MPaketin asiakasliittymä: Henkilötietojen käsittelyä ja tietosuojaa koskeva sitoumus
1. Tarkoitus ja kohde
1.1. Matkahuollon MPaketti-järjestelmä (”MPaketti”) mahdollistaa MPaketin käyttäjän eli Matkahuollon sopimusasiakkaan (”Asiakas”) ylläpitävän MPaketissa lähetysten vastaanottajien tiedoista koostuvaa rekisteriä.
1.2. Tätä henkilötietojen käsittelyä ja tietosuojaa koskevaa sitoumusta (”Tietosuojasitoumus”) sovelletaan Oy Matkahuolto Ab:n (”Matkahuolto”) käsitellessä Asiakkaan puolesta sellaisia henkilötietoja, jotka Asiakas on MPaketti-asiakasliittymässä MPakettiiin syöttänyt (”Tarkoitus”).
1.3. Tarkoituksen yhteydessä Matkahuolto käsittelee MPakettiin syötettyjä henkilötietoja. Lainsäädännön (määritelty alla kohdassa 3.1) mukaisesti Asiakas on näiden henkilötietojen rekisterinpitäjä, ja Matkahuolto käsittelee henkilötietoja henkilötietojen käsittelijänä Asiakkaan lukuun. Selvyyden vuoksi todetaan, että tätä Tietosuojasitoumusta ei sovelleta sellaisten henkilötietojen käsittelyyn, joille Matkahuolto on itsenäinen rekisterinpitäjä, kuten Matkahuollon logistiikkapalveluiden yhteydessä käsiteltävät lähetyksen vastaanottajan ja lähettäjän tai näiden edustajien henkilötiedot. Niitä tietoja, joille Matkahuolto toimii itsenäisenä rekisterinpitäjänä logistiikkapalveluiden tuottamisen yhteydessä, käsitellään Matkahuollon Pakettipalveluiden Tietosuojaselosteen mukaisesti.
1.4. Tässä Tietosuojasitoumuksessa määritellään Matkahuollon noudattamat tietosuojaa koskevat periaatteet. Tässä Tietosuojasitoumuksessa käytetyillä termeillä ”henkilötiedot”, ”käsittely”, ”rekisterinpitäjä” ja ”henkilötietojen käsittelijä” on sama sisältö kuin mikä niille on annettu Lainsäädännössä (määritelty alla kohdassa 3.1) ja niitä tulee tulkita vastaavasti.
1.5. Matkahuolto voi käsitellä Asiakkaan puolesta Asiakkaan asiakkaiden tai muiden Asiakkaan lähettämien lähetysten vastaanottajien seuraavia henkilötietojen ryhmiä:
Vastaanottajan tai tämän yhteyshenkilön yksilöintitiedot, kuten asiakasnumero ja nimi;
Yhteystiedot tai lähetyksen toimitusta varten käsiteltävät tiedot, kuten osoite, puhelinnumero ja sähköpostiosoite;
Laskutus- tai maksutiedot, kuten pankkiyhteystiedot;
Lähetyksiä koskevat tiedot, kuten lähetysnumero ja lähetyksiä koskevat historiatiedot, kuten tieto siitä, milloin lähetyksiä on lähtenyt, sekä tieto lähetyksen sisällöstä.
2. Matkahuollon yhteyshenkilö tietosuojasitoumusta koskevissa asioissa
2.1. Tätä Tietosuojasitoumusta koskevat yhteydenotot tulee osoittaa Matkahuollon Asiakaspalvelukeskukseen:
Oy Matkahuolto Ab
Asiakaspalvelukeskus
PL 100
00101 Helsinki
tietosuoja@matkahuolto.fi
3. Matkahuollon velvoitteet
3.1. Lainsäädännön noudattaminen. Käsitellessään Tarkoituksen toteuttamiseksi henkilötietoja, Matkahuolto sitoutuu noudattamaan Suomessa käsittelyn aikana kulloinkin voimassa olevaa tietosuojaa koskevaa lainsäädäntöä, mukaan lukien asetusta (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (”Lainsäädäntö”).
3.2. Ei itsenäisiä käsittelyoikeuksia henkilötietoihin. Matkahuollolla on oikeus käsitellä henkilötietoja Tarkoituksen toteuttamisen edellyttämiin tarkoituksiin, mutta ei muihin tarkoituksiin. Matkahuolto käsittelee Asiakkaan henkilötietoja vain tämän Tietosuojasitoumuksen mukaisesti, ellei EU:n tai Suomen lainsäädännöstä muuta johdu.
3.3. Suojatoimenpiteet ja varmuuskopiointi. Matkahuolto on, ottaen huomioon henkilötietojen luonteen sekä Tarkoituksen, toteuttanut ja sitoutuu ylläpitämään asianmukaisia teknisiä ja organisatorisia toimenpiteitä varmistaakseen riittävän tietoturvallisuuden tason henkilötietojen käsittelyssä. Toimenpiteisiin sisältyvät muun muassa Matkahuollon tietojärjestelmien teknisten suojausmenetelmien ajantasaisuus ja sen varmistaminen, että pääsy Asiakkaan puolesta käsiteltyihin henkilötietoihin on rajoitettu sellaisiin erikseen valtuutettuihin ja asianmukaisen koulutuksen saaneisiin henkilöihin, jotka tarvitsevat henkilötietoja työtehtäviensä toteuttamiseksi ja joita sitovat asianmukaiset, lakiin tai sopimukseen perustuvat salassapitovelvoitteet. Matkahuollon vastuu henkilötietojen katoamisista tai vahingoittumisesta rajoittuu Matkahuollon velvollisuuteen kohtuullisia kaupallisia toimia käyttäen palauttaa kadonneet tai vaurioituneet henkilötiedot viimeisimmästä Matkahuollon tai tämän palveluntarjoajan ylläpitämästä varmuuskopiosta. Lisätietoja Matkahuollon käyttämistä suojatoimenpiteistä on saatavilla kohdassa 2 mainitulta yhteyshenkilöltä.
3.4. Kolmansien osapuolten käyttäminen henkilötietojen käsittelyssä. Matkahuolto käyttää alihankkijoita ja muita palveluntarjoajia (yhdessä ”palveluntarjoaja”) Tarkoituksen yhteydessä toteutettavassa henkilötietojen käsittelyssä. Käyttäessään palveluntarjoajia, Matkahuolto solmii kunkin palveluntarjoajan kanssa Lainsäädännössä edellytetyn kirjallisen sopimuksen, jossa edellytetään, että (i) palveluntarjoaja(t) sitoutuvat noudattamaan tässä Tietosuojasitoumuksessa yksilöityjen Matkahuollon sitoumuksia vastaavia sitoumuksia sekä Lainsäädännössä asetettuja henkilötietojen käsittelijöitä velvoittavia velvoitteita; ja (ii) niissä määrin kuin on kaupallisesti kohtuullista, palveluntarjoaja(t) tarjoavat Asiakkaalle samat oikeudet palveluntarjoajaan nähden kuin Asiakkaalla on suhteessa Matkahuoltoon.
3.5. Velvollisuus avustaa rekisteröityjen oikeuksien toteuttamisessa ja lainsäädännön noudattamisessa. Matkahuolto sitoutuu avustamaan Asiakasta (esimerkiksi asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla) rekisteröityjen Lainsäädännön mukaisten oikeuksien toteuttamista koskevien pyyntöjen toteuttamisessa kohtuullista korvausta vastaan. Matkahuolto sitoutuu kohtuullista korvausta vastaan myös avustamaan Asiakasta Asiakkaan Lainsäädännön mukaisten velvoitteiden varmistamisessa ja tätä tarkoitusta varten antamaan Asiakkaan käyttöön Matkahuollon hallussa olevat tiedot, joita Asiakas välttämättömästi tarvitsee voidakseen osoittaa Lainsäädännön noudattamisen. Jotta Asiakas voi toteuttaa tässä kohdassa 3.5 tarkoitetut velvoitteensa, Matkahuolto sitoutuu ilman aiheetonta viivästystä ilmoittamaan Asiakkaalle kaikista rekisteröityjen, tietosuojaviranomaisten tai muiden viranomaisten esittämistä tiedusteluista ja kysymyksistä niihin vastaamatta, ellei Asiakas nimenomaisesti ohjeista Matkahuoltoa toisin.
3.6. Henkilötietojen tietoturvaloukkaus. ”Henkilötietojen tietoturvaloukkauksella” on tässä Tietosuojasitoumuksella sama merkitys kuin mikä sille on annettu Lainsäädännössä. Matkahuolto sitoutuu informoimaan Asiakasta Henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivästystä, ja viimeistään 36 tunnin kuluessa siitä, kun Henkilötietojen tietoturvaloukkaus on tullut sen tietoon.
4. Auditointi
4.1. Asiakkaalla on oikeus kohtuullista korvausta vastaan joko itse tai kolmannen osapuolen avulla auditoida Matkahuollon tiloja ja toimintatapoja varmistuakseen siitä, että Matkahuollon toimittamat palvelut täyttävät tässä Tietosuojasitoumuksessa ja Lainsäädännössä asetetut vaatimukset. Auditoinnin yksityiskohdista sovitaan Sopijapuolten kesken erikseen.
4.2. Asiakas on velvollinen ilmoittamaan auditoinnin suorittamisesta Matkahuollolle vähintään kolmekymmentä (30) päivää etukäteen, ellei pakottavasta viranomaispäätöksestä muuta johdu.
4.3. Matkahuolto sitoutuu mahdollistamaan auditoinnin toteuttavalle taholle esteettömän pääsyn sen tiloihin ja järjestelmiin etukäteen yhdessä sovittuna aikana Matkahuollon normaalin toimistoajan puitteissa niin, että auditointi ei millään tavoin vaaranna Matkahuollon toiminnan tai palveluiden tietoturvaa. Matkahuollon on vaadittaessa annettava auditoinnin toteuttavalle taholle kohtuudella vaadittavissa olevat tarpeelliset tiedot, dokumentit ja muu materiaali sekä muilla tavoin kohtuullisesti avustettava auditoinnin toteuttamisessa.
5. Muut ehdot
5.1. Tämä Tietosuojasitoumus astuu voimaan sen allekirjoituspäivänä ja on voimassa täysimääräisesti niin kauan, kuin Matkahuolto käsittelee henkilötietoja Asiakkaan puolesta Tarkoitusta varten. Kun henkilötietojen käsittely Tarkoitusta varten ei enää ole tarpeen, sitoutuu Matkahuolto Asiakkaan valinnan mukaisesti tuhoamaan tai kohtuullista korvausta vastaan palauttamaan Asiakkaalle kaikki Asiakkaan puolesta käsitellyt henkilötiedot sekä tuhottava kaikki olemassa olevat jäljennökset tällaisista tiedoista, ellei EU:n tai Suomen laki edellytä tietojen jäljennösten tallentamista. Matkahuolto sitoutuu poistamaan kopiot henkilötiedoista sen varmuuskopiopalvelimilta varmuuskopioiden määräaikaispoiston yhteydessä.
5.2. Matkahuolto voi irtisanoa tämän Tietosuojasitoumuksen päättymään kolmenkymmenen (30) päivän irtisanomisajalla. Irtisanominen on tehtävä kirjallisesti.
5.3. Matkahuollolla on oikeus muuttaa tämän Tietosuojasitoumuksen sisältöä ilmoittamalla muutoksista Asiakkaalle kolmekymmentä (30) päivää ennen muutosten voimaanastumista.
5.4. Matkahuollolla ei ole oikeutta siirtää tätä Tietosuojasitoumusta osaksikaan ilman Asiakkaan kirjallista suostumusta paitsi, jos MPaketti siirtyy kokonaan tai osittain kolmannelle liiketoiminnan kaupan yhteydessä tai muutoin.