Suomen Bioanalyytikkoliitto ry:n henkilötietojen käsittelyn yleiset ehdot Alueyhdistyksen kanssa

Suomen Bioanalyytikkoliitto ry:n henkilötietojen käsittelyn yleiset ehdot Alueyhdistyksen kanssa

Osapuolet

Suomen Bioanalyytikkoliitto ry (jäljempänä Liitto) Xxxxxxxxxxxxxxx 0 A

00520 Helsinki ja

Etelä-Karjalan Bioanalyytikot ry Kanta-Hämeen Bioanalyytikot ry Keski-Suomen Bioanalyytikot ry Kymen Bioanalyytikot ry Lakeuden Bioanalyytikot LaBit ry Pirkanmaan Bioanalyytikot ry Pohjois-Karjalan Bioanalyytikot ry

Pohjois-Suomen Bioanalyytikot PoSBit ry Päijät-Hämeen Bioanalyytikot ry Satakunnan Bioanalyytikot ry

Savon Bioanalyytikot ry Uudenmaan Bioanalyytikot ry

Vaasan Seudun Bioanalyytikot ry, Vasanejdens Bioanalytiker rf Varsinais-Suomen Bioanalyytikot ry

(jäljempänä Alueyhdistys)

1. Yleisten ehtojen tausta ja tarkoitus

Liitto on sosiaali- ja terveysalan ammattijärjestö, joka ajaa jäsentensä taloudellisia, ammatillisia, sosiaalisia ja oikeudellisia etuja. Liiton jäsenet kuuluvat aina paikalliseen Alueyhdistykseen, joka on itsenäinen yhdistys. Alueyhdistyksen jäsen on automaattisesti jäsenyytensä perusteella samalla myös Liiton jäsen.

Alueyhdistykset pitävät henkilörekisteriä jäsenistään. Liitto tarjoaa Alueyhdistykselle tämän palvelun. Alueyhdistyksen jäsenet ovat samalla myös Liiton jäseniä, jolloin Xxxxxx ylläpitää omaa jäsenrekisteriään, henkilörekisteriä. Näitä ehtoja ei sovelleta Xxxxxx omiin henkilörekistereihin, jolloin Liitto toimii itse rekisterinpitäjän ominaisuudessa.

Näitä ehtoja sovelletaan, kun Liitto toimii Alueyhdistyksen henkilörekisterin käsittelijänä ja Alueyhdistyksen henkilörekisterin pitäjänä. Osapuolet tiedostavat, että Liitto toimii samalla itsenäisenä oman henkilörekisterinsä rekisterinpitäjänä, koska samat henkilöjäsenet ovat samalla myös Liiton jäseniä ja ovat antaneet suostumuksensa henkilötietojensa luovuttamiseen Liitolle.

Liitto käyttää apunaan ulkopuolisia palveluntarjoajia, jotka tarkemmin suunnittelevat, toteuttavat ja toimittavat Liitolle IT-ratkaisuja ja/tai asiantuntijapalveluita. Kyseiset palvelut voivat sisältää sellaisia palveluita, jotka tulkitaan voimassa olevan lainsäädännön (kuten tietosuoja-asetus (EU) 2016/679, jäljempänä GDPR) mukaisesti henkilötietojen käsittelyiksi. Tällöin Liiton sopijakumppani toimii Liiton ohella Alueyhdistyksen henkilötietojen käsittelijänä Liiton ja palveluntarjoajan välisen sopimuksen perusteella.

Näissä yleisissä ehdoissa on määritelty lainsäädännön vaatimusten täyttämisestä sekä osapuolten keskinäisistä oikeuksista ja velvollisuuksista koskien Alueyhdistyksen jäsenrekisterin henkilötietojen käsittelyä.

Osapuolet ymmärtävät, että asiaa koskeva lainsäädäntö on osittain uutta ja sen soveltamisesta ei ole vielä olemassa tarvittavaa oikeuskäytäntöä ja viranomaistulkintaa. Tästä johtuen Liitolla on oikeus muuttaa näitä ehtoja tarpeellisilta osin ilmoittamalla siitä Alueyhdistykselle etukäteen ennen uusien ehtojen voimaantuloa.

2. Henkilötietojen käsittely

Alueyhdistys toimii omiin henkilörekistereihinsä kuuluvien henkilötietojen osalta rekisterinpitäjänä ja Liitto on tällaisten henkilötietojen käsittelijä. Liitto säilöö ja siinä yhteydessä käsittelee Alueyhdistyksen lukuun alueyhdistykseltä saatuja henkilötietoja. Henkilötiedolla tässä sopimuksessa tarkoitetaan sellaista tietoa, joka koskee tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä.

Alueyhdistyksellä on oikeus – siitä etukäteen Xxxxxx kanssa sopien – tarkastaa, että Liiton tässä sopimuksessa sovittu toiminta vastaa sovittua ja täyttää lainsäädännön henkilötietojen käsittelyä koskevat vaatimukset.

2.1. Alueyhdistyksen velvollisuudet

Alueyhdistys on rekisterinpitäjänä vastuussa siitä, että sillä on tarvittavat oikeudet ja että se on hankkinut tarvittavat suostumukset henkilötietojen keräämiseen, tallettamiseen, käsittelyyn sekä niiden mahdolliseen luovuttamiseen. Alueyhdistys vastaa tietosuoja- ja/tai rekisteriselosteen laatimisesta, päivittämisestä ja saatavilla pidosta, rekisteröityjen informoinnista, tarkastusoikeuden toteuttamisesta ja muutoinkin henkilötietojen käsittelyn lainmukaisuudesta. Alueyhdistys sitoutuu noudattamaan Suomessa ja Euroopan Unionissa kulloinkin voimassa olevaa henkilötietojen käsittelyä koskevaa lainsäädäntöä. Liitto voi avustaa Alueyhdistystä tässä kappaleessa kuvattujen velvollisuuksien hoitamisessa tarpeen mukaan.

Alueyhdistyksen tulee viipymättä ja viimeistään 24 h kuluessa ilmoittaa Liitolle rekisteröidyn pyynnöistä koskien hänen oikeuksiensa käyttämistä, mikäli pyyntö edellyttää toimia, joihin Liiton on ryhdyttävä.

2.2. Liiton velvollisuudet

Liiton tulee käsitellä, säilöä ja mahdollisesti siirtää Alueyhdistyksen henkilörekisteriä ja -tietoja Alueyhdistyksen kirjallisia dokumentoituja ohjeita ja voimassaolevaa lainsäädäntöä noudattaen sekä suojata tietojen käsittely alalla vallitsevan tavan ja omien tietoturvakäytänteidensä mukaisesti. Tietoja ei siirretä EU/ETA -alueen ulkopuolelle ilman Alueyhdistyksen antamaa etukäteistä kirjallista lupaa. Liiton tulee lisäksi käsitellä Alueyhdistyksen henkilötietoja ja muita tietoja vain siltä osin ja siten kuin se on tarpeellista. Liiton varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

Liitto avustaa Alueyhdistystä mahdollisuuksien mukaan täyttämään Alueyhdistyksen velvollisuuden vastata GDPR:ssä määriteltyihin pyyntöihin, koskien rekisteröidyn oikeuksien käyttämistä, kuten:

a) oikeus saada pääsy henkilötietoihin;

b) oikeus henkilötietojen oikaisemiseen ja poistamiseen;

c) oikeus henkilötiedon käsittelyn rajoittamiseen;

d) oikeus siirtää henkilötietoja järjestelmästä toiseen;

e) oikeus vastustaa henkilötietojen käsittelyä.

sekä GDPR:ssä määriteltyjen rekisterinpitäjän velvollisuuksien täyttämisessä, kuten:

f) asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen;

g) avustaminen tietoturvaloukkauksista ilmoittamisessa valvontaviranomaiselle ja rekisteröidylle;

h) osallistuminen tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin tekemiseen ja valvontaviranomaisen ennakkokuulemiseen.

Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja

vakavuudeltaan vaihtelevat riskit Liiton on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten:

i) henkilötietojen pseudonymisointi ja xxxxxx;

j) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

k) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

l) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Liitto avustaa yllä mainituissa tapauksissa Alueyhdistystä tämän esittämän pyynnön ja ilmoittamien tietojen perusteella käyttäen omia teknisiä ratkaisuja ja tietoturvaohjeitaan. Liitto ilmoittaa Alueyhdistykselle, mikäli rekisteröity on ilmoittanut suoraan Liitolle oikeuksiensa käyttämisestä. Osapuolet sopivat tapauskohtaisesti siitä, miten tällaisiin pyyntöihin reagoidaan käytännössä ja kumpi taho pyyntöihin vastaa.

3. Tietoturvaloukkaukset

Liiton on ilmoitettava henkilötietojen tietoturvaloukkauksesta Alueyhdistykselle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Mikäli Alueyhdistys havaitsee tietoturvaloukkauksen, tulee tämän ilmoittaa siitä Liitolle ilman aiheetonta viivästystä.

Liiton Alueyhdistykselle antamassa ilmoituksessa on:

a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Mikäli tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

Alueyhdistyksen on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Alueyhdistys vastaa tarvittavien ilmoitusten tekemisestä viranomaiselle. Liitto voi avustaa Alueyhdistystä tässä kappaleessa kuvattujen velvollisuuksien hoitamisessa tarpeen mukaan.

Mikäli tietoturvaloukkaus johtuu Alueyhdistyksen vastuulla olevasta seikasta, Liitolla on oikeus laskuttaa Alueyhdistystä loukkauksesta ja sen selvittämisestä aiheutuvista kustannuksista.

4. Alihankkijat

Liitolla on oikeus käyttää alihankkijoita tässä sopimuksessa kuvattujen palveluiden toteuttamisessa. Liitto ilmoittaa Alueyhdistykselle käyttämistään alihankkijoista sekä alihankkijan mahdollisesta vaihtamisesta. Alueyhdistyksellä on oikeus perustellusta syystä vastustaa tietyn alihankkijan käyttämistä. Mikäli Alueyhdistys perustellusta syystä vastustaa tietyn alihankkijan käyttämistä, Liitto sitoutuu kohtuullisen ajan kuluessa vaihtamaan alihankkijan. Liitto vastaa aina käyttämistään alihankkijoista ja siitä, että alihankkija käsittelee henkilötietoja voimassaolevan lain ja tämän sopimuksen ehtojen mukaisesti.

5. Seloste käsittelytoimista

Liitto ylläpitää sähköisessä muodossa selostetta kaikista alueyhdistyksien lukuun suoritettavista käsittelytoimista niin että seloste käsittää seuraavat tiedot:

a) henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot;

b) kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät;

c) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto;

d) mahdollisuuksien mukaan yleinen kuvaus teknisistä ja organisatorisista turvatoimista.

6. Vastuunrajoitus

Kumpikin osapuoli vastaa itsenäisesti lainsäädännön mukaisista vastuistaan. Kumpikaan osapuolista ei ole vastuussa välillisistä vahingoista tai kolmansille osapuolille aiheutuneista vahingoista, mikäli tällaista vahinkoa ei ole aiheutettu tahallaan tai tärkeällä tuottamuksella.

7. Ehtojen voimassaolo

Nämä yleiset ehdot astuvat voimaan, kun ne on toimitettu Alueyhdistykselle ja ne ovat voimassa niin kauan, kuin Liitto suorittaa Alueyhdistykselle näitä palveluja, joiden johdosta Liiton voidaan katsoa toimivan Alueyhdistyksen henkilörekisterin rekisteritietojen käsittelijänä.

Henkilötietojen käsittelyn päättyessä Liitto palauttaa tai Alueyhdistyksen pyynnöstä tuhoaa kaikki Liiton halussa olevat Alueyhdistyksen lukuun käsittelemät henkilötiedot, mikäli tällaisia tietoja ei ole lain mukaan säilytettävä tai ne eivät sisälly Liiton omiin rekistereihin.

Helsingissä, 19. päivänä toukokuuta 2018