Liite 6: Tietosuoja

Liite 6: Tietosuoja

1 TAUSTA JA TARKOITUS

Melinda on kansallinen kirjastoille tarkoitettu metatietovarantopalvelu. Kirjastot ja kolmannet osapuolet kuvailevat aineistoja metatietovaranto Melindaan. Metatiedot voivat siirtyä Melindasta muihin palveluihin ja tietovarantoihin.

Tämä tietosuojaliite (jäljempänä ”Tietosuojaliite”) täydentää sopijapuolten tekemää Melindan palvelusopimusta mukaan lukien sen mahdolliset liitteet, lisäykset ja muutokset (jäljempänä "Sopimus").

Sopijapuolet sopivat muuttavansa Sopimusta tässä Tietosuojaliitteessä kuvatulla tavalla, ja tämä tietosuojaliite korvaa Sopimuksen tietosuojaa koskevat ehdot. Sopijapuolet toteavat, että tällä Tietosuojaliitteellä muutettu Sopimus pysyy muilta osin täysimääräisesti voimassa. Jos tämä Tietosuojaliite ja Sopimus ovat ristiriidassa keskenään, pätee tämä Tietosuojaliite ennen Sopimusta.

Seuraava taulukko selventää organisaatioiden vastuut ja roolit suhteessa Xxxxxxxxxx käsiteltäviin henkilötietoihin.

Organisaatio ↓ / Rooli →	Henkilötietojen rekisterinpitäjä
Kansalliskirjasto	− Melindaan tallennettujen ja siirrettyjen metatietojen sisältämät henkilötiedot.
Melinda-kirjasto	− Kirjaston omassa taustajärjestelmässään tuottaman ja Xxxxxxxxx siirtämän metatiedon sisältämät henkilötiedot. − Kirjaston Xxxxxxxxxx omaan tietokantaansa poimiman metatiedon sisältämät henkilötiedot.
Kolmannet osapuolet	− Organisaation omassa taustajärjestelmässään tuottaman ja Xxxxxxxxx siirtämän metatiedon sisältämät henkilötiedot.

2 MÄÄRITELMÄT

(a) Tietosuojalainsäädäntö tarkoittaa Suomessa ja Euroopan Unionissa kulloinkin voimassa olevaa ja sovellettavaa tietosuojalainsäädäntöä (mukaan lukien muttei rajoittuen yleiseen tietosuoja-asetukseen) sekä tietosuojaviranomaisten sitovia ohjeita ja määräyksiä.

(b) Sopimus tarkoittaa Kansalliskirjaston ja Melinda-kirjaston välillä allekirjoitettua Melinda- palvelusopimusta.

(c) Rekisteröity tarkoittaa henkilöä (kuten asiakasta, työntekijää tai työnhakijaa), jonka Henkilötietoja Henkilötietojen Käsittelijä käsittelee tämän liitteen ja Sopimuksen mukaisesti.

(d) Tietosuoja-asetuksen Voimaantulopäivä tarkoittaa päivämäärää (25.5.2018), josta lukien asetuksen soveltaminen on alkanut.

(e) Laki tarkoittaa tässä Liitteessä (i) mitä tahansa lakia tai sitä alempitasoista pakottavaa säädöstä, joka koskee Osapuolta ja/tai joka on voimassa ja jota sovelletaan alueella, jolla Sopimuksen mukaisia palveluita tarjotaan, Tietosuojalainsäädäntö mukaan luettuna ja (ii)

mitä tahansa sitovaa tuomioistuimen määräystä, tuomiota tai päätöstä taikka soveltuvaa ohjetta, menettelytapaa, normia tai määräystä, joka sitoo Osapuolta ja jonka antaneella viranomaisella on toimivalta Osapuoleen tai Osapuolen omaisuuteen tai liiketoimintaan liittyvissä asioissa.

(f) Henkilötiedot tarkoittaa kaikenlaista tietoa, joka koskee tunnistettua tai tunnistettavaa luonnollista henkilöä niin kuin Tietosuojalainsäädännössä on tarkemmin määritelty.

(g) Henkilötietojen Tietoturvaloukkaus tarkoittaa tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen tai luvaton luovuttaminen taikka luvaton pääsy tietoihin.

(h) Valvontaviranomainen tarkoittaa mitä tahansa Lain mukaan toimivaltaista viranomaista.

(i) Yleinen tietosuoja-asetus tarkoittaa 27. päivänä huhtikuuta 2016 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679.

Käsitteet, joita ei ole määritelty yllä, saavat saman merkityssisällön, jonka voimassa oleva Tietosuojalainsäädäntö niille antaa, ja näitä käsitteitä tulkitaan kulloisenkin Tietosuoja- lainsäädännön yleisen tulkinnan mukaisesti. Tässä Tietosuojaliitteessä käytettyihin käsitteisiin sovelletaan myös soveltuvin osin Sopimuksessa määriteltyjä käsitteitä.

3 TIETOSUOJA

3.1 Rekisterinpitäjä. Käsitellessään Henkilötietoja kumpikin sopijapuoli toimii Henkilötietojen osalta itsenäisenä rekisterinpitäjänä ja käsittelee Henkilötietoja itsenäisiin käyttötarkoituksiin. Näin ollen kumpikin sopijapuoli vastaa omien toimiensa osalta itsenäisesti Henkilötietoihin liittyvistä Tietosuojalainsäädännön mukaisten velvoitteidensa täyttämisestä ja velvoitteiden laiminlyönneistä mahdollisesti aiheutuvista vahingoista.

3.2 Yleisvelvoite. Mikäli Sopimuksen yhteydessä siirretään tai luovutetaan toiselle sopijapuolelle Henkilötietoja, kumpikin sopijapuoli sitoutuu omalta osaltaan täyttämään sovellettavan Tietosuojalainsäädännön mukaiset ja tässä tietosuojaliitteessä erikseen mainitut velvoitteensa.

3.3 Henkilötietojen kerääminen. Sopijapuoli sitoutuu omalta osaltaan tietoja ensimmäisen kerran kerätessään ilmoittamaan rekisteröidyille tietojen keräämisestä ja käsittelemisestä. Rekisteröidyille ilmoitetaan

− rekisterinpitäjien ja tietosuojavastaavien (xxx xxxxxxxxx on nimetty) yhteystiedot,

− tietojen käsittelyn tarkoitukset ja oikeusperuste(et),

− henkilötietojen vastaanottajat ja vastaanottajaryhmät,

− tieto siitä, että henkilötiedot voivat siirtyä EU:n/ETA:n ulkopuolelle,

− tietojen säilytysaika,

− rekisteröityjen oikeudet, kuten oikeus saada pääsy tietoihin, oikeus tietojen korjaamiseen, oikeus tulla unohdetuksi ja oikeus tehdä valitus valvontaviranomaiselle.

Sopijapuolet sitoutuvat esittämään tiedot Rekisteröidyille helposti ymmärrettävässä ja saatavilla olevassa muodossa ottaen sekä annettavan informaation että sen esittämistavan

osalta huomioon keskivertorekisteröidyn mahdollisuus saada ja ymmärtää annettu tieto. Melinda-kirjaston tulee omassa tiedottamisessaan ottamaan erityisesti huomioon sen, että sen Xxxxxxxxx tallentama tieto on tallentamisen jälkeen kenen tahansa vapaasti käytettävissä.

3.4 Henkilötietojen luovuttaminen. Kumpikin sopijapuoli vakuuttaa ja vastaa omalta osaltaan siitä, että sillä on oikeus luovuttaa Henkilötiedot toiselle Osapuolelle ja että toisella sopijapuolella on luovutuksen jälkeen itsenäinen oikeus käsitellä Henkilötietoja Sopimuksen mukaisiin tarkoituksiin Sopimuksin mukaisin tavoin. Lisäksi kumpikin sopijapuoli vakuuttaa ja vastaa omalta osaltaan siitä, että sillä on lakisääteiset tai muut riittävät perusteet Henkilötietojen käsittelyyn ja luovuttamiseen (vrt. KKn lakisääteinen velvollisuus kulttuuriperinnön osalta) silloin, kun se on tietojen luovuttamisen edellytyksenä, ja että se on täyttänyt säädetyt tiedonantovelvoitteet erityisesti koskien Henkilötietojen luovuttamista.

3.5 Henkilötietojen käyttötarkoitus. Sopijapuolet sitoutuvat käyttämään Sopimuksen yhteydessä luovutettuja Henkilötietoja vain Laissa, Sopimuksessa ja tässä Tietosuojaliitteessä mainittuihin käyttötarkoituksiin noudattaen Tietosuojalainsäädäntöä ja hyvää tietojenkäsittelytapaa sekä Henkilötietojen luovuttamiselle mahdollisesti asettamia ehtoja.

Sopijapuolet toteavat, että Kansalliskirjaston lakisääteisen tehtävän hoitaminen edellyttää riittävien tietojen keräämistä ja saataville asettamista, ja että Kansalliskirjasto näin ollen kerää tietoja metatietovaranto Melindaan lakisääteisen tehtävänsä ja yleisen edun perusteella.

3.6 Henkilötietojen käsittely. Molemmat sopijapuolet ovat rekisterinpitäjinä vastuussa Tietosuojalainsäädännön mukaisista velvoitteista, erityisesti Rekisteröityyn nähden. Sopijapuolet varmistuvat, että niiden henkilöstö on ohjeistettu ja koulutettu tietosuojaan liittyvissä asioissa ja että niiden toiminnassa noudatetaan tietosuojan varmistavia toimintatapoja.

3.7 Tietoturva. Kumpikin sopijapuoli sitoutuu toteuttamaan tekniset, fyysiset ja organisatoriset toimenpiteet, joilla kumpikin sopijapuoli varmistaa omalta osaltaan Henkilötietojen käsittelyn korkean turvallisuustason ja, joilla suojellaan Henkilötietoja luvattomalta tai laittomalta käsittelyltä sekä tahattomalta menettämiseltä, tuhoamiselta, vahingolta, muutokselta tai luovuttamiselta.

3.8 Rekisteröityjen oikeuksiin vastaaminen. Molemmat sopijapuolet ovat velvollisia täyttämään Rekisteröityjen Tietosuojalainsäädäntöön perustuvat oikeudet. Rekisteröity voi siten esittää Tietosuojalainsäädäntöön liittyviä vaatimuksia kummalle tahansa tai molemmille Osapuolille.

3.9 Kolmannet osapuolet. Kumpikin sopijapuoli on vastuussa käyttämiensä alihankkijoiden työstä ja velvollinen huolehtimaan siitä, että kaikki ne tahot, jotka käsittelevät toisen osapuolen Henkilötietoja, noudattavat salassapitoa, tietoturvaa ja muita tässä tietosuojaliitteessä määriteltyjä velvollisuuksia.

3.10 Viranomaisten tarkastukset ja auditointi. Kumpikin sopijapuoli sallii toimivaltaisen Valvontaviranomaisen pyydettäessä tarkastaa tai auditoida Henkilötietojen käsittelyyn liittyvät järjestelmät, välineet ja niihin liittyvän dokumentaation, mikäli tämä on tarpeen lakisääteisten velvollisuuksien täyttämiseksi. Sopijapuolen on pyynnöstä avustettava toista sopijapuolta kaikin kohtuullisin keinoin tarkastuksen tai auditoinnin yhteydessä, joka liittyy Sopimuksen yhteydessä luovutettaviin Henkilötietoihin. Jos toimivaltainen viranomainen katsoo Sopimukseen liittyvän Henkilötietojen luovutuksen olevan Tietosuojasäännösten tai hyvän tietojenkäsittelytavan vastaista, sopijapuolten on välittömästi ryhdyttävä toimenpiteisiin varmistaakseen, että sopijapuolet jatkossa noudattavat Tietosuojalainsäädännön ja hyvän tietojenkäsittelytavan vaatimuksia.

3.11 Henkilötietojen tietosuojaloukkaus. Sopijapuolen on ilmoitettava kirjallisesti (kuten esimerkiksi sähköpostitse tai SMS-viestillä) ilman aiheetonta viivästystä toiselle sopijapuolelle, jos:

− sopijapuoli vastaanottaa toimivaltaiselta viranomaiselta Sopimuksen nojalla luovutettaviin Henkilötietojen käsittelyyn liittyvän tiedustelun, vaateen tai pyynnön suorittaa tarkastus tai auditointi,

− taikka jos sopijapuoli havaitsee Sopimuksen nojalla luovutettuihin Henkilötietoihin liittyvän tietosuojaloukkauksen tapahtuneen.

Tietosuojaloukkauksen ilmetessä on sopijapuolten toimittava soveltuvan tietosuojalainsäädännön edellyttämällä tavalla ja ryhdyttävä kaikkiin tarvittaviin toimenpiteisiin, kuten: (i) tutkittava Tietosuojaloukkaus, (ii) selvitettävä Tietosuojaloukkauksen vaikutukset, (iii) ryhdyttävä kohtuullisiin ja tarpeellisiin toimiin Tietosuojaloukkauksen vaikutusten lieventämiseksi, ja (iv) lähetettävä ajoissa lakisääteiset ilmoitukset henkilöille, joihin Tietosuojaloukkaus vaikuttaa.

4 LUOTTAMUKSELLISUUS

Henkilötietojen luottamuksellisuuteen sovelletaan mitä Sopimuksen kohdassa 16 on määrätty luottamuksellisuudesta.

Sopijapuolet takaavat, että heidän työntekijänsä ja neuvonantajansa, jotka luovuttavat ja käsittelevät Henkilötietoja kohdan 3 mukaisesti, noudattavat tätä Liitettä sekä Kansalliskirjaston antamia ohjeita ja toimivat huolellisesti niiden mukaisesti.

Tässä kohdassa 4 määrätyt luottamuksellisuutta koskevat velvoitteet jäävät voimaan muutossopimuksen tai Sopimuksen päättymistilanteissa.

5 ERIMIELISYYKSIEN RATKAISEMINEN JA KORVAUKSET

Kukin sopijapuolista vastaa itse sille tietosuojalainsäädännön mukaan kuuluvista velvollisuuksista, vahingonkorvausvastuista ja hallinnollisista sakoista.

Sopijapuolten keskinäiseen vahingonkorvausvastuuseen sovelletaan Sopimuksen vastuunrajoitusehtoja.

Tästä Tietosuojaliitteestä aiheutuvat tai siihen liittyvät erimielisyydet, riitaisuudet tai vaatimukset pyritään ratkaisemaan ensisijaisesti neuvotteluteitse sopijapuolten välillä. Riidanratkaisumenettelyyn sovelletaan Sopimuksen riidanratkaisumenettelyä.

6 SOPIMUKSEN VOIMASSAOLO

Tämä Tietosuojaliite tulee voimaan allekirjoitushetkellä ja jatkuu toistaiseksi voimassa olevana, kunnes Sopimuksen voimassaolo on päättynyt.

Tämän Tietosuojaliitteen päättyminen ei vapauta sopijapuolia velvollisuudesta toteuttaa kaikki Lain ja Tietosuojasäännösten mukaiset velvollisuutensa myös voimassaolon päättymisen jälkeen.

7 MUUT EHDOT

7.1 Etusijajärjestys. Tämä Tietosuojaliite on erottamaton osa Sopimusta. Mikäli Sopimuksen ja tämän muutossopimuksen ehtojen välillä on ristiriitoja, noudatetaan tätä Tietosuojaliitettä ensisijaisesti.

7.2 Sopimuksen siirto. Mikäli Kansalliskirjasto Sopimuksen ehtojen niin salliessa siirtää Sopimuksen, edellytyksenä tällaiselle siirrolle on, että siirronsaaja sitoutuu noudattamaan tämän Tietosuojaliitteen ehtoja.