fi

Kirjaudu

HENKILÖTIETOJEN KÄSITTELYSOPIMUS (TKS)

1. Osapuolet

a. Rekisterinpitäjä

Asiakas Organisaatio (jäljempänä: ”Rekisterinpitäjä”)

b. Käsittelijä

Toimittaja Organisaatio: Suomen Olympiakomitea ry (jäljempänä: ”Käsittelijä”)

2. Tausta ja tarkoitus

Tässä tietojenkäsittelysopimuksessa (”TKS”) osapuolet sopivat niistä ehdoista, joiden mukaisesti Käsittelijä käsittelee henkilötietoja Rekisterinpitäjän lukuun Suomisport-palvelussa (jäljempänä ”Palvelu”) ja siihen liitetyissä tietojärjestelmässä sekä Suomisport-palvelusta toiseen tietojärjestelmään tai tietovälineeseen siirrettyjä henkilötietoja.

Tämä TKS liittyy osapuolten tekemään Suomisport-palvelun käyttöön oikeuttavaan palvelusopimukseen, mukaan lukien sen mahdolliset liitteet, lisäykset ja muutokset (”Sopimus”), jonka mukaisesti Rekisterinpitäjä hankkii palveluita Käsittelijältä.

Tätä TKS:ää ei sovelleta sellaisiin henkilötietoihin, joita Käsittelijä käsittelee itsenäisesti vastuullisena rekisterinpitäjänä, esimerkiksi liittyen pääsopimuksen yhteyshenkilöihin, osapuolten välistä laskutusta koskevaan yhteydenpitoon ja vastaavaan toimintaan.

Mikäli Sopimuksen ja TKS:n ehtojen välille muodostuu ristiriita, sovelletaan ensisijaisesti TKS:n ehtoja, ellei tässä TKS:ssa erikseen toisin säädetä.

3. Määritelmät

Ellei muuta ole sovittu tai ellei asiayhteys muuta vaadi, tässä TKS:ssa käytetään 27. päivänä huhtikuuta 2016 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (”yleinen tietosuoja-asetus”) määritelmiä.

”Tietosuojasäännökset” tarkoittavat yleistä tietosuoja-asetusta ja muuta soveltuvaa Euroopan unionin tai kansallista tietosuojalainsäädäntöä sekä sääntelyviranomaisen määräyksiä ja lausuntoja, mukaan lukien Euroopan tietosuojaneuvoston sekä Euroopan komission toimenpiteistä aiheutuvia lakeja ja käytäntöjä.

4. Rekisterinpitäjän oikeudet ja velvollisuudet

  • Rekisterinpitäjä vastaa tämän TKS:n mukaisesti Palvelussa käsiteltävien henkilötietojen lainmukaisesta keräämisestä, käsittelystä ja käytöstä sekä henkilötietojen oikeellisuudesta, samoin kuin muiden Rekisterinpitäjän tietosuojasäännösten mukaisten velvoitteiden täyttämisestä.
  • Rekisterinpitäjän vastuulla on ilmoittaa Palveluun rekisteröidyille heidän henkilötietojensa siirtämisestä ja sen on varmistettava, että sillä on asianmukainen oikeudellinen peruste siirtää henkilötietoja Käsittelijälle niin, että Käsittelijä saa käsitellä henkilötietoja osapuolten välillä sovitun sopimuksen mukaisen Palvelun toteuttamiseksi.
  • Rekisterinpitäjä vahvistaa, että Rekisterinpitäjän ohjeistukset koskien henkilötietojen käsittelyä on esitetty tyhjentävästi sopimuksessa ja tässä TKS:ssa. Mikäli Rekisterinpitäjä sittemmin haluaa muuttaa ohjeistuksiaan, sen tulee ottaa yhteyttä Käsittelijään kirjallisesti. Mikäli tällaisten uusien ohjeistusten toimeenpaneminen aiheuttaa Käsittelijälle lisäkustannuksia, Käsittelijällä on oikeus veloittaa Rekisterinpitäjältä kaikki lisäkustannukset, joita aiheutuu, kun Käsittelijä toimeenpanee tällaiset uudet ohjeistukset. Ohjeistusten on oltava kohtuullisia sekä tietosuojasäännösten mukaisia.

5. Käsittelijän oikeudet ja velvollisuudet

  • Käsittelijä sitoutuu noudattamaan tietosuojasäännöksiä sekä Rekisterinpitäjän ohjeistuksia käsitellessään henkilötietoja. Käsittelijä ei saa käsitellä Rekisterinpitäjän henkilötietoja muihin tarkoituksiin kuin joiden osalta käsittelystä on sovittu sopimuksessa tai tässä TKS:ssa.
  • Käsittelijä vastaa tämän TKS:n mukaisesti omalta osaltaan käsiteltävien henkilötietojen lainmukaisesta keräämisestä, käsittelystä ja käytöstä sekä henkilötietojen oikeellisuudesta, samoin kuin muiden Käsittelijän tietosuojasäännösten mukaisten velvoitteiden täyttämisestä.
  • Käsittelijän tulee ilmoittaa Rekisterinpitäjälle, jos Rekisterinpitäjän antamat uudet ohjeistukset ovat tietosuojasäännösten vastaisia. Käsittelijä voi keskeyttää tällaisten uusien ohjeistusten toimeenpanon siihen saakka, kunnes niitä muutetaan tai kunnes Rekisterinpitäjä vahvistaa ne. Rekisterinpitäjä on aina lopulta vastuussa siitä, että kaikki sen ohjeistukset ovat tietosuoja-säännösten mukaisia. Käsittelijällä on ainoastaan velvollisuus ilmoittaa Rekisterinpitäjälle, mikäli se havaitsee ohjeistuksissa vääjäämättömiä tietosuojasäännösten vastaisuuksia, mutta sillä ei muutoin ole velvollisuutta tarkistaa tai varmistaa, että ohjeistukset ovat tietosuojasäännösten mukaisia.
  • Käsittelijä sitoutuu kohtuullisissa määrin avustamaan Rekisterinpitäjää sen velvoitteiden suorittamisessa Käsittelijän tämän TKS:n perusteella käsittelemien henkilötietojen osalta. Tällaiset velvollisuudet voivat pitää sisällään Rekisterinpitäjän avustamista toimivaltaisen valvonta-viranomaisen pyyntöihin tai tiedusteluihin vastaamisessa, tietosuojan vaikutustenarviointien suorittamisessa sekä ennakkotietojen pyytämisessä valvontaviranomaiselta, samoin kuin Rekisterinpitäjän avustamista tietosuojasäännösten mukaisiin rekisteröityjen oikeuksiin liittyvien pyyntöjen toteuttamisessa. Käsittelijällä on oikeus laskuttaa mahdolliset lisäkustannukset, jotka ovat aiheutuneet rekisteröityjen oikeuksiin liittyvien pyyntöjen avustamisesta, ja Rekisterinpitäjällä on velvollisuus maksaa tällaiset lisäkustannukset.
  • Mikäli Palveluun rekisteröity, joku muu luonnollinen henkilö tai valvontaviranomainen pyytää avunantoa suoraan Käsittelijältä Rekisterinpitäjän henkilötietoihin liittyen (kuten pyyntö saada pääsy tietoihin, korjata tai poistaa tietoja, toimittaa tietoja tai suorittaa jokin muu toimenpide), Käsittelijän tulee ilmoittaa Rekisterinpitäjälle tällaisesta pyynnöstä tietosuojasäännösten mukaisesti niin pian kuin kohtuudella mahdollista.
  • Käsittelijä ylläpitää, ohjeistaa ja kouluttaa henkilötietojen käsittelemiseen Palvelussa osallistuvat työntekijänsä tietosuojasäännösten mukaisten henkilötietojen suojaa ja yksityisyydensuojaa koskevien vaatimusten osalta ja varmistaa, että kyseiset työntekijät ovat sitoutuneet asiaankuuluvaan salassapitoon tai ovat asiaankuuluvan lakisääteisen salassapitovelvollisuuden piirissä. Silloin mikäli Rekisterinpitäjä on antanut erityisiä ohjeistuksia Rekisterinpitäjän henkilötietojen käsittelyyn liittyen, Käsittelijän tulee myös ohjeistaa Rekisterinpitäjän henkilötietojen käsittelyyn osallistuvia työntekijöitään tällaisten mahdollisten ohjeistusten sisällöstä.
  • Käsittelijä toteuttaa ja ylläpitää asiaankuuluvia teknisiä ja organisatorisia toimenpiteitä kaikkien käsittelemiensä henkilötietojen osalta. Käsittelijä valitsee tällaiset tietoturvatoimenpiteet yksinomaisen harkintavaltansa puitteissa perustuen esimerkiksi toimialastandardeihin, markkinakäytäntöön sekä tietosuojasäännösten mukaisiin erityisiin vaatimuksiin. Käsittelijä voi mukauttaa tietoturvatoimenpiteitään aika ajoin, mutta ei kuitenkaan alenna tietoturvan yleistasoa tämän TKS:n voimassaoloaikana.
  • Käsittelijä varmistaa henkilötietojen käsittelemiseen käyttämiensä järjestelmien luottamuksellisuuden, eheyden, saatavuuden ja kestävyyden. Käsittelijä säännöllisesti testaa, tutkii ja arvioi Käsittelijän toimeenpanemien teknisten ja organisatoristen tietoturvatoimenpiteiden tehokkuutta. Käsittelijä sitoutuu noudattamaan henkilötietojen käsittelyä koskevia asiaankuuluvia viranomaispäätöksiä.
  • Käsittelijä sitoutuu ilman aiheetonta viivytystä ilmoittamaan Rekisterinpitäjälle henkilötietojen tietoturvaloukkauksista, jotka kohdistuvat Rekisterinpitäjän Käsittelijälle siirtämiin henkilötietoihin. Tällaisen ilmoituksen tulee sisältää tietosuojasäännösten mukaisesti:
    kuvaus tietoturvaloukkauksen luonteesta ja laajuudesta, mukaan lukien mahdollisuuksien mukaan tietoturvaloukkauksen piirissä olevien rekisteröityjen luokat ja arvioitu lukumäärä, samoin kuin tietoturvaloukkauksen kohteena olevien Rekisterinpitäjän henkilötietojen luokat ja arvioitu määrä; käsittelijän tietosuojavastaavan nimi ja yhteystiedot tai muut yhteystiedot, joista lisätietoja on saatavilla; kuvaus tietoturvaloukkauksen arvioiduista seuraamuksista; sekä kuvaus toimenpiteistä, joihin Käsittelijä on ryhtynyt tai aikoo ryhtyä tietoturvaloukkauksen käsittelemiseksi ja korjaamiseksi, mukaan lukien toimenpiteet sen mahdollisten haitallisten vaikutusten minimoimiseksi.

    Edellä mainitut tietoturvaloukkausta koskevat tiedot voidaan myös toimittaa vaiheittain, mikäli Käsittelijä ei pysty toimittamaan niitä samaan aikaan, kun se ilmoittaa Rekisterinpitäjälle tietoturvaloukkauksesta.
  • Käsittelijä sitoutuu, Rekisterinpitäjän valinnan mukaan, poistamaan tai mahdollisuuksiensa mukaan palauttamaan tämän TKS:n mukaisesti käsitellyt henkilötiedot sopimuksen ja tämän TKS:n päättymisen jälkeen sekä poistamaan olemassa olevat jäljennökset, paitsi jos ja siinä määrin kuin Käsittelijään sovellettavassa pakottavassa lainsäädännössä vaaditaan säilyttämään henkilötiedot.
  • Käsittelijällä on oikeus tuottaa tämän TKS:n alla käsiteltävistä henkilötiedoista anonymisoitua tilastointitietoa omiin tai yhteistyötahojensa käyttöön.

6. Henkilötietojen siirtäminen

Käsittelijä käsittelee henkilötietoja Euroopan talousalueen (”ETA”) sisällä. Jos Rekisterinpitäjä vaatii tai suostuu henkilötietojen siirtämiseen ETA:n ulkopuolelle, sitoutuvat osapuolet toimeenpanemaan tarvittavat oikeudelliset suojatoimet varmistaakseen Rekisterinpitäjän henkilötietojen tietoturvan ja salassapidon tietosuojasäännösten mukaisesti.

7. Auditointi

Käsittelijä sitoutuu ylläpitämään asiaankuuluvia selosteita tai muutoin dokumentoimaan Rekisterinpitäjän lukuun suorittamansa henkilötietojen käsittelyn siltä osin ja silloin kuin sitä tietosuojasäännösten perusteella edellytetään. Käsittelijän tulee pyynnöstä esittää Rekisterinpitäjälle jäljennös tällaisten asiakirjojen tai selosteiden asiaankuuluvasta osasta siltä osin, kun se koskee tämän TKS:n mukaista henkilötietojen käsittelyä.

Rekisterinpitäjä tai Rekisterinpitäjän nimittämä ulkopuolinen tarkastaja, joka ei ole Käsittelijän kilpailija, saavat suorittaa auditoinnin varmistuakseen, että Käsittelijä noudattaa tätä TKS:sta sekä tietosuojasäännöksiä tämän TKS:n mukaisessa henkilötietojen käsittelyssä. Rekisterinpitäjällä on oikeus
suorittaa auditointeja tämän TKS:n mukaisesti kerran kalenterivuodessa. Rekisterinpitäjän tulee ilmoittaa Käsittelijälle kaikista Käsittelijän tiloissa suoritettaviksi suunnitelluista auditoinneista kirjallisesti ja aina vähintään kaksikymmentäyksi (21) päivää etukäteen.

Jos auditointi kohdistuu Käsittelijän käyttämiin järjestelmiin, Käsittelijä luo testiympäristön, jossa Rekisterinpitäjä voi suorittaa tämän TKS:n mukaista henkilötietojen käsittelyä koskevan auditoinnin. Tällaiset auditoinnit tulee pääasiassa suorittaa riippumattoman ulkopuolisen tarkastajan toimesta ja aina Käsittelijän tavanomaisten toimistoaikojen puitteissa, aiheuttamatta merkittäviä häiriöitä Käsittelijän liiketoiminnalle.

Käsittelijä toimittaa jäljennöksen Rekisterinpitäjän henkilötietoja koskevista käsittelytoimistaan ja kaikki muut olemassa olevat auditoinnin kannalta oleelliset asiakirjat ja Rekisterinpitäjän pyynnöstä sitoutuu kohtuullisin tavoin avustamaan Rekisterinpitäjää tällaisissa auditoinneissa. Käsittelijällä on oikeus laskuttaa Rekisterinpitäjän pyytämiin lisäasiakirjoihin, -tukeen ja -palveluihin liittyvästä työpanoksesta ja siitä aiheutuvista kohtuullisista kustannuksista. Tämä sisältää myös riittävän korvauksen Käsittelijän henkilöstön työtunneista, kun he avustavat Rekisterinpitäjää auditoinnin suorittamisessa. Rekisterinpitäjä vastaa omista auditointeihin liittyvistä kustannuksistaan (mukaan lukien mahdollisesti käytetyn ulkopuolisen tarkastajan kulut).

8. Alihankkijat

Rekisterinpitäjä antaa yleisen valtuutuksensa ja suostumuksensa siihen, että se sallii Käsittelijän käyttää alihankkijoita tämän TKS:n mukaisessa henkilötietojen käsittelyssä, siltä osin kuin tällainen alihankkijan käyttäminen ei johda Tietosuojasäännösten vastaiseen toimintaan tai Käsittelijän tämän TKS:n mukaisten velvoitteiden rikkomiseen.

Käsittelijä sitoutuu varmistamaan, että sen käyttämät alihankkijat ovat päteviä, allekirjoittavat Käsittelijän kanssa henkilötietojen käsittelyä koskevan sopimuksen ja noudattavat asianmukaisia salassapitoa koskevia velvoitteita. Käsittelijä on vastuussa alihankkijoidensa suorittamasta henkilötietojen käsittelystä Rekisterinpitäjää kohtaan. Käsittelijä sitoutuu toimittamaan Rekisterinpitäjälle luettelon tämän TKS:n mukaisen henkilötietojen käsittelyn yhteydessä käyttämistään alihankkijoista ja näiden Käsittelijälle toimittamista tietojärjestelmistä Rekisterinpitäjän pyynnöstä.

Käsittelijällä on vapaus valita ja vaihtaa alihankkijoita tämän TKS:n ehtojen sekä tietosuojasäännösten mukaisesti. Käsittelijän tulee kuitenkin ilmoittaa Rekisterinpitäjälle kaikista olennaisista muutoksista sen alihankkijoissa. Mikäli Rekisterinpitäjä perustellusti katsoo, että tällainen muutos alihankkijoissa johtaisi Rekisterinpitäjän henkilötietoja koskevaan riskiin, Rekisterinpitäjällä on oikeus esittää vastalauseensa koskien tällaista alihankkijan muutosta

9. Käsittelyn yksilöinti

Tämän TKS:n liitteessä on yksilöity osapuolten yhteyshenkilöt, henkilötietojen käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät. Liite on erottamaton osa tätä TKS:sta. (liite 1: henkilötietojen käsittely Suomisport-palvelussa)

10. Osapuolten vanhingonkorvaus

Osapuolella on oikeus korvaukseen vahingoista, jotka se kärsii toisen osapuolen sopimusrikkomuksen johdosta, jollei sopimusrikkomus ole aiheutunut toisen osapuolen vaikutusmahdollisuuksien ulkopuolella olevasta esteestä, jota sen ei kohtuudella voida edellyttää ottaneen huomioon tietojenkäsittelysopimuksen tekohetkellä ja jonka seurauksia se ei kohtuudella olisi voinut välttää eikä voittaa.

Kumpikaan osapuoli ei vastaa mistään epäsuorista tai välillisistä tappioista tai vahingoista, mukaan lukien rajoituksetta kaikki menetetyt voitot, menetetyt tulot, maine tai liikearvo.

Osapuolten tämän TKS:n mukaiseen vastuuseen sovelletaan vastuun enimmäismäärää, joka on vähintään 1 000 euroa tai enintään 100 000 euroa tai 4% liikevaihdosta.

Osapuolet toteavat, että kaikki toimivaltaisten valvontaviranomaisten määräämät hallinnolliset sanktiot määräytyvät tietosuojasäännösten mukaisesti.

11. Sopimuksen voimassaolo ja irtisanominen

Tämä TKS tulee voimaan allekirjoitushetkellä ja jatkuu toistaiseksi voimassa olevana, kunnes sopimuksen voimassaolo on päättynyt ja Käsittelijä on suorittanut loppuun kaikki sopimuksen mukaiset velvoitteensa.

12. Soveltava laki ja riitojen ratkaiseminen

Tähän TKS:n sovelletaan Suomen lakia. Tästä TKS:stä aiheutuvat riidat ratkaistaan lopullisesti välimiesmenettelyssä Keskuskauppakamarin välimiesmenettelysääntöjen mukaisesti. Välimiesoikeus on yksijäseninen, sen paikka on Helsinki, Suomi ja välimiesmenettelyn kieli on suomi.

Mikäli riita koskee TKS:n lisäksi myös sopimusta, riita ratkaistaan edellä kohdassa 12.2 sovitusta poiketen sopimuksen riitojen ratkaisua koskevien ehtojen mukaisesti kokonaisuudessaan sekä sopimuksen että TKS:n osalta.


Liite 1 – Henkilötietojen käsittely Suomisport-palvelussa

Pääsopimus

Pääsopimus on osapuolen keskenään sopima palvelusopimus, jossa viitataan tähän TKS-sopimukseen liitteenä (pääsopimuksessa TKS on liite 3).

Henkilötietojen käsittelyn kohde, luonne ja tarkoitus

Henkilötietojen käsittelyn kohde, luonne ja tarkoitus kuvataan pääsopimuksen liitteenä olevassa organisaatiokäyttäjien käyttöehdot- ja sitoumuksessa (pääsopimuksessa liite 2) ja henkilötietojen käsittelysopimuksessa (pääsopimuksessa liite 3).

Arkaluonteiset henkilötiedot

Palvelussa ei käsitellä arkaluonteisia henkilötietoja.

Tietoturva

Tietoturvavaatimukset kuvataan pääsopimuksen liitteenä olevassa palvelukuvauksessa (pääsopimuksessa liite 1).

Alikäsittelijät

Sopimuksentekohetkellä osapuolilla ei ole käytössä alikäsittelijöitä. Pääsopimuksen liitteenä olevassa henkilötietojen käsittelysopimuksessa (liite 3) määritellään kohdassa 8 alihankkijoiden käsittely, johon osapuolet sitoutuvat.