TÄMÄ ASIAKIRJA ON LAADITTU TÄYDELLISESSÄ MUODOSSA:
LIITE A – TIEDOT KÄSITTELYSTÄ
LIITE B – EHDOT TIETOKÄSITTELIJÄN ALIHANKKIJOIDEN KÄYTTÖÖN
LIITE C – OHJEET HENKILÖTIETOJEN KÄSITTELYSTÄ
LIITE D – MUUTOKSET TIETOKÄSITTELIJÄSOPIMUKSEN VAKIOTEKSTIIN JA SOPIMUKSEN SOLMIMISEN JÄLKEEN TEHDYT MUUTOKSET
A. TIEDOT KÄSITTELYSTÄ
A.1 Pääsopimus ja henkilötietojen käsittelyn tarkoitus
Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige er knyttet til å levere tjenester som beskrevet i Hovedavtalen.
Med Hovedavtalen menes følgende avtale(r) inngått mellom partene:
Sopimus koskee SSA-L-sopimusta identiteetin- ja pääsynhallinnan (eADM) toimittamisesta ja käyttöönotosta, ja se on tehty Identum AS:n ja (asiakas/päivämäärä) välillä.
Hoito on muodoltaan hyvässä kunnossa:
Leveranse av eADM for drift og vedlikehold av helhetlig brukerkontostyring og tilgangskontroll (IAM) for alle ansatte i (Kunde).
A.2 Tietojen käsittelijän suorittama henkilötietojen käsittely rekisterinpitäjän puolesta
Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige omhandler (karakteren av behandlingen):
eADM-järjestelmään kerättyjen ja tallennettujen tietojen tarkoituksena on varmistaa, että työntekijöillä on oikeat kirjautumistiedot ja käyttöoikeudet sekä estää henkilötietojen joutuminen vääriin käsiin.
● eADM-järjestelmään tallennettavia tietoja ovat:
o Nimi
o Osoite
o Syntymäaika ja henkilötunnus
o Asuinkunta
o Kansalaisuus
o Sukupuoli
o Sähköposti (työ ja yksityinen)
o Puhelinnumero (työ ja yksityinen)
o Työsuhteen osuuden prosenttiosuus
o Tehtäväryhmä
o Työpaikka
o Tehtävänimike
o Työsuhteen alkamis- ja päättymispäivä
o Tehtävätiedot, alkamis- ja päättymispäivä
o Tehtävänimike
o Tehtävätyyppi
o Julkinen koodi
o Kirjanpitokirjaus/vastuualue/työpaikka/koodi
o Ammattikoodi
o Työpaikka PAI
o Organisaatiorooli (oikeudet organisaatiorakenteessa)
o Vapaa -> Vapaan tyyppi, alku- ja loppupäivä, tehtävittäin.
o Henkilöön ja tiliin liittyvä tunnistus: käyttäjänimi, käyttäjätunnus
o Mitä palveluita loppukäyttäjä on käyttänyt liitetyissä erikoisjärjestelmissä
o Järjestelmänvalvojan rooliin liittyvät oikeudet
o Toimintaa ja käyttöä koskevat tiedot: Kuka on kirjautunut ratkaisuun, kuka on vaihtanut salasanan ja milloin salasana on vaihdettu.
A.3 Henkilötietojen tyypit
Käsittelyssä on otettava huomioon eri tyyppiset henkilötiedot, jotka on rekisteröity (ei ole tarpeen):
☐ Særlige kategorier av personopplysninger i henhold til GDPR artikkel 9 (1):
<Angi type, f.eks. helseopplysninger, rasemessig eller etnisk opprinnelse eller fagforeningstilhørighet>
☒ Andre opplysninger med særlig behov for beskyttelse:
<Angi type, f.eks. fødselsnummer, opplysninger om økonomi, prestasjonsvurderinger i ansettelsesforhold osv.>
☒ Andre personopplysninger:
<Angi type, f.eks. navn og kontaktinformasjon, utdanning, kommunikasjonspreferanser osv.>
A.4 Rekisteröityjen ryhmät
Käsittely koskee seuraavia rekisteröityjen ryhmiä:
Käsittely koskee kaikkia kunnan työntekijöitä.
A.5 Käsittelyn kesto
Tietojenkäsittelijän suorittama henkilötietojen käsittely pääsopimuksen nojalla voi alkaa, kun tietojenkäsittelysopimus on tullut voimaan. Käsittelyn kesto on seuraava (valitse yksi vaihtoehto):
☒ Behandlingen er ikke tidsbegrenset, og varer frem til opphør av Hovedavtalen.
☐ Behandlingen er tidsbegrenset, og gjelder frem til <angi dato eller kriterium for avslutning, eksempelvis avslutningen av et prosjekt. Merk at behandlingen normalt ikke kan avslutte før Hovedavtalen utløper>.
Sopimuksen tai käsittelyn päättyessä henkilötiedot on palautettava ja poistettava tietojenkäsittelysopimuksen kohdan 12 sekä liitteen C ohjeiden mukaisesti.
tietojenkäsittelijän alihankkijoiden käyttö.
B. EHDOT TIETOKÄSITTELIJÄN KÄYTTÖÖN JA MAHDOLLISTEN ALIHANKKIJOIDEN MUUTOKSIIN
B.1 Rekisterinpitäjän hyväksyntä alihankkijoiden käytölle
Solmiessaan tietojenkäsittelysopimuksen rekisterinpitäjä hyväksyy kohdassa B.2 lueteltujen alihankkijoiden käytön. Huomaa, että myös tietojenkäsittelijän emoyhtiö, sisaryhtiöt ja tytäryhtiöt katsotaan alihankkijoiksi, jos ne osallistuvat palvelun toimittamiseen ja käsittelevät henkilötietoja.
For endringer i bruk av Underdatabehandlere is det i tillegg avtalt følgende:
☒ Tietojen käsittelijä voi käyttää alihankkijoita, jotka kuuluvat samaan konserniin (emoyhtiö, sisaryhtiö tai tytäryhtiö) ja jotka on perustettu ETA-alueen maahan. Tietojen käsittelijän on ilmoitettava etukäteen rekisterinpitäjälle tällaisen alihankkijan käytöstä. (Tämä vaihtoehto voidaan yhdistää johonkin muuhun vaihtoehtoon.)
☒ Tietojen käsittelijä voi tehdä muutoksia alikäsittelijöiden käyttöön edellyttäen, että rekisterinpitäjälle ilmoitetaan asiasta ja hänelle annetaan mahdollisuus vastustaa muutoksia. Tällainen ilmoitus on toimitettava rekisterinpitäjälle viimeistään kuukautta ennen muutoksen voimaantuloa, ellei osapuolten välillä ole kirjallisesti sovittu toisin. Huomaa, että muutokset, jotka edellyttävät henkilötietojen siirtoa ETA-alueen ulkopuolelle (kolmansiin maihin), vaativat joka tapauksessa kirjallisen hyväksynnän tietojenkäsittelysopimuksen kohdan 10 mukaisesti.
Jos rekisterinpitäjä vastustaa muutosta, siitä on ilmoitettava tietojen käsittelijälle mahdollisimman pian. Rekisterinpitäjä ei voi vastustaa muutosta ilman perusteltua syytä.
☐ Tietojenkäsittelijä voi tehdä muutoksia alihankkijoiden käyttöön vain, jos rekisterinpitäjä on antanut siihen etukäteen nimenomaisen kirjallisen suostumuksen. Alihankkija ei voi käsitellä henkilötietoja pääsopimuksen nojalla ennen kuin tällainen suostumus on annettu. Suostumusta ei voida evätä ilman perusteltua syytä.
B.2 Hyväksytyt alihankkijat
Den Behandlingsansvarlige har godkjent bruk av følgende Underdatabehandlere:
Nimi Yritysnumero Osoite Käsittelyn kuvaus Käsittelypaikka Yhteystiedot Erityiset henkilötietoryhmät
Microsoft Norge AS 957 485 030 Dronning Eufemias gate 71, 0194 Oslo Palvelimen ylläpito Microsoft Azure -portaalin kautta Kaikki tiedot tallennetaan Norjaan.
Databehandleren kan ikke bruke den enkelte Underdatabehandleren til en annen behandling enn avtalt eller la en annen Underdatabehandler utføre den beskrevne behandlingen i andre tilfeller enn det som følger av Bilag B, punkt B.1 om skifte av Underdatabehandler.
C. HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVAT OHJEET
C.1 Käsittelyn laajuus ja tarkoitus
Henkilötietoja käsitellään yksinomaan siinä laajuudessa ja niihin tarkoituksiin, jotka on kuvattu
● Pääsopimuksessa
● Tietojenkäsittelysopimuksessa ja sen liitteissä
Databehandler har ikke råderett over personopplysningene utover det som er nødvendig for å oppfylle sine plikter etter Databehandleravtalen, og kan ikke behandle disse til egne formål.
C.2 Tietojenkäsittelyn turvallisuus
C.2.1 Turvallisuustason ilmoittaminen
Ut fra en vurdering av omfanget av personopplysninger som blir behandlet, typepen opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt at behandlingen (velg ett alternativ):
☒ Vaatii korkean turvallisuustason. Perustelut:
Behandlingen omfatter utstrakt behandling av personopplysninger.
☐ Ei vaadi korkeaa turvallisuustasoa. Perustelu:
C.2.2 Tietoturvan hallintajärjestelmä
Databehandleren skal ha et egnet styringssystem for informasjonssikkerhet. Databehandleren skal etablere og forvalte tilstrekkelige sikkerhetstiltak for å ivareta informasjonssikkerheten for behandling av personopplysningene, herunder (flere valg mulig):
☐ Sikkerhetskrav som beskrevet i Hovedavtalen: Jf. pkt 7. i hovedavtalen
☒ Sikkerhetskrav som beskrevet nedenfor: <Sett inn beskrivelse av relevante sikkerhetskrav>
Forhindre uautorisert utlevering, modifisering, fjerning eller ødeleggelse av informasjon, herunder:
o Autentisering
o Tilgangsstyring fysisk og systemteknisk
o Logging og sporing
o Kryptering
o Fysisk sikring av områder og utstyr
o Sikkerhetskopi
● Fjernaksess og mobilt utstyr
● Sikkerhetsarkitektur, Nettverksarkitektur og sikker sone
● Overvåkning og avdekking av sikkerhetsbrudd og hendelser
● Rutiner og prosedyrer for å overholde krav til personvern og informasjonssikkerhet i organisasjonen
C.3 Dokumentointi
Tietojen käsittelijän on dokumentoitava ne menettelytavat ja toimenpiteet, jotka on toteutettu voimassa olevien tietosuojasäännösten ja tietojen käsittelyä koskevan sopimuksen vaatimusten täyttämiseksi, mukaan lukien tietoturvavaatimukset. Tällainen dokumentaatio on säilytettävä ja pidettävä ajan tasalla niin kauan kuin tietojenkäsittelysopimus on voimassa, ja se on pyynnöstä asetettava rekisterinpitäjän tai valvontaviranomaisten saataville.
C.4 Henkilötietojen siirto – Käsittelypaikka ja pääsy
Sopimuksen piiriin kuuluvien henkilötietojen käsittelyä ei saa ilman rekisterinpitäjän etukäteen antamaa kirjallista lupaa suorittaa muissa paikoissa kuin liitteessä B.2 mainituissa paikoissa tai niihin pääsyn avulla. Paikalla tarkoitetaan:
• Paikka, josta henkilötietoihin pääsee käsiksi (tietojen saatavuus)
• Paikka, jossa henkilötietoja käsitellään
• Paikka, jossa henkilötietoja säilytetään
Begrensningen ovenfor gjelder ikke Databehandlerens mor-, søster- og datterselskaper som er etablert innenfor EØS-området. Databehandleren skal imidlertid på forespørsel fra den Behandlingsansvarlige redegjøre for hvor personopplysningene til enhver tid behandles.
C.5 Tarkastus- ja valvontamenettelyt
For å kontrollere etterlevelse av Gjeldende personvernregler og Databehandleravtalen is det avtalt følgende (flere valg mulig):
☐ Rekisterinpitäjällä on oikeus suorittaa tarkastus tietojenkäsittelijän toimitiloissa varmistaakseen, että tietojenkäsittelijä noudattaa tämän tietojenkäsittelysopimuksen tai voimassa olevien tietosuojasäännösten mukaisia velvoitteitaan.
Slike revisjoner skal:
● Toteutetaan kohtuullisen etukäteisilmoituksen jälkeen ja enintään kerran vuodessa, ellei tietojenkäsittelijän tietoturvaloukkaus tai muut erityiset olosuhteet anna aihetta useampiin tarkastuksiin;
● Suoritetaan normaalina työaikana eikä häiritä tarpeettomasti tietojenkäsittelijän toimintaa;
● Tarkastuksen suorittavat rekisterinpitäjän työntekijät tai osapuolten hyväksymät ja salassapitovelvollisuuden alaiset kolmannet osapuolet.
Databehandler plikter å stille til rådighet de ressurser som med rimelighet kan kreves for å gjennomføre revisjonen.
Rekisterinpitäjän on vastattava niiden kolmansien osapuolten kustannuksista, joita käytetään tarkastuksen suorittamiseen. Muilta osin osapuolet vastaavat itse tarkastuksen suorittamisesta aiheutuvista kustannuksistaan. Jos tarkastuksessa paljastuu merkittäviä rikkomuksia sovellettavien tietosuojasääntöjen tai tietojenkäsittelysopimuksen mukaisista velvoitteista, tietojenkäsittelijän on kuitenkin katettava rekisterinpitäjän kohtuulliset tarkastuskustannukset.
☒ Tietojenkäsittelijän on käytettävä ulkoista tarkastajaa todentamaan, että turvatoimenpiteet on otettu käyttöön ja että ne toimivat tarkoitetulla tavalla. Tällainen tarkastus on:
i. suoritettava kerran vuodessa,
ii. suoritettava tunnustettujen varmennusstandardien, kuten ISAE 3402:n, mukaisesti.
iii. suoritettava riippumattomalla kolmannella osapuolella, jolla on riittävä osaaminen ja kokemus
Raportit on tarkoitus toimittaa hoitotoimenpiteitä varten.
Databehandler skal i tillegg gi slik informasjon og bistand som er nødvendig for at Behandlingsansvarlig kan etterleve sine forpliktelser etter Gjeldende personvernregelverk.
☐ For standardiserte tredjepartstjenester som leveres av Underdatabehandler kan det fremlegges tredjepartsrevisjon forutsatt at revisjonen er gjennomført etter alminnelig anerkjente prinsipper og av sertifisert revisor.
☐ <Sett inn eventuelle andre avtalte rutiner for revisjon, herunder eventuelle særskilte eller avvikende rutiner for revisjon hos Underdatabehandlere>
C.6 Henkilötietojen poistaminen ja palauttaminen sopimuksen päättyessä
Partene har avtalt følgende om sletting/tilbakelevering av personopplysninger (velg ett alternativ):
☒ Kaikki tämän tietojenkäsittelysopimuksen nojalla käsitellyt henkilötiedot on poistettava ilman aiheetonta viivytystä ja viimeistään 90 kalenteripäivän kuluessa pääsopimuksen päättymisestä. Sama koskee myös muuta asiaankuuluvaa tietoa, jota hallinnoidaan rekisterinpitäjän puolesta.
☐ Kaikki tämän tietojenkäsittelysopimuksen nojalla käsitellyt henkilötiedot sekä muut mahdolliset asiaankuuluvat tiedot, joita hallinnoidaan rekisterinpitäjän puolesta, on palautettava pääsopimuksen päättyessä.
Etter tilbakelevering er skjedd, plikter Databehandler å slette alle personopplysninger og annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig innen 30 kalenderdager.
Tilauslomakkeiden poisto on mahdollista koko päivän ajan:
<Angi hvordan og hvilket format som skal benyttes for tilbakelevering>
☐ <Sett inn eventuelle andre avtalte rutiner for sletting eller tilbakelevering>
C.7 Sektorspesifikke bestemmelser om behandling av personopplysninger
<Sett inn eventuelle sektorspesifikke bestemmelser om behandling av personopplysninger som skal omfattes av begrepet "Gjeldende personvernregler", se databehandleravtalen punkt 2.>
C.8 Yhteystiedot
Ved henvendelser i henhold til denne avtalen, eksempelvis ved varsling om brudd på personopplysningssikkerheten eller endring i bruk av underdatabehandlere, skal følgende kanaler benyttes:
Tietojen käsittelystä vastaava
Tietoturvaloukkaus:
Puhelin: 924 38 853
Sähköposti support@identum.no
Muut yhteydenotot:
Nimi: Nimi: Alf Aukan
Asema: Asema: Asiakaspäällikkö
Puhelin: Puhelin: 986 74 118
Sähköposti: Sähköposti: alf@identum.no
D. TIETOSUOJASOPIMUKSEN VAKIOMALLIN MUUTOKSET JA SOPIMUKSEN SOLMIMISEN JÄLKEISET MUUTOKSET