Tietojenkäsittelysopimus
Versio: 24.3.2023
1. Johdanto, tarkoitus ja soveltaminen
Tätä tietojenkäsittelysopimusta ("Tietojenkäsittelysopimus") sovelletaan osana kaupallista sopimusta ("Sopimus") sellaiseen henkilötietojen käsittelyyn, jota Ilona IT Oy, y-tunnus: 2319462-9, Energiakuja 3, 00180 Helsinki, ("Käsittelijä") suorittaa palveluidensa ("Palvelut") tarjoamisen yhteydessä Sopimuksessa määritellylle asiakkaalleen tai sen kanssa samaan konserniin kuuluville yhtiöille ("Rekisterinpitäjä"). Palvelut on tarkemmin kuvattu Käsittelijän ja Rekisterinpitäjän välisessä Sopimuksessa.
Tämä Tietojenkäsittelysopimus on olennainen ja erottamaton osa osapuolten välistä Sopimusta. Kaikilla tässä Tietojenkäsittelysopimuksessa käytetyillä, mutta määrittelemättömillä termeillä, on sama merkitys kuin mikä niillä on Sopimuksessa. Mikäli Sopimuksen ja tämän Tietojenkäsittelysopimuksen välillä on ristiriitaa, saavat Tietojenkäsittelysopimuksen ehdot etusijan.
2. Määritelmät
"Alikäsittelijä" tarkoittaa Käsittelijään sopimussuhteessa olevaa luonnollista henkilöä tai oikeushenkilöä, joka Käsittelee Henkilötietoja Käsittelijän alihankkijana osana Palveluiden suorittamista Rekisterinpitäjälle.
"Henkilötieto" tarkoittaa tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
"Käsittelijä" tarkoittaa tässä Tietojenkäsittelysopimuksessa mainittua luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka Käsittelee Henkilötietoja Rekisterinpitäjän lukuun.
"Käsittely" tarkoittaa toimintoa tai toimintoja, joita kohdistetaan Henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin Palveluiden tarjoamisen yhteydessä joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
"Rekisterinpitäjä" tarkoittaa tässä Tietojenkäsittelysopimuksessa mainittua luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
"Rekisteröity" tarkoittaa tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, jonka Henkilötietoja Käsitellään tämän Tietojenkäsittelysopimuksen perusteella.
"Tietosuojalainsäädäntö" tarkoittaa tietosuojalakia (1050/2018) ja EU:n yleistä tietosuoja-asetusta (2016/679) muutoksineen ja korvaavine säädöksineen sekä muuta kulloinkin voimassaolevaa ja sovellettavaa tietosuojalainsäädäntöä ja tietosuojaviranomaisten ohjeita ja sitovia määräyksiä.
"Tietoturvaloukkaus" tarkoittaa tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
3. Käsittelyn laajuus ja käsittelytoimenpiteet
Tämän Tietojenkäsittelysopimuksen nojalla Käsitellään Henkilötietoja, joiden yksinomaisena rekisterinpitäjänä Rekisterinpitäjä toimii.
Käsittelijä Käsittelee Henkilötietoja (i) Tietosuojalainsäädännön ja tämän Tietojenkäsittelysopimuksen ehtojen mukaisesti Sopimuksessa kuvattujen velvoitteiden täyttämiseksi; ja (ii) Rekisterinpitäjän kulloinkin antamia kirjallisia ohjeita noudattaen, paitsi jos Käsittelijään sovellettavassa Tietosuojalainsäädännössä toisin vaaditaan. Käsittelijä ei saa käsitellä Henkilötietoja mihinkään omiin tarkoituksiinsa tai luovuttaa niitä kolmansille osapuolille, ellei tämä Tietojenkäsittelysopimus salli sitä. Käsittelijän tulee välittömästi ilmoittaa Rekisterinpitäjälle, jos se katsoo tai epäilee, että Rekisterinpitäjän kirjalliset ohjeet rikkovat Tietosuojalainsäädäntöä. Ellei tässä Tietojenkäsittelysopimuksessa tai sen liitteissä toisin määrätä, Käsittelijä saa Käsitellä Henkilötietoja vain Sopimuksen voimassaolon ajan.
Rekisterinpitäjä (i) sitoutuu noudattamaan Henkilötietojen käsittelyssä itseensä soveltuvia Tietosuojalainsäädännön mukaisia velvoitteita; ja (ii) vastaa siitä, että sillä on rekisterinpitäjänä oikeus Käsitellä Henkilötietoja ja että se on täyttänyt informointivelvoitteensa Rekisteröidyille ja/tai saanut (tai saa) kaikki sovellettavan Tietosuojalainsäädännön mahdollisesti edellyttämät suostumukset Rekisteröidyiltä sille, että Käsittelijä käsittelee Henkilötietoja Rekisterinpitäjän lukuun tämän Tietojenkäsittelysopimuksen mukaisesti.
Käsittelyä koskevat tarkemmat tiedot, kuten Käsittelyn luonne, Henkilötietojen tyypit ja Rekisteröityjen ryhmät, on kuvattu liitteessä 1. Liitettä voidaan päivittää, mikäli Käsittelyssä tapahtuu muutoksia.
Rekisterinpitäjä kuitenkin tiedostaa ja hyväksyy, että osana Palveluiden tarjoamista Rekisterinpitäjälle Käsittelijällä on oikeus käyttää Palvelun toimintaan, tukeen tai käyttöön liittyviä tai sen yhteydessä saatuja tietoja laillisiin ja oikeutettuihin sisäisiin liiketoimintatarkoituksiinsa, kuten (i) käyttöön tai käyttäjämäärään perustuvaan Palvelusta laskuttamiseen, (ii) Palvelun toimittamisen ja tarjoamisen hallintaan, (iii) Palvelun toiminnalliseen ja tekniseen kehitykseen, (iv) sovellettavien lakien noudattamiseen (mukaan lukien viranomaispyyntöihin vastaaminen), (v) Palvelun turvallisuuden varmistamiseen sekä (vi) petosten ja väärinkäytösten estämiseen tai riskien vähentämiseen. Siltä osin kuin tällaiset tiedot ovat Henkilötietoja, Käsittelijä sitoutuu siihen, että: (a) se käsittelee tällaisia Henkilötietoja sovellettavan Tietosuojalainsäädännön mukaisesti ja vain tarkoituksiin, jotka ovat yhteensopivia tässä kohdassa kuvattujen tavoitteiden kanssa; ja (b) se ei käytä tällaisia Henkilötietoja mihinkään muuhun tarkoitukseen tai paljasta niitä ulkopuolisille, ellei se ole ensin anonymisoinut tietoja siten, ettei tiedosta tunnista Rekisterinpitäjää tai muuta henkilöä tai yhteisöä.
4. Alihankinnat ja alikäsittelijät
Käsittelijällä on oikeus käyttää Käsittelyssä Alikäsittelijöitä. Luettelo tämän Tietojenkäsittelysopimuksen voimaantulohetkellä käytettävistä Alikäsittelijöistä on liitteessä 1. Käsittelijän tulee pyynnöstä toimittaa Rekisterinpitäjälle lisätietoja käyttämistään Alikäsittelijöistä. Mikäli Käsittelijä suunnittelee vaihtavansa, lisäävänsä tai poistavansa Alikäsittelijöitä, on tämän ilmoitettava kirjallisesti Rekisterinpitäjälle suunnitellusta muutoksesta vähintään 14 päivää ennen aiottua muutosta, jotta Rekisterinpitäjä voi vastustaa aiottua muutosta ennen sen toteuttamista. Rekisterinpitäjällä on oikeus kieltää tietyn Alikäsittelijän käyttö perustellusta syystä. Mikäli Rekisterinpitäjä kieltää tietyn Alikäsittelijän käytön eikä kyseisen Alikäsittelijän tehtäviä ole kohtuudella mahdollista siirtää kenellekään muulle, mukaan lukien Käsittelijälle itselleen, on osapuolella oikeus irtisanoa Tietojenkäsittelysopimus. Rekisterinpitäjällä ei ole oikeutta mihinkään korvauksiin pelkästään sillä perusteella, että Tietojenkäsittelysopimus on irtisanottu siitä johtuen, että Rekisterinpitäjä on kieltänyt tietyn Alikäsittelijän käytön.
Käsittelijän on tehtävä kunkin Alikäsittelijän kanssa kirjallinen sopimus, joka sisältää Tietosuojalainsäädännön edellyttämät ehdot ja olennaisilta osin vastaavat velvoitteet, kuin Käsittelijällä on tämän Tietojenkäsittelysopimuksen nojalla. Käsittelijä vastaa käyttämistään Alikäsittelijöistä kuten omista toimistaan.
5. Tietoturvatoimenpiteet
Käsittelijän on toteutettava asianmukaiset tekniset, fyysiset ja organisatoriset toimenpiteet, joilla varmistetaan Käsittelijän toimesta tapahtuvan Henkilötietojen Käsittelyn korkea turvallisuustaso ja suojellaan Henkilötietoja luvattomalta tai laittomalta käsittelyltä sekä tahattomalta menettämiseltä, tuhoamiselta, vahingolta, muutokselta tai luovuttamiselta. Turvallisuustason takaamiseksi tarpeellisten toimenpiteiden arvioimisessa tulee huomioida Rekisterinpitäjän ohjeet, uusin tekniikka ja toteuttamiskustannukset, Käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.
Soveltuvia toimenpiteitä voivat olla esimerkiksi: (i) Henkilötietojen pseudonymisointi ja salaus; (ii) kyky taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; (iii) kyky palauttaa nopeasti Henkilötietojen saatavuus ja pääsy Henkilötietoihin fyysisen tai teknisen vian sattuessa; ja (iv) menettely jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta Käsittelyn turvallisuuden varmistamiseksi. Käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen Käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy Henkilötietoihin, käsittelee niitä ainoastaan Rekisterinpitäjän ohjeiden mukaisesti, ellei soveltuvassa Tietosuojalainsäädännössä toisin vaadita. Käsittelijä vastaa, omien käytäntöjensä mukaisesti, hallussaan olevien Rekisterinpitäjän tietojen ja tiedostoja koskevien varmuuskopioiden ottamisesta sekä niiden toimivuuden tarkastamisesta.
Rajoittamatta edellä kuvattuja vaatimuksia ja velvoitteita, Käsittelijän on aina toteutettava vähintään liitteessä 2 kuvatut tekniset ja organisatoriset tietoturvatoimenpiteet.
6. Salassapito
Käsittelijän on varmistettava, että että vain sellaisilla sen puolesta toimivilla henkilöillä, joilla on tarve saada tietoihin pääsy tämän Tietojenkäsittelysopimuksen tarkoituksen täyttämiseksi, on pääsy Henkilötietoihin, ja että henkilöt, joilla on oikeus käsitellä Henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
7. Kansainväliset tietojen siirrot
Käsittelijä saa siirtää Euroopan Unionin tai Euroopan talousalueen ulkopuoliseen maahan. Käsittelijän tulee aina noudattaa Tietosuojalainsäädännön edellytyksiä ja vaatimuksia siirtäessään tietoja Euroopan Unionin tai Euroopan talousalueen ulkopuolisiin maihin, kuten esimerkiksi käyttää tietojen siirtoon soveltuvia EU:n komission julkaisemia vakiosopimuslausekkeita.
8. Tietoturvaloukkaukset ja ilmoitusvelvollisuus
Käsittelijän on ilmoitettava Rekisterinpitäjälle kaikista todellisista tai epäillyistä Tietoturvaloukkauksista ilman aiheetonta viivytystä loukkauksen tultuaan tietoonsa.
Käsittelijän tulee antaa Rekisterinpitäjälle kaikki Tietoturvaloukkauksesta saatavilla olevat tiedot, joita Rekisterinpitäjä voi tarvita omien selvitys- ja ilmoitusvelvollisuuksiensa täyttämiseksi. Käsittelijä voi myöhemmin täydentää tietoja, mikäli sillä ei ole heti saatavilla kattavia tietoja loukkauksesta. Käsittelijän tulee muutoinkin avustaa ja tehdä yhteistyötä Rekisterinpitäjän kanssa Tietoturvaloukkauksen selvittämisessä sekä mahdollisissa viranomais- ja asianosaisilmoituksiin liittyvissä asioissa. Käsittelijän tulee myös viipymättä ryhtyä tarpeellisiin jatkotoimenpiteisiin, joilla Henkilötietojen Tietoturvaloukkauksen haittavaikutuksia voidaan lieventää, tapahtunut loukkaus tai murto korjata ja tulevia loukkauksia estää. Käsittelijä ei saa kommentoida Rekisterinpitäjän Henkilötietoihin kohdistunutta Tietoturvaloukkausta kolmansille tahoille, etenkään median edustajille, ilman Rekisterinpitäjältä saatua nimenomaista kirjallista suostumusta ja ohjetta, ellei Tietosuojalainsäädäntö toisin edellytä.
Ellei Tietosuojalainsäädäntö tai toimivaltaisen viranomaisen määräys toisin edellytä, Rekisterinpitäjä tekee lopullisen päätöksen oman harkintansa mukaan siitä, onko Tietoturvaloukkauksesta ilmoitettava viranomaisille tai muille asianosaisille sekä mahdollisesta tavasta tehdä kyseiset ilmoitukset. Mikäli Käsittelijä antaa Tietoturvaloukkauksesta ilmoituksia viranomaisille tai muille asianosaisille, tulee ne hyväksyttää etukäteen Rekisterinpitäjällä.
9. Dokumentointi ja auditointioikeus
Osapuolella on velvollisuus saattaa toisen osapuolen saataville kaikki vaadittavat tiedot ja asiakirjat, jotka ovat tarpeen tässä Tietojenkäsittelysopimuksessa ja Tietosuojalainsäädännössä asetettujen velvollisuuksien noudattamisen osoittamista varten.
Käsittelijän on Rekisterinpitäjän pyynnöstä myös sallittava Käsittelyn, Palvelujen, tietoturvatoimenpiteiden sekä Käsittelijän tietojärjestelmien ja prosessien tarkastukset sekä osallistuttava niihin kohtuullisin väliajoin sen varmistamiseksi, että Käsittelijä noudattaa tätä Tietojenkäsittelysopimusta ja Tietosuojalainsäädäntöä. Tällaisia tarkastuksia voi olla enintään kerran vuodessa, ellei ole perusteltua syytä olettaa, että Käsittelijä ei noudata Tietojenkäsittelysopimusta tai Tietosuojalainsäädäntöä. Rekisterinpitäjä voi päättää suorittaa tarkastuksen itse tai valtuuttaa siihen riippumattoman ulkopuolisen tarkastajan. Tarkastuksiin voi sisältyä myös käyntejä Käsittelijän toimitiloissa tai muissa fyysisissä tiloissa. Tarkastus suoritetaan normaalina työaikana ja se pyritään toteuttamaan niin, että se ei tarpeettomasti häiritse Käsittelijän toimintaa. Kukin osapuoli vastaa tarkastuksiin liittyvistä omista kustannuksistaan. Suunnitelluista tarkastuksista tulee ilmoittaa Käsittelijälle vähintään viisitoista (15) päivää ennen aiottua tarkastusta. Rekisterinpitäjän tarkastuksen aikana saamat, Käsittelijän toimintaa koskevat tiedot ovat luottamuksellisia.
10. Rekisterinpitäjän avustaminen
Käsittelijän tulee Rekisterinpitäjän pyynnöstä ja kustannuksella kohtuudella avustaa Rekisterinpitäjää Tietosuojalainsäädännössä säädettyjen rekisterinpitäjää koskevien velvollisuuksien noudattamisessa. Avustamisvelvollisuus koskee erityisesti seuraavia asioita:
10.1 Pääsy henkilötietoon
Siltä osin kuin Rekisteröityä koskevia Henkilötietoja ei ole saatavilla suoraan Palvelujen kautta, Käsittelijän tulee pyynnöstä toimittaa Rekisterinpitäjälle kyseiset tiedot. Jos tiedot on saatavilla sähköisessä muodossa, ne tulee toimittaa myös Rekisterinpitäjälle siinä muodossa.
10.2 Rekisteröityjen oikeuksien täyttäminen ja valvontaviranomaisen pyynnöt
Käsittelijän tulee ilmoittaa Rekisterinpitäjälle viipymättä: (i) kaikista valvontaviranomaisen tai muun toimivaltaisen viranomaisen esittämistä pyynnöistä, valituksista tai ilmoituksista; ja (ii) mistä tahansa Rekisteröidyiltä suoraan saaduista, rekisteröidyn oikeuksien täyttämiseen liittyvistä pyynnöistä. Käsittelijä saa itse vastata pyyntöön vain, jos Rekisterinpitäjä on antanut siihen etukäteisen luvan ja ohjeet. Mikäli Rekisterinpitäjä niin pyytää, Käsittelijän tulee kohtuudella avustaa Rekisterinpitäjää viranomaispyyntöihin vastaamisessa ja Tietosuojalainsäädännön mukaisten rekisteröidyn oikeuksien täyttämisessä.
10.3 Tietosuojaa koskeva vaikutustenarviointi
Mikäli Käsittelijä tulee tietoiseksi siitä, että suunniteltu Käsittely aiheuttaisi korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta, tulee sen ilmoittaa tästä Rekisterinpitäjälle ja avustaa tätä tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin toteuttamisessa.
10.4 Henkilötietojen korjaaminen, poisto ja rajoittaminen
Käsittelijän tulee joko (i) tarjota mahdollisuus oikaista, poistaa tai rajoittaa Henkilötietojen käsittelyä Palvelun toimintojen kautta tai (ii) oikaista, poistaa tai rajoittaa Henkilötietojen käsittelyä Rekisterinpitäjän ohjeiden mukaisesti.
11. Voimassaolo ja henkilötietojen käsittelyn päättyminen
11.1 Voimaantulo ja voimassaolo
Ellei toisin sovita, tämä Tietojenkäsittelysopimus tulee voimaan samanaikaisesti Sopimuksen kanssa ja pysyy voimassa niin kauan, kuin Käsittelijä Käsittelee Rekisterinpitäjän Henkilötietoja Palveluidensa toimittamisen yhteydessä. Tietojenkäsittelysopimuksen päättymisestä huolimatta Tietojenkäsittelysopimuksen määräykset, jotka ovat luonteeltaan sellaisia, että ne on tarkoitettu jäävän voimaan sopimuksen päättymisestä riippumatta, jäävät voimaan Tietojenkäsittelysopimuksen päättymisestä huolimatta.
11.2 Henkilötietojen palauttaminen tai poistaminen Käsittelyn päättyessä
Tietojenkäsittelysopimuksen päättyessä Käsittelijän on Rekisterinpitäjän valinnan mukaan, joko poistettava kaikki Rekisterinpitäjän puolesta Käsitellyt Henkilötiedot tai vaihtoehtoisesti palautettava kaikki Henkilötiedot Rekisterinpitäjälle ja poistettava olemassa olevat jäljennökset, jollei Tietosuojalainsäädännössä edellytetä Henkilötietojen säilyttämistä. Siinä tapauksessa Käsittelijällä on oikeus säilyttää Henkilötiedot lain vaatimusten mukaisesti, jatkamatta muutoin Henkilötietojen käsittelyä ja noudattaen edelleen tässä Tietojenkäsittelysopimuksessa kuvattuja salassapitovelvoitteita. Henkilötietojen palautus tai poistaminen tulee suorittaa ilman aiheetonta viivytystä Rekisterinpitäjän pyynnön esittämisestä. Mikäli Rekisterinpitäjä ei ole antanut mitään ohjetta Henkilötietojen poistoa tai palautusta koskien, tulee Käsittelijän oma-aloitteisesti poistaa hallussaan olevat Henkilötiedot kun kuusi (6) kuukautta on kulunut Tietojenkäsittelysopimuksen päättymisestä. Käsittelijän tulee palauttaa Henkilötiedot yleisesti käytössä olevassa, tietoturvallisessa sähköisessä muodossa tai muussa osapuolten sopimassa muodossa.
12. Muut ehdot
12.1 Muutokset
Kaikki muutokset tähän Tietojenkäsittelysopimukseen on sovittava kirjallisesti osapuolten kesken. Selvyyden vuoksi todetaan, että Rekisterinpitäjän kulloinkin antamia kirjallisia ohjeita Henkilötietojen Käsittelyn suorittamiseksi ei pidetä tämän Tietojenkäsittelysopimuksen muutoksena.
12.2 Vastuut ja korvausvelvollisuus
Jos Rekisteröidyille aiheutuu vahinkoa Tietosuojalainsäädännön rikkomisesta, Rekisterinpitäjän ja Käsittelijän vastuu vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen (2016/679) 82 artiklan mukaisesti. Kukin osapuoli vastaa itse mahdollisista hallinnollisista seuraamusmaksuista, joita valvontaviranomainen määrää Tietosuojalainsäädännön loukkauksen perusteella. Tämän Tietojenkäsittelysopimuksen sopimusrikkomukseen perustuva osapuolen vahingonkorvausvelvollisuus toiselle osapuolelle on yhteensä enintään summa, joka vastaa Sopimuksen perusteella maksettuja arvonlisäverottomia palvelumaksuja ensimmäisen vahingonkorvausvaatimuksen esittämistä edeltävältä kuudelta (6) kuukaudelta. Muilta osin osapuolten välisen Sopimuksen taikka sen liitteiden mahdollisesti sisältämiä vastuunrajoitusehtoja sovelletaan myös tähän Tietojenkäsittelysopimukseen.
12.3 Sovellettava laki ja riitojen ratkaisu
Sovellettava lain ja riitojen ratkaisun osalta noudatetaan osapuolten välisen Sopimuksen ehtoja, ellei Tietosuojalainsäädännöstä muuta johdu.
13. Liitteet
Tämä Tietojenkäsittelysopimus koostuu tästä asiakirjasta ja seuraavista liitteistä:
Liite 1: Käsittelytoimien kuvaus ja alikäsittelijät, sekä
Liite 2: Tekniset ja organisatoriset tietoturvatoimet.
Liite 1 Käsittelytoimien kuvaus ja hyväksytyt alikäsittelijät
Osapuolten yhteyshenkilöt
Käsittelijän yhteyshenkilön nimi, sähköpostiosoite ja puhelinnumero:
Andrei Kolmakow, Technical Manager, andrei@ilonait.fi, +358 45 129 4657
Rekisterinpitäjän yhteyshenkilön nimi, sähköpostiosoite ja puhelinnumero:
Kaupallisessa sopimuksessa mainittu tai osapuolen muuten ilmoittama yhteyshenkilö
Kuvaus Käsittelijän suorittamista käsittelytoimista
Rekisteröityjen ryhmät, joiden henkilötietoja käsitellään:
Pääsääntöisesti Rekisterinpitäjän henkilöt, kuten oma henkilöstö, kumppanit, oppilaat, oppilaiden huoltajat sekä yhdistysten, kuten urheilu- tai muiden seurojen, jäsenet.
Käsiteltävät henkilötietoryhmät:
Työnantaja/yhdistys/urheiluseura/muun organisaatio
Käsitelläänkö arkaluontoisia tietoja:
Ei lähtökohtaisesti.
Henkilötietojen käsittelyn luonne:
Rekisterinpitäjän opetukseen ja koulutuksiin osallistuvien tai niitä järjestävien taikka tuottavien käyttäjien henkilötietojen tallentaminen ja hallinnointi.
Tarkoitus, jota varten henkilötietoja käsitellään rekisterinpitäjän puolesta:
Opetus- ja koulutuskäyttöön tarkoitetun digitaalisen palvelualustan, Emill-palvelun, toimittaminen Rekisterinpitäjälle. Rekisterinpitäjä käyttää Emill-palvelua omiin opetus- ja koulutustarpeisiinsa, toteuttaa palvelulla koulutuksia ja hallinnoi palvelulla koulutuksiin osallistuvia tai niitä järjestäviä käyttäjiä.
Henkilötietojen käsittelyn kesto:
Emill-palvelun käyttöä koskevan sopimuksen voimassaoloaika.
Luettelo alikäsittelijöistä (tilanne sopimuksen allekirjoitushetkellä)
Alikäsittelijän nimi:
Alikäsittelijän kotipaikka, kuvaus käsittelystä ja kuvaus käytössä olevasta suojamekanismista, jos tietoja siirretään EU:n tai ETA:n ulkopuolelle:
Amazon AWS
Irlanti, palvelinkapasiteetin tarjoaminen Emill-palvelulle, ei tiedonsiirtoa EU/ETA-alueen ulkopuolelle.
Liite 2 Tekniset ja organisatoriset tietoturvatoimet
Kuvaus teknisistä ja organisatorisista toimenpiteistä, joita Käsittelijän tulee Tietojenkäsittelysopimuksessa mainittujen yleisten velvoitteiden lisäksi toteuttaa asianmukaisen tietoturvan tason varmistamiseksi.
Toimitilojen turvallisuus
Käsittelijä huolehtii siitä, etteivät asiaankuulumattomat henkilöt pääse käsittelijän toimitiloihin, joissa henkilötietoja käsitellään. Henkilötietoja käsitellään ja säilytetään ammattimaisesti hallinnoiduissa tiloissa.
Järjestelmien turvallisuus
Järjestelmiin ei saa olla pääsyä ilman henkilökohtaisia käyttäjätunnuksia. Käyttäjätunnuksia myönnetään kontrolloidusti ja jokainen henkilö vastaa käyttäjätunnuksen käyttämisestä ohjeistuksen mukaisesti. Käyttäjätunnuksia tarkistetaan ja tarpeettomat poistetaan säännöllisesti.
Tietohallinnon turvallisuus
Jokaisella käyttäjällä on mahdollisuuksien mukaan pääsy ainoastaan niihin tietoihin, mihin hänellä on työtehtäviensä puolesta tarve päästä ja henkilötietoja ei saa katselmoida, kopioida, muokata tai poistaa ilman asiaan kuuluvaa oikeutta tai lupaa siihen. Pääsyn henkilötietoihin tulee olla selkeästi henkilön tehtäviin kuuluvaa.
Henkilötietojen välittäminen
Mikäli Henkilötietoja välitetään julkisissa verkoissa, välitetään tiedot salattuina. Henkilötietoihin pääsy on ainoastaan käyttäjillä, joilla on käyttäjätunnukset ja näin voidaan myös varmistaa, ettei henkilötietoihin ole pääsyä niillä, joilla ei sitä kuuluisi olla. Käyttäjäoikeuksia hallinnoidaan ja tarkistetaan säännöllisesti. Henkilötietoja ei välitetä testi -tai muihin väliaikaisiin ympäristöihin jollei tietoja ole suojattu riittävällä tavalla.
Tietovälineiden valvonta
Henkilötietoihin pääsyä kontrolloidaan ja järjestelmissä on mahdollisuuksien mukaan lokitiedot. Päätelaitteet ja tietojärjestelmät tulee olla käyttöjärjestelmätasolla käyttäjäkohtaisten tunnusten takana eikä tunnuksia saa jakaa tai muiden tunnuksia käyttää. Työpisteiltä poistuttaessa päätelaitteet ja tietojärjestelmät tulee käyttöjärjestelmätasolla lukita.
Henkilötiedoista ja/tai niitä käyttävistä järjestelmistä otetaan varmuuskopioita toimialan hyvien käytäntöjen mukaisesti, jotta mahdollistetaan tietojen palauttaminen. Järjestelmät ja arkkitehtuuri käyttävät vikasietoista teknologiaa.
Rekisterinpitäjälle ilmoitetaan, mikäli tämän henkilötietoja on vuotanut tai on tapahtunut muu merkittävä tietoturvavuoto järjestelmistä.
Liite 3 Arkitehtuurikuvaus
