Sopimus henkilötietojen käsittelystä

Sopimus henkilötietojen käsittelystä

1. Sopimuksen osapuolet

Seura X (myöhemmin ”seura” tai ”rekisterinpitäjä”)
Yhteyshenkilö

Palveluntarjoaja Y (myöhemmin ”yritys” tai ”käsittelijä”)
Yhteyshenkilö

2. Sopimuksen liityntä toimeksiantosopimukseen

Seura ja yritys ovat tehneet tehtävää Z koskevan toimeksiantosopimuksen, jonka toteuttamisen yhteydessä yritys käsittelee seuran henkilötietoja. Tällä sopimuksella sovitaan niistä ehdoista, joilla yritys käsittelee näitä henkilötietoja. Tämä sopimus on voimassa niin kauan, kun toimeksiantosopimus on voimassa ja kunnes kaikki tämän sopimuksen mukaiset velvoitteet on täytetty.

3. Määritelmät

Tässä sopimuksessa seura toimii rekisterinpitäjänä ja yritys henkilötietojen käsittelijänä.

Tässä sopimuksessa henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Tässä sopimuksessa käsittelyllä tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

4. Käsiteltävät henkilötiedot

Tämän sopimuksen nojalla käsiteltävät henkilötiedot (määrittele tähän kohtaan seuraavat tiedot):

  • rekisteröityjen ryhmät (esim. työntekijät, asiakkaat)

  • käsiteltävät henkilötiedot (esim. nimi, syntymäaika, osoite)

  • käsittelytarkoitukset (esim. palkanlaskenta, kirjanpito)

5. Seuran velvollisuudet

Seuran velvollisuutena on:

  • henkilötietojen kerääminen ja käsittelytarkoitusten määrittely,

  • henkilötietojen käsittely laillisesti ja hyviä henkilötietojen käsittelyn periaatteita noudattaen sekä niin, että rekisteröityjen oikeudet toteutuvat,

  • rekisterinpitäjän lakisääteisestä informointivelvollisuudesta huolehtiminen,

  • oikeiden ja laillisten tietojen luovuttaminen käsittelijälle sekä väärien ja vanhentuneiden tietojen oikaiseminen,

  • henkilötietojen käsittelijänä toimivan yrityksen ohjeistaminen henkilötietojen käsittelystä,

6. Yrityksen velvollisuudet

Yrityksen velvollisuutena on:

  • käsitellä henkilötietoja ainoastaan rekisterinpitäjän antamien ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos yritykseen sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa yritys tiedottaa seuraa tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi,

  • varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus,

  • toteuttaa kaikki vaaditut käsittelyn turvallisuuteen liittyvät toimenpiteet, jotka on määritelty EU:n tietosuoja-asetuksen 32 artiklassa,

  • noudattaa EU:n tietosuoja-asetuksen 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä,

  • ottaen huomioon käsittelytoimen luonteen auttaa seuraa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään seuran velvollisuuden vastata pyyntöihin, jotka koskevat EU:n tietosuoja-asetuksen III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä,

  • auttaa seuraa varmistamaan, että EU:n tietosuoja-asetuksen 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja yrityksen saatavilla olevat tiedot,

  • seuran valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot seuralle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot,

  • saattaa seuran saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallia seuran tai muun seuran valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistua niihin,

  • ilmoittaa henkilötietojen tietoturvaloukkauksesta seuralle ilman aiheetonta viivytystä saatuaan sen tietoonsa,

  • välittömästi ilmoittaa seuralle, jos yritys katsoo, että ohjeistus rikkoo EU:n tietosuoja-asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä.

Yritys ei saa ilman seuran suostumusta siirtää henkilötietoja kolmannelle osapuolelle. Tämä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos yritykseen sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa yritys tiedottaa seuralle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi.

Yrityksen ja tarvittaessa yrityksen edustajan on ylläpidettävä kirjallista selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista niin että seloste käsittää seuraavat tiedot:

  • henkilötietojen käsittelijän ja rekisterinpitäjän, sekä tarvittaessa henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot,

  • rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät,

  • tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on EU:n tietosuoja-asetuksen 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto,

  • mahdollisuuksien mukaan yleinen kuvaus EU:n tietosuoja-asetuksen 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

Yrityksen sekä tarvittaessa yrityksen edustajan on pyydettäessä saatettava seloste valvontaviranomaisen saataville.

7. Sopimuksen muuttaminen

Muutokset tähän sopimukseen tulee tehdä kirjallisesti ja vahvistaa molempien osapuolten allekirjoituksella.

8. Salassapito

Henkilötietojen käsittelijä sitoutuu rajoittamattoman ajan pitämään salassa tämän sopimuksen nojalla saamansa henkilötiedot.

9. Vahingonkorvaus

Kumpikaan osapuoli ei vastaa välillisistä tai epäsuorista vahingoista. Vastuunrajoitus ei koske salassapitovelvollisuuden loukkauksella tai tahallisesti tai törkeän huolimattomasti aiheutettua vahinkoja.

10. Riidanratkaisu

Tähän sopimukseen liittyvät erimielisyydet pyritään ensi sijassa ratkaisemaan sopijapuolten välisin neuvotteluin. Mikäli tämä ei johda sopijapuolia tyydyttävään lopputulokseen, ratkaistaan erimielisyydet samalla tavalla kuin toimeksiantosopimukseen liittyvät riidat.

11. Allekirjoitukset

Tätä sopimusta on tehty kaksi samanlaista kappaletta, yksi kummallekin osapuolelle.



Paikka ja aika





Seura Yritys

Document Metadata

Filed: May 8th, 2018