TIETOSUOJALINJAUS, LIITE 1

Tietosuojadokumentaatio Luotu : 10.2.2019

Päivitetty : 14.1.2020

TIETOSUOJALINJAUS, LIITE 1

JÄRJESTÖN HENKILÖTIETOJEN KÄSITTELY - KOLMIKANTASOPIMUS

1 Osapuolet

Tämän Henkilötietojen käsittelysopimuksen (Sopimus) Osapuolet ovat:

1) Suomen Punainen Risti valtakunnallisesti (Järjestö), jota edustaa Keskustoi- misto,

2) Suomen Punainen Risti alueellisesti (Piirit), ja

3) Suomen Punaisen Risti paikallisesti (Osastot).

Kunkin Osapuolen hallitus kokouksessaan tekemällään päätöksellä liittyy Osapuo- leksi tähän Sopimukseen ja samassa päätöksessään ilmoittaa sitoutuvansa Suomen Punaisen Ristin tietosuojalinjauksen noudattamiseen (Järjestö, Piirit ja Osastot, jäl- jempänä yhdessä Osapuolet).

2 Henkilötietojen käsittelysopimuksen tarkoitus ja soveltamisala

Tämä Sopimus määrittelee Osapuolten välistä yhteistyötä ja sitä sovelletaan kaik- keen Järjestön nimissä suoritettavaan Henkilötietojen käsittelyyn.

Tämä Sopimus kattaa Henkilötiedot, jossa Järjestö toimii Rekisterinpitäjänä (Rekis- terinpitäjä) ja Piiri sekä Osasto Käsittelijöinä (Käsittelijät).

Tämän Sopimuksen mukaisesti Käsittelijät käsittelevät Henkilötietoja Rekisterinpitä- jän toiminnan tukemisen tarkoituksiin. Käsiteltävät Henkilötiedot voivat sisältää mm. järjestön jäsenien, vapaaehtoisten, koulutettujen, kouluttajien, yritys- ja kouluyh- teistyöhenkilöiden, sekä eri autettavien ryhmien Henkilötietoja.

3 Määritelmät ja roolit

Tässä Sopimuksessa tarkoittaa:

1) Tietosuojalainsäädäntö Suomessa kulloinkin voimassaolevaa tietosuojalain- säädäntöä (mm. EU:n yleinen tietosuoja-asetus GDPR 2016/679/EU ja Suomen tietosuojalaki 1050/2018) ja tietosuojaviranomaisten sitovia määräyksiä,

2) Rekisteröity henkilöä, jonka Henkilötietoja käsitellään Järjestön toiminnan tu- kemisen tarkoituksiin,

3) Henkilötieto kaikenlaista tietoa, joka koskee tunnistettua tai tunnistettavaa luonnollista henkilöä, ja jotka on saatu Järjestön toiminnan puitteissa ennen tai jälkeen tämän Sopimuksen voimaantuloa,

4) Rekisterinpitäjä tahoa, joka määrittelee mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään; Tämän Sopimuksen yhteydessä Keskustoimisto toimii Rekisterinpitäjänä,

5) Käsittelijä tahoa, joka käsittelee henkilötietoja rekisterinpitäjän nimissä; Tämän Sopimuksen yhteydessä Piiri ja Osasto toimivat henkilötietojen käsittelijöinä,

6) Koostedokumentti selostetta käsittelytoimista rekisterinpitäjän lukuun suori- tettavasta Henkilötietojen käsittelystä.

4 Osapuolten yhteiset velvollisuudet

Kaikkien Osapuolten tulee

1) käsitellä Henkilötietoja hyvää tietojenkäsittelytapaa noudattaen ja Tietosuojalain- säädännön mukaisesti,

2) sitoutua kehittämään ja käyttämään Järjestön Henkilötietojen käsittelyä tukevia keskitettyjä järjestelmiä,

3) sitoutua kaikkien Järjestön Henkilötietojen tietoturvalliseen ja huolelliseen käsit- telyyn.

5 Rekisterinpitäjän velvollisuudet

Rekisterinpitäjän tulee

1) antaa Käsittelijöille Henkilötietojen käsittelystä kirjalliset Tietosuojalainsäädän- nön mukaiset ohjeistukset, jotka sitovat Käsittelijöitä,

2) vastata Rekisteröityjen oikeuksiensa toteuttamista koskevista pyynnöistä. Rekis- terinpitäjä ilmoittaa Käsittelijöille tällaisista pyynnöistä, mikäli niiden toteuttami- nen vaatii toimenpiteitä myös Piiriltä tai Osastolta,

3) tukea Piirejä asianmukaisella materiaalilla ja tuella Osastojen tietosuojakoulutuk- sessa.

6 Piirin velvollisuudet

Piirin tulee

1) nimetä piirin tietosuojasta vastaava henkilö,

2) ylläpitää mallipohjan mukainen koostedokumentti Järjestön nimiin tapahtuvasta Henkilötietojen käsittelystä,

3) tukea alueensa Osastoja Järjestön Henkilötietojen Käsittelijänä,

4) sitoutua Osastojensa toimijoiden tietosuojakoulutukseen,

5) varmistaa Osastojen tietoisuus velvollisuuksista ja oikeuksista Järjestön Henki- lötietojen Käsittelijänä,

6) tukea Osastoa niissä tapauksissa, joissa Osastolla ei ole suoraa pääsyä Järjestön henkilötietojärjestelmiin,

7) vastata ilman aiheetonta viivästystä Keskustoimiston esittämiin Rekisteröityjen oikeuksia koskeviin kysymyksiin.

7 Osaston velvollisuudet

Osaston tulee

1) käsitellä Henkilötietoja laillisten käsittelyperusteiden puitteissa,

2) nimetä Osaston tietosuojayhteyshenkilö (J2),

3) ylläpitää mallipohjan mukainen Koostedokumentti Järjestön nimiin tapahtuvasta Henkilötietojen käsittelystä,

4) varmistaa luottamushenkilöiden ja vastuuvapaaehtoisten sekä muiden avainhen- kilöiden tietosuojaosaaminen,

5) vastata ilman aiheetonta viivästystä Keskustoimiston esittämiin rekisteröityjen oikeuksia koskeviin kysymyksiin.

8 Käsittelijöiden yleiset velvollisuudet

Käsittelijöiden tulee

1) käsitellä Henkilötietoja Rekisterinpitäjän antaminen dokumentoitujen ohjeiden mukaisesti,

2) välittömästi ilmoittaa Rekisterinpitäjälle, jos he katsovat, että Rekisterinpitäjän ohjeistus rikkoo Tietosuojalainsäädäntöä,

3) toteuttaa riittävät tekniset ja organisatoriset turvatoimet Henkilötietojen suojaa- miseksi tietosuoja-asetuksen 32 artiklan edellyttämällä tavalla,

4) auttaa soveltuvin osin ja tarvittavassa laajuudessa Rekisterinpitäjää varmista- maan, että tietosuoja-asetuksen 32-36 artiklassa säädettyjä velvollisuuksia nou- datetaan,

5) varmistaa, että henkilöt, joilla on oikeus käsitellä Henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisää- teinen salassapitovelvollisuus,

6) poistaa tai palauttaa tarkoituksenmukaisen käsittelyn päätyttyä kaikki Henkilötie- dot Rekisterinpitäjälle, ellei laissa toisin määrätä,

7) saattaa Rekisterinpitäjän saataville kaikki sellaiset tiedot, jotka ovat tarpeen Re- kisterinpitäjän velvollisuuksien noudattamista varten,

8) ilmoittaa Henkilötietojen tietoturvaloukkauksista Rekisterinpitäjälle ilman aihee- tonta viivytystä saatuaan sen tietoonsa.

9 Henkilötietojen luovuttaminen

Käsittelijät eivät saa luovuttaa tai siirtää Järjestön Henkilötietoja kolmannelle taholle muutoin kuin ennalta määrätyssä käsittelytarkoituksessa.

Järjestön Henkilötietoja voidaan tarvittaessa luovuttaa järjestön sisällä Keskustoi- miston, Piirien ja Osastojen välillä.

10 Alihankkijat

Käsittelijät voivat käyttää alihankkijoita Henkilötietojen käsittelyyn.

Käsittelijät vastaavat alihankkijoidensa toimista kuin omistaan ja tekevät alihankki- joidensa kanssa tarvittavan tietojenkäsittelysopimuksen.

11 Auditointi

Rekisterinpitäjällä on oikeus suorittaa Käsittelijöille auditointeja ja tarkastuksia sen varmistamiseksi, että Käsittelijät noudattavat Tietosuojalainsäädäntöä sekä tässä Sopimuksessa asetettuja velvollisuuksia Henkilötietojen käsittelyn suhteen. Piirillä on oikeus suorittaa auditointeja ja tarkastuksia Osastolle Rekisterinpitäjän puolesta.

12 Vastuunrajoitus

Vastuu tietosuojaliitännäisistä vahingoista määräytyy tietosuoja-asetuksen mukai- sesti.

13 Sovellettava laki ja riidanratkaisu

Tähän Sopimukseen sovelletaan Suomen lakia. Erimielisyydet pyritään ensisijaisesti ratkaisemaan neuvottelemalla. Jos erimielisyyksiä ei neuvotteluteitse saada ratkais- tua, voidaan asia viedä ratkaistavaksi Helsingin käräjäoikeuteen.