Tietojenkäsittelysopimus – CSC:n tutkimuksen ja opetuksen palvelut
Tietojenkäsittelysopimus – CSC:n tutkimuksen ja opetuksen palvelut
Voimassa: 23.5.2022 alkaen
1. SOPIMUKSEN TAUSTA
Käyttäessä toisen organisaation tarjoamaa palvelua henkilötietojen käsittelyyn, on käsittelystä sovittava kirjallisella sopimuksella. EU:n yleisessä tietosuoja-asetuksessa (2016/679) on määritelty, mistä asioista sopimuksessa on sovittava. Sen vuoksi tämä tietojenkäsittelysopimus on pakollinen osa CSC:n Tutkimuksen ja opetuksen palvelujen yleisiä käyttöehtoja, jos käsittelet palveluissa henkilötietoja.
2. SOPIMUKSEN TARKOITUS JA KOHDE
2.1. Tässä tietojenkäsittelysopimuksessa (jäljempänä "sopimus") sovitaan CSC – Tieteen tietotekniikan keskus Oy:n (jäljempänä "CSC") ja rekisterinpitäjän välisistä oikeuksista ja velvollisuuksista EU:n yleisen tietosuoja-asetuksen (2016/679; xxxxx://xxx- xxx.xxxxxx.xx/xxx/xxx/0000/000) 28 artiklan edellyttämällä tavalla, kun CSC käsittelee rekisterinpitäjän puolesta henkilötietoja CSC:n tutkimuksen ja opetuksen palveluissa. Tätä sopimusta ei sovelleta henkilötietojen käsittelyyn muissa yhteyksissä. Tämä sopimus on erottamaton osa palvelun käytöstä tehtävää sopimusta (joka muodostuu yleisistä käyttöehdoista, palvelukohtaisista käyttöehdoista ja tästä sopimuksesta), jolla Käyttäjä voi tallentaa ja käsitellä henkilötietoja sisältävää Sisältöä CSC:n tutkimuksen ja opetuksen palvelussa. Henkilötietojen käsittelyssä noudatetaan ensisijaisesti tätä sopimusta, jos muu sopimus tai ohje on sen kanssa ristiriidassa.
2.2. Tämän sopimuksen henkilötietojen käsittelyyn liittyvät käsitteet, kuten ”henkilötieto”, ”rekisterinpitäjä” ja ”käsittelijä”, vastaavat tietosuoja-asetuksen määritelmiä.
2.3. CSC toimii sisällön henkilötietojen käsittelijänä rekisterinpitäjän lukuun, ellei nimenomaisesti muuta sovita.
2.4. Käsiteltävät henkilötiedot ovat rekisterinpitäjän tai rekisterinpitäjän valtuuttaman tahon CSC:n tutkimuksen ja opetuksen palveluihin tallentaman sisällön henkilötietoja.
2.5. CSC:n käsittelee henkilötietoja CSC:n tutkimuksen ja opetuksen palveluiden toteuttamiseksi.
2.6. Tämän sopimuksen hyväksyvä henkilö toimittaa kirjallisesti CSC:lle seuraavat tiedot:
• Käsiteltävien henkilötietojen rekisterinpitäjän nimi ja yhteystiedot
• Käsiteltävien henkilötietojen tyypit ja rekisteröityjen ryhmät
2.7. Tämän sopimuksen mukaiset henkilötietojen käsittelyä koskevat ilmoitukset lähetetään sähköisesti rekisterinpitäjälle, jos muuta yhteystietoa ei ole ilmoitettu.
2.8. Tämän sopimuksen hyväksyjä sitoutuu ilmoittamaan kirjallisesti kohtien 2.6 ja 2.7 tietojen muutokset CSC:lle.
2.9. Palvelun käyttäjä vastaa tallentamansa sisällön laillisuudesta, luotettavuudesta, eheydestä, täsmällisyydestä ja laadusta.
2.10. CSC ottaa käsittelyssä huomioon kaikki rekisterinpitäjän toimittamat ohjeet. CSC käsittelee henkilötietoja vain tämän sopimuksen ja rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti.
2.11. Jos EU:n oikeudessa tai sen jäsenvaltion lainsäädännössä edellytetään toimenpiteitä tämän sopimuksen perusteella käsiteltäviin henkilötietoihin, CSC ilmoittaa tällaisesta vaatimuksesta rekisterinpitäjälle ennen toimenpiteiden aloittamista, ellei ilmoittaminen ole lain mukaan kiellettyä yleistä etua koskevien tärkeiden syiden vuoksi.
3. KÄSITTELYN TURVALLISUUS
3.1. Sekä rekisterinpitäjän että henkilötietojen käsittelijän on toteutettava tarpeelliset tekniset ja hallinnolliset toimenpiteet käsittelyn turvallisuuden varmistamiseksi. CSC:n toteuttamat toimenpiteet riippuvat käytettävästä palvelusta. CSC antaa pyynnöstä lisätietoja tässä sopimuksessa määriteltyihin käsittelytoimiin sovellettavista teknisistä ja hallinnollisista turvatoimista.
3.2. Rekisterinpitäjä tai rekisterinpitäjän valtuuttama osapuoli ei saa toimittaa CSC:n käsiteltäväksi sellaisia arkaluonteisia tai erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, joiden käsittely edellyttäisi CSC:ltä palveluehdoista poikkeavia tai niitä täydentäviä erityisiä tietoturva- tai tietosuojavelvoitteita, ellei palvelun käytön sopimuksessa niin sovita.
3.3. Henkilötietojen käsittelijä noudattaa soveltuvia lakisääteisiä vaitiolo- ja salassapitovelvollisuuksia. Henkilötietojen käsittelijä varmistaa, että henkilöt, joilla on lupa käsitellä henkilötietoja, ovat sitoutuneet luottamuksellisuuteen tai että heillä on asianmukainen lakisääteinen salassapitovelvollisuus.
3.4. Henkilötietojen käsittelijä ei käsittele (eikä salli kolmannen osapuolen käsitellä) henkilötietoja Euroopan talousalueen ulkopuolella. Jos henkilötietoja halutaan siirtää Euroopan talousalueen ulkopuolelle, on siirrossa noudatettava tietosuoja-asetuksessa määriteltyjä tiedonsiirron periaatteita.
4. YHTEISTYÖ ERÄISSÄ TILANTEISSA
4.1. CSC avustaa rekisterinpitäjää mahdollisuuksien mukaan rekisteröityjen oikeuksien toteuttamisessa.
4.2. Jos rekisteröity esittää tämän sopimuksen kohteena olevia henkilötietoja koskevan pyyntönsä CSC:lle, CSC ilmoittaa siitä ilman aiheetonta viivytystä rekisterinpitäjälle. CSC ei toteuta rekisteröidyn pyyntöihin liittyviä toimenpiteitä ilman rekisterinpitäjän kirjallista ohjetta. CSC ohjaa rekisteröityä ottamaan yhteyttä rekisterinpitäjään.
4.3. CSC:ltä voidaan lain perusteella vaatia henkilötietoja koskevia toimenpiteitä, esimerkiksi haasteen tai muun oikeustoimen yhteydessä tai viranomaisen määräyksestä, kuten kansallinen turvallisuuden ollessa uhattuna tai rikosten selvittämiseksi. CSC ilmoittaa viipymättä rekisterinpitäjälle pyynnöistä päästä tietoihin, ellei ilmoittamista kielletä laissa.
4.4. CSC avustaa pyynnöstä rekisterinpitäjää mahdollisuuksien mukaan tietosuojasääntelyn edellyttämässä tietosuojan vaikutustenarvioinnissa. Avustamisessa huomioidaan henkilötietojen käsittelyn luonne ja saatavilla olevat tiedot.
4.5. Pyynnöstä CSC antaa rekisterinpitäjälle kaikki tiedot ja sallii sellaiset auditoinnit ja tarkastukset, jotka ovat tarpeen tämän sopimuksen noutamisen osoittamiseksi. Rekisterinpitäjällä on tiedonsaanti- ja auditointioikeus vain, jos riittävät tiedot eivät ole muutoin rekisterinpitäjän saatavilla ja auditointioikeus vain siinä laajuudessa kuin se on tarpeellista tietosuojalainsäädännön vaatimustenmukaisuuden osoittamiseksi. Osapuolet sopivat hyvissä ajoin etukäteen auditoinnin ajankohdan, suorittajan ja muut sen toteuttamiseen liittyvät asiat. Rekisterinpitäjä vastaa auditoinnin kustannuksista, ellei toisin sovita.
4.6. CSC ilmoittaa välittömästi rekisterinpitäjälle, jos rekisterinpitäjän antaman ohjeen epäillään olevan EU:n unionin tai jäsenvaltion tietosuojasäännöksen vastainen.
4.7. CSC ilmoittaa rekisterinpitäjälle ilman aiheetonta viivytystä tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta, joka kohdistuu tämän sopimuksen perusteella käsiteltävään henkilötietoon. Ilmoitus sisältää vähintään seuraavat tiedot:
1. Kuvaus tapahtuneesta henkilötietojen tietoturvaloukkauksesta.
2. Xxxxxx tämän sopimuksen perusteella suoritetuista käsittelytoimista.
3. Kuvaus henkilötietojen tietoturvaloukkauksen johdosta toteutetuista toimenpiteistä.
4. CSC:n tietosuojavastaavan yhteystiedot tai muu yhteyspiste, joista voi saada lisätietoja tapahtuneesta henkilötietojen tietoturvaloukkauksesta.
4.8. Edellisessä kohdassa mainittujen tietojen lisäksi CSC antaa rekisterinpitäjälle pyynnöstä hallussaan olevat ja käsittelyn luonteen kannalta tarpeelliset ja kohtuullisesti
toimitettavissa olevat tiedot, jotka rekisterinpitäjä tarvitsee tietoturvaloukkauksen selvittämiseksi ja mahdollisten haittavaikutusten lieventämiseksi.
5. ALIKÄSITTELIJÖIDEN KÄYTTÖ
5.1. Rekisterinpitäjä antaa ennakkoluvan CSC:lle käyttää alikäsittelijöitä, kun se on tarpeen palvelun toteuttamiseksi.
5.2. CSC antaa rekisterinpitäjälle pyynnöstä tiedon alikäsittelijöistä ja ilmoittaa alikäsittelijöihin suunnitelluista muutoksista. Rekisterinpitäjällä on oikeus irtisanoa palvelusopimus, jos se ei hyväksy alikäsittelijöitä.
5.3. Tässä sopimuksessa sovitut tietosuojavelvoitteet on asetettava sopimuksella koskemaan myös alikäsittelijöitä. Pyynnöstä CSC antaa rekisterinpitäjälle alikäsittelijän kanssa laaditusta sopimuksesta tiedot, jotka se tarvitsee tämän sopimuksen velvoitteiden arvioimiseksi. Rekisterinpitäjällä ei ole oikeutta alikäsittelijän kanssa sovitun sopimuksen luottamuksellisiin tai muihin kuin tämän sopimuksen noudattamisen arvioimiseksi tarvittaviin tietoihin.
6. SOPIMUKSEN VOIMASSAOLO JA MUUT EHDOT
6.1. Sopimus tulee voimaan sen hyväksymisestä alkaen ja on voimassa niin kauan kuin CSC käsittelee henkilötietoja rekisterinpitäjän puolesta.
6.2. Jos toinen osapuolista sopimuksen voimassaoloaikana katsoo, että käsittely ei ole enää perusteltua ja ilmoittaa siitä kirjallisesti toiselle osapuolelle, päättyy tämän sopimuksen mukainen käsittely. Sopimuksen päättyessä CSC poistaa palveluun tallennetut henkilötiedot ja niistä tehdyt jäljennykset ilman aiheetonta viivytystä, ellei CSC:n tutkimuksen ja opetuksen palvelun käytön sopimuksessa ole muuta sovittu.
6.3. CSC:n tutkimuksen ja opetuksen palveluja käyttävien henkilöiden yhteystiedot tallennetaan CSC:n ylläpitämään käyttäjärekisteriin. CSC toimii käyttäjärekisterin tietojen rekisterinpitäjänä. Tämän kohdan mukaisia henkilötietoja käsitellään tämän sopimuksen täytäntöönpanon mahdollistamiseksi.
6.4. Tämän sopimuksen hyväksyvä henkilö vakuuttaa, että hänellä on riittävät valtuudet sopia tämän sopimuksen edellyttämässä laajuudessa tietoihin liittyvistä oikeuksista ja henkilötietojen käsittelyn ehdoista.
6.5. Henkilötietojen käsittelijällä on oikeus muuttaa tätä sopimusta. Palvelun käytöstä sovittaessa käytettyä sopimuksen versiota sovelletaan, kunnes palvelun käytöstä tehty sopimus irtisanotaan tai uusitaan. Käsittelijä ylläpitää sopimuksen muutoshistoriaa. On suositeltavaa, että tämän sopimuksen hyväksyvä tallentaa hyväksymänsä sopimuksen rekisterinpitäjälle.
6.6. Tähän sopimukseen sovelletaan Suomen lakia.