Kundanslutningen MPaketti: Behandling av personuppgifter och förbindelse som gäller dataskydd
1. Syfte och objekt
1.1 Matkahuoltos MPaketti-system (”MPaketti”) gör det möjligt för användare av MPaketti, dvs. Matkahuoltos avtalskunder (”Kund”), att i systemet upprätthålla ett register bestående av uppgifter om mottagare av försändelser.
1.2 Denna förbindelse beträffande behandling av personuppgifter och dataskydd (”Dataskyddsförbindelse”) tillämpas när Oy Matkahuolto Ab (”Matkahuolto”) för Kundens räkning behandlar sådana personuppgifter som Kunden har registrerat i MPaketti via MPaketti-kundanslutningen (”Syfte”).
1.3 I samband med syftet behandlar Matkahuolto personuppgifter som har registrerats i MPaketti. Enligt lagstiftningen (specificeras nedan i punkt 3.1) är Kunden personuppgiftsansvarig för dessa personuppgifter och Matkahuolto behandlar personuppgifter för Kundens räkning i egenskap av personuppgiftsbiträde. För tydlighetens skull konstateras att denna Dataskyddsförbindelse inte tillämpas på behandling av sådana personuppgifter för vilka Matkahuolto är självständig personuppgiftsansvarig, såsom personuppgifter om mottagaren och avsändaren eller representanter för dessa vilka behandlas i samband med Matkahuoltos logistiktjänster. Uppgifter för vilka Matkahuolto är självständig personuppgiftsansvarig i samband med tillhandahållandet av logistiktjänster behandlas i enlighet med Matkahuoltos Dataskyddsbeskrivning för Pakettjänster.
1.4 I denna Dataskyddsförbindelse definieras de principer för dataskydd som iakttas av Matkahuolto. Termerna ”personuppgifter”, ”behandling”, ”personuppgiftsansvarig” och ”personuppgiftsbiträde” som används i denna Dataskyddsförbindelse har samma innehåll som de getts i Lagstiftningen (specificeras nedan i punkt 3.1) och ska tolkas på motsvarande sätt.
1.5 Matkahuolto kan för Kundens räkning behandla följande kategorier av personuppgifter om Kundens kunder eller andra mottagare av försändelser som Kunden skickar:
• Individualiseringsuppgifter om mottagaren eller dennes kontaktperson, såsom kundnummer och namn,
• Kontaktuppgifter eller uppgifter som behandlas för leveransen av försändelsen, såsom adress, telefonnummer och e-postadress,
• Fakturerings- eller betalningsuppgifter, såsom uppgifter om bankförbindelse;
• Uppgifter som gäller försändelserna, såsom försändelsenummer och försändelsehistorik, t.ex. information om när försändelser har skickats, samt information om försändelsens innehåll.
2. Matkahuoltos kontaktperson i ärenden som gäller Dataskyddsförbindelsen
2.1 Kontakter som gäller denna Dataskyddsförbindelse ska riktas till Matkahuoltos Kundservicecentral:
Oy Matkahuolto Ab
Kundservicecentralen
PB 100
00101 Helsingfors
tietosuoja@matkahuolto.fi
3. Matkahuoltos förpliktelser
3.1 Efterlevnad av lagstiftningen. Vid behandling av personuppgifter för att fullgöra Syftet förbinder sig Matkahuolto att iaktta den lagstiftning om dataskydd som vid tidpunkten för varje behandling tillämpas i Finland, inklusive förordningen (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (”Lagstiftningen”).
3.2 Inga självständiga rättigheter att behandla personuppgifter. Matkahuolto har rätt att behandla personuppgifter för de ändamål som förutsätts för att fullgöra Syftet, men inte för andra ändamål. Matkahuolto behandlar Kundens personuppgifter endast i enlighet med denna Dataskyddsförbindelse, om inget annat föranleds av EU-lagstiftningen eller Finlands lagstiftning.
3.3 Skyddsåtgärder och säkerhetskopiering. Med beaktande av personuppgifternas karaktär och Syftet har Matkahuolto genomfört och förbinder sig till att upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa en tillräcklig informationssäkerhetsnivå i behandlingen av personuppgifter. Åtgärderna inkluderar bland annat uppdatering av de tekniska skyddsmetoderna i Matkahuoltos datasystem samt säkerställande av att åtkomsten till de personuppgifter som behandlas för Kundens räkning har begränsats till sådana personer som fått särskild fullmakt och vederbörlig utbildning, vilka behöver personuppgifter för att genomföra sina arbetsuppgifter och vilka är bundna av vederbörlig lag- eller avtalsbaserad tystnadsplikt. Matkahuoltos ansvar för försvunna eller skadade personuppgifter begränsas till Matkahuoltos skyldighet att genom rimliga kommersiella åtgärder återställa försvunna eller skadade personuppgifter från den senaste säkerhetskopian som upprätthålls av Matkahuolto eller Matkahuoltos tjänsteleverantör. Mer information om de skyddsåtgärder som Matkahuolto vidtar fås av den kontaktperson som nämns i punkt 2.
3.4 Anlitande av tredje parter i behandlingen av personuppgifter. Matkahuolto anlitar underleverantörer och andra tjänsteleverantörer (tillsammans ”tjänsteleverantör”) för behandling av personuppgifter i anslutning till Syftet. Vid anlitande av tjänsteleverantörer ingår Matkahuolto med respektive tjänsteleverantör ett sådant skriftligt avtal som förutsätts i Lagstiftningen, enligt vilket (i) tjänsteleverantören (-leverantörerna) förbinder sig att följa de förbindelser som specificeras i denna Dataskyddsförbindelse och motsvarar Matkahuoltos förbindelser samt de skyldigheter enligt Lagstiftningen som förpliktar personuppgiftsbiträden och (ii) tjänsteleverantören (-leverantörerna) i den mån det är kommersiellt rimligt ger Kunden samma rättigheter i förhållande till tjänsteleverantören som Kunden har i förhållande till Matkahuolto.
3.5 Skyldigheten att bistå i tillgodoseendet av de registrerades rättigheter och efterlevnaden av lagstiftningen. Matkahuolto förbinder sig att bistå Kunden (till exempel med hjälp av vederbörliga tekniska och organisatoriska åtgärder) i genomförandet av begäran som gäller tillgodoseendet av de registrerades rättigheter enligt Lagstiftningen mot en rimlig kompensation. Matkahuolto förbinder sig också att mot en rimlig kompensation bistå Kunden i säkerställandet av Kundens skyldigheter enligt Lagstiftningen och för detta ändamål ge Kunden de uppgifter som Matkahuolto förfogar över och som Kunden oundvikligen behöver för att kunna påvisa att Lagstiftningen har följts. För att Kunden ska kunna fullgöra de skyldigheter som avses här i punkt 3.5, förbinder sig Matkahuolto att utan dröjsmål underrätta Kunden om alla begäran och frågor från registrerade, dataskyddsmyndigheterna eller andra myndigheter utan att svara på dem, om inte Kunden uttryckligen anvisar Matkahuolto att göra på något annat sätt.
3.6 Personuppgiftsincident. Begreppet ”Personuppgiftsincident” har i denna Dataskyddsförbindelse samma innebörd som det getts i Lagstiftningen. Matkahuolto förbinder sig att utan dröjsmål informera Kunden om en Personuppgiftsincident och senast 36 timmar efter det att Personuppgiftsincidenten har kommit till Matkahuoltos kännedom.
4. Granskningar
4.1 Kunden har rätt att mot en rimlig kompensation antingen själv eller med hjälp av en tredje part granska Matkahuoltos lokaler och verksamhetssätt för att försäkra sig om att tjänsterna som Matkahuolto tillhandahåller uppfyller kraven i denna Dataskyddsförbindelse och i Lagstiftningen. Avtalsparterna kommer sinsemellan separat överens om detaljerna med anknytning till granskningen.
4.2 Kunden är skyldig att meddela Matkahuolto om att en granskning kommer att utföras minst trettio (30) dagar i förväg, om inget annat föranleds av ett tvingande myndighetsbeslut.
4.3 Matkahuolto förbinder sig att ge aktören som genomför granskningen fritt tillträde till Matkahuoltos lokaler och system vid en tidpunkt som överenskommits gemensamt i förväg inom ramarna för Matkahuoltos normala kontorstid, så att granskningen inte på något sätt äventyrar Matkahuoltos verksamhet eller tjänsternas informationssäkerhet. Matkahuolto ska om det krävs ge aktören som genomför granskningen de behövliga uppgifter, dokument och övriga material som rimligen kan krävas samt i rimlig omfattning på annat sätt bistå med genomförandet av granskningen.
5. Övriga villkor
5.1 Denna Dataskyddsförbindelse träder i kraft på datumet för undertecknandet och är i kraft i full utsträckning så länge Matkahuolto behandlar personuppgifter för Kundens räkning för att fullgöra Syftet. När det inte längre är nödvändigt att behandla personuppgifter för att fullgöra Syftet, förbinder sig Matkahuolto att enligt Kundens val förstöra eller mot rimlig kompensation returnera till Kunden alla personuppgifter som har behandlats för Kundens räkning samt förstöra alla befintliga kopior av sådana uppgifter, om inte EU-lagstiftningen eller Finlands lagstiftning förutsätter att kopiorna sparas. Matkahuolto förbinder sig att radera kopior av personuppgifter från Matkahuoltos säkerhetskopieringsservrar i samband med den regelbundna raderingen av säkerhetskopior.
5.2 Matkahuolto kan säga upp denna Dataskyddsförbindelse så att den upphör att gälla efter en uppsägningstid på trettio (30) dagar. Uppsägningen ska göras skriftligt.
5.3 Matkahuolto har rätt att göra ändringar i innehållet i denna Dataskyddsförbindelse genom att underrätta Kunden om ändringarna trettio (30) dagar innan ändringarna träder i kraft.
5.4 Matkahuolto har inte rätt att överföra ens delar av denna Dataskyddsförbindelse till en tredje part utan Kundens skriftliga samtycke, utom i fall då MPaketti helt eller delvis överförs till en tredje part i samband med förvärv av affärsverksamhet eller i övrigt.