Henkilötietojen käsittelysopimus
Henkilötietojen käsittelysopimus
Tämä sopimus on liite Toimittajan ja Xxxxxxxx pääsopimukseen. Sopimukseen tulee täydentää koulutuksen järjestäjän tiedot.
Koulutuksen järjestäjä/Rekisterinpitäjä sekä koulutoimiston tai oppilaitoksen nimi:
Ypäjän kunta
Y-tunnus:
0158301-7
Kotipaikka:
Ypäjä
Rekisterinpitäjän yhteyshenkilö sopimukseen liittyville tietopyynnöille (nimi, titteli, sähköposti ja puhelinnumero):
Xxxxxx Xxxxxx toimialapäällikkö xxxxxx.xxxxxx@xxxxx.xx 0505747740
Henkilötietojen käsittelijä: Visma InCommunity Oy Organisaation y-tunnus: 1974125-5
Kotipaikka: Vaasa, Suomi
Henkilötietojen käsittelijän yhteyshenkilö sopimukseen liittyville tietopyynnöille:
Xxxxx Xxxxxx, Sales Manager, xxxxx.xxxxxx@xxxxx.xxx, Vaasanpuistikko 17, 65100 Vaasa
Henkilötietojen käsittelijän yhteyshenkilö luvattomasta tietojenkäsittelystä ilmoittamista varten (nimi, titteli, yhteystiedot):
Xxxxx Xxxxxx, Data Processing Manager, xxxxx.xxxxxx@xxxxx.xxx, Vaasanpuistikko 17, 65100 Vaasa
Jäljempänä vastaavasti erikseen “Rekisterinpitäjä”, “Käsittelijä” tai “Osapuoli” ja yhdessä “Osapuolet”.
Johdanto
Molemmat Osapuolet vahvistavat, että allekirjoittajilla on valtuudet tämän henkilötietojen käsittelysopimuksen (”Sopimus”) solmimiseen. Tämä sopimus muodostaa osan voimassaolevista sopimuksista ja sääntelee niihin liittyvää Henkilötietojen Käsittelyä.
Käsittelijä noudattaa toiminnassaan Visma-konsernin yksityisyydensuojailmoitusta, joka on saatavilla osoitteessa xxxxx://xxx.xxxxx.xx/xxxxxxxxxxxxxxxxxx/xxxxxxx/, ja jota sovelletaan kaikkiin Visman konserniyhtiöihin.
Määritelmät
Henkilötietojen, erityisten henkilötietoryhmien (Arkaluontoiset henkilötiedot), Henkilötietojen Käsittelyn, Rekisteröidyn, Rekisterinpitäjän ja Käsittelijän määrittely vastaa termien käyttöä ja tulkintaa tietosuojaan liittyvässä lainsäädännössä, mukaan lukien EU:n yleisessä tietosuoja- asetuksessa (General Data Protection Regulation, GDPR) 25.5.2018 alkaen.
Sopimuksen kohde
Sopimus sääntelee Käsittelijän Rekisterinpitäjän puolesta tekemää Henkilötietojen Käsittelyä ja määrittelee sen, miten Käsittelijä osaltaan varmistaa yksityisyyden Rekisterinpitäjän ja sen Rekisteröityjen puolesta teknisillä ja organisatorisilla toimenpiteillä. Osapuolten tarkoituksena ei ole tällä Sopimuksella siirtää mitään Rekisterinpitäjän lakisääteisiä velvollisuuksia Käsittelijälle.
Käsittelijän Rekisterinpitäjän puolesta tekemän Henkilötietojen Käsittelyn tarkoitus on Palvelusopimuksien ja tämän Sopimuksen noudattaminen.
Ristiriitatilanteissa tämä Sopimus on ensisijainen Palvelusopimuksiin tai Osapuolten keskenään solmimiin muihin sopimuksiin nähden. Tämä Sopimus on voimassa niin kauan kuin yksikin Henkilötietojen Käsittelyä sisältävä Osapuolten välinen Palvelusopimus on voimassa.
Käsittelijän velvollisuudet
Käsittelijä Käsittelee Henkilötietoja vain Rekisterinpitäjän puolesta ja Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti.
Solmiessaan tämän Sopimuksen Rekisterinpitäjä ohjeistaa Käsittelijän Käsittelemään Henkilötietoja seuraavalla tavalla:
i) vain sovellettavien lakien mukaisesti,
ii) kaikkien Palvelusopimuksesta johtuvien velvollisuuksien noudattamiseksi,
iii) Rekisterinpitäjän Käsittelijän palvelujen tavanomaiseen käyttöön liittyen erikseen määrittelemällä tavalla ja iv) tässä Sopimuksessa määritellyllä tavalla. Mahdollisista muista ohjeista ja näiden kustannusvaikutuksista sovitaan aina kirjallisesti erikseen muutoshallintamenettelyssä.
Käsittelijä ilmoittaa Rekisterinpitäjälle saadessaan tiedon sellaisista ohjeista tai muusta Rekisterinpitäjän käsittelytoimenpiteistä, jotka Käsittelijän mielestä rikkovat sovellettavaa
tietosuojasääntelyä.
Tämän Sopimuksen mukaisesti Käsiteltävät Rekisteröityjen ja Henkilötietojen ryhmät on lueteltu liitteessä A.
Käsittelijä auttaa Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, ottaen mahdollisuuksien mukaan huomioon Käsittelyn luonteen ja Henkilötietojen Käsittelijän saatavilla olevat tiedot, täyttämään Rekisterinpitäjän velvollisuuden vastata Rekisteröityjen GDPR:n jakson 3 mukaisiin pyyntöihin ja varmistaakseen yksityisyyden suojan GDPR:n 32-36 artiklojen edellyttämällä tavalla.
Jos Rekisterinpitäjä pyytää tietoja tai avustusta turvallisuustoimenpiteistä, dokumentaatiosta tai muista Käsittelijän Henkilötietojen Käsittelyyn liittyvistä tiedoista, ja pyyntöjen sisältö poikkeaa Käsittelijän sovellettavan tietosuojasääntelyn vaatimusten mukaan esittämistä vakiotiedoista tai avustuksesta ja tästä aiheutuu ylimääräistä työtä Käsittelijälle, Käsittelijä voi veloittaa Rekisterinpitäjää tällaisista ylimääräisistä palveluista.
Käsittelijä varmistaa, että henkilöt, joilla on oikeus käsitellä Henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
Käsittelijä ilmoittaa ilman aiheetonta viivytystä tietoturvaloukkauksista Rekisterinpitäjälle, jotta Rekisterinpitäjä voi täyttää lakisääteisen tietoturvaloukkauksiin liittyvän ilmoitusvelvollisuutensa tietosuojaviranomaisille ja Rekisteröidyille.
Lisäksi Käsittelijä ilmoittaa Rekisterinpitäjälle seuraavista asioista siinä määrin kuin se on asianmukaista ja laillista;
i) Rekisteröidyn esittämät pyynnöt saada pääsy Henkilötietoihin,
ii) viranomaisten, kuten esimerkiksi poliisin, esittämät pyynnöt saada pääsy Henkilötietoihin
Käsittelijä ei vastaa suoraan Rekisteröityjen pyyntöihin, ellei Rekisterinpitäjä ole valtuuttanut Käsittelijää toimimaan tällä tavalla. Käsittelijä ei xxxx pääsyä tämän Sopimuksen perusteella käsiteltäviin Henkilötietoihin viranomaisille, kuten esimerkiksi poliisille, muutoin kuin lain nojalla, esimerkiksi tuomioistuimen päätöksellä tai muulla vastaavalla määräyksellä.
Käsittelijä ei hallinnoi eikä vastaa siitä, miten Rekisterinpitäjä käyttää Käsittelijän tarjoamaa API- rajapintaa tai vastaavaa kolmannen osapuolen ohjelmistojen integroimiseksi käsittelijän tarjoamaan palveluun. Rekisterinpitäjä on täysin vastuussa näistä integraatioista.
Rekisterinpitäjän velvollisuudet
Rekisterinpitäjä vahvistaa seuraavaa allekirjoittaessaan tämän Sopimuksen:
- Tämä Sopimus täyttää Rekisterinpitäjän sijoittautumismaan tietosuojalakien asettamat Rekisterinpitäjän kirjallista Henkilötietojen käsittelysopimusta koskevat vaatimukset.
- Rekisterinpitäjä Käsittelee Henkilötietoja sovellettavan tietosuojasääntelyn mukaisesti käyttäessään Käsittelijän tarjoamia palveluja Palvelusopimusten mukaisesti.
- Rekisterinpitäjällä on lakisääteinen oikeus Käsitellä ja siirtää kyseeseen tulevat Henkilötiedot Käsittelijälle (myös Käsittelijän käyttämät alihankkijat).
- Rekisterinpitäjä on yksinomaan vastuussa Käsittelijälle luovutettujen Henkilötietojen
paikkansapitävyydestä, eheydestä, sisällöstä, luotettavuudesta ja laillisuudesta.
- Rekisterinpitäjä on täyttänyt kaikki pakolliset viranomaisille Henkilötietojen Käsittelyyn liittyen tehtäviä ilmoituksia ja lupien hankintaa koskevat velvollisuudet ja vaatimukset.
- Rekisterinpitäjä on täyttänyt velvollisuutensa tarjota oleellisia Rekisteröityjen Henkilötietojen Käsittelyyn liittyviä tietoja Rekisteröidyille sovellettavan pakollisen tietosuojasääntelyn mukaisesti.
- Rekisterinpitäjä on hyväksynyt, että Käsittelijän tässä Sopimuksessa esittämät Rekisteröidyn yksityisyyden suojan ja Henkilötietojen riittävän suojaamisen edellyttämät tekniset ja organisatoriset turvatoimet ovat riittävät.
- Rekisterinpitäjä ei Palvelusopimuksen mukaisesti Käsittelijän tarjoamia palveluja käyttäessään välitä mitään Arkaluontoisia Henkilötietoja Käsittelijälle muutoin kuin tämän Sopimuksen liitteessä A yksiselitteisesti sovituissa tapauksissa.
- Rekisterinpitäjä ylläpitää ajantasaista rekisteriä sellaisista Käsittelemiensä Henkilötietojen tyypeistä ja ryhmistä, joiden Käsittely poikkeaa liitteen A mukaisista Henkilötietojen tyypeistä ja ryhmistä.
Alihankkijoiden käyttö ja tietojen siirtäminen
Käsittelijällä on oikeus siirtää palvelun toteuttamista varten Henkilötietoja Euroopan unionin, Euroopan talousalueen tai muiden maiden sisällä, joiden Euroopan Komissio on todennut takaavan riittävän tietosuojan tason. Käsittelijällä on oikeus palvelun toteuttamista varten siirtää Henkilötietoja EU/ETA-alueen ulkopuolelle vain Rekisterinpitäjän kirjallisella suostumuksella ja tietosuojalainsäädännön siirtoperusteiden mukaisesti.
Käsittelijä voi käyttää alihankkijoita Palvelusopimuksien ja tämän Sopimuksen mukaiseen palvelujen tarjoamiseen Rekisterinpitäjälle. Tällaiset alihankkijat voivat olla muita Visman konserniyhtiöitä tai ulkopuolisia, EU:ssa tai sen ulkopuolella sijaitsevia alihankkijoita. Käsittelijä varmistaa, että alihankkijat sitoutuvat noudattamaan tämän Sopimuksen mukaisia velvollisuuksia vastaavia velvoitteita. Kaikkeen alihankkijoiden käyttöön sovelletaan Visma- konsernin yksityisyydensuojailmoitusta.
Rekisterinpitäjä voi pyytää sellaisten nykyisten alihankkijoiden tietojen sisällyttämistä liitteeseen B, joilla on pääsy Henkilötietoihin. Rekisterinpitäjä voi myös milloin tahansa pyytää täydellistä katsausta ja tarkempia tietoja Palvelusopimuksiin liittyvistä alihankkijoista. Kyseinen katsaus voidaan toimittaa Rekisterinpitäjälle Käsittelijän tietosuojaan dedikoidun verkkosivun kautta.
Käsittelijällä on oikeus vaihtaa alihankkijoita Sopimuksen voimassaoloaikana. Käsittelijä ilmoittaa Rekisterinpitäjälle ennakkoon kaikista Henkilötietoja Käsittelevien alihankkijoiden muutoksista.
Rekisterinpitäjällä on oikeus vastustaa tällaisia muutoksia perustellusta syystä. Rekisterinpitäjän on ilmoitettava vastustamisesta ilman aiheetonta viivytystä sen jälkeen, kun se sai Käsittelijältä tiedon asiasta. Jos Rekisterinpitäjä ei hyväksy alihankkijan vaihtamista tai lisäämistä, Käsittelijällä on oikeus irtisanoa Sopimus 30 päivän irtisanomisajalla.
Allekirjoittaessaan tämän Sopimuksen Rekisterinpitäjä hyväksyy Käsittelijän alihankkijoiden käytön yllä kuvatulla tavalla.
Turvallisuus
Käsittelijä sitoutuu tarjoamaan turvallisuutensa puolesta korkeatasoisia tuotteita ja palveluja.
Käsittelijä varmistaa asianmukaisen turvallisuuden organisatoristen, teknisten ja fyysisten turvatoimien avulla, jotka vastaavat GDPR:n artiklan 32 mukaisia tietoturvatoimia ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa Käsittelyyn liittyviin riskeihin ja suojattavien Henkilötietojen luonteeseen tässä Sopimuksessa täsmennetyllä tavalla.
Osapuolet sopivat Palvelusopimuksissa erikseen ne toimenpiteet tai muut tietoturvamenettelyt, jotka Käsittelijä toteuttaa Henkilötietojen Käsittelyn osalta. Rekisterinpitäjä vastaa vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asianmukaisesta ja riittävästä tietoturvallisuudesta.
Tarkastusoikeudet
Rekisterinpitäjä voi tarkastaa Käsittelijän tämän Sopimuksen noudattamisen enintään kerran vuodessa. Rekisterinpitäjä voi pyytää tarkastusten suorittamista useammin, mikäli Rekisterinpitäjään sovellettava lainsäädäntö edellyttää tätä. Tarkastusta pyytäessään Rekisterinpitäjän on esitettävä Käsittelijälle yksityiskohtainen tarkastussuunnitelma, josta ilmenee tarkastuksen suunniteltu laajuus, kesto ja alkamispäivä, vähintään 4 viikkoa ennen tarkastuksen suunniteltua alkamisajankohtaa. Jos kolmas osapuoli suorittaa tarkastuksen, molempien Osapuolten on sovittava tästä yhteisesti. Jos tietojen Käsittely tapahtuu ympäristössä, jota käyttävät Käsittelijän muut asiakkaat tai muut kolmannet osapuolet, Käsittelijä voi vaatia, että, että turvallisuussyistä tarkastuksen suorittaa Käsittelijän valitsema neutraali kolmas osapuoli.
Jos pyydetyn tarkastuksen sisältöä on käsitelty kolmannen tarkastajan edeltävän 12 kuukauden aikana laatimassa ISAE-, ISO- tai vastaavassa raportissa, ja Käsittelijä vahvistaa, että oleellisia muutoksia ei ole tapahtunut tarkastetuissa toimenpiteissä, Rekisterinpitäjä sitoutuu hyväksymään raportin tulokset eikä vaadi kyseisen raportin sisältämien toimenpiteiden tarkastamista uudelleen.
Tarkastukset on joka tapauksessa tehtävä tavanomaisena työaikana paikan päällä Käsittelijän omien käytäntöjen mukaisesti eivätkä ne saa kohtuuttomasti häiritä Käsittelijän liiketoimintaa.
Rekisterinpitäjä vastaa kaikista Rekisterinpitäjän pyytämien tarkastusten kustannuksista. Käsittelijällä on oikeus veloittaa Rekisterinpitäjää sellaisesta sovellettavan tietosuojasääntelyn noudattamiseksi tarjotusta avusta, joka ylittää Käsittelijän ja/tai Visma-konsernin Rekisterinpitäjälle tarjoaman Sopimuksen tai Palvelusopimuksen mukaisen palvelun.
Voimassaoloaika ja sopimuksen päättyminen
Tämä Sopimus on voimassa niin kauan kuin Käsittelijä Käsittelee Henkilötietoja Rekisterinpitäjän puolesta Palvelusopimusten mukaisesti.
Tämä Sopimus päättyy automaattisesti kaikkien Palvelusopimusten päätyttyä. Tämän Sopimuksen päättyessä Käsittelijä poistaa tai palauttaa Rekisterinpitäjän puolesta Käsittelemänsä Henkilötiedot Palvelusopimuksen soveltuvien ehtojen mukaisesti. Jos muuta ei ole kirjallisesti sovittu, tästä aiheutuvat kustannukset lasketaan; i) Käsittelijän tuntihinnan ja tähän työhön kuluneen tuntimäärän mukaisesti ja ii) vaadittujen toimien vaativuuden perusteella.
Käsittelijä voi säilyttää Henkilötiedot Sopimuksen päättymisen jälkeen siinä määrin kuin laki edellyttää, ja noudattamalla tässä Sopimuksessa määriteltyjä vastaavia teknisiä ja organisatorisia turvallisuustoimenpiteitä.
Muutokset ja lisäykset
Sopimuksen muutoksista laaditaan erillinen liite, joka astuu voimaan molempien Osapuolten allekirjoittaessa liitteen.
Jos jokin tämän Sopimuksen ehto osoittautuu pätemättömäksi, se ei vaikuta Sopimuksen muiden ehtojen voimassaoloon. Osapuolet korvaavat pätemättömän ehdon laillisella ehdolla, jonka tarkoitus vastaa pätemätöntä ehtoa.
Vastuu
Jos Rekisteröidylle aiheutuu vahinkoa GDPR:n rikkomisesta, kumpikin Osapuoli vastaa itse Rekisteröidylle aiheutuneesta vahingosta GDPR:n 82 artiklan mukaisesti. Kumpikin Osapuoli vastaa itse myös valvontaviranomaisen sille mahdollisesti määräämistä GDPR:n 83 artiklan mukaisista hallinnollisista sakoista.
Muilta osin Sopimuksen rikkomiseen liittyvä vastuu määritellään Osapuolten välisissä Palvelusopimuksien vastuulausekkeissa. Niitä sovelletaan myös Käsittelijän alihankkijoiden rikkomuksiin.
Sovellettava lainsäädäntö ja oikeuspaikka
Tähän Sopimukseen sovelletaan Osapuolten solmimassa Palvelusopimuksessa määriteltyä lainsäädäntöä ja oikeuspaikkaa.
****
Tämä Sopimus on laadittu kahtena (2) kappaleena, joista kumpikin Osapuoli saa yhden kappaleen.
Liite A - Henkilötietojen ja Rekisteröityjen ryhmät
Tämän Sopimuksen mukaisesti Käsiteltävät Rekisteröityjen ja Henkilötietojen ryhmät
Rekisteröityjen ryhmät
- asiakkaan loppukäyttäjät
- asiakkaan työntekijät
- asiakkaan yhteyshenkilöt
Henkilötietoryhmät
- Kaikki tiedot joita asiakas tarvitsee järjestelmässä lakisääteisten velvoitteidensa täyttämiseksi
Tämän Sopimuksen mukaisesti Käsiteltävät Arkaluontoisten henkilötietojen tyypit
Tämä kohta on oleellinen vain silloin, jos Käsittelijä Käsittelee alla kuvailtuja Arkaluontoisia Henkilötietoja Rekisterinpitäjän puolesta osana Palvelusopimusta. Xxxxx Käsittelijä voisi Käsitellä tällaisia tietoja Rekisterinpitäjän puolesta, Rekisterinpitäjän on jäljempänä määriteltävä
kyseeseen tulevien Arkaluontoisten Henkilötietojen tyypit.
Rekisterinpitäjä on myös velvollinen ilmoittamaan Käsittelijälle ja määrittelemään jäljempänä kaikki muut Arkaluontoisten Henkilötietojen tyypit sovellettavien tietosuojalakien mukaisesti.
Käsittelijä Käsittelee Rekisterinpitäjän puolesta seuraavia tietoja:
rotu tai etninen alkuperä tai poliittinen, filosofinen tai uskonnollinen vakaumus,
- Henkilön kuva
- Opiskelijan katsomusaine
terveydentilaa koskevat tiedot,
- Tieto opetuksen järjestämisessä huomioitavista perussairauksista, ruokavalioista ja allergioista.
Käsittelijä EI Käsittele Rekisterinpitäjän puolesta seuraavia tietoja: henkilöä on epäilty tai häntä on syytetty tai hänet on tuomittu rikoksesta seksuaalinen suuntautuminen
ammattiliittojen jäsenyys geneettiset tai biometriset tiedot
Liite B - Nykyisten alihankkijoiden tiedot
Käsittelijän nykyiset alihankkijat, jotka pääsevät Rekisterinpitäjän Henkilötietoihin tämän Sopimuksen allekirjoittamisen jälkeen, ovat:
Nimi: Datacenter Finland Oy
Sijainti/maa: Espoo/Suomi
Laillinen siirtotapa, jos alihankkija pääsee Henkilötietoihin EU:n ulkopuolisesta maasta käsin: Ei sovelleta EU:n alueella
Auttaa Käsittelijää: Säilytys palvelimilla
7 / 7
SIGNATURES
ALLEKIRJOITUKSET
UNDERSKRIFTER
SIGNATURER
UNDERSKRIFTER
This documents contains 7 pages before this page Dokumentet inneholder 7 sider før denne siden
Tämä dokumentti sisältää 7 sivua ennen tätä sivua Dette dokument indeholder 7 sider før denne side
Detta dokument innehåller 7 sidor före denna sida
Xxxxxx Xxxxxx Xxxxxx - 26.04.2018 23:11:57 - 2abb8be0-8f8c-422b-8bbd-ca9a463da7ea - FI
authority to sign | toimivaltaoikeus | ställningsfullmakt | autoritet til å signere | myndighed til at underskrive |
representative | nimenkirjoitusoikeus | firmateckningsrätt | representant | repræsentant |
custodial | huoltaja/edunvalvoja | förvaltare | frihetsberøvelse | frihedsberøvende |