TIETOJENKÄSITTELYSOPIMUS

TIETOJENKÄSITTELYSOPIMUS

Tällä tietojenkäsittelysopimuksella osapuolet sopivat henkilötietojen käsittelyn periaatteista sellaisissa muissa sopimussuhteissa, joihin tällaisten henkilötietojen käsittely kuuluu. Tuota palvelun järjestämiseksi solmittua sopimusta kutsutaan tässä sopimuksessa Pääsopimukseksi.

1. Osapuolet Rekisterinpitäjä:

Turun yliopiston ylioppilaskunta (jäljempänä TYY, 0197626-7).

Henkilötietojen käsittelijä:

Sopimuskumppani X (xxxxxxx-x)

2. Taustaa

Henkilötietojen käsittelijä tarjoaa TYYlle palveluita kulloisenkin Pääsopimuksen mukaisesti.

Palveluiden tarjoamisen yhteydessä Henkilötietojen käsittelijä käsittelee TYYn jäseniä, asiakkaita, työntekijöitä tai muita henkilöitä koskevia Henkilötietoja.

Tämän Tietojenkäsittelysopimuksen tarkoitus on varmistaa Henkilötietoja koskeva tietosuoja ja tietoturva, kun Henkilötietojen käsittelijä käsittelee Henkilötietoja TYYn puolesta.

3. Määritelmät

”Henkilötietoja” ovat kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti tunnisteiden, kuten nimen, osoitteen, henkilötunnuksen, liittymänumeron, IP-osoitteen, sijaintitiedon, verkkotunnisteen, välitystietojen tai viestin sisällön perusteella taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

4. TYYn velvollisuudet

TYY hyväksyy ja vakuuttaa, että Osapuolten väliseen Pääsopimukseen liittyvien Henkilötietojen käsittely on sovellettavan tietosuojalainsäädännön mukaan laillista. XXX vakuuttaa erityisesti, että:

(i) Henkilötietojen käsittely perustuu oikeutettuihin tarkoituksiin, joilla on lailliset perusteet

(ii) Rekisteröidyt henkilöt ovat saaneet asianmukaisesti tiedon Henkilötietojen käsittelystä

(iii) TYYllä on oikeus siirtää Henkilötiedot Henkilötietojen käsittelijälle käsittelyä varten.

TYY vakuuttaa, että tämä Tietojenkäsittelysopimus sekä TYYn antamat lainmukaiset ohjeet antavat riittävät takuut siitä, että Henkilötietojen käsittelijän Pääsopimuksen nojalla suorittama Henkilötietojen käsittely täyttää Sovellettavan tietosuojalainsäädännön vaatimukset.

5. Tietojenkäsittelijän velvollisuudet

Henkilötietojen käsittelijä saa käsitellä Henkilötietoja ainoastaan näiden Tietojenkäsittelysopimuksessa määriteltyjen dokumentoitujen ohjeiden mukaisesti:

• Henkilötietoja on käsiteltävä äärimmäisen huolellisesti tietoja kerättäessä, tallennettaessa, säilyttäessä ja poistettaessa.

• TYYn luovuttamia tietoja käsitellään vain siinä tarkoituksessa kuin on palvelua koskevassa sopimuksessa nimenomaisesti sovittu.

• TYYn luovuttamiin henkilötietoihin liittyvät työdokumentit tulee viivyttelemättä ja tietoturvallisesti tuhota käytön jälkeen.

• Tietojenkäsittelijää sitoo salassapitovelvollisuus henkilötietoihin liittyen.

Osapuolet sopivat yhteisesti mahdollisista muutoksista tietojenkäsittelyohjeeseen.

Kaikki henkilöt, joilla on oikeus käsitellä henkilötietoja, noudattavat henkilötietojen salassapitovelvollisuutta.

Jos Henkilötietojen käsittelijä käyttää palvelun toteuttamisessa alihankkijoita, näiden alihankkijoiden tulee noudattaa samoja tietojenkäsittelyperiaatteita ja velvoitteita kuin allekirjoittaneen tietojenkäsittelijän. Henkilötietojen käsittelijä toimittaa alihankkijoille kirjallisen ohjeen henkilötietojen käsittelystä.

Ennen kuin Tietojenkäsittelijä vaihtaa tai lisää henkilötietojen käsittelyyn osallistuvia alihankkijoita, Tietojenkäsittelijä ilmoittaa asiasta kirjallisesti TYYlle ilman aiheetonta viivästystä. Jos Tietojenkäsittelijä vaihtaa tai lisää alihankkijan TYYn vastustuksesta huolimatta, TYYllä on oikeus irtisanoa Pääsopimus 30 päivän irtisanomisajalla.

Tietojenkäsittelijän on autettava tarpeen mukaan täyttämään TYYn velvollisuuden vastata rekisteröitävien oikeuksien käyttämiseen liittyviin pyyntöihin.

6. Tietojen luovutus EU-alueen ulkopuolelle

Henkilötietoja voidaan siirtää Euroopan unionin tai Euroopan talousalueen ulkopuolelle tietosuojalainsäädännön mukaisesti, jos tällaisesta mahdollisuudesta on nimenomaisesti kerrottu rekisteröitävälle henkilölle tietojen rekisteröinnin yhteydessä. TYYllä on oikeus milloin tahansa saada tiedot henkilötietojen käsittelyn sijainnista.

Jos Tietojenkäsittelijällä on lakiin perustuva velvollisuus siirtää Henkilötietoja EU-alueen ulkopuolella, sen on tiedotettava TYYlle ennen Henkilötietojen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi.

7. Henkilötietojen tuhoaminen tai palauttaminen Pääsopimuksen lakkaamisen yhteydessä

Kun pääsopimus lakkaa velvoitteiden täyttämisen, sovitun määräajan päättymisen, irtisanomisen, purkamisen, raukeamisen tai muun syyn vuoksi, Tietojenkäsittelijän on tuhottava tai palautettava TYYlle sen hallussa olevat Henkilötiedot.

8. Tietoturva

Tietojenkäsittelijä ottaa huomioon tarjoamaansa palveluun liittyvät riskit ja tekee ne huomioiden tarpeelliset toimenpiteet hallinnollisesti ja tietoteknisesti, jotta riskit TYYn toimittamien Henkilötietojen oikeudettomaan käyttöön minimoidaan. Lisäksi tietojenkäsittelijä tekee tarvittavat toimenpiteet, jotta tietojen eheys ja saatavuus taataan.

Tietojenkäsittelijä varmistaa, että henkilötietoja käsittelevät työntekijät ovat saaneet asiankuuluvan koulutuksen ja ohjeistuksen henkilötietojen käsittelyyn.

Tietojenkäsittelijä tekee muun muassa, mutta ei rajoittuen, seuraavia tietoturvatoimia henkilötietojen suojaamiseksi:

• Henkilötietojen salaus

• Käyttöoikeushallinta ja käyttöoikeuksien minimointi

• Tekniset ratkaisut tiedonsiirron salaamiseksi

• Hallinnollinen tietoturva

• Riskienhallinta

• Henkilöstön turvaselvitykset

• Järjestelmien tietoturvatestaus

Tietojenkäsittelijä takaa TYYlle tietosuojalainsäädännön edellyttämät oikeudet Tietojenkäsittelijän auditointiin. Kumpikin osapuoli vastaa omalta osaltaan tarkastuksista aiheutuvista kustannuksista.

9. Toimenpiteet tietoturvaloukkauksen sattuessa

Tietojenkäsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta TYYlle ilman aiheetonta viivytystä saatuaan sen tietoonsa ja viimeistään 36 tunnin kuluessa.

Tietojenkäsittelijän on annettava TYYlle vähintään seuraavat tiedot tietoturvaloukkauksesta:

1) kuvattava henkilötietojen tietoturvaloukkaus

2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;

3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

4) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita

se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

10. Vastuut

Kumpikin Osapuoli on vastuussa kustannuksista, kuluista, korvauksista, menetyksistä ja vahingoista, joita toiselle Osapuolelle aiheutuu tämän Tietojenkäsittelysopimuksen, ja/tai Sovellettavan tietosuojalainsäädännön taikka toimivaltaisen tietosuojaviranomaisen tekemän päätöksen vastaisesta menettelystä.

11. Sopimuksen lakkaaminen

Tämä sopimus päättyy samanaikaisesti Pääsopimuksen kanssa, kunhan kohdassa 7. mainitut velvoitteet on täytetty.

Turussa x.x.2018

Xxxxx Xxxxxxxxxx Xxxxx Xxxxxxx

hallituksen puheenjohtaja pääsihteeri

Yhteistyökumppani X