Vereinbarung zur Datenverarbeitung

03 April 2024

Für die Zwecke von Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 (GDPR)

zwischen

Der Kunde
(dem für die Datenverarbeitung verantwortlichen)
und

HeiaHeia Oy (später: HeiaHeia oder H2)
Geschäfts-ID: 3115720-3 
℅ Terkko Health Hub
Haartmaninkatu 14, Gebäude 14 
00290 Helsinki 
Finnland
(der Datenverarbeiter)


jeweils eine "Partei"; zusammen "die Parteien"

HABEN die folgenden Vertragsklauseln (die Klauseln) VEREINBART, um die Anforderungen der GDPR zu erfüllen und den Schutz der Rechte der betroffenen Person zu gewährleisten.

1. Präambel

1.1. Diese Vertragsklauseln (die Klauseln) legen die Rechte und Pflichten des für die Datenverarbeitung Verantwortlichen und des Datenverarbeiters bei der Verarbeitung personenbezogener Daten im Auftrag des für die Datenverarbeitung Verantwortlichen fest.

1.2. Die Klauseln wurden entworfen, um die Einhaltung von Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) durch die Parteien sicherzustellen.

1.3. Im Rahmen der Bereitstellung des HeiaHeia-Dienstes wird der Datenverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen gemäß den Klauseln verarbeiten.

1.4. Die Klauseln haben Vorrang vor ähnlichen Bestimmungen, die in anderen Vereinbarungen zwischen den Parteien enthalten sind.

1.5. Sechs Anhänge sind den Klauseln beigefügt und bilden einen integralen Bestandteil der Klauseln.

1.6. Die Anhänge A-D enthalten Einzelheiten über die Verarbeitung personenbezogener Daten, einschließlich des Zwecks und der Art der Verarbeitung, der Art der personenbezogenen Daten, der Kategorien der betroffenen Personen und der Dauer der Verarbeitung.

1.7. Anhang E enthält die Bedingungen des für die Verarbeitung Verantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Datenverarbeiter sowie eine Liste der vom für die Verarbeitung Verantwortlichen zugelassenen Unterauftragsverarbeiter.

1.8. Anhang F enthält die Anweisungen des für die Datenverarbeitung Verantwortlichen in Bezug auf die Verarbeitung personenbezogener Daten, die vom Datenverarbeiter umzusetzenden Mindestsicherheitsmaßnahmen und die Art und Weise, wie Audits des Datenverarbeiters und etwaiger Unterauftragsverarbeiter durchzuführen sind.

1.9. Die Klauseln und ihre Anhänge werden von beiden Parteien schriftlich, auch elektronisch, aufbewahrt.

1.10. Die Klauseln befreien den Datenverarbeiter nicht von den Verpflichtungen, denen er gemäß der Allgemeinen Datenschutzverordnung (GDPR) oder anderen Rechtsvorschriften unterliegt.

2. Die Rechte und Pflichten des für die Datenverarbeitung Verantwortlichen

2.1. Der für die Verarbeitung Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der GDPR (siehe Artikel 24 GDPR), den geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten (Verweise auf "Mitgliedstaaten" in den Klauseln sind als Verweise auf "EWR-Mitgliedstaaten" zu verstehen) und den Klauseln erfolgt.

2.2. Der für die Datenverarbeitung Verantwortliche hat das Recht und die Pflicht, Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu treffen.

2.3. Der für die Datenverarbeitung Verantwortliche ist unter anderem dafür verantwortlich, dass die Verarbeitung personenbezogener Daten, mit der der Datenverarbeiter beauftragt wird, auf einer Rechtsgrundlage beruht.

3. Der Datenverarbeiter handelt auf Weisung

3.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen, es sei denn, er ist aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Auftragsverarbeiter unterliegt, hierzu verpflichtet. Diese Weisungen sind in den Anhängen A-F aufgeführt. Der für die Verarbeitung Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten auch nachträgliche Weisungen erteilen; diese Weisungen sind jedoch stets zu dokumentieren und schriftlich, auch elektronisch, in Verbindung mit den Klauseln aufzubewahren.

3.2. Der Auftragsverarbeiter informiert den für die Datenverarbeitung Verantwortlichen unverzüglich, wenn die von dem für die Datenverarbeitung Verantwortlichen erteilten Anweisungen nach Ansicht des Auftragsverarbeiters gegen die GDPR oder die geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstoßen.

4. Vertraulichkeit

4.1. Der Datenverarbeiter gewährt nur den ihm unterstellten Personen, die sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen, Zugang zu den personenbezogenen Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, und zwar nur auf der Grundlage der Notwendigkeit der Kenntnisnahme. Die Liste der Personen, denen Zugang gewährt wurde, wird regelmäßig überprüft. Auf der Grundlage dieser Überprüfung kann der Zugang zu personenbezogenen Daten entzogen werden, wenn er nicht mehr erforderlich ist, so dass diese Personen keinen Zugang mehr zu personenbezogenen Daten haben.

4.2. Der Datenverarbeiter weist auf Verlangen des für die Verarbeitung Verantwortlichen nach, dass die betroffenen Personen, die dem Datenverarbeiter unterstellt sind, der oben genannten Geheimhaltungspflicht unterliegen.

5. Sicherheit der Verarbeitung

5.1. Artikel 32 GDPR sieht vor, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Maß an Sicherheit zu gewährleisten.

Der für die Verarbeitung Verantwortliche bewertet die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen und ergreift Maßnahmen, um diese Risiken zu mindern. Je nach Relevanz können die Maßnahmen Folgendes umfassen

a. Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;

b. die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten;

c. die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen

d. ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

5.2. Gemäß Artikel 32 GDPR muss der Datenverarbeiter auch - unabhängig von dem für die Verarbeitung Verantwortlichen - die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bewerten und Maßnahmen zur Minderung dieser Risiken ergreifen. Zu diesem Zweck stellt der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter alle Informationen zur Verfügung, die zur Ermittlung und Bewertung dieser Risiken erforderlich sind.

5.3. Darüber hinaus unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Artikel 32 GDPR, indem er dem für die Verarbeitung Verantwortlichen unter anderem Informationen über die technischen und organisatorischen Maßnahmen zur Verfügung stellt, die der Auftragsverarbeiter bereits gemäß Artikel 32 GDPR umgesetzt hat, sowie alle anderen Informationen, die der für die Verarbeitung Verantwortliche benötigt, um seinen Pflichten gemäß Artikel 32 GDPR nachzukommen.
Erfordert die Minderung der festgestellten Risiken nach Einschätzung des für die Verarbeitung Verantwortlichen weitere Maßnahmen, die der für die Verarbeitung Verantwortliche zu ergreifen hat, als die, die der für die Verarbeitung Verantwortliche gemäß Artikel 32 GDPR bereits ergriffen hat, so führt der für die Verarbeitung Verantwortliche diese zusätzlichen Maßnahmen in Anhang F auf.

6. Einsatz von Unterauftragsverarbeitern

6.1. Der Auftragsverarbeiter muss die in Artikel 28 Absätze 2 und 4 GDPR genannten Anforderungen erfüllen, um einen anderen Auftragsverarbeiter (einen Unterauftragsverarbeiter) zu beauftragen.

6.2. Der Datenverarbeiter darf daher keinen anderen Auftragsverarbeiter (Unterauftragsverarbeiter) mit der Erfüllung der Klauseln beauftragen, ohne zuvor die allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen eingeholt zu haben.

6.3. Der Datenverarbeiter verfügt über die allgemeine Genehmigung des für die Verarbeitung Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen vorab schriftlich über alle Änderungen, die die Hinzufügung oder den Austausch von Unterauftragsverarbeitern betreffen, und gibt dem für die Verarbeitung Verantwortlichen damit die Möglichkeit, vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Die Liste der von dem für die Verarbeitung Verantwortlichen bereits zugelassenen Unterauftragsverarbeiter ist in Anhang E zu finden.

6.4. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des für die Verarbeitung Verantwortlichen, so werden diesem Unterauftragsverarbeiter durch einen Vertrag oder einen anderen Rechtsakt nach EU-Recht oder dem Recht eines Mitgliedstaats dieselben Datenschutzverpflichtungen auferlegt, wie sie in den Klauseln festgelegt sind; insbesondere muss er hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen so durchführt, dass die Verarbeitung den Anforderungen der Klauseln und der GDPR entspricht.

Der Datenverarbeiter ist daher dafür verantwortlich, dass der Unterauftragsverarbeiter zumindest die Verpflichtungen einhält, denen der Datenverarbeiter gemäß den Klauseln und der GDPR unterliegt.

6.5. Eine Kopie eines solchen Unterauftragsverarbeitungsvertrags und spätere Änderungen sind - auf Verlangen des für die Verarbeitung Verantwortlichen - dem für die Verarbeitung Verantwortlichen vorzulegen, so dass der für die Verarbeitung Verantwortliche die Möglichkeit hat, sicherzustellen, dass dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt werden, wie sie in den Klauseln festgelegt sind. Klauseln zu geschäftsbezogenen Fragen, die den datenschutzrechtlichen Inhalt der Unterauftragsverarbeitervereinbarung nicht berühren, müssen dem für die Verarbeitung Verantwortlichen nicht vorgelegt werden.

6.6. Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wonach der für die Verarbeitung Verantwortliche im Falle des Konkurses des Auftragsverarbeiters Drittbegünstigter der Unterauftragsverarbeitungsvereinbarung ist und das Recht hat, die Vereinbarung gegenüber dem vom Auftragsverarbeiter beauftragten Unterauftragsverarbeiter durchzusetzen, so dass der für die Verarbeitung Verantwortliche z. B. den Unterauftragsverarbeiter anweisen kann, die personenbezogenen Daten zu löschen oder zurückzugeben.

6.7. Kommt der Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen nicht nach, so bleibt der Datenverarbeiter dem für die Verarbeitung Verantwortlichen gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters haftbar. Dies berührt nicht die Rechte der betroffenen Personen nach GDPR - insbesondere die in den Artikeln 79 und 82 des GDPR vorgesehenen Rechte - gegenüber dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter, einschließlich des Unterauftragsverarbeiters.

7. Übermittlung von Daten an Drittländer oder internationale Organisationen

7.1. Jegliche Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen durch den Datenverarbeiter darf nur auf der Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen erfolgen und muss stets im Einklang mit Kapitel V des GDPR erfolgen.

7.2. Sind Übermittlungen an Drittländer oder internationale Organisationen, zu denen der Auftragsverarbeiter keine Weisung des für die Verarbeitung Verantwortlichen erhalten hat, nach dem Recht der EU oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, erforderlich, so unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, es sei denn, das betreffende Recht verbietet eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses.

7.3. Ohne dokumentierte Anweisungen des für die Verarbeitung Verantwortlichen kann der Datenverarbeiter im Rahmen der Klauseln daher nicht

a. personenbezogene Daten an einen für die Datenverarbeitung Verantwortlichen oder einen Datenverarbeiter in einem Drittland oder in einer internationalen Organisation übermitteln

b. die Verarbeitung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland übertragen

c. die personenbezogenen Daten durch den Datenverarbeiter in einem Drittland verarbeiten lassen

7.4. Die Anweisungen des für die Datenverarbeitung Verantwortlichen für die Übermittlung personenbezogener Daten in ein Drittland, einschließlich des Übermittlungsinstruments gemäß Kapitel V GDPR, auf das sie sich stützen, sind in Anhang F.6 aufgeführt.

7.5. Die Klauseln sind nicht mit Standard-Datenschutzklauseln im Sinne von Artikel 46 Absatz 2 Buchstaben c und d GDPR zu verwechseln, und die Klauseln können von den Parteien nicht als Übermittlungsinstrument gemäß Kapitel V GDPR herangezogen werden.

8. Unterstützung des für die Verarbeitung Verantwortlichen

8.1. Unter Berücksichtigung der Art der Verarbeitung muss der Datenverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um den für die Verarbeitung Verantwortlichen in die Lage zu versetzen, seinen Verpflichtungen zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Person gemäß Kapitel III GDPR nachzukommen.

Dies bedeutet, dass der für die Datenverarbeitung Verantwortliche Folgendes zu erfüllen hat

a. das Recht, bei der Erhebung personenbezogener Daten der betroffenen Person informiert zu werden

b. das Recht, informiert zu werden, wenn personenbezogene Daten nicht von der betroffenen Person eingeholt wurden

c. das Recht auf Auskunft durch die betroffene Person

d. das Recht auf Berichtigung

e. das Recht auf Löschung ("das Recht auf Vergessenwerden")

f. das Recht auf Einschränkung der Verarbeitung

g. die Pflicht zur Benachrichtigung über die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung

h. das Recht auf Datenübertragbarkeit

i. das Recht auf Widerspruch

j. das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht

8.2. Zusätzlich zu der Verpflichtung des Datenverarbeiters, den für die Verarbeitung Verantwortlichen gemäß Ziffer 6.3. zu unterstützen, muss der Datenverarbeiter unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den für die Verarbeitung Verantwortlichen dabei unterstützen, die Einhaltung folgender Bestimmungen sicherzustellen

a. der Verpflichtung des für die Verarbeitung Verantwortlichen, die Verletzung des Schutzes personenbezogener Daten unverzüglich und, soweit möglich, spätestens 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde, dem BÜRO DES DATENSCHUTZBEAUFTRAGTEN VON FINNLAND, zu melden, es sei denn, die Verletzung des Schutzes personenbezogener Daten wird wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen;

b. die Verpflichtung des für die Verarbeitung Verantwortlichen, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten unverzüglich mitzuteilen, wenn die Verletzung des Schutzes personenbezogener Daten
wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt;

c. die Verpflichtung des für die Verarbeitung Verantwortlichen, eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten (Datenschutz-Folgenabschätzung) vorzunehmen;

d. die Verpflichtung des für die Verarbeitung Verantwortlichen, vor der Verarbeitung die zuständige Aufsichtsbehörde, das BÜRO DES DATENSCHUTZBEAUFTRAGTEN VON FINNLAND, zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Minderung des Risikos ergreift.

8.3. Die Parteien legen in Anhang F die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Datenverarbeiter den für die Verarbeitung Verantwortlichen zu unterstützen hat, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung. Dies gilt für die in den Ziffern 9.1. und 9.2. vorgesehenen Verpflichtungen.

9. Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten

9.1. Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Datenverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, nachdem er davon Kenntnis erlangt hat, von der Verletzung des Schutzes personenbezogener Daten.

9.2. Die Benachrichtigung des Datenverarbeiters an den für die Verarbeitung Verantwortlichen erfolgt nach Möglichkeit innerhalb von 72 Stunden, nachdem der Datenverarbeiter von der Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, damit der für die Verarbeitung Verantwortliche seiner Verpflichtung nachkommen kann, die Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde zu melden, vgl. Artikel 33 GDPR.

9.3. Gemäß Artikel 9 Absatz 2 Buchstabe a hat der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu unterstützen, was bedeutet, dass der Auftragsverarbeiter verpflichtet ist, bei der Beschaffung der nachstehend aufgeführten Informationen behilflich zu sein, die gemäß Artikel 33 Absatz 3 GDPR in der Meldung des für die Verarbeitung Verantwortlichen an die zuständige Aufsichtsbehörde angegeben werden müssen:

a. Die Art der personenbezogenen Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;

b. die voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

c. die Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abschwächung möglicher negativer Auswirkungen.

9.4. Die Parteien legen in Anhang D alle Angaben fest, die der Auftragsverarbeiter bei der Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu machen hat.

10. Löschung und Rückgabe von Daten

10.1. Die Grundsätze der Datenaufbewahrung, die für die im Rahmen dieses Abkommens verarbeiteten personenbezogenen Daten gelten, sind in den Anhängen A-D festgelegt.

11. Prüfung und Kontrolle

11.1. Der Datenverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Artikel 28 und in den Klauseln festgelegten Verpflichtungen nachzuweisen, und er gestattet Audits, einschließlich Inspektionen, die von dem für die Verarbeitung Verantwortlichen oder einem anderen von dem für die Verarbeitung Verantwortlichen beauftragten Prüfer durchgeführt werden, und leistet seinen Beitrag dazu.

11.2. Die Verfahren für Audits, einschließlich Inspektionen, des Datenverarbeiters und der Unterauftragsverarbeiter durch den für die Verarbeitung Verantwortlichen sind in den Anhängen F.7. und F.8. festgelegt.

11.3. Der Auftragsverarbeiter ist verpflichtet, den Aufsichtsbehörden, die gemäß den geltenden Rechtsvorschriften Zugang zu den Einrichtungen des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters haben, oder den im Auftrag dieser Aufsichtsbehörden handelnden Vertretern gegen Vorlage eines entsprechenden Ausweises Zugang zu den physischen Einrichtungen des Auftragsverarbeiters zu gewähren.

12. Die Vereinbarung der Parteien über sonstige Bedingungen

12.1. Die Parteien können weitere Klauseln über die Erbringung des Dienstes zur Verarbeitung personenbezogener Daten vereinbaren, in denen z. B. die Haftung geregelt ist, sofern sie nicht direkt oder indirekt im Widerspruch zu den Klauseln stehen oder die Grundrechte und -freiheiten der betroffenen Person und den durch die GDPR gewährten Schutz beeinträchtigen.

13. Inkrafttreten und Beendigung

13.1. Die Klauseln treten an dem Tag in Kraft, an dem beide Parteien den Handelsvertrag unterschrieben haben und der Vertreter des Kunden diese Bedingungen in HeiaHeias Admin-Tools genehmigt hat.

13.2. Beide Parteien sind berechtigt, eine Neuverhandlung der Klauseln zu verlangen, wenn Gesetzesänderungen oder die Unzweckmäßigkeit der Klauseln Anlass zu einer solchen Neuverhandlung geben sollten.

13.3. Die Klauseln gelten für die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten. Während der Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten können die Klauseln nicht gekündigt werden, es sei denn, die Parteien haben andere Klauseln zur Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten vereinbart.

13.4. Wird die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten beendet und werden die personenbezogenen Daten gemäß Klausel 11.1. und Anhang F.4. gelöscht oder an den für die Verarbeitung Verantwortlichen zurückgegeben, können die Klauseln von jeder Partei schriftlich gekündigt werden.

14. Ansprechpartner/Kontakte für den für die Datenverarbeitung Verantwortlichen und den Datenverarbeiter

14.1. Die Parteien können sich über die in der Handelsvereinbarung festgelegten Kontakte miteinander in Verbindung setzen


Appendix A: 

Information about the processing (Case: the Customer is an employer)

This appendix provides detailed information about personal data processing, when the Customer is either a private or public sector employer, and the data subjects are the Customer’s employees. Public sector customers may also provide services for citizens, these cases are covered in Appendix B.

A.1. The purpose of the data processor’s processing of personal data on behalf of the data controller

The Customer provides an employee wellbeing program utilising the HeiaHeia digital service provided by HeiaHeia Oy, based on the commercial terms set in the Commercial agreement between HeiaHeia Oy and the Customer. The purpose of Processing of Personal Data is to provide a wellbeing-improving service for the employees of the Customer.

A.2. The nature of the data processor’s processing of personal data on behalf of the data controller

The Parties hereby agree that the scope and manner of Personal Data Processing shall be the following:

The Customer provides an employee wellbeing program utilising the HeiaHeia digital service provided by HeiaHeia Oy, based on the commercial terms set in the Commercial agreement between HeiaHeia Oy and the Customer.

Personal data processing governed by this agreement shall consist of the following cases:

HeiaHeia is a "freemium SaaS service" consisting of a free service level and premium services provided via "communities". Personal data processing in HeiaHeia governed by this agreement takes place in the context of communities, one customer may run many communities, which may have different functionality enabled, different sets of users (data subjects), and different personal data processing related controller-processor roles.

The Act on the Protection of Privacy in Working Life (of the Finnish law, Työelämän tietosuojalaki in Finnish) limits how and what kind of personal data of employees an employer can process (and thus limits the employer’s possible privacy related roles). Employers need to have a lawful purpose and a reason related to the occupation of the employee for processing any personal data of the employee, and some data types (such as health or location data) are seen as particularly sensitive, processing those is not allowed without a specific reason related to meeting obligations or rights of the employer or the employee. In HeiaHeia, such requirements are not met: an employer's data processing role is limited to special cases listed below.

HeiaHeia Oy is the Data Controller for personal data collected and processed. The legal basis for processing is end-user consent: HeiaHeia Oy becomes the Data Controller for an individual end-user’s personal data upon end-user giving consent to personal data collection and processing.

In the case of an employer inviting employees to HeiaHeia via email (or HeiaHeia assisting the employer in the practical invitation process), the employer is the Data Controller for the list of employees, which includes personal data (e.g. names and emails), and HeiaHeia is a Data Processor on behalf of the employer. After the email invitations have been sent, the employer remains the Data Controller for the original list of employees, which may contain both individuals, who have given consent to HeiaHeia and individuals who have not given consent to HeiaHeia, and HeiaHeia Oy remains a Data Processor for this list of employees. For clarity, HeiaHeia Oy is the Data Controller for all user accounts and personal data collected to the accounts with no Controller-Processor relationship involving the Customer.

HeiaHeia’s community product includes a possibility for activity challenges. Activity challenges may include different types of community level targets as well as a list of participants visible in the product. The same participation data may be visible in Customer reporting and can be used e.g. for rewarding for activity. The reporting includes both aggregate community data and individual data for typical rewarding cases (e.g. meeting step goal, collecting a given amount of wellbeing points, etc). Individual data is included in reporting based on a separate participation list consent by end-users, which end-users can remove (or re-enable) at any time. Individual data in community reports is defined as high level and thus non-sensitive, no individual events are included. In the case of HeiaHeia providing the Customer reporting including personal data, the Customer is the Data Controller for these reports, and HeiaHeia is a Data Processor working on behalf of the Controller.

A.3. Types of personal data about data subjects included in the processing

  • Personal details: Name, email address
  • End-user memberships and consents: community memberships (B2B community consent), team memberships, participant list consent
  • Admin and coach roles
  • Reporting content: aggregate activity data, aggregate step data, aggregate wellbeing task completion data, wellbeing point summary, team memberships, aggregate social activity
  • The detailed contents of this personal data register are listed in the HeiaHeia Privacy Policy: www.heiaheia.com/privacy

A.4. Data subject categories included in the processing

  • Admin users
  • End-users

A.5. Duration of the data processor’s processing of personal data on behalf of the data controller

In HeiaHeia, end-users own and control their own personal data. The service includes a free subscription level, which end-users can utilise prior to joining any premium services levels, and can continue utilising, if their access to a premium service is discontinued for any reason. If the user’s membership in a community is discontinued by either the user leaving the community (user removes community consent), the user being removed from the community (e.g. the user’s employment status changing) or the community being discontinued (e.g. the user’s employer discontinues offering the HeiaHeia service), HeiaHeia continues as the data controller of the free service.

HeiaHeia continues processing the email list of invitees as long as the commercial agreement with the Customer continues. If a user’s membership in a community is discontinued, the user’s data is longer included in the reporting, and HeiaHeia discontinues processing this data. If a user removes consents from the free and the premium services, the user's personal data is removed from the service and all personal data processing, for which HeiaHeia is a controller, discontinues.


Appendix B: 

Information about the processing (Case: the Customer is not an employer)

This appendix provides detailed information about personal data processing, when the Customer is not an employer, and thus the data subjects are not the Customer’s employees. Public sector customers may also provide services citizens as well as employees, the latter cases are covered in Appendix A.

B.1. The purpose of the data processor’s processing of personal data on behalf of the data controller

The Customer provides a wellbeing promotion program utilising the HeiaHeia digital service provided by HeiaHeia Oy, based on the commercial terms set in the Commercial agreement between HeiaHeia Oy and the Customer. The purpose of Processing of Personal Data is to provide a wellbeing-improving service for end-users.

B.2. The nature of the data processor’s processing of personal data on behalf of the data controller

The Parties hereby agree that the scope and manner of Personal Data Processing shall be the following:

The Customer provides a wellbeing promotion program utilising the HeiaHeia digital service provided by HeiaHeia Oy, based on the commercial terms set in the Commercial agreement between HeiaHeia Oy and the Customer.

HeiaHeia is a "freemium SaaS service" consisting of a free service level and premium services provided via "communities". Personal data processing in HeiaHeia governed by this agreement takes place in the context of communities, one customer may run many communities, which may have different functionality enabled, different sets of users (data subjects), and different personal data processing related controller-processor roles.

The Act on the Protection of Privacy in Working Life (of the Finnish law, Työelämän tietosuojalaki in Finnish) limits how and what kind of personal data of employees an employer can process (and thus limits the employer’s possible privacy related roles). Employers need to have a lawful purpose and a reason related to the occupation of the employee for processing any personal data of the employee, and some data types (such as health or location data) are seen as particularly sensitive, processing those is not allowed without a specific reason related to meeting obligations or rights of the employer or the employee. In HeiaHeia, such requirements are not met: for employees, the Customer’s data processing role is limited to special cases listed in Appendix A; for Customers that are not employers, the role is typically the data controller.

Personal data processing governed by this agreement shall consist of the following cases:

1) Email invitations

In the case of the Customer inviting users to HeiaHeia via email, the Customer is the Data Controller for the list of, which includes personal data (e.g. names and emails) and HeiaHeia is a Data Processor on behalf of the Data Controller.

After end-users have given consent for data processing, the Customer remains the Data Controller for the original list of invitees, which may contain both individuals, who have given consent and individuals, who have not given consent, and HeiaHeia remains a Data Processor for this list.

2) Personal data created after consent

HeiaHeia is a “freemium SaaS service" (a service that consists of for-free and paid-for service levels), where Controller-Processor roles can be depicted with the Community Interface Model, as described below. The complete model includes elements outside of the scope of this agreement, but are described below for clarity. The scope of this agreement is data processing by HeiaHeia on behalf of the Customer, as described below. In the following, the term “Partner” refers to the Customer.

Background of the Community Interface Model:

The pivot point of this model is The Community Interface, which forms a Controller Demarcation Line (a separation line for separate registers of personal data with separate data controllers). The Controller Demarcation Line indicates the point at which this responsibility (controllership) changes hands.

The purpose of this model is to reconcile and clarify data control and data processing in the case of a free / B2C relationship that pre-dates the Partner (Customer) relationship, and/or an end-user wishing to continue using the free / B2C service after severing ties with the Customer. The Community Interface creates the legal and technical space to allow (repeatedly) shifting data controllership.

Description of the Community Interface model:

HeiaHeia is the data controller for all data held solely within its servers. ​​This controllership can be initiated by the end-user (e.g. through the free service). As the model shows, this relationship may commence before any relationship with the Customer.

HeiaHeia provides a Community Interface that crosses the Controller Demarcation Line. In essence, the Community Interface encapsulates the technical and legal controls that allows HeiaHeia to transfer and then regain controllership between Customers. When HeiaHeia provides access to data held within its servers through the Community Interface, the Partner (Customer) becomes the controller and HeiaHeia becomes a data processor on behalf of the Partner. This shift happens by granting the Partner the ability to use/extract the data for its own purposes. The double-sided arrow in the model indicates the ability for controllership of the data to cross back over the demarcation line. Securing this ability is handled in both the Privacy Policy and the DPA.

The Community Interface serves as the ”control center” for Partners and allows an easy way for Partners to manage the content of the service as well as gather, analyse, and modify well-being data for research purposes as well as for tracking and/or improving the well-being of data subjects.

Linking of Personal Data to the Community Interface (disclosure) requires end-user consent.

The functionality offered by and content managed by the Community Interface maybe be adjusted by HeiaHeia in accordance with the Commercial Agreement and end-user consent. HeiaHeia can gradually extend the functionality of The Community Interface without disturbing the controller/processor balance.

HeiaHeia shall remain the controller of the data that is collected by HeiaHeia prior to the Partner relationship. HeiaHeia shall have the right to extract all and any personal data from the Interface and use it for the original purpose of data processing as described in the end-user consent (i.e. extracting end-user wellbeing data for providing the free service). For clarity, HeiaHeia does not have any rights for any intellectual property or other content of the Partner or customers of the Partner. HeiaHeia will act as a controller for any data that it extracts from the Interface. This establishes the ability to cross back over the Controller Demarcation Line.

HeiaHeia shall be the sole controller of the data retained in its own systems, outside of the Community Interface. HeiaHeia shall have the right at any point in time to dispose, block, modify or otherwise use this data.

The end-user may at any time remove consents for different service elements, which results in removing personal data from those service elements.

3) Premium service discontinued

In the case of the paid-for service being discontinued for an end-user for whatsoever reason (Partner discontinuing, end-user discontinuing the use of the HeiaHeia premium service), the end-user continues as a user of the free service level of HeiaHeia, for which HeiaHeia is the sole data controller, and the Partner's controllership ends. For clarity, the end-user may at any point discontinue using the free service level (remove all personal data from HeiaHeia), which causes the personal data to be removed from all parts of the service and from all registers within the scope of HeiaHeia.

B.3. Types of personal data about data subjects included in the processing

  • Personal details: Name, email address
  • End-user memberships and consents: community memberships (B2B community consent), team memberships, participant list consent
  • End-user’s activity data, wellbeing tasks completed, programs started, surveys answered, and other data entered to the service by the user in the scope of the premium community
  • Admin and coach roles
  • Reporting content: aggregate activity data, aggregate step data, aggregate wellbeing task completion data, wellbeing point summary, team memberships, aggregate social activity
  • Log files
  • The detailed contents of this personal data register are listed in the HeiaHeia Privacy Policy: www.heiaheia.com/privacy

B.4. Data subject categories included in the processing

  • Admin users
  • End-users

B.5. Duration of the data processor’s processing of personal data on behalf of the data controller

In HeiaHeia, end-users own and control their own personal data. The service includes a free subscription level, which end-users can utilise prior to joining any premium services levels, and can continue utilising, if their access to a premium service is discontinued for any reason. If the user’s membership in a community is discontinued by either the user leaving the community (user removes community consent), the user being removed from the community or the community being discontinued (e.g. the Customer discontinues offering the HeiaHeia service), HeiaHeia continues as the data controller of the free service, and the Customer's controllership ends.

HeiaHeia continues processing the email list of invitees as long as the commercial agreement with the Customer continues.

If a user removes consents from the free and the premium services, the user's personal data is removed from the service and all personal data processing, for which HeiaHeia is a controller, discontinues.


Appendix C: 

Information about the processing (Case: the Customer is a reseller, whose customer is an employer)

This appendix provides detailed information about personal data processing, when the Customer is a reseller, providing wellbeing challenges or wellbeing coaching to either private or public sector employers, and the data subjects are employees. Resellers for the public sector may also provide services for citizens, these cases are covered in Appendix D.

C.1. The purpose of the data processor’s processing of personal data on behalf of the data controller

The Customer is a reseller providing employee wellbeing programs utilising the HeiaHeia digital service provided by HeiaHeia Oy, based on the commercial terms set in the Commercial agreement between HeiaHeia Oy and the Customer. The purpose of Processing of Personal Data is to provide a wellbeing-improving service for the employees of the Customer's customers.

C.2. The nature of the data processor’s processing of personal data on behalf of the data controller

The Parties hereby agree that the scope and manner of Personal Data Processing shall be the following:

The Customer is a reseller providing employee wellbeing programs utilising the HeiaHeia digital service provided by HeiaHeia Oy, based on the commercial terms set in the Commercial agreement between HeiaHeia Oy and the Customer.

HeiaHeia is a "freemium SaaS service" consisting of a free service level and premium services provided via "communities". Personal data processing in HeiaHeia governed by this agreement takes place in the context of communities, one customer may run many communities, which may have different functionality enabled, different sets of users (data subjects), and different personal data processing related controller-processor roles.

The Act on the Protection of Privacy in Working Life (of the Finnish law, Työelämän tietosuojalaki in Finnish) limits how and what kind of personal data of employees an employer can process (and thus limits the employer’s possible privacy related roles). Employers need to have a lawful purpose and a reason related to the occupation of the employee for processing any personal data of the employee, and some data types (such as health or location data) are seen as particularly sensitive, processing those is not allowed without a specific reason related to meeting obligations or rights of the employer or the employee. In HeiaHeia, such requirements are not met: an employer's data processing role is limited to special cases listed below.

Personal data processing governed by this agreement shall consist of the following cases:

1) Email invitations

In the case of an Employer inviting users to HeiaHeia via email, the Employer is the Data Controller for the list of, which includes personal data (e.g. names and emails), the Customer is a Data Processor on behalf of the Data Controller, and HeiaHeia is a Sub-Processor on behalf of the Customer.

After end-users have given consent for data processing, the Employer remains the Data Controller for the original list of invitees, which may contain both individuals, who have given consent and individuals, who have not given consent, the Customer remains a Data Processor for this list, and HeiaHeia remains a Sub-Processor.

2) Personal data created after consent

HeiaHeia is a “freemium SaaS service" (a service that consists of for-free and paid-for service levels), where Controller-Processor roles can be depicted with the Community Interface Model, as described below. The complete model includes elements outside of the scope of this agreement, but are described below for clarity. The scope of this agreement is data processing by HeiaHeia on behalf of the Customer, as described below. In the following, the term “Partner” refers to the Customer.

Background of the Community Interface Model:

The pivot point of this model is The Community Interface, which forms a Controller Demarcation Line (a separation line for separate registers of personal data with separate data controllers). The Controller Demarcation Line indicates the point at which this responsibility (controllership) changes hands.

The purpose of this model is to reconcile and clarify data control and data processing in the case of a free / B2C relationship that pre-dates the Partner (Customer) relationship, and/or an end-user wishing to continue using the free / B2C service after severing ties with the Customer. The Community Interface creates the legal and technical space to allow (repeatedly) shifting data controllership.

Description of the Community Interface model:

HeiaHeia is the data controller for all data held solely within its servers. ​​This controllership can be initiated by the end-user (e.g. through the free service). As the model shows, this relationship may commence before any relationship with the Customer.

HeiaHeia provides a Community Interface that crosses the Controller Demarcation Line. In essence, the Community Interface encapsulates the technical and legal controls that allows HeiaHeia to transfer and then regain controllership between Customers. When HeiaHeia provides access to data held within its servers through the Community Interface, the Partner (Customer) becomes the controller and HeiaHeia becomes a data processor on behalf of the Partner. This shift happens by granting the Partner the ability to use/extract the data for its own purposes. The double-sided arrow in the model indicates the ability for controllership of the data to cross back over the demarcation line. Securing this ability is handled in both the Privacy Policy and the DPA.

The Community Interface serves as the ”control center” for Partners and allows an easy way for Partners to manage the content of the service as well as gather, analyse, and modify well-being data for research purposes as well as for tracking and/or improving the well-being of data subjects.

Linking of Personal Data to the Community Interface (disclosure) requires end-user consent.

The functionality offered by and content managed by the Community Interface maybe be adjusted by HeiaHeia in accordance with the Commercial Agreement and end-user consent. HeiaHeia can gradually extend the functionality of The Community Interface without disturbing the controller/processor balance.

HeiaHeia shall remain the controller of the data that is collected by HeiaHeia prior to the Partner relationship. HeiaHeia shall have the right to extract all and any personal data from the Interface and use it for the original purpose of data processing as described in the end-user consent (i.e. extracting end-user wellbeing data for providing the free service). For clarity, HeiaHeia does not have any rights for any intellectual property or other content of the Partner or customers of the Partner. HeiaHeia will act as a controller for any data that it extracts from the Interface. This establishes the ability to cross back over the Controller Demarcation Line.

HeiaHeia shall be the sole controller of the data retained in its own systems, outside of the Community Interface. HeiaHeia shall have the right at any point in time to dispose, block, modify or otherwise use this data.

The end-user may at any time remove consents for different service elements, which results in removing personal data from those service elements.

3) Premium service discontinued

In the case of the paid-for service being discontinued for an end-user for whatsoever reason (Partner discontinuing, end-user discontinuing the use of the HeiaHeia premium service), the end-user continues as a user of the free service level of HeiaHeia, for which HeiaHeia is the sole data controller, and the Partner's controllership ends. For clarity, the end-user may at any point discontinue using the free service level (remove all personal data from HeiaHeia), which causes the personal data to be removed from all parts of the service and from all registers within the scope of HeiaHeia.

C.3. Types of personal data about data subjects included in the processing

  • Personal details: Name, email address
  • End-user memberships and consents: community memberships (B2B community consent), team memberships, participant list consent
  • Admin and coach roles
  • Reporting content: aggregate activity data, aggregate step data, aggregate wellbeing task completion data, wellbeing point summary, team memberships, aggregate social activity
  • The detailed contents of this personal data register are listed in the HeiaHeia Privacy Policy: www.heiaheia.com/privacy

C.4. Data subject categories included in the processing

  • Admin users
  • End-users

C.5. Duration of the data processor’s processing of personal data on behalf of the data controller

In HeiaHeia, end-users own and control their own personal data. The service includes a free subscription level, which end-users can utilise prior to joining any premium services levels, and can continue utilising, if their access to a premium service is discontinued for any reason. If the user’s membership in a community is discontinued by either the user leaving the community (user removes community consent), the user being removed from the community (e.g. the user’s employment status changing) or the community being discontinued (e.g. the user’s employer discontinues offering the HeiaHeia service), HeiaHeia continues as the data controller of the free service.

HeiaHeia continues processing the email list of invitees as long as the commercial agreement with the Customer continues. If a user’s membership in a community is discontinued, the user’s data is longer included in the reporting, and HeiaHeia discontinues processing this data. If a user removes consents from the free and the premium services, the user's personal data is removed from the service and all personal data processing, for which HeiaHeia is a controller, discontinues.


Appendix D: 

Information about the processing (Case: the Customer is a reseller, whose customer is not an employer)

This appendix provides detailed information about personal data processing, when the Customer is a reseller, providing wellbeing challenges or wellbeing coaching to its customers (later: 'end-customer', 'end-customers'), and the data subjects are not employees of the end-customer. Resellers for the public sector may also provide services for public sector employees, these cases are covered in Appendix C.

D.1. The purpose of the data processor’s processing of personal data on behalf of the data controller

The Customer is a reseller providing wellbeing promotion programs utilising the HeiaHeia digital service provided by HeiaHeia Oy, based on the commercial terms set in the Commercial agreement between HeiaHeia Oy and the Customer. The purpose of Processing of Personal Data is to provide a wellbeing-improving service for end-users nominated by the end-customer.

D.2. The nature of the data processor’s processing of personal data on behalf of the data controller

The Parties hereby agree that the scope and manner of Personal Data Processing shall be the following:

The Customer is a reseller providing wellbeing promotion programs utilising the HeiaHeia digital service provided by HeiaHeia Oy, based on the commercial terms set in the Commercial agreement between HeiaHeia Oy and the Customer.

HeiaHeia is a "freemium SaaS service" consisting of a free service level and premium services provided via "communities". Personal data processing in HeiaHeia governed by this agreement takes place in the context of communities, one customer may run many communities, which may have different functionality enabled, different sets of users (data subjects), and different personal data processing related controller-processor roles.

Personal data processing governed by this agreement shall consist of the following cases:

1) Email invitations

In the case of an end-customer inviting users to HeiaHeia via email, the end-customer is the Data Controller for the list of, which includes personal data (e.g. names and emails), the Customer is a Data Processor on behalf of the Data Controller, and HeiaHeia is a Sub-Processor on behalf of the Customer.

After end-users have given consent for data processing, the end-customer remains the Data Controller for the original list of invitees, which may contain both individuals, who have given consent and individuals, who have not given consent, the Customer remains a Data Processor for this list, and HeiaHeia remains a Sub-Processor.

2) Personal data created after consent

HeiaHeia is a “freemium SaaS service" (a service that consists of for-free and paid-for service levels), where Controller-Processor roles can be depicted with the Community Interface Model, as described below. The complete model includes elements outside of the scope of this agreement, but are described below for clarity. The scope of this agreement is data processing by HeiaHeia on behalf of the Customer, as described below. In the following, the term “Partner” refers to the Customer.

Background of the Community Interface Model:

The pivot point of this model is The Community Interface, which forms a Controller Demarcation Line (a separation line for separate registers of personal data with separate data controllers). The Controller Demarcation Line indicates the point at which this responsibility (controllership) changes hands.

The purpose of this model is to reconcile and clarify data control and data processing in the case of a free / B2C relationship that pre-dates the Partner (Customer) relationship, and/or an end-user wishing to continue using the free / B2C service after severing ties with the Customer. The Community Interface creates the legal and technical space to allow (repeatedly) shifting data controllership.

Description of the Community Interface model:

HeiaHeia is the data controller for all data held solely within its servers. ​​This controllership can be initiated by the end-user (e.g. through the free service). As the model shows, this relationship may commence before any relationship with the Customer.

HeiaHeia provides a Community Interface that crosses the Controller Demarcation Line. In essence, the Community Interface encapsulates the technical and legal controls that allows HeiaHeia to transfer and then regain controllership between Customers. When HeiaHeia provides access to data held within its servers through the Community Interface, in the case of this Appendix D, the end-customer becomes the  the controller, the Customer becomes a data processor on behalf of the end-customer, and HeiaHeia becomes a sub-processor on behalf of the Customer. This shift happens by granting the end-customer the ability to use/extract the data for its own purposes. The double-sided arrow in the model indicates the ability for controllership of the data to cross back over the demarcation line. Securing this ability is handled in both the Privacy Policy and the DPA.

The Community Interface serves as the ”control center” for end-customers and Partners and allows an easy way for end-customers and Partners to manage the content of the service as well as gather, analyse, and modify well-being data for research purposes as well as for tracking and/or improving the well-being of data subjects.

Linking of Personal Data to the Community Interface (disclosure) requires end-user consent.

The functionality offered by and content managed by the Community Interface maybe be adjusted by HeiaHeia in accordance with the Commercial Agreement and end-user consent. HeiaHeia can gradually extend the functionality of The Community Interface without disturbing the controller/processor balance.

HeiaHeia shall remain the controller of the data that is collected by HeiaHeia prior to the Partner relationship. HeiaHeia shall have the right to extract all and any personal data from the Interface and use it for the original purpose of data processing as described in the end-user consent (i.e. extracting end-user wellbeing data for providing the free service). For clarity, HeiaHeia does not have any rights for any intellectual property or other content of the Partner or customers of the Partner. HeiaHeia will act as a controller for any data that it extracts from the Interface. This establishes the ability to cross back over the Controller Demarcation Line.

HeiaHeia shall be the sole controller of the data retained in its own systems, outside of the Community Interface. HeiaHeia shall have the right at any point in time to dispose, block, modify or otherwise use this data.

The end-user may at any time remove consents for different service elements, which results in removing personal data from those service elements.

3) Premium service discontinued

In the case of the paid-for service being discontinued for an end-user for whatsoever reason (Partner discontinuing, end-user discontinuing the use of the HeiaHeia premium service), the end-user continues as a user of the free service level of HeiaHeia, for which HeiaHeia is the sole data controller, and the end-customer's controllership ends. For clarity, the end-user may at any point discontinue using the free service level (remove all personal data from HeiaHeia), which causes the personal data to be removed from all parts of the service and from all registers within the scope of HeiaHeia.

D.3. Types of personal data about data subjects included in the processing

  • Personal details: Name, email address
  • End-user memberships and consents: community memberships (B2B community consent), team memberships, participant list consent
  • Admin and coach roles
  • Reporting content: aggregate activity data, aggregate step data, aggregate wellbeing task completion data, wellbeing point summary, team memberships, aggregate social activity
  • Log files
  • The detailed contents of this personal data register are listed in the HeiaHeia Privacy Policy: www.heiaheia.com/privacy

D.4. Data subject categories included in the processing

  • Admin users
  • End-users

D.5. Duration of the data processor’s processing of personal data on behalf of the data controller

In HeiaHeia, end-users own and control their own personal data. The service includes a free subscription level, which end-users can utilise prior to joining any premium services levels, and can continue utilising, if their access to a premium service is discontinued for any reason. If the user’s membership in a community is discontinued by either the user leaving the community (user removes community consent), the user being removed from the community (e.g. the user’s employment status changing) or the community being discontinued (e.g. the user’s employer discontinues offering the HeiaHeia service), HeiaHeia continues as the data controller of the free service.

HeiaHeia continues processing the email list of invitees as long as the commercial agreement with the Customer continues. If a user’s membership in a community is discontinued, the user’s data is longer included in the reporting, and HeiaHeia discontinues processing this data. If a user removes consents from the free and the premium services, the user's personal data is removed from the service and all personal data processing, for which HeiaHeia is a controller, discontinues.


Appendix E: 

Authorised sub-processors

On commencement of the Clauses, the data controller authorises the engagement of the  following sub-processors: 

Name (Country)

Description of Processing

makandra GmbH (Germany)

Data hosting

Datadog, Inc / makandra GmbH (Germany)

Log file hosting

Amazon Web Services EMEA Sarl (Ireland)

Log file hosting, image and GPX file hosting

Henna Ojanen (Germany)

Customer support (separate consent)

 Typeform SL (Spain / USA)

 Challenge creation wizard (separate consent)

The data controller shall on the commencement of the Clauses authorise the use of the  above-mentioned sub-processors for the processing described for that party. The data  processor shall not be entitled – without the data controller’s explicit written authorisation – to  engage a sub-processor for a ‘different’ processing than the one which has been agreed upon  or have another sub-processor perform the described processing.

 


Appendix F: 

F.1. Authorised sub-processors

This Data Processing Agreement and the Commercial Agreement form the data controller’s final and complete instructions at the time of execution of the DPA for the Processing of Personal Data. Any additional or alternate instructions must be agreed on separately.

F.2. Security of processing

  • The processing involves a large volume of personal data. The data types that are processed are not classified as sensitive or medical (mostly activity data that is designed to be shared with other users).
  • The data processor shall hereafter be entitled and under obligation to make decisions about the technical and organisational security measures that are to be applied to create the necessary (and agreed) level of data security.
    The data processor shall however – in any event and at a minimum – implement the following measures that have been agreed with the data controller:
  • State of the art technical security measures applied, including pseudonymisation and encryption of personal data, whenever applicable
    3rd party security audits commissioned systematically
  • Architecture and processes to ensure high availability and ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident
  • Extensive logging of user and admin actions applied
  • Protection of data during storage:
  • The Data Processor’s applications are deployed onto a Private VLAN in a hosting platform that makandra GmbH provides. It is a private network that is separate from the office network.
  • The configuration addresses security by limiting outside access to minimum, applying firewalling for each server instance and deploying services to subnets that have limited access to each other and to outside networks.
  • Limiting access from outside: The only access points to the private network are the load balancers. These access points can be found from the above diagram.
  • Network access: SSH connections are done with personal SSH keys and only a few people responsible for system operations are granted access. Each SSH session is logged.
  • Firewalls: Each service type has their own security rules that determines which other services can connect to selected ports. E.g. application servers allow HTTP and HTTPS traffic to ports 80 and 443 only from load balancers.
  • Security: We operate a server cluster optimized for data and failure safety with multiple machines in order to be able to guarantee smooth operation even in case of hardware failures. We maintain the host systems regularly and install available security updates.
  • Makandra GmbH is certified according to TISAX VDA-ISA 3.0.
  • Data centre:
    The data centre has all relevant security and precautionary mechanisms in place. Among them are the following:
    Fire protection equipment
    Heat and smoke sensors
    Sensors for particle analysis
    Extinguishing systems in several zones
    Cooling system with redundancy (n+1)
    Redundant power supply
    Power supply via two power feeds (A+B)
    24/7 personnel for remote hands
    Video surveillance system with motion sensors
    Biometric fingerprint scanners and/or access cards with personal PIN
    Automatic alarm systems with direct connection to the security service
    All hardware servers have redundant power supply units as well as redundant hard disk arrays (RAID) - thus failures are further limited.
  • Fault tolerance:
    With this high-availability architecture there is no so-called “single point of failure” and enables a maximum of availability - in the past 12 months an availability of over 99.99% has been achieved.
    In case of one or multiple servers breaking, we have configured auto-scaling procedures that are monitoring the health of the servers and if problems are detected such as non-responsive server instances, the malfunctioning instance is automatically removed and replaced with a new instance.
    If needed, also auto-scaling could be enabled for the situations where we would get higher load from increase in http requests. In this situation the auto-scaling would start new instances and add them to loadbalancers to share the load between additional computing units.
    Database is provided with dedicated instances on physically separate servers for maximum reliability and performance and we have automatic deactivation of a server in case of local malfunction. Setup includes two database servers at different physical locations to achieve redundancy. Thus if one of the servers goes offline (failure, outage, planned maintenance) the databases are still available and usable.
  • Backups:
    We copy backups for disaster recovery cases via an encrypted connection to a separate fire compartment. These backups include database dumps or exports, static assets such as images or files uploaded to the application. We practice the recovery of backups on a regular basis to ensure that the process runs smoothly in an emergency. Data uploaded by the user (GPX files, pictures) are held in AWS S3 and are not included in extraneous backup procedures.

F.3. Processing location

The processing involves a large volume of personal data.

Processing of the personal data under the Clauses cannot be performed at other locations than the following without the data controller’s prior written authorisation:
Data processor and sub-processor offices and employee remote work locations inside the European Union.

F.4. Instruction on the transfer of personal data to third countries

Personal data hosting and processing of the HeiaHeia service takes place inside the European Union.

Customer support tickets (including personal data in the form of email address and ticket content), are managed with a support portal that runs on HubSpot, a service hosted in the US. HubSpot is GDPR compliant.

F.5. Procedures for the data controller’s audits, including inspections, of the processing of personal data being performed by the data processor

To ensure GDPR compliance, the data processor runs an annual process, including a DPIA, where it consults external experts, when necessary. The DPIA reports shall be made available for the data controller.

If the data controller requests, the data processor shall at the data controller’s expense obtain an auditor’s report from an independent third party concerning the data processor's compliance with the GDPR, the applicable EU or Member State data protection provisions and the Clauses.

 


Lataa sovellus!