Tietojenkäsittelysopimus
osapuolten
rekisterinpitäjä
Players 1st -ohjelmiston käyttäjä, kuten se määritellään rekisterinpitäjän ja henkilötietojen käsittelijän välisessä pääsopimuksessa
ja
henkilötietojen käsittelijä välillä
Players 1st
CVR 34694222
Stadion Allé 70
8000 Aarhus C
Tanska
1 Sisältö
2 Tietojenkäsittelysopimuksen perusta
3 Rekisterinpitäjän oikeudet ja velvollisuudet
4 Henkilötietojen käsittelijän tulee toimia saamiensa ohjeiden mukaisesti
5 Luottamuksellisuus
6 Käsittelyn turvallisuus
7 Henkilötietojen käsittelijöiden käyttäminen alihankkijoina
8 Tietojen siirtäminen kolmansiin maihin ja kansainvälisille järjestöille
9 Rekisterinpitäjän avustaminen
10 Ilmoitus henkilötietojen tietoturvarikkomuksista
11 Tietojen poistaminen ja palauttaminen
12 Valvonta ja tarkastukset
13 Osapuolten väliset muita seikkoja koskevat sopimukset
14 Voimaantulo ja päättyminen
15 Henkilötietojen käsittelijän yhteyshenkilöt/-pisteet
Liite A Tiedot käsittelystä
Liite B Henkilötietojen käsittelijän toisen henkilötietojen käsittelijän (alihankkijan) käyttöön
liittyvät ehdot ja luettelo valtuutetuista alihankkijana toimivista henkilötietojen
käsittelijöistä
B.1 Henkilötietojen käsittelijän toisen henkilötietojen käsittelijän (alihankkijan)
käyttöön liittyvät ehdot
B.2 Valtuutetut alihankkijana toimivat henkilötietojen käsittelijät
Liite C Henkilötietojen käsittelyä koskevat ohjeet
C.1 Käsittelyn kohde/ohjeet
C.2 Käsittelyn turvallisuus
C.3 Säilytysaika/poistomenettelyt
C.4 Käsittelyn sijainti
C.5 Ohjeet tai valtuutus koskien henkilötietojen siirtoa kolmansiin maihin
C.6 Menettelyt rekisterinpitäjän suorittaman henkilötietojen käsittelijän käsittelyn
valvontaan henkilötietojen käsittelijän tiloissa
C.7 Menettelyt henkilötietojen käsittelijän käsittelyn valvontaan henkilötietojen
käsittelijän tiloissa
Liite D Osapuolten sopimukset muista seikoista
D.1 Pääsopimukset
D.2 Pyynnöt lisäsuojaustoimien järjestämisestä
2 Tietojenkäsittelysopimuksen perusta
Tässä sopimuksessa määritellään oikeudet ja velvollisuudet, joita sovelletaan, kun henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta.
Sopimus on laadittu varmistamaan, että osapuolet noudattavat Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 28 artiklan osan 3 vaatimuksia, joissa asetetaan erityisvaatimuksia tietojenkäsittelysopimuksen sisällön suhteen.
Henkilötietojen käsittelijän henkilötietojen käsittelyn tulee tapahtua tarkoituksena täyttää osapuolten välinen "pääsopimus", jonka rekisterinpitäjä on solminut joko henkilötietojen käsittelijän tai toisen keskeisen rekisterinpitäjää edustavan urheiluorganisaation kanssa.
Tietojenkäsittelysopimus ja "pääsopimus" on keskenään riippuvaisia eikä niitä voi purkaa erikseen. Tietojenkäsittelysopimus voidaan kuitenkin korvata toisella vaatimukset täyttävällä tietojenkäsittelysopimuksella purkamatta "pääsopimusta".
Tämä tietojenkäsittelysopimus korvaa kaikki samankaltaiset ehdot osapuolten välisissä muissa sopimuksissa, "pääsopimus" mukaan lukien.
Sopimukseen kuuluu neljä liitettä. Liitteet ovat erottamaton osa tietojenkäsittelysopimusta.
Tietojenkäsittelysopimuksen sisältö Liite A käsittää lisätietoja käsittelystä, mukaan lukien käsittelyn tarkoitus, henkilötietojen tyyppi, rekisteröityjen luokka ja käsittelyn kesto.
Tietojenkäsittelysopimus Liite B sisältää rekisterinpitäjän ehdot henkilötietojen käsittelijälle, joka käyttää muita henkilötietojen käsittelijöitä alihankkijoina, samoin kuin yleiskuvan mahdollisista rekisterinpitäjän hyväksymistä alihankkijoista.
Tietojenkäsittelysopimus Liite C sisältää lisäohjeita henkilötietojen käsittelijän rekisterinpitäjän puolesta suorittamasta käsittelystä (käsittelytavoite), vähimmäistietoturvatoimenpiteistä, jotka on suoritettava, sekä siitä, miten henkilötietojen käsittelijän ja mahdollisten alihankkijoina toimivien henkilötietojen käsittelijöiden valvonta suoritetaan.
Tietojenkäsittelysopimus Liite D kattaa osapuolten sellaisten tilanteiden hallinnan, joita ei muuten määritellä tietojenkäsittelysopimuksessa tai osapuolten välisessä "pääsopimuksessa".
Molempien osapuolten tulee arkistoida tietojenkäsittelysopimus liitteineen, myös elektronisesti.
Tämä tietojenkäsittelysopimus ei vapauta henkilötietojen käsittelijää mistään velvollisuuksista, jotka seuraavat suoraan yleisestä tietosuoja-asetuksesta (GDPR) tai mistään muusta lainsäädännöstä.
3 Rekisterinpitäjän oikeudet ja velvollisuudet
Rekisterinpitäjä on yleisesti vastuussa siitä, että henkilötietojen käsittely tapahtuu yleisen tietosuoja-asetuksen ja Tanskan tietosuojalain rajoitusten mukaisesti.
Rekisterinpitäjällä on siten sekä oikeus että velvollisuus tehdä päätöksiä sen suhteen, mihin tarkoituksiin tietoja käsitellään ja mitä työkaluja käytetään.
Rekisterinpitäjä on muun ohella vastuussa sen varmistamisesta, että käsittely, jota henkilötietojen käsittelijä ohjeistetaan suorittamaan, perustuu lakiin.
4 Henkilötietojen käsittelijän tulee toimia saamiensa ohjeiden mukaisesti
Henkilötietojen käsittelijän tulee käsitellä henkilötietoja vain rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti, ellei EU:n lainsäädäntö tai sen jäsenmaan, jossa henkilötietojen käsittelijä toimii, kansallinen lainsäädäntö muuta edellytä. Sellaisessa tapauksessa henkilötietojen käsittelijän tulee ilmoittaa rekisterinpitäjälle sellaisista lainsäädännön vaatimuksista ennen käsittelyä, ellei kyseinen lainsäädäntö estä sellaista ilmoitusta yhteiskunnallisten etujen vuoksi, ks. Artikla 28, osa 3, kohta a.
Henkilötietojen käsittelijän tulee välittömästi ilmoittaa rekisterinpitäjälle, jos tämä uskoo, että ohje on ristiriidassa yleisen tietosuoja-asetuksen tai muun EU:n tai jäsenvaltioiden kansallisen lainsäädännön tietosuojaa koskevien määräysten kanssa.
5 Luottamuksellisuus
Henkilötietojen käsittelijän tulee varmistaa, että vain siihen valtuutetuilla henkilöillä on pääsy rekisterinpitäjän puolesta käsiteltäviin henkilötietoihin. Jos valtuutus peruutetaan tai vanhenee, pääsy tietoihin pitää siten välittömästi evätä.
Vain sellaiset henkilöt tulee valtuuttaa, joiden on päästävä henkilötietoihin voidakseen täyttää henkilötietojen käsittelijän velvollisuudet rekisterinpitäjää kohtaan.
Henkilötietojen käsittelijän tulee varmistaa, että henkilöt, jotka on valtuutettu käsittelemään henkilötietoja rekisterinpitäjän puolesta, ovat suostuneet luottamuksellisuuteen tai ovat asiaankuuluvien lainsäädännöllisten luottamuksellisuusvaatimusten alaisia.
Henkilötietojen käsittelijän pitää voida, rekisterinpitäjän sitä pyytäessä, osoittaa, että asiaankuuluvat työntekijät ovat edellä mainittujen luottamuksellisuusvaatimusten alaisia.
6 Käsittelyn turvallisuus
Henkilötietojen käsittelijän tulee toteuttaa kaikki toimenpiteet, joita vaaditaan yleisen tietosuoja-asetuksen 32 artiklan mukaisesti, jossa muun ohella todetaan, että ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet.
Edellä mainitut velvollisuudet tarkoittavat, että henkilötietojen käsittelijän pitää suorittaa riskin arviointi ja sen jälkeen toteuttaa toimenpiteet, joilla todettu riski hallitaan. Tämä voi tapauksen mukaan sisältää seuraavat toimenpiteet:
a. Henkilötietojen pseudonymisointi ja salaus
b. Kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus
c. Kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa
d. Menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi
Edelliseen liittyen ja kaikissa olosuhteissa henkilötietojen käsittelijän tulee vähintäänkin toteuttaa tämän sopimuksen liitteessä C määritetyt tietosuojatasot ja -toimenpiteet.
Mikä tahansa hallinta/sopimus koskien osapuolten korvauksia tai vastaavaa liittyen rekisterinpitäjän tai henkilötietojen käsittelijän myöhempiin pyyntöihin lisäsuojatoimenpiteistä, tulee sisällyttää osapuolten väliseen "pääsopimukseen" tai tämän sopimuksen liitteeseen D.
7 Henkilötietojen käsittelijöiden käyttäminen alihankkijoina
Voidakseen käyttää toista henkilötietojen käsittelijää (henkilötietojen käsittelijänä toimivaa alihankkijaa) henkilötietojen käsittelijän on täytettävä yleisen tietosuoja-asetuksen 28 artiklan osien 2 ja 4 ehdot.
Henkilötietojen käsittelijä ei voi käyttää toista henkilötietojen käsittelijää (henkilötietojen käsittelijänä toimivaa alihankkijaa) tietojenkäsittelysopimuksen ehtojen täyttämiseen ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa.
Kun kyse on kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.
Rekisterinpitäjän lisäehdot henkilötietojen käsittelijän toisten henkilötietojen käsittelijöiden käyttämiselle löytyvät tämän sopimuksen kohdasta Liite B.
Rekisterinpitäjän hyväksyntä erityisten toisten henkilötietojen käsittelijöiden käyttämiselle löytyy tämän sopimuksen kohdasta Liite B.
Kun henkilötietojen käsittelijä on saanut rekisterinpitäjän luvan toisen henkilötietojen käsittelijän palvelujen käyttämiselle, henkilötietojen käsittelijän tulee varmistaa, että toista henkilötietojen käsittelijää sitovat samat tietosuojavelvollisuudet kuin ne, jotka määritetään tässä tietojenkäsittelysopimuksessa käyttämällä EU:n lainsäädännön tai jäsenvaltioiden kansallisen lainsäädännön mukaista sopimusta tai muuta juridista asiakirjaa, jossa annetaan tarvittavat takuut, sen varmistamiseksi, että toinen henkilötietojen käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet siten, että käsittely täyttää tietosuoja-asetuksessa määritellyt vaatimukset.
Henkilötietojen käsittelijän velvollisuutena on solmimalla alihankintana toteutettavaa henkilötietojen käsittelyä koskeva sopimus varmistaa, että toista henkilötietojen käsittelijää koskevat vähintäänkin samat velvollisuudet kuin henkilötietojen käsittelijää itseään tietosuojalainsäädännön samoin kuin tämän sopimuksen ja sen liitteiden mukaisesti koskevat velvollisuudet.
Henkilötietojen käsittelijän on rekisterinpitäjän sitä pyytäessä toimitettava alihankintana toteutettavaa henkilötietojen käsittelyä koskevan sopimuksen ja sen mahdollisten myöhempien muutosten kopio rekisterinpitäjälle, jolla siten on mahdollisuus varmistaa, että henkilötietojen käsittelijän ja alihankkijana toimivan henkilötietojen käsittelijän välillä on solmittu asianmukainen sopimus. Mitään kaupallisia ehtoja, esim. hintoja, jotka eivät vaikuta alihankintana toteutettavaa henkilötietojen käsittelyä koskevan sopimuksen tietosuojaa koskevaan oikeudelliseen sisältöön, ei tule toimittaa rekisterinpitäjälle.
Sopimukseensa alihankkijoina toimivien henkilötietojen käsittelijöiden kanssa henkilötietojen käsittelijän tulee sisällyttää rekisterinpitäjä ulkopuolisena edunsaajana henkilötietojen käsittelijän vararikkotapauksessa siten, että rekisterinpitäjä voi omaksua henkilötietojen käsittelijän oikeudet ja käyttää niitä alihankkijana toimivaa henkilötietojen käsittelijää kohtaan, esim. siten, että rekisterinpitäjä voi ohjeistaa alihankkijana toimivaa henkilötietojen käsittelijää tekemään poistoja tai palauttamaan tietoja.
Mikäli alihankkijana toimiva henkilötietojen käsittelijä ei täytä tietosuojavelvollisuuksiaan, henkilötietojen käsittelijä on täysin vastuussa rekisterinpitäjälle alihankkijana toimivan henkilötietojen käsittelijän velvollisuuksien täyttämisestä.
8 Tietojen siirtäminen kolmansiin maihin ja kansainvälisille järjestöille
Henkilötietojen käsittelijän tulee käsitellä henkilötietoja vain rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti, mukaan lukien henkilötietojen siirtäminen (siirtäminen, paljastaminen ja kansainvälinen käyttö) kolmansiin maihin ja kansainvälisille järjestöille, ellei sitä vaadita henkilötietojen käsittelijää koskevan EU:n tai jäsenvaltioiden kansallisen lainsäädännön mukaisesti. Sellaisessa tapauksessa henkilötietojen käsittelijän tulee ilmoittaa rekisterinpitäjälle sellaisista lainsäädännön vaatimuksista ennen käsittelyä, ellei kyseinen lainsäädäntö estä sellaista ilmoitusta yhteiskunnallisten etujen vuoksi, ks. Artikla 28, osa 3, kohta a.
Ilman rekisterinpitäjän ohjeita tai hyväksyntää henkilötietojen käsittelijä ei siten voi tietojenkäsittelysopimuksen rajoitusten mukaisesti
a. paljastaa henkilötietoja rekisterinpitäjälle kolmannessa maassa tai kansainvälisessä järjestössä,
b. siirtää henkilötietojen käsittelyä alihankkijana toimivalle henkilötietojen käsittelijälle kolmannessa maassa,
c. käsitellä tietoja henkilötietojen toisessa osastossa, joka sijaitsee kolmannessa maassa.
Kaikki rekisterinpitäjän mahdolliset ohjeet tai hyväksynnät koskien henkilötietojen siirtämistä kolmanteen maahan löytyvät tämän sopimuksen kohdasta Liite C.
9 Rekisterinpitäjän avustaminen
Käsittelyn luonteesta riippuen ja siinä laajuudessa kuin mahdollista henkilötietojen käsittelijän tulee avustaa rekisterinpitäjää, käyttämällä asiamukaisia teknisiä ja organisatorisia toimenpiteitä, täyttämään rekisterinpitäjän velvollisuus vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksia, jotka määritetään yleisen tietosuoja-asetuksen III luvussa.
Tämä tarkoittaa, että henkilötietojen käsittelijän tulee, siinä laajuudessa kuin mahdollista, avustaa rekisterinpitäjää tämän varmistaessa vaatimustenmukaisuuden seuraavien osalta:a. velvollisuus ilmoittaa kerättäessä henkilötietoja rekisteröidyltä
b. velvollisuus ilmoittaa, mikäli henkilötietoja ei ole kerätty rekisteröidyltä
c. rekisteröidyn oikeus saada pääsy tietoihin
d. oikeus tietojen oikaisemiseen
e. oikeus tietojen poistamiseen (oikeus tulla unohdetuksi)
f. oikeus käsittelyn rajoittamiseen
g. velvollisuus ilmoittaa henkilötietojen oikaisemisen tai poistamisen tai käsittelyn
rajoittamisen yhteydessäh. oikeus siirtää tiedot järjestelmästä toiseen
i. vastustamisoikeus
j. oikeus vastustaa automatisoituja yksittäispäätöksiä, profilointi mukaan luettuna.
Henkilötietojen käsittelijän tulee avustaa rekisterinpitäjää varmistamaan, että 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot, ks. 28 artikla, osa 3, kohta f.
Tämä tarkoittaa, että henkilötietojen käsittelijän tulee, ottaen huomioon käsittelyn luonteen, avustaa rekisterinpitäjää tämän varmistaessa vaatimustenmukaisuuden seuraavien osalta:
a. velvollisuus toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet käsittelyyn liittyviä riskejä vastaavien suojatasojen varmistamiseksi
b. velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista valvontaviranomaisille (Tanskan tietosuojaviranomainen) ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä
c. velvollisuus ilmoittaa henkilötietojen tietosuojaloukkauksesta rekisteröidylle viipymättä, jos tämä tietosuojaloukkaus todennäköisesti aiheuttaa luonnollisen henkilön oikeuksia ja vapauksia koskevan suuren riskin
d. velvollisuus suorittaa tietosuojaa koskeva vaikutustenarviointi, jos käsittelyn tyyppiin todennäköisesti liittyy luonnollisen henkilön oikeuksia ja vapauksia koskeva suuri riski
e. velvollisuus kuulla valvontaviranomaisia (Tanskan tietosuojaviranomaista) ennen tietojen käsittelyä, jos tietosuojaa koskevan vaikutustenarvioinnin perusteella osoitetaan, että käsittelytoimiin liittyy korkea riski, koska rekisterinpitäjän toimenpiteet eivät ole riittävät riskin torjumiseksi.
Mikä tahansa hallinta/sopimus koskien osapuolten korvauksia tai vastaavaa liittyen henkilötietojen käsittelijän rekisterinpitäjälle tarjoamaan avustukseen tulee sisällyttää osapuolten väliseen "pääsopimukseen" tai tämän sopimuksen liitteeseen D.
10 Ilmoitus henkilötietojen tietoturvarikkomuksista
Henkilötietojen käsittelijän tulee ilmoittaa rekisterinpitäjälle henkilötietojen käsittelijän tai alihankkijana toimivan henkilötietojen käsittelijän aiheuttamasta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä heti, kun se on tullut tämän tietoon.
Henkilötietojen käsittelijän tulee ilmoittaa rekisterinpitäjälle, mikäli mahdollista, viimeistään 36 tunnin kuluttua siitä, kun rikkomus on tullut sen tietoon, sen varmistamiseksi, että rekisterinpitäjällä on mahdollisuus ilmoittaa rikkomuksesta valvontaviranomaiselle 72 tunnin sisällä.
Tämän sopimuksen osan 10.2 kohdan b mukaisesti henkilötietojen käsittelijän tulee, ottaen huomioon käsittelyn luonteen ja saatavilla olevat tiedot, avustaa rekisterinpitäjää rikkomusten ilmoittamisessa valvontaviranomaisille.
Tämä voi tarkoittaa, että henkilötietojen käsittelijän tulee avustaa seuraavien tietojen hankkimisessa, jotka tietosuoja-asetuksen 33 artiklan osan 3 mukaisesti pitää sisällyttää rekisterinpitäjän raporttiin valvontaviranomaiselle:
a. Henkilötietojen tietosuojarikkomuksen luonne, mukaan lukien, mikäli mahdollista, kohteiksi joutuneiden rekisteröityjen kategoriat ja määrä samoin kuin kohteiksi joutuneiden henkilötietotietueiden kategoriat ja määrä
b. Henkilötietojen tietosuojarikkomuksen todennäköiset seuraamukset
c. Henkilötietojen tietosuojarikkomuksen hallitsemiseksi tehdyt tai ehdotetut toimenpiteet, mukaan lukien mahdollista vahinkoa rajoittavat toimenpiteet, mikäli relevanttia
11 Tietojen poistaminen ja palauttaminen
Käsittelyyn liittyvien palvelujen päättyessä henkilötietojen käsittelijä on velvollinen poistamaan tai palauttamaan kaikki henkilötiedot rekisterinpitäjälle rekisterinpitäjän valinnan mukaan sekä poistamaan kaikki olemassa olevat kopiot, ellei EU:n tai paikallinen lainsäädäntö edellytä henkilötietojen säilyttämistä.
12 Valvonta ja tarkastukset
Henkilötietojen käsittelijä tarjoaa rekisterinpitäjälle kaikki tiedot, jotka tarvitaan sen osoittamiseksi, että henkilötietojen käsittelijä täyttää yleisen tietosuoja-asetuksen 28 artiklan ja tämän sopimuksen vaatimuksen, ja mahdollistaa tarkastukset, mukaan lukien rekisterinpitäjän suorittamat tai muun rekisterinpitäjän valtuuttaman tarkastajan suorittamat tarkastukset, ja osallistuu niihin.
Rekisterinpitäjän henkilötietojen käsittelijän valvonnan menettely löytyy tämän sopimuksen kohdasta Liite C.
Rekisterinpitäjän alihankkijana toimiviin henkilötietojen käsittelijöihin kohdistuva valvonta tapahtuu yleisesti henkilötietojen käsittelijän kautta. Tämän menettely löytyy tämän sopimuksen kohdasta Liite C.
Henkilötietojen käsittelijä on velvollinen toimittamaan viranomaisille, joilla kulloinkin soveltuvan lainsäädännön perusteella on oikeus pääsyyn rekisterinpitäjään ja tämän tiloihin, tai viranomaisten puolesta toimiville edustajille, pääsy henkilötietojen käsittelijän fyysisiin tiloihin näiden esittäessä asianmukaiset todisteet valtuuksistaan.
13 Osapuolten väliset muita seikkoja koskevat sopimukset
Mikä tahansa (erityinen) osapuolten tiedonkäsittelysopimuksen rikkomusten seuraamusten hallinta löytyy osapuolten välisestä "pääsopimuksesta" tai tämän sopimuksen kohdasta Liite D.
Mikä tahansa osapuolten välisten muiden seikkojen hallinta löytyy osapuolten välisestä "pääsopimuksesta" tai tämän sopimuksen kohdasta Liite D.
14 Voimaantulo ja päättyminen
Tämä sopimus tulee automaattisesti voimaan, kun rekisterinpitäjä käyttää Players 1st -ohjelmistoa.
Molemmilla osapuolilla on oikeus pyytää sopimuksen uudelleen neuvottelemista, mikäli lainsäädännön muutokset tai sopimuksen puutteet antavat siihen aihetta.
Tiedonkäsittelysopimus voidaan purkaa "pääsopimuksessa" määritettyjen purkamisehtojen, mukaan lukien ilmoitusaika, mukaisesti.
Sopimusta sovelletaan niin kauan kuin käsittelyä tehdään. Riippumatta "pääsopimuksen" ja/tai tiedonkäsittelysopimuksen purkamisesta tiedonkäsittelysopimus on voimassa niin kauan, kunnes henkilötietojen käsittelijä ja mahdolliset alihankkijana toimivat henkilötietojen käsittelijät ovat lopettaneet käsittelyn ja poistaneet tiedot.
15 Henkilötietojen käsittelijän yhteyshenkilöt/-pisteet
Kaikkien tietojen käsittelyä koskevien yhteydenottojen henkilötietojen käsittelijän kanssa tulee tapahtua seuraavasti: privacy@players1stgroup.com
Liite A Tiedot käsittelystä
Henkilötietojen käsittelijän rekisterinpitäjän puolesta suorittaman henkilötietojen käsittelyn tarkoituksena on:
Rekisterinpitäjä haluaa toteuttaa jatkuvan mittauksen jäsentensä ja/tai vieraittensa kokemuksista joukkueessa. Tätä tarkoitusta varten jäseniin ja/tai vieraisiin liittyviä tietoja siirretään niin, että henkilötietojen käsittelijä voi julkaista elektronisia kyselyjä jäsenen tai vieraan kokemuksesta joukkueessa. Vastaukset raportoidaan ja tarjotaan kootussa muodossa rekisterinpitäjälle henkilötietojen käsittelijän ylläpitämän elektronisen alustan kautta.
Rekisterinpitäjä vastaanottaa myös yksittäisiä avoimia kommentteja vastauksista. Näin tapahtuu yksinomaan tapauksissa, joissa vastaaja on aktiivisesti suostunut siihen, että rekisterinpitäjä näkee kommentin, ja antanut yhteystietonsa, jotta rekisterinpitäjällä on mahdollisuus ottaa yhteyttä vastaajaan tämän nimenomaisesti antaman suostumuksen mukaisesti.
Henkilötietojen käsittelijän rekisterinpitäjän puolesta suorittama henkilötietojen käsittely liittyy ensisijaisesti (käsittelyn luonne):
Elektronisen kyselyn linkin sisältävien sähköpostiviestien lähettäminen.
Kyselyn tulosten esittäminen verkkoportaalissa ja raporteissa. Tulokset esitetään kootussa ja/tai anonyymissa muodossa
Käsittely sisältää seuraavan tyyppisiä rekisteröityihin liittyviä henkilötietoja:
Nimi, jäsenyyden tyyppi, sukupuoli, ikä, sähköpostiosoite ja tietoja joukkuekäynnin ajasta ja paikasta silloin, kun se liittyy toimintaan, joka liittyy vastaajan erityiseen toimintaan joukkueessa. Vain yleisiä henkilötietoja käsitellään.
Käsittely sisältää seuraavat rekisteröityjen kategoriat:
Henkilöt, jotka ovat joko joukkueen jäseniä tai ovat osallistuneet joukkueen järjestämään tai yhteistyössä joukkueen kanssa järjestettyyn toimintaan.
Henkilötietojen käsittelijän rekisterinpitäjän puolesta suorittama henkilötietojen käsittely voidaan aloittaa tämän sopimuksen tullessa voimaan. Käsittelyn kesto on seuraava:
Käsittelyllä ei ole aikarajaa ja se jatkuu, kunnes jompikumpi osapuoli päättää kaikki lisenssijaksot.
Liite B Henkilötietojen käsittelijän toisen henkilötietojen käsittelijän (alihankkijan) käyttöön liittyvät ehdot ja luettelo valtuutetuista alihankkijana toimivista henkilötietojen käsittelijöistä
B.1 Henkilötietojen käsittelijän toisen henkilötietojen käsittelijän (alihankkijan) käyttöön liittyvät ehdot
Henkilötietojen käsittelijällä on rekisterinpitäjän yleinen hyväksyntä alihankkijana toimivien henkilötietojen käsittelijöiden käyttöön. Siitä huolimatta henkilötietojen käsittelijän pitää ilmoittaa rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia. Rekisterinpitäjän pitää vastaanottaa sellainen ilmoitus viimeistään 30 päivää ennen kuin käyttö tai muutos tulee voimaan. Mikäli rekisterinpitäjä vastustaa muutoksia, rekisterinpitäjän tulee ilmoittaa henkilötietojen käsittelijälle 14 päivän sisällä ilmoituksen vastaanottamisesta. Rekisterinpitäjä voi vastustaa vain, jos sillä on kohtuulliset ja erityiset syyt tehdä niin.
B.2 Valtuutetut alihankkijana toimivat henkilötietojen käsittelijät
Tietojenkäsittelysopimuksen voimaan tullessa rekisterinpitäjä on hyväksynyt seuraavien alihankkijana toimivien henkilötietojen käsittelijöiden käytön.
Nimi | Kaupparekisterinumero | Osoite | Käsittelyn kuvaus |
Microsoft Azure | Azure-datakeskukset Irlannissa, Alankomaissa, Virginiassa Yhdysvalloissa, Texasissa Yhdysvalloissa, Kaliforniassa Yhdysvalloissa, Canberrassa Australiassa | Tietojen ylläpito ja tallennus palvelimissa: Euroopassa henkilötietojen käsittelijän eurooppalaisten asiakkaiden osalta, Yhdysvalloissa henkilötietojen käsittelijän pohjoisamerikkalaisten asiakkaiden osalta, Australiassa henkilötietojen käsittelijän australialaisten asiakkaiden osalta | |
SendGrid | Denver, CO, 1801 California Street, Suite 500, Denver, CO 80202 | Sähköpostipalvelu | |
MailJet | FR67524536992 | Mailjet SAS 37 bis Rue du Sentier 75002 Paris RANSKA | Sähköpostipalvelu |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, Yhdysvallat | Tukikyselyiden hallinta | |
Google Analytics | 1600 Amphitheatre Parkway, Mountain View, CA, 94043 | Verkkosivuston käyttötiedot kerätään Google Analyticsissa |
Tietojenkäsittelysopimuksen tullessa voimaan rekisterinpitäjä on erityisesti hyväksynyt edellä mainittujen alihankkijana toimivien henkilötietojen käsittelijöiden käytön kunkin osapuolen osalta kuvattua käsittelyä varten. Henkilötietojen käsittelijä ei voi, ilman rekisterinpitäjän nimenomaista kirjallista hyväksyntää, käyttää alihankkijana toimivaa henkilötietojen käsittelijää muuhun käsittelyyn kuin mitä on sovittu tai antaa toisen alihankkijana toimivan henkilötietojen käsittelijän suorittaa määritetty käsittely.
Liite C Henkilötietojen käsittelyä koskevat ohjeet
C.1 Käsittelyn kohde/ohjeet
Henkilötietojen käsittelijän rekisterinpitäjän puolesta suorittaman henkilötietojen käsittelyn tulee tapahtua siten, että henkilötietojen käsittelijä suorittaa yhden tai useamman seuraavista:
Tarvittavien jäsenyystietojen tallentaminen rekisterinpitäjän jäsenistä, jos jäsenkysely(t) on valittu.
Rekisterinpitäjän kanssa pelattujen green fee -kierrosten tietojen käsittely, jos vieraskysely(t) on valittu.
Henkilötietojen käsittelijä käsittelee tietoja siten, kuin se on tarpeen ja asiaankuuluvaa rekisterinpitäjän ohjeiden täyttämiseksi. Tiedot kerätään joko suoraan rekisterinpitäjältä tai rekisterinpitäjän määrittämältä toiselta henkilötietojen käsittelijältä (ulkopuoliselta henkilötietojen käsittelijältä). Rekisterinpitäjä solmii ulkopuolisten henkilötietojen käsittelijöiden kanssa sopimukset, jotka koskevat tarvittavien tietojen paljastamista henkilötietojen käsittelijälle tämän sopimuksen mukaisesti.
C.2 Käsittelyn turvallisuus
Turvallisuustason pitää heijastaa:
Yleisten henkilötietojen käsittely
Henkilötietojen käsittelijällä on täten oikeus ja velvollisuus tehdä päätöksiä niiden teknisten ja organisatoristen suojatoimien suhteen, joita käytetään tietoja koskevan tarpeellisen (ja sovitun) turvallisuustason luomiseen. Henkilötietojen käsittelijällä on kuitenkin velvollisuus varmistaa seuraavat seikat:
Kaikki Players 1st -järjestelmän tiedot lähetetään salattuina https-käytännöllä.
Players 1st tallentaa ja käsittelee kaikki tiedot kansainvälisesti tunnistettujen IT-yhtiöiden avustuksella.
Players 1st -järjestelmän palvelintoimintojen tulee olla salattuja ja luottamuksellisia.
Players 1st tarjoaa täydellisen dokumentaation toiminnoista, datan seurannasta ja tietoturvallisuudesta.
Players 1st käsittelee henkilötietoja vain rekisterinpitäjän pyytäessä.
Players 1st varmistaa, että kaikkia henkilötietoja hallitsevia henkilöitä sitovat luottamuksellisuussopimukset.
C.3 Säilytysaika/poistomenettelyt
Henkilötietojen käsittelijän tulee säilyttää henkilötietoja, kunnes rekisterinpitäjä pyytää tietojen poistamista tai palauttamista.
24 kuukauden jälkeen henkilötietojen käsittelijän tulee automaattisesti pseudonymisoida kaikki rekisterinpitäjältä saadut henkilötiedot. Pseudonymisoinnin yhteydessä poistetaan kaikki henkilötiedot, jotka eivät ole enää asiaankuuluvia.
10 vuoden jälkeen henkilötietojen käsittelijän tulee automaattisesti poistaa kaikki henkilötiedot.
C.4 Käsittelyn sijainti
Sopimuksen alaisten henkilötietojen käsittelyä ei voi, ilman rekisterinpitäjän etukäteen antamaa kirjallista suostumusta, suorittaa muissa kuin seuraavissa sijainneissa:
Nimi | Osoite | Huomautuksia |
Microsoft Azure | Azure-datakeskukset Irlannissa, Alankomaissa, Virginiassa Yhdysvalloissa, Texasissa Yhdysvalloissa, Kaliforniassa Yhdysvalloissa, Canberrassa Australiassa | Tietojen ylläpito ja tallennus palvelimissa: Euroopassa henkilötietojen käsittelijän eurooppalaisten asiakkaiden osalta, Yhdysvalloissa henkilötietojen käsittelijän pohjoisamerikkalaisten asiakkaiden osalta, Australiassa henkilötietojen käsittelijän australialaisten asiakkaiden osalta |
SendGrid | 1801 California Street, Suite 500, Denver, CO 80202 | |
MailJet | Mailjet SAS, 37 bis Rue du Sentier, 75002 Paris, RANSKA | |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, Yhdysvallat | |
Google Analytics | 1600 Amphitheatre Parkway, Mountain View, CA, 94043 | |
Players 1st | Stadion Allé, 8000 Aarhus C, Tanska |
C.5 Ohjeet tai valtuutus koskien henkilötietojen siirtoa kolmansiin maihin
Henkilötietojen käsittelijän tulee siirtää, alihankkijana toimivien henkilötietojen käsittelijöiden kautta, henkilötietoja kolmansille osapuolille, kun sähköpostiviestejä siirretään yhdysvaltalaiselle toimittajalle (SendGrid) käytettäväksi sähköpostiviestien lähettämiseen (tämä ei kuitenkaan koske saksalaisia sähköpostiosoitteita). Zendeskiä käytetään sellaisten pelaajien ja joukkueiden tukikyselyiden hallintaa, jotka voivat ottaa yhteyttä Players 1st -tukeen sähköpostitse. Pyytäjän sähköpostiosoite siirretään Zendeskille yhteydenoton yhteydessä. Google Analyticsia käytetään koontitasolla käyttäjien käyttämien selainten ja laitteiden hallintaan. Tietoja käytetään käyttäjän kokemuksen optimointiin kyselyissä.
Siirto tapahtuu tietosuojasopimuksen mukaisesti, ks. yleisen tietosuoja-asetuksen 46 artikla. Henkilötietojen käsittelijä on vastuussa sen varmistamisesta, että alihankkijoina toimivat henkilötietojen käsittelijät kolmansissa maissa täyttävät henkilötietojen käsittelijän tässä sopimuksessa määritetyt velvollisuudet.
C.6 Menettelyt rekisterinpitäjän suorittaman henkilötietojen käsittelijän käsittelyn valvontaan henkilötietojen käsittelijän tiloissa
Kerran vuodessa henkilötietojen käsittelijän tulee hankkia tarkastusselvitys ulkopuoliselta taholta koskien henkilötietojen käsittelijän tämän tietojenkäsittelysopimuksen ja sen liitteiden noudattamista. Tarkastusselvitys tulee hankkia ensimmäisen kerran vuonna 2019 ja se pitää toimittaa rekisterinpitäjälle.
Ennen kuin edellä mainittu tarkastusselvitys on saatavilla rekisterinpitäjällä tulee olla vuosittainen mahdollisuus suorittaa fyysinen tai kirjallinen tämän tietojenkäsittelysopimuksen noudattamisen valvonta.
Aikataulun mukaisen valvonnan lisäksi rekisterinpitäjä voi myös suorittaa valvontaa, kun se katsoo sen tarpeelliseksi.
Rekisterinpitäjä vastaa itse kaikista fyysisen tai kirjallisen valvonnan kustannuksista. Siitä huolimatta henkilötietojen käsittelijällä on velvollisuus järjestää resurssit (ensisijaisesti aikaa), jotka ovat kohtuulliset ja tarpeelliset rekisterinpitäjän sellaisen valvonnan suorittamiselle.
C.7 Menettelyt henkilötietojen käsittelijän käsittelyn valvontaan henkilötietojen käsittelijän tiloissa
Kerran vuodessa henkilötietojen käsittelijän tulee hankkia tarkastusselvitys ulkopuoliselta taholta koskien alihankkijana toimivan henkilötietojen käsittelijän tämän tietojenkäsittelysopimuksen ja sen liitteiden noudattamista.
Osapuolet ovat sopineet, että seuraavan tyyppisiä tarkastusselvityksiä voidaan käyttää: ISAE 3402 -tyypin 2 raportit
Henkilötietojen käsittelijän tulee toimittaa tarkastusselvitys rekisterinpitäjälle verkkoportaalin kautta.
Liite D Osapuolten sopimukset muista seikoista
D.1 Pääsopimukset
Tämän sopimuksen ulkopuolelle jääviä seikkoja hallitaan osapuolten välisellä pääsopimuksella.
D.2 Pyynnöt lisäsuojaustoimien järjestämisestä
Korvaukset tai vastaavat liittyen rekisterinpitäjän tai henkilötietojen käsittelijän myöhempiin pyyntöihin tämän sopimuksen ylittävistä lisäsuojaustoimenpiteistä maksaa pyynnön esittävä osapuoli. Korvaus tyypillisesti kattaa ajan, joka lisätoimenpiteiden järjestämiseen on käytetty.