TIETOJENKÄSITTELYSOPIMUS
Tämä on Tietojenkäsittelysopimus (DPA), joka koskee Vuokrauskohteen vuokraustoiminnan yhteydessä käytettävää asiakastietorekisteriä.
1. Osapuolet
1.1. Rekisterinpitäjät
Akateeminen aurajokilaivuriyhdistys ry Y-tunnus 1481154-1
Rehtorinpellonkatu 4 B
20500 Turku
S-Osakunnat ry
Y-tunnus 2670631-9
Rehtorinpellonkatu 4 B
20500 Turku
1.2. Henkilötietojen käsittelijä
Turun yliopiston ylioppilaskunta Y-tunnus 0197626-7
Rehtorinpellonkatu 4 A
20500 Turku
2. Vuokrauskohde
Osakuntasali Rehtorinpellonkatu 4 B
20500 Turku
3. Henkilötietojen määritelmä
”Henkilötietoja” ovat kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti tunnisteiden, kuten nimen, osoitteen, henkilötunnuksen, liittymänumeron, IP-osoitteen, sijaintitiedon, verkkotunnisteen, välitystietojen tai viestin sisällön perusteella taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysio- logisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
4. Henkilötietojen käsittelijän tehtävät
Henkilötietojen käsittelijä ottaa vastaan asiakkaalta varauksen Vuokrauskohteeseen, kerää asiakkaalta tarvittavat tiedot sekä laatii asiakkaan kanssa Vuokrauskohdetta koskevan vuokrasopimuksen. Kerätyt tiedot ja allekirjoitetun vuokrasopimuksen Henkilötietojen käsittelijä toimittaaa Rekisterinpitäjille. Näin Henkilötietojen käsittelijä käsittelee Rekisterinpitäjän asiakkaita koskevia Henkilötietoja, joita ovat:
• Nimi
• Henkilötunnus
• Sähköpostiosoite
• Puhelinnumero
Tämän Tietojenkäsittelysopimuksen tarkoitus on varmistaa Henkilötietoja koskeva tietosuoja ja tietoturva, kun Henkilötietojen käsittelijä käsittelee Henkilötietoja Rekisterinpitäjän puolesta.
5. Rekisterinpitäjän velvollisuudet
Rekisterinpitäjä hyväksyy ja vakuuttaa, että Vuokrauskohteen vuokraustoimintaan liittyvien Henkilötietojen käsittely on sovellettavan tietosuojalainsäädännön mukaan laillista.
Rekisterinpitäjä vakuuttaa erityisesti, että:
(i) Henkilötietojen käsittely perustuu oikeutettuihin tarkoituksiin, joilla on lailliset perusteet
(ii) Rekisteröidyt henkilöt ovat saaneet asianmukaisesti tiedon Henkilötietojen käsittelystä Rekisterinpitäjä ohjeistaa Henkilötietojen käsittelijää tietojen käsittelystä seuraavasti:
Rekisterinpitäjä vakuuttaa, että tämä Tietojenkäsittelysopimus sekä Rekisterinpitäjän antamat lainmukaiset ohjeet antavat riittävät takuut siitä, että Henkilötietojen käsittelijän Vuokrauskohteen vuokraustoiminnan yhteydessä suorittama Henkilötietojen käsittely täyttää sovellettavan tietosuojalainsäädännön vaatimukset.
TIETOJENKÄSITTELYOHJE
6. Henkilötietojen käsittelijän velvollisuudet
Henkilötietojen käsittelijä saa käsitellä henkilötietoja ainoastaan tässä Tietojenkäsittelysopimuksessa määriteltyjen dokumentoitujen ohjeiden mukaisesti. Osapuolet sopivat yhteisesti mahdollisista muutoksista tietojenkäsittelyohjeeseen.
• Tietojen käsittelyssä tulee noudattaa äärimmäistä huolellisuutta, jotta varmistetaan henkilötietojen asianmukainen käsittely.
• Asiakkaan luovuttamia henkilötietoja käsitellään vain Vuokrauskohteen vuokraustoiminnan yhteydessä.
• Tietojenkäsittelijää sitoo salassapitovelvollisuus henkilötietoihin liittyen.
7. Tietojen luovutus EU-alueen ulkopuolelle
Henkilötietoja voidaan siirtää Euroopan unionin tai Euroopan talousalueen ulkopuolelle tietosuojalainsäädännön mukaisesti, jos tällaisesta mahdollisuudesta on nimenomaisesti kerrottu rekisteröitävälle henkilölle tietojen rekisteröinnin yhteydessä. Rekisterinpitäjällä on oikeus milloin tahansa saada toimittajalta tiedot henkilötietojen käsittelyn sijainnista.
8. Henkilötietojen tuhoaminen tai palauttaminen Vuokrauskohteen vuokraustoiminnan päätyttyä
Kun Vuokrauskohteen vuokraustoiminta Osapuolten kesken päättyy, Henkilötietojen käsittelijän on tuhottava tai palautettava Rekisterinpitäjälle sen hallussa olevat Henkilötiedot.
9. Tietoturva
Henkilötietojen käsittelijä ottaa huomioon asiakastietojen käsittelyyn liittyvät riskit ja tekee ne huomioiden tarpeelliset toimenpiteet hallinnollisesti ja tietoteknisesti, jotta riskit Rekisterinpitäjän säilyttämän henkilötietodatan oikeudettomaan käyttöön minimoidaan.
Lisäksi Henkilötietojen käsittelijä tekee tarvittavat toimenpiteet, jotta tietojen eheys ja saatavuus taataan.
Henkilötietojen käsittelijä varmistaa, että henkilötietoja käsittelevät työntekijät ovat saaneet asiankuuluvan koulutuksen ja ohjeistuksen Henkilötietojen käsittelyyn.
Henkilötietojen käsittelijä tekee muun muassa, mutta ei rajoittuen, seuraavia tietoturvatoimia henkilötietojen suojaamiseksi:
• Käyttöoikeushallinta ja käyttöoikeuksien minimointi
• Tekniset ratkaisut tiedonsiirron salaamiseksi
• Hallinnollinen tietoturva
• Riskienhallinta
• Henkilöstön turvaselvitykset
• Järjestelmien tietoturvatestaus
Henkilötietojen käsittelijä takaa Rekisterinpitäjälle tietosuojalainsäädännön edellyttämät oikeudet Henkilötietojen käsittelijän auditointiin. Kumpikin osapuoli vastaa omalta osaltaan tarkastuksista aiheutuvista kustannuksista.
10. Toimenpiteet tietoturvaloukkauksen sattuessa
Henkilötietojen käsittelijän on ilmoitettava kirjallisesti Henkilötietojen tietoturvaloukkauksesta Rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa ja viimeistään 36 tunnin kuluessa.
Henkilötietojen käsittelijän on annettava Rekisterinpitäjälle vähintään seuraavat tiedot tietoturvaloukkauksesta:
1. kuvattava henkilötietojen tietoturvaloukkaus;
2. ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;
3. kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä
4. kuvattava toimenpiteet, joita kyseinen Henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
11. Vastuut
Kumpikin Osapuoli on vastuussa kustannuksista, kuluista, korvauksista, menetyksistä ja vahingoista, joita toiselle Osapuolelle aiheutuu tämän Tietojenkäsittelysopimuksen,
ja/tai sovellettavan tietosuojalainsäädännön taikka toimivaltaisen tietosuojaviranomaisen tekemän päätöksen vastaisesta menettelystä.
12. Sopimuksen lakkaaminen
Tietojenkäsittelysopimus päättyy samanaikaisesti Vuokrauskohteen vuokraustoiminnan kanssa, kunhan kohdassa 8. mainitut velvoitteet on täytetty.
Turussa 31.5.2018
Xxxx Xxxxxxx puheenjohtaja
Akateeminen aurajokilaivuriyhdistys ry
Xxxx Xxxxxxx puheenjohtaja S-Osakunnat ry
Xxxxx Xxxxxxxxxx Xxxxx Xxxxxxx
hallituksen puheenjohtaja pääsihteeri Turun yliopiston ylioppilaskunta