Henkilötietojen käsittelysopimus / Palvelusopimuksen tietosuojaliite (malli)

Tätä sopimusmallia voi käyttää tilanteissa, joissa henkilötietojen käsittelyä ulkoistetaan jollekin kolmannelle osapuolelle, eikä kyseisellä palveluntarjoajalla ole laadittuna omaa sopimusta henkilötietojen käsittelystä. Sopimus voidaan tehdä erillisenä tai liittää osaksi palvelun tilaussopimusta.

Tee sopimustekstiin tarpeelliset muutokset. Vähintään punaisella kirjatut kohdat tulee muokata tai poistaa.

 

1        Johdanto

Tämä henkilötietojen käsittelysopimus (”Liite”) on erottamaton osa palveluntarjoajan nimi (”Palveluntarjoaja”) ja FinFami ry:n (”Rekisterinpitäjä”) välillä olevaa sopimusta ja sen mukaisia Yleisiä sopimusehtoja (”Sopimus”).

Tämän Liitteen tarkoituksena on sopia Rekisterinpitäjän Henkilötietojen tietosuojasta ja tietoturvasta Palveluntarjoajan palveluissa. Tämä Liite muodostaa osapuolten välille EU:n yleisen tietosuoja-asetuksen (679/2016) mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä.

Jos tämän Liitteen ja Sopimuksen henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, osapuolet soveltavat ensisijaisesti tämän Liitteen ehtoja.

2       Määritelmät

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

“Rekisterinpitäjällä” sitä, joka määrittelee Henkilötietojen Käsittelyn tarkoitukset ja keinot ja joka voi olla tässä Liitteessä määritelty Rekisterinpitäjä tai Rekisterinpitäjän toimeksiantaja.

“Käsittelijällä” Palveluntarjoajaa, joka Käsittelee Henkilötietoja Rekisterinpitäjän lukuun Sopimuksen perusteella.

“Käsittelyllä” ja ”Käsittelytoimilla” toimintoa tai toimintoja, joita kohdistetaan Henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

“Henkilötiedoilla” kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ”Rekisteröityyn”, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

“Henkilötietojen tietoturvaloukkauksella” tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten Käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

3       Tietosuoja ja Henkilötietojen Käsittely

3.1     Palveluntarjoajan ja Rekisterinpitäjän vastuut

Palveluntarjoaja Käsittelee Rekisterinpitäjän Henkilötietoja Rekisterinpitäjän lukuun ja tämän toimeksiannosta Sopimuksen perusteella. Rekisterinpitäjä tai tämän toimeksiantaja on palvelussa Käsiteltävien Henkilötietojen Rekisterinpitäjä ja Palveluntarjoaja Käsittelijä. Osapuolet sitoutuvat noudattamaan Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa Henkilötietojen Käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän Liitteen ehtoja niiden mukaiseksi.

Rekisterinpitäjä on vastuussa siitä, että sillä on tarvittavat oikeudet ja suostumukset Sopimuksen mukaiseen Henkilötietojen Käsittelyyn. Rekisterinpitäjä vastaa tietosuojaselosteen laatimisesta ja saatavilla pidosta sekä Rekisteröityjen informoinnista ja ilmoituksista tietosuojaviranomaisille. Rekisterinpitäjä vastaa Palveluntarjoajalle antamiensa Henkilötietojen oikeellisuudesta.

Rekisterinpitäjällä on oikeus ja velvollisuus määrittää henkilötietojen tyypit ja rekisteröityjen ryhmät sekä Henkilötietojen Käsittelyn tarkoitus ja keinot. Nämä tiedot määritellään sopimuskohdassa 9.

Palveluntarjoajalla on oikeus Käsitellä Rekisterinpitäjän Henkilötietoja ja muita Rekisterinpitäjän tietoja vain Sopimuksen ja tämän Liitteen mukaisesti ja vain siltä osin ja siten kuin on tarpeellista palveluiden toimittamiseksi.

Palveluntarjoaja ylläpitää palvelun kuvausta tai muuta EU:n tietosuoja-asetuksen vaatimaa selostetta palvelussa suoritettavista Käsittelytoimista, mikäli voimassa oleva lainsäädäntö niin edellyttää. Palveluntarjoajalla on oikeus kerätä Sopimuksen mukaisten palvelujen käytöstä anonyymiä ja tilastollista tietoa, joka ei yksilöi Rekisterinpitäjää eikä Rekisteröityjä ja käyttää sitä palvelujensa analysointiin ja kehittämiseen.

3.2     Tietojen poisto/palauttaminen

Sopimuksen päätyttyä Palveluntarjoaja poistaa kaikki tallennetut Henkilötiedot viimeistään 2 kuukauden kuluttua Sopimuksen päättymisestä, ellei sovellettava lainsäädäntö edellytä Henkilötietojen säilyttämistä. Rekisterinpitäjän on mahdollista pyytää tallennettujen tietojen välitöntä poistoa.

3.3     Alihankkijat

Palveluntarjoajalla on oikeus käyttää alihankkijoita Rekisterinpitäjän Henkilötietojen Käsittelyssä. Palveluntarjoaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset Henkilötietojen Käsittelystä. Palveluntarjoaja ilmoittaa muutoksista alihankkijoiden käytössä ja pyydettäessä ilmoittaa Rekisterinpitäjälle etukäteen alihankkijoista, joita se aikoo käyttää Sopimuksen mukaiseen Henkilötietojen Käsittelyyn. Asiakkaalla on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä. Jos osapuolet eivät pääse yksimielisyyteen uuden alihankkijan käyttämisestä, Asiakkaalla on oikeus irtisanoa Sopimus kolmenkymmenen (30) päivän irtisanomisajalla siltä osin, kun alihankkijan muutos vaikuttaa Sopimuksen mukaiseen Henkilötietojen Käsittelyyn.

3.4     Palveluntarjoajan avustamisvelvollisuus

Palveluntarjoaja siirtää välittömästi Rekisterinpitäjälle kaikki Rekisteröidyiltä saamansa Henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden Käsittelyn kieltämistä koskevat pyynnöt tai muut Rekisteröidyltä saamansa pyynnöt, jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten Rekisteröidyn oikeuksien käyttämistä. Rekisterinpitäjän velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta. Ottaen huomioon Käsittelytoimen luonteen, Palveluntarjoaja auttaa Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Rekisterinpitäjän velvollisuuden vastata Rekisteröidyn pyyntöihin.

Palveluntarjoaja on velvollinen, ottaen huomioon Henkilötietojen Käsittelyn luonteen ja sen saatavilla olevat tiedot, auttamaan Rekisterinpitäjää varmistamaan, että sille laissa asetettuja velvollisuuksia noudatetaan. Nämä velvollisuudet voivat käsittää tietoturvallisuutta, tietoturvaloukkauksista ilmoittamista, tietosuojaa koskevaa vaikutustenarviointia ja ennakkokuulemista koskevia velvoitteita. Palveluntarjoaja on velvollinen avustamaan Rekisterinpitäjää ainoastaan sovellettavan tietosuojalainsäädännön Henkilötiedon Käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Ellei toisin sovita, Palveluntarjoajalla on oikeus laskuttaa tämän sopimuskohdan 3.4 mukaisista toimista aiheutuvat kustannukset voimassa olevan hinnastonsa mukaisesti.

Palveluntarjoaja ohjaa kaikki tietosuojaviranomaisten tiedustelut suoraan Rekisterinpitäjälle, eikä Palveluntarjoajalla ole valtuuksia edustaa Rekisterinpitäjää tai toimia Rekisterinpitäjän puolesta Rekisterinpitäjää valvovien tietosuojaviranomaisten kanssa.

4       Käsittely EU:n/ETA:n ulkopuolella

Palveluntarjoaja ja sen alihankkijat saattavat käsitellä Henkilötietoja EU-/ETA-alueen ulkopuolella.

Sikäli kuin Palveluntarjoaja ja/tai sen alihankkija käsittelee henkilötietoja EU-/ETA-alueen ulkopuolella, Palveluntarjoaja huolehtii, että EU:n tietosuojavakiolausekkeet 2010/87/EU henkilötietojen siirrosta EU:n/ETA-alueen ulkopuolelle tai Asetuksen hyväksymä vastaava oikeudellinen suoja soveltuvat tällaiseen siirtoon tai Käsittelyyn. Rekisterinpitäjä täten myöntää valtakirjan Palveluntarjoajalle, jotta Palveluntarjoaja voi sitoutua tällaisiin mallisopimuslausekkeisiin Rekisterinpitäjän nimissä ja Rekisterinpitäjän lukuun. Edelleen, Rekisterinpitäjä nimenomaisesti hyväksyy Palveluntarjoajan myös edustamaan kyseessä olevaa alihankkijaa sitoutuessaan tietosuojavakiolausekkeisiin.

5       Auditointi

Asiakkaalla tai tämän valtuuttamalla auditoijalla (ei kuitenkaan Palveluntarjoajan kilpailija) on oikeus auditoida tämän Liitteen alainen toiminta. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 työpäivää ennen tarkastusta. Auditointi tulee suorittaa tavalla, joka ei haittaa Palveluntarjoajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden. Rekisterinpitäjän edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.

Rekisterinpitäjä vastaa itselleen ja Palveluntarjoajalle auditoinnista aiheutuvista kustannuksista.

6       Tietoturva

Palveluntarjoaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Rekisterinpitäjän Henkilötietojen suojaamiseksi ottaen huomioon Käsittelyn sisältämät riskit, joita ovat erityisesti siirrettyjen, tallennettujen tai muuten Käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy. Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin sekä Käsiteltävien Henkilötietojen arkaluonteisuuteen.

Rekisterinpitäjä on velvollinen varmistamaan, että Palveluntarjoajalle tiedotetaan kaikista niistä Rekisterinpitäjän toimittamiin Henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat tämän Liitteen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin. Palveluntarjoaja varmistaa, että Henkilötietojen Käsittelyyn osallistuva Palveluntarjoajan tai Palveluntarjoajan käyttämän alihankkijan henkilöstö noudattaa asianmukaista salassapitovelvollisuutta.

7       Tietoturvaloukkauksesta ilmoittaminen

Palveluntarjoajan on ilmoitettava Rekisterinpitäjälle kaikista Henkilötietoihin kohdistuneista tietoturvaloukkauksista ilman aiheetonta viivytystä loukkauksesta tiedon saatuaan tai kun Palveluntarjoajan käyttämä alihankkija on saanut loukkauksen tietoonsa.

Rekisterinpitäjän pyynnöstä Palveluntarjoajan tulee ilman aiheetonta viivytystä toimittaa Rekisterinpitäjälle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Siltä osin kuin kyseinen tieto on Palveluntarjoajan saatavilla, Palveluntarjoajan on Rekisterinpitäjälle tehtävässä ilmoituksessa kuvattava vähintään:

  • tapahtunut tietoturvaloukkaus,
  • mahdollisuuksien mukaan rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvoidut lukumäärät,
  • kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista, ja
  • kuvaus korjaavista toimenpiteistä, jotka Palveluntarjoaja on suorittanut tai tulee suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa, sekä tarvittaessa myös toimenpiteet mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi.

Palveluntarjoaja dokumentoi ja raportoi selvityksen tulokset ja suoritetut toimenpiteet Rekisterinpitäjälle.

Rekisterinpitäjä vastaa tarvittavista ilmoituksista tietosuojaviranomaisille.

8       Muut ehdot

Palveluntarjoajan tulee korvata täysimääräisesti Rekisterinpitäjän Rekisteröidylle suorittamat vahingonkorvaukset tai viranomaisten Rekisterinpitäjälle määräämät hallinnolliset ja muut sakot, jotka aiheutuvat siitä, että Palveluntarjoaja on rikkonut tämän Liitteen määräyksiä tai Henkilötietojen Käsittelijöille Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa Henkilötietojen Käsittelyä koskevaa lainsäädäntöä, asetuksia taikka viranomaisten määräyksiä ja ohjeistuksia.

Palveluntarjoaja tiedottaa Rekisterinpitäjää kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä Liitettä.

Tämä Liite on voimassa siihen asti kun (i) Sopimus on voimassa tai (ii) osapuolilla on Henkilötietojen Käsittelytoimiin perustuvia velvoitteita toisiaan kohtaan.

Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän Liitteen voimassaolon päättymisestä riippumatta, jäävät voimaan Liitteen päättymisen jälkeen.

9       Henkilötietojen Käsittelyä koskevat yksityiskohdat

Rekisterinpitäjä määrittelee!

Henkilötietojen Käsittelyn tarkoitus ja keinot:

Rekisteröityjen ryhmät:

Käsiteltävät henkilötietotyypit:

Henkilötiedot, joita käsitellään, sisältävät seuraavia erityisiä henkilötietoryhmiä (arkaluonteiset henkilötiedot):

10       Allekirjoitukset

Rekisterinpitäjän nimi                                          Palveluntarjoajan nimi

Paikka ja aika                                                            Paikka ja aika

Allekirjoitus                                                              Allekirjoitus

Print Friendly, PDF & Email

Oliko tämä artikkeli hyödyllinen?

Kyllä Ei

Related Articles