Lisäys Tietojen Käsittelyyn

TAUSTAA

FCM Travel Solutions on osa Flight Centre Travel Groupia ("FCTG"), joka on yksi maailman suurimmista matkatoimistoyhtymistä.

Asiakas ja FCTG (yhdessä "osapuolet") solmivat keskenään sopimuksen FCTG:n matkan ja tapahtumien hallintapalveluista asiakkaalle sekä soveltuvin osin asiakkaan tytäryhtiöille ("sopimus matkan järjestämisestä").

Matkustuksen hallintasopimuksen velvoitteiden mukaisesti FCTG käsittelee henkilötietoja asiakkaan puolesta kuten tässä ja matkustuksen hallintasopimuksessa ("sopimuspohjainen tietojen käsittely") on asetettu.  Osapuolet

Tämä lisäys tietojen käsittelyyn ("TKL") muodostaa osan matkustuksen hallintasopimuksesta ja se määrittelee osapuolten sopimuspohjaisten tietojen käsittelyyn liittyvät oikeudet ja velvollisuudet. Lisäys tietojen käsittelyn ei korvaa missään matkustuksen hallintasopimuksessa (mukaan lukien jo olemassa olevia sopimuksia jotka asiakas ja FCTG ovat sopineet keskenään) verrattavia tai muita oikeuksia liittyen henkilötietojen käsittelyyn .

Hyväksymällä matkustuksen hallintasopimuksen asiakas suostuu omalta osaltaan tietojen käsittelyn lisäykseen sovellettavan tietosuojalain asettamissa rajoissa tytäryhtiöiden puolesta, mikäli ja niiltä osin kuin FCTG käsittelee henkilötietoja, joiden kohdalla tytäryhtiöt toimivat rekisterinpitäjänä.

Ottaen huomioon osapuolten vastavuoroiset oikeudet ja velvollisuudet, jotka on määritetty matkustuksen hallintasopimuksessa ja tässä tietojen käsittelyn lisäyksessä, osapuolet hyväksyvät seuraavat kohdat:

 

1. MÄÄRITELMÄT

Isolla alkukirjaimella kirjoitetut termit omaavat merkityksen, joka niille on määrätty matkustuksen hallintasopimuksessa tai alla olevassa kohdassa 15 (lista määritelmistä).  Ellei tässä asiakirjassa toisin määrätä, EU:n yleisen tietosuoja-asetuksen määritelmät 2016/679 ("Yleinen tietosuoja-asetus") ja erityisesti termit "Rekisterinpitäjä", "Rekisteröity", "Jäsenvaltio", "Henkilötiedot", "Henkilötietojen loukkaus", "Käsittelijä", "Käsittely" ja "Valvontaviranomainen" ovat käytössä.

 

2. TIETOJEN KÄSITTELYN LISÄYKSEN PÄÄKOHTA

2.1 FCTG tulee käsittelemään asiakkaan henkilötietoja toimittaakseen palveluita matkustuksen hallintasopimuksen mukaisesti ("Sopimuspalvelut") ja muita palveluita, jotka on määritetty tässä tietojen käsittelyn lisäyksessä ("Käsittelypalvelut") asiakkaalle ("Soveltuva käyttötarkoitus").  Osapuolet hyväksyvät, että asiakas toimii rekisterinpitäjänä ja FCTG käsittelijänä käsitellessään asiakkaan henkilötietoja.

2.2 Liite 2.2 määrittää seuraavien kohtien tiedot:

(a) käsittelyn tarkoitus

(b) käsittelyn kesto

(c) asiakkaan henkilötietojen luokat

(d) käsiteltävien tietolähteiden luokat.

2.3 Käsitellessään asiakkaan henkilötietoja Euroopan Unionin tai Euroopan talousalueen ulkopuolella tai toimiessaan tai käyttäessään asiakkaan henkilötietoja sillä tavoin, että ne kuuluvat Euroopan Unionin tai Euroopan talousalueen ulkopuolisen lainkäyttövallan tietosuoja-asetuksiin, FCTG noudattaa soveltuvia tietosuojalakeja ja erityisesti soveltuvia suojauskeinoja taatakseen tietosuojauksen yleisen tietosuoja-asetuksen artiklan 44 ja muiden kohtien mukaisesti.

2.4 FCTG käsittelee asiakkaan henkilötietoja vain asiakkaan puolesta ja noudattaa ehdottomasti asiakkaan kirjallisia ohjeita, mukaan lukien siirtäessään henkilötietoja kolmansiin maihin tai kansainväliselle taholle, paitsi jos Euroopan unionin tai jäsenvaltion lainsäädännössä toisin vaaditaan.  Tällaisessa tapauksessa FCTG tulee ilmoittamaan asiakkaalle laillisesta vaatimuksesta ennen käsittelyä, ellei laki estä sellaista tietoa tärkeän yleisen edun toimesta.  Mikäli tämä tietojen käsittelyn lisäys tai matkustuksen hallintasopimus sisältävät ehtoja, jotka liittyvät asiakkaan henkilötietojen käsittelyyn (esim. vaatimus asiakkaan tiettyjen henkilötietojen nimettömyydestä), tämä käsittely tullaan epäilyjen välttämiseksi käsittelemään ohjeistuksena rekisterinpitäjälle tämän tietojen käsittelyn lisäyksen nojalla.

2.5 Käsittely tullaan aina suorittamaan ammattimaisella tavalla ja hyvien tiedonkäsittelyperusteiden, matkustuksen hallintasopimuksen ehtojen, tietojen käsittelyn lisäyksen ja sovellettavan lainsäädännön mukaisesti.

 

3. VAADITUT TEKNISET JA ORGANISAATIOLLISET TOIMENPITEET

3.1 FCTG toteuttaa kaikki kohtuulliset toimet taatakseen jatkuvan luottamuksellisuuden, toimintavarmuuden, saatavuuden ja häiriönsietokyvyn käsittelyjärjestelmille ja palveluille, sekä kyvyn palauttaa saatavuus ja pääsy asiakkaan henkilötietoihin viipymättä fyysisen tai teknisen vian sattuessa, kuten on soveltuvaa asiakkaan henkilötietojen käsittelyn kannalta ja soveltuvassa lainsäädännössä vaaditaan. Ottaen huomioon teknisen kehityksen tilan, kulut näiden käyttöönottoon ja käsittelyn luonteen, laajuuden ja tarkoitukset, sekä muuttuvan todennäköisyyden ja vakavuuden luonnollisten henkilöiden oikeuksien ja vapauksien kannalta, FCTG ottaa käyttöön soveltuvat tekniset ja organisaatiolliset toimenpiteet, jotta se voi:

(a) estää (i) asiakkaan henkilötietojen luvattoman tai laittoman käsittelyn ja (ii)  asiakkaan henkilötietojen vahingossa tapahtuvan häviämisen, tuhoamisen tai vauriot ja

(b) taata turvallisuustason, joka soveltuu (i) haitalle, joka voi johtua luvattomasta tai laittomasta käsittelystä tai vahingossa tapahtuvasta häviöstä, tuhoamisesta tai vaurioista ja (ii)  asiakkaan suojeltavien henkilötietojen luonteen,
mukaan lukien, mikäli soveltuu, toimenpiteet, joihin viitataan yleisen tietosuoja-asetuksen artiklassa 32 ("Tietoturvastandardit").

3.2 Rajoittamatta näiden yleissääntöjen soveltamista tietoturvastandardit, jotka FCTG aikoo ottaa käyttöön tai joita se aikoo ylläpitää, on kuvattu liitteessä 3.2.

3.3 Osapuolet tunnustavat, että tietoturvastandardien tekniikka edistyy ja kehittyy, ja ne hyväksyvät FCTG:n oikeutuksen ottaa käyttöön riittäviä erilaisia teknisiä ja organisaatiollisia toimenpiteitä siten, että nämä toimenpiteet eivät alita turvallisuustasoa, joka on asetettu tietoturvastandardeissa ja että nämä vaatimukset noudattavat soveltuvia lakeja.

 

4. TIETOLÄHTEIDEN OIKEUDET

4.1 FCTG saa korjata, poistaa, estää tai muutoin käsitellä asiakkaan henkilötietoja ja suorittaa soveltuvan lainsäädännön nojalla muita rekisteröityjen henkilöiden pyyntöihin liittyviä toimenpiteitä heidän oikeuksiensa osalta ("Rekisteröityjen henkilöiden pyynnöt") ainoastaan asiakkaan kanssa sovittavien kirjallisten ohjeiden mukaisesti.  FCTG antaa välittömästi vaaditut tiedot ja avustaa asiakasta parhaansa mukaan rekisteröityjen henkilöiden pyyntöjen käsittelyssä.

4.2 Asiakas on vastuussa yksinomaan rekisteröityjen henkilöiden pyynnöistä.  FCTG ilmoittaa asiakkaalle välittömästi tähän tietojen käsittelyn lisäykseen liittyvistä mistä tahansa rekisteröityjen henkilöiden pyynnöistä tai muista pyynnöistä niihin kuitenkaan vastaamatta, ellei asiakas ole ohjeistanut siitä suoranaisesti.

 

5. FCTG:N MUUT VELVOITTEET

5.1 FCTG ylläpitää käsittelyaktiviteettien kaikista luokista kirjallista rekisteriä, joka on laadittu asiakkaan puolesta yleisen tietosuoja-asetuksen artiklan 30 kohdan 2 mukaisesti.

5.2 FCTG auttaa asiakasta kohtuullisesti:

(a) käsittelyaktiviteettien rekistereiden esivalmistelussa yleisen tietosuoja-asetuksen artiklan 30 mukaisesti koskien käsittelyä, joka suoritetaan tämän tietojen käsittelyn lisäyksen mukaisesti ja ilmoittaa asiakkaalle välittömästi mistä tahansa tiedoista, joita vaaditaan tähän asiakkaan kohtuullisesti pyytämään muotoiluun

(b) tietosuojan vaikutusten arvioinnissa (TVA) yleisen tietosuoja-asetuksen artiklan 35 mukaisesti ja

(c) missä tahansa pyynnössä tai konsultaatiossa vastaavalta valvontaviranomaiselta.

5.3 FCTG varmistaa, että henkilökunta, joka on vastuussa tai osallistuu käsittelyyn tämän tietojen käsittelyn lisäyksen nojalla, on koulutettu tai sitoutunut pitämään asiakkaan henkilötiedot luottamuksellisina tai on kohtuullisen lakisäänteisen luottamuksellisuuden alainen sovellettavan lainsäädännön mukaisesti, joka on voimassa tämän tietojen käsittelyn lisäyksen ohella.

5.4 FCTG on nimittänyt tietosuojasta vastaavan henkilön. Tähän henkilöön voi ottaa yhteyttä osoitteessa Data.Protection@uk.fcm.travel.

 

6. ALIHANKINTA

6.1 FCTG saa käyttää muita käsittelijöitä sopimuksen tietojen käsittelyyn ("Alihankinta") ainoastaan soveltuvan lainsäädännön sallimissa rajoissa.

6.2 Mikä tahansa alihankkijan käyttö vaatii etukäteen dokumentoitua lupaa asiakkaalta, jota ei saa evätä kohtuuttomin perustein.  Asiakas suostuu FCTG:n niiden tytäryhtiöiden ja alihankkijoiden käyttöön, joiden kanssa FCTG on jo tämän lisäyksen allekirjoittamisen aikana toiminut (täydellinen lista on saatavilla FCTG:n tietosuojavaltuutetulta).  Asiakas ottaa käyttöön kohtuulliset toimet, joita vaaditaan tai jotka soveltuvat helpottaakseen tai tukeakseen asiakkaan henkilötietojen siirtämistä hyväksytyille alihankkijoille (esim. päivittämällä rekisteröintejä valvontaviranomaisille). 

6.3 FCTG tarjoaa mekanismin osoitteessa fcm.travel/trust-and-compliance, josta asiakas voi tilata alihankkijoiden ilmoitukset. Mikäli asiakas tilaa ilmoitukset, FCTG toimittaa ilmoituksen mistä tahansa uusista alihankkijoista.  Mikäli kahden viikon sisällä mistä hyvänsä ilmoituksesta asiakas ilmoittaa kirjallisesti FCTG:lle vastustavansa esitystä perustelluin syin, FCTG jatkaa työskentelyä asiakkaan kanssa hyvässä uskossa ryhtyäkseen kohtuullisiin toimenpiteisiin ja käsitelläkseen asiakkaan esittämät vastalauseet. Mikäli toimenpiteistä ei voida sopia kolmen viikon sisällä FCTG:n kuittauksesta asiakkaan ilmoitukseen, huolimatta mistään matkustuksen hallintasopimuksen kohdasta, asiakas voi kirjallisesti ilmoittaa välittömästi peruuttavansa matkustuksen hallintasopimuksen siltä osin kuin se liittyy sopimuspalveluihin, joissa tarvitaan esitetyn alihankkijan käyttöä.  "Perustellut syyt" uskotaan olevan annettuja, mikäli on olemassa viittaus objektiivisiin faktoihin, jotka tukevat oletusta, että alihankkijan käyttö johtaisi sovellettavan lainsäädännön tai tämän tietojen käsittelyn lisäyksen rikkomuksiin.

6.4 Kun FCTG alkaa toimimaan alihankkijan kanssa yhdessä toimittaakseen tiettyjä käsittelytoimia asiakkaan puolesta, FCTG siirtyy kirjalliseen sopimukseen alihankkijan kanssa, joihin kuuluu ehdot, jotka tarjoavat vähintään saman suojaustason asiakkaan henkilötiedoille kuin on asetettu tässä tietojen käsittelyn lisäyksessä ja noudattaa yleisen tietosuoja-asetuksen artiklaa 28, kohtaa 3.  Sopimus alihankkijan kanssa sisältää suoran auditoinnin asiakkaan kanssa tai toisen soveltuvan tarkastusmenetelmän kautta (esim. kolmansien osapuolten auditoinnin tai auditoinnit jotka FCTG suorittaa asiakkaan puolesta).

6.5 FCTG suorittaa säännöllisiä tarkastuksia soveltuvan lainsäädännön vaatimusten mukaisesti varmistaakseen, että alihankkija toimii tietosuojastandardien, soveltuvien lakien ja muiden sopimusehtojen mukaisesti.

6.6 Mikäli alihankkija laiminlyö sopimusvelvoitteensa asiakkaan henkilötiedoista, FCTG on silti täysin velvollinen asiakkaalle aiheuttamistaan vahingoista, jotka johtuvat laiminlyönnistä, sekä korvaa kaikki vaateet ja vahingot ja takaa, että asiakas on syyntakeeton kaikkiin vaateisiin tai vahinkoihin, jotka voivat johtua tai johtuvat alihankkijan toimista.

 

7. LUVATTOMAT SIIRROT

7.1 Osapuolet ilmoittavat välittömästi kohtuullisista pyynnöistään vastavuoroisesti ja ennen luvatonta (i) siirtymistä standardeihin, jotka on kuvattu komission päätöksessä 5. helmikuuta 2010 (2010/87/EU) ja/tai (ii) lainsäädännössä sovellettavien asiakirjojen tai sopimusten käyttöönottoa siirtymistä niihin kyseistä lainsäädäntöä rikkomatta.  Mikäli laki sitä edellyttää, FCTG käyttää alihankkijaa laatiakseen tällaiset asiakirjat ja sopimukset asiakkaan kanssa tai asiakas siirtyy näihin asiakirjoihin tai sopimuksiin alihankkijan kanssa perustuen soveltuvaan valtuutukseen, jonka FCTG voi toimittaa asiakkaalle pyynnöstä.

7.2 "Luvattomalla siirrolla" tarkoitetaan asiakkaan henkilötietojen siirtoa mille tahansa tai kaikille osapuolille tai alihankkijalle, joka on kielletty soveltuvan lain nojalla johtuen puuttuvista asiakirjoista ja sopimuksista, joihin on viitattu yläkohdassa 7.1.

7.3 Käsitellessään asiakkaan henkilötietoja Euroopan Unionin tai Euroopan talousalueen ulkopuolella tai toimiessaan tai käyttäessään asiakkaan henkilötietoja sillä tavoin, että ne kuuluvat Euroopan Unionin tai Euroopan talousalueen ulkopuolisen lainkäyttövallan tietosuoja-asetuksiin, FCTG noudattaa soveltuvia tietosuojalakeja ja erityisesti soveltuvia suojauskeinoja taatakseen tietosuojauksen yleisen tietosuoja-asetuksen artiklan 44 ja muiden kohtien mukaisesti.

 

8. TARKASTUKSET JA AUDITOINNIT

8.1 FCTG asettaa asiakkaan saataville pyynnöstä kaikki tiedot koskien tietojen käsittelyn lisäyksen määräystenmukaisuutta sekä mahdollistaa asiakkaan henkilötietojen käsittelyyn liittyvän auditoinnin ja auttaa siinä, mukaan lukien FCTG:n tietojenkäsittelyn toimitilojen tarkastukset asiakkaan tai asiakkaan pyytämän tarkastajan toimesta sovellettavan lain ja tämän kohdan 8 mukaisesti. 

8.2 FCTG toimittaa asiakkaan kirjallisesta pyynnöstä asiakkaalle yhteenvedon uusimmista sisäisen tietoturvatarkastuksen tuloksista.  Tämän lisäksi FCTG tulee kerran vuodessa asiakkaan pyynnöstä, osallistumaan kirjalliseen tietoturvakyselymenettelyyn, jossa tarkastetaan FCTG:n vaatimustenmukaisuus tietoturvastandardien osalta. 

8.3 Kohdan 8.1 mukaiset tieto- ja auditointioikeudet asiakkaalle kuuluvat ainoastaan tähän osioon ja siltä osin kuin (i) matkustuksen hallintasopimus ei muutoin anna tieto- ja auditointioikeuksia, jotka vastaavat asianmukaisia sovellettavan lainsäädännön mukaisia vaatimuksia (mukaan lukien yleisen tietosuoja-asetuksen artiklan 28 kohta 3) ja (ii) ja kohdassa 8.2 annetut tiedot eivät ole riittäviä asiakkaalle, jotta se myöntyisi tarkastukseen ja auditoinnin vaatimuksiin sovellettavan lainsäädännön nojalla.

8.4 Asiakkaan tulee antaa FCTG:lle vähintään kolmen (3) viikon varoitusaika suoritettavalle auditoinnille tai tarkastukselle sekä välttää vahinkoja, vaurioita tai keskeytyksiä FCTG:n toimitilojen, laitteiston, henkilökunnan ja liiketoiminnan osalta.  FCTG:n ei tule antaa pääsyä toimitiloihinsa tarkastusta varten:

(a) yksittäisille henkilöille, ellei hän näytä hyväksyttävää henkilötodistusta ja toimivaltaa

(b) enempää kuin yhtä auditointia tai tarkastusta varten kalenterivuoden aikana, pois lukien lisäauditoinnit tai tarkastukset, jotka asiakkaan tulee suorittaa valvontaviranomaisen tai vastaavan sääntelyviranomaisen puolesta soveltuvan lainsäädännön toimeenpanemiseksi.

8.5 Mikäli asiakas tunnistaa puutteita tai epäsäännöllisyyksiä koskien asiakkaan henkilötietojen käsittelyä, FCTG keskustelee näistä havainnoista asiakkaan kanssa ja osapuolet työskentelevät keskinäisesti luodakseen sovittavan parannussuunnitelman.  Mikäli ja sovellettavan lain erikseen vaatimat, tai mahdollisesti vaatimat, muutokset edeltävään tai lisäauditoinnin oikeudet myönnetään asiakkaalle, tämä tietojen käsittelyn lisäys konstruoidaan siten, että se on lisävaatimusten mukainen.  FCTG ilmoittaa välittömästi asiakkaalle oman mielipiteensä mukaisesti, mikäli ohje tässä kohdassa rikkoo mitä tahansa EU:n tietosuojalakia tai toisen EU:n jäsenvaltion tietosuojaehtoja (Art. 28 kohta 3 yleinen tietosuoja-asetus).

8.6 Asiakirjoja tai tietoja ei saa kopioida, jakaa, siirtää tai poistaa FCTG:n toimitiloista, paitsi jos siitä on yhteisesti sovittu tai sitä vaaditaan lainsäädännön nojalla.  Mitkä hyvänsä ei-julkiset asiakirjat ja tiedot, jotka on paljastettu asiakkaalle tämän osion mukaisesti, tulee pitää FCTG:n yksityisoikeudellisena ja luottamuksellisena tietona.  Asiakas ei saa paljastaa näitä asiakirjoja tai tietoja kolmansille osapuolille tai käyttää niitä mihinkään muuhun tarkoitukseen kuin arvioidakseen FCTG:n vaatimustenmukaisuutta tietoturvastandardeiden osalta.

 

9. HENKILÖTIETOJEN LOUKKAUKSET JA VAARANTAMINEN

9.1 Osapuolet tiedostavat, että soveltuva lainsäädäntö voi määrätä asiakkaalle velvollisuuden ilmoittaa soveltuvalle valvontaviranomaiselle ja tietolähteelle mahdollisesta henkilötietojen tietoturvaloukkauksesta koskien asiakkaan henkilötietoja.  Tällaiset tapaukset tulee ilmoittaa asiakkaalle, riippumatta niiden alkuperästä.  FCTG ilmoittaa välittömästi asiakkaalle teknisistä, organisaatiota koskevista tai muista tapahtumista (mukaan lukien alihankkijoiden tapahtumat), jotka ovat tai voivat johtaa asiakkaan henkilötietojen ("Tietoturvaloukkaus") tietoturvaloukkaukseen yleisen tietosuoja-asetuksen artiklan 33 kohdan 1 nojalla.  Tietoturvaloukkauksiin kuuluu erityisesti, muttei rajoittaen, seuraavat:

(a) mikä tahansa oikea tai epäilty luvaton pääsy, julkitulo, menetys, lataus, varkaus, esto, kryptaus tai poisto, jonka on aiheuttanut haittaohjelma tai muu luvaton toimi koskien asiakkaan henkilötietoja kolmansien osapuolten toimesta

(b) mitkä tahansa oikeat tai epäillyt loukkaukset, joilla on vaikutusta asiakkaan henkilötietojen käsittelyyn

(c) mikä tahansa oikea tai epäilty tietojen käsittelyn lisäyksen tai sovellettavan lain rikkomus FCTG:n, sen työntekijöiden tai edustajien toimesta siltä osin kuin se vaikuttaa asiakkaan henkilötietojen eheyteen ja turvallisuuteen tai haitaten materiaalisesti FCTG:n velvollisuuksia tämän tietojen käsittelyn lisäyksen nojalla

(d) mikä tahansa laillisesti sitova pyyntö julkistaa tai ottaa haltuun asiakkaan henkilötiedot lainvalvontaviranomaisen tai muun julkisen viranomaisen toimesta, ellei FCTG ole estetty lakisääteisesti olemaan ilmoittamatta tästä asiakkaalle.

9.2 FCTG:n ilmoitus tietoturvaloukkauksesta asiakkaalle tulee olla kattava ja sisältää erityisesti tiedot, jotka on vaadittu yleisen tietoturva-asetuksen artiklan 33 kohdan alaisesti ja/tai soveltuvan lainsäädännön nojalla.

9.3 Ilmoitus tulee tehdä sähköpostitse yhteyshenkilölle, joka on määritelty matkustuksen hallintasopimuksessa ja mikäli asiakas on toimittanut FCTG:lle asiaankuuluvat yhteystiedot, asiakkaan tietosuojasta vastaavalle henkilölle.

9.4 Mikäli FCTG:n tulee soveltuvan lainsäädännön mukaisesti ilmoittaa tietoturvaloukkauksesta valvontaviranomaiselle tai toiselle taholle, koskeville tietolähteille tai mille tahansa muulle kolmannelle osapuolelle (esim. mikäli tietoturvaloukkaus johtaa henkilötietojen loukkaukseen, jossa FCTG on itsessään vastuullinen rekisterinpitäjä), FCTG:n tulee soveltuvan lain mukaisesti ja järkevin perustein olla yhteistyössä asiakkaan kanssa ennen tämän ilmoituksen tekemistä.  Osapuolet toimivat yhdessä parhaan kykynsä mukaisesti estääkseen ristiriitaiset tai tuloksettomat ilmoitukset.  Tähän kuuluu tarkentavien tietojen antaminen toisille sekä päivämäärä ja aika, jolloin ilmoitus on annettu.

9.5 Tietoturvaloukkauksen tapahtuessa FCTG pyrkii välittömästi noudattamaan kaikkia vaadittuja toimia sekä lain ja teknisten standardien asettamissa rajoissa palauttamaan asiakkaan henkilötietojen luottamuksellisuuden, eheyden ja saatavuuden sekä käsittelyjärjestelmien ja -palveluiden sietokyvyn lieventääkseen haittojen riskiä ja/tai kielteisiä seurauksia tietolähteille, joita tietoturvaloukkaus koskee tai voi mahdollisesti koskea.

9.6 Osapuolet tekevät parhaansa tukeakseen toisiaan tarkastusten, kyselyiden, tutkimusten tai muiden toimenpiteiden aikana.  Kukin osapuoli voi ilmoittaa toiselle osapuolelle tällaisesta menettelystä sovellettavan lainsäädännön nojalla.

 

10. KÄSITTELYPALVELUN KULUT

10.1 Asiakas maksaa FCTG:n laskun saatuaan kaikki aiheutuneet kulut ja korvaukset, jotka ovat aiheutuneet tämän sopimuksen noudattamisesta (t.s. palvelut jotka ylittävät sopimuspalvelut, eivätkä kuulu lakisääteisiin velvoitteisiin), ellei siitä ole erityisesti mainittu tässä tai matkustuksen hallintasopimuksessa.

10.2 Edeltävät eivät koske kertaerällisiä immateriaalikuluja, joita osapuolet voivat kohtuullisesti odottaa kuuluvan matkustuksen hallintasopimuksen kuluihin ja maksuihin.  Epäilyjen välttämiseksi tähän ei kuulu mitkään käsittelypalvelut, kuten on mainittu kohdissa 4 - 8.

 

11. ASIAKKAAN VELVOLLISUUDET

11.1 Asiakas noudattaa välittömästi toimia mukautuakseen näihin velvollisuuksiin henkilötietojen käsittelyä koskevan soveltuvan lainsäädännön osalta (esim. vaikutukset tietolähteiden ilmoitusvelvollisuuksiin)

11.2 Asiakas takaa, että (i) se on oikeutettu käyttämään henkilötietoja ja toimittamaan niitä FCTG:lle ja (ii) käsittelemään henkilötietoja sillä edellytyksellä, että FCTG mukautuu tämän tietojen käsittelyn lisäyksen soveltuviin lakeihin ja ehtoihin, eikä se loukkaa kolmansien osapuolten oikeuksia.

 

12. ASIAKKAAN HENKILÖTIETOJEN PALAUTTAMINEN JA POISTAMINEN

12.1 FCTG poistaa asiakkaan kaikki henkilötiedot välittömästi, mikäli matkustuksen hallintasopimus puretaan tai milloin tahansa asiakkaan pyynnöstä.  Mikäli poistaminen joltain osin ei ole kohtuullisesti suoritettavissa, FCTG varmistaa, että asiakkaan henkilötiedoista poistetaan tunnistamistiedot tai niiden käyttö estetään ja suojataan lopullisesti luvatonta pääsyä, julkaisua tai käyttöä vastaan.   Asiakas voi oman päätöksensä mukaan pyytää FCTG:tä kirjallisella pyynnöllä palauttamaan kopion kaikista henkilötiedoista turvallisella siirtomenetelmällä, mikäli asiakas pyytää tätä kohtuullisesti FCTG:ltä.  FCTG suostuu noudattamaan mitä hyvänsä kirjallista pyyntöä.

12.2 FCTG saattaa säilyttää mitä hyvänsä asiakkaan henkilötietoja lainsäädännön mukaisesti soveltuvan lain määräämän ajanjakson ajan. FCTG varmistaa myös, että asiakkaiden säilytetyt henkilötiedot (i) pidetään luottamuksellisina ja suojattuina luvatonta pääsyä, julkaisua tai käyttöä vastaan, ja että (ii) niitä käsitellään ainoastaan tarpeellisen tarkoituksen mukaisesti, joka on määritelty soveltuvassa laissa koskien niiden tallennusta, eikä mihinkään muuhun tarkoitukseen.

12.3 Asiakkaan kirjallisesta pyynnöstä FCTG toimittaa kirjallisen sertifikaatin asiakkaalle, että se on toiminut tämän kohdan mukaisesti.

 

13. TIETOJEN KÄSITTELYN LISÄYKSEN RIKKOMUKSET

Mikäli tätä tietojen käsittelyn lisäystä rikotaan, siihen sovelletaan vastaavia osioita matkustuksen hallintasopimuksesta.

 

14. LISÄYS TIETOSUOJAN NOUDATTAMISEEN

14.1 Kukin osapuoli voi kaksi viikkoa ennen tapahtuvalla kirjallisella etukäteisilmoituksella esittää toiselle osapuolelle tähän tietojen käsittelyn lisäykseen muutoksia, joiden he uskovat olevan tarpeellisia koskien sovellettavaa lakia. Mikäli yksi osapuolista antaa tämän ilmoituksen, osapuolten tulee toimia yhteistyössä (ja varmistaa että vastaavat alihankkijat toimivat yhteistyössä) osoittaakseen, että tunnistetut vaatimukset ilmoitukseen ovat kohtuullisia.

14.2 Mikäli laki tai ohjeistus muuttuu viranomaisen toimesta tai viranomaiset antavat tietojen käsittelyn lisäykseen liittyviä erityisiä ohjeita, osapuolet lisäävät nämä tiedot tietojen käsittelyn lisäykseen ja varmistavat vaatimustenmukaisuuden muuttuneiden laillisten velvoitteiden kanssa.

 

15. LISTA MÄÄRITELMISTÄ

"Hyväksyttävä tarkoitus" on tulkittu kohdassa 2.1.

"Yhteistyökumppani" tarkoittaa mitä tahansa laillista tahoa tai epäsuorasti alapuolella toimivaa tahoa tai epäsuoraa hallintaa määritetylle taholle. "Hallinta" määritelmän tarkoituksen vuoksi tarkoittaa suoraa hallintaa hallinnon puolesta ja menettelytapoja tälle taholle suorasti tai epäsuorasti olipa kyseessä sitten omistus äänestysosakkeiden puolesta, sopimuksella (mukaan lukien toimiluvat tai tavaramerkin lisensointisopimus) tai muutoin.

"Asiakkaalla" tarkoitetaan tahoa, joka on solminut matkustuksen hallintasopimuksen FCTG:n kanssa, koskien tätä tietojen käsittelyn lisäystä ja siihen sisältyy asiakkaan tytäryhtiöt ellei toisin ilmoiteta.

"Asiakkaan henkilötiedoilla" tarkoitetaan mitä hyvänsä henkilötietoja, joita FCTG käsittelee asiakkaan puolesta koskien tai liittyen matkustushallinnan sopimukseen.

"Sopimuksen tietojenkäsittelyn" termi on selitetty taustaosiossa.

"Sopimuspalveluiden" termi on selitetty kohdassa 2.1.

"Tietoturvaloukkauksen" termi on selitetty kohdassa 9.1.

"Tietoturvastandardien" termi on selitetty kohdassa 3.1.

"Tietojenkäsittelypyyntöjen" termi on selitetty kohdassa 4.1.

"Tietojen käsittelyn lisäyksen" termi on selitetty taustaosiossa.

"EEA" tarkoittaa Euroopan talousaluetta.

"FCTG" tarkoittaa Flight Centre Travel Group -tahoa, joka on osapuoli matkustuksen hallintasopimuksessa ja tässä tietojen käsittelyn lisäyksessä ja täten yksi tai useampi osa tahoista, jotka toimivat seuraavien nimien alla: FCM Travel Solutions; Flight Centre (UK) Limited, Flight Centre Travel Group (Ireland) Limited, Flight Centre Travel Group (Germany) GmbH, Flight Centre Travel Group (Europe) AB, Flight Centre Travel Group (Netherlands) B.V, ja kaikilta osin tytäryhtiö, joka käsittelee henkilötietoja asiakkaan puolesta Euroopan talousalueen EEA sisällä, "FCTG" tarkoittaa ja sisältää tämän tytäryhtiön.

"Yleinen tietosuoja-asetuksen" termi on selitetty kohdassa 1.

"Käsittelypalveluiden" termi on selitetty kohdassa 2.1.

"Alihankkijan" termi on selitetty kohdassa 6.1.

"Kolmannet maat" tarkoittaa maita, jotka eivät kuulu Euroopan Unioniin tai Euroopan talousalueeseen, tai Euroopan yhteisö ei ole tunnistanut niiden noudattavan riittävää henkilötietojen tietosuojatasoa. Maat, joita ei ole tunnistettu, ovat marraskuussa 2017 Andorra, Argentiina, Kanada, Färsaaret, Guernsey, Israel, Man-saari, Jersey, Uusi-Seelanti, Sveitsi ja Uruguay.

"Matkustuksen halintasopimuksen" termi on selitetty taustaosiossa.

 

16. LOPPUSÄÄNNÖKSET

16.1 Arvojärjestys. Tietosuojasäädös määrittelee matkustuksen hallintasopimuksen termit, ja tietojen käsittelyn lisäyksen ehdot on sisällytetty osaksi matkustuksen hallintasopimusta, kuten on määritelty kokonaan matkustuksen hallintasopimuksessa.  Ristiriidoissa tai epäjohdonmukaisuuksissa tietojen käsittelyn lisäyksen ehdot ovat ensijaisia matkustuksen hallintasopimuksen ehtoihin nähden.  Muilta osin matkustuksen hallintasopimuksen ehdot pysyvät voimassa kokonaan.

16.2 Kirjallinen muoto. Mikään muutos tai lisäys tähän tietojen käsittelyn lisäykseen ei ole voimassa ja sitova, ellei sitä ole tehty kirjallisena ja elleivät ne tee suoraa viitettä muutokseen tai lisäykseen tässä tietojen käsittelyn lisäyksessä.  Edeltävä kohta vaikuttaa myös vastuuvapautuslausekkeena pakolliseen kirjalliseen muotoon.

16.3 Irtisanominen. Mikäli joku ehto tässä tietojen käsittelyn lisäyksessä on virheellinen tai täytäntöönpanokelvoton, loppuosa tästä tietojen käsittelyn lisäyksestä on silti voimassa ja käytössä. Virheellinen tai täytäntöönpanokelvoton osio voidaan joko (i) lisätä tarvittaessa sen kelpoisuuden ja toimeenpanokelpoisuuden varmistamiseksi, osapuolten aikeiden varjelemiseksi niin läheisesti tai kuin mahdollista, tai mikäli tämä ei ole mahdollista, (ii) kirjoittaa siten, että virheellinen tai täytäntöönpanokelvoton osio ei ole koskaan ollut osa sitä.  Tämä on voimassa soveltuvasti koskien tahattomia aukkoja.

 

Liite 2.2

Käsittelyn tarkoitus, käsittelyn kesto, asiakkaan henkilötietojen ja tietolähteiden käsittelyn mukaan

1. KÄSITTELYN TARKOITUS

Mikä tahansa alla mainittu käsittely suoritetaan ainoastaan matkustuksen hallintasopimuksen toimeenpanemiseksi (käyttötarkoituksen rajoissa).

 

2. KÄSITTELYN KESTO

Kesto (kausi) tälle tietojen käsittelyn lisäykselle on sama kuin matkustuksen hallintasopimus ja tämä tietojen käsittelyn lisäys päättyy automaattisesti samaan aikaan matkustuksen hallintasopimuksen kanssa, pois lukien nämä sekä matkustuksen hallintasopimuksen ehdot, jotka on tarkoitettu jäämään voimaan.  Oikeus päättää tämä tietojen käsittelyn lisäys ennen sen päättymispäivämäärää ei ole mahdollista sovellettavan lainsäädännön asettamien rajojen puitteissa.

 

3. ASIAKKAAN HENKILÖTIETOJEN LUOKAT

• Matkustajan profiilitiedot Nimi, kotiosoite, puhelinnumero, sähköposti, asema, toimiston sijainti, työntekijänumero, passi ja visatiedot (mukaan lukien syntymäpäivä, syntymäpaikka, passin numero ja vanhenemispäivämäärä), ajokortin numero ja tiedot, lentomailit ja kanta-asiakas-/asiakaskortti-numerot.

• Matkustajan nimitietue ("PNR - passenger name record") tiedot. Matkustajan profiilitiedot käsitellään PNR-muodossa varaustietojen kanssa, sisältäen lentopäivämäärät ja reitit, lentojen numerot, hotellivaraukset, vuokra-autovaraukset, junaliput, lipputiedot, valtuutusratkaisut ja matkailun riskinhallinta.

• Maksutiedot Luotto-/pankkikorttitiedot ja pankkitiedot (vaaditaan, mikäli maksujärjestely matkustuksen hallintasopimuksessa).

• Ruokavalio ja erityisavustustiedot   Annetaan matkatietojen yhteydessä (kuten erityiset ruokavaliopyynnöt tai erityisaputarpeet), sillä nämä voivat koskea terveyttä tai uskontoa

• Hätäyhteystiedot Nimi ja puhelinnumero matkustajan puolisolle/hätäyhteystiedot

 

4. LUOKAT KOSKIEN TIETOLÄHTEITÄ

• Työntekijät, edustajat ja alihankkijat ("henkilökunta") asiakkaalle ja asiakkaan tytäryhtiöille.

• Hätäyhteystiedot ja/tai puolisot asiakkaan työntekijöille tai asiakkaan tytäryhtiöiden työntekijöille.

 

Liite 3.2

TIETOTURVALLISUUSSTANDARDIT

1. TIETOTURVALLISUUDEN HALLINTA

FCTG ylläpitää sisäisiä organisaatio- ja hallintamenettelyjä hallitakseen tietoja sen elinkaaren aikana.  FCTG testaa säännöllisesti, arvioi ja evaluoi sen tietoturvallisuusstandardeja

 

2. FYYSINEN PÄÄSYNHALLINTA

FCTG käyttää useita eri menetelmiä estääkseen luvattoman pääsyn fyysiseen tilaan, jossa käsitellään henkilötietoja.  Näihin toimenpiteisiin kuuluu:

• keskitetty avainten ja koodien hallinta, korttiavain-menetelmät

• eräkorttijärjestelmät sisältävät soveltuvia kirjaus- ja hälytysmekanismeja

• valvontajärjestelmiin kuuluu hälytykset, ja mikäli soveltuu, CCTV-valvonta

• reseptionistit ja vierailijakäytännöt

• palvelinkehikoiden lukitseminen ja turvalliset laitehuoneet palvelinkeskuksissa

 

3. VIRTUAALINEN PÄÄSYVALVONTA.

FCTG ottaa käyttöön soveltuvat toimenpiteet estääkseen sen järjestelmien käytön luvattomilta ihmisiltä. Tämä onnistuu seuraavalla tavalla:

• yksilöllinen, tunnistettavissa oleva ja virkaan perustuvien käyttäjätunnusten myöntäminen

• virkaan perustuvat ja salasanasuojatut pääsy- sekä valtuutusmenettelyt

• keskitetty, standardoitu salasanojen hallinta ja salasanakäytännöt (minimipituus/merkkiä, salasanan vaihtaminen)

• käyttäjätunnusten deaktivointi 5 epäonnistuneen kirjautumisyrityksen jälkeen

• automaattinen uloskirjautuminen passiivisen käytön jälkeen

• virustorjunnan hallinta.

 

4. TIETOJEN PÄÄSYN HALLINTA

Henkilöt, jotka saavat pääsyn FCTG:n järjestelmiin saavat pääsyn ainoastaan tietoihin, joita he tarvitsevat vastuualueensa puolesta ja siltä osin kuin heidän käyttölupansa antaa myöten (valtuutus). Tietoja ei saa myöskään lukea, kopioida, muokata tai poistaa ilman erityistä valtuutusta. Tämä onnistuu seuraavalla tavalla:

• todentaminen käyttöliittymän tasolla

• erillinen todentaminen sovellustasolla

• todentaminen keskitettyä todennusjärjestelmää vastaan

• toimien ja valtuutusten erottelu käyttäjien, ylläpitäjien ja järjestelmäkehittäjien välillä

• vaihtamalla hallintamenetelmän joka määrää muutosten käsittelyä (sovellus tai käyttöliittymä) ympäristössä

• etäyhteys ainoastaan VPN-yhteyden kautta, käyttäen soveltuvia valtuutuksia ja todentamista

• järjestelmän ja verkon aktiviteettien kirjaaminen tuottaaksemme kirjausketjun järjestelmän väärinkäytösten varalta.

 

5. JULKITULON HALLINTA

FCTG ottaa käyttöön soveltuvat toimenpiteet estääkseen tietojen lukemisen, kopioimisen, muuttamisen tai poistamisen luvattomien henkilöiden toimesta sähköisen tiedonsiirron yhteydessä sekä tallennusvälineiden siirron yhteydessä. FCTG ottaa myös käyttöön soveltuvat toimenpiteet varmistaakseen mille tahoille tiedot on siirretty. Tämä onnistuu seuraavalla tavalla:

• tiedonsiirtoprotokollat jotka sisältävät salauksen tiedonsiirrolle/medialle

• profiilin asettaminen jotta tiedonsiirto tapahtuu SFTP:n (Secure File Transfer Protocol) kautta

• kryptattu VPN

• ei fyysistä varmuuskopioiden siirtämistä.

 

6. TIETOJEN SYÖTÖN HALLINTA

FCTG ottaa käyttöön soveltuvat toimet valvoakseen, onko tietoja käytetty, muutettu tai poistettu sekä kenen toimesta. Tämä onnistuu seuraavalla tavalla:

• ylläpitäjän toimien dokumentointi (käyttäjätilien luominen, muutosten hallinta, pääsy- ja valtuutusmenettelyt)

• salasanan nollauksen ja pääsypyyntöjen arkistointi

• järjestelmän lokitiedostot ovat käytössä oletuksena

• kirjausketjulokien tallentaminen eri ajoille kirjausketjun analysointia varten

• kirjausketjujen keskittäminen korreloidaksemme tapahtumia järjestelmän välillä.

 

7. OHJATTU HALLINTA

FCTG ottaa käyttöön soveltuvat toimenpiteet varmistaakseen että tietoja voidaan käsitellä ainoastaan asiakkaiden ohjeiden mukaisesti. Näihin toimenpiteisiin kuuluu:

• sitovat menettelytavat ja toimenpiteet FCTG:n työntekijöille

• käytettäessä alihankkijoita käsittelemään tietoja, tulee käyttää soveltuvia sopimusehtoja sopimuksissa alihankkijoiden kanssa, ylläpitääkseen ohjesäännökset.

 

8. SAATAVUUDEN HALLINTA

FCTG ylläpitää tiettyjä redundanssin ja vikasiedon tasoja vahingossa tapahtuville tietojen menettämisille, mukaan lukien:

• mittavat ja kattavat varmuuskopio- ja palautusjärjestelmät

• asiakirjojen palautumissuunnitelma ja liiketoiminnan jatkuvuutta koskevat suunnitelmat sekä järjestelmät

• varastointi- ja arkistointikäytännöt

• virustorjunta, roskapostin torjuminen ja palomuurijärjestelmät sekä hallinta, mukaan lukien käytännöt

• palvelinkeskukset on varustettu soveltuvasti riskin mukaisesti, mukaan lukien erilliset varmuuskopioinninpalvelinkeskukset, katkeamattomalla tehonsyötöllä (varageneraattorit), viankestävät laitteistot ja verkkolaitteet, hälytykset ja turvajärjestelmät (savu, tuli, vesi)

• verkko on rakennettu N+1-redundanssitason mukaan kokonaisuutena

• palvelimen klusterointia voidaan käyttää monissa eri sovelluksissa laitevikojen estämiseksi

• kiintolevyjen peilaamista käytetään kaikissa järjestelmissä (esim. RAID), paikallisessa tallennustilassa ja SAN-pohjaisissa tallennusympäristöissä

• paikalliset UPS-järjestelmät tuottavat keskeytymätöntä virtaa kaikille alustoille ja paikallinen generaattori toimittaa pitkäaikaista virtaa pidentyneen sähkökatkoksen ajan

• kaikki kriittiset järjestelmät omaavat varajärjestelmän joka pyörii rinnakkaisesti toissijaisessa palvelinkeskuksessa.

 

9. EROTTELUN HALLINTA

FCTG ottaa käyttöön soveltuvat toimenpiteet varmistaakseen, että tiedot joita käytetään eri tarkoituksiin käsitellään erikseen. Tämä onnistuu seuraavalla tavalla:

• pääsypyyntö ja valtuutusprosessi tuottaa brändi-asiakas tietojen erottelua (looginen sovelluspohjainen erottelu)

• toimintojen erottelu (tuotanto/testaus).