Common use of Tietosuoja Clause in Contracts

Tietosuoja. Suureen osaan ohjelmistosopimuksista liittyy henkilötietojen käsittelyä joko siten, että järjestelmää käyte- tään suoraan henkilötietoja sisältävän aineiston käsittelyyn kuten esimerkiksi potilastietojärjestelmien koh- dalla. Lisäksi joukossa on myös sellaisia sopimuksia, joissa henkilötietojen käsittely tarkoittaa tietojen säi- lyttämistä tai siirtoa käyttäen toimittajan tuottamia järjestelmiä tai palveluita. ICT-sopimuksissa tyypillistä henkilötietojen käsittelyn näkökulmasta on kuitenkin se, että toimittaja ei itse suoranaisesti käsittele aineis- toa, vaan tarjoaa alustan tai välineet tilaajalle toteuttaa omaa käsittelyään. Tästä erosta huolimatta kyse on näissäkin tilanteissa tietosuoja-asetuksen näkökulmasta rekisterinpitäjän ja henkilötietojen käsittelijän väli- sestä suhteesta, joka edellyttää nimenomaista sopimista tietosuojaan liittyvistä seikoista. Enemmistö tärkeimmistä ICT-sopimuksista on laadittu ennen EU:n yleisen tietosuoja-asetuksen ja tietosuo- jalain voimaantuloa. Näiden sopimusten tietosuojaa koskevat ehdot on laadittu tuolloin voimassa olleen lainsäädännön asettamien vaatimusten mukaisesti. Muuttunut lainsäädäntö kuitenkin edellyttää nykyään huomattavasti yksityiskohtaisempaa sopimista erityisesti niissä tilanteissa, joissa ulkopuolinen henkilötieto- jen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Kuntien ICT-sopimuksissa on suurelta osin kyse juurikin tästä tilanteesta. Alalla yleisesti käytetty tapa reagoida uuden lainsäädännön tuomiin vaatimuksiin on ollut laatia joko erillinen henkilötietojen käsittelyä koskeva tietosuojasopimus tai liittää jälkikäteen vanhoihin sopimuksiin tietosuoja- liite. Erityisesti suurempien yritysten käyttämä toimintatapa on ollut, että nämä tietosuojaehdot on tuotu jäl- kikäteen sopimuksiin mukaan osana yleisten ehtojen uusimista. Toimitetussa aineistossa on mukana hyvin vähän kuvatun tyyppisiä muutoksia. Kyse voi olla siitä, että suuressa osassa sopimuksista tietosuojaehdot ovat päivittämättä tietosuoja-asetuksen edellyttämälle tasolla, mutta on myös mahdollista, että ehtoja on päivitetty toimittajan aloitteesta, mutta näitä muutoksia ei ole dokumentoitu asianmukaisesti. Jatkovalmiste- lussa hyvinvointialueen tulee joka tapauksessa muodostaa omat tietosuojakäytäntönsä ja selvittää toimitta- jien kanssa järjestelmäkohtaisesti, millaiset ehdot henkilötietojen käsittelyyn niiden osalta liittyy.

Tietosuoja. Suureen osaan ohjelmistosopimuksista liittyy henkilötietojen käsittelyä joko siten, että järjestelmää käyte- tään suoraan henkilötietoja sisältävän aineiston käsittelyyn kuten esimerkiksi potilastietojärjestelmien koh- dallaSopijapuolet vastaavat kumpikin oman tietojärjestelmänsä ja -verkkonsa tietoturvasta. Lisäksi joukossa Sopijapuolet eivät ole vastuussa yleisen tieto- ja/tai viestintäverkon tietoturvasta tai siellä mahdollisesti ilmenevistä häiriöistä tai muista omien vaikutusmahdollisuuksiensa ulkopuolella olevista Ohjelmiston käyttöä haittaavista tekijöistä tai niistä aiheutuvista vahingoista. Käyttäjä on myös sellaisia sopimuksia, joissa henkilötietojen käsittely tarkoittaa tietojen säi- lyttämistä tai siirtoa käyttäen toimittajan tuottamia järjestelmiä tai palveluita. ICT-sopimuksissa tyypillistä henkilötietojen käsittelyn näkökulmasta on kuitenkin se, että toimittaja ei itse suoranaisesti käsittele aineis- toa, vaan tarjoaa alustan tai välineet tilaajalle toteuttaa omaa käsittelyään. Tästä erosta huolimatta kyse on näissäkin tilanteissa tietosuoja-asetuksen näkökulmasta rekisterinpitäjän ja henkilötietojen käsittelijän väli- sestä suhteesta, joka edellyttää nimenomaista sopimista tietosuojaan liittyvistä seikoista. Enemmistö tärkeimmistä ICT-sopimuksista on laadittu ennen EU:n yleisen tietosuoja-asetuksen ja tietosuo- jalain voimaantuloa. Näiden sopimusten tietosuojaa koskevat ehdot on laadittu tuolloin voimassa olleen lainsäädännön asettamien vaatimusten mukaisesti. Muuttunut lainsäädäntö kuitenkin edellyttää nykyään huomattavasti yksityiskohtaisempaa sopimista erityisesti niissä tilanteissa, joissa ulkopuolinen henkilötieto- jen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Kuntien ICT-sopimuksissa on suurelta osin kyse juurikin tästä tilanteesta. Alalla yleisesti käytetty tapa reagoida uuden lainsäädännön tuomiin vaatimuksiin on ollut laatia joko erillinen henkilötietojen käsittelyä koskeva tietosuojasopimus tai liittää jälkikäteen vanhoihin sopimuksiin tietosuoja- liite. Erityisesti suurempien yritysten käyttämä toimintatapa on ollut, että nämä tietosuojaehdot on tuotu jäl- kikäteen sopimuksiin mukaan osana yleisten ehtojen uusimista. Toimitetussa aineistossa on mukana hyvin vähän kuvatun tyyppisiä muutoksia. Kyse voi olla tietoinen siitä, että suuressa osassa sopimuksista tietosuojaehdot avoimen tietoverkon käyttö sisältää tietoturvariskin. Palveluntarjoaja ei vastaa Käyttäjän tietoturvallisuudesta Ohjelmistoa käytettäessä. Palveluntarjoajalla on oikeus ryhtyä tarvittaviin toimiin tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi. Tällaisia toimia ovat päivittämättä tietosuoja-asetuksen edellyttämälle tasollaesimerkiksi viestien välittämisen ja vastaanottamisen estäminen tai tietoturvaa vaarantavien haittaohjelmien poistaminen viesteistä. Palveluntarjoajan tulee mitoittaa toimenpiteet torjuttavan häiriön vakavuuden mukaan ja lopettaa ne heti, mutta on myös mahdollista, että ehtoja on päivitetty toimittajan aloitteesta, mutta näitä muutoksia kun niiden toteuttamiselle ei ole dokumentoitu asianmukaisestiperustetta. Jatkovalmiste- lussa hyvinvointialueen Palveluntarjoaja noudattaa henkilötietoja käsitellessään lainsäädännön edellyttämää hyvää henkilötietojen käsittelytapaa ja tietojen suojaamista koskevia säännöksiä. Palveluntarjoaja käsittelee rekisteröityjen Käyttäjien henkilötietoja palveluntarjoajan yleisen tietoturvaselosteen periaatteiden sekä yksityisyyden suojaa koskevan lainsäädännön mukaisesti. Palveluntarjoajan yleinen tietoturvaseloste on nähtävillä ja ladattavissa Ohjelmiston verkkosivuilla. Sopijapuolella on velvollisuus ilmoittaa toiselle sopijapuolelle ilman aiheetonta viivytystä havaitsemistaan Ohjelmistoa tai sen käyttöä vaarantavista merkittävistä tietoturvariskeistä, tietoturvaloukkauksista tai niiden epäilyistä. Sopijapuolen tulee joka tapauksessa muodostaa omat tietosuojakäytäntönsä ja selvittää toimitta- jien kanssa järjestelmäkohtaisestiosaltaan ryhtyä välittömästi toimenpiteisiin tietoturvaloukkauksen vaikutuksen poistamiseksi tai pienentämiseksi. Sopijapuolella on velvollisuus myötävaikuttaa tietoturvaloukkausten tutkintaan. Palveluntarjoajalla on oikeus käyttää Ohjelmistossa toteutettavia teknisiä ratkaisuja, millaiset ehdot henkilötietojen käsittelyyn niiden osalta liittyyjotka mahdollistavat näiden sopimusehtojen toteutumisen valvonnan.

Tietosuoja. Suureen osaan ohjelmistosopimuksista Tietosuojaa koskevat lakimuutokset ovat todennäköisesti merkittävin sote-uudistukseen suoraan liittymätön muutos kuntien sote-sopimusten sektorilla. Maakuntauudistusta koskevaa sopimusanalyysiä tehtäessä voi- massa oli Euroopan unionin yleisen tietosuoja-asetusta koskeva siirtymäaika, eikä tietosuoja-asetus vielä näkynyt juuri lainkaan vuonna 2018 tehdyssä analyysissä. Tietosuoja-asetuksen lisäksi voimaan on tämän jälkeen tullut asetusta täydentävä kansallinen tietosuojalaki (1050/2018) ja laki sosiaali- ja terveystietojen (552/2019) toissijaisesta käytöstä, joilla on osaltaan merkitystä potilastietojen ja sosiaalitietojen käytössä. Kansallisten lakien merkitys liittyy kuitenkin suurelta osin erityistilanteisiin kuten tutkimustoimintaan, joka Pirkanmaan alueella koskettaa lähinnä Pirkanmaan sairaanhoitopiiriä. Tietosuoja-asetus asetti henkilötietojen käsittelyä joko sitenrekisterinpitäjälle tiukemmat vaatimukset siitä, että järjestelmää käyte- tään suoraan henkilötietoja sisältävän aineiston käsittelyyn kuten esimerkiksi potilastietojärjestelmien koh- dallamiten henkilötietojen käsittely tulisi huomioida sopimuksissa. Lisäksi joukossa on myös sellaisia sopimuksiaErityisesti tämä koskee kuntien sote-toiminnan kontekstissa tilan- teita, joissa ulkopuolinen henkilötietojen käsittelijä käsittelee kunnan rekistereissä olevia henkilötietoja kun- nan lukuun. Näissä tilanteissa kunta on rekisterinpitäjänä vastuussa kaikesta kyseisen rekisterin tietojen käsittelystä riippumatta siitä, kuka käsittelytoimenpiteet toteuttaa ja missä järjestelmässä tämä käsittely tarkoittaa ta- pahtuu. Kunnalla on siis erityinen intressi turvata asemansa sopimusehdoin rajoittamalla käsittelijän mah- dollisuus käyttää aineistoa omiin tarkoituksiinsa ja varmistaa kunnalle tehokas mahdollisuus valvoa henkilö- tietojen säi- lyttämistä tai siirtoa käyttäen toimittajan tuottamia järjestelmiä tai palveluitakäsittelyä. ICT-sopimuksissa tyypillistä henkilötietojen käsittelyn näkökulmasta on kuitenkin Käsittelijäsuhteiden merkitystä korostaa myös se, että toimittaja ei itse suoranaisesti käsittele aineis- toase vaikuttaisi olevan sopimuskan- nan perusteella kaikkein yleisin yhteistyön muoto, vaan tarjoaa alustan tai välineet tilaajalle toteuttaa omaa käsittelyäänjohon liittyy henkilötietojen käsittelyä. Toisin päin olevat tilanteet, joissa kunta käsittelisi ulkopuolisen rekisterinpitäjän tietoja ja tilanteet, jossa sovittaisiin henkilötie- tojen luovuttamisesta rekisterinpitäjien välillä ovat sopimuskannassa hyvin harvinaisia ja liittyvät lähes yk- sinomaan julkishallinnollisten organisaatioiden väliseen toimintaan. Tietosuojasta sopiminen on erityisesti rekisterinpitäjän intressissä. Tästä erosta huolimatta kyse on näissäkin tilanteissa tietosuoja-asetuksen näkökulmasta rekisterinpitäjän syystä yleinen käytäntö on, että rekisterinpitäjänä toimiva taho tuo sopimukseen oman tietosuojapolitiikkansa mukaiset ehdot, joita tarvitta- essa muokataan vastaamaan kunkin sopimuksen yksilöllisiä tarpeita. Erityisesti suuremmat organisaatiot sekä julkishallinnossa että yksityisellä sektorilla käyttävät tätä tarkoitusta varten yleisesti vakiomuotoisia tietosuojaliitteitä tai tietosuojasopimuksia. Samalla vakiomuotoisuus auttaa pitämään tietosuojaan liittyvän sopimuskannan yhtenäisempänä ja henkilötietojen käsittelijän väli- sestä suhteestasiihen liittyvät oikeudelliset velvoitteet ja riskit paremmin hallittavina. Analyysin perusteella tällaiset vakiomuotoiset tietosuojaehdot ja liitteet ovat Pirkanmaan kunnissa hyvin harvinaisia. Ainoastaan muutamalla yksittäisellä kunnalla vaikuttaisi olevan käytössä vakioituja tietosuojaa koskevia ehtoja, joka edellyttää nimenomaista sopimista tietosuojaan liittyvistä seikoistajotka liitetään sopimuksiin ja nämäkin ovat sisällöltään melko suppeita ottaen huomioon toimialalle tyypillinen käsiteltävän henkilötiedon arkaluontoisuus. Enemmistö tärkeimmistä ICT-sopimuksista on laadittu ennen EU:n yleisen tietosuoja-asetuksen ja tietosuo- jalain voimaantuloa. Näiden sopimusten tietosuojaa Vanhemmasta sopimusaineistosta tieto- suojaa koskevat ehdot on laadittu tuolloin voimassa olleen lainsäädännön asettamien vaatimusten mukaisestipuuttuvat joissain tapauksissa kokonaan tai ovat selvästi nykylainsäädännön va- lossa puutteellisia. Muuttunut lainsäädäntö kuitenkin edellyttää nykyään huomattavasti yksityiskohtaisempaa sopimista erityisesti niissä tilanteissaOn erittäin harvinaista, joissa ulkopuolinen henkilötieto- jen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Kuntien ICT-sopimuksissa on suurelta osin kyse juurikin tästä tilanteesta. Alalla yleisesti käytetty tapa reagoida uuden lainsäädännön tuomiin vaatimuksiin on ollut laatia joko erillinen henkilötietojen käsittelyä koskeva tietosuojasopimus tai liittää jälkikäteen että vanhoihin sopimuksiin tietosuoja- liiteolisi jälkikäteen lisätty tietosuojaeh- toja. Erityisesti suurempien yritysten käyttämä toimintatapa Mikäli näin on olluttoimittu, on kyseessä suurimmassa osassa käsittelijänä toimivan toimittajan omat vakio- ehdot. On kuitenkin huomioitava, että nämä tietosuojaehdot on tuotu jäl- kikäteen sopimuksiin mukaan osana yleisten ehtojen uusimistaosittain tietosuojaan liittyvissä puutteissa saattaa olla kyse myös asiakirjojen hallintaan liittyvistä haasteista. Toimitetussa aineistossa on mukana hyvin vähän kuvatun tyyppisiä muutoksia. Kyse voi olla siitä, että suuressa osassa sopimuksista tietosuojaehdot ovat päivittämättä tietosuoja-asetuksen edellyttämälle tasolla, mutta on myös On mahdollista, että ehtoja on päivitetty toimittajan aloitteesta, mutta näitä kaikkia tietosuojaa koskevia sopimuksia tai muutoksia ei ole dokumentoitu asianmukaisestikunnissa tallennettu alkuperäisten sopimusten yhteyteen, mistä syystä ne eivät ole pääty- neet osaksi sopimusten keräystä. Jatkovalmiste- lussa hyvinvointialueen tulee joka tapauksessa muodostaa omat tietosuojakäytäntönsä ja selvittää toimitta- jien kanssa järjestelmäkohtaisestiYhteenvetona voidaan kuitenkin todeta, millaiset ehdot henkilötietojen käsittelyyn niiden osalta liittyyettä sopimuskannassa on merkit- tävän paljon tarvetta tietosuojaan liittyville jatkotoimenpiteille sekä jatkoselvitysten että sopimusneuvottelui- den muodossa.

Tietosuoja. Suureen osaan ohjelmistosopimuksista liittyy henkilötietojen käsittelyä joko sitenToimittajan tulee kaikessa sääntökirjan mukaisten velvoitteidensa täyttämisessä noudattaa voimassa olevaa tietosuojaa koskevaa Euroopan unionin ja kansallista lainsäädäntöä. Toimittaja vastaa siitä, että järjestelmää käyte- tään suoraan henkilötietoja sisältävän sääntökirjan mukainen Palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön vaatimusten mukainen, ottaen erityisesti huomioon tietojärjestelmien oletusarvoisen ja sisäänrakennetun tietosuojan periaatteet. Toimittaja huolehtii käsittelemiensä tietojen asianmukaisesta suojaamisesta varmistaakseen VAKEn aineiston käsittelyyn kuten esimerkiksi potilastietojärjestelmien koh- dallaluottamuksellisuuden, eheyden ja saatavuuden. Lisäksi joukossa Selvyyden vuoksi todetaan, että tämän Sopimuksen luvun säännösten lähtökohtana on myös sellaisia sopimuksia, joissa henkilötietojen käsittely tarkoittaa tietojen säi- lyttämistä tai siirtoa käyttäen toimittajan tuottamia järjestelmiä tai palveluita. ICT-sopimuksissa tyypillistä henkilötietojen käsittelyn näkökulmasta on kuitenkin se, että toimittaja ei itse suoranaisesti käsittele aineis- toa, vaan tarjoaa alustan tai välineet tilaajalle toteuttaa omaa käsittelyään. Tästä erosta huolimatta kyse on näissäkin tilanteissa VAKEa pidetään EU:n yleisen tietosuoja-asetuksen näkökulmasta rekisterinpitäjän asetuksessa rekisterinpitäjänä ja Toimittajaa henkilötietojen käsittelijän väli- sestä suhteestakäsittelijänä. Toimittajalla on oikeus käsitellä VAKEn aineistoon sisältyviä Henkilötietoja: vain sääntökirjassa mainitulla perusteella tai VAKEn kirjallisesti etukäteen antamalla luvalla, joka edellyttää nimenomaista sopimista tietosuojaan liittyvistä seikoistavain siinä määrin ja niin kauan, kuin se on sääntökirjan kohteen toteuttamiseksi välttämätöntä sekä vain tämän Sopimuksen ja sääntökirjan sekä VAKEn erikseen antamien dokumentoitujen ohjeiden mukaisesti. Enemmistö tärkeimmistä ICTToimittaja saa käyttää VAKEn aineistoa sääntökirjan kohteen toteuttamiseen ja vain sääntökirjan kohteen toteuttamisen edellyttämässä laajuudessa. Toimittajan tulee huolehtia siitä, että VAKEn aineistoa käsittelevät vain ne Toimittajan lukuun työskentelevät henkilöt, joiden työtehtäviin VAKEn aineiston käsittely kuuluu. Henkilötietojen käsittelyn käsittelyperuste on yksilöity Sopimuksen liitteessä 1.3. Sopijapuolet ymmärtävät, että Toimittajalla ei ole oikeutta käyttää sellaisia Henkilötietoja, joista VAKE vastaa rekisterinpitäjänä, mihinkään muuhun tarkoitukseen kuin sääntökirjan mukaisten velvollisuuksien täyttämistä varten. Toimittajan tulee ilmoittaa EU:n yleisen tietosuoja-sopimuksista asetuksessa määritellyistä henkilötietojen tietoturvaloukkauksista VAKElle välittömästi, kuitenkin viimeistään 36 tunnin kuluessa siitä, kun Toimittaja tai sen mahdollinen alihankkija on laadittu ennen havainnut tietoturvaloukkauksen. Toimittajan on ilman aiheetonta viivytystä toimitettava kirjallinen selvitys tapahtumasta sekä lisäselvityksiä sitä mukaa kuin Toimittaja saa tapahtumasta lisätietoa. Toimittajalla ei ole oikeutta veloittaa tästä erikseen. Mikäli Sopijapuoli laiminlyö tai rikkoo tässä henkilötietojen käsittelyä koskevassa lainsäädännössä tai EU:n yleisessä tietosuoja-asetuksessa määriteltyjä toimintavelvoitteita, määräyksiä, vastuita tai rajoitteita ja siitä aiheutuu seuraamuksia tai vahinkoa rekisteröidylle, Sopijapuolten vastuut määräytyvät EU:n yleisen tietosuoja-asetuksen ja tietosuo- jalain voimaantuloa. Näiden sopimusten tietosuojaa koskevat ehdot on laadittu tuolloin voimassa olleen lainsäädännön asettamien vaatimusten mukaisesti. Muuttunut lainsäädäntö kuitenkin edellyttää nykyään huomattavasti yksityiskohtaisempaa sopimista erityisesti niissä tilanteissa, joissa ulkopuolinen henkilötieto- jen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Kuntien ICT-sopimuksissa on suurelta osin kyse juurikin tästä tilanteesta. Alalla yleisesti käytetty tapa reagoida uuden lainsäädännön tuomiin vaatimuksiin on ollut laatia joko erillinen Mikäli Toimittaja laiminlyö tai rikkoo Sopimuksessa määriteltyjä henkilötietojen käsittelyä koskeva tietosuojasopimus koskevia toimintavelvoitteita, määräyksiä, vastuita tai liittää jälkikäteen vanhoihin sopimuksiin tietosuoja- liiterajoitteita ja siitä aiheutuu seuraamuksia tai vahinkoa VAKElle, rekisteröidylle tai kolmannelle osapuolelle, Toimittaja vastaa vahinkojen korvaamisesta lainsäädännön mukaisesti. Erityisesti suurempien yritysten käyttämä toimintatapa Toimittajan on ollutkorvattava VAKElle sopimusrikkomuksesta aiheutunut vahinko täysimääräisesti mukaan lukien VAKElle rikkomuksen perusteella mahdollisesti määrätyt GDPR:n mukaiset hallinnolliset sanktiot ja kolmannelle maksettavat korvaukset. Toimittaja on velvollinen puolustamaan kustannuksellaan VAKEa, jos rekisteröity väittää, että nämä tietosuojaehdot VAKE on tuotu jäl- kikäteen sopimuksiin mukaan osana yleisten ehtojen uusimistaloukannut rekisteröidyn yksityisyyden suojaa ja väitetty loukkaus johtuu Toimittajasta. Toimitetussa aineistossa Xxxxxx VAKE joutuu oikeudellisesti puolustautumaan tietoturva- tai tietosuojaloukkausta vastaan, Toimittajan on mukana hyvin vähän kuvatun tyyppisiä muutoksiatoimitettava ilman aiheetonta viivytystä VAKEn käyttöön kaikki hallussaan oleva asiaan liittyvä aineisto sekä avustamaan VAKEa puolustautumistoimenpiteissä. Kyse voi olla siitäAineisto on toimitettava ilman erillistä korvausta. Mikäli tietoturvaloukkaus johtuu Toimittajan toiminnasta, että suuressa osassa sopimuksista tietosuojaehdot ovat päivittämättä tietosuoja-asetuksen edellyttämälle tasollaToimittajan on viipymättä toimitettava kirjallinen selvitys tapahtumasta. Toimittaja huolehtii omien tiedostojensa ja saamiensa kopiokappaleiden tuhoamisesta ja Toimittajan on todennettava tämä. Toimittajan lopetettua sääntökirjan mukaisen palvelun tuottamisen VAKElle tai Henkilötietojen käsittelytarkoituksen päätyttyä Toimittajalle ei jää VAKEn henkilöstön tai asiakkaiden henkilötietoja, mutta ellei lainsäädännöstä muuta johdu. Sopimuksen liitteessä 1.2 alaliitteineen on myös mahdollistakuvattu henkilötietojen käsittelyä koskevat tarkemmat vaatimukset, että ehtoja on päivitetty toimittajan aloitteestajoita Toimittaja ja sen alihankkijat, mutta näitä muutoksia ei ole dokumentoitu asianmukaisesti. Jatkovalmiste- lussa hyvinvointialueen tulee joka tapauksessa muodostaa omat tietosuojakäytäntönsä jotka käsittelevät henkilötietoja VAKEn puolesta ja selvittää toimitta- jien kanssa järjestelmäkohtaisestilukuun, millaiset ehdot henkilötietojen käsittelyyn niiden osalta liittyysitoutuvat noudattamaan.