HENKILÖTIETOJEN KÄSITTELYSOPIMUS
OSAPUOLET:
Epassi Finland Oy (Y-tunnus: 3220764-7) ja Epassi Clearing Oy (Y-tunnus: 2872241-9), jotka toimivat yhteisrekisterinpitäjinä (jäljempänä molempiin viitataan asiayhteydestä riippuen yhdessä tai erikseen nimityksellä ”Epassi”), toimivat henkilötietojen käsittelijöinä Epassin kanssa Palvelusopimuksen tehneen asiakkaan (”Asiakas” tai ”Rekisterinpitäjä”) lukuun tässä sopimuksessa jäljempänä kuvatusti.
Epassista ja Asiakkaasta käytetään jäljempänä erikseen nimitystä ”Osapuoli” ja yhdessä nimitystä ”Osapuolet”.
”Tietosuojalainsäädännöllä” tarkoitetaan tietosuojaa koskevaa kansallista ja EU:n lainsäädäntöä, kuten yleistä tietosuoja-asetusta (”GDPR”, EU 2016/679). Tietosuojaan liittyviä termejä käytetään GDPR:n mukaisessa merkityksessä.
1. KOHDE JA TARKOITUS
Tätä henkilötietojen käsittelysopimusta (jäljempänä ”Käsittelysopimus”) sovelletaan henkilötietojen käsittelyyn osana työnantaja-asiakkaiden Epassi-palvelusopimusta (”Palvelusopimus”), jonka mukaisesti Epassi tarjoaa asiakkaalle palveluita (”Palvelut”).
Tässä Käsittelysopimuksessa määritellään Osapuolten tietosuojaa ja tietosuojalainsäädännön noudattamista koskevat velvollisuudet. Osapuolten (ja näiden edustajien) on noudatettava tätä Käsittelysopimusta Palvelusopimuksen mukaisten velvollisuuksiensa suorittamisen yhteydessä.
Käsittelyn laajuus kuvataan tarkemmin Liitteessä A (Kuvaus Henkilötietojen käsittelystä ja luettelo hyväksytyistä Henkilötietojen alikäsittelijöistä). Kaikesta muusta henkilötietojen käsittelytarkoituksista on sovittava erikseen.
Osapuolet ovat tietoisia ja ymmärtävät, että Epassi on rekisterinpitäjä kaikkien Asiakkaan työntekijöiden (eli Epassin loppukäyttäjien) Palveluiden käyttöön liittyvien henkilötietojen osalta. Lisäksi Epassi on rekisterinpitäjä myös sellaisten henkilötietojen osalta, joiden käsittely liittyy muun muassa loppukäyttäjille tarkoitettujen säänneltyjen maksupalveluiden tarjoamiseen (henkilökohtaisen maksuvälineen jakelu ja käyttö) ja loppukäyttäjäpalveluihin (kuten Epassi-mobiilisovellukseen).
Asiakas vastaa siitä, että sillä on rekisterinpitäjänä oikeus käsitellä ja siirtää henkilötietoja Epassille tämän Käsittelysopimuksen ja Palvelusopimuksen mukaisesti.
2. VAATIMUSTENMUKAISUUS JA ASIAKKAAN OHJEET
Epassin Palveluiden tarjonnassa noudatetaan aina Tietosuojalainsäädäntöä.
Siltä osin kuin Epassi käsittelee Henkilötietoja Asiakkaan lukuun, Epassi käsittelee Henkilötietoja ainoastaan siinä laajuudessa kuin on tarpeen sen Palvelusopimuksen mukaisten velvollisuuksien täyttämiseksi ja Palvelusopimuksessa tai Asiakkaan tämän Käsittelysopimuksen mukaisesti antamien dokumentoitujen ja lainmukaisten ohjeiden mukaisesti.
Asiakas voi ohjeistaa Epassia Henkilötietojen käsittelystä tämän Käsittelysopimuksen ja Palvelusopimuksen puitteissa. Mikäli Epassi tunnistaa, että Asiakkaan ohjeistus ylittää sen mitä on sovittu tässä Käsittelysopimuksessa tai Palvelusopimuksessa, keskustelee se Asiakkaan kanssa ohjeistuksen toteuttamismahdollisuuksista. Mikäli osapuolet eivät pääse yhteisymmärrykseen ohjeistusten muuttamisesta, käsitellään ohjeistusten muuttaminen uutena ohjeistuksena sopimusmuutoksena Palvelusopimuksen mukaan. Mikäli Asiakkaan kirjallinen ohje ylittää sen, mitä laissa on säädetty tarpeelliseksi, Epassilla on oikeus kohtuulliseen korvaukseen Epassin aiheutuneiden kohtuullisten kulujen mukaisesti tai sen mukaan, mitä on erikseen sovittu Osapuolten välillä.
Jos Epassi tunnistaa, ettei se voi täyttää tämän Käsittelysopimuksen mukaisia velvoitteitaan tai jos se katsoo, että Henkilötietojen käsittelyä koskeva ohje on sovellettavan Tietosuojalainsäädännön vastainen, Epassi ilmoittaa asiasta Asiakkaalle edellyttäen, että mikään sovellettava lainsäädäntö ei kiellä Epassia ilmoittamasta Asiakkaalle.
3. KOLMANSIEN OSAPUOLTEN KÄYTTÄMINEN KÄSITTELYSSÄ
Epassi voi käyttää Henkilötietojen käsittelyyn alikäsittelijöitä sillä edellytyksellä, että
(i) alikäsittelystä sovitaan kirjallisella Käsittelysopimuksella; ja
(ii) alikäsittelijän kanssa solmittava Käsittelysopimus noudattaa olennaisilta osin samankaltaisia henkilötietoja koskevia vaatimuksia kuin Käsittelysopimuksen ehdot.
Epassi ilmoittaa Asiakkaalle kirjallisesti ja viipymättä muutoksesta käytettäviin alikäsittelijöihin (kuten uuden alikäsittelijän käytöstä aiemman korvaamiseksi). Asiakkaalla on oikeus vastustaa muutosta Epassin alikäsittelijöissä kolmenkymmenen (30) päivän kuluessa Epassin ilmoituksesta. Asiakas ja Epassi pyrkivät ratkaisemaan Asiakkaan perustellun vastustuksen juurisyyt niin, että muutos alikäsittelijöihin voidaan tehdä. Jos Asiakas ja Epassi eivät pääse ratkaisuun, jolla muutos alikäsittelijöihin voidaan tehdä Epassin ilmoituksen mukaisesti, Asiakkaalla on oikeus irtisanoa Palvelusopimus siinä sovitulla tavalla.
Epassi vastaa alikäsittelijöidensä suorittamasta Henkilötietojen käsittelystä kuin omastaan. Epassin alikäsittelijät määritellään tämän Käsittelysopimuksen Liitteessä A (Kuvaus Henkilötietojen käsittelystä ja luettelo hyväksytyistä Henkilötietojen alikäsittelijöistä).
4. HENKILÖTIETOJEN KÄSITTELY EU:N/ETA:N ULKOPUOLELLA
Palveluiden ja Palvelusopimuksen toteuttamiseksi Epassi voi siirtää Henkilötietoja EU:n/ETA:n ulkopuolelle kolmansiin maihin. Sijainnit, joihin Henkilötietoja voidaan siirtää, on lueteltu tämän Käsittelysopimuksen Liitteessä A (Kuvaus Henkilötietojen käsittelystä ja luettelo hyväksytyistä Henkilötietojen alikäsittelijöistä).
Mikäli Henkilötietoja siirretään EU:n/ETA:n ulkopuoliseen maahan, Epassi varmistaa, että kaikki kyseiset Henkilötietojen siirrot noudattavat soveltuvaa Tietosuojalainsäädäntöä. Mikäli siirron kohteena oleva EU:n/ETA:n ulkopuolinen maa ei pysty tarjoamaan riittävää tietosuojan tasoa Euroopan komission tietosuojan riittävyyttä koskevan päätöksen perusteella, Epassi vastaa siitä, että siirrot noudattavat sovellettavan Tietosuojalainsäädännön vaatimuksia ja toteuttaa siirtojen vaatimat muut suojatoimet Tietosuojalainsäädännön toteuttamiseksi, kuten asianmukaiset sopimukselliset järjestelyt käyttäen Euroopan komission kansainvälisiin siirtoihin tarkoitettuja vakiosopimuslausekkeita.
5. LUOTTAMUKSELLISUUS
Epassi pitää ja säilyttää Henkilötiedot luottamuksellisina. Epassi ei Palvelusopimuksen aikana luovuta tai siirrä Henkilötietoja kokonaisuudessaan tai osittain kolmannelle osapuolelle, ellei Asiakkaan kanssa nimenomaisesti ja kirjallisesti muuta sovita tai sovellettavassa Tietosuojalainsäädännössä muuta edellytetä, ellei Asiakas anna etukäteen tälle kirjallista valtuutusta tai se on välttämätöntä tämän Käsittelysopimuksen ja Palvelusopimuksen toimivuuden kannalta. Epassi vastaa siitä, että kaikki henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet salassapitosopimukseen tai heitä koskee lainmukainen vaitiolovelvollisuus.
Asiakas sitoutuu pitämään kaikki tiedot, jotka se saa tietoonsa Epassin turvatoimenpiteistä, järjestelyistä, IT-järjestelmistä tai palveluntarjoajista tai jotka muuten ovat luottamukselliseksi katsottavia, täysin luottamuksellisina ja olemaan luovuttamatta mitään luottamuksellisia tietoja kolmansille osapuolille. Asiakas voi luovuttaa kyseisiä tietoja, jos sovellettavan lainsäädännön mukaan Asiakas on niin velvollinen tekemään.
6. TURVATOIMENPITEET
Kuten tämän Käsittelysopimuksen liitteessä on sovittu, Epassi ylläpitää Henkilötietoja suojaavia operatiivisia ja teknisiä toimenpiteitä kaikkina asianmukaisina ajankohtina kohtuullisesti toteutettavissa ja käytettävissä olevin toimin Henkilötietojen vahingossa tapahtuvalta, luvattomalta tai laittomalta tuhoamiselta, häviämiseltä, muuttamiselta, luovuttamiselta tai pääsyltä. Epassi toteuttaa vähintään seuraavat kohtuullisesti vaadittavat toimenpiteet soveltuvin osin:
(i) Henkilötietojen pseudonymisointi ja salaus Tietosuojalainsäädännön niin edellyttäessä;
(ii) Henkilötietojen käsittelyjärjestelmien ja palveluiden jatkuvan luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden takaaminen kaikkina aikoina;
(iii) Henkilötietojen saatavuuden ja niihin pääsyn palauttaminen nopeasti fyysisen tai teknisen vian sattuessa; ja
(iv) teknisten ja organisatoristen toimenpiteiden tehokkuuden testaaminen, tutkiminen ja arvioiminen säännöllisesti Henkilötietojen käsittelyn turvallisuuden varmistamiseksi.
Epassi rajoittaa pääsyn Henkilötietoihin vain valtuutetulle ja asianmukaisesti koulutetulle henkilöstölle, jolla on tarve päästä kyseisiin tietoihin ja joita sitovat asianmukaiset salassapitovelvollisuudet.
7. TIETOTURVALOUKKAUS
Tietoturvaloukkauksen sattuessa Epassi ilmoittaa asiasta Asiakkaalle kirjallisesti ilman aiheetonta viivytystä, kun Epassi on tullut tietoiseksi Tietoturvaloukkauksesta.
Epassin ilmoitus tietoturvaloukkauksesta sisältää vähintään seuraavat tiedot:
(i) kuvaus Tietoturvaloukkauksen luonteesta, mukaan lukien mahdollisuuksien mukaan asianomaisten Rekisteröityjen ryhmät ja arvioidut lukumäärät sekä Henkilötietotyyppien ryhmät ja arvioidut lukumäärät
(ii) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista
(iii) kuvaus toimenpiteistä, joita Epassi on ehdottanut tai jotka se on toteuttanut Tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Mikäli Epassilla ei ole vielä hallussaan kaikkea tietoturvaloukkaukseen liittyvää tietoa Epassi joka tapauksessa toimittaa Asiakkaalle kohtuullisen yksityiskohtaisen kirjallisen ilmoituksen tietoonsa tulleesta Tietoturvaloukkauksesta. Epassilla on oikeus toimittaa ilmoitus myös osissa, mikäli kaikkia tietoja ei ole ilmoituksen hetkellä saatavilla.
8. TARKASTUSOIKEUS
Asiakkaalla on oikeus toteuttaa tarkastus Epassin tämän Käsittelysopimuksen mukaisia käsittelytoimia koskien varmistaakseen Palvelusopimuksen nojalla käsiteltäville Henkilötiedoille tarjottavan suojan ja tietoturvan tason.
Tarkastusoikeutta käyttäessä Asiakkaan tulee käyttää tunnistettua, riippumatonta kolmannen osapuolen toimijaa, jolla on todistetusti kokemusta alalta, ja jonka kanssa Asiakas on solminut erillisen sopimuksen Epassin ja Henkilötietojen luottamuksellisuuden suojaamiseksi. Kolmannen osapuolen toimija ei saa olla Epassin suora kilpailija.
Tarkastuksen aikataulu, tapa ja laajuus sovitaan etukäteen Osapuolten välillä. Tarkastus ei saa vaarantaa Epassin palvelun saatavuutta, laatua, turvallisuutta tai luottamuksellisuutta Epassin muille asiakkaille. Mikäli tarkastus ei tunnista olennaisia puutteita Epassin toiminnassa Asiakas maksaa kaikki tarkastukseen liittyvät kustannukset. Tarkastus voidaan sopia alkamaan aikaisintaan 30 kalenteripäivän kuluttua siitä, kun Epassi on vastaanottanut ilmoituksen tarkastuksen suorittamisesta.
Mikäli Henkilötietojen käsittelyyn liittyvä tarkastuspyyntö saadaan suoraan toimivaltaiselta valvontaviranomaiselta, Epassi tekee huolellisesti yhteistyötä Asiakkaan kanssa kaikkien pyyntöjen vastaamiseksi.
9. PÄÄSY HENKILÖTIETOIHIN JA REKISTERÖITYJEN OIKEUDET
Asiakkaan kirjallisesta pyynnöstä ja Tietosuojalainsäädännön noudattamiseksi Epassi avustaa Asiakasta toteuttamaan Henkilötietoihin kohdistuvia Tietosuojalainsäädännön mukaisia pyyntöjä mm. (i) toimittaa Asiakkaalle jäljennöksen yksilöiden Henkilötiedoista konkreettisessa muodossa; (ii) korjaa, estää tai poistaa yksilöiden Henkilötietoja; (iii) toimittaa Asiakkaalle tämän pyytämät tiedot ja tekee tämän kohtuullisesta pyynnöstä Palvelusopimuksen mukaiseen Henkilötietojen käsittelyyn liittyen yhteistyötä esimerkiksi avustamalla Rekisteröityjen oikeuksien käyttämisen helpottamisessa ja (iv) auttaa Asiakasta tämän kohtuullisesta pyynnöstä toimittamaan Henkilötietojen käsittelyn kohteena oleville yksilöille heidän pyytämänsä käsittelyä koskevat tiedot.
Mikäli Asiakas tätä vaatii, Epassi auttaa Asiakasta toteuttamaan muita sen Tietosuojalainsäädännöstä johtuvia velvollisuuksia kuten tietosuojaa koskevasta vaikutustenarvioinnista ja mahdollisesta ennakkokuulemisesta säädettyjä velvollisuuksia ottaen huomioon käsittelyn luonteen ja Epassin saatavilla olevat tiedot. Osapuolet sopivat erikseen tällaisen avustuksen tarpeesta ja laajuudesta, jonka seurauksena Epassilla on oikeus veloittaa Asiakkaalta tälle koituneet kohtuulliset kulut.
10. VASTUU
Palvelusopimuksen vastuuta koskevia ehtoja sovelletaan tähän Käsittelysopimukseen.
Osapuolet sopivat, että vastuu valvontaviranomaisen määräämistä hallinnollisista sakoista tai Rekisteröityjen vaateista jakautuu Osapuolten kesken vastuiden mukaan. Näin ollen se Osapuoli, joka on valvontaviranomaisen tai kyseisten sakkojen tai vahingonkorvausten määräämiseen valtuutetun toimivaltaisen tuomioistuimen lopullisen ratkaisun mukaan rikkonut Tietosuojalainsäädännön mukaisia lakisääteisiä velvoitteitansa, vastaa tämä kyseessä olevien sakkojen maksamisesta tai vahinkojen korvaamisesta. Mikäli kummankin Osapuolen katsotaan epäonnistuneen velvoitteidensa täyttämisessä, maksettavat sakot tai vahingonkorvaukset jaetaan Osapuolten kesken Osapuolten syyllisyyden mukaan.
11. SOVELLETTAVA LAKI JA RIIDANRATKAISU
Palvelusopimuksen sovellettavaa lakia ja riidanratkaisua koskevia ehtoja sovelletaan tähän Käsittelysopimukseen.
12. MUUT EHDOT
Tämä Käsittelysopimus on voimassa Palvelusopimuksen voimassaoloajan sekä Palvelusopimuksen päättymisen jälkeen niin kauan kuin Epassi käsittelee Henkilötietojen Asiakkaan lukuun.
Sopimuksen päättyessä Epassi joko poistaa tai Asiakkaan kirjallisesta pyynnöstä siirtää tämän Käsittelysopimuksen mukaisesti käsittelemänsä henkilötiedot Asiakkaalle.
Lukuun ottamatta sitä, mitä on yllä erikseen sovittu, jotta tähän Käsittelysopimukseen mahdollisesti tehtävät muutokset astuvat voimaan, ne on tehtävä kirjallisesti ja kummankin Osapuolen on ne asianmukaisesti hyväksyttävä.
Kummankaan Osapuolen tämän Käsittelysopimuksen mukaisia oikeuksia tai velvollisuuksia ei voi siirtää kokonaisuudessaan tai osittain ilman toisen Osapuolen etukäteen antamaa kirjallista suostumusta, ellei tässä Käsittelysopimuksessa toisin määrätä tai ellei kyseistä siirtoa tehdä kyseessä olevan Osapuolen koko liiketoiminnan siirron yhteydessä.
Alla mainitut liitteet ovat erottamaton osa Käsittelysopimusta.
13. LIITTEET
Tämä Käsittelysopimus sisältää seuraavat liitteet:
Liite A: Kuvaus Henkilötietojen käsittelystä ja luettelo hyväksytyistä Henkilötietojen käsittelijöistä
Liite A
Kuvaus Henkilötietojen käsittelystä
Epassi tarjoaa Rekisterinpitäjälle palveluita, joihin sisältyy seuraavien osalta Henkilötietojen käsittelijän suorittamaa Henkilötietojen käsittelyä alla tarkemmin määritellyn mukaisesti: (a) Henkilötietojen käsittelyn luonne ja tarkoitus, (b) Henkilötietojen tyyppi ja Rekisteröityjen ryhmät, (c) sovellettavat tietoturvatoimenpiteet ja (d) Henkilötietojen käsittelyn kesto.
(a) Henkilötietojen käsittelyn luonne ja tarkoitus
Epassi käsittelee Rekisterinpitäjän ja Epassin välisessä Palvelusopimuksessa sovitussa laajuudessa Rekisterinpitäjän työsuhdeasioihin liittyviä Henkilötietoja Palvelun tarjoamiseksi Rekisterinpitäjälle.
(b) Henkilötietojen tyyppi ja Rekisteröityjen ryhmät
Rekisterinpitäjän työntekijöiden, jotka ovat Epassin Palvelun kautta tarjottavien työsuhde-etujen vastaanottajia ja edunsaajia, käsiteltäviä Henkilötietoja ovat seuraavat:
nimi, puhelinnumero, sähköpostiosoite, työntekijän tunnistenumero ja kyseiselle loppukäyttäjälle osoitettujen työsuhde-etujen määrä ja luonne.
(c) Sovellettavat toimenpiteet
Henkilötietoja siirretään Epassille turvallisessa kanavassa synkronoidun ja verkkopalveluun liitetyn käyttöliittymän kautta tai muulla Rekisterinpitäjän kanssa sovitulla tavalla (esimerkiksi Rekisterinpitäjän tietoturvallisen sähköpostin kautta Rekisterinpitäjän omalla vastuulla) Palvelun alkumäärityksen suorittamiseksi Rekisterinpitäjän työntekijöitä varten.
Epassi suorittaa Rekisterinpitäjälle tarkoitettujen palautustietojen jatkuvan käsittelyn ja toimittamisen verkkopalvelunsa kautta Rekisterinpitäjän valtuutetuille edustajille. Rekisterinpitäjän puolelta verkkopalvelun käyttö on suojattu valtuutettujen käyttäjätunnusten ja ‑salasanojen avulla. Lisätietoja Epassin verkkopalvelujärjestelmän tietoturvatoimenpiteistä toimitetaan Rekisterinpitäjälle tämän pyynnöstä.
(d) Henkilötietojen käsittelyn kesto
Henkilötietoja käsitellään koko Palvelusopimuksen keston ajan ja tämän jälkeen niin kauan kuin on tarpeen Palvelunsopimuksen ja sovellettavan tietosuojalainsäädännön ja/tai toimivaltaisten viranomaisten pyyntöjen mukaisesti.
Luettelo hyväksytyistä Henkilötietojen alikäsittelijöistä
|
Palvelun nimi |
Käyttö |
Käsittelyn sijainti |
Yrityksen nimi ja osoite |
|
Amazon Web Services |
Verkkopalvelun toiminnallisuuksien toteutus ja infrastruktuurin hosting |
EU (sopimuksellisesti rajattu) |
Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855, Luxembourg
|
|
Apsis |
Epassi palvelun käyttöön kiinteästi liittyvä viestintä edunsaajille |
Ruotsi |
APSIS International AB |
|
Databricks |
Kommunikointi työnantaja-asiakkaille ja tämän pyynnöstä tämän työntekijöille |
EU (sopimuksellisesti rajattu) |
Databricks Inc., 160 Spear Street, Suite 1300, San Francisco, CA 94105 |
|
Zendesk Inc. |
Tukityökalu asiakastuen toimittamisessa |
EU (sopimuksellisesti rajattu) |
Zendesk, Inc. |
|
Freshworks
|
Tukityökalu asiakastuen toimittamisessa |
EEA (sopimuksellisesti rajattu) |
Freshworks GmbH Neue Grünstraße 17 10179 Berlin Saksa |
|
Hetzner |
Verkkopalvelualustan hosting |
Saksa |
Hetzner Online GmbH |
|
Hubspot |
Asiakasraportoinnin työkalu sekä asiakaskommunikaatio asiakkaalle ja edunsaajille |
EU (sopimuksellisesti rajattu) |
Hubspot Ireland Ltd, 1 Sir John Rogerson’s Quay, Dublin, Ireland
|
|
Microsoft 360 |
Saas-palvelua koskevista asiakirjoista viestiminen ja niiden käsittely |
EU (Data boundary) |
Microsoft Ireland Operations, Ltd. |
|
NetSuite |
Toiminnanohjausjärjestelmä |
Yhdistynyt kuningaskunta |
Gräsantörmä 2 |
|
Truesec |
Palvelun ja siihen liittyvien teknisten ympäristöjen tietoturvan valvonta ja raportointi |
Ruotsi |
Truesec AB Luntmakargatan 18, 111 37 Stockholm, Sverige
|
|
VIP District (Epassi konserniyhtiö) |
Alikäsittelijää käytetään sopimuksesta Epassin mahdollisten lisäpalveluiden toteutuksessa |
Espanja |
VIP District SL, Avda. De Burgos, 16-D, Oficina 11 Izquierda, 28001 Madrid (Spain)
|
Data Processing Agreement
Parties:
Epassi Finland Oy (Business ID 3220764-7) and Epassi Clearing Oy (Business ID 2872241-9) acting as joint controllers (hereinafter referred to, depending on the context, together or separately as “Epassi”) act as processors on behalf of the Customer who has entered into the Service Agreement with Epassi (either “Customer” or “Controller”) as described in this agreement.
Epassi and the Customer are hereinafter referred to individually as a “Party” and collectively as the “Parties”.
“Data Protection Legislation” means national and EU legislation concerning data protection, such as the General Data Protection Regulation (“GDPR”, EU 2016/679). Terms related to data protection are used in the meaning defined by the GDPR.
1. Subject and purpose
This personal data processing agreement (hereinafter the “Processing Agreement”) applies to the processing of personal data as part of the employer-customers’ Epassi service agreement (the “Service Agreement”), under which Epassi provides services to the Customer (the “Services”).
This Processing Agreement defines the obligations of the Parties regarding data protection and compliance with Data Protection Legislation. The Parties (and their representatives) must comply with this Processing Agreement in the performance of their obligations under the Service Agreement.
The scope of processing is described in more detail in Appendix A (Description of Personal Data Processing and list of approved sub-processors). Any other processing purposes of personal data must be agreed upon separately.
The Parties are aware and understand that Epassi is the controller for all personal data related to the use of the Services by the Customer’s employees (i.e., Epassi’s end users). Additionally, Epassi is the controller for personal data related to, among other things, the provision of regulated payment services intended for end users (distribution and use of personal payment instruments) and end-user services (such as the Epassi mobile application).
The Customer is responsible for ensuring that, as the controller, it has the right to process and transfer personal data to Epassi in accordance with this Processing Agreement and the Service Agreement.
2. Compliance and Customer's instructions
Epassi shall comply with the Data Protection Laws while providing the Services.
To the extent that Epassi is processing Personal Data on behalf of the Customer, Epassi shall process Personal Data solely to the extent necessary for fulfilling their obligations under the Service Agreement and in accordance with the documented and lawful instructions expressly provided in the Service Agreement or this Data Processing Agreement.
The Customer can instruct Epassi on processing of Personal Data under this Data Processing Agreement. Should Epassi recognize that any instructions of the Customer go beyond what has been agreed in this Data Processing Agreement or the Service Agreement, Epassi shall discuss the possibilities of implementing the Customer’s instructions. If the Parties do not reach a mutual understanding regarding the modification of the instructions, the modification of the instructions shall be treated as a new instruction as a contractual amendment in accordance with the Service Agreement. If the Customer’s written instruction exceeds what is required by law, Epassi has the right to reasonable compensation in accordance with the reasonable costs incurred by Epassi or as otherwise agreed between the Parties.
Should Epassi identify that it can not fulfil its obligations under this Data Processing Agreement or if Epassi is of the view that an instruction regarding the processing of Personal Data would be in breach of applicable Data Protection Laws, Epassi shall inform the Customer thereof, unless Epassi is prohibited from notifying the Customer under the applicable laws
3. Use of third parties in processing of personal data
Epassi may use sub-processors for the processing of Personal Data provided that
(i) the sub-processing is agreed upon in a written Processing Agreement; and
(ii) the Processing Agreement concluded with the sub-processor complies in all material respects with similar requirements concerning personal data as the terms of this Processing Agreement.
Epassi shall notify the Customer in writing and without delay of any changes to the sub-processors used (such as the use of a new sub-processor to replace a previous one). The Customer has the right to object to the change in Epassi’s sub-processors within thirty (30) days of Epassi’s notification. The Customer and Epassi shall strive to resolve the root causes of the Customer’s justified objection so that the change to the sub-processors can be made. If the Customer and Epassi do not reach a solution that allows the change to the sub-processors to be made as per Epassi’s notification, the Customer has the right to terminate the Service Agreement in the manner agreed therein.
Epassi is responsible for the processing of Personal Data carried out by its sub-processors as if it were its own. Epassi’s sub-processors are defined in Appendix A of this Processing Agreement (Description of Personal Data Processing and list of approved sub-processors)
4. Processing personal data outside of EU/EEA
For the implementation of the Services and the Service Agreement, Epassi may transfer Personal Data to third countries outside the EU/EEA. The locations to which Personal Data may be transferred are listed in Appendix A of this Processing Agreement (Description of Personal Data Processing and list of approved sub-processors).
If Personal Data is transferred to a country outside the EU/EEA, Epassi ensures that all such transfers of Personal Data comply with the applicable Data Protection Legislation. If the third country to which the data is transferred does not provide an adequate level of data protection based on a decision of adequacy by the European Commission, Epassi is responsible for ensuring that the transfers comply with the requirements of the applicable Data Protection Legislation and implements the additional safeguards required for the transfers under the Data Protection Legislation, such as appropriate contractual arrangements using the European Commission’s standard contractual clauses for international transfers.
5. Confidentiality
Epassi keeps and retains the Personal Data confidential. During the term of the Service Agreement, Epassi does not disclose or transfer the Personal Data, in whole or in part, to a third party unless otherwise expressly and in writing agreed with the Customer, or unless otherwise required by applicable Data Protection Legislation, or unless the Customer has given prior written authorization for this, or it is necessary for the functionality of this Processing Agreement and the Service Agreement. Epassi is responsible for ensuring that all persons who have the right to process personal data are bound by a confidentiality agreement or are subject to a statutory duty of confidentiality.
The Customer undertakes to keep all information it becomes aware of regarding Epassi’s security measures, arrangements, IT systems, or service providers, or which is otherwise considered confidential, strictly confidential and not to disclose any confidential information to third parties. The Customer may disclose such information if, under applicable legislation, the Customer is obliged to do so.
6. Data security
As agreed in the appendix to this Processing Agreement, Epassi maintains operational and technical measures protecting Personal Data at all appropriate times with reasonably implementable and available actions to protect Personal Data from accidental, unauthorized, or unlawful destruction, loss, alteration, disclosure, or access. Epassi implements at least the following reasonably required measures, as applicable:
(i) Pseudonymization and encryption of Personal Data where required by Data Protection Legislation;
(ii) Ensuring the ongoing confidentiality, integrity, availability, and resilience of Personal Data processing systems and services at all times;
(iii) The ability to restore the availability of and access to Personal Data quickly in the event of a physical or technical incident; and
(iv) Regular testing, assessment, and evaluation of the effectiveness of technical and organizational measures to ensure the security of Personal Data processing.
Epassi restricts access to Personal Data only to authorized and appropriately trained personnel who need access to such data and who are bound by appropriate confidentiality obligations.
7. Data breach
In the event of a data breach, Epassi shall notify the Customer in writing without undue delay once Epassi becomes aware of the data breach
Epassi’s notification of the data breach shall include at least the following information:
(i) a description of the nature of the data breach, including, where possible, the categories and approximate number of affected Data Subjects and the categories and approximate number of Personal Data records concerned;
(ii) a description of the likely consequences of the data breach; and
(iii) a description of the measures Epassi has proposed or implemented as a result of the data breach, including, where appropriate, measures to mitigate its possible adverse effects.
If Epassi does not yet have all the information related to the data breach, Epassi shall in any case provide the Customer with a reasonably detailed written notification of the data breach that has come to its attention. Epassi has the right to deliver the notification in parts if all information is not available at the time of the initial notification.
8. RIGHT TO AUDIT
The Customer has the right to carry out an audit concerning Epassi’s processing activities under this Processing Agreement in order to ensure the level of protection and data security provided for the Personal Data processed under the Service Agreement.
When exercising the right to audit, the Customer must use a recognized, independent third-party entity with proven experience in the field, and with whom the Customer has entered into a separate agreement to protect the confidentiality of Epassi and the Personal Data. The third-party entity must not be a direct competitor of Epassi.
The schedule, method, and scope of the audit shall be agreed in advance between the Parties. The audit must not compromise the availability, quality, security, or confidentiality of Epassi’s services to other customers. If the audit does not identify material deficiencies in Epassi’s operations, the Customer shall bear all costs related to the audit. The audit may be scheduled to begin no earlier than 30 calendar days after Epassi has received notice of the audit.
If a request for an audit related to the processing of Personal Data is received directly from a competent supervisory authority, Epassi shall cooperate diligently with the Customer in responding to all such requests.
9. ACCESS TO PERSONAL DATA AND DATA SUBJECTS’ RIGHTS
At the Customer’s written request and in compliance with Data Protection Legislation, Epassi shall assist the Customer in fulfilling requests concerning Personal Data in accordance with Data Protection Legislation, including:
(i) providing the Customer with a copy of individuals’ Personal Data in a tangible form;
(ii) correcting, blocking, or deleting individuals’ Personal Data;
(iii) providing the Customer with the requested information and, upon reasonable request, cooperating in matters related to the processing of Personal Data under the Service Agreement, for example by assisting in facilitating the exercise of Data Subjects’ rights; and
(iv) assisting the Customer, upon reasonable request, in providing the individuals whose Personal Data is being processed with the information they have requested regarding the processing.
If the Customer so requires, Epassi shall assist the Customer in fulfilling other obligations arising from Data Protection Legislation, such as obligations related to data protection impact assessments and possible prior consultations, taking into account the nature of the processing and the information available to Epassi. The Parties shall separately agree on the need and scope of such assistance, and Epassi shall have the right to charge the Customer for the reasonable costs incurred.
10. Liability
The liability terms of the Service Agreement apply to this Processing Agreement.
The Parties agree that liability for administrative fines imposed by a supervisory authority or claims by Data Subjects shall be allocated between the Parties according to their respective responsibilities. Accordingly, the Party that, according to the final decision of the supervisory authority or the competent court authorized to impose such fines or damages, has violated its statutory obligations under Data Protection Legislation, shall be responsible for paying the fines or compensating the damages in question. If both Parties are found to have failed in fulfilling their obligations, the fines or damages shall be divided between the Parties according to their respective degrees of fault.
11. Applicable law and dispute resolution
The provisions on applicable law and dispute resolution in the Service Agreement apply to this Processing Agreement.
12. Other terms
This Processing Agreement shall remain in force for the duration of the Service Agreement and after the termination of the Service Agreement for as long as Epassi processes Personal Data on behalf of the Customer.
Upon termination of the agreement, Epassi shall either delete or, at the Customer’s written request, transfer the Personal Data it has processed under this Processing Agreement to the Customer.
Except as otherwise expressly agreed above, any amendments to this Processing Agreement shall be made in writing and duly accepted by both Parties.
Neither Party may assign its rights or obligations under this Processing Agreement, in whole or in part, without the prior written consent of the other Party, unless otherwise provided in this Processing Agreement or unless such assignment is made in connection with the transfer of the entire business of the assigning Party.
The appendices listed below are an integral part of this Processing Agreement.
13. Appendices
This Processing Agreement includes the following appendices:
Appendix A: Description of the processing of Personal Data and a list of Sub-processors
Appendix A
Description on the Processing of Personal Data
Epassi performs services to the Controller that will include processing of Personal Data by the processor as further specified below with respect to: (a) the nature and purpose of the processing of Personal Data; (b) the type of Personal Data and categories of Data Subjects; (c) the applicable information security measures; and (d) duration of the processing of Personal Data under the Service Agreement, as follows:
(a) the nature and purpose of the processing of Personal Data
Epassi processes the Controller’s employment related Personal Data for the purposes of providing the Controller with the Services agreed in the Service Agreement, i.a. the offering, assignment, management and reporting of use of non-taxable or tax-subsidized employee benefits and/or payment services, in the scope agreed between the Controller and Epassi in the Service Agreement.
(b) the type of Personal Data and categories of Data Subjects
The Controller’s employees’, who are the recipients and beneficiaries of the employment benefits offered through Epassi’s Service Personal Data as follows:
Name, phone number, e-mail address, employee identification number and amount and nature of employment benefits allocated to such end-user.
(c) the description of the applicable security measures
Personal data is transferred to Epassi in a secure channel through a sync-up interface connected to the Online service, or as otherwise agreed with the Controller (e.g. through the Controller’s secure e-mail, at the Controller’s risk), for the initial set-up of the Service for the employees of the Controller.
Epassi delivers the continuous processing and delivery of return data to the Controller through its Online service to the rightly authorized representative(s) of the Controller. Access to the Online service on the Controller’s side is protected via authorized user logins and passwords. Further information on Epassi’s Online service’s system security measures will be delivered to the Controller at the Controller’s request.
(d) duration of the processing of Personal Data
The Personal Data is processed for the full duration of the Service Agreement and for any additional duration thereafter as required to complete the processor’s duties in accordance with the Service Agreement and applicable Data Protection Laws and/or requests of competent authorities.
List of Sub-processors
|
Name of the service |
Use |
Location |
Name of the company, Location / Address |
|
Amazon Web Services |
We use AWS for the technical implementation of our service, including infrastructure, functionalities, and hosting services. |
EEA |
Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855, Luxembourg
|
|
Apsis |
We use Apsis for communication with the customer and end users as agreed in the contract. |
Sweden |
APSIS International AB |
|
Databricks |
We use Databricks for reporting and statistics related to the service. |
EU |
Databricks Inc., 160 Spear Street, Suite 1300, San Francisco, CA 94105 |
|
Zendesk Inc. |
We use Zendesk as our customer relationship management system and for end-customer support. |
EU (contractual restriction) |
Zendesk, Inc. |
|
Freshworks
|
We use Freshworks as our customer relationship management system and for end-customer support. |
EEA |
Gräsantörmä 2 |
|
Hetzner |
Hetzner is Epassi’s primary hosting provider. |
Germany |
Hetzner Online GmbH |
|
Hubspot |
We use Hubspot for reporting and customer contact related to the service according to customer instructions. |
EU |
Hubspot Ireland Ltd, 1 Sir John Rogerson’s Quay, Dublin, Ireland
|
|
Microsoft |
We use Microsoft services as part of our operations and for managing customer and service-related personal data. |
EU (Data boundary) |
Microsoft Ireland Operations, Ltd. |
|
NetSuite |
Netsuite is the Epassi Group’s primary invoicing system and processes personal data related to invoices and billing. |
UK |
Oracle Corporation UK Limited |
|
Truesec |
Truesec provides us with cybersecurity services, and its incident reporting system may process related personal data. |
Sweden |
Truesec AB Luntmakargatan 18, 111 37 Stockholm, Sverige
|
|
VIP District (Epassi subsidiary) |
If the contract specifies that VIP District will deliver the service, they process personal data to provide the service. |
Spain |
VIP District SL, Avda. De Burgos, 16-D, Oficina 11 Izquierda, 28001 Madrid (Spain)
|