LIITE 1 HENKILÖTIETOJEN KÄSITTELYN EHDOT
|
|
5(5) |
Korkeakoulun sopimusnumero xxx / CSC:n sopimusnumero xxx
KORKEAKOULUN JA CSC – TIETEEN TIETOTEKNIIKAN KESKUS OY:N VÄLINEN PUITESOPIMUS
LIITE 1 HENKILÖTIETOJEN KÄSITTELYN EHDOT
1. Yleistä
1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa puitesopimusta (jäljempänä liitteineen ”Sopimus”), jonka CSC – Tieteen tietotekniikan keskus Oy ja Korkeakoulu ovat solmineet ja jonka puitteissa edellä mainitut Sopijapuolet ovat sopineet tuottavansa ja kehittävänsä yhteistyössä suomalaisen tutkimuksen, koulutuksen ja kulttuurin palveluita.
1.2. Osana edellä mainittua puitesopimusjärjestelyä, näitä henkilötietojen käsittelyn ehtoja sovelletaan kaikissa Sopimuksen kohteena olevien palveluiden tuottamisessa, silloin kun Toimittaja käsittelee palvelun yhteydessä henkilötietoja Xxxxxxxx puolesta ja lukuun. Selvyyden vuoksi todetaan, että Sopimuksen mukaisesti kumpi tahansa Sopijapuolista voi toimitettavasta palvelusta riippuen toimia joko Tilaajan tai Toimittajan roolissa. Sopijapuolten kulloinenkin rooli määritellään Sopimukseen liitettävissä palvelutilauksissa ja palvelukuvauksissa sekä mahdollisessa lisäsopimuksessa.
1.3. Tässä sopimusliitteessä määritellään Tilaajaa ja Toimittajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta ja lukuun Sopimuksessa sekä mahdollisessa lisäsopimuksessa olevien sopimusehtojen lisäksi.
2. Sopijapuolten roolit henkilötietojen käsittelyssä
2.1. Tilaaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Sopijapuolet ymmärtävät, että rekisterinpitäjänä Tilaaja saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää voimassaolevan henkilötietojen käsittelyyn ja tietosuojaan liittyvän lainsäädännön vaatimukset ja 25.5.2018 alkaen EU:n yleisen tietosuoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu.
2.2. Toimittaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Tilaajan henkilötietoja Xxxxxxxx puolesta ja lukuun. Toimittajan Sopimuksen, mahdollisen lisäsopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat Tilaajan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Tilaajan puolesta ja lukuun.
2.3.
Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä
henkilötietojen tyypit ja rekisteröityjen ryhmät sekä
rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet
kuvataan Sopimuksessa, mahdollisessa lisäsopimuksessa, em.
sopimusten mukaisen palvelun aikana laadittavassa ja Sopijapuolia
sitovassa dokumentaatiossa.
2.4 Mikäli kyseessä on korkeakoulujen yhdessä hallinnoima palvelu, jota CSC Toimittajan roolissa tuottaa ja jota Korkeakoulu yhdessä muiden korkeakoulujen kanssa kukin omien henkilötietojensa rekisterinpitäjinä käyttävät, sitoutuu Tilaaja sopimaan ohjeistuksesta ja ohjeistuksen muutoksista muiden korkeakoulujen kanssa ennen CSC:n ohjeistamista.
2.5. Jos kohdan 2.4 mukaista kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää kuvausta tarvittaessa yhteistyössä Toimittajan kanssa. Toimittajan on ilmoitettava Tilaajalle, jos tämän antama ohjeistus on puutteellinen tai jos Toimittaja epäilee sitä lainvastaiseksi.
2.6. Toimittaja osallistuu Tilaajan pyynnöstä tietojärjestelmäselosteen ja muun dokumentaation laatimiseen. Toimittaja suorittaa tehtävät sekä niiden edellyttämät toimenpiteet Sopimuksen liitteen 4 Palveluhinnasto ja maksuehdot mukaisesti, ellei toisin ole sovittu.
Alihankkijat, jotka käsittelevät henkilötietoja
3.1. Toimittajalla on yleinen kirjallinen ennakkolupa käyttää hankintalain mukaisella menettelyllä valitsemiaan alihankkijoita. Toimittaja vastaa siitä, että se sitouttaa henkilötietoja käsitellessään käyttämänsä alihankkijat sopimuksin noudattamaan tämän liitteen 1 mukaisia henkilötietojen käsittelyn ehtoja. Toimittajana Sopijapuolen on tiedotettava Tilaajalle kirjallisesti henkilötietoja käsittelevistä alihankkijoistaan, niiden lisäämisestä tai vaihtamisesta, ja annettava Tilaajalle mahdollisuus vastustaa tällaisia muutoksia.
3.2. Siltä osin kuin Toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen sekä mahdollisen lisäsopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.
3.3. Toimittaja ja sen alihankkijat, jotka henkilötietojen käsittelijöinä käsittelevät Tilaajan henkilötietoja Tilaajan puolesta ja lukuun, sitoutuvat tässä sopimusliitteessä kuvattuihin henkilötietojen käsittelijää koskeviin velvollisuuksiin. Toimittajalla on velvollisuus sopimuksilla sitouttaa käyttämänsä alihankkijat noudattamaan tämän sopimusliitteen ehtoja.
3.4. Toimittaja on vastuussa mahdollisista Tilaajan henkilötietoja käsittelevien Toimittajan alihankkijoiden Sopimuksen, mahdollisen lisäsopimuksen, tämän sopimusliitteen tai EU:n yleisen tietosuoja-asetuksen rikkomisista tai laiminlyönneistä. Jos tilaaja perustellusti katsoo, xxxxx Xxxxxxxxxxx alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa.
Henkilötietojen käsittelijän yleiset velvollisuudet
4.1. Henkilötietojen käsittelijä käsittelee henkilötietoja Sopimuksen, mahdollisen lisäsopimuksen sekä Tilaajan antamien ohjeiden mukaisesti.
4.2. Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan Sopimuksen (erit. Sopimuksen liitteen 5 Turvallisuussopimus) mukaista salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
4.3. Sen lisäksi, mitä Sopimuksessa ja mahdollisessa lisäsopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Xxxxxxxx ohjeita ja mahdollisia Tilaajan ohjeiden päivityksiä.
4.4. Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen, mahdollisen Lisäsopimuksen sekä Tilaajan ohjeiden mukaisesti.
4.5. Henkilötietojen käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Tilaajalle kaikista mahdollisesti vastaanottamistaan rekisteröityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä.
4.6. Henkilötietojen käsittelijä sitoutuu mahdollisuuksien mukaan avustamaan Tilaajaa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä, mikäli toimenpiteistä ei aiheudu kohtuutonta ajanhukkaa tai kustannuksia. Henkilötietojen käsittelijä ymmärtää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä mahdollisuuksien mukaan avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja/tai henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei näiden tehtävien ole sovittu sisältyvän Sopimuksen tai mahdollisen lisäsopimuksen mukaisiin palveluihin ja niistä veloitettaviin maksuihin, Toimittajalla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksen liitteen 4 Palveluhinnasto ja maksuehdot mukaisesti.
4.7. Toimittajan on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat mahdollisuuksien mukaan sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, että ne voidaan automaattisesti irrottaa järjestelmästä siirrettäväksi toiseen järjestelmään.
4.8 Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Tilaajaa EU:n yleisen tietosuoja-asetuksen mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Toimittajalla on oikeus veloittaa kohtuulliset työkustannukset Sopimuksen liitteen 4 Palveluhinnasto ja maksuehdot mukaisesti.
4.9. Henkilötietojen käsittelijä sitoutuu Tilaajan valinnan mukaan poistamaan tai palauttamaan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki Tilaajan henkilötiedot Tilaajalle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Tilaaja voi antaa tältä osin tarkempia ohjeita henkilötietojen käsittelijälle. Sopijapuolet toteavat, että henkilötietojen poistamiseen ja palauttamiseen ja olemassa olevien jäljennösten poistamiseen saattaa kohdistua käytettävästä teknologiasta johtuvia rajoitteita.
4.10. Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle mikäli asiasta ei kirjallisesti sovita rekisterinpitäjän kanssa. Henkilötietojen siirtäminen kolmansiin maihin voidaan tehdä asianmukaisella siirtosopimuksella noudattaen EU-komission kulloinkin voimassa olevia mallilausekkeita ja/tai muita tuolloin voimassaolevia henkilötietojen siirtoa koskevia vaatimuksia.
4.11. Henkilötietojen käsittelijä saattaa Tilaajan saataville kaikki tiedot, jotka ovat tarpeen tässä sopimusliitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Tilaajan valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Auditoinnit tulee toteuttaa hyväksytyn tarkastuslaitoksen toimesta, auditoinnin tilaajan kustannuksella ja auditoinnin aikataulusta tulee sopia vähintään 30 vuorokautta ennen auditointia.
5. Tietoturvaloukkaukset
5.1. Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Tilaajalle mahdollisuuksien mukaan ilman aiheetonta viivytystä saatuaan sen. Lisäksi Toimittaja sitoutuu ilmoittamaan Tilaajalle muista Toimittajan tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa, xxxxx Xxxxxxxxxxxx tai mahdollisessa lisäsopimuksessa tai näiden liitteissä ole sovittu lyhyemmästä määräajasta.
5.2. Henkilötietojen käsittelijän on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:
1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;
3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä
4) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
6. Muita vaatimuksia
6.1. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Toimittajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita hyvien tietosuojakäytänteiden ja yhteisesti sovittujen menettelytapojen mukaisesti. Nämä ohjeet voivat olla henkilötietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia, täydennyksiä tai päivityksiä. Toimittaja tekee tarvittavat muutostyöt Tilaajan ohjeiden mukaisesti. Xxx Xxxxxxxx ohjeet aiheuttavat Toimittajalle lisäkustannuksia, vastaa niistä Tilaaja Sopimuksen liitteen 4 Palveluhinnasto ja maksuehdot mukaisesti. Toimittaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan näitä muutettuja, täydennettyjä tai päivitettyjä ohjeita.
6.2 Toimittajan tulee viipymättä tiedottaa Tilaajalle, mikäli se katsoo Tilaajan ohjeistuksen tai Toimittajaa sitovaksi tarkoitetun dokumentaation tai niihin tehtävien muutosten olevan mahdoton tai kohtuuttoman hankala toteuttaa tai mikäli ohjeistus, dokumentaatio tai niiden muutos olisi omiaan vaikuttamaan oleellisesti käsittelyn aikatauluun tai hintaan. Toimittajan on ilmoitettava Tilaajalle myös, jos muutos edellyttäisi Toimittajalta lisäselvityksiä taikka -suunnittelua.
6.3. Toimittaja sitoutuu reagoimaan mahdollisuuksien mukaan viimeistään yhden (1) viikon kuluessa Tilaajan tietosuojaa koskeviin ilmoituksiin, reklamaatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tietoturvaloukkaukset, joihin sovelletaan edellä tässä liitteessä määritettyjä määräaikoja.
6.4. Sopijapuolet ymmärtävät, että Sopimusta ja tätä sopimusliitettä tehtäessä tietosuojaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Tilaajan asemaan tai velvollisuuksiin tai tässä sopimusliitteessä määriteltyihin velvollisuuksiin tai vastuisiin, tätä sopimusliitettä voidaan tarvittaessa niiltä osin puitesopimuksessa sovitulla menettelyllä tarkistaa. Jos tähän sopimusliitteeseen tehdään sellaisia muutoksia, joista aiheutuu Toimittajalle lisäkustannuksia, sovelletaan niiden korvaamiseen erikseen Sopimuksen hintaliitteen hintoja tai hinnoitteluperiaatteita, jos soveltuvia hintoja ei ole määritelty. Toimittaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan kyseistä tarkistettua sopimusliitettä.
|
|
|