SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

1. Osapuolet

Tämän sopimuksen (jäljempänä ”Tämä Sopimus”) ovat laatineet jäljempänä sanotulla päivämäärällä:

1. Keski-Uudenmaan hyvinvointialue (Y-tunnus), (jäljempänä ”HVA” tai Henkilötietojen Käsittelijä)

2. Hyvinkään kaupunki (Y-tunnus: 0125866-0)

3. Järvenpään kaupunki (Y-tunnus:0126541-4)

4. Mäntsälän kunta (Y-tunnus: 0129261-5)

5. Nurmijärven kunta (Y-tunnus: 9014643-2)

6. Pornaisten kunta (Y-tunnus: 0130095-3)

7. Tuusulan kunta (Y-tunnus: 0131661-3)

2-7 kohdassa mainitut jäljempänä erikseen myös ”Kunta” tai ”Rekisterinpitäjä” ja yhdessä ”Kunnat” tai ”Rekisterinpitäjät” sekä kaikki 1-7 kohdassa mainitut osapuolet jäljempänä erikseen myös ”Osapuoli” ja yhdessä ”Osapuolet”.

2. Määritelmät

Tässä Sopimuksessa käytetyillä käsitteillä "henkilötieto", "henkilötietojen käsittelijä", ”henkilötietojen käsittelyllä”, "rekisterinpitäjä", "rekisteröity" ja "tietoturvaloukkaus" on sama merkityssisältö kuin Tietosuojasääntelyn vastaavilla käsitteillä.

"Tietosuoja-asetus" tarkoittaa Euroopan unionin yleistä tietosuoja-asetusta 2016/679/EU.

"Tietosuojasääntely" tarkoittaa sovellettavia henkilötietojen suojaa koskevia säännöksiä, mukaan lukien lait, joilla on saatettu voimaan henkilötietodirektiivi 95/46/EU ja sähköisen viestinnän tietosuojadirektiivi 2002/58/EU sekä Tietosuoja-asetus sekä niiden muutoksia.

”Pääsopimus” tarkoittaa Keski-Uudenmaan sote-kuntayhtymän toiminnan avustamiseen ja sen purkamiseen liittyvistä jälkitoimenpiteistä solmittua sopimusta, jonka ovat allekirjoittaneet kaikki Osapuolet ja jonka liitteenä Tämä Sopimus on.

”Tämä Sopimus” tarkoittaa tätä sopimusta henkilötietojen käsittelystä.

3. Sopimuksen tausta, tarkoitus ja soveltamisjärjestys

Kunnat ovat olleet jäseninä Keski-Uudenmaan sote-kuntayhtymässä (Keusote), joka puretaan 1.5.2023 ja Keusoten henkilöstö on siirtynyt HVA:lle 1.1.2023 Pääsopimuksessa kuvatulla tavalla. Koska Keusote puretaan ja sen toiminta ja oikeushenkilöllisyys lakkaa, sen vastuut siirtyvät kuntalain 117 §:n ja Keusoten perussopimuksen 34 §:n perusteella Kunnille 1.5.2023 jälkeen. Myös Keusoten henkilörekistereihin tallennetut henkilötiedot ja niiden rekisterinpitäjyys siirtyy Kunnille 2.5.2023 alkaen.

Osapuolet ja Keusote ovat sopineet, että HVA ottaa hoitaakseen Keusoten toiminnasta aiheutuvat tai sen purun jälkeen Keusoten vastuulla olevat hoitamattomat tehtävät Kuntien puolesta. Tehtävien hoitaminen edellyttää HVA:lta myös Kuntien henkilörekistereihin kuuluvien henkilötietojen käsittelyä.

Tässä sopimuksessa määritellään Rekisterinpitäjiä ja Henkilötietojen Käsittelijää sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Henkilötietojen Käsittelijä käsittelee henkilötietoja Rekisterinpitäjien puolesta ja lukuun Pääsopimuksen mukaisia tehtäviä hoitaessaan.

HVA käsittelee Kuntien henkilötietoja ainoastaan Osapuolten Pääsopimuksen mukaisten tehtävien suorittamista varten. Tämä Sopimus muodostaa Osapuolten välille Tietosuoja- asetuksen mukaisen kirjallisen sopimuksen henkilötietojen käsittelystä.

Pääsopimuksen ehtoja, mukaan lukien sen lain valintaa ja riidanratkaisua koskevat ehdot, sovelletaan Tähän Sopimukseen. Jos Tämän Sopimuksen ja Osapuolten välisen Pääsopimuksen välillä on ristiriitaa, sovelletaan ensisijaisesti Tämän Sopimuksen määräyksiä.

4. Osapuolten roolit henkilötietojen käsittelyssä

Osapuolet ymmärtävät, että Rekisterinpitäjät saavat käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää voimassaolevan henkilötietojen käsittelyyn ja tietosuojaan liittyvän lainsäädännön vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu.

Henkilötietojen Käsittelijä käsittelee henkilötietoja Rekisterinpitäjien puolesta ja lukuun. Henkilötietojen Käsittelijän mahdollisesti käyttämät alihankkijat, jotka osallistuvat Rekisterinpitäjien henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Rekisterinpitäjien puolesta ja lukuun.

Rekisterinpitäjät sitoutuvat huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Henkilötietojen Käsittelijä sitoutuu noudattamaan henkilötietojen käsittelyä koskevia ehtoja ja kuvauksia. Rekisterinpitäjät vastaavat ohjeistuksen ylläpidosta ja saatavuudesta. Rekisterinpitäjät voivat päivittää ohjeita sopimuskauden kuluessa alla mainitulla tavalla.

5. Käsittelyn kuvaus

Henkilötietojen Käsittelijä käsittelee Rekisterinpitäjien puolesta seuraavia Rekisterinpitäjien henkilörekisteriin kuuluvia henkilötietoja:

5.1 Henkilötietojen tyypit ja rekisteröityjen ryhmä

• Rekisteröityjen ryhmät: Rekisterinpitäjien myyntisaamisista vastaavat velalliset ja/tai velallisten edustajat, ostovelkojen velkojat ja /tai velkojien edustajat, vireillä oleviin oikeudenkäynteihin liittyvät henkilöt (sekä Rekisterinpitäjien edustajat että oikeudenkäyntien vastapuolet, myötäpuolet, todistajat ja muut mahdolliset oikeudenkäyntiin liittyvät henkilöt, joiden tietojen käsittely on välttämätöntä oikeudenkäyntiin liittyen), sellaiset palkkaharmonisaation käsittelyyn liittyvät henkilöt, joiden henkilötietoja on välttämätöntä käsitellä palkkaharmonisaation yhteydessä

• Henkilötietojen tyypit: velallisten ja velkojien ja/tai velallisten ja velkojien edustajien nimi-, yhteys- ja yksilöintitiedot, asemaan oikeudenkäynnissä liittyvät tiedot, palkkaharmonisaatiossa tarvittavat tiedot

5.2 Käsittelyn luonne ja tarkoitus

• Osapuolet ovat sopineet, että Henkilötietojen Käsittelijä käsittelee edellä kuvattujen rekisteröityjen tietoja myyntisaamisten perimiseksi, ostovelkojen hoitamiseksi, puhevallan käyttämiseksi oikeudenkäynneissä ja puhevallan käyttämiseksi palkkaharmonisaatioasiassa.

5.3 Henkilötietojen käsittelyn kesto

• Henkilötietojen Käsittelijä käsittelee Tässä Sopimuksessa yksilöityjä henkilötietoja ainoastaan sen ajan, mikä on tarpeellista Pääsopimuksen mukaisten tehtävien hoitamiseksi. Kun yksittäisen rekisteröidyn henkilötietoja ei ole tarpeellista käsitellä, Henkilötietojen Käsittelijä poistaa mahdolliset olemassa olevat jäljennökset kohdassa 9 kuvatulla tavalla.

6. Alihankkijat, jotka käsittelevät henkilötietoja

Siltä osin kuin Henkilötietojen Käsittelijä käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan vähintään Tässä Sopimuksessa kuvattuja ehtoja.

Henkilötietojen Käsittelijä ja sen alihankkijat, jotka henkilötietojen käsittelijöinä käsittelevät Rekisterinpitäjien henkilötietoja Rekisterinpitäjien puolesta ja lukuun, sitoutuvat kaikki tässä sopimuksessa kuvattuihin henkilötietojen käsittelijää koskeviin velvollisuuksiin.

Henkilötietojen Käsittelijällä on velvollisuus sopimuksilla sitouttaa käyttämänsä alihankkijat noudattamaan tämän sopimuksen ehtoja.

Rekisterinpitäjät antavat Henkilötietojen Käsittelijälle Tämän Sopimuksen allekirjoituksella yleisen ennakkoluvan alihankkijoiden käyttämiseen henkilötietojen käsittelyssä.

Henkilötietojen Käsittelijä on vastuussa mahdollisista sen henkilötietoja käsittelevien alihankkijoiden Tämän Sopimuksen tai sovellettavan lainsäädännön tai Tietosuoja- asetuksen rikkomisista tai laiminlyönneistä kuin omistaan. Xxx xxxxxxxxxxx, eli Henkilötietojen Käsittelijän käyttämä henkilötietojen alikäsittelijä, ei täytä tietosuojavelvoitteitaan, Henkilötietojen Käsittelijä on edelleen täysimääräisesti vastuussa tällaisen alihankkijan velvoitteiden suorittamisesta suhteessa Rekisterinpitäjiin.

7. Henkilötietojen käsittelijän yleiset velvollisuudet

Henkilötietojen Käsittelijä käsittelee henkilötietoja ainoastaan tämän henkilötietojen käsittelysopimuksen ja Rekisterinpitäjien antamien ohjeiden mukaisesti. Henkilötietojen Käsittelijä ei käsittele eikä muulla tavoin hyödynnä Pääsopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin Pääsopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

Henkilötietojen Käsittelijä sitoutuu varmistamaan, että kaikki henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

Henkilötietojen Käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi alan vakiintuneiden käytäntöjen mukaiset ja objektiivisesti katsoen asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit ja noudattamaan Rekisterinpitäjien ohjeita ja mahdollisia Rekisterinpitäjien ohjeiden päivityksiä.

Henkilötietojen Käsittelijä sitoutuu viipymättä ilmoittamaan Rekisterinpitäjille kaikista Rekisteröityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä Tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä.

Henkilötietojen Käsittelijä avustaa Rekisterinpitäjiä tarvittaessa tietosuojaan liittyvien auditointien, rekisteröityjen pyyntöjen ja tietosuojan vaikutustenarviointien toteuttamisessa, jotta Rekisterinpitäjät pystyvät täyttämään velvollisuutensa vastata näihin pyyntöihin.

Rekisterinpitäjien henkilötietojen käsittelyn tulee tapahtua EU/ETA-alueen sisäpuolella.

8. Tietoturvaloukkaukset

Tietoturvaloukkauksella tarkoitetaan sellaista tietoturvaan kohdistuvaa loukkausta, josta seuraa siirrettyjen, tallennettujen tai muuten Osapuolten välisen Pääsopimuksen nojalla käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Henkilötietojen Käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta sille Rekisterinpitäjälle, jonka henkilötietoja tietoturvaloukkaus koskee, ilman aiheetonta viivytystä saatuaan sen tietoonsa ja viimeistään 48 tunnin sisällä tällaisen tietoturvaloukkauksen havaitsemisesta.

Henkilötietojen Käsittelijän on annettava kirjallisesti kyseessä olevalle Rekisterinpitäjälle vähintään seuraavat tiedot tietoturvaloukkausta koskien:

1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;

3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

4) kuvattava toimenpiteet, joita Henkilötietojen Käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Mikäli kaikkia edellä mainittuja tietoja ei ole mahdollista toimittaa samanaikaisesti, voidaan tiedot toimittaa vaiheittain ilman aiheetonta viivytystä.

Henkilötietojen tietoturvaloukkauksen havaittuaan Henkilötietojen Käsittelijän tulee ryhtyä viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi sekä vastaavan ehkäisemiseksi tulevaisuudessa.

9. Auditointi

Rekisterinpitäjillä on jokaisella oikeus auditoida Henkilötietojen Käsittelijän Henkilötietojen käsittelyyn liittyviä toimenpiteitä varmistuakseen siitä, että Henkilötietojen Käsittelijä on täyttänyt Tämän Sopimuksen mukaiset velvollisuutensa kerran Tämän Sopimuksen voimassaoloaikana, ellei jollakin Rekisterinpitäjällä ole perusteltuja syitä auditoinnin suorittamiseen useammin. Auditoijan tulee olla riippumaton kolmas osapuoli, jolla on riittävä asiantuntemus ja kokemus auditoinnista ja joka ei ole Henkilötietojen käsittelijän kilpailija. Auditoijan tulee sitoutua Henkilötietojen Käsittelijän edellyttämään salassapitovelvollisuuteen.

Auditointia vaatinut/vaatineet Rekisterinpitäjä(t) vastaa auditoinnista aiheutuneista kuluista ja kustannuksista sekä kolmannen osapuolen palkkiosta.

10. Muita vaatimuksia

Rekisterinpitäjillä on oikeus muuttaa, täydentää ja päivittää Henkilötietojen Käsittelijälle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Nämä ohjeet voivat olla henkilötietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia, täydennyksiä tai päivityksiä. Henkilötietojen Käsittelijä ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan näitä muutettuja, täydennettyjä tai päivitettyjä ohjeita.

Pääsopimuksen voimassaoloaikana Henkilötietojen Käsittelijä ei saa poistaa Rekisterinpitäjien lukuun käsittelemiään henkilötietoja ilman Rekisterinpitäjän nimenomaista pyyntöä. Edellä kohdassa 5.3. on määritelty yksittäisen Rekisteröidyn Henkilötietojen käsittelyn osalta käsittelyn kestoaika.

Yksittäisen Rekisteröidyn Henkilötietojen käsittelyn kestoajan päättyessä, tai Pääsopimuksen päättyessä tai purkautuessa Henkilötietojen Käsittelijä palauttaa Rekisterinpitäjille kaikki Rekisterinpitäjien puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole erikseen kirjallisesti sovittu.

Jos Osapuoli on maksanut rekisteröidylle korvauksen tietosuojasääntelyn rikkomisen johdosta aiheutuneesta vahingosta, on tällä Osapuolella oikeus sovittujen vastuunrajoitusten rajoittamatta periä samaan tietojenkäsittelyyn osallistuneelta toiselta Osapuolelta tämän vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Osapuolen vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan

Jos Tietosuojasääntelyyn tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Rekisterinpitäjien asemaan tai velvollisuuksiin tai Tässä Sopimuksessa määriteltyihin velvollisuuksiin tai vastuisiin, Tätä Sopimusta voidaan tarvittaessa niiltä osin tarkistaa. Henkilötietojen Käsittelijä ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan kyseistä tarkistettua henkilötietojen käsittelysopimusta.

11. Voimassaolo

Tämä sopimus on voimassa Pääsopimuksen voimassaoloajan.

12. Allekirjoitukset

Tätä Sopimusta on laadittu seitsemän (7) samasanaista kappaletta, yksi (1) jokaiselle Osapuolelle.

XX,    . päivänä xkuuta 2022

Keski-Uudenmaan hyvinvointialue

[nimi] [asema]

Hyvinkään kaupunki

[nimi] [asema]

Järvenpään kaupunki

[nimi]

[asema]

Mäntsälän kunta

[nimi] [asema]

Nurmijärven kunta

[nimi] [asema]

Pornaisten kunta

[nimi] [asema]

Tuusulan kunta

[nimi] [asema]