Tämä sopimusliite on olennainen ja erottamaton osa LadyAtlas Oy:n (jäljempänä

“LadyAtlas”) yleisiä sopimusehtoja. Tätä liitettä ja näitä tietosuojaehtoja sovelletaan

siinä tilanteessa ja siltä osin, kun LadyAtlas toimii suhteessa asiakkaaseensa EU:n

tietosuoja-asetuksen (2016/679) tarkoittamana henkilötietojen käsittelijänä ja asiakas on

rekisterinpitäjänä ulkoistanut henkilötietojensa käsittelyä joltain osin LadyAtlakselle.

Mikäli LadyAtlaksen yleisten ehtojen ja näiden ehtojen välillä on ristiriitaa, saa yleiset

ehdot etusijan.

Määritelmät

Tässä liitteessä käytetyt käsitteet saavat sen merkityssisällön, joka niille on annettu Euroopan

Unionin asetuksessa 2016/679 luonnollisten henkilöiden suojelusta henkilö tietojen

käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY

kumoamisesta (jäljempänä “tietosuoja-asetus”). Tällaisia käsitteitä ovat erityisesti termit

rekisterinpitäjä, henkilötietojen käsittelijä, henkilötieto, rekisteröity, käsittely ja henkilötietojen

tietoturvaloukkaus.

Tarkoitus

LadyAtlas on liikuntapalveluiden tarjoamista harjoittava yritys.

Tällä liitteellä osapuolet sopivat siitä, että LadyAtlas

henkilötietojen käsittelijänä käsittelee sopimuksen voimassaoloaikana henkilötietoja

asiakkaan, rekisterinpitäjän, lukuun.

Henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan liikuntapalveluiden sekä

mahdollisesti muiden sopimuksessa kuvattujen velvoitteiden täyttämiseksi sekä palveluiden

tarjoamiseksi ja toimittamiseksi asiakkaalle tämän antamien kirjallisten ohjeiden mukaisesti.

Henkilötietojen käsittelijällä ei ole oikeutta käsitellä henkilötietoja mihinkään muuhun

tarkoitukseen tai kenenkään muun hyväksi. Henkilötietojen käsittelijällä on oikeus siirtää

henkilötietoja EU:n tai ETA:n ulkopuolisiin maihin, edellyttäen että siirto tapahtuu tietosuojaasetuksessa

määriteltyä riittäviä suojamekanismeja käyttäen. Henkilötietojen käsittelijän on

välittömästi ilmoitettava rekisterinpitäjälle, jos tämä katsoo, että rekisterinpitäjän antamat

käsittelyä koskevat kirjalliset ohjeistukset rikkovat tietosuoja-asetusta tai muita unionin tai

jäsenvaltion tietosuojasäännöksiä. Tämän liitteen ehtojen lisäksi kumpikin osapuoli sitoutuu

noudattamaan sovellettavia kansallisia tietosuojalakeja ja tietosuoja-asetuksen säännöksiä

toimintaansa soveltuvin osin.

Käsittelyä koskevat tarkemmat tiedot, kuten käsittelyn luonne, henkilötietojen tyyppi ja

rekisteröityjen ryhmät, on kuvattu jäljempänä.

LADYATLAS OY TIETOSUOJAEHDOT 05/2018

Alihankinnat

Henkilötietojen käsittelijällä on oikeus käyttää käsittelyssä toisen henkilötietojen käsittelijän

palveluja edellyttäen, että henkilötietojen käsittelijä ilmoittaa tästä kirjallisesti vähintään 7

päivää etukäteen rekisterinpitäjälle. Kirjallisten ilmoitusten toimittamisvelvollisuus koskee

suunniteltua käsittelijän lisäämistä, poistamista tai vaihtamista. Ilmoituksen saatuaan

rekisterinpitäjä voi vastustaa suunniteltuja muutoksia.

Käyttäessään toisen henkilötietojen käsittelijän palveluja, henkilötietojen käsittelijän tulee

sopia palveluntarjoajan kanssa, että käsittely tapahtuu noudattaen samoja

tietosuojavelvoitteita, kuin mitä tässä liitteessä on kuvattuna. Henkilötietojen käsittelijä vastaa

siitä, että sen käyttämän toisen henkilötietojen käsittelijän palvelut toteutetaan tämän liitteen

vaatimusten mukaisina.

Salassapito

Kaikkia henkilötietoja joita henkilötietojen käsittelijä käsittelee rekisterinpitäjän lukuun

pidetään rekisterinpitäjän luottamuksellisina tietoina ja henkilötietojen käsittelijä sitoutuu

pitämään tiedot salassa ja olemaan luovuttamatta tai paljastamatta niitä kenellekään

kolmannelle osapuolelle tai käyttämättä tietoja muuhun kuin sovittuun tarkoitukseen.

Henkilötietojen käsittelijä sitoutuu myös olemaan luovuttamatta ja paljastamatta henkilötietoja

omassa organisaatiossaan muille kuin sellaisille työntekijöilleen tai muille henkilöille (ml.

mahdolliset alihankkijat), joiden on tarpeen tuntea kyseinen tieto sovittua tarkoitusta varten ja

jotka ovat palvelu- tai muiden sopimustensa perusteella taikka lakisääteisesti velvollisia

pitämään tiedon luottamuksellisena. Salassapitovelvoitteet pysyvät voimassa sopimuksen

päättymisestä huolimatta.

Tietoturva

Henkilötietojen käsittelijän tulee huolehtia, että se toteuttaa kaikki asianmukaiset tekniset ja

organisatoriset toimenpiteet, joilla pyritään estämään henkilötietojen vahingossa tapahtuva tai

lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy

tietoihin.

Toimenpiteet tulee suunnitella huomioiden uusin tekniikka ja toteuttamiskustannukset,

käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin

ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, kuten

a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys,
käytettävyys ja vikasietoisuus;

c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen
vian sattuessa;

d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja
organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden

varmistamiseksi.

LADYATLAS OY TIETOSUOJAEHDOT 05/2018

Henkilötietojen tietoturvaloukkaukset

Henkilötietojen käsittelijän on ilmoitettava tietoonsa tulleesta käsittelyssä tapahtuneesta

henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä, jotta

rekisterinpitäjä voi täyttää tietosuoja-asetuksessa määritellyt ilmoitusvelvoitteet asetetussa

määräajassa. Tietoturvaloukkauksesta tulee antaa riittävät tiedot ja henkilötietojen käsittelijän

tulee muutoinkin avustaa rekisterinpitäjää, jotta rekisterinpitäjä voi täyttää tälle tietosuojaasetuksessa

asetetut velvoitteet. Henkilötietojen käsittelijän tulee myös ryhtyä tarpeellisiin

jatkotoimenpiteisiin, joilla henkilötietojen tietoturvaloukkauksen haittavaikutuksia voidaan

lieventää tai tulevia loukkauksia estää.

Tietosuojaa koskeva vaikutustenarviointi

Mikäli henkilötietojen käsittelijä tulee tietoiseksi siitä, että suunniteltu käsittely aiheuttaisi

korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta, tulee sen ilmoittaa

tästä rekisterinpitäjälle ja avustaa tätä tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin

toteuttamisessa.

Rekisteröidyn oikeuksien toteuttaminen

Ottaen huomioon käsittelytoimen luonteen, henkilötietojen käsittelijän tulee kohtuudella ja

ilman aiheetonta viivästystä auttaa rekisterinpitäjää asianmukaisilla teknisillä ja

organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän

velvollisuuden vastata pyyntöihin, jotka koskevat tietosuoja-asetuksessa säädettyjen

rekisteröidyn oikeuksien käyttämistä. Tällaisia oikeuksia voivat olla muun muassa, sellaisina

kuin ne on tietosuoja-asetuksessa määritelty, rekisteröidyn oikeus saada pääsy tietoon,

oikeus saada tieto korjatuksi, oikeus kieltää käsittely, oikeus tietojen poistamiseen (ns. “oikeus

tulla unohdetuksi”), oikeus käsittelyn rajoittamiseen ja oikeus saada tiedot siirretyksi

järjestelmästä toiseen. Mikäli tällaisia vaatimuksia esitetään suoraan henkilötietojen

käsittelijälle, sen tulee viipymättä ilmoittaa niistä rekisterinpitäjälle.

Auditoinnit

Henkilötietojen käsittelijän tulee saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat

tarpeen tietosuoja-asetuksessa säädettyjen velvollisuuksien noudattamisen osoittamista

varten, ja henkilötietojen käsittelijä sallii ja kohtuudella avustaa rekisterinpitäjän tai muun

rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset

henkilötietojen käsittelijän tiloihin, järjestelmiin, prosesseihin ja dokumentaatioon, sekä

osallistuu itse niihin, mikäli rekisterinpitäjä katsoo tarpeelliseksi sellaisen toteuttamisen.

Auditoinnit tulee suorittaa normaalin työajan puitteissa siten, että niistä aiheutuisi

mahdollisimman vähän haittaa henkilötietojen käsittelijän liiketoiminnalle. Kumpikin osapuoli

vastaa omista auditoinnin suorittamiseen liittyvistä kustannuksistaan. Rekisterinpitäjän tulee

ilmoittaa henkilötietojen käsittelijälle vähintään 45 päivää etukäteen auditoinnin

toteuttamisesta.

LADYATLAS OY TIETOSUOJAEHDOT 05/2018

Asiakkaan avustamisvelvollisuus

Sopimuksen voimassaoloaikana asiakas voi kirjallisesti pyytää, että LadyAtlas

avustaa häntä tietosuojalainsäädännön rekisterinpitäjää koskevien velvoitteiden

täyttämisessä. Tämä edellyttää, että kyseiset velvoitteet liittyvät asiakkaan LadyAtlakselta

hankittuihin palveluihin ja kyseiset velvoitteet ovat sellaisia, joiden osalta yrityksellä on velvollisuus

avustaa rekisterinpitäjää. Tämä koskee erityisesti avustamista

tietosuojaloukkaustilaanteissa, rekisteröidyn oikeuksien täyttämisessä sekä

tietosuojavaikutusten arviointien toteuttamisessa. Planeetan avustaessa asiakasta kaikista

kustannuksista vastaa asiakas. Ellei muusta ole sovittu, on LadyAtlas oikeutettu

laskuttamaan avustamiseen käyttämänsä työaika aikaperusteisella veloituksella kulloinkin

voimassa olevan hinnaston mukaisesti.

Asiakkaan velvollisuudet

Asiakas toimii rekisterinpitäjänä suhteessa näiden tietosuojaehtojen perusteella käsiteltäviin

henkilötietoihin ja asiakas vastaa siitä, että se täyttää kaikki ne velvollisuudet, joita

lainsäädäntö edellyttää rekisterinpitäjältä (mm. rekisteröityjen informoiminen,

tietosuojaselosteiden laatiminen ja saatavilla pitäminen, riittävien ja lainmukaisten

käsittelyperusteiden varmistaminen, mukaan lukien suostumusten hankkiminen, mikäli

käsittely suostumusta edellyttää). Asiakas vastaa myös siitä, että tämän LadyAtlakselle

antamat käsittelyohjeet ovat lainmukaisia.

Asiakas on velvollinen ilmoittamaan LadyAtlakselle kaikista sellaisista seikoista

(mukaan lukien erityiset riskit tai henkilötietoryhmät), jotka saattavat edellyttää ylimääräisten

teknillisten tai organisatoristen suojaustoimenpiteiden määrittelemisestä ja sopimista.

Asiakas yksin määrittelee ja vastaa palveluihin tallennetuista tiedoista (mukaan lukien

henkilötiedoista) ja siitä, että tällä on oikeus käsitellä ja tallentaa palveluun henkilötietoja ja

luovuttaa niitä LadyAtlakselle. Asiakas määrittelee sekä vastaa myös siitä, mitä

henkilötietoja palveluun tallennettaan, mihin tarkoitukseen ja miten niitä käytetään, vaihdetaan

tai käsitellään, kenelle tietoja luovutetaan sekä miten tiedon laadusta, ajantasaisuudesta ja

poistamisesta tai anonymisoinnista huolehditaan.

Asiakas vastaa itse suorittamastaan henkilötietojen käsittelystä ja palvelun käytöstä. Asiakas

on vastuussa myös henkilötietojen käsittelyn eheydestä, turvallisuudesta, ylläpidosta ja

asianmukaisesta suojaamisesta sekä sen varmistamisesta, että Asiakas noudattaa kaikkia

sovellettavia tietosuoja-, tietoturva- ja turvallisuuslakeja sekä määräyksiä.

Muut ehdot

LadyAtlas ei ole vastuussa rekisterinpitäjälle mistään sopimusrikkomusten

aiheuttamista välillisistä, epäsuorista vahingoista tai kolmansien esittämistä vaatimuksista.

Näihin ehtoihin sovelletaan LadyAtlaksen yleisiin palveluehtoihin sisältyviä LadyAtlaksen enimmäisvastuun rajausta koskevia ehtoja.

LADYATLAS OY TIETOSUOJAEHDOT 05/2018

Liitteen voimaantulo ja sopimuksen päättymisen vaikutukset

Tämä liite tulee voimaan osapuolten välisen hosting-palvelusopimuksen voimaantulon

yhteydessä ja pysyy voimassa kyseisen sopimuksen voimassaoloa koskevien ehtojen

mukaisesti.

Kohtuullisen ajan kuluttua sopimuksen päätyttyä henkilötietojen käsittelijä joko poistaa tai

palauttaa kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset sekä

poistaa tunnuksensa rekisterinpitäjän tietojärjestelmiin, paitsi jos unionin oikeudessa tai

jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Siinä tapauksessa

henkilötietojen käsittelijällä on oikeus säilyttää henkilötiedot lain vaatimusten mukaisesti,

jatkamatta muutoin henkilötietojen käsittelyä ja noudattaen edelleen tässä liitteessä kuvattuja

salassapitovelvoitteita. Koska henkilötietojen käsittelijä viime kädessä poistaa

hallussaan olevat rekisterinpitäjän henkilötiedot sopimuksen päätyttyä, tulee

rekisterinpitäjän ennen sopimuksen päättymistä varmistaa, että sillä on tarvittavat

kopiot tai varmuuskopiot näistä tiedoista, mikäli se niitä edelleen tarvitsee sopimuksen

päättymisen jälkeen.

KÄSITTELYÄ KOSKEVAT VAATIMUKSET

Käsittelyn luonne: Henkilötietojen käsittely koskee LadyAtlaksen tarjoamien

palveluiden, kuten verkkosivustojen hosting-palvelun, tarjoamista ja toimittamista asiakkaalle.

LadyAtlas kerää, tallentaa ja käsittelee rekisterinpitäjänä toimivien asiakkaiden

henkilötietoja sopimuksen, näiden ehtojen ja sovellettavan lainsäädännön mukaisesti. Koska

asiakas yksinomaan päättää mitä henkilötietoja LadyAtlaksen palveluun tallennetaan

eikä LadyAtlas lähtökohtaisesti millään tavoin verifioi tai tarkista näitä tietoja (eikä sillä

ole tähän velvollisuutta), voi asiakas tallentaa palveluun mitä tahansa tarpeelliseksi

katsomiaan tietoja. Tyypillisesti kuitenkin LadyAtlaksen käsittelemät asiakkaan

henkilötiedot saattavat koskea seuraavia henkilötietoryhmiä: nimi, sähköpostiosoite,

markkinoinnin suostumukset ja kiellot, tilatut uutiskirjeet, verkkokaupan tilaushistoria ja muu

verkkosivuston käyttöön liittyvä data. Tyypillisesti henkilötiedot koskevat seuraavia

rekisteröityjen ryhmiä: asiakkaan omat asiakkaat (potentiaaliset ja nykyiset), asiakkaan

verkkopalvelujen käyttäjät sekä asiakkaan uutiskirjeiden tilaajat.

ALIHANKKIJAT HENKILÖTIETOJEN KÄSITTELYLLE

Palveluiden päivittäiseen tuottamiseen ei pääsääntöisesti käytetä alihankkijoita. Mikäli

alihankkijoita käytetään sovitaan asiasta asiakkaan kanssa erillisellä sopimuksella.