TIETOJENKÄSITTELYSOPIMUS

TIETOJENKÄSITTELYSOPIMUS

Tällä tietojenkäsittelysopimuksella osapuolet sopivat henkilötietojen käsittelyn periaatteista sellaisissa muissa sopimussuhteissa, joihin tällaisten henkilötietojen käsittely kuuluu. Tuota palvelun järjestämiseksi solmittua sopimusta kutsutaan tässä sopimuksessa Pääsopimukseksi.

1. Osapuolet Rekisterinpitäjä:

Fination Oy (2825430-1)

Henkilötietojen käsittelijä:

Turun yliopiston ylioppilaskunta (jäljempänä TYY, 0197626-7)

2. Taustaa

TYY tarjoaa Fination Oy:lle palvelua keräämällä ja välittämällä Fination Oy:n henkilöstöpooliin hakeneiden opiskelijoiden yhteystiedot henkilöstöpoolia ja Fination Oy:n käyttäjärekisteriä varten. Kerättävät tietueet ovat:

1) Nimi

2) Puhelinnumero

3) Sähköposti

Tämän Tietojenkäsittelysopimuksen tarkoitus on varmistaa Henkilötietoja koskeva tietosuoja ja tietoturva, kun TYY käsittelee Henkilötietoja Fination Oy:n puolesta.

3. Määritelmät

”Henkilötietoja” ovat kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti tunnisteiden, kuten nimen, osoitteen, henkilötunnuksen, liittymänumeron, IP-osoitteen, sijaintitiedon, verkkotunnisteen, välitystietojen tai viestin sisällön perusteella taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

4. Fination Oy:n velvollisuudet

Fination Oy hyväksyy ja vakuuttaa, että Osapuolten väliseen Pääsopimukseen liittyvien Henkilötietojen käsittely on sovellettavan tietosuojalainsäädännön mukaan laillista. Fination Oy vakuuttaa erityisesti, että:

(i) Henkilötietojen käsittely perustuu oikeutettuihin tarkoituksiin, joilla on lailliset perusteet

(ii) Rekisteröidyt henkilöt ovat saaneet asianmukaisesti tiedon Henkilötietojen käsittelystä

Fination Oy vakuuttaa, että tämä Tietojenkäsittelysopimus sekä Fination Oy:n antamat lainmukaiset ohjeet antavat riittävät takuut siitä, että TYYn Pääsopimuksen nojalla suorittama Henkilötietojen käsittely täyttää Sovellettavan tietosuojalainsäädännön vaatimukset.

5. TYYn velvollisuudet

TYY saa käsitellä Henkilötietoja ainoastaan näiden Tietojenkäsittelysopimuksessa määriteltyjen dokumentoitujen ohjeiden mukaisesti:

• Henkilötietoja on käsiteltävä äärimmäisen huolellisesti tietoja kerättäessä, tallennettaessa, säilyttäessä ja poistettaessa.

• Fination Oy:n luovuttamia tietoja käsitellään vain siinä tarkoituksessa kuin on palvelua koskevassa sopimuksessa nimenomaisesti sovittu.

• Fination Oy:n luovuttamiin henkilötietoihin liittyvät työdokumentit tulee viivyttelemättä ja tietoturvallisesti tuhota käytön jälkeen.

• TYYtä sitoo salassapitovelvollisuus henkilötietoihin liittyen.

Osapuolet sopivat yhteisesti mahdollisista muutoksista tietojenkäsittelyohjeeseen.

Kaikki henkilöt, joilla on oikeus käsitellä henkilötietoja, noudattavat henkilötietojen salassapitovelvollisuutta.

Xxx XXX käyttää palvelun toteuttamisessa alihankkijoita, näiden alihankkijoiden tulee noudattaa samoja tietojenkäsittelyperiaatteita ja velvoitteita kuin allekirjoittaneen tietojenkäsittelijän. XXX toimittaa alihankkijoille kirjallisen ohjeen henkilötietojen käsittelystä.

Ennen kuin TYY vaihtaa tai lisää henkilötietojen käsittelyyn osallistuvia alihankkijoita, TYY ilmoittaa asiasta kirjallisesti Fination Oy:lle ilman aiheetonta viivästystä. Jos Tietojenkäsittelijä vaihtaa tai lisää alihankkijan Fination Oy:lle vastustuksesta huolimatta, Fination Oy:llä on oikeus irtisanoa Pääsopimus 30 päivän irtisanomisajalla.

TYYn on autettava tarpeen mukaan täyttämään Fination Oy:n velvollisuuden vastata rekisteröitävien oikeuksien käyttämiseen liittyviin pyyntöihin.

TYY välittää rekisteritietueet sähköisesti Fination Oy:n rekisterinpitäjälle erikseen sovittuina määräaikoina.

6. Henkilötietojen jatkokäsittely rekisterin pitäjällä

Välitetyt henkilötiedot lisätään tilapäisesti Fination Oy:n käyttäjärekisteriin ja rekisteröidylle luodaan käyttäjätunnus tietojärjestelmään. Rekisteröidyn tiedot poistetaan neljän viikon kuluessa, mikäli rekisteröity ei viimeistele tilapäistä käyttäjätunnustaan.

7. Tietojen luovutus EU-alueen ulkopuolelle

Henkilötietoja voidaan siirtää Euroopan unionin tai Euroopan talousalueen ulkopuolelle tietosuojalainsäädännön mukaisesti, jos tällaisesta mahdollisuudesta on nimenomaisesti kerrottu rekisteröitävälle henkilölle tietojen rekisteröinnin yhteydessä. Fination Oy:llä on oikeus milloin tahansa saada tiedot henkilötietojen käsittelyn sijainnista.

Jos TYYllä on lakiin perustuva velvollisuus siirtää Henkilötietoja EU-alueen ulkopuolelle, sen on tiedotettava Fination Oy:lle ennen Henkilötietojen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi.

8. Henkilötietojen tuhoaminen tai palauttaminen Pääsopimuksen lakkaamisen yhteydessä

Kun pääsopimus lakkaa velvoitteiden täyttämisen, sovitun määräajan päättymisen, irtisanomisen, purkamisen, raukeamisen tai muun syyn vuoksi, TYYn on tuhottava tai palautettava Fination Oy:lle sen hallussa olevat Henkilötiedot.

9. Tietoturva

TYY ottaa huomioon tarjoamaansa palveluun liittyvät riskit ja tekee ne huomioiden tarpeelliset toimenpiteet hallinnollisesti ja tietoteknisesti, jotta riskit Henkilötietojen oikeudettomaan käyttöön minimoidaan. Lisäksi TYY tekee tarvittavat toimenpiteet, jotta tietojen eheys ja saatavuus taataan.

TYY varmistaa, että henkilötietoja käsittelevät työntekijät ovat saaneet asiankuuluvan koulutuksen ja ohjeistuksen henkilötietojen käsittelyyn.

TYY tekee muun muassa, mutta ei rajoittuen, seuraavia tietoturvatoimia henkilötietojen suojaamiseksi:

• Henkilötietojen salaus

• Käyttöoikeushallinta ja käyttöoikeuksien minimointi

• Tekniset ratkaisut tiedonsiirron salaamiseksi

• Hallinnollinen tietoturva

• Riskienhallinta

• Henkilöstön turvaselvitykset

• Järjestelmien tietoturvatestaus

TYY takaa Fination Oy:lle tietosuojalainsäädännön edellyttämät oikeudet TYYn auditointiin. Kumpikin osapuoli vastaa omalta osaltaan tarkastuksista aiheutuvista kustannuksista.

10. Toimenpiteet tietoturvaloukkauksen sattuessa

TYYn on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Fination Oy:lle ilman aiheetonta viivytystä saatuaan sen tietoonsa ja viimeistään 36 tunnin kuluessa.

TYYn on annettava Fination Oy:lle vähintään seuraavat tiedot tietoturvaloukkauksesta:

1) kuvattava henkilötietojen tietoturvaloukkaus

2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;

3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

4) kuvattava toimenpiteet, joita TYY ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

11. Vastuut

Kumpikin Osapuoli on vastuussa kustannuksista, kuluista, korvauksista, menetyksistä ja vahingoista, joita toiselle Osapuolelle aiheutuu tämän Tietojenkäsittelysopimuksen, ja/tai Sovellettavan tietosuojalainsäädännön taikka toimivaltaisen tietosuojaviranomaisen tekemän päätöksen vastaisesta menettelystä.

12. Sopimuksen lakkaaminen

Tämä sopimus päättyy samanaikaisesti Pääsopimuksen kanssa, kunhan kohdassa 7. mainitut velvoitteet on täytetty.

Turussa 17.5.2018

Xxxxx Xxxxx Toimitusjohtaja Fination Oy

Xxxxx Xxxxxxxxxx Xxxxx Xxxxxxx

hallituksen puheenjohtaja pääsihteeri TURUN YLIOPISTON YLIOPPILASKUNTA