LIITE 1 HENKILÖTIETOJEN KÄSITTELYN EHDOT

Korkeakoulu/tutkimuslaitos X:n sopimusnumero ______ / CSC:n sopimusnumero ______

KORKEAKOULU/TUTKIMUSLAITOS X:N JA CSC – TIETEEN TIETOTEKNIIKAN KESKUS OY:N VÄLINEN PUITESOPIMUS

LIITE 1 HENKILÖTIETOJEN KÄSITTELYN EHDOT

1. Yleistä

1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa puitesopimusta (jäljempänä liitteineen ”Sopimus”), jonka Sopijapuolet ovat solmineet ja jonka puitteissa Sopijapuolet ovat sopineet tuottavansa ja kehittävänsä yhteistyössä suomalaisen tutkimuksen, koulutuksen ja kulttuurin palveluita.

1.2. Osana edellä mainittua puitesopimusjärjestelyä, näitä henkilötietojen käsittelyn ehtoja sovelletaan kaikissa Sopimuksen kohteena olevien palveluiden tuottamisessa, silloin kun Toimittaja käsittelee palvelun yhteydessä henkilötietoja Xxxxxxxx puolesta ja lukuun. Selvyyden vuoksi todetaan, että Sopimuksen mukaisesti kumpi tahansa Sopijapuolista voi toimitettavasta palvelusta riippuen toimia joko Tilaajan tai Toimittajan roolissa. Sopijapuolten kulloinenkin rooli määritellään Sopimukseen liitettävissä palvelutilauksissa ja palvelukuvauksissa sekä mahdollisessa lisäsopimuksessa.

1.3. Tässä sopimusliitteessä määritellään Tilaajaa ja Toimittajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta ja lukuun Sopimuksessa sekä mahdollisessa lisäsopimuksessa olevien sopimusehtojen lisäksi.

2. Sopijapuolten roolit henkilötietojen käsittelyssä

2.1 Tilaaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä silloin, kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Kun Xxxxxxx käsittelee henkilötietoja kolmannen osapuolen puolesta ja lukuun, se toimii tietosuojaa koskevan lainsäädännön tarkoittamana käsittelijänä.

2.2 Tilaajan ollessa rekisterinpitäjä Toimittaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Xxxxxxxx henkilötietoja Xxxxxxxx puolesta ja lukuun. Xxxxxxxx ollessa kolmannelle osapuolelle käsittelijä myös Toimittaja ja sen alihankkijat toimivat henkilötietojen käsittelijöinä rekisterinpitäjän puolesta ja lukuun. Toimittajan Sopimuksen ja tämän asiakirjan mukaisesti käyttämät alihankkijat, jotka osallistuvat Tilaajan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Xxxxxxxx puolesta ja lukuun.

2.3 Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksessa, mahdollisessa lisäsopimuksessa, em. sopimusten mukaisen palvelun aikana laadittavassa ja Sopijapuolia sitovassa dokumentaatiossa tai muussa Tilaajan ohjeistuksessa. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

2.4 Mikäli kyseessä on monen Tilaajan yhdessä hallinnoima palvelu, jota Toimittaja tuottaa ja jota Tilaaja yhdessä muiden tilaajien kanssa kukin omien henkilötietojensa rekisterinpitäjinä käyttää, sitoutuu Tilaaja sopimaan yhdenmukaisesta ohjeistuksesta ja ohjeistuksen muutoksista muiden tilaajien kanssa ennen Toimittajan ohjeistamista, mikäli ohjeistuksen kohteena olevat yhdelle Sopijapuolelle suoritettavat käsittelytoimet eivät ole erotettavissa muille tilaajille toteutettavasta palvelusta.

2.5 Jos kohdan 2.3 ja 2.4 mukaista kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää kuvausta tarvittaessa yhteistyössä Toimittajan kanssa.

2.6 Toimittaja osallistuu pyynnöstä Tilaajan tarvitsemaan henkilötietojen käsittelyyn liittyvän dokumentaation laatimiseen. Toimittaja suorittaa tehtävät sekä niiden edellyttämät toimenpiteet Sopimuksen ehtojen mukaisesti. 

2.7 Toimittajan on ilmoitettava Tilaajalle, jos tämän antama ohjeistus on puutteellinen tai jos Toimittaja epäilee sitä lainvastaseksi. Mikäli Toimittajalla on perusteltu syy epäillä Xxxxxxxx ohjeistuksen olevan lainvastainen, Toimittajalla on oikeus kieltäytyä sen noudattamisesta asian selvittämisen ajaksi.

3. Henkilötietojen käsittelijän yleiset velvollisuudet

3.1 Henkilötietojen käsittelijä käsittelee henkilötietoja vain Sopimuksen, mahdollisen lisäsopimuksen ja Tilaajan antamien ohjeiden mukaisesti, ellei lainsäädännöstä muuta johdu.

3.2 Henkilötietojen käsittelijä ei käsittele eikä hyödynnä Sopimuksen perusteella käsittelemiään henkilötietoja kuin Sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

3.3 Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat Käyttäjät, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

3.4 Henkilötietojen käsittelijä toteuttaa toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen ja Tilaajan ohjeiden mukaisesti.

3.5 Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja hallinnolliset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Xxxxxxxx ohjeita ja mahdollisia Tilaajan ohjeiden päivityksiä.

3.6 Toimittajan on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat mahdollisuuksien mukaan sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, että ne voidaan siirtää järjestelmästä toiseen.

3.7 Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA:n ulkopuolelle, ellei asiasta sovita kirjallisesti rekisterinpitäjän kanssa. Jos henkilötietoja halutaan siirtää Euroopan talousalueen ulkopuolelle, on siirrossa noudatettava tietosuoja-asetuksessa määriteltyjä tiedonsiirron periaatteita.

3.8 Tilaaja ja Toimittaja ilmoittavat toisilleen tietosuojavastaaviensa yhteystiedot.

3.9 Henkilötietojen käsittelijä ilmoittaa ilman aiheetonta viivästystä Tilaajalle kaikista vastaanottamistaan rekisteröidyiltä tulleista pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä.

3.10 Henkilötietojen käsittelijä avustaa mahdollisuuksien mukaan Tilaajaa rekisteröityjen oikeuksien käyttämistä koskeviin pyyntöihin vastaamisessa. Jos avustaminen ei sisälly Sopimuksen mukaisiin palveluihin ja niistä veloitettaviin maksuihin, Toimittajalla on oikeus veloittaa kohtuulliset kustannukset Sopimuksen ehtojen mukaisesti.

3.11 Henkilötietojen käsittelijä saattaa Tilaajan saataville kaikki tiedot, jotka ovat tarpeen henkilötietojen käsittelijää koskevien velvollisuuksien noudattamisen osoittamista varten.

3.12 Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Tilaajaa tietosuojalainsäädännön mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, ennakkokuulemisessa ja tietosuojaa koskevan sertifioinnin hankkimisessa. Toimittajalla on oikeus veloittaa kohtuulliset kustannukset Sopimuksen ehtojen mukaisesti.

3.13 Palvelun loputtua henkilötietojen käsittelijä Xxxxxxxx ohjeiden mukaisesti tuhoaa kaikki henkilötiedot tai palauttaa ne Tilaajalle sekä tuhoaa mahdolliset tietojen jäljennökset, ellei niiden säilyttämiseen ole lainsäädännöllistä velvollisuutta. Henkilötietojen tuhoamiseen ja palauttamiseen sekä olemassa olevien jäljennösten tuhoamiseen saattaa kohdistua käytettävästä teknologiasta johtuvia rajoitteita.

3.14 Henkilötietojen käsittelijä sallii Tilaajan valtuuttaman hyväksytyn tarkastuslaitoksen suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Auditoinnin aikataulusta, kustannuksista ja muista yksityiskohdista tulee sopia vähintään 30 vuorokautta ennen auditointia. Auditointi toteutetaan Tilaajan kustannuksella.

4. Alihankkijat, jotka käsittelevät henkilötietoja

4.1 Toimittajalla on yleinen kirjallinen ennakkolupa käyttää hankintalain mukaisella menettelyllä valitsemiaan alihankkijoita Sopimuksen 7. luvun mukaisesti.

4.2 Toimittaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijan noudattamaan omalta osaltaan Sopimuksessa Toimittajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita.

4.3 Toimittaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Toimittaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Xxx Xxxxxxx perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa.

5. Tietoturvaloukkaukset

5.1 Toimittajan on ilmoitettava kirjallisesti Tilaajalle kaikista henkilötietojen tietoturvaloukkauksista ilman aiheetonta viivytystä saatuaan niistä itse tiedon. Lisäksi Toimittaja ilmoittaa Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa, ellei Sopimuksessa tai mahdollisessa lisäsopimuksessa tai näiden liitteissä ole sovittu lyhyemmästä määräajasta.

5.2 Toimittajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:

1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö̈, jolta voi saada asiassa lisätietoja;

3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

4) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

5.3 Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä Sopimuksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

6. Muita vaatimuksia

6.1 Tilaajalla on oikeus muuttaa, täydentää ja päivittää Toimittajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita yhteisesti sovittujen menettelytapojen mukaisesti. Tilaaja vastaa muutoksista aiheutuvista Sopimuksen palveluun sisältymättömistä kustannuksista.

6.2 Toimittajan tulee viipymättä tiedottaa Tilaajalle, mikäli se katsoo Tilaajan ohjeistuksen tai Toimittajaa sitovaksi tarkoitetun dokumentaation tai niihin tehtävien muutosten olevan mahdoton tai kohtuuttoman hankala toteuttaa tai mikäli ohjeistus, dokumentaatio tai niiden muutos olisi omiaan vaikuttamaan oleellisesti käsittelyn aikatauluun tai hintaan. Toimittajan on ilmoitettava Tilaajalle myös, jos muutos edellyttäisi Toimittajalta lisäselvityksiä tai -suunnittelua.

3