Sopimus henkilötietojen käsittelystä
Sopimus henkilötietojen käsittelystä
1. Määritelmät
Tässä sopimuksessa tarkoitetaan
1. Henkilötiedolla kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
2. Käsittelyllä toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,
3. Laeilla henkilötietojen käsittelyä Suomessa sääteleviä lakeja ja säännöksiä, mukaan lukien Tietosuojalaki ja Tietoyhteiskuntakaari
4. Rekisterinpitäjällä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
5. Henkilötietojen käsittelijällä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
6. Tietoturvaloukkauksella tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,
7. Tuotteella tarkoitetaan
8. Palvelusopimuksella tarkoitetaan osapuolten välistä sopimusta tuotteiden toimituksesta.
2. Osapuolten roolit
Sopimuksen osapuolet:
Kunta/Koulu (jäljempänä Rekisterinpitäjä) sekä Yritys (jäljempänä Käsittelijä)
3. Käsittelyn tarkoitukset
Tässä sopimuksessa sovitaan Tuotteen käytön ja käsittelyn yhteydessä kertyvien henkilötietojen käsittelystä Käsittelijän toimesta Rekisterinpitäjän puolesta. Käsittelijä käsittelee henkilötietoja toimittaakseen Rekisterinpitäjälle Tuotetta siitä erikseen tehtävän sopimuksen voimassaoloajan. Henkilötietojen käsittelyn tarkoituksena on opetuksen tarjoamiseen liittyvän Tuotteen toimitus sekä tuotekehitys.
Selkeyden vuoksi todettakoon, että tämä sopimus ei rajoita Käsittelijän oikeutta käsitellä opettajien henkilötietoja markkinointiin ja tuoteinformaation välittämiseen, jolloin Käsittelijä toimii itsenäisesti rekisterinpitäjänä.
4. Käsiteltävät henkilötietotyypit ja rekisteröityjen ryhmät
Tuotteessa käsitellään muun muassa seuraavia oppilaiden, huoltajien ja opettajien henkilötietoja:
a) Kirjautumistietoja (käyttäjätunnus, salasana)
b) Yhteystietoja (nimi, osoite, sähköposti, puhelinnumero)
c) Oppilasprofiili (esim.koulu, luokka, ryhmä, demografiatiedot kuten kieli ja sukupuoli)
d) Kuva, video, ääni
e) Oppilaan tuottamaa sisältöä, kuten kuvia ja tekstiä
f) Xxxxxxxx muiden käyttäjien kanssa
g) Muistiinpanoja
h) Syntymäaika
i) Muu yksilöintitunnus kuten.oppilas ID
j) Oppimishistoria
k) Tilaustiedot
l) Suoritustiedot
m) Evästeillä kertyvät käyttötiedot
n) Lokitiedot
Tarkempi sisältö käsiteltävistä tiedoista on tarvittaessa erillisessä liitteessä. Tarpeettomat tietoryhmät yliviivataan ylläolevasta listasta.
Rekisterinpitäjä vastaa siitä, että palvelussa käytetyt henkilötiedot on Lakien mukaisesti kerätty, ja että se ohjeistaa Käsittelijää niiden käsittelystä kirjallisesti ja että ohjeistukset ovat lain mukaisia. Liitteessä on lueteltu ohjeistuksen antamiseen oikeutetut yhteyshenkilöt sekä Käsittelijän yhteystiedot ohjeistuksen vastaanottamista varten.
5. Yleiset käsittelyn edellytykset
Käsittelijä huolehtii henkilötietojen käsittelyn luottamuksellisuudesta ja sitoutuu käsittelemään henkilötietoja vain Rekisterinpitäjän ohjeiden mukaisesti tässä sopimuksessa mainittuihin tarkoituksiin. Käsittelijä vastaa siitä, että sen palveluksessa olevilla henkilöillä, jotka osallistuvat henkilötietojen käsittelyyn, on asianmukainen salassapitovelvollisuus.
Käsitellessään Tuotteen käytöstä kertyviä tietoja tuotekehitykseen Käsittelijä sitoutuu noudattamaan liitteenä olevia kustannusalalla sovellettavaa hyvää tapaa (Suomen Kustannusyhdistys 2018).
6. Käsittelijän käyttämät alihankkijat
Käsittelijä huolehtii siitä, että sen käyttämät alihankkijat, jotka käsittelevät Henkilötietoja sen puolesta, noudattavat tämän sopimuksen edellyttämää tietosuojan ja tietoturvan tasoa. Rekisterinpitäjä on hyväksynyt erillisessä liitteessä listatut alihankkijat. Mikäli Käsittelijän käyttämiin alihankkijoihin tulee muutoksia, Käsittelijä informoi Rekisterinpitäjää kirjallisesti etukäteen. Rekisterinpitäjä voi halutessaan vastustaa tietyn alihankkijan käyttöä.
7. Tietojen poisto
Tietojen poistossa noudatetaan kustannusalalla sovellettavaa hyvää tapaa (Suomen Kustannusyhdistys 2018). Käsittelijä sitoutuu poistamaan tai palauttamaan henkilötiedot sopimuksen päätyttyä rekisterinpitäjän pyynnöstä.
8. Tietojen luovutukset ja siirrot
Käsittelijä ei luovuta henkilötietoja kolmansille osapuolille, ellei siihen ole lakisääteistä perustetta. Mikäli käsittelijä joutuu luovuttamaan henkilötietoja pätevistä syistä esimerkiksi viranomaisille, Käsittelijä sitoutuu informoimaan Rekisterinpitäjää luovutuspyynnöstä etukäteen lain niin salliessa.
Mikäli käsittelijä tai sen alihankkija siirtää henkilötietoja Euroopan talousalueen ulkopuolelle, Käsittelijä sitoutuu huolehtimaan tietojen siirron laillisuudesta esimerkiksi käyttämällä Euroopan komission mallisopimuslausekkeita. Rekisterinpitäjä valtuuttaa Käsittelijän allekirjoittamaan Euroopan Komission mallisopimuslausekkeet henkilötietojen siirtoon tämän sopimuksen sitä edellyttäessä.
9. Tietoturva
Käsittelijä sitoutuu noudattamaan tarvittavia organisatorisia ja teknisiä toimenpiteitä tarvittavan tietoturvan takaamiseksi, soveltaen yleisesti tunnettuja hyviä käytäntöjä kuten ISO 27001 ja 27002 standardit.
10. Auditointioikeudet
Rekisterinpitäjällä on oikeus auditoida Käsittelijän henkilötietojen käsittelyyn liittyviä käytäntöjä, esimerkiksi tietoturvaprosesseja, joko itsenäisesti tai kolmannen osapuolen avulla. Käsittelijä sitoutuu avustamaan rekisterinpitäjää Käsittelyn auditoinnissa antamalla auditointiin tarvittavan dokumentaation sekä korjaamalla auditoinnissa havaitut merkittävät puutteet omalla kustannuksellaan kohtuullisessa ajassa.
11. Tietoturvaloukkausten käsittely
Havaitessaan tietoturvaloukkauksen omissa tai alihankkijansa järjestelmissä, Käsittelijä ilmoittaa siitä Rekisterinpitäjälle viipymättä sen tultua ilmi, sekä tukee Rekisterinpitäjää tarvittaessa tietoturvaloukkauksesta ilmoittamisessa tietosuojaviranomaisille ja rekisteröidyille sekä tekee tarvittavat korjaavat toimenpiteet.
12. Tietosuoja-asetuksen 35 artiklan edellyttämät vaikutustenarvioinnit
Mikäli henkilötietojen käsittely edellyttää Lakien mukaista tietosuojan vaikutusarviointia käsittelyn riskien tunnistamiseksi ja rekisteröidyn oikeuksien varmistamiseksi, Käsittelijä tukee Rekisterinpitäjää antamalla vaikutustenarviointiin tarvittavat tiedot omalta osaltaan.
13. Rekisteröityjen oikeudet
Käsittelijä tukee Rekisterinpitäjää Rekisteröidyn oikeuksien toteuttamisessa siltä osin kun tämä sopimus sitä edellyttää, esimerkiksi antamalla Rekisterinpitäjälle otteen Rekisteröidyn tiedoista tai poistamalla tämän tiedot Rekisterinpitäjän pyynnöstä.
14. Vahingonkorvaus ja vastuunrajoitus
Vahingonkorvausvelvollisuudet määrittyvät osapuolten välisen Palvelusopimuksen mukaan, ellei tämän sopimuksen liitteessä muuta sovita henkilötietojen käsittelyn osalta.
LIITTEET
- Käsittelijän käyttämät alihankkijat
- Rekisterinpitäjän ohjeistuksen antamiseen oikeutetut yhteyshenkilöt sekä Käsittelijän yhteystiedot ohjeistuksen vastaanottamista varten
- Oppimateriaaleihin liittyvien rekisterien pitämisen ja käsittelemisen hyvät tavat (Suomen Kustannusyhdistys) sellaisina kuin ne olivat allekirjoittamishetkellä (ilmentämään ainoastaan alalla vallitsevaa hyvää tapaa, ellei tässä sopimuksessa nimenomaisesti ole toisin mainittu)