TIETOJENKÄSITTELYSOPIMUS

LIITE 2 – v2.1


TIETOJENKÄSITTELYSOPIMUS


1 OSAPUOLET


Tämä Tietojenkäsittelysopimus (”TKS”) on tehty seuraavien osapuolten välillä:


(A) [Hyödyntävä organisaatio], (y-tunnus), jonka osoite on ●,● (jäljempänä ”Hyödyntävä organisaatio” tai ”Rekisterinpitäjä”)


JA


(B) CSC ‒ Tieteen tietotekniikan keskus Oy (y-tunnus: 0920632-0), jonka osoite on Xxxxxxxxxx 00, 00000 Espoo (jäljempänä ”CSC” tai ”Henkilötietojen Käsittelijä”)


yhdessä Osapuolet ja erikseen Osapuoli.


2 TAUSTA JA TARKOITUS


Tässä TKS:ssa sovitaan ehdoista, joiden mukaisesti CSC käsittelee tämän TKS:n liitteenä 1 olevassa Käsittelytoimien kuvaus -dokumentissa (”Käsittelytoimien kuvaus”) yksilöityjä Henkilötietoja Hyödyntävän organisaation puolesta Hyödyntävän organisaation ja CSC:n välisen PAS-palvelusopimuksen (”Sopimus”) yhteydessä. TKS on erottamaton osa Sopimusta.


Tätä TKS:ta sovelletaan niiltä osin kuin CSC toimii Henkilötietojen käsittelijänä ja Hyödyntävä organisaatio rekisterinpitäjänä Henkilötietojen osalta siten kuin Tietosuojalainsäädännössä on määritelty.


3 MÄÄRITELMÄT


(a) ”Tietosuojalainsäädäntö” tarkoittaa Suomen tietosuojalakia ja EU:n yleistä tietosuoja-asetusta, muuta kulloinkin voimassa olevaa ja sovellettavaa tietosuojalainsäädäntöä sekä tietosuojaviranomaisten määräyksiä ja sitovia ohjeita.

(b) ”Rekisteröity” tarkoittaa henkilöä, jonka Henkilötietoja Henkilötietojen Käsittelijä käsittelee tämän TKS:n ja Sopimuksen mukaisesti.

(c) ”Immateriaalioikeus” tarkoittaa kaikkia omistus- ja immateriaalioikeuksia, muun muassa tietokantaoikeuksia, patentteja, tekijänoikeuksia, tavaramerkkejä, liikesalaisuuksia ja tietotaitoa sekä muuta vastaavaa aineetonta omaisuutta.

(d) ”Laki” tarkoittaa (i) mitä tahansa lakia tai sitä alempitasoista pakottavaa säädöstä, joka koskee Osapuolta ja/tai joka on voimassa ja jota sovelletaan alueella, jolla Palveluita tarjotaan, Tietosuojalainsäädäntö mukaan luettuna ja (ii) mitä tahansa sitovaa tuomioistuimen määräystä, tuomiota tai päätöstä taikka soveltuvaa ohjetta, menettelytapaa, normia tai määräystä, joka sitoo Osapuolta ja jonka antaneella viranomaisella on toimivalta Osapuoleen tai Osapuolen omaisuuteen tai liiketoimintaan liittyvissä asioissa.

(e) ”Henkilötiedot” tarkoittaa kaikenlaista tietoa, joka koskee tunnistettua tai tunnistettavaa luonnollista henkilöä niin kuin Tietosuojalainsäädännössä on tarkemmin määritelty. Tämän sopimuksen nojalla käsiteltävät Henkilötiedot on määritelty tarkemmin Käsittelytoimien kuvauksessa.

(f) ”Henkilötietojen Tietoturvaloukkaus” tarkoittaa tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen tai luvaton luovuttaminen taikka luvaton pääsy tietoihin.

(g) ”Palveluilla” tarkoitetaan Henkilötietojen Käsittelijän Sopimuksen mukaisesti suorittamaa Henkilötietojen käsittelyä.

4 OSAPUOLTEN YLEISET OIKEUDET JA VASTUUT


Rekisterinpitäjä


(a) käsittelee Henkilötietoja Xxxxx ja tätä TKS:ta noudattaen

(b) ilmoittaa Henkilötietojen käsittelyn tarkoituksen ja keinot

(c) antaa Henkilötietojen Käsittelijälle Henkilötietojen käsittelyä koskevia ohjeita, joiden on oltava sovellettavan Tietosuojalainsäädännön mukaiset

(d) vahvistaa tämän TKS:n allekirjoittamalla, että (i) tässä TKS:ssa säädetty käsittely täyttää Rekisterinpitäjän vaatimukset muun muassa suunniteltujen turvatoimien osalta ja että (ii) se on toimittanut Henkilötietojen Käsittelijälle kaikki tarvittavat tiedot, jotta Henkilötietojen Käsittelijä voi käsitellä tietoja sovellettavan Tietosuojalainsäädännön mukaisesti.


Henkilötietojen Käsittelijä


(a) käsittelee Henkilötietoja Xxxxx ja tätä TKS:ta noudattaen

(b) käsittelee Henkilötietoja ainoastaan Rekisterinpitäjän dokumentoitujen perusteltujen ja kohtuullisten ohjeiden mukaisesti, ellei Henkilötietojen Käsittelijään sovellettavassa Laissa toisin vaadita. Tällaisessa tilanteessa Henkilötietojen Käsittelijän on ilmoitettava Rekisterinpitäjälle Xxxx vaatimuksesta ennen Henkilötietojen käsittelyä, ellei ilmoittamista ole Laissa kielletty

(c) auttaa kohtuullisilla asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä Rekisterinpitäjää täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat Laissa säädettyjen Rekisteröidyn oikeuksien käyttämistä, käsittelytoimen luonne huomioon ottaen

(d) auttaa kohtuullisesti ja Rekisterinpitäjän kohtuullisesta pyynnöstä Rekisterinpitäjää varmistamaan, että tämä noudattaa lakisääteisiä velvollisuuksiaan, kuten Tietosuojalainsäädännössä säädettyjä tietoturvaa, tietosuojaa koskevaa vaikutustenarviointia ja ennakkokuulemista koskevia velvollisuuksiaan, käsittelytoimen luonne ja Henkilötietojen Käsittelijän käytettävissä olevat tiedot huomioiden

(e) voi tämän ennakkoluvan mukaisesti käyttää alihankkijoita sellaisessa toiminnassa, jossa alihankkijat eivät pääse käsittelemään aineistoihin sisältyviä henkilötietoja. Muissa tapauksissa Henkilötietojen käsittelijän on pyydettävä ennakolta rekisterinpitäjän hyväksyntä alihankkijan käyttöön. Henkilötietojen Käsittelijä vastaa alihankkijoidensa velvollisuuksista kuin omistaan ja sopii alihankkijoidensa kanssa tämän TKS:n velvoitteita vastaavista sopimusvelvoitteista. Henkilötietojen Käsittelijä toimittaa Rekisterinpitäjälle tiedon uusista alihankkijoista, jotka käsittelevät Henkilötietoja ja varaa Rekisterinpitäjälle oikeuden vastustaa uuden alihankkijan käyttämistä. Mikäli Osapuolet eivät pysty sopimaan tällaisen uuden alihankkijan käyttämisestä, on Henkilötietojen Käsittelijällä oikeus irtisanoa Sopimus ja tämä TKS päättymään Sopimuksessa määritellyllä tavalla.

(f) käsittelee Henkilötietoja ainoastaan tämän TKS:n sopimuskauden ajan.


Henkilötietojen Käsittelijä on oikeutettu veloittamaan Rekisterinpitäjän avustamisesta aiheutuvat kohtuulliset kustannukset kulloinkin voimassa olevan hinnastonsa mukaisesti siltä osin kuin avustaminen ei kuulu Henkilötietojen Käsittelijän tarjoaman palvelun palvelukuvauksen mukaiseen toimintaan.


Henkilötietojen käsittelyä on lisäksi kuvattu ja yksilöity Sopimuksessa ja Käsittelytoimien kuvauksessa. Osapuolet hyväksyvät, että TKS:n allekirjoitushetkellä Käsittelytoimien kuvaus yhdessä Sopimuksen ja sen muiden liitteiden kanssa muodostaa henkilötietojen käsittelyä koskevat Rekisterinpitäjän ohjeet. Rekisterinpitäjä voi Sopimuksen voimassaoloaikana täydentää näitä ohjeita päivittämällä käsittelytoimien kuvausta Sopimuksessa (kohdassa 10) määritellyllä tavalla.

5 TIETOPYYNNÖT JA AUDITOINNIT


CSC:n on Tietosuojalainsäädännön mukaisesti saatettava Hyödyntävän organisaation saataville sellaiset tiedot, jotka ovat kohtuullisesti arvioiden tarpeellisia sen osoittamiseksi, että CSC noudattaa tätä TKS:ta ja henkilötietojen käsittelijöille Tietosuojalainsäännössä säädettyjä velvollisuuksia, ja sallittava Hyödyntävän organisaation tai muun Hyödyntävän organisaation valtuuttaman auditoijan tätä tarkoitusta varten ja ainoastaan Hyödyntävän organisaation Henkilötietojen osalta suorittamat auditoinnit, kuten tarkastukset, sekä osallistuttava niihin. Tämä edellyttää, että Hyödyntävä organisaatio


(a) ilmoittaa CSC:lle kohtuullisesti etukäteen tietopyynnöstä, auditoinnista ja/tai tarkastuksesta

(b) huolehtii siitä, että kaikki Hyödyntävän organisaation tai sen auditoijan/auditoijien tietopyyntöjen, tarkastusten ja auditointien yhteydessä hankkimat tai tuottamat tiedot pidetään ehdottoman luottamuksellisina (lukuun ottamatta henkilötietojen luovuttamista valvontaviranomaiselle tai muuta Laista johtuvaa luovuttamista)

(c) huolehtii siitä, että auditointi tai tarkastus suoritetaan CSC:n tavanomaisen työajan kuluessa niin, että se aiheuttaa mahdollisimman vähän häiriötä CSC:n, alihankkijoiden ja CSC:n muiden asiakkaiden liiketoiminnalle

(d) maksaa CSC:lle tämän kohtuulliset kulut, jotka aiheutuvat Hyödyntävän organisaation vaatimuksesta tehtävien tarkastuksien ja auditointien sallimisesta ja niihin osallistumisesta. Mikäli CSC tekee tai teettää PAS-palvelua koskevia tarkastuksia tai auditointeja muuten kuin Hyödyntävän organisaation pyynnöstä, CSC raportoi auditointien tuloksista osana palvelukuvauksen mukaista toimintaa myös Hyödyntävälle organisaatiolle.


6 TEKNISET JA ORGANISATORISET TOIMENPITEET


Henkilötietojen Käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet ja pidettävä ne voimassa tämän TKS:n ajan.


Rekisterinpitäjän vastuulla on huolehtia, että Henkilötietojen Käsittelijälle ilmoitetaan kaikista Rekisterinpitäjän toimittamiin Henkilötietoihin liittyvistä asioista (muun muassa riskiarviosta), jotka saattavat vaikuttaa tämän TKS:n mukaisesti käytettäviin teknisiin ja organisatorisiin toimenpiteisiin.


Henkilötietojen Käsittelijä huolehtii siitä, että kaikki sen alaisuudessa toimivat henkilöt, joilla on pääsy Henkilötietoihin, käsittelevät Henkilötietoja ainoastaan Rekisterinpitäjän ohjeiden mukaisesti, xxxxx Xxxx muuhun velvoita.


7 HENKILÖTIETOJEN TIETOTURVALOUKKAUKSET


Jos tapahtuu Henkilötietojen Tietoturvaloukkaus, Henkilötietojen Käsittelijän on siitä tiedon saatuaan ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 36 tunnin kuluessa ilmoitettava siitä kirjallisesti Rekisterinpitäjälle ja toimitettava sille tiedot Henkilötietojen Tietoturvaloukkauksesta.


8 SALASSAPITO


Henkilötietojen Käsittelijä huolehtii siitä, että kaikkiin sen Henkilötietoja käsitteleviin työntekijöihin sovelletaan kattavaa salassapitovelvollisuutta ja että he ovat tietoisia tämän TKS:n ja sen liitteiden vaatimuksista.


9 SOPIMUKSEN VOIMASSAOLO JA IRTISANOMINEN


Tämä TKS tulee voimaan, kun kumpikin Osapuoli on sen allekirjoittanut, ja se on voimassa Sopimuksen voimassaoloajan. Tämä TKS päättyy automaattisesti, jos Sopimus päättyy.

10 MUUT EHDOT


Kaikki muutokset tähän TKS:een on tehtävä kirjallisesti. Jotta muutokset olisivat päteviä, molempien Osapuolten valtuutettujen edustajien on allekirjoitettava ne.


11 ALLEKIRJOITUKSET



Espoossa,    .    .    PAIKKA,    .    .  


CSC – TIETEEN TIETOTEKNIIKAN KESKUS OY <SOPIMUSKUMPPANI>


Xxxxx Xxxxx Toimitusjohtaja

<Nimi>

<Nimike>

LIITE 1 KÄSITTELYTOIMIEN KUVAUS KULTTUURIPERINTÖ-PAS- PALVELU


1 DOKUMENTIN TARKOITUS

Hyödyntävä organisaatio on tehnyt CSC – Tieteen tietotekniikan keskus Oy:n kanssa PAS-palvelusopimuksen OKM:n tarjoaman Kulttuuriperintö-PAS-palvelun hyödyntämisestä, jonka yhteydessä CSC käsittelee Henkilötietoja Hyödyntävän organisaation puolesta ja lukuun OKM:n valtuuttamana.


Tuottaessaan palvelua CSC toimii Hyödyntävän organisaation rekisterinpitoon kuuluvien Henkilötietojen käsittelijänä.


Tässä dokumentissa kuvataan käsittelytoimet, joita CSC henkilötietojen käsittelijänä tekee Hyödyntävän organisaation puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämä dokumentti liitetään PAS-palvelusopimukseen kuuluvan Tietojenkäsittelysopimuksen liitteeksi.


2 KULTTUURIPERINTÖ-PAS-PALVELU

OKM tarjoaa Kulttuuriperintö-PAS-palvelun kulttuuriperintöaineistoille Hyödyntävän organisaation ja CSC:n välisessä sopimuksessa kuvatulla tavalla.


2.1 Henkilötietojen tyypit ja rekisteröityjen ryhmät


Osapuolet ovat sopineet, että CSC käsittelee Hyödyntävän organisaation puolesta Sopimuksessa sovitun palvelun tuottamiseksi seuraavia Hyödyntävän organisaation rekisterinpitoon kuuluvia henkilötietoja:


-  [OHJE: hyödyntävä organisaatio kuvaa tähän millaisia henkilötietoja aineistot sisältävät, eli mitä henkilötietoja CSC käsittelee palvelua toteuttaessaan. Nämä tiedot sisältyvät tyypillisesti organisaation laatimaan tietosuojaselosteeseen ja voidaan kopioida näistä selosteista.]  

- _[Henkilötiedot tulisi ryhmitellä ja yksilöidä (ts. tulee kuvata käsiteltävien henkilötietojen tyypit ja rekisteröityjen ryhmät),.         

-               

-               


2.2 Käsittelyn kohde, luonne ja tarkoitus


OKM tarjoaa ja CSC tuottaa Sopimuksen mukaisen Kulttuuriperintö-PAS-palvelun Hyödyntävälle organisaatiolle. CSC:n toteuttama henkilötietojen käsittely on luonteeltaan aineistojen autenttisuuden, eheyden ja käyttökelpoisuuden säilyttävää ja niihin liittyvien toimenpiteiden suorittamista ja hallitsemista. CSC:n Hyödyntävän organisaation puolesta ja lukuun toteuttamat käsittelytoimet rajoittuvat:


tietojen säilyttämiseen ja hallintaan sopimuksen mukaisesti, sekä

tietojen palauttamiseen vain niistä vastaavalle organisaatiolle.


Hyödyntävä organisaatio ohjeistaa tällä asiakirjalla CSC:n käsittelemään henkilötietoja yksinomaan digitaalisten aineistojen pitkäaikaissäilytyspalvelun edellyttämällä tavalla ja laajuudessa, ellei Hyödyntävä organisaatio nimenomaisesti ja kirjallisesti muuta ohjeista esimerkiksi teknisen ongelmanratkaisun yhteydessä.


CSC toteuttaa käsittelyn ja ylläpitää käsittelyn turvallisuuden edellyttämät tekniset ja organisatoriset toimenpiteet Tietojenkäsittelysopimuksen mukaisesti.

3 HENKILÖTIETOJEN KÄSITTELYN KESTO

CSC käsittelee tässä liitteessä yksilöityjä Henkilötietoja Sopimuksen voimassaoloajan, ja Sopimuksessa sovitun ajan päätyttyä ne poistetaan.

Document Metadata

Filed: September 8th, 2020