DATASKYDDS RIKTNING, BILAGA 1
Dataskydds dokumentation Skapad: 10.2.2019
Uppdaterad: 14.1.2020
DATASKYDDS RIKTNING, BILAGA 1
ORGANISATIONENS BEHANDLING AV PERSONUPPGIFTER – TREPARTSAVTAL
1 Parter
Parterna i detta Avtal om behandling av personuppgifter (Avtalet) är
1) Finlands Röda Kors riksomfattande organisation (Organisationen) som repre- senteras av Centralbyrån
2) Finlands Röda Kors regionalt (Distrikten)
3) Finlands Röda Kors lokalt (Avdelningarna).
Styrelsen för respektive Part fattar i ett sammanträde beslut om att bli Part i detta Avtal och meddelar i samma beslut att den förbinder sig till att följa Finlands Röda Kors riktlinjer för dataskydd (Organisationen, Distrikten och Avdelningarna, nedan tillsammans Parterna).
2 Syftet med och tillämpningsområdet för detta avtal om behandling av per- sonuppgifter
Detta Avtal om behandling av personuppgifter definierar samarbetet mellan Par- terna och tillämpas på all Personuppgiftsbehandling som utförs i Organisationens namn.
Detta Avtal omfattar Personuppgifter, för vilka Organisationen är Personuppgiftsan- svarig (Personuppgiftsansvarig) samt Distriktet och Avdelningen är Personupp- giftsbiträden (Personuppgiftsbiträden).
I enlighet med detta Avtal behandlar Personuppgiftsbiträdena Personuppgifter i syfte att stödja den Personuppgiftsansvariges verksamhet. De Personuppgifter som be- handlas kan omfatta bland annat Personuppgifter om organisationens medlemmar, frivilliga, utbildade, utbildare, personer i företag och skolor som organisationen sam- arbetar med samt olika grupper som blir hjälpta.
3 Definitioner och roller
I detta Avtal avses följande:
1) Dataskyddslagstiftning avser gällande dataskyddslagstiftning i Finland (bland annat EU:s allmänna dataskyddsförordning GDPR 2016/679/EU och Finlands dataskyddslag 1050/2018) och dataskyddsmyndigheternas bindande bestäm- melser.
2) Registrerad avser en person vars Personuppgifter behandlas i syfte att stödja Organisationens verksamhet.
3) Personuppgifter avser alla de uppgifter om identifierade eller identifierbara fy- siska personer som har erhållits inom ramarna för Organisationens verksamhet innan eller efter att detta Avtal trädde i kraft.
4) Personuppgiftsansvarige avser en aktör som definierar i vilket syfte och på vilket sätt personuppgifterna behandlas. I anknytning till detta Avtal är Central- byrån Personuppgiftsansvarig.
5) Personuppgiftsbiträde avser en aktör som behandlar personuppgifter i den personuppgiftsansvariges namn. I anknytning till detta Avtal är Distriktet och Avdelningen personuppgiftsbiträden.
6) Sammanfattande dokument avser en redogörelse för behandlingsåtgärderna i den behandling av Personuppgifter som utförs för den personuppgiftsansvariges räkning.
4 Parternas gemensamma skyldigheter
Alla Parter ska
1) behandla Personuppgifterna i enlighet med god informationshantering och Data- skyddslagstiftningen
2) förbinda sig att till utveckla och använda sig av Organisationens centraliserade system som stödjer behandlingen av Personuppgifter
3) förbinda sig till omsorgsfull behandling av alla Organisationens Personuppgifter på ett sådant sätt att datasäkerheten säkerställs.
5 Den Personuppgiftsansvariges skyldigheter
Den Personuppgiftsansvarige ska
1) ge Personuppgiftsbiträdena sådana skriftliga anvisningar för behandlingen av Personuppgifter som binder Personuppgiftsbiträdena och överensstämmer med Dataskyddslagstiftningen
2) svara på de Registrerades förfrågningar som rör användningen av deras rättig- heter. Den Personuppgiftsansvarige meddelar Personuppgiftsbiträdena om såd- ana förfrågningar, om de kräver åtgärder även av Distriktet eller Avdelningen
3) stödja Distrikten med tillämpligt material och stöd i utbildningen av Avdelning- arna i dataskydd.
6 Distriktets skyldigheter
Distriktet ska
1) utse en person som ansvarar för Distriktets dataskydd
2) upprätthålla en översiktsmall över den Personuppgiftsbehandling som sker i Or- ganisationens namn
3) i egenskap av Organisationens Personuppgiftsbiträde stödja Avdelningarna i sitt område
4) förbinda sig att utbilda aktörerna på sina Avdelningar i dataskydd
5) i egenskap av Organisationens Personuppgiftsbiträde säkerställa att Xxxxxxxxx- arna är medvetna om sina skyldigheter och rättigheter
6) stödja Avdelningen i sådana fall där Avdelningen inte har direkt tillgång till Or- ganisationens personuppgiftssystem
7) utan oskäligt dröjsmål svara på Centralbyråns frågor om de Registrerades rät- tigheter.
7 Avdelningens skyldigheter
Avdelningen ska
1) behandla Personuppgifter inom ramarna för lagliga behandlingsgrunder
2) utse en kontaktperson för dataskydd på Avdelningen (J2)
3) upprätthålla en Översiktsmall över den Personuppgiftsbehandling som sker i Or- ganisationens namn
4) säkerställa förtroendepersonernas och de ansvariga frivilligas samt övriga nyck- elpersoners kunskaper om dataskydd
5) utan oskäligt dröjsmål svara på Centralbyråns frågor om de registrerades rättig- heter.
8 Personuppgiftsbiträdenas allmänna skyldigheter
Personuppgiftsbiträdena ska
1) behandla Personuppgifterna i enlighet med de dokumenterade anvisningar som den Personuppgiftsansvarige har gett
2) omedelbart informera den Personuppgiftsansvarige om de anser att den Person- uppgiftsansvariges anvisningar bryter mot Dataskyddslagstiftningen
3) vidta tillräckliga tekniska och organisationsmässiga säkerhetsåtgärder för att skydda Personuppgifterna på det sätt som avses i artikel 32 i dataskyddsförord- ningen
4) till tillämpliga delar och i nödvändig omfattning bistå den Personuppgiftsansva- rige i att säkerställa att de skyldigheter som regleras i artikel 32–36 i dataskydds- förordningen följs
5) säkerställa att de personer som har rätt att behandla Personuppgifter har för- bundit sig att följa tystnadsplikten eller att de omfattas av tillämplig lagstadgad tystnadsplikt
6) radera eller returnera alla Personuppgifter till den Personuppgiftsansvarige efter att den ändamålsenliga behandlingen har upphört, om inget annat anges i lag
7) göra alla sådana uppgifter tillgängliga för den Personuppgiftsansvarige som be- hövs för att den Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter
8) informera den Personuppgiftsansvarige om personuppgiftsincidenter utan oskä- ligt dröjsmål efter att de har fått kännedom om dem.
9 Utlämnande av personuppgifter
Personuppgiftsbiträdena får inte lämna ut eller överföra Organisationens Personupp- gifter till tredje part i något annat fall än i förväg definierat behandlingssyfte.
Organisationens Personuppgifter kan vid behov lämnas ut inom organisationen mel- lan Centralbyrån, Distrikten och Avdelningarna.
10 Underleverantörer
Personuppgiftsbiträdena kan anlita underleverantörer för behandlingen av Person- uppgifter.
Personuppgiftsbiträdena ansvarar för underleverantörernas handlingar som för sina egna och ingår nödvändiga avtal om uppgiftsbehandlingen med sina underleveran- törer.
11 Revision
Den Personuppgiftsansvarige har rätt att utföra revisioner och granskningar på Per- sonuppgiftsbiträdena för att säkerställa att Personuppgiftsbiträdena följer Data- skyddslagstiftningen samt de skyldigheter som ställs på Personuppgiftsbehand- lingen i detta Avtal. Distriktet har rätt att utföra motsvarande revisioner och gransk- ningar på Avdelningen för den Personuppgiftsansvariges räkning.
12 Ansvarsbegränsning
Ansvaret för skador i anknytning till dataskyddet fastställs i enlighet med data- skyddsförordningen.
13 Tillämplig lag och avgörande av tvister
På detta Avtal tillämpas Finlands lag. Tvister ska i första hand försöka lösas genom förhandlingar. Om tvisterna inte kan lösas genom förhandlingar kan ärendet föras till Helsingfors tingsrätt för avgörande.