Rekisterinpitäjä:

Sopimus henkilötietojen käsittelystä

Rekisterinpitäjä:

Käsittelijä:

Sarastia Rekry Oy Yhteyshenkilöt:

Jäljempänä myös ”Toimittaja”

Yhteyshenkilöt: Jäljempänä myös ”Tilaaja”

yhdessä jäljempänä ”Osapuolet”

1. Sopimuksen tarkoitus

A) Toimittaja toimittaa joustavia henkilöstöratkaisuja (”Palvelu”) Tilaajalle palvelu- ja yhteistyöso- pimuksen mukaisesti (”Palvelusopimus”). Tilaaja toimii henkilötietojen Käsittelijänä käsitelles- sään henkilötietoja Toimittajan eli Rekisterinpitäjän lukuun.

B) Tämän sopimuksen (”Sopimus”) tarkoitus on sopia henkilötietojen käsittelystä tietosuoja-ase- tuksen 679/2016 (”Tietosuoja-asetus”) 28 artiklan edellyttämällä tavalla.

C) Sopimus on voimassa yhtäaikaisesti Palvelusopimuksen kanssa. Tätä Sopimusta sovelletaan ensisijaisena Palvelusopimuksen Osapuolten välillä, silloin kun kysymyksessä on henkilötieto- jen käsittelyä koskeva asia.

2. Määritelmät

Tässä Sopimuksen kohdassa 3 kuvatut määritelmät vastaavat Tietosuoja-asetuksen mukaisia mää- ritelmiä tulevine tulkintakäytäntöineen. Tietosuoja-asetuksen mukaisia määritelmiä ei ole tarkoitus laajentaa tai supistaa. Määritelmien aukikirjoittamisen tarkoitus on saattaa Käsittelijän ja Rekiste- rinpitäjän tietoon määritelmien Tietosuoja-asetuksen mukainen sisältö.

"Henkilötiedolla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, si- jaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perus- teella.

”Arkaluonteisilla henkilötiedoilla” tarkoitetaan henkilötietoja, joista ilmenee rotu tai etninen alku- perä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettinen tai biometrinen tieto, terveystieto tai seksuaalista käyttäytymistä ja suuntautumista koskeva tieto.

”Henkilötietojen käsittelyllä” tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötie- toihin tai henkilötietoja sisältäviin tieto-joukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttä- mistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, ra- joittamista, poistamista tai tuhoamista.

”Henkilörekisterillä” mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu.

"Rekisteröity" tarkoittaa tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, jonka tie- toja käsitellään. Rekisteröity on esimerkiksi sijaistyöntekijä.

Lisäksi tässä Sopimuksessa

”Henkilötietojen siirrolla” tarkoitetaan tarpeellista henkilötietojen käsittelyä Rekisterinpitäjältä Käsittelijälle siten, että Käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun Palvelusopimuk- sen ja tämän Sopimuksen mukaisesti. Käsittelijällä ei ole lupaa muodostaa Rekisterinpitäjän henki- lötiedoista omaa henkilörekisteriä.

”Tietoturvaloukkaus” tarkoittaa tekoa, tapahtumaa tai laiminlyöntiä, jonka seurauksena on siirret- tyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva lainvastainen tu- hoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

3. Henkilötietojen käsittelyn tarkoitus ja luonne

Henkilötietojen käsittelyn tarkoitus on työpaikkahakemuksien hallinnointi ja Tilaajan rekrytointipro- sessin tukeminen sekä Palvelun toimittaminen Palvelusopimuksen mukaisesti.

Käsittelijä voi edellä mainitun tarkoituksen toteuttamiseksi suorittaa vain tarpeellisia käsittelytoimen- piteitä, kuten tarkastella toimitettuja työhakemuksien henkilötietoja Rekisterinpitäjän hallinnoimassa sähköisessä järjestelmässä Rekisterinpitäjän määrittämien käyttöoikeuksien nojalla.

Henkilötietojen luovuttaminen tai siirto kolmannelle osapuolelle ei ole sallittua ilman Rekisterinpitäjän kirjallista ennakkolupaa, ellei tähän ole lakiin perustuvaa velvollisuutta tai ellei jäljempänä muuta to- deta. Käsittelijä ei saa muodostaa henkilötiedoista omaa henkilörekisteriään.

4. Henkilötietojen käsittelyn kohde, kesto ja tuhoaminen

Henkilötietoja voidaan käsitellä tämän Sopimuksen perusteella Palvelusopimuksen voimassa ollessa niin kauan, kuin on tarpeen edellä kohdassa 3 lausutun tarkoituksen toteuttamiseksi. Mikäli toinen Osapuolista katsoo, että käsittely ei ole enää perusteltua, päättyy tämän Sopimuksen mukainen käsit- tely, kun asiasta on ilmoitettu toiselle Osapuolelle ja Osapuolet ovat sopineet käsittelyn päättymisestä.

Käsittelyn päättyessä Käsittelijä tuhoaa olemassa olevat henkilötietojen jäljennökset, lukuun otta- matta lainsäädännössä säilytettäviksi vaadittuja henkilötietoja.

Käsittelijä saa käsitellä Rekisterinpitäjän siirtämiä henkilötietoja vain niin kauan kuin Xxxxxxxxxxxxxx on voimassa ja käsittely on tarpeen käyttötarkoituksen toteuttamiseksi. Rekisterinpitäjä poistaa Palve- lusopimuksen voimassaolon päättyessä Käsittelijän käyttövaltuusoikeuden.

5. Käsiteltävien henkilötietojen tyyppi ja rekisteröityjen ryhmät

Rekisteröityinä ovat työnhakijat, joiden henkilötietoja siirretään Käsittelijän käsiteltäväksi vain jos se on tarpeellista edellä mainittujen käyttötarkoitusten toteuttamiseksi.

Palvelussa käsiteltävät henkilötietojen tyypit:

• Yhteystiedot

• Tutkinto / Tutkinnot ja suoritetut opinnot sekä tutkinnon lisätiedot

• Valmistunut/kesken ja valmistumisvuosi

• Oppilaitos

• Työkokemus

• Työajan tyyppi

• Työsuhteen kesto

• Tehtäväkuvat

• Mahdolliset opintoihin liittyvät liitetiedostot

• Sijaispätevyys

• Työntekoyksiköt, joihin käyttövaltuushaltijalla on näkyvyys

• Työtehtävät niissä yksiköissä, joihin käyttövaltuushaltijalla on näkyvyys

• Luvat ja taidot (esim. lääkehoitoon liittyvät)

• Yleiset luvat ja taidot esim. ajokortti, hygieniapassi tms.

• Henkilötunnus

6. Käsittelijän velvollisuudet

Käsittelijällä on velvollisuus:

(i) noudattaa voimassa olevaa henkilötietoja koskevaa lainsäädäntöä sekä hyvää tietojen käsittelytapaa;

(ii) noudattaa kaikkia Rekisterinpitäjän antamia dokumentoituja ohjeita henkilötie- tojen käsittelyyn liittyen;

(iii) välittömästi ilmoittaa Rekisterinpitäjälle, mikäli katsoo, että Rekisterinpitäjän ohjeet ovat henkilötietojen suojaa koskevan lainsäädännön vastaisia;

(iv) käsitellä rekisteröidyn henkilötietoja ainoastaan Sopimuksessa sovittua Palve- lun toteuttamista varten;

(v) varmistaa, että henkilötietoihin on pääsy ainoastaan niillä henkilöillä, joilla on välttämätöntä olla pääsy henkilötietoihin Sopimuksen toteuttamiseksi, ja jotka ovat saaneet riittävän koulutuksen ja perehdyttämisen tietojen käsittelyyn ja jotka ovat kirjallisesti sitoutuneet noudattamaan salassapitovelvollisuutta;

(vi) avustaa Rekisterinpitäjää täyttämään tämän voimassa olevan lainsäädännön mukaiset velvollisuudet rekisteröityjä kohtaan;

(vii) olla luovuttamatta tai siirtämättä henkilötietoja kolmansille tahoille;

(viii) olla siirtämättä henkilötietoja EU:n ulkopuolelle;

(ix) välittömästi ilmoittaa Rekisterinpitäjälle kaikista rekisteröityjen, tietosuojavi- ranomaisten tai muiden viranomaisten esittämistä tiedusteluista ja kysymyk- sistä;

(x) auttaa Rekisterinpitäjää tarvittaessa varmistamaan, että henkilötietojen käsit- telyä koskeva vaikutustenarviointi tehdään henkilötietojen suojaa koskevan lainsäädännön mukaisesti;

(xi) saattaa Rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen henkilötie- tojen suojaa koskevassa lainsäädännön noudattamisen osoittamista varten;

(xii) avustaa Rekisterinpitäjää täyttämään Rekisterinpitäjälle kuuluvat ilmoitus- ja selvitysvelvollisuudet;

(xiii) sallii Rekisterinpitäjän tai muun Rekisterinpitäjän valtuuttaman auditoijan suo- rittamat auditoinnit, kuten tarkastukset erikseen sovittavalla tavalla.

Selvyyden vuoksi todetaan, että Käsittelijä ei käytä toisen henkilötietojen käsittelijän palveluksia. Tämä rajoitus ei koske tietojen luovutusta kansallisille viranomaisille lainsäädännön edellyttämissä tilanteissa.

7. Rekisteröityjen oikeudet

Rekisterinpitäjä vastaa Tietosuoja-asetuksessa säädettyjen rekisteröityjen oikeuksien toteuttamisesta, niihin liittyvien rekisteröityjen pyyntöihin vastaamisesta sekä näihin liittyvistä kustannuksista sekä toi- mii muutoinkin ensisijaisena yhteystahona rekisteröityihin nähden.

Käsittelijä sitoutuu avustamaan Rekisterinpitäjää tilanteissa, joissa rekisteröidyt käyttävät henkilötie- tojen käsittelyyn liittyviä oikeuksiaan ja esittävät niihin liittyviä pyyntöjä Rekisterinpitäjälle. Rekisterin- pitäjän pyydettyä Käsittelijän tulee avustaa esitettyihin pyyntöihin vastaamisessa. Rekisterinpitäjän ja Käsittelijän välinen yhteydenpito ja tietojenvaihto liittyen rekisteröityjen oikeuksiin ja tietopyyntöihin tapahtuu vain tässä Sopimuksessa määriteltyjen yhteyshenkilöiden välillä. Mikäli rekisteröidyn oikeuk- sien toteuttamista koskeva pyyntö osoitetaan suoraan Käsittelijälle, Käsittelijä ilmoittaa pyynnöstä vä- littömästi Rekisterinpitäjälle.

8. Tietoturvallisuus ja tietoturvaloukkauksesta ilmoittaminen

Kumpikin Osapuoli vastaa osaltaan siitä, että käsiteltävät henkilötiedot eivät yhdisty vääriin henkilöi- hin, katoa, muutu tai paljastu tahoille, joille ne eivät kuulu. Kumpikin Osapuoli pitää tietojärjestel- mänsä, henkilöstönsä koulutuksen, tietojen käsittelemisen ja tietoturvallisuuden sen tasoisena, että ongelmatilanteet torjutaan mahdollisimman hyvin. Se Osapuoli, jonka vastattavalla alueella ongelma- tilanne on tapahtunut, huolehtii korjaavista toimenpiteistä kohtuudella käytettävissään olevin keinoin.

Käsittelijä toteuttaa tarpeelliset tekniset ja organisatoriset toimenpiteet käsittelyn turvallisuuden var- mistamiseksi. Käsittelijä antaa Rekisterinpitäjän pyynnöstä lisätietoja Rekisterinpitäjälle käytössä ole- vista teknisistä ja organisatorisista turvatoimista ja sallii niiden tarkastukset erikseen sovittavalla ta- valla.

Käsittelijä sitoutuu varmistamaan, että Käsittelijän työntekijät, jotka käsittelevät henkilötietoja, ovat käyneet läpi asianmukaiset tietoturva- ja tietosuojakoulutukset ja ovat asianmukaisesti ohjeistettu huolehtimaan tietoturvasta ja tietosuojasta.

Käsittelijä sitoutuu ilmoittamaan kirjallisesti Rekisterinpitäjälle ilman aiheetonta viivytystä, mutta kui- tenkin viimeistään 24 tunnin sisällä henkilötietojen tietoturvaloukkauksen ilmitulosta. Käsittelijä sitou- tuu vastaamaan Rekisterinpitäjän kyselyihin tietoturvaloukkauksista mahdollisimman nopeasti, kui- tenkin 24 tunnin kuluessa kyselystä. Rekisterinpitäjän ja Käsittelijän välinen yhteydenpito ja tietojen- vaihto tietoturvaloukkauksiin liittyen tapahtuu vain tässä Sopimuksessa määriteltyjen yhteyshenkilöi- den välityksellä.

Käsittelijä antaa Rekisterinpitäjän pyynnöstä hallussaan olevat, kohtuullisesti toimitettavissa olevat ja tarpeelliset tiedot Tietosuoja-asetuksen mukaisen ilmoituksen tai perustellun selityksen tekemiseksi. Käsittelijän ilmoitus tapahtuneesta tietoturvaloukkauksesta tulee sisältää ainakin seuraavat tiedot:

(i) kuvattava henkilötietojen tietoturvaloukkaus mukaan lukien asianomaisten rekis- teröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja ar- vioidut lukumäärät;

(ii) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

(iii) kuvattava toimenpiteet, joita Käsittelijä on toteuttanut henkilötietojen tietoturva- loukkauksen johdosta sekä toimenpiteet mahdollisten haittavaikutusten lieventä- miseksi ja tietoturvaloukkauksien estämiseksi tulevaisuudessa.

Käsittelijä sitoutuu avustamaan Rekisterinpitäjää vähentämään tietoturvaloukkauksen välillisiä ja vä- littömiä seurauksia rekisteröidylle ja Rekisterinpitäjälle.

Molempien osapuolten on dokumentoitava kaikki tietoturvaloukkaukset, tietoturvaloukkausten seu- raukset ja vaikutukset sekä toimenpiteet, joihin Osapuolet ovat ryhtyneet.

9. Vahingonkorvausvastuu

Käsittelijä vastaa tämän Sopimuksen vastaisesta henkilötietojen käsittelystä aiheutuneesta välillisestä ja vä- littömästä vahingosta täysimääräisesti Rekisterinpitäjälle.

Paikka, aika:

Allekirjoitukset:

Rekisterinpitäjän edustaja: Käsittelijän edustaja:

Nimi, asema Nimi, asema