KÄSITTELYTOIMIEN KUVAUS

KÄSITTELYTOIMIEN KUVAUS

Päivitetty: 3.10.2022

1. Sopijapuolet

Tilaaja: Ilmatieteenlaitos (Y-tunnus: 0244664-7)

Toimittaja: CSC – Tieteen tietotekniikan keskus Oy (Y-tunnus: 0920632-0)

2. Dokumentin tarkoitus

Tilaaja on tehnyt CSC – Tieteen tietotekniikan keskus Oy:n (jäljempänä ”CSC” tai ”Toimittaja”) kanssa sopimuksen EUDAT B2SHARE PREMIUM -PALVELU (sopimusnumero CNTR0017560), jonka yhteydessä suoritetaan sellaista palvelua, jossa Toimittaja toimii Xxxxxxxx ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä.

Palvelu	Rekisterinpitäjä	Käsittelijä
EUDAT B2SHARE Premium -palvelu	Ilmatieteenlaitos	CSC

Tässä dokumentissa kuvataan käsittelytoimet, joita Toimittaja henkilötietojen käsittelijänä tekee Xxxxxxxx puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämä dokumentti liitetään sopimuksen liitteeksi.

Palvelujen luonteen vuoksi Tilaaja hyväksyy sen, että Toimittaja ei pysty tarkistamaan Palvelua toteuttaessaan, sisältyykö Palvelun toteuttamiseen muuta Tilaajan rekistereihin kuuluvien Henkilötietojen käsittelyä kuin alla on määritelty. Rekisterinpitäjänä Xxxxxxxx velvollisuutena on toimittaa Toimittajalle luettelo niistä Henkilötietojen Tyypeistä, joihin Toimittajalla voi olla pääsy Palvelun aikana sekä pitää tämä luettelo ajantasaisena. Xxx Xxxxxxx ei ole antanut muita ohjeita, oletuksena on, että Toimittaja voi käsitellä Xxxxxxxx toteuttamiseksi, vaikka vain satunnaisestikin, Palveluun tallennettuja Henkilötietoja siinä laajuudessa kuin se on Palvelun toteuttamiseksi välttämätöntä.

Jos alla oleviin luetteloihin (Henkilötietojen rekisteröityjen ryhmät ja Henkilötietojen tyypit) tehtävät muutokset edellyttävät muutoksia sovittuun käsittelyyn, Tilaaja toimittaa Toimittajalle lisäohjeita käsittelystä.

3. Henkilötietojen tyypit ja rekisteröityjen ryhmät

Sopijapuolet ovat sopineet, että Toimittaja käsittelee Xxxxxxxx puolesta sopimuksessa sovitun palvelun tuottamiseksi seuraavia Tilaajan henkilörekisteriin kuuluvia henkilötietoryhmiä:

• Palvelun loppukäyttäjät (myös Tilaajaorganisaation ulkopuoliset, satunnaiset verkkopalveluun tunnistautumattomat käyttäjät)

o IT-hallintatiedot

o turvallisuustiedot

• Tilaajan työntekijät (myös tilapäiset tai satunnaiset työntekijät, toimeksiannon saajat, harjoittelijat, soveltuvuuskokeilussa olevat ja muut tilaajan lukuun toimivat)

o käyttäjätiedot

o kuvailutiedot

o IT-hallintatiedot

o turvallisuustiedot

• Tilaajan hallinnoimiin yhteisiin hankkeisiin osallistuvat yhteistyökumppanien työntekijät (myös tilapäiset tai satunnaiset työntekijät, toimeksiannon saajat, harjoittelijat, soveltuvuuskokeilussa olevat ja muut tilaajan lukuun toimivat)

o käyttäjätiedot

o kuvailutiedot

o IT-hallintatiedot

o turvallisuustiedot

• Tilaajan yhteistyökumppanien työntekijät (myös tilapäiset tai satunnaiset työntekijät, toimeksiannon saajat, harjoittelijat, soveltuvuuskokeilussa olevat ja muut tilaajan lukuun toimivat)

o kuvailutiedot

o IT-hallintatiedot

o turvallisuustiedot

• Tutkittavat

o Tietoaineistojen sisältämät tiedot tutkittavista ja heistä kerätyistä henkilötiedoista, jotka on kuvattu yksityiskohtaisesti kunkin tutkimusprojektin datanhallintasuunnitelmassa tai vastaavassa ja joista vastaa tutkija(t), joille palvelu on annettu käyttöön.

o turvallisuustiedot

Tietojenkäsittelysopimuksen nojalla käsiteltävät henkilötiedot sisältävät seuraavan tyyppisiä tietoja:

• Käyttäjätiedot

o Nimi

o Käyttäjätunnus

o Sähköpostiosoite

o Kotiorganisaatio

o Palveluun tallennettujen aineistojen omistajuus

• Kuvailutiedot tutkimukseen osallistuvista henkilöistä, kuten

o Nimi

o Sähköpostiosoite

o Tekijätiedot ja muu tutkimusaineiston provenienssi- eli alkuperätieto

o Tutkimusprojektin määrittelemät henkilötiedot, jotka on kuvattu projektin omassa dokumentaatiossa kuten datanhallintasuunnitelmassa tai vastaavassa.

• Tietoaineistojen sisältämät tiedot, kuten:

o Tutkimusprojektin määrittelemät henkilötiedot, jotka on kuvattu projektin omassa dokumentaatiossa kuten datanhallintasuunnitelmassa tai vastaavassa.

• IT-hallintatiedot, kuten

o laitteistojen tiedot liittyen tarjottuihin palveluihin,

o tekniset tunnisteet,

o viestintätiedot,

o metadata ja tekniset tapahtumat, jotka liittyvät tarjottuihin palveluihin mukaan lukien järjestelmä- ja sovelluslokitiedot palvelun toteuttamiseksi.

• Turvallisuustiedot, kuten

o turvallisuuslokitiedot,

o tilojen ja järjestelmien valvontatiedot, ja

o tietoturvapoikkeamien tiedot.

4. Käsittelyn luonne ja tarkoitus

Sopijapuolet ovat sopineet, että Toimittaja käsittelee

• käyttäjätietoja seuraavia tarkoituksia varten:

o kirjautuminen CSC:n ylläpitämään EUDAT B2SHARE -palveluun

o käyttöoikeuksien allokointi palveluiden käyttäjille

o palveluiden resurssien allokointi käyttäjille

o tilastointi ja raportointi asiakkaan tarpeita varten ja palvelun kehittämistä varten

o kirjautuminen järjestelmään Tilaajan nimeämille asiantuntijoille palvelun ohjelmistorajapinnan käytön ja siihen perustuvan asiakkaan ohjelmistokehityksen mahdollistamiseksi

• kuvailutietoja seuraavia tarkoituksia varten:

o käyttöoikeuksien allokointi palveluiden käyttäjille

o tilastointi ja raportointi asiakkaan tarpeita varten ja palvelun kehittämistä varten

o pysyvien tunnisteiden luominen tietoaineistoille

• tietoaineistojen sisältämiä tietoja seuraavia tarkoituksia varten:

o aineistojen säilyttäminen sopimuksen mukaisessa IT-palveluympäristössä

• IT-hallintatietoja seuraavia tarkoituksia varten:

o palveluiden käytön analysointi, valvonta ja ylläpito

o tilastointi ja raportointi palvelun kehittämistä varten

• turvallisuustietoja seuraavia tarkoituksia varten:

o palveluiden käytön analysointi ja valvonta tietoturvan varmistamiseksi ja mahdollisten poikkeustilanteiden käsittelemiseksi.

Osapuolet ovat sopineet, että Toimittaja suorittaa seuraavat tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi:

• käyttäjätiedot

o Salasanojen kryptaus

o Pääsyn rajaus henkilötietoihin palvelun ylläpidolle, eli CSC:n henkilöstölle

o Pääsyn rajaus henkilötietoja sisältäviin järjestelmiin CSC:n sisäverkossa, sekä IP-rajauksin Tilaajan nimeämille asiantuntijoille palvelun ohjelmistorajapinnan käytön ja siihen perustuvan asiakkaan ohjelmistokehityksen ajaksi

o Tiedonsiirtoyhteyksien salaus (https)

• kuvailutiedot

o Tietojen muokkausoikeuden rajaus käyttäjän tunnistamisen perusteella

• tietoaineistojen sisältämät tiedot

o Tietojen muokkausoikeuden rajaus käyttäjän tunnistamisen perusteella

• IT-hallintatiedot

o Pääsyn rajaus henkilötietoihin palvelun ylläpidolle, eli CSC:n henkilöstölle

o Pääsyn rajaus henkilötietoja sisältäviin järjestelmiin CSC:n sisäverkossa

o Tietojen anonymisointi käyttötilastotietojen koostamisen yhteydessä

• turvallisuustiedot

o Pääsyn rajaus henkilötietoihin palvelun ylläpidolle, eli CSC:n henkilöstölle

o Pääsyn rajaus henkilötietoja sisältäviin järjestelmiin CSC:n sisäverkossa

Lähtökohtaisesti palvelussa ei käsitellä Tietosuoja-asetuksen 9 ja 10 artiklassa lueteltuja Erityisiin henkilötietoryhmiin kuuluvia tai muuten hyvin henkilökohtaisia tietoja. Palvelun luonteen vuoksi Xxxxxxx hyväksyy sen, että Toimittaja ei pysty tarkistamaan Palvelua toteuttaessaan, sisältyykö niitä käsittelyyn.

Henkilötietoja ei saa käsitellä EU- tai ETA-alueen ulkopuolella.

Seuraavien alikäsittelijöiden käyttö on sallittua: Osapuolten Ilmatieteen laitoksen ja CSC – Tieteen tietotekniikan keskus Oy:n välisen puitesopimuksen (Ilmatieteen laitoksen diaarinumero 7/500/2019 ja CSC:n sopimusnumero CNTR0015154)) 9 pykälän mukaiset alihankkijat siten kuin ao. pykälän 2 momentissa säädetään sekä em. sopimuksen liitteessä 1 (henkilötietojen käsittelyn ehdot) sekä sen 3 pykälässä määritellään.

5. Henkilötietojen käsittelyn kesto

Henkilötietoja käsitellään Sopimuksen voimassa ollessa ja siinä määriteltyjä aikoja, elleivät osapuolet toisin sovi. Sopimuksen päätyttyä Toimittajan toimittaa Palvelun Henkilötiedot Tilaajalle ja hävittää hallussaan olevat palvelun toteuttamiseksi käsitellyt Henkilötiedot, jollei Xxxxxxxx kanssa muuta sovita tai jollei Toimittajalla ole lakisääteistä velvollisuutta säilyttää Henkilötietoja.