SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ KURSSIEN JÄRJESTÄMISESSÄ
SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ KURSSIEN JÄRJESTÄMISESSÄ
1. Sopimuksen osapuolet
1.1. Hämeen Pelastusliitto ry (”Rekisterinpitäjä”)
Yhteyshenkilö: toiminnanjohtaja
1.2. Kurssinjohtaja (”Käsittelijä”)
2. Tausta ja tarkoitus
2.1. Kurssinjohtaja on lupautunut suullisesti tai kirjallisesti toimimaan Rekisterinpitäjän kurssinjohtajana ( ks. Suomen Pelastusalan Keskusjärjestön (SPEK) kurssinjohtajaohjeet ).
2.2. Kurssinjohtajana toimiminen edellyttää Käsittelijältä henkilötietojen käsittelyä Rekisterinpitäjän lukuun. Tässä sopimusliitteessä kuvataan tähän yhteistyöhön liittyvät henkilötietojen käsittelyä koskevat toimintamallit sekä sitoumukset.
3. Sovellettava lainsäädäntö
3.1. Osapuolet noudattavat osaltaan voimassa olevan lainsäädännön edellyttämää hyvää tietojenkäsittelytapaa ja henkilötietojen käsittelyä koskevia säännöksiä sekä muita henkilötietojen käsittelyä koskevia viranomaisen määräyksiä tai alan yleisiä käytäntöjä.
3.2. Tällaista lainsäädäntöä, määräyksiä tai käytäntöjä ovat [mm. Henkilötietolaki 523/1999, Tietoyhteiskuntakaari (917/2014) ja 25.5.2018 eteenpäin yleinen tietosuoja-asetus (2016/679/EU) sekä muu Henkilötietolain korvaava lainsäädäntö]
4. Henkilötietojen käsittely
4.1. Henkilötietojen käsittelijä käsittelee henkilötietoja vain tämän sopimuksen mukaisesti. Tämä velvollisuus koskee myös tietojen siirtoa ja luovuttamista kolmansille tahoille mukaan lukien siirto kolmansiin maihin tai kansainväliselle järjestölle. Rekisterinpitäjän vastuulla on, että Käsittelijä on saanut tarpeenmukaisen ohjeistuksen henkilötietojen käsittelyyn. Tämä sopimus antaa ohjeet tarpeenmukaisesta ohjeistuksesta.
4.2. Käsittelijällä ei ole oikeutta käsitellä henkilötietoja muuhun kuin sopimuksen mukaiseen käyttötarkoitukseen.
4.3. Käsittelijä ei siirrä tai luovuta henkilötietoja EU:n tai ETA:n ulkopuolelle ilman Rekisterinpitäjän nimenomaista kirjallista lupaa. Siirrettäessä tietoja EU:n tai ETA:n ulkopuolelle, on noudatettava Rekisterinpitäjän ohjeistusta ja soveltuvaa lainsäädäntöä sekä turvattava henkilötietojen turvallisuus.
4.4. Käsittelijän on ilmoitettava Rekisterinpitäjälle jos se katsoo, että Rekisterinpitäjän ohjeistus rikkoo voimassa olevaa lainsäädäntöä tai viranomaisen ohjeistusta.
5. Rekisteröityjen oikeuksien toteuttaminen ja viranomaisen pyyntöihin vastaaminen
5.1. Käsittelijä avustaa rekisterinpitäjää rekisteröidyn lainmukaisten oikeuksien toteuttamisessa siinä määrin kun se on mahdollistaja kohtuullista, ottaen huomioon henkilötietojen käsittelyn luonteen. Käsittelijä ymmärtää, että tämä voi edellyttää mm. avustamista rekisteröidyille tiedottamisessa, rekisteröidyn tarkastusoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja henkilötietojen siirtämisessä järjestelmästä toiseen.
5.2. Käsittelijä avustaa Rekisterinpitäjää vastaamaan valvontaviranomaisen selvityspyyntöihin siinä määrin kuin se on mahdollista ja kohtuullista, ottaen huomioon henkilötietojen käsittelyn luonteen.
5.3. Käsittelijä sitoutuu ilmoittamaan rekisteröityjen tai viranomaisten pyynnöistä Rekisterinpitäjälle.
6. Henkilöstö
6.1. Osapuolet ovat vastuussa oman henkilöstönsä asianmukaisesta perehdyttämisestä ja kouluttamisesta.
6.2. Käsittelijä on vastuussa siitä, että rekistereihin ja järjestelmiin sisältyviä, palvelun toteuttamiseksi kerättyjä ja toimitettuja sekä palvelun toteuttamisessa syntyviä tietoja käsittelee ja niihin on pääsy henkilöillä, joiden työtehtävien kannalta se on tarpeen.
6.3. Käsittelijän on varmistettava, että henkilöstö, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta.
7. Alihankkijoiden käyttö
7.1. Käsittelijä ei saa käyttää alihankkijoita ilman Rekisterinpitäjän etukäteen antamaa kirjallista lupaa.
7.2. Henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle etukäteen kaikista muutoksista, jotka koskevat alihankkijoiden lisäämistä tai vaihtamista. Rekisterinpitäjällä on oikeus vastustaa tällaisia muutoksia.
8. Tietojen suojaaminen
8.1. Käsittelijän on varmistettava, että henkilötietojen käsittelyn tietoturvallisuus ja -suoja on taattu. Käsittelijän on käsiteltävä ja säilytettävä henkilötietoja huolellisesti ja hyvien tietojenkäsittelytapojen mukaisesti siten, että ne säilyvät saatavilla, virheettöminä ja eheinä.
9. Tarkastukset
9.1. Rekisterinpitäjällä on oikeus suorittaa kohtuullisia ja välttämättömiä valvontatoimenpiteitä tai suorittaa tarkastuksia Käsittelijän teknisiä ratkaisuja sekä tietoturva- ja tietosuojakäytäntöjä koskien. Tarkastus voidaan suorittaa Rekisterinpitäjän valtuuttaman riippumattoman tahon toimesta. Henkilötietojen käsittelijän on avustettava tarkastuksessa ja tarjottava kaikki tiedot, jotka ovat tarpeen sen osoittamiseksi, että Käsittelijä on noudattanut Rekisterinpitäjän ohjeita, tätä sopimusta sekä sovellettavaa lainsäädäntöä. Mahdolliset tarkastuksista ilmoitetaan vähintään 30 päivää etukäteen ja ne suoritetaan normaaleina työaikoina häiritsemättä muuta liiketoimintaa. Tarkastusten kustannuksista vastaa Rekisterinpitäjä.
10. Ilmoitukset tietoturvaloukkauksista
10.1.Käsittelijän on ilmoitettava henkilötietoihin kohdistuvasta tietoturvaloukkauksesta Rekisterinpitäjälle. Ilmoitus on tehtävä mainitulle yhteyshenkilölle.
10.2.Ilmoituksessa on vähintään:
a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;
c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
d) kuvattava toimenpiteet, jotka on toteutettu henkilötietojen tietoturvaloukkauksen johdosta
10.3.Käsittelijä sitoutuu lisäksi ilmoittamaan muista olennaisista häiriö- tai ongelmatilanteista.
10.4.Käsittelijä avustaa Rekisterinpitäjää tietoturvaloukkauksista ilmoittamisessa rekisteröidyille Rekisterinpitäjän pyynnöstä ja ohjeiden mukaisesti. Käsittelijällä on oikeus veloittaa kohtuulliset työkustannukset sovituilla henkilötyöhinnoilla.
11. Tietosuojaa koskeva vaikutusten arviointi
11.1.Käsittelijä sitoutuu avustamaan Rekisterinpitäjää EU:n yleisen tietosuoja-asetuksen vaatiman tietosuojaa koskevan vaikutusten arvioinnin tekemisessä sekä mahdollisessa viranomaisen tai rekisteröityjen ennakkokuulemisessa siinä määrin kuin se on kohtuudella mahdollista, ottaen huomioon henkilötietojen käsittelyn luonteen. Käsittelijällä on oikeus veloittaa kohtuulliset työkustannukset sovituilla henkilötyöhinnoilla.
12. Toimenpiteet sopimuksen päättymisen jälkeen
12.1.Rekisterinpitäjän ja Käsittelijän sopimuksen päätyttyä Käsittelijän on palautettava tai Rekisterinpitäjän pyynnöstä tuhottava kaikki Rekisterinpitäjän henkilötiedot ja henkilötietoja sisältävät dokumentit, tallenteet sekä muu materiaali. Käsittelijällä on kuitenkin oikeus
säilyttää lain tai viranomaisten määräysten vaatimat aineistot, jolloin tiedot on suojattava asianmukaisesti.