Henkilötietojen käsittelysopimus
Johdanto
Tämän sopimuksen tarkoituksena on sopia Palvelun Tilaajan henkilörekistereihin kuuluvien henkilötietojen tietosuojasta ja tietoturvasta Palveluntarjoajan myClub-Palvelussa. Tämä sopimus muodostaa osapuolten välille EU:n yleisen tietosuoja-asetuksen (679/2016) mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä. Välittömästi EU:n tietosuoja-asetukseen perustuvat velvollisuudet ja oikeudet tulevat voimaan vasta, kun EU:n tietosuoja-asetuksen soveltaminen alkaa 25.5.2018.
Määritelmät
Tässä sopimuksessa tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti
-
rekisterinpitäjällä
Tilaajaa, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. -
käsittelijällä
Palveluntarjoajaa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun palvelusopimuksen perusteella. -
käsittelyllä
toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista. -
henkilötiedoilla
kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröityyn, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. -
henkilötietojen tietoturvaloukkauksella
tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
Tietosuoja ja henkilötietojen käsittely
Palveluntarjoajan ja Tilaajan vastuut
Palveluntarjoaja käsittelee Tilaajan henkilörekisteriin sisältyviä henkilötietoja Tilaajan lukuun ja tämän toimeksiannosta palvelusopimuksen perusteella. Henkilötietoja voivat olla esim. Palvelun käyttäjiä, seuran jäseniä, harrastajia, työntekijöitä, toimihenkilöitä, asiakkaita taikka muita luonnollisia henkilöitä koskevat tiedot. Tilaaja on Palvelussa käsiteltävien henkilötietojensa rekisterinpitäjä ja Palveluntarjoaja käsittelijä. Selvyyden vuoksi todettakoon, että Palveluntarjoaja toimii rekisterinpitäjänä oman asiakasrekisterinsä osalta, johon sisältyvät Tilaajan päättäjien ja yhteyshenkilöiden henkilötiedot (esim. nimi, yhteystiedot) sekä Palvelun käyttäjiksi rekisteröityneiden henkilöiden Palvelun käyttäjäksi rekisteröitymiseen liittyvät henkilötiedot (esim. myClub ID, nimi, sähköpostiosoite). Osapuolet sitoutuvat noudattamaan Suomessa ja Euroopan unionissa kulloinkin voimassa olevaa henkilötietojen käsittelyä koskevaa lainsäädäntöä, asetuksia sekä viranomaisten määräyksiä ja ohjeistuksia ja tarvittaessa muuttamaan tämän liitteen ehtoja niiden mukaiseksi.
Rekisterinpitäjänä Tilaaja on vastuussa siitä, että sillä on tarvittavat oikeudet ja suostumukset palvelusopimuksen mukaiseen henkilötietojen käsittelyn. Tilaaja vastaa tietosuojaselosteen laatimisesta, rekisteröityjen informoinnista ja ilmoituksista tietosuojaviranomaisille. Tilaaja vastaa Palveluntarjoajalle antamiensa henkilötietojen oikeellisuudesta.
Palvelussa käsiteltävien henkilötietojen tyypit ja rekisteröityjen ryhmät on määritelty liitteessä 1.
Palveluntarjoajalla on oikeus käsitellä Tilaajan henkilötietoja vain palvelusopimuksen, tämän sopimuksen ja Tilaajan kirjallisten ohjeiden mukaisesti ja vain siltä osin ja siten kuin on tarpeellista Palvelun toimittamiseksi.
Palveluntarjoajalla on oikeus kerätä Palvelujen käytöstä anonyymiä ja tilastollista tietoa, joka ei yksilöi Tilaajaa eikä rekisteröityjä ja käyttää sitä palvelujensa analysointiin ja kehittämiseen.
Tietojen poisto/palauttaminen
Ennen palvelusopimuksen päättymistä, Tilaaja huolehtii ja vastaa Palvelussa olevien tietojen siirrosta/kopioinnista. Palveluntarjoajalla on oikeus veloittaa Tilaajaa hinnaston mukaisesti Palvelussa olevien tietojen siirrosta. Palveluntarjoajalla on oikeus poistaa tiedot Palvelusta kuuden kuukauden kuluttua palvelusopimuksen päättymisestä.
Alihankkijat
Palveluntarjoajalla on oikeus käyttää alihankkijoita Tilaajan henkilötietojen käsittelyssä. Palveluntarjoaja vastaa alihankkijoiden toimista kuin omistaan ja laatii alihankkijoiden kanssa vastaavat kirjalliset sopimukset henkilötietojen käsittelystä. Palveluntarjoaja ilmoittaa pyydettäessä Tilaajalle etukäteen alihankkijoista, joita se aikoo käyttää palvelusopimuksen mukaiseen henkilötietojen käsittelyyn. Tilaajalla on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä. Jos osapuolet eivät pääse yksimielisyyteen uuden alihankkijan käyttämisestä, Palveluntarjoajalla on oikeus irtisanoa palvelusopimus ja tämä sopimus kolmenkymmenen (30) päivän irtisanomisajalla siltä osin, kun alihankkijan muutos vaikuttaa sopimusten mukaiseen henkilötietojen käsittelyyn.
Palveluntarjoajan avustamisvelvollisuus
Palveluntarjoaja siirtää välittömästi Tilaajalle kaikki Rekisteröidyiltä saamansa henkilötietojen tarkastamista, oikaisemista, poistamista tai niiden käsittelyn kieltämistä koskevat pyynnöt tai muut Rekisteröidyltä saamansa pyynnöt. Tilaajan velvollisuutena on huolehtia ko. pyyntöihin vastaamisesta. Ottaen huomioon käsittelytoimen luonteen, Palveluntarjoaja auttaa Tilaajaa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään Tilaajan velvollisuuden vastata Rekisteröidyn pyyntöihin.
Palveluntarjoaja on velvollinen, ottaen huomioon henkilötietojen käsittelyn luonteen ja sen saatavilla olevat tiedot, auttamaan Tilaajaa varmistamaan, että sille laissa asetettuja velvollisuuksia noudatetaan. Nämä velvollisuudet voivat käsittää tietoturvallisuutta, tietoturvaloukkauksista ilmoittamista, tietosuojaa koskevaa vaikutustenarviointia ja ennakkokuulemista koskevia velvoitteita. Palveluntarjoaja on velvollinen avustamaan Tilaajaa ainoastaan sovellettavan tietosuojalainsäädännön henkilötiedon käsittelijälle asettamien velvoitteiden mukaisessa laajuudessa. Ellei toisin sovita, Palveluntarjoajalla on oikeus laskuttaa tämän sopimuskohdan mukaisista toimista aiheutuvat kustannukset voimassa olevan hinnastonsa mukaisesti.
Palveluntarjoaja ohjaa kaikki tietosuojaviranomaisten tiedustelut suoraan Tilaajalle, eikä Palveluntarjoajalla ole valtuuksia edustaa Tilaajaa tai toimia Tilaajan puolesta Tilaajaa valvovien tietosuojaviranomaisten kanssa.
Käsittely EU:n / ETA:n ulkopuolella
Palveluntarjoaja ja sen alihankkijat eivät lähtökohtaisesti käsittele henkilötietoja EU:n/ETA:n ulkopuolella. Palveluntarjoaja ilmoittaa Tilaajalle, mikäli henkilötietoja siirretään EU:n tai ETA:n ulkopuolelle. Palveluntarjoaja sitoutuu huolehtimaan asianmukaisesta tietosuojan tasosta Palveluun liittyvissä Tilaajan henkilötietojen siirroissa EU:n/ETA:n ulkopuolelle. Lähtökohtaisesti siirroissa käytetään Euroopan Unionin hyväksymiä mallisopimuslausekkeita.
Auditointi
Tilaajalla tai tämän valtuuttamalla auditoijalla (ei kuitenkaan Palveluntarjoajan kilpailija) on oikeus auditoida sopimuksen alainen toiminta. Sopijapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ja vähintään 14 työpäivää ennen tarkastusta. Auditointi tulee suorittaa tavalla, joka ei haittaa Palveluntarjoajan ja sen alihankkijoiden sitoumuksia kolmansiin osapuoliin nähden. Tilaajan edustajien ja auditoijan on allekirjoitettava tavanomaiset salassapitositoumukset.
Tilaaja vastaa itselleen ja Palveluntarjoajalle auditoinnista aiheutuvista kustannuksista. Mikäli Palveluntarjoajan toimissa havaitaan auditoinnissa merkittäviä puutteita, vastaa Palveluntarjoaja auditoinnista aiheutuvista kustannuksista.
Tietoturva
Palveluntarjoaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet Tilaajan henkilötietojen suojaamiseksi ottaen huomioon käsittelyn sisältämät riskit, joita ovat erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tahaton tai laiton tuhoaminen, hävittäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy. Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsillä olevaan tietojenkäsittelyyn liittyviin erityisiin riskeihin sekä käsiteltävien henkilötietojen arkaluonteisuuteen.
Tilaaja on velvollinen varmistamaan, että Palveluntarjoajaa tiedotetaan kaikista niistä Tilaajan toimittamiin henkilötietoihin liittyvistä seikoista, kuten riskiarvioinneista sekä erityisten henkilöryhmien käsittelystä, jotka vaikuttavat tämän sopimuksen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin. Palveluntarjoaja varmistaa, että henkilötietojen käsittelyyn osallistuva Palveluntarjoajan tai Palveluntarjoajan käyttämän alihankkijan henkilöstö noudattaa asianmukaista salassapitovelvollisuutta.
Palveluntarjoajan tämän sopimuksen johdosta toteuttamien teknisten ja organisatoristen suojatoimenpiteiden tarkempi kuvaus on liitteessä 2.
Tietoturvaloukkauksesta ilmoittaminen
Palveluntarjoajan on ilmoitettava Tilaajalle kaikista henkilötietoihin kohdistuneista tietoturvaloukkauksista ilman aiheetonta viivytystä loukkauksesta tiedon saatuaan tai kun Palveluntarjoajan käyttämä alihankkija on saanut loukkauksen tietoonsa.
Tilaajan pyynnöstä Palveluntarjoajan tulee ilman aiheetonta viivytystä toimittaa Tilaajalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto. Siltä osin kuin kyseinen tieto on Palveluntarjoajan saatavilla, Palveluntarjoajan on Tilaajalle tehtävässä ilmoituksessa kuvattava vähintään:
- tapahtunut tietoturvaloukkaus,
- mahdollisuuksien mukaan rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvoidut lukumäärät,
- kuvaus tietoturvaloukkauksen aiheuttamista todennäköisistä seurauksista, ja
- kuvaus korjaavista toimenpiteistä, jotka Palveluntarjoaja on suorittanut tai tulee suorittamaan tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa, sekä tarvittaessa myös toimenpiteet mahdollisten tietoturvaloukkauksen haittavaikutusten minimoimiseksi.
Palveluntarjoaja dokumentoi ja raportoi selvityksen tulokset ja suoritetut toimenpiteet Tilaajalle.
Tilaaja vastaa tarvittavista ilmoituksista tietosuojaviranomaisille.
Muut ehdot
Jos henkilölle aiheutuu EU:n tietosuoja-asetuksen tai sopimuksen loukkauksista aineellista tai aineetonta vahinkoa, Palveluntarjoajan on vastuussa vahingosta vain siltä osin, kuin se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja EU:n tietosuoja-asetuksen tai tämän sopimuksen velvoitteita.
Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollista sakoista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomioistuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta. Muilta osin osapuolten vastuu määräytyy palvelusopimuksen perusteella.
Palveluntarjoaja tiedottaa Tilaajaa kirjallisesti kaikista muutoksista, jotka saattavat vaikuttaa sen kykyyn tai mahdollisuuksiin noudattaa tätä sopimusta ja Tilaajan antamia kirjallisia ohjeita. Osapuolet sopivat kaikki lisäykset ja muutokset tähän sopimukseen kirjallisesti.
Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän sopimuksen voimassaolon päättymisestä riippumatta, jäävät voimaan sopimuksen päättymisen jälkeen. :::