LIITE 2. OPIQ Palvelun Tiedonkäsittelysopimus
LIITE 2. OPIQ Palvelun Tiedonkäsittelysopimus
Tämä tiedonkäsittelysopimus on solmittu alla mainittujen osapuolten välillä.
1. Osapuolet
Xxxxxxx (jäljempänä: „Rekisterinpitäjä“) ja
Star Cloud OÜ (jäljempänä: „Henkilötietojen käsittelijä“ tai „OPIQ“)
Rekisterinpitäjästä ja Henkilötietojen käsittelijästä käytetään jäljempänä yhteisesti myös käsitettä ”Osapuolet” ja erikseen ”Osapuoli“.
2. Käsitteet
2.1. sovellettavat tiedonkäsittelyn säädökset – ovat mitä tahansa sovellettavia säädöksiä, jotka liittyvät tietojen suojaamiseen ja turvallisuuteen, mm. yksityisyyden suojaa ja sähköistä viestintä koskeva direktiivi (Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla) ja yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) , ja niiden muutokset, korvaukset ja laajennukset (jäljempänä yhdessä: EU:n lainsäädäntö), kaikki sitovasti noudatettavan valtionsisäiset lait, joilla sovelletaan käytäntöön EU:n lainsäädäntöä ja muut sitovat tietosuoja- tai tietoturvallisuuden voimassa olevat direktiivit, lait, asetukset ja päätökset.
2.2. Henkilötiedot – ovat tunnistetun tai tunnistettavaan luonnolliseen henkilöön liittyvät tiedot. Tunnistettava luonnollinen henkilö on henkilö, jonka välitön tai välillinen tunnistaminen on mahdollista jonkin tunnuksen perusteella.
2.3. Alihankkijana toimiva käsittelijä – Henkilötietojen käsittelijän toimesta OPIQ:in palveluiden ja lisäpalveluiden hallinnoimisen ja teknisen toimivuuden varmistamiseen vaadittavassa laajuudessa mukaan otettu henkilötietojen käsittelijä.
3. Tausta
3.1. Henkilötietojen käsittelijä antaa Rekisterinpitäjälle Osapuolten välillä solmitun palvelusopimuksen (jäljempänä „Sopimus“) perusteella pääsyn verkkoalustaan OPIQ.
3.2. Tämän tiedonkäsittelysopimuksen tavoitteena on varmistaa Rekisterinpitäjän toimesta Henkilötietojen käsittelijälle Sopimuksen nojalla siirrettyjen henkilötietojen suoja ja turvallisuus.
3.3. Henkilötietojen käsittelijä käsittelee Sopimukseen liittyen Rekisterinpitäjän nimissä Rekisterinpitäjältä saatuja henkilötietoja, joiden suhteen Rekisterinpitäjä on sovellettavien tietosuojan säädösten nojalla henkilötietojen rekisterinpitäjä.
3.4. Star Cloud OÜ on OPIQ verkkokaupan tietojen osalta henkilötietojen rekisterinpitäjä ja maksusuorituksiin liittyvien tietojen osalta on henkilötietojen käsittelijänä Maksekeskus AS yksityisten käyttäjien ja eOppi oikeushenkilöiden suhteen.
3.5. OPIQStatin palvelu on tarkoitettu yleistetyn käyttötilastojen hallinnoimiseen esimerkiksi yksittäisen teoksen tai oppiaineen osalta eikä käsittele käyttäjäpohjaisia tilastotietoja.
3.6. OPIQ on sähköiseen opetusaineistoon ja siihen liittyvien palveluiden käytettävyyden varmistava verkkoalusta OPIQ ja siihen sisältyvien palveluiden käyttäjä antaa meille tietoja, jotka ovat palveluiden sujuvan käyttämisen edellytyksenä. monet OPIQ:in tarjoamat verkkopalvelut ovat yksilöllistettyjä palveluita, joten järjestelmän pitää tunnistaa ko. henkilö ja käsiteltävä hänen yhteystietojaan. Ilman tarvittavia tietoja on useiden palveluiden käyttö mahdotonta.
4. Rekisterinpitäjän velvollisuudet
4.1. Rekisterinpitäjä hyväksyy ja vahvistaa, että henkilötietojen käsittely Sopimuksen noudattamisen puitteissa Rekisterinpitäjän toimesta on laillista Sovellettavien tietosuojasäädösten mukaisesti.
4.2. Rekisterinpitäjä on vastuussa siitä, että Rekisterinpitäjän toimesta nimitetyillä käyttäjillä on perusteltu tarve OPIQ:in palveluiden ja niiden sisällön käyttämiseen.
4.3. Rekisterinpitäjä hyväksyy ja vahvistaa, että hän on valtuuttanut ja koko Sopimuksen ojalla suoritettavan henkilötietojen käsittelemisen aikana, valtuuttaa Henkilötietojen käsittelijän käsittelemään henkilötietoja Rekisterinpitäjän nimissä.
4.4. Rekisterinpitäjä suostuu toimittamaan Henkilötietojen käsittelijän vaatimuksesta tarvittavia tietoja ja asiakirjoja sovellettavista tietosuojasäädöksistä johtuvien Henkilötietojen käsittelijän velvollisuuksien hoitamiseen.
5. Henkilötietojen käsittelijän velvollisuudet
5.1. Henkilötietojen käsittelijä varmistaa, että Sopimuksesta johtuvien asianmukaisten henkilötietojen käsittely hänen toimestaan täyttää Sovellettavien tietosuojan säädösten vaatimukset, Sopimuksen ehdot ja tämän tiedonkäsittelysopimuksen ehtoja ja että rekisteröityjen oikeudet on vaatimustenmukaisesti suojattu. Henkilötietojen käsittelijä ja Henkilötietojen käsittelijän palkkaamat tai mukaan pyydetyt kolmannet henkilöt voivat käsitellä henkilötietoja vain tämän tiedonkäsittelysopimuksen ja Sopimuksen vaatimusten mukaisesti ja noudattamalla muita Rekisterinpitäjän toimesta tarpeen mukaisesti annettuja tai dokumentoituja ohjeita noudattaen.
5.2. Henkilötietojen käsittelijän toimesta tämän tiedonkäsittelysopimuksen perusteella käsiteltäviä henkilötietoja, määräaikoja ja turvallisuustoimenpiteitä on kuvattu kohdassa tämän tiedonkäsittelysopimuksen Liitteessä A.
5.3. Henkilötietojen käsittelijä ei käsittele henkilötietoja suuremmassa laajuudessa, kuin on tarpeen Henkilötietojen käsittelijän toimesta Sopimuksen ja tiedonkäsittelysopimuksen noudattamisen tarkoituksessa. Henkilötietojen käsittelijä hyväksyy, että jos selkeäsanainen kirjallinen suostumus puuttuu, hänellä ei oikeutta käsitellä henkilötietoja muussa tarkoituksessa paitsi Sopimuksessa ja tiedonkäsittelysopimuksessa sovitulla tavalla. Jos Henkilötietojen käsittelijään sovellettavat sitovat Euroopan Unionin tai
jäsenvaltion säädökset kieltävät Henkilötietojen käsittelijältä Sopimuksen tai annettujen ohjeiden noudattamisen tai vaativat vaihtoehtoisesti lisäkäsittelyä laajuudessa, joka ylittää Sopimuksen tai tiedonkäsittelysopimuksen laajuuden, Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle viipymättä ja ennen käsittelyn aloittamista, jos se on kohtuullisuuden puitteissa mahdollista, vastaavan oikeudellisen vaatimuksen voimaan saattamisesta tai ilmoittaa Rekisterinpitäjälle, että Henkilötietojen käsittelijä ei voi noudattaa Sopimusta tai annettuja ohjeita. Henkilötietojen käsittelijä ilmoittaa lisäksi viipymättä Rekisterinpitäjälle siitä, jos Rekisterinpitäjän antama ohje loukkaa hänen arvionsa mukaan sovellettavia tietosuojasäädöksiä.
5.4. Henkilötietojen käsittelijä ylläpitää henkilötietojen luottamuksellisuutta ja varmistaa, että kaikille henkilöille, joita on valtuutettu käsittelemään henkilötietoja, on ilmoitettu tietojen luottamuksellisesta luonteesta, he ovat läpäisseet asianmukaisen koulutuksen velvollisuuksiensa hoitamiseen ja he ovat sitoutuneet luottamuksellisuuden varmistamisen velvollisuuden noudattamiseen tai heitä koskee asianmukainen lakiin perustuva luottamuksellisuusvaatimus. Kyseinen luottamuksellisuusvaatimus jää voimaan tämän tiedonkäsittelysopimuksen ja/tai Sopimuksen päättymisen jälkeen.
5.5. Henkilötietojen käsittelijä soveltaa asianmukaisia teknisiä ja järjestöllisiä toimenpiteitä suojatakseen käsiteltäviä henkilötietoja valtuuttamattomalta tai laittomalta käsittelyltä ja satunnaiselta tuhoutumiselta, hukkaamiselta, vahingoittumiselta, muuttamiselta tai julkistamiselta. Tällaiset toimenpiteet varmistavat turvallisuustason, joka on sopusoinnussa käsittelyn aiheuttamien riskien kanssa.
5.6. Henkilötietojen käsittelijä auttaa lisäksi käsittelytavan ja saatavissa olevat tiedot huomioon ottaen Rekisterinpitäjää hänen henkilötietojen turvallisuuteen liittyvien velvollisuuksiensa hoitamisessa, mm. tietoihin liittyvistä laiminlyönneistä ilmoittaminen, riskien ja vaikutusten arviointi sekä neuvomisvelvollisuus Sovellettavien tietosuojasäädösten mukaisesti.
5.7. Jos on syntynyt todellinen tai perusteltu epäily henkilötietoihin liittyvän laiminlyönnin sattumisesta tai muun Henkilötietojen käsittelijää uhkaavan, tiedonkäsittelysopimuksen perusteella henkilötietojen käsittelemistä koskevan täytäntöönpanomenettelyn osalta, Henkilötietojen käsittelijä ilmoittaa siitä Rekisterinpitäjälle viipymättä ja viimeistään neljänkymmenenkahdeksan (48) tunnin sisällä siitä alkaen, jolloin asianmukainen tieto on saatu. Henkilötietojen käsittelijä yrittää Rekisterinpitäjältä etukäteen saadun hyväksynnän nojalla selvittää tilanteen mahdollisimman nopeasti ja rajoittaa vahingon laajentumista ja lievittää tapauksen aiheuttamia vaikutuksia. Henkilötietojen käsittelijä lähettää tiedonannossaan Rekisterinpitäjälle kaikki tiedot, joita Rekisterinpitäjä tarvitsee Sovellettavien tietosuojasäädösten mukaisesti oman ilmoitusvelvollisuuden noudattamiseen ja henkilötietoihin liittyvien laiminlyöntien vaikutusten poistamiseen ja lievittämiseen. On mahdollista ja kohtuullista, henkilötietojen käsittelijä tarjoaa rekisteröidyille halutessa sopivia korjaustoimenpiteisiin liittyviä palveluita.
5.8. Henkilötietojen käsittelijä dokumentoi lisäksi Sopimukseen liittyvät henkilötietojen käsittelyyn liittyvät laiminlyönnit, mainiten siinä laiminlyöntiin liittyvät seikat, sen vaikutukset ja sovelletut korjaavat toimenpiteet. Seurantaviranomaisen on oltava mahdollisuus tarkistaa näiden asiakirjojen nojalla sovellettavien tietosuojasäädösten noudattamista. Asiakirjojen pitää sisältää vain niitä tietoja, joita tähän tarkoitukseen vaaditaan.
5.9. Henkilötietojen käsittelijä tekee Rekisterinpitäjän pyynnöstä ja ilman lisämaksua yhteistyötä ja auttaa Rekisterinpitäjää asianmukaisia teknisiä ja järjestöllisiä toimenpiteitä koskevien tietojen kanssa Sovellettavissa tietosuojasäädöksissä säädettyjen rekisteröityjen oikeuksien varmistamiseen, muun muassa:
5.9.1. toimittaa Rekisterinpitäjälle jäljennöksen rekisteröidyn henkilötiedoista;
5.9.2. avaa, korjaa, poistaa henkilötietoja tai rajoittaa henkilötietojen käsittelyä.
5.10. Henkilötietojen käsittelijä tarjoaa pyydettyä apua toimittamalla pyydetyt asiakirjat ja tiedot kymmenen (10) päivän sisällä Rekisterinpitäjän hakemuksen toimittamisesta alkaen.
5.11. Jos rekisteröity, valvonta- tai hallituselin tai muu kolmas henkilö vaatii Henkilötietojen käsittelijältä Sopimuksen perusteella Käsiteltäviä henkilötietoja, Henkilötietojen käsittelijä ohjaa ko. vaatimuksen Rekisterinpitäjälle. Henkilötietojen käsittelijä ei saa julkaista henkilötietoja tai muita henkilötietojen käsittelyä koskevia tietoja ilman Rekisterinpitäjän etukäteen antamaa kirjallista suostumusta, paitsi jos Henkilötietojen käsittelijä on velvoitettu julkistamaan kyseiset tiedot Euroopan unionin tai jäsenvaltion lainsäädännön nojalla. Viimemainitussa tapauksessa ilmoittaa Henkilötietojen käsittelijä viipymättä Rekisterinpitäjälle hakemuksesta laissa säädetyssä laajuudessa.
5.12. Henkilötietojen käsittelijä toimitta ilman Rekisterinpitäjältä ilman lisämaksun vaatimusta kaikki tiedot ja asiakirjat sekä tarjoaa apuaan, jota Rekisterinpitäjä tarvitsee Sovellettavien tietosuojasäädösten kaikkien vaatimusten noudattamiseen ja mainittujen vaatimusten mukaisuuden toteen näyttämiseen Sopimukseen liittyvien henkilötietojen osalta. Henkilötietojen käsittelijä mahdollistaa lisäksi säätely- ja/tai valvontaviranomaisten toimesta tarkastusten suorittamiseen ja avustaa niiden suosittamisessa.
5.13. Henkilötietojen käsittelijän on säilytettävä ja pidettävä saatavissa olevina käsittelytoimenpiteitä koskevat asianmukaiset tiedot, muun muassa tietojen käsittelijän alihankkijana toimivan jokaisen oikeushenkilön nimi, yhteystiedot, edustaja (muun muassa tietosuoja-alan työntekijä, jos sitä voidaan soveltaa) ja toimipaikan osoite, Rekisterinpitäjän nimissä suoritetut käsittelytavat ja se on sovellettavissa, Tietojen kansainvälistä siirtämistä koskevat tiedot (ilmoittaen muun muassa valtiot, joita toiminta koskee ja sovellettavia siirtomekanismeja koskevat tiedot). Henkilötietojen käsittelijä toimittaa Rekisterinpitäjän hakemuksesta ja ilman perusteluita, viipymättä Rekisterinpitäjälle tässä kohdassa säädetyt asiakirjat, jotta Rekisterinpitäjä voisi noudattaa sovellettavia tietosuojasäädöksiä.
5.14. Henkilötietojen käsittelijä varmistaa Rekisterinpitäjälle oikeuden tarkistaa ja tarkastaa Henkilötietojen käsittelijän tiloja (ja varmistaa, että Henkilötietojen käsittelijällä on samanarvoiset tarkistus- ja tarkastusoikeudet alihankkijoina toimivien kolmansien käsittelijöiden suhteen) varmistaakseen, ovatko henkilötietojen käsittelijän (alihankkijan) tekniset ja järjestölliset turvallisuustoimenpiteet sopusoinnussa tässä tiedonkäsittelysopimuksessa, Sopimuksessa tai sovellettavissa tietosuojasäädöksissä säädettyjen velvollisuuksien kanssa. Kyseisten tarkastusten suorittamiseen sovelletaan alla säädettyä.
5.15. Rekisterinpitäjällä on oikeus suorittaa tarkastuksia normaalina työnaikana, ilmoittaen niistä kohtuullisen ajan verran etukäteen. Mainitut tarkastukset eivät saa keskeyttää Henkilötietojen käsittelijän liiketoimintaa ja siitä saavat suorittaa joko Rekisterinpitäjän työntekijät tai Rekisterinpitäjälle sopimuksen perusteella palveluita tarjoavan yrityksen työntekijät (pätevä kolmas henkilö) sillä edellytyksellä, että kyseinen vastaavan sopimuksen perusteella palvelua tarjoava kolmas henkilö on sitoutunut sopimuksella noudattamaan luottamuksellisuusvelvollisuuksia, jotka ovat Henkilötietojen käsittelijän kannalta kohtuullisesti hyväksyttäviä. Tarkastuksen kulut maksaa Rekisterinpitäjä. Jos tarkastuksen puitteissa todetaan kuitenkin ristiriitoja tai laiminlyönti, jonka on aiheuttanut Henkilötietojen käsittelijä tai hänen sidosyrityksensä, konsultit, aliurakoitsijat tai muut edustajat, niin Henkilötietojen käsittelijä maksaa Rekisterinpitäjän tarkastuksen aiheuttamat kulut.
6. Henkilötietojen siirtäminen kolmansille henkilöille
6.1. Henkilötietojen käsittelijällä ei ole oikeutta siirtää henkilötietoja kolmannelle henkilölle eikä mahdollista kolmannelle henkilölle pääsyä, esimerkiksi mahdollistamalla etäpääsy henkilötietoihin (joiden kaikkien tarkoitetaan olevan siirtämisen), eikä pyytää mukaan alihankkijana toimivia käsittelijöitä henkilötietojen käsittelemiseen (edellä mainittuun siirtämis- ja alikäsittelytoimintaan viitataan yhteisesti henkilötietojen siirtämisenä kolmansille henkilöille) ilman Rekisterinpitäjän etukäteen antamaa kirjallista suostumusta. Jos sellainen suostumus on annettu, on Henkilötietojen käsittelijän toimesta henkilötietojen siirtämisen ehtona, että ko. kolmannelle henkilölle asetetaan ennen henkilötietojen siirtämistä samat tietosuojavelvollisuudet, kuten niistä on säädetty tässä tiedonkäsittelysopimuksessa. Suostumusta ei tarvita niiden alihankkijana toimivilta käsittelijöiltä (palveluntarjoajilta), jotka on mainittu tämän tiedonkäsittelysopimuksen Liitteessä A.
6.2. Tämä suostumus on voimassa seuraavista aikaisimpaan: i) kun Rekisterinpitäjä ilmoittaa Henkilötietojen käsittelijälle suostumuksen peruuttamisesta tai ii) kun Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle, että Henkilötietojen käsittelijä ei käytä enää hyväksyttyä kolmatta henkilöä varsinaiseen tarkoitukseen.
6.3. Jos Rekisterinpitäjä ei anna suostumusta henkilötietojen kolmannelle henkilölle siirtämiseen syystä, jonka Rekisterinpitäjä pitää kohtuullisena, Henkilötietojen käsittelijä
jatkaa Sopimuksen ja tiedonkäsittelysopimuksen noudattamista sovituilla ehdoilla seuraavista tapahtumista aikaisimpaan: i) Osapuolet ovat sopineet henkilötietojen käsittelemiseen liittyvän Sopimuksen päättymisessä ja varmistaneet asiaan kuuluvien henkilötietojen palauttamisesta rekisterinpitäjälle (tai poistamisesta, tilanteesta riippuen) tai ovat sopineet Sopimuksen siirtämisestä uudelle palveluntarjoajalle, joka ei kestä yhdessäkään tapauksessa pitempään kuin kolme (3) kuukautta aloittaen päivästä, jolloin Rekisterinpitäjä on saanut vastaavan hakemuksen, tai ii) Osapuolet ovat sopineet, miten Sopimuksen noudattaminen jatkuu, muun muassa asianmukaiset kustannukset ja Rekisterinpitäjän kannalta kohtuullisesti hyväksyttävällä tavalla.
6.4. Xxx xxxxxxxxxxxxx, joka on kolmas henkilö, ja toimii käsittelijänä, ei noudata sovellettavia tietosuojasäädöksiä tai ei noudata Henkilötietojen käsittelijän kanssa solmittuja sopimuksesta johtuvia tietosuojavelvollisuuksia, Henkilötietojen käsittelijä ottaa täyden vastuun Rekisterinpitäjän osalta sovellettavista tietossuojasäädöksistä ja vastaavasta sopimuksesta johtuvien kolmannen henkilön velvollisuuksien hoitamisesta.
7. Henkilötietojen käsittelemisen päättyminen
7.1. Jos henkilötietojen käsittely Sopimuksen perusteella ei ole enää tarpeen tai jos vastaava Sopimus päättyy tai irtisanotaan, Henkilötietojen käsittelijä poistaa tai palauttaa Rekisterinpitäjälle viime mainitun päätöksen nojalla kaikki henkilötiedot, joita Henkilötietojen käsittelijä on Sopimuksen perusteella käsitellyt, paitsi jos sovellettavat tietosuojasäädöksissä on toisin säädetty. Henkilötietojen käsittelijä vahvistaa rekisterinpitäjän vaatimuksesta henkilötietojen poistamisen jälkeen välittömästi henkilötiedot poistetun.
7.2. Jos Rekisterinpitäjä vaatii henkilötietojen palauttamista, Henkilötietojen käsittelijä palauttaa kaikki henkilötiedot Rekisterinpitäjän toivomalla tavalla ja muodossa ja poistaa sen jälkeen niiden kaikki kopiot.
8. Korvaukset ja vastuu
8.1. Tässä kohdassa säädettyjä vastuista ja niiden rajoituksia sovelletaan Palveluehdoissa säädettyjen Osapuolten vastuuta ja vahingon korvaamisen säädöksien lisäksi ja niiden perusteella.
8.2. Korvaus henkilötietojen suojaamisesta
8.2.1. Riippumatta Sopimukseen sisältyvistä mahdollisista ristiriitaisista säädöksistä, jotka koskevat Henkilötietojen käsittelijän vastuista tai korvaamisen velvollisuutta, on selkeästi sovittu, että jos Henkilötietojen käsittelijä laiminlyö Sopimuksesta ja/tai tästä tiedonkäsittelysopimuksesta johtuvia luottamuksellisuuteen, turvallisuuteen ja/tai henkilötietojen suojaan liittyvää velvollisuutta liittyen Rekisterinpitäjän (tai Rekisterinpitäjän asiakkaan) nimissä Sopimuksen perusteella käsiteltäviin henkilötietoihin, Henkilötietojen käsittelijä puolustaa Rekisterinpitäjää seuraavilta ja korvaa siihen liittyvän vahingon (joiden käsitellään olevan tiedonkäsittelysopimuksen tarkoituksessa välittömänä vahinkona):
8.2.1.1. tällaisesta laiminlyönnistä johtuvat hallitusten, valvontaviranomaisten, valtion elinten tai toimeenpanevien laitosten sakot tai rangaistukset;
8.2.1.2. summat, jotka on maksettu kolmansille henkilöille, joiden oikeuksia on loukattu (joihin saattavat lukeutua rekisteröidyt, Rekisterinpitäjän asiakkaat, työntekijät, esimiehet ja konsultit) vahingonkorvauksena tai sopimussakkona, määritellään laiminlyönnin perusteella;
8.2.1.3. vaadittavan laiminlyönti-ilmoitukseen (tai ilmoitukseen liittyvien vastausten) kulut, jotka ovat syntyneet henkilöille, joiden oikeuksia on loukattu, valtion virastoille, valvontaviranomaisille ja/muille valtion elimille tai laitoksille;
8.2.2. Edellä mainittuja Henkilötietojen käsittelijälle korvauksen maksamisen rajoituksia ei sovelleta rajoituksiin, jotka johtuvat tahallisesta laiminlyömisestä, törkeästä huolimattomuudesta, terveyshaitan aiheuttamisesta tai laissa säädetystä vastuusta.
8.2.3. Henkilötietojen käsittelijä ilmoittaa viipymättä Rekisterinpitäjälle siitä, jos hänen suhteen on aloitettu menettely, joka saattaa aiheuttaa korvausvaatimuksen nostamisen tai sakon EU-lainsäädännön nojalla tai tietosuojan yleisasetusta täydentävien kansallisen lainsäädännön nojalla. Tällaisen menettelyn aloittamisen tapauksessa on Henkilötietojen käsittelijä velvoitettu: (a) ilmoittamaan Rekisterinpitäjälle tapaukseen liittyvät yksityiskohdat (mm. yksittäiseen laiminlyöntiin liittyvät syytteet); (b) antaa Rekisterinpitäjälle tietoja ja tarjoaa apuaan, jota Rekisterinpitäjä pyytää; ja (c) ei estä eikä kiistä Rekisterinpitäjän aktiivista osallistumista menettelyyn (käyttämällä oikeusapua omalla kustannuksellaan).
8.3. Vastuu
8.3.1. Riippumatta Sopimukseen sisältyvistä mahdollisista ristiriitaisista säädöksistä, jotka koskevat Henkilötietojen käsittelijän vastuuta tai korvaamisen velvollisuuttaa, on selkeästi sovittu, että Henkilötietojen käsittelijä on vastuussa ilman rajoituksia kaikista vaatimuksista, vahingoista, sakoista, rangaistuksista, kuluista, kustannuksista, summista ja palkkioista, jotka ovat syntyneet Rekisterinpitäjälle, Rekisterinpitäjän asiakkaalle tai yhteistyökumppanille Henkilötietojen käsittelijän tai hänen työntekijänsä tai alihankkijansa toiminnalla, joka on ristiriidassa tähän tiedonkäsittelysopimukseen , Sopimukseen ja/tai Sovellettaviin tietosuojasäädöksiin nähden, johtuen Henkilötietojen käsittelijän korvausvelvollisuudesta edellä mainittujen henkilötietojen suojaamisen korvauksen säädöksen perusteella.
8.3.2. Edellä mainitut velvollisuudet jäävät voimaan tämän tiedonkäsittelysopimuksen ja/tai Sopimuksen päättymisen tai irtisanomisen jälkeen.
9. Määräaika
Tämä tiedonkäsittelysopimus on voimassa siihen saakka, kunnes Henkilötietojen käsittelijä käsittelee sopimuksen perusteella henkilötietoja Rekisterinpitäjän nimissä.
10. Ehdotukset, tiedustelut, valitukset
Pyydämme lähettämään kaikki ehdotukset, tiedustelut ja valitukset sähköpostiosoitteeseen xxxx@xxxx.xx.
11. Erimielisyyksien selvittäminen
Palveluehdoista ja tiedonkäsittelyehdoista johtuvat tai niihin liittyvät erimielisyydet pyritään ratkaisemaan keskinäisissä neuvotteluissa. Jos neuvottelut eivät ole tuloksellisia, Osapuolet hyväksyvät, että tähän sopimukseen liittyvät erimielisyydet ratkaistaan Harjun käräjäoikeudessa Viron lainsäädännön nojalla.
LIITE A OPIQ Palvelun Tiedonkäsittelysopimukseen
OPIQ palvelun ja lisäpalveluiden puitteissa Henkilötietojen käsittelijä toimesta käsiteltävien henkilötietojen luokitusten, rekisteröityjen luokitusten, käsittelemisen tavoitteiden, alihankkijana toimivien käsittelijöiden, tietojen säilytysmääräaikojen ja turvallisuustoimenpiteiden kuvaus.
Alla oleva listan sisältö riippuu jokaisen yksittäisen rekisteröidyn osalta valituista palveluista ja niiden käyttöön liittyvistä yksityiskohdista.
1. Henkilötiedot ja niiden käsittelemisen tavoitteet
1.1. Henkilötietojen käsitteleminen perustuu OPIQ:in toimesta asiakkaalle sopimuksen mukaisen palvelun toteuttamiseen, OPIQ:in oikeutettuun etuun ja käyttäjältä saadun suostumukseen, jos laissa on säädetty suostumuksen pyytämisen velvollisuudesta (erityisesti markkinointiin liittyvät tiedotteet).
1.2. Seuraavissa lueteltuina henkilötietojen käsittelemisen tavoitteina ovat sopimuksen mukaisen käyttäjätilin perustaminen ja hallinnointi, sopimuksen mukaisen palvelun tarjoaminen sekä sen laadukkuuden ja käyttömukavuuden tarjoaminen, käyttäjien tunnistaminen ja tarvittaessa Asiakkaan kanssa sovittu yhdistäminen, yhteydenotto käyttäjään, tekijänpalkkioiden kirjanpito, verkkokaupan tilausten hallinta ja laskutukset, tilastot, kirjanpito, markkinointi, käyttäjätuki, turvallisuusvaatimusten noudattaminen, palveluntarjoajien välinen palvelun toimiminen.
2. Käsiteltävät henkilötiedot
2.1. Tilin perustaminen, tilin tiedot ja siihen liittyvät tiedot (etu- ja sukunimi, henkilötunnus, sähköpostiosoite, puhelinnumero, laitteisto, rooli, oppiaineet, opetusryhmät, käyttäjän oppilaitos ja luokka, kutsu toiselta käyttäjältä + kutsujan tiedot, palvelun käyttämisen aika ja käyttäjän IP-osoite).
2.2. Stuudiumin avain, sosiaalisen median avain Facebookissa ja Googlessa, E-koulun tilin avain, käyttäjätunnus ja sähköpostiosoite, HarID tilin avain, käyttäjätunnus, sähköpostiosoite, henkilötunnus.
2.3. Lisenssi OPIQ:issa.
2.4. OPIQ:in käyttölokit.
2.5. Käyttäjän lisäämä opetusaineisto (tiedosto, teksti), opetusaineistossa ratkaistujen tehtävien vastauksen, opetusaineistoon liitetyt merkinnät ja kommentit.
2.6. Oppilaan suorituksia koskevat tiedot (oppilaan vastaukset tehtävään, automaattisesti tarkistettu palaute, opettajan palaute vastauksen korjauksiin, arvosanana tai muulla tavoin).
2.7. Luodut/muutetut päiväkirjat.
2.8. Käsiteltyä opetusaineistoa koskevat tiedot, tehtävät ja kirjamerkit opetusaineistossa.
2.9. CMS (content managment system) tekijän, toimittajan ym. etu- ja sukunimi, sähköpostiosoite, työpaikka (kustantamo), jonka kanssa OPIQ:illa on sopimussuhde.
2.10. Kirjanpitotiedot (yksityisen käyttäjän maksamat laskut nimeltä mainittuna, lisenssin voimassaolon määräaika). Maksupalvelun käyttämisen tapauksessa myös käyttäjän pankkitilin numero.
2.11. Käyttöön liittyvät merkinnät, mm. selailun historia, interaktiivisten komponenttien käytön historia;
2.12. Käyttäjätuen yhteydenottojen historia;
2.13. Xxxxxxx, kyselyiden historia, selailun historia, interaktiivisten komponenttien käytön historia
3. Rekisteröidyt
3.1. Oppilas
3.2. Vanhempi
3.3. Opettaja
3.4. Oikeushenkilön edustaja (koulu tai kunnanhallitus)
3.5. Yksityinen käyttäjä
3.6. OPIQ verkkosivulla vieraileva henkilö
3.7. Verkkokaupan tilaaja/ostaja
3.8. Opetusaineiston tekijät, kielitoimittajat, suunnittelijat, tekniset toimittajat
4. Pääsy henkilötietojen käsittelemiseen
4.1. Pääsy OPIQ:ssä oleviin henkilötietoihin on rajoitettu seuraavasti:
4.1.1. Jos OPIQ:in käyttäjänä on koulu valtuuttamansa edustajan kautta, niin hänellä on pääsy seuraaviin tietoihin: oppilaan nimi, luokanopettajan nimi, aineopettajan nimi, luokka (luokkakurssi), sähköposti ja oppilaan OPIQ:in päiväkirjoissa käyttämät opetussarjat;
4.1.2. Koulun opettajalla, joka käyttää OPIQ:ia, on pääsy omaan aineeseen liittyviin seuraaviin tietoihin: päiväkirjan oppilaiden nimilista, koulun oppilaiden sähköpostiosoitteet ja oman aineensa oppimistehtäviä koskevat tiedot sekä niiden tulokset ja suoritukset (tilastot);
4.1.3. Luokanopettajan statuksessa olevalla koulun opettajalla on pääsy oman aineeseen liittyvien opettajan oikeuksien lisäksi pääsy seuraavien tietojen käyttämiseen: omaan luokkaansa liittyvien kaikkien päiväkirjojen lista (myöhemmin myös työt ja tilastot);
4.1.4. OPIQ:ia käyttävällä oppilaalla on pääsy omiin tietoihin, omaan opetusaineistoon, lähetettyihin (määriteltyihin) oppimistehtäviin ja niiden tilastoihin. Oppilaan on mahdollista sitoa tiliinsä omat vanhempansa;
4.1.5. Vanhemmalla on pääsy omiin tietoihin, lapsen opetusaineistoon, annettuihin tehtäviin ja niiden tuloksiin. Vanhempi ei voi merkata eikä lisätä opetusaineistoa tai ratkaista tai lähettää oppilaalle annettuja tehtäviä.
5. Henkilötietojen säilyttämisen määräajat
5.1. Tietojen poistaminen tapahtuu automaattisesti käsittelyn tarkoituksen toteutumisen. Poistaminen riippuu säännönmukaisesti Asiakkaan kanssa tehdyn sopimuksen ehdoista tai Asiakkaan toimesta suoristetusta poistamisesta.
5.2. Viron tasavallan lainsäädännöstä johtuvien velvollisuuksien noudattamisen ja sen johdosta asetetun määräajan osalta sovelletaan laissa säädettyä määräaikaa (esim. kirjanpitolain mukaan 7 vuotta + meneillään oleva tilikausi).
5.3. OPIQ:in käyttäjä henkilötiedot poistetaan 5 vuoden kuluttua oppimisen päättymisen jälkeen. Tilien viiden vuoden ajan säilyttämisen tavoitteena on tukea oppijaa halutessa ylioppilaaksi kirjoittamisen jälkeen (mm. yliopistossa opiskelemisen tai ammattikoulutuksen hankkimisen yhteydessä) tai jos koulunkäynti katkeaa, on mahdollista käyttää OPIQ:in tallennettuja tietoja. Tämä ominaisuus tukee oppimispolun jatkumista tai palaamista siihen.
5.4. Henkilötietojen poistaminen tapahtuu rekisteröidyn kirjallisen hakemuksen nojalla paitsi laissa säädetyn säilyttämisvelvollisuuden alla olevien tietojen ja Asiakkaan (koulu tai kunnanhallitus) ilmoittamat poistamislupaa edellyttävien tietojen kohdalla.
5.5. Jos mahdollista, sovelletaan tietojen pseudonymisointia, jossa tavoitteeseen voi päästä myös pseudonymisoiduilla tiedoilla.
5.6. Toimintalokeja säilytetään turvallisuuden varmistamisesta johtuen 1 vuoden ajan.
6. Henkilötietojen alihankkijana toimivat käsittelijät
6.1. Agile Works AS; xxx.xxxxxxxxxx.xx
6.2. Microsoft Azure (Cloud Computing Platform & Services), xxxxx.xxxxxxxxx.xxx/xx-xx/
6.3. ElasticSearch, xxx.xxxxxxx.xx/
6.4. SendGrid, xxxxxxxx.xxx
6.5. Confluent Cloud Kafka, xxx.xxxxxxxxx.xx/
6.6. Google Analytics, xxxxx://xxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xxx/xxxxxxxxx/#/xxxxxxxxx
6.7. Star Cloud on henkilötietojen rekisterinpitäjä (tilanne, jossa Star Xxxxx käsittelee henkilötietoja itselleen asetettujen tavoitteiden toteuttamiseen) antaa käyttäjiä koskevia tietoja kolmansille henkilöille vain seuraavissa tapauksissa:
6.7.1. tietoja vaaditaan riita-asian tai rikoksen oikeusmenettelyä varten;
6.7.2. Henkilötietojen siirtäminen Euroopan unionin ulkopuolelle tapahtuu tietosuojan yleisasetuksessa säädettyjä vaatimuksia noudattaen. Euroopan unionissa voimassa oleva tietosuojan taso varmistetaan tietosuojasopimuksen yleisehdoilla (SCC).
7. Turvallisuustoimenpiteet
OPIQ käyttää uusimpia pilviteknologioita ja kaikkein tiukimpia turvallisuusvaatimuksia. Käytössä ovat muun muassa pääsyn hallinta, tunnistuspalvelut, tietojen kryptaus, turvallisuustesti yms. Tarkemman turvallisuustoimenpiteiden kuvauksen osalta saa tietoja Star Cloudilta.
8. Yhteystiedot
OPIQ palveluntarjoaja on Star Cloud OÜ, kaupparekisteritunnus 12731921. sähköposti xxxx@xxxx.xx, puh. x000 0000 0000.