÄ

10.1 Hierarkia Jos tämän tietojenkäsittelysopimuksen ja sopimuksen määräysten välillä on epäjohdonmukaisuuksia tai ristiriitoja, tämä tietojenkäsittelysopimus saa etusijan niiltä osin kuin ristiriita liittyy loppukäyttäjien henkilötietojen käsittelemiseen. Jos vakiosopimuslausekkeiden (soveltuvin osin) ja tämän tietojenkäsittelysopimuksen tai sopimuksen välillä on ristiriitoja, vakiosopimuslausekkeet saavat etusijan.

10.2 Tietojenkäsittelysopimuksen päivitykset VistaPrint voi tehdä tähän tietojenkäsittelysopimukseen muutoksia tarpeen mukaan ajoittain, ja se julkaisee uusimman version sivustolla. Kaikki tällaiset muutokset tulevat voimaan, kun ne julkaistaan. Jatkamalla palvelujen käyttöä tai niiden pääsyoikeuden käyttöä mahdollisten muutosten voimaantulon jälkeen asiakas sitoutuu noudattamaan muutettua tietojenkäsittelysopimusta.

10.3 Sovellettava laki Tätä tietojenkäsittelysopimusta hallitaan ja tulkitaan sopimuksen sovellettavaa lakia ja toimivaltaa koskevien määräysten mukaisesti, ellei sovellettavissa tietosuojalaeissa edellytetä toisin.

10.4 Vastuunrajoitus Kaikkiin tämän tietojenkäsittelysopimuksen mukaisiin toimiin (mukaan lukien rajoituksetta loppukäyttäjien henkilötietojen käsittelyyn) sovelletaan sopimuksessa määritettyjä sovellettavia vastuunrajoituksia.

10.5 Yhteystiedot Mahdolliset tätä tietojenkäsittelysopimusta koskevat kysymykset tulee toimittaa tietosuojavastaavalle osoitteeseen [email protected]. VistaPrint pyrkii ratkaisemaan mahdolliset loppukäyttäjien henkilötietoja koskevat kysymykset tämän tietojenkäsittelysopimuksen ja sopimuksen mukaisesti.

LIITE I - KÄSITTELYN/SIIRRON KUVAUS

A. OSAPUOLET

Tietojen maastaviejät:

  • Nimi: Asiakkaaksi ilmoitettu taho tai asiakkaan tilillä ilmoitettu nimi
  • Osoite: Asiakkaan tilillä ilmoitettu asiakkaan laskutusosoite
  • Yhteyshenkilön nimi, asema ja yhteystiedot: Asiakkaan tilillä ilmoitetut yhteystiedot
  • Näiden lausekkeiden nojalla siirrettyihin tietoihin soveltuvat toimet: Kaikki toimet, jotka vaikuttavat tähän sopimukseen liittyvän VistaPrintin tarjoaman palvelun vastaanottamiseen
  • Allekirjoitus ja päivämäärä: Kun tietojen maastaviejä hyväksyy tietojenkäsittelysopimuksen, sen katsotaan allekirjoittavan siihen sisällytetyt vakiosopimuslausekkeet ja liitteet tietojenkäsittelysopimuksen voimaantulopäivästä alkaen.
  • Tehtävä (rekisterinpitäjä/käsittelijä): Rekisterinpitäjä

Tietojen maahantuojat:

  • Nimi: Sopimuksen mukaan soveltuva Vistaprint-sopimusosapuoli
  • Osoite: Sopimuksen mukaan soveltuva Vistaprint-sopimusosapuolen osoite
  • Yhteyshenkilön nimi, asema ja yhteystiedot: [email protected]
  • Näiden lausekkeiden nojalla siirrettyihin tietoihin soveltuvat toimet: Henkilötietojen käsittely, joka liittyy asiakkaan VistaPrint-palvelujen käyttöön.
  • Allekirjoitus ja päivämäärä: Kun tietojen maahantuoja tekee tietojenkäsittelysopimuksen, sen katsotaan hyväksyvän siihen sisällytetyt vakiosopimuslausekkeet ja liitteet tietojenkäsittelysopimuksen voimaantulopäivästä alkaen.
  • Tehtävä (rekisterinpitäjä/käsittelijä): Käsittelijä

B SIIRRON KUVAUS

Rekisteröityjen luokat: Rekisteröityjä voivat olla esimerkiksi

  • loppukäyttäjät (jotka ovat luonnollisia henkilöitä, kuten nykyisiä ja mahdollisesti tulevia yksityisasiakkaita, yritysasiakkaita tai vierailijoita, jotka ovat asiakkaan palvelujen käyttäjiä
  • nykyisiä, entisiä tai mahdollisesti tulevia asiakkaan edustajia, työntekijöitä, työnhakijoita, välittäjiä, neuvonantajia, freelancereita, liikekumppaneita, alihankkijoita ja/tai yhteistyökumppaneita (jotka ovat luonnollisia henkilöitä)
  • kolmansia osapuolia, joihin asiakas päättää olla yhteydessä palvelun välityksellä.

Henkilötietojen luokat: Toimitetut henkilötiedot, joiden laajuuden ja luonteen rekisterinpitäjä määrittää yksinomaisen harkintansa perusteella

Siirrettävät arkaluonteiset henkilötiedot (soveltuvin osin) ja käytetyt rajoitukset tai suojakeinot: Arkaluonteisten henkilötietojen siirtoja ei ole odotettavissa.

Siirtojen tiheys: Säännöllinen riippuen asiakkaan palvelujen käytöstä.

Käsittelyn luonne: Sopimuksen mukaisten palvelujen toteuttaminen

Tietojen siirron ja jatkokäsittelyn tarkoitukset: Voimme käyttää henkilötietojasi seuraaviin tarkoituksiin (ja näihin tarkoituksiin liittyviin tehtäviin) sopimuksen mukaisesti ja tavalla, joka on oikeasuhtainen ja kunnioittaa loppukäyttäjien henkilötietoja:

  • palvelujen tarjoaminen sinulle
  • ohjeidesi mukaan toimiminen
  • sopimuksen ja tämän tietojenkäsittelysopimuksen toteuttaminen ja täytäntöönpano
  • oikeuksiemme puolustaminen
  • tietoturvariskien, tietoturvaloukkausten, petosten, virheiden ja/tai laittoman tai kielletyn toiminnan estäminen, tutkiminen ja lievittäminen
  • sovellettavien lakien ja asetusten noudattaminen

Ajanjakso, jonka ajan henkilötietoja säilytetään tai, jos se ei ole mahdollinen, kyseisen ajanjakson määrittämiskriteerit: VistaPrint säilyttää henkilötietoja sopimuksen irtisanomiseen saakka ja tietojenkäsittelysopimuksen osion 9 mukaisesti, ellei muualla sopimuksessa määritetä toisin.

Jos kyse on siirroista (alihankkijoina toimiville) käsittelijöille, ilmoita myös käsittelyn aihe, luonne ja kesto: Alihankkijana toimivat käsittelijät käsittelevät henkilötietoja siten kuin on tarpeen sopimuksen mukaisten palvelujen toteuttamista varten sopimuksen voimassaoloaikana, ellei kirjallisesti sovita toisin.

C TOIMIVALTAINEN VALVONTAVIRANOMAINEN

Ilmoita lausekkeen 13 mukaiset toimivaltaiset valvontaviranomaiset: Alankomaiden tietosuojaviranomainen, ellei tietojenkäsittelysopimuksen osiossa 6 edellytetä muuta.

LIITE II - TEKNISET JA ORGANISATORISET TOIMENPITEET, MUKAAN LUKIEN TEKNISET JA ORGANISATORISET TOIMENPITEET TIETOTURVAN VARMISTAMISEKSI

VistaPrintillä on tällä hetkellä käytössä seuraavat tekniset ja organisatoriset toimenpiteet henkilötietojen suojaa, luottamuksellisuutta ja eheyttä varten. Huomaa, että VistaPrint voi muuttaa näitä käytäntöjä harkintansa mukaan. Mahdolliset tehtävät muutokset eivät olennaisesti heikennä henkilötietojen turvaa ja suojaa kokonaisuudessaan.

1- Valtuuttamattomia henkilöjä estetään saamasta pääsy järjestelmiin, joissa henkilötietoja käsitellään tai käytetään, (fyysisen pääsyn hallinta) erityisesti seuraavilla toimenpiteillä:

  • hallittu pääsy kriittisiin tai arkaluonteisiin alueisiin
  • tapahtumalokit
  • automaattiset pääsynhallintajärjestelmät
  • henkilökorttien tai sirukorttien lukulaitteet
  • turvallisuusajattelua koskevat koulutukset

2- Tietojenkäsittelyjärjestelmien luvattoman käytön estäminen (looginen pääsynhallinta) erityisesti noudattamalla seuraavia toimenpiteitä:

  • Verkkolaitteet, kuten järjestelmät tunkeutujien tunnistamiseen, reitittimet ja palomuurit
  • Suojattu kirjautuminen yksilöllisellä käyttäjätunnuksella ja salasanalla, käyttämällä salasanavaatimuksia ja monivaiheista todennusta tarpeen mukaan
  • Toimintakäytännöissä edellytetään valvomatta jätettyjen työasemien lukitsemista. Käytössä on näytönsäästäjien salasanat, joilla varmistetaan automaattinen lukittuminen, jos käyttäjä unohtaa lukita työaseman.
  • Järjestelmän käytön lokitiedot ja analysointi
  • Tehtäväperusteinen pääsy henkilötietoja sisältäviin kriittisiin järjestelmiin
  • Prosessi tunnettujen haavoittuvuuksien rutiinipäivityksiä varten
  • Kannettavien tietokoneiden kovalevyjen salaus
  • Kriittisten järjestelmien turvallisuushaavoittuvuuksien seuranta
  • Virustorjuntaohjelmistojen käyttöönotto ja päivittäminen
  • Verkkolaitteet, kuten järjestelmät tunkeutujien tunnistamiseen, reitittimet ja palomuurit
  • Maksukorttitoimialan tietoturvastandardien noudattaminen

3- Erityiset toimenpiteet, joilla varmistetaan, että järjestelmän käyttöoikeuden saaneet henkilöt voivat päästä vain tietoihin, joihin heillä on oikeus päästä ja että henkilötietoja ei voida lukea, kopioida, muuttaa tai poistaa luvatta käsittelyn, käytön tai säilyttämisen aikana:

  • Verkkolaitteet, kuten järjestelmät tunkeutujien tunnistamiseen, reitittimet ja palomuurit
  • Suojattu kirjautuminen yksilöllisellä käyttäjätunnuksella ja salasanalla, käyttämällä salasanavaatimuksia ja monivaiheista todennusta tarpeen mukaan
  • Järjestelmän käytön lokitiedot ja analysointi
  • Tehtäväperusteinen pääsy henkilötietoja sisältäviin kriittisiin järjestelmiin
  • Kannettavien tietokoneiden kovalevyjen salaus
  • Virustorjuntaohjelmistojen käyttöönotto ja päivittäminen
  • Maksukorttitoimialan tietoturvastandardien noudattaminen

4- Toimenpiteet, joilla varmistetaan, että henkilötietoja ei voida lukea, kopioida, muuttaa tai poistaa luvatta elektronisen siirtämisen, kuljettamisen tai säilyttämisen aikana:

  • Suojattu kirjautuminen yksilöllisellä käyttäjätunnuksella ja salasanalla, käyttämällä salasanavaatimuksia ja monivaiheista todennusta tarpeen mukaan
  • Suojatut siirtokäytännöt
  • Järjestelmän käytön lokitiedot ja analysointi
  • Tehtäväperusteinen pääsy henkilötietoja sisältäviin kriittisiin järjestelmiin
  • Verkkolaitteet, kuten järjestelmät tunkeutujien tunnistamiseen, reitittimet ja palomuurit
  • Virtuaalisen yksityisverkon (VPN) käyttöönotto

5- Toimenpiteet, joilla varmistetaan, että henkilötietoja käsitellään yksinomaan yrityksen käytännön mukaisesti:

  • Pakollinen turvallisuus- ja tietosuojakoulutus kaikille työntekijöille
  • Huomattavan paljon henkilötietojen käsittelyä sisältävien työtehtävien rekrytointiprosessi, jonka kuluessa hakijoiden edellytetään täyttävän yksityiskohtaisen hakemuslomakkeen, jos paikallinen laki sallii sen
  • Asianmukaisen henkilöstön ja palveluntarjoajien kurinalainen valitseminen
  • Asianmukaiset tekniset ja organisatoriset turvatoimet sisältävien, asianmukaisten tietojenkäsittelysopimusten tekeminen alihankkijana toimivien käsittelijöiden kanssa

6- Toimenpiteet, joilla varmistetaan, että henkilötiedot on suojattu tahattomalta tuhoamiselta tai häviämiseltä (saatavuuden hallinta):

  • Turvatoimien toimivuuden säännöllinen testaaminen
  • Vaihtoehtoiset toimintamenettelyt ja palautusjärjestelmät
  • Varapalvelimet erillisessä sijaintipaikassa
  • Keskeytymätön virransyöttö ja varavirtayksikkö
  • Etäsäilytys
  • Palvelinten olosuhteiden seuranta ja hallinta
  • Virustorjuntaohjelmistojen käyttöönotto ja päivittäminen
  • Suunnitelmat virheistä palautumista ja hätätilanteita varten

7- Erityiset toimenpiteet, joilla varmistetaan, että eri tarkoituksia varten tai eri toimeksiantajille kerättyjä tietoja käsitellään erillään (erillisyyden hallinta):

  • Tehtäväperusteinen pääsy henkilötietoja sisältäviin kriittisiin järjestelmiin
  • Testaus- ja tuotantojärjestelmien tietojen erottaminen toisistaan
  • Maksukorttitoimialan tietoturvastandardien noudattaminen

LIITE III - LUETTELO ALIHANKKIJANA TOIMIVISTA KÄSITTELIJÖISTÄ

Luettelo käyttämistämme alihankkijoina toimivista käsittelijöistä ja meidän syymme niiden käyttämiseen ovat asiakkaan saatavilla pyynnöstä.