DATA PROCESSING APPENDIX TO BE USED WHEN SANOMA IS THE PROCESSOR 5 (5)
DATA PROCESSING APPENDIX TO BE USED WHEN SANOMA IS THE PROCESSOR 5 (5)
Tämä tietosuojasopimusliite (tämä “Liite”) on osa kunnan tai oppilaitoksen tai muun organisaation (”Rekisterinpitäjä”) ja Sanoma Oyj:n ja sen konserniyhtiöiden (”Henkilötietojen käsittelijä”) (yhdessä ”Osapuolet”) välistä toimeksiantosopimusta (”Sopimus”) päivätty [päivämäärä]
MÄÄRITELMÄT
”Rekisterinpitäjä” tarkoittaa tahoa, joka määrittelee Henkilötietojen Käsittelyn tarkoitukset ja keinot.
”Konserniyhtiö” tarkoittaa tahoa, joka käyttää määräysvaltaa Henkilötietojen käsittelijään, joka on Henkilötietojen käsittelijän määräysvallassa tai joka on saman määräysvallan alainen kuin henkilötietojen käsittelijä.
”Rekisteröity” tarkoittaa tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
”Lait” tarkoittavat tietosuojaan, yksityisyyden suojaan ja tietoturvaan sovellettavia lakeja mukaan lukien, mutta ei rajoittuen, EU direktiivi 95/45/EY ja EU direktiivi 2002/58/EY (yhdessä ”EU Direktiivit”) ja kaikki muutokset, korvaukset ja uudistukset niihin mukaan lukien EU Yleinen Tietosuoja-asetus 2016/679, sekä kaikki sitovat kansalliset lait, jotka toimeenpanevat EU Direktiivejä ja muut tämän Sopimuksen perusteella tehtyyn Henkilötietojen käsittelyyn sovellettavat tietosuojaan, yksityisyyden suojan sekä tietoturvaan liittyvät direktiivit, lait, asetukset ja päätökset.
”Henkilötieto” tarkoittaa kaikkia Rekisteröityyn liittyviä tietoja, jotka on lähetetty Henkilötietojen käsittelijälle; joihin Henkilötietojen käsittelijällä on pääsy tai joita Henkilötietojen käsittelijä muutoin käsittelee Palvelun toteuttamiseksi Rekisterinpitäjän lukuun.
”Henkilötietojen tietoturvaloukkaus” tarkoittaa tietoturvaloukkausta, josta seuraa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,
”Käsittely” tarkoittaa kaikkia toimintoja, joita Henkilötietojen käsittelijä tai Konserniyhtiö tai alihankkija kohdistaa Henkilötietoihin kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, yhdistämistä, muokkaamista, muuttamista, poistamista, tuhoamista, käyttöä tai tietojen luovuttamista siirtämällä tai levittämällä.
”Henkilötietojen käsittelijä” tarkoittaa yllä määriteltyä tahoa, joka käsittelee Henkilötietoja Rekisterinpitäjän lukuun.
”Palvelut” tarkoittavat Henkilötietojen käsittelijän tämän Sopimuksen perusteella tarjoamia palveluita.
”Tekniset ja organisatoriset tietoturvatoimenpiteet” tarkoittavat toimenpiteitä, joilla pyritään suojaamaan Henkilötiedot asiattomalta pääsyltä, vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta tai luovuttamiselta erityisesti kun käsittelyyn liittyy tiedonsiirtoa verkossa sekä muulta laittomalta käsittelyltä.
”Mallisopimuslausekkeet” tarkoittavat EU:n komission päätöksen 5.2.2010 (2010/87/EU) mukaisia mallisopimuslausekkeita henkilötietojen kolmansiin maihin siirtoa varten, sekä kyseisten mallisopimuslausekkeiden muutoksia ja uudistuksia Euroopan komission toimesta. |
1. HENKILÖTIETOJEN KÄSITTELY 1.1. Osapuolten roolit Osapuolet sopivat että Henkilötietojen käsittelyssä tämän Sopimuksen mukaisesti [X yritys] on henkilötietojen Rekisterinpitäjä ja Sanoma Pro on Henkilötietojen käsittelijä.
1.2. Henkilötietojen käsittely Henkilötietojen käsittelijä sitoutuu noudattamaan Henkilötietojen Käsittelyyn soveltuvia Lakeja. Henkilötietojen käsittelijä sitoutuu myös noudattamaan Rekisterinpitäjän kirjallisia ohjeita, jotka liittyvät esimerkiksi Henkilötietojen käsittelyyn, suojaamiseen ja salaamiseen. Henkilötietojen käsittelijä avustaa Rekisterinpitäjää tämän kohtuullisissa pyynnöissä liittyen Henkilötietojen Käsittelyn tietosuojavaikutusten arviointiin ja valvontaviranomaisten etukäteiseen konsultointiin vaikutustenarvioinnista kun Henkilötietojen käsittelyyn liittyy korkea riski. Kaikki muutokset tai ylimääräiset pyynnöt, jotka Rekisterinpitäjä esittää tämän Liitteen voimaantulon jälkeen liittyen Käsittelyyn, mukaan lukien pyynnöt avustaa vaikutustenarvioinnissa ja valvontaviranomaisten konsultoinnissa, laskutetaan erikseen Rekisterinpitäjältä.
Henkilötietojen käsittelijän tulee pitää Henkilötiedot luottamuksellisina, eikä Henkilötietojen käsittelijällä ole oikeutta Henkilötietoihin muuten kuin siinä määrin ja niihin tarkoituksiin, joista on sovittu Rekisterinpitäjän kanssa Sopimuksessa tai muutoin kirjallisesti tai siinä määrin kuin soveltuva lainsäädäntö edellyttää. Henkilötietojen käsittelijä ei saa antaa pääsyä, käyttää, käsitellä, luovuttaa tai siirtää Henkilötietoja kolmansille osapuolille (pois lukien alihankkijat ja Konserniyhtiöt) Sopimuksen voimassa ollessa tai sen jälkeen.
Edellä mainituista huolimatta, Henkilötietojen käsittelijä saa käyttää ei tunnistettavissa olevaa, aggregoitua dataa (i) Rekisterinpitäjälle tarjottujen Palveluiden parantamiseen; (ii) aggregoidulla tasolla olevan tilastoinnin laatimiseen yhdistäen Henkilötietojen käsittelijän eri asiakkaitten dataa ja (iii) tämän Sopimuksen mukaisten oikeuksien ja velvollisuuksien täyttämiseksi. Epäselvyyksien välttämiseksi todettakoon, että Henkilötietojen käsittelijä voi toimia rekisterinpitäjänä tarjotessaan palveluitaan suoraan Rekisteröidyille ja kerätä ja käyttää henkilötietoja (kuten määritelty Laeissa) tietosuojalausekkeen tai soveltuvan sopimuksen mukaisesti. 1.3. Alihankkijoiden käyttö
Henkilötietojen käsittelijä voi käyttää Rekisterinpitäjän kanssa sovitun mukaisesti alihankkijoita. Henkilötietojen käsittelijä edellyttää alihankkijaa noudattamaan vähintään samoja vaatimuksia kuin mitä Henkilötietojen käsittelijään tämän Sopimuksen tai Lakien mukaan kohdistuu. Henkilötietojen käsittelijä vakuuttaa Rekisterinpitäjälle vastaavansa täysimääräisesti alihankkijoittensa ja Konserniyhtiöidensä toimista ja laiminlyönneistä.
1.4. Tietojen poistaminen sopimussuhteen päättyessä
Sopimuksen tai palveluntarjoamisen päättyessä Henkilötietojen käsittelijä (ja sen alihankkijat ja Konserniyhtiöt) palauttaa Rekisterinpitäjän pyynnöstä tälle kaikki tiedot ja tämän jälkeen poistaa Henkilötiedot kaikista laitteista, järjestelmistä ja tietokannoista, joita Henkilötietojen käsittelijä käyttää Henkilötietojen käsittelyyn. Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle kirjallisesti edellä mainitut toimenpiteet tehtyään.
1.5. Tietojen luovuttaminen
Soveltuvan lainsäädännön salliessa, Henkilötietojen käsittelijä ilmoittaa Rekisterinpitäjälle kaikista viranomaisten tietopyynnöistä, jotka liittyvät Rekisterinpitäjän Henkilötietoihin, ellei Henkilötietojen käsittelijää kielletä tekemästä ilmoitusta esimerkiksi rikoslainsäädännön perusteella tutkinnan luottamuksellisuuden säilyttämiseksi. |
2. HENKILÖTIETOJEN SIIRROT
Henkilötietojen käsittelijä ei siirrä tai käsittele Henkilötietoja EU / ETA-alueen ulkopuolisissa valtioissa ilman että on sopinut tästä etukäteen Rekisterinpitäjän kanssa. Erillistä sopimista ei edellytetä, jos Henkilötietojen siirrossa noudatetaan lakisääteisiä vaatimuksia, jotka koskevat Henkilötietojen siirtoa EU/ETA-alueen ulkopuolelle. Rekisterinpitäjä valtuuttaa Henkilötietojen käsittelijän allekirjoittamaan Mallisopimuslausekkeet tarvittaessa alihankkijoidensa kanssa.
|
3. TIETOTURVA JA SUOJAAMISTOIMENPITEET Henkilötietojen käsittelijän on toteutettava ja ylläpidettävä asianmukaisia organisatorisia, operatiivisia, menetelmällisiä, fyysisiä ja teknisiä toimenpiteitä suojatakseen Henkilötiedot asiattomalta pääsyltä, vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, siten että kaikki käsittely täyttää Lakien vaatimukset ja Rekisterinpitäjän kohtuulliset kirjalliset ohjeet erityisesti jos käsittely edellyttää tiedonsiirtoa verkossa. Nämä toimenpiteet varmistavat että tietoturvan taso vastaa niitä riskejä, joita Henkilötietojen Käsittelyyn ja käsiteltävien Henkilötietojen luonteeseen liittyy, ottaen huomioon uusimman tekniikan ja täytäntöönpanokustannukset.
Henkilötietojen käsittelijän tulee rajoittaa pääsy Henkilötietoihin vain niiden käsittelyyn valtuutetuille ja asianmukaisesti koulutetuille työntekijöilleen, jotka tarvitsevat rooliinsa perustuen pääsyn tietoihin ja joita sitoo asianmukaiset salassapitovelvollisuudet.
Henkilötietojen käsittelijän tulee kohtuullisissa määrin pyrkiä varmistamaan että tarjotessaan Palveluita Sopimuksen mukaisesti se toteuttaa kaikki tarpeelliset toimenpiteet suojatakseen tiedot hävittämiseltä ja muuttamiselta, asiattomalta pääsyltä Rekisterinpitäjän IT järjestelmiin, virusten levittämiseltä Rekisterinpitäjän järjestelmiin, ja laittomalta pääsyltä Rekisterinpitäjän IT järjestelmiin ja Rekisterinpitäjän salassa pidettäviin tietoihin. |
4. AUDITOINTI
Rekisterinpitäjän pyynnöstä Henkilötietojen käsittelijä jakaa tälle vuosittain tarvittavat tiedot vaatimusten mukaisuuden osoittamiseksi liittyen tämän Liitteen ja Lakien noudattamiseen.
Rekisterinpitäjä (tai itsenäinen kolmas osapuoli tämän pyynnöstä) voi auditoida Henkilötiedon käsittelijän ja sen alihankkijoiden käsittelytoimia hyväksytyn auditointisuunnitelman mukaisesti ilmoittamalla kirjallisesti 12 työpäivää ennen auditointia.
Jos auditoinnissa selviää että Xxxxxxxx eivät vastaa tämän Liitteen, Sopimuksen tai Lakien vaatimuksia, Henkilötietojen käsittelijän on toteutettava kaikki tarvittavat toimenpiteet vaatimustenmukaisuuden saavuttamiseksi.
Rekisterinpitäjä vastaa auditoinnin kustannuksista. |
5. HENKILÖTIETOJEN TIETOTURVALOUKKAUSTEN KÄSITTELY Henkilötietojen käsittelijän tulee antaa täsmällinen kirjallinen ilmoitus saadessaan tietää Henkilötietojen käsittelyyn liittyvästä Henkilötietojen tietoturvaloukkauksesta tai muusta Henkilötietojen käsittelijään kohdistuvasta täytäntöönpanomenettelystä. Rekisterinpitäjän etukäteen annetun hyväksynnän mukaisesti, Henkilötietojen käsittelijän tulee nopeasti ratkaista loukkauksen aiheuttama ongelma, rajoittaa lisävahinkoja sekä tehdä Lakien vaatimat ilmoitukset rekisteröidyille tai viranomaisille. Henkilötietojen käsittelijän tulee Rekisterinpitäjän pyynnöstä tarjota rekisteröidyille asianmukaisia vahinkoja korjaavia palveluita. Rekisterinpitäjän tulee korvata Henkilötietojen käsittelijälle palveluiden tarjoamisesta aiheutuneet kulut. Henkilötietojen käsittelijän tulee laskuttaa tällaiset kulut erillään muista Rekisterinpitäjälle tarjotuista palveluista.
|
6. REKISTERÖITYJEN OIKEUDET
Rekisterinpitäjän pyynnöstä ja tämän laillisten velvollisuuksien toteuttamiseksi, Henkilötietojen käsittelijä voi kirjallisen pyynnön saatuaan: a) toimittaa Rekisterinpitäjälle kopion rekisteröidyn Henkilötiedoista; b) korjata, estää tai poistaa rekisteröidyn Henkilötietoja; c) toimia Rekisterinpitäjän kanssa yhteistyössä ja vastata tämän kohtuullisiin pyyntöihin liittyen tämän Sopimuksen mukaiseen Henkilötietojen käsittelyyn; d) toimittaa Rekisterinpitäjän pyynnössä Rekisteröidyille, joiden Henkilötietoja käsitellään, tietoa käsittelytoimenpiteistä. Henkilötietojen käsittelijä laskuttaa palvelut erikseen Rekisterinpitäjältä. |
7. SOPIMUKSEN PÄÄTTÄMINEN
Tämä Liite on voimassa niin kauan kuin Sopimus on voimassa ja sen jälkeen niin pitkään kuin on tarpeen, jotta Sopimuksen irtisanomisen tai päättymisen jälkeen tehtävät toimenpiteet saadaan toteutettua. Jos Henkilötietojen käsittelijä käsittelee, mihin tahansa tarkoitukseen, Henkilötietoja Sopimuksen irtisanomisen tai päättymisen jälkeen, tätä Liitettä sovelletaan käsittelyyn niin kauan kuin käsittely jatkuu.
Sellaiset velvoitteet, jotka luonteensa puolesta pysyvät voimassa sopimuksen irtisanomisen tai päättymisen jälkeen pysyvät voimassa.
Tämän Xxxxxxxx ja Sopimuksen ollessa ristiriidassa tämän liitteen ehdot saavat etusijan. Osapuolten on sovittava kirjallisesti muutoksista tähän Liitteeseen. |
Annex 1: Henkilötietojen käsittelyyn liittyvät ohjeistukset
Tähän liitteeseen sisältyy Henkilötietojen käsittelijälle annetut ohjeet Henkilötietojen käsittelyyn. Ohjeita voidaan antaa ja niitä voidaan päivittää sopimuksen voimassaolon aikana.
Rekisterinpitäjä: Rekisterinpitäjä on X jonka henkilötietojen käsittely… …(Kuvaile lyhyesti henkilötietojen käsittelyyn liittyviä toimenpiteitä)
|
Rekisterinpitäjä on kunta tai oppilaitos jonka henkilötietojen käsittely perustuu laillisiin velvotteisiin perusopetuslaissa tai lukiolaissa. Rekisterinpitäjä käsittelee henkilötietoja joko virka-/työsuhteen perusteella tai opetuksen järjestämiseksi.
|
Henkilötietojen käsittelijä: Henkilötietojen käsittelijä on Y joka käsittelee…(Kuvaile lyhyesti henkilötietojen käsittelyyn liittyviä toimenpiteitä)
|
Henkilötietojen käsittelijä on Sanoma Pro, joka käsittelee henkilötietoja rekisterinpitäjän lukuun käyttöehdoissa kuvatuilla tavoilla oppimispalvelun tarjoamiseksi.
|
Rekisteröidyt: Henkilötiedot, joita käsitellään koskevat.. (kuvaile tyypillisiä rekisteröityjä / niitten luokkaa)
|
Henkilötiedot, joita käsitellään koskevat tyypillisesti oppilaitosten henkilökuntaa, opettajia, sekä oppilaita. |
Tietotyypit: Seuraavia henkilötietotyyppejä käsitellään: (kuvaile minkätyylisiä tietoja käsitellään)
|
Seuraavia henkilötietotyyppejä käsitellään: Nimi, oppilaitos, ryhmätieto ja luokka-aste, tekninen tunniste, palvelun käytössä muodostuva oppimishistoria ja arviointidata |
Arkaluonteiset henkilötiedot: Seuraavia arkaluonteisia henkilötietoja voidaan käsitellä .. (kuvaile mitä tietotyyppejä)
|
Seuraavia arkaluonteisia henkilötietoja voidaan käsitellä: Sanoma Pro ei käsittele arkaluonteisia henkilötietoja. |
Hyväksytyt alihankkijat: Henkilötietoja käsittelee seuraavat hyväksytyt alihankkijat: (listaa alihankkijat)
|
Henkilötietoja käsittelee vaihtuva joukko alihankkijoita, jotka Sanoma Pro on arvioinut luotettavaksi ja jotka ovat sopimuksellisesti sitoutuneet noudattamaan vallitsevaa lainsäädäntöä tietojen käsittelyyn liittyen. Ajantasainen listaus on saatavilla Sanoma Prolta pyydettäessä. |
Valtiot ja sijainnit joihin tietoja siirretään: Henkilötietoja siirretään (niihin on pääsy tai niitä säilytetään) seuraavissa Valtioissa / sijainneissa (listaa sijainnit): |
Henkilötiedot sijaitsevat EU:n alueella ja niitä voidaan siirtää palvelun tuottamiseksi Kanadaan ja Australiaan yhden alihankkijan käsittelyyn. |
Data Processing Appendix (Sanoma as a processor to controller)