HENKILÖTIETOJEN KÄSITTELYSOPIMUS
HENKILÖTIETOJEN KÄSITTELYSOPIMUS
Partioharrastus sekä partiotoiminnan ja -kasvatuksen järjestäminen edellyttävät henkilötietojen käsittelyä niin paikallisesti, alueellisesti kuin valtakunnallisestikin. Henkilötietoja käsitellään partiossa laillisesti ja luotettavasti
– luottamuksen arvoisesti hyvää tiedonhallintatapaa noudattaen. Tietosuoja parantaa lasten ja nuorten digitaa- lista turvallisuutta ja hyvinvointia.
Partiojärjestöt ja -yhdistykset sopivat yhteisellä käsittelysopimuksella, miten henkilötietoja käsitellään partiossa. Paikallinen partiolippukunta allekirjoittaa käsittelysopimuksen nimenkirjoitussääntöjensä perusteella.
Partiojärjestöjen ja -yhdistysten yhteiset tietosuojaselosteet ja tietosuojaperiaatteet on julkaistu osoitteessa xxx.xxxxxx.xx/xxxxxxxxxx. Partion digitaalisten ratkaisujen käyttöehdot on julkaistu ratkaisukohtaisesti ja kootusti osoitteessa xxx.xxxxxx.xx/xxxxxxxxxxx.
Partiolippukunnan nimenkirjoittaja vahvistaa allekirjoituksellaan perehtyneensä tietosuojaselosteisiin.
1 Sopimuksen osapuolet
Suomen Partiolaiset – Finlands Scouter ry on partion valtakunnallinen keskusjärjestö Suomessa. Suomen Partio- laiset – Finlands Scouter ry:n varsinaisia jäseniä ovat partiopiirit eli partion alueelliset nuorisojärjestöt sekä val- takunnallista ruotsinkielistä partiotoimintaa järjestävä ruotsinkielinen partiojärjestö Finlands Svenska Scouter rf. Partiolaiset kuuluvat partiolippukuntiin eli partion paikallisyhdistyksiin, jotka ovat Suomen Partiolaisten varsi- naisten jäsenten jäsenjärjestöjä.
Henkilötietojen käsittelysopimuksen osapuolet ovat
Suomen Partiolaiset – Finlands Scouter ry (jäljempänä ”Suomen Partiolaiset”) | Y-tunnus 0202252-9 seuraavat Suomen Partiolaisten varsinaiset jäsenet aluejärjestöineen (kukin jäljempänä ”varsinainen jäsen”) Lapin Partiolaiset ry | Y-tunnus 0346400-3
Pohjanmaan Partiolaiset ry | Y-tunnus 2169301-0 Järvi-Suomen Partiolaiset ry | Y-tunnus 2138048-7 Pohjois-Savon Partiolaiset ry | Y-tunnus 0489326-4 Lounais-Suomen Partiopiiri ry | Y-tunnus 2197948-1 Hämeen Partiopiiri ry | Y-tunnus 0288930-9 Kymenlaakson Partiopiiri ry | Y-tunnus 0280817-7 Etelä-Karjalan Partiolaiset ry | Y-tunnus 0678591-0 Uudenmaan Partiopiiri ry | Y-tunnus 0280609-1
Pääkaupunkiseudun Partiolaiset ry | Y-tunnus 0213613-9 Finlands Svenska Scouter rf | Y-tunnus 0290334-2
sekä näiden Suomen Partiolaisten varsinaisten jäsenten jäsenjärjestöinä toimivat partiolippukunnat (kukin jäl- jempänä partiolippukunta) ja muut partioyhdistykset. Kaikkiin edellä mainittuihin aatteellisiin ja rekisteröityihin partiojärjestöihin ja -yhdistyksiin sovelletaan Suomen lainsäädäntöä.
2 Sopimuksen kohde ja henkilötietojen käsittelyn tarkoitus
Suomen Partiolaiset tarjoaa sekä varsinaisille jäsenilleen että partiolippukunnille palveluja. Myös varsinaiset jä- senet tarjoavat palveluja partiolippukunnille. Suomen Partiolaisten ja sen varsinaisten jäsenten partiolippukun- nille tarjoamat palvelut määritellään Sopu – Keskusjärjestön ja partiopiirien työnjaon käsikirjassa, joka on jul- kaistu osoitteessa xxx.xxxxxx.xx/xxxxxxxx-xxxxxxxx-xxxxxxxxxx/. Sen on vahvistanut Suomen Partiolaisten par- tioneuvosto eli valtuusto.
Suomen Partiolaisten ja sen varsinaisten jäsenten tarjoamilla palveluilla tarkoitetaan hallinnon palveluja, kasva- tus- ja koulutuspalveluja, tapahtumapalveluja sekä viestintä- ja markkinointipalveluja. Myös partion tutkimus- ja kehitystoiminta sekä digitaaliset ratkaisut, kuten tietojärjestelmät, kuuluvat palveluihin.
Suomen Partiolaiset ja varsinainen jäsen käsittelevät partiolippukunnan jäsenten ja heidän huoltajiensa (jäljem- pänä myös rekisteröity) henkilötietoja partiolippukunnan puolesta ja lukuun tarjotessaan palveluja partiolippu- kunnalle sekä sen jäsenille ja näiden huoltajille. Lisäksi Suomen Partiolaiset käsittelee henkilötietoja varsinaisen jäsenen puolesta ja lukuun tarjotessaan sille palveluja.
Osapuolet sopivat tällä käsittelysopimuksella henkilötietojen käsittelyyn sovellettavista ehdoista. Partion henki- lötietojen käsittelysopimus on tehty EU:n tietosuoja-asetuksen ja muun soveltuvan tietosuojalainsäädännön vaa- timusten noudattamiseksi.
Käsittelysopimusta sovelletaan kaikkiin Suomen Partiolaisten ja varsinaisen jäsenen partiolippukunnalle tarjo- amiin sekä Suomen Partiolaisten varsinaiselle jäsenelle tarjoamiin palveluihin. Käsittelysopimus on voimassa pal- veluiden toimituksen ajan ja se päättyy automaattisesti, kun palveluita ei enää toimiteta tai vastaanoteta.
3 Henkilötietojen käsittely partiossa
3.1 Roolit
Partiolippukunta on henkilötietojen rekisterinpitäjä, kun ja koska se päättää henkilötietojen käsittelyn tarkoituk- sesta ja keinoista. Suomen Partiolaiset ja sen varsinainen jäsen ovat edellä mainittujen henkilötietojen käsitteli- jöitä käsitellessään henkilötietoja partiolippukunnan lukuun.
Suomen Partiolaiset on henkilötietojen käsittelijä ja varsinainen jäsen henkilötietojen rekisterinpitäjä, kun Suo- men Partiolaiset käsittelee henkilötietoja varsinaisen jäsenen lukuun. Tällöin varsinainen jäsen päättää henkilö- tietojen käsittelyn tarkoituksesta ja keinoista.
Suomen Partiolaiset, sen varsinainen jäsen ja partiolippukunta voivat olla rekisterinpitäjiä sekä yksin että yhdessä partioharrastuksen ja -toiminnan luonteesta johtuen. Partiolippukunta ymmärtää ja hyväksyy, että Suomen Par- tiolaiset, varsinainen jäsen tai myös toinen partiolippukunta voivat tästä sopimuksesta riippumatta käsitellä re- kisteröityjen henkilötietoja muun muassa tapahtumien tuottamiseksi ja partioharrastuksen mahdollistamiseksi, kuten tapahtumien ja toiminnan markkinoimiseksi.
Viittauksilla ”rekisterinpitäjään” ja ”käsittelijään” tarkoitetaan jäljempänä tämän sopimuksen osapuolia keski- näisessä suhteessa siten, kuin ne tiettyä henkilötietojen käsittelyä suorittaessaan toimivat edellä kuvatusti tieto- suoja-asetuksen tarkoittamina rekisterinpitäjinä ja henkilötietojen käsittelijöinä.
3.2 Vastuu ja velvollisuudet
Kaikki partiojärjestöt ja -yhdistykset sitoutuvat käsittelemään henkilötietoja tietosuojalainsäädännön vaatimus- ten mukaisesti. Kukin partiojärjestö ja -yhdistys sitoutuu kehittämään vapaaehtoistensa tiedonhallintaosaamista ja valmiutta käsitellä rekisteröityjen henkilötietoja laillisesti ja luotettavasti.
Jokainen osapuoli vastaa tietosuojalainsäädännön mukaisesti rekisteröidylle aiheutetun tietoturvaloukkauksen ja aineellisen tai aineettoman vahingon kuluista ja kustannuksista, kuten mahdollisesta tosiasiallisesta vahingon- korvauksesta rekisteröidylle. Henkilötietojen käsittelijä on vastuussa vahingosta vain, jos se toimii vastoin tätä käsittelysopimusta. Jos osapuoli vastaa vahingonkorvausten maksamisesta rekisteröidyille muiden osapuolten puolesta, sillä on tietosuojalainsäädännön mukainen oikeus periä korvaukset sekä muilta käsittelyyn osallistu- neilta osapuolilta.
Rekisterinpitäjien velvollisuudet
Partiolippukunnalla on vastuu jäsentensä ja heidän huoltajiensa henkilötietojen täsmällisyydestä, laadusta ja lail- lisuudesta sekä keinoista, joilla partiolippukunta on hankkinut henkilötietoja. Partiolippukunta vastaa, että sillä on asianmukainen peruste käsitellä henkilötietoja ja se on täyttänyt kaikki muut lainmukaiset edellytykset hen- kilötietojen siirtämiseksi Suomen Partiolaisille ja/tai sen varsinaiselle jäsenelle tämän käsittelysopimuksen tar- koituksia varten.
Varsinaisella jäsenellä on vastuu tarkoituksiinsa käsiteltävien henkilötietojen täsmällisyydestä, laadusta ja lailli- suudesta sekä keinoista, joilla varsinainen jäsen on hankkinut henkilötietoja. Varsinainen jäsen vastaa, että sillä on asianmukainen peruste käsitellä henkilötietoja ja se on täyttänyt kaikki muut lainmukaiset edellytykset hen- kilötietojen siirtämiseksi Suomen Partiolaisille tämän käsittelysopimuksen tarkoituksia varten.
Käsittelijöiden velvollisuudet
Käsittelijän tulee toteuttaa tietosuoja-asetuksen 32 artiklassa vaaditut tekniset ja organisatoriset toimenpiteet tämän käsittelysopimuksen mukaisessa henkilötietojen käsittelyssä.
Käsittelijän tulee avustaa rekisterinpitäjää vastaamaan rekisteröityjen pyyntöihin ja varmistamaan, että henkilö- tietojen käsittelyssä noudatetaan tietosuoja-asetuksen mukaisia velvoitteita. Nämä velvoitteet liittyvät turvalli- suuteen, tietoturvaloukkausten ilmoituksiin, tietosuojaa koskeviin vaikutustenarviointeihin sekä valvonta- ja sääntelyviranomaisten kuulemisiin.
Jos rekisterinpitäjää pyydetään osoittamaan, että sen puolesta ja lukuun toimiva käsittelijä noudattaa henkilötie- tojen käsittelijöille asetettuja velvoitteita, käsittelijän tulee antaa rekisterinpitäjälle tarvittavat tiedot.
3.3 Alihankkijat
Rekisterinpitäjä hyväksyy, että käsittelijä käyttää alihankkijoita tuottaakseen palvelut. Käsittelijä ilmoittaa rekis- terinpitäjälle alikäsittelijöistä sekä niitä koskevista muutoksista ja muutossuunnitelmista. Rekisterinpitäjä voi vastustaa tällaista muutosta. Jos rekisterinpitäjä vastustaa muutoksia, rekisterinpitäjällä on oikeus päättää palvelu kolmenkymmenen (30) päivän irtisanomisajalla etukäteisellä, kirjallisella ilmoituksella ilman minkäänlaisia päät- tymisestä aiheutuvia seuraamuksia tai vastuita.
Käsittelijän tulee velvoittaa käyttämiään alihankkijoita käsittelemään henkilötietoja tämän käsittelysopimuksen mukaisesti. Käsittelijän tulee varmistaa, että alihankkija toteuttaa asianmukaisesti tekniset ja organisatoriset toi- menpiteet. Jos alikäsittelijä ei täytä tietosuojaa koskevia velvoitteitaan, käsittelijä on vastuussa rekisterinpitäjälle alikäsittelijöidensä velvoitteiden suorittamisesta.
3.4 Käsittelyn kesto ja päättyminen
Käsittelijä käsittelee henkilötietoja niin kauan kuin se kussakin tapauksessa on tarpeen palveluiden tuottamiseksi. Käsittelijän tulee tuhota palveluita varten tarpeettomat henkilötiedot, paitsi silloin, kun tietosuojalainsäädäntö tai muu sovellettava lainsäädäntö edellyttää muuta.
Jos rekisterinpitäjä oleva pyytää henkilötietojen palauttamista itselleen henkilötietojen tuhoamisen asemesta, se korvaa kyseessä olevalle käsittelijälle tästä mahdollisesti aiheutuvat ylimääräiset kustannukset.
3.5 Käsittelyä koskevat ohjeet
Osapuolet käsittelevät henkilötietoja tämän käsittelysopimuksen mukaisesti ja noudattavat kaikessa toiminnas- saan Suomen Partiolaisten tuottamia tietosuojaa koskevia ohjeita. Suomen Partiolaiset julkaisee voimassa olevat dokumentit ja ohjeet osoitteessa xxx.xxxxxx.xx/xxxxxxxxxx.
Tämä käsittelysopimus, rekisterinpitäjän (varsinainen jäsen tai partiolippukunta) sen nojalla antamat ohjeet ja osoitteessa xxx.xxxxxx.xx/xxxxxxxxxx kulloinkin julkaistut dokumentit ja ohjeet muodostavat yhdessä tämän kä- sittelysopimuksen mukaista henkilötietojen käsittelyä koskevat rekisterinpitäjän ohjeet.
Jos käsittelijä ei voi noudattaa rekisterinpitäjän ohjeita pakottavan lainsäädännön takia tai jos ne katsovat jonkin ohjeen rikkovan mitä tahansa lakia, käsittelijän tulee ilmoittaa tästä välittömästi rekisterinpitäjälle.
4 Käsiteltävät henkilötiedot
Suomen Partiolaiset ja sen varsinainen jäsen käsittelevät seuraavien rekisteröityjen ryhmien henkilötietoja Jäsenet ja huoltajat (ml. partiossa toimivat vapaaehtoiset)
Asiakkaat ja lahjoittajat
Henkilöstö
Partion sisältöjen tilaajat ja partiosta kiinnostuneet
Digitaalisten ratkaisujen käyttäjät
Suomen Partiolaiset kuvaa tietosuojaselosteissa, mitä käsiteltäviä henkilötietoja kuhunkin rekisteröityjen ryh- mään kuuluu. Nämä tietosuojaselosteet julkaistaan edellä mainitussa osoitteessa xxx.xxxxxx.xx/xxxxxxxxxx. Ne muodostavat erottamattoman osan tätä käsittelysopimusta. Suomen Partiolaiset päivittää tietosuojaselosteita tar- vittaessa.
5 Henkilötietojen sijainti ja tietojen siirtäminen
Käsittelijä ja sen alihankkijat voivat siirtää rekisteröityjen henkilötietoja muualle kuin EU- ja ETA-valtioon ja kä- sitellä näitä tietoja muussa kuin EU- ja ETA-valtiossa. Henkilötietojen käsittely suoritetaan tällöin asianmukaisia suojaustoimia soveltaen ja tämän sopimuksen vaatimuksia noudattaen.
Xxxxx rekisterinpitäjä valtuuttaa tällä sopimuksella lukuunsa toimivat käsittelijät solmimaan puolestaan asian- mukaiset sopimusjärjestelyt, jotta henkilötiedot voidaan tämän sopimuksen mukaisesti ja rajoissa siirtää EU- ja ETA-valtioiden ulkopuolelle ja jotta henkilötietoja voidaan käsitellä näissä valtioissa. Siirto ja käsittely tehdään tietosuojasääntelyviranomaisen hyväksymällä ja sallimalla tavalla.
Osapuolet toimittavat pyynnöstä toisille osapuolille tiedon tämän käsittelysopimuksen mukaisesti käsiteltävien henkilötietojen sijainnista tai sijainneista.
6 Henkilötietojen käsittelyn turvallisuus
Osapuolet toteuttavat ja ylläpitävät jatkuvasti asianmukaisia operatiivisia, hallinnollisia, fyysisiä ja teknisiä toi- menpiteitä siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen suojaamiseksi vahingossa tapahtu- valta tai laittomalta tuhoamiselta, häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai henkilötietoihin pääsyltä.
Käsittelijä varmistaa, että ne työntekijät, joilla on oikeus käsitellä rekisteröityjen henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai että heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
Kaikilta niiltä partion vapaaehtoisilta, joilla on tehtävänsä perusteella oikeus käsitellä rekisteröityjen henkilötie- toja, edellytetään myös sitoutumista salassapitovelvollisuuden noudattamiseen ja huolellisuuteen henkilötietojen käsittelyssä.
6.1 Tietoturvaloukkaukset
Käsittelijän tulee ilmoittaa havaitsemastaan tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viiväs- tystä. Tietoturvaloukkauksen seuraus voi olla henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy henkilötietoihin.
Ilmoituksessa on vähintään
a. kuvattava tietoturvaloukkaus ja kohteena olleet henkilötiedot mukaan lukien asianomaiset rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b. ilmoitettava lisätietoja antavan yhteyspisteen nimi ja yhteystiedot;
c. kuvattava tietoturvaloukkauksen todennäköiset seuraamukset ja
d. kuvattava toimenpiteet, joita Suomen Partiolaiset tai sen varsinainen jäsen on ehdottanut tai toteuttanut tietoturvaloukkauksen johdosta ja joita on tehty mahdollisten haittavaikutusten lieventämiseksi.
Jos kaikkia edellä mainittuja tietoja ei voida toimittaa ilman aiheetonta viivytystä, ne voidaan toimittaan vaiheit- tain.
6.2 Tarkastus
Rekisterinpitäjä tai sen valtuuttama tarkastaja voi tarkastaa käsittelijän noudattaman tietosuojan tason enintään kerran vuodessa. Käsittelijän tulee ilmoittaa tarkastuksesta kirjallisesti kolmekymmentä (30) päivää ennen tar- kastusta. Tarkastuksen tarkoituksena on varmistaa tämän käsittelysopimuksen ja tietosuojalainsäädännön nou- dattaminen.
Valtuutetun tarkastajan on ennen tarkastusta sitouduttava asianmukaiseen salassapitosopimukseen, jonka käsit- telijä hyväksyy. Käsittelijä osallistuu tarkastuksiin ja toimittaa kaikki tarkastuksen kannalta tarvittavat tiedot. Tarkastukset on suoritettava tavanomaisena työaikana, eivätkä ne saa aiheuttaa käsittelijälle tai tämän toimin- nalle kohtuutonta häiriötä.
Osapuolet vastaavat tarkastuksesta syntyvistä omista kuluistaan ja kustannuksistaan.
7 Allekirjoitukset
Tämä käsittelysopimus on luotu ja allekirjoitettu digitaalisesti Kuksa-rekisterissä.
Suomen Partiolaiset | Allekirjoittaja | Päiväys |
Varsinainen jäsen | Allekirjoittaja | Päiväys |
Partiolippukunta | Allekirjoittaja | Päiväys |