Henkilötietojen käsittelyn ehdot
Henkilötietojen käsittelyn ehdot
1. Yleistä
1.1. Nämä Henkilötietojen käsittelyn ehdot (jäljempänä myös ”ehdot”) liitetään osaksi Pohjois-Karjalan hyvinvointialueen (jäljempänä ”Tilaajan”) ja Palveluntuottajan välistä sopimusta silloin, kun Palveluntuottaja käsittelee henkilötietoja Xxxxxxxx lukuun. Ehtoja sovelletaan myös palvelusetelipalvelujen tuottajaksi hakeutuvien palveluntuottajien osalta (jäljempänä ”Palveluntuottaja”).
1.2. Ehtoja sovelletaan liitteessä 1 Henkilötietojen käsittelytoimien kuvaus (jäljempänä ”liite 1”) tai muussa vastaavassa henkilötietojen käsittelytoimien kuvauksessa kuvattuun henkilötietojen käsittelyyn. Liite 1 tai muu vastaava kuvaus on erottamaton osa näitä ehtoja, ja siinä kuvataan henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät.
1.3. Tilaaja ja Palveluntuottaja (jäljempänä myös ”osapuolet”) sitoutuvat noudattamaan EU:n yleistä tietosuoja- asetusta (EU) 2016/679, muuta tietosuojaan liittyvää lainsäädäntöä sekä toiminnassaan soveltuvaa voimassa olevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä.
1.4. Palveluntuottaja vastaa itse kaikista kustannuksista, joita sille aiheutuu näiden ehtojen noudattamisesta.
2. Osapuolten roolit henkilötietojen käsittelyssä
2.1. Käsiteltäessä henkilötietoja Tilaaja on rekisterinpitäjä ja Palveluntuottaja on henkilötietojen käsittelijä, ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vastaa rekisterinpitäjänä. Ryhmittymän (Palveluntuottajien yhteistyö hankintasopimuksen saamiseksi) toimiessa henkilötietojen käsittelijänä näiden ehtojen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
3. Palveluntuottajan yleiset velvollisuudet
3.1. Palveluntuottaja sitoutuu noudattamaan näitä ehtoja, täydentämään omalta osaltaan liitteenä olevan Henkilötietojen käsittelytoimien kuvauksen ja käsittelemään Xxxxxxxx henkilötietoja kuvauksen mukaisesti. Palveluntuottaja ei käsittele muussa käyttötarkoituksessa eikä muulla tavoin hyödynnä käsittelemiään Tilaajan henkilötietoja. Tilaajalla on oikeus määrätä keskeyttämään henkilötietojen käsittely, jos Palveluntuottaja rikkoo näiden ehtojen mukaisia velvoitteitaan.
3.2. Palveluntuottaja sitoutuu noudattamaan Tilaajan antamia erillisiä ohjeita. Tilaaja vastaa ohjeiden saatavuudesta ja ylläpidosta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvastaisiksi. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita.
3.3. Palveluntuottaja sitoutuu pitämään salassa ja käsittelemään huolellisesti Tilaajalta saamansa salassa pidettävät henkilötiedot. Palveluntuottaja vastaa siitä, etteivät sivulliset pääse käsiksi henkilötietoihin.
3.4. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta ja käsittelemään Xxxxxxxx henkilötietoja vain heidän työtehtäviensä edellyttämässä laajuudessa ja työtehtävän mukaisessa käyttötarkoituksessa. Henkilöiden tulee olla tietoisia henkilötietojen käsittelyyn liittyvistä velvoitteista, ja he käsittelevät henkilötietoja ainoastaan näiden ehtojen ja Tilaajan antamien erillisien ohjeiden mukaisesti.
3.5. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen henkilötietojen lainmukaisen käsittelyn tuottamassaan palvelussa sekä käsittelyssä käytettävien tietojärjestelmien luottamuksellisuuden, eheyden, saatavuuden ja vikasietoisuuden. Poikkeuksena tähän on tilanne, jossa Palveluntuottaja toimii Tilaajan tiloissa ja käyttää Tilaajan tietojärjestelmää Tilaajan henkilötietojen käsittelyssä. Tällöin vastuu asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta on Tilaajalla.
3.6. Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Rekisteröityjen pyynnöt voivat koskea esimerkiksi rekisteröidyn oikeutta saada tutustua omiin tietoihin tai vaatia tietojen oikaisemista tai poistamista. Palveluntuottaja ei itse vastaa näihin pyyntöihin vaan avustaa Tilaajaa, jotta Xxxxxxx pystyy täyttämään velvollisuutensa pyyntöjen käsittelyssä.
3.7. Palveluntuottaja sitoutuu toimittamaan Tilaajalle tämän pyynnöstä kaikki tiedot, jotka Xxxxxxx tarvitsee täyttääkseen rekisterinpitäjälle asetetut velvoitteet sekä tiedot, joilla Palveluntuottaja osoittaa Tilaajalle noudattavansa henkilötietojen käsittelijän velvollisuuksia.
3.8. Palveluntuottaja sitoutuu osallistumaan Tilaajan pyynnöstä Tilaajan vastuulla olevien kuvausten ja muiden dokumenttien, kuten tietosuojaa koskevan vaikutustenarvioinnin laatimiseen ja ylläpitämiseen sekä EU:n yleisen tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen.
3.9. Palveluntuottaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset, sitoutuu osallistumaan niihin sekä korjaamaan tarkastuksessa havaitut puutteet viivytyksettä.
3.10. Palveluntuottaja sitoutuu vastaamaan ilman aiheetonta viivytystä Tilaajalta tulleisiin tietosuojaa koskeviin yhteydenottoihin. Palveluntuottajan tulee nimetä tietosuojavastaava tai tietosuojasta vastaava yhteyshenkilö Tilaajan tietosuojaa koskevia yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti yhteyshenkilön yhteystiedot Tilaajalle.
4. Palveluntuottajan alihankkijat, jotka käsittelevät Tilaajan henkilötietoja
4.1. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palveluntuottaja sitoutuu huolehtimaan siitä, että näitä ehtoja noudatetaan myös käytettäessä alihankkijoita Xxxxxxxx henkilötietojen
käsittelyyn. Palveluntuottaja ilmoittaa Tilaajalle ehtojen hyväksymishetkellä käyttämänsä alihankkijat liitteessä 1, muussa vastaavassa kuvauksessa tai sopimusdokumentaation muussa liitteessä.
4.2. Palveluntuottaja tekee alihankkijoidensa kanssa kirjallisen sopimuksen, jossa se sitouttaa alihankkijat noudattamaan Palveluntuottajalle asetettuja velvoitteita sekä Tilaajan antamia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että ehtojen mukainen Tilaajan tarkastusoikeus voidaan ulottaa alihankkijaan.
4.3. Palveluntuottaja sitoutuu ilmoittamaan Tilaajalle etukäteen alihankkijan vaihtamisesta. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa. Tilaajalla on oikeus vaatia jo aiemmin ilmoitetun alihankkijan vaihtamista perustellusta syystä.
5. Henkilötietojen siirrot
5.1. Palveluntuottajalla on oikeus käsitellä Tilaajan henkilötietoja ainoastaan Euroopan unionin jäsenvaltioiden alueella ja Euroopan talousalueella. Henkilötietojen käsittelyllä tarkoitetaan myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
5.2. Palveluntuottaja ei saa siirtää Tilaajan henkilötietoja Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ilman Tilaajan antamaa kirjallista lupaa. Mikäli Tilaaja antaa kirjallisen luvan, henkilötietojen siirtäminen voidaan toteuttaa tietosuoja-asetuksen mukaisella siirtoperusteella sekä toteuttaen tarvittavat asianmukaiset siirron lisäsuojatoimenpiteet.
6. Henkilötietojen tietoturvaloukkaukset
6.1. Palveluntuottajan on ilmoitettava kirjallisesti Tilaajalle tietoonsa tulleesta tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Palveluntuottaja sitoutuu ilmoittamaan Tilaajalle muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
6.2. Palveluntuottajan on avustettava Tilaajaa, jotta Tilaaja pystyy täyttämään velvollisuutensa tietoturvaloukkausten dokumentoinnista sekä ilmoittamisesta valvontaviranomaiselle ja/tai rekisteröidyille. Palveluntuottajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:
I. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
II. tietosuojavastaavan tai muun tietosuojasta vastaavan vastuuhenkilön nimi ja yhteystiedot, jolta voi saada tapahtuneesta lisätietoja;
III. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
IV. kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
6.3. Palveluntuottajan on ryhdyttävä tietoturvaloukkauksen havaittuaan viipymättä toimenpiteisiin tietoturvaloukkauksen seurauksien ja haittavaikutusten lieventämiseksi ja syyn korjaamiseksi.
7. Henkilötietojen käsittelyn päättyminen
7.1. Palveluntuottaja ei saa poistaa tai hävittää Xxxxxxxx lukuun käsiteltäviä henkilötietoja ilman Xxxxxxxx nimenomaista pyyntöä.
7.2. Palveluntuottaja toimittaa ilman erillistä korvausta Tilaajalle kaikki Tilaajan puolesta käsitellyt ja palvelussa muodostuneet henkilötiedot. Kun kaikki tiedot on toimitettu Tilaajalle, Palveluntuottaja hävittää tiedot palvelun aikana käyttämistään tietojärjestelmistä ja/tai paperilla olevat kopiot. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot.
7.3. Palveluntuottajaa sitoo salassapitovelvollisuus pysyvästi Tilaajan henkilötietojen osalta.
8. Vahingonkorvausvelvollisuus
8.1. Jos palveluntuottajan rikkoo näiden ehtojen mukaisia velvollisuuksiaan tai toimii EU:n yleisen tietosuoja- asetuksen, muun tietosuojalainsäädännön tai Tilaajan ohjeiden vastaisesti, ja tästä aiheutuu Tilaajalle tai rekisteröidylle aineellista tai aineetonta vahinkoa, on Palveluntuottaja velvollinen korvaamaan kyseisen vahingon täysimääräisesti.
8.2. Palveluntuottajan ja Xxxxxxxx vastuut ja vahingonkorvausvelvollisuudet rekisteröidylle aiheutuneesta vahingosta määräytyvät EU:n yleisen tietosuoja-asetuksen 82 artiklan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan.
Liite 1: Henkilötietojen käsittelytoimien kuvaus
Tätä henkilötietojen käsittelytoimien kuvausta käytetään ensisijaisesti Pohjois-Karjalan hyvinvointialueen henkilötietojen käsittelyn ehtojen liitteenä, jossa Tilaaja määrittelee henkilötietojen käsittelytilanteeseen soveltuvat tiedot.
Käsittelytoimien kuvauksen voi laatia myös käyttäen muuta vastaavaa henkilötietojen käsittelytoimien kuvausta, josta käyvät ilmi vastaavat henkilötietojen käsittelytilanteeseen soveltuvat tiedot eli henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät.
1. Osapuolet
Tilaaja (rekisterinpitäjä)
Pohjois-Karjalan hyvinvointialue - Siun sote Tikkamäentie 16
80210 Joensuu
puh. 013 3300 (vaihde)
Tilaajan yhteyshenkilö Rekisterinpitäjän tietosuojavastaavat
Titteli ja nimi: xxxxxxxxxx@xxxxxxxx.xx
Palvelujohtaja Xxxxx Xxxxx
Henkilötietojen käsittely - xxxxxxxx.xx
Puhelinnumero:
013 330 7134
Sähköpostiosoite:
Palveluntuottaja (henkilötietojen käsittelijä)
Palveluntuottajan tiedot Palveluntuottajan tietosuojavastaava
Nimi ja yhteyshenkilö: Nimi:
Osoite: Yhteystiedot (vähintään puhelinnumero ja/tai sähköpostiosoite):
Postinumero ja -toimipaikka:
Puhelinnumero:
Y-tunnus:
2. Henkilötietojen käsittelyn tarkoitus
Palveluntuottajan käsittelemien Tilaajan henkilötietojen käsittelytarkoituksena on:
3. Käsiteltävät henkilötiedot
Palveluntuottaja käsittelee seuraavia Xxxxxxxx henkilöstöön liittyviä henkilötietojen tyyppejä:
Yksilöintitiedot kuten nimi, henkilötunnus, henkilönumero
Yhteystiedot kuten postiosoite, puhelinnumero, sähköpostiosoite
Palvelussuhdetiedot kuten tehtävänimike, työyksikkö, rekrytointi, työhistoria, arvioinnit, kehityskeskustelut, koulutus
Palkanmaksutiedot kuten palkka, tilinumero, verokortti, työ- ja opintotodistukset, poissaolot
Terveyteen liittyvät tiedot Ammattiliiton jäsenyys
Tekniset tunnisteet kuten käyttäjätunnus, IP- osoite, päätelaitetiedot, sijainti
Lokitiedot kuten järjestelmä- ja sovelluslokitiedot, kirjautumis- ja käyttöloki
Henkilöiden itse tuottama sisältö kuten viestit, kuvat, tiedostot
Muu, mikä:
Palveluntuottaja käsittelee seuraavia Tilaajan asiakkaisiin/potilaisiin liittyviä henkilötietojen tyyppejä:
Yksilöintitiedot kuten nimi, henkilötunnus, asiakas- tai potilasnumero
Yhteystiedot kuten postiosoite, puhelinnumero, sähköpostiosoite
Asiakasmaksutiedot kuten hoito- ja palvelumaksut, maksukattotiedot
Sosiaalihuollon asiakastiedot
Terveydenhuollon potilastiedot Geneettiset ja biometriset tiedot
Henkilöiden itse tuottama hyvinvointitieto
Henkilöiden itse tuottama sisältö kuten viestit, kuvat, tiedostot
Tekniset tunnisteet kuten käyttäjätunnus, IP- osoite, päätelaitetiedot, sijainti
Lokitiedot kuten järjestelmä- ja sovelluslokitiedot, kirjautumis- ja käyttöloki
Muu, mikä:
Palveluntuottaja käsittelee Xxxxxxxx muuta kuin edellä mainittua (henkilöstö/asiakkaat/potilaat) rekisteröityjen ryhmää, mitä:
ja siihen liittyviä henkilötietojen tyyppejä, mitä:
4. Tietojen siirto EU:n tai ETA:n ulkopuolelle
Tilaaja ei myönnä lupaa Palveluntuottajalle siirtää Tilaajan henkilötietoja EU:n tai ETA:n ulkopuolelle. Tilaaja myöntää luvan Palveluntuottajalle siirtää Tilaajan henkilötietoja EU:n tai ETA:n ulkopuolelle.
Palveluntuottaja siirtää tietoja seuraaviin EU:n tai ETA:n ulkopuolella sijaitseviin maihin ja sitoutuu
käyttämään seuraavia Tilaajan määrittelemiä tiedon siirron perusteita ja suojatoimia: (tähän kirjataan Tilaajan ja Palveluntuottajan välinen sopimus tietojen siirrosta sekä siihen liittyvät mahdolliset lisätiedot)
5. Palveluntuottajan alihankkijat
Palveluntuottaja ei käytä alihankkijoita Tilaajan henkilötietojen käsittelyssä.
Palveluntuottaja käyttää seuraavia ilmoittamiaan alihankkijoita Tilaajan henkilötietojen käsittelyssä:
Palveluntuottaja täydentää esim. järjestelmätoimittajan tiedot tähän.
Alihankkijan nimi ja Y-tunnus, sijainti (yksilöidään maa), kuvaus kuinka alihankkija osallistuu henkilötietojen käsittelyyn
6. Tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyssä
Palveluntuottaja toimii Tilaajan tiloissa ja käyttää Tilaajan tietojärjestelmää Tilaajan henkilötietojen käsittelyssä. Tilaaja vastaa asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta.
Palveluntuottaja vastaa asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta.
Palveluntuottaja sitoutuu toteuttamaan seuraavia toimenpiteitä varmistaakseen henkilötietojen lainmukaisen käsittelyn tuottamassaan palvelussa sekä käsittelyssä käytettävien tietojärjestelmien luottamuksellisuuden, eheyden, saatavuuden ja vikasietoisuuden: (tähän kuvaus yleisellä tasolla edellä mainituista asioista)
Palveluntuottaja sitoutuu toimittamaan Tilaajalle seuraavat tietosuojaan ja tietoturvaan liittyvät kuvaukset, joista toimenpiteiden yleiskuvaus käy ilmi: (viittaus Tilaajalle toimitettaviin kuvauksiin,
joita voivat olla esimerkiksi Palveluntuottajan tietoturvapolitiikka, tietosuojaseloste tai muu tietoturva- tai tietosuojakuvaus)
Palveluntuottaja toimittaa erillisen kuvauksen.