YHTEISTYÖSOPIMUS KUNTOUTTAVAN TYÖTOIMINNAN JÄRJESTÄMISESTÄ
YHTEISTYÖSOPIMUS KUNTOUTTAVAN TYÖTOIMINNAN JÄRJESTÄMISESTÄ
Pohjois-Savon hyvinvointialueen työikäisten sosiaalipalvelut (jäljempänä hyvinvointialue) ja
(jäljempänä kunta) ovat sopineet kuntouttavasta työtoiminnasta annetussa laissa (189/2001) tarkoitettujen palvelujen järjestämisestä seuraavaa:
1. Sopimuksen tarkoitus
Sopimus koskee kuntouttavasta työtoiminnasta annetun lain (189/2001) mukaisen kuntouttavan työtoiminnan (jäljempänä työtoiminta) järjestämistä kunnan tarjoamassa toimintayksikössä niille henkilöille, joille hyvinvointialue kuntouttavaa työtoimintaa koskevan lain perusteella tehdyn aktivointisuunnitelman tai monialaisen työllistymissuunnitelman mukaisesti on velvollinen sitä järjestämään.
2. Sopimuksen sisältö
Hyvinvointialue saa tämän sopimuksen perusteella sijoittaa kuntouttavan työtoiminnan asiakkaitaan kunnan osoittamiin toimintayksiköihin. Kunta ei osallistu kuntouttavan työtoiminnan palvelun tuottamiseen. Asiakkaiden sijoittaminen kunnan tarjoamaan toimintaympäristöön perustuu erillisiin asiakaskohtaisiin sopimuksiin.
3. Vastuut
Kunta huolehtii siitä, ettei sen toimintayksikössä tapahtuva toiminta korvaa palveluksessa olevaa työsuhteista työtä eikä aiheuta työntekijöiden irtisanomisia tai lomauttamisia eikä heidän työolosuhteidensa tai etuisuuksiensa huonontumista.
Kunta huolehtii sen toimintayksikköön sijoitettavan henkilön perehdyttämisestä toimintayksikön toimintatapoihin, ohjeistuksiin ja sääntöihin. Kunta huolehtii työturvallisuudesta sekä työturvallisuusmääräysten (Työturvallisuuslaki 738/2002) noudattamisesta.
Hyvinvointialue on ottanut lakisääteisen tapaturmavakuutuksen työtoimintaan osallistuville asiakkaille.
Hyvinvointialueelle voimassa olevan oikeuden mukaan mahdollisesti tuleva korvausvelvollisuus avotyöntekijän aiheuttamista vahingoista on katettu Hyvinvointialueen toiminnan vastuuvakuutuksen kautta.
4. Palvelun hinta ja korvausten maksaminen
Hyvinvointialue ei maksa korvausta kunnalle tämän sopimuksen mukaisten toimintaympäristöjen tarjoamisesta hyvinvointialueen käyttöön.
5. Salassapito ja tietojen antaminen
Kunta sitoutuu salassapitoon työtoiminnan asiakkaan tietoja käsitellessä (Liite 1). Kaikki asiakasta koskevat tiedot ovat luottamuksellisia eikä niitä luovuteta kolmannelle osapuolelle ilman asianomaisen henkilön lupaa. Työtoimintaan osallistuvaa asiakasta koskevat tiedot säilytetään asianmukaisesti tietosuojaa turvaten.
Kunta sitoutuu noudattamaan tietoturva- ja tietosuojaehtoja henkilötietojen käsittelyssä.
6. Sopimuksen voimassaoloaika
Sopimus on voimassa toistaiseksi. Molemmat osapuolet voivat irtisanoa sopimuksen kolmen kuukauden irtisanomisajalla.
Pohjois-Savon hyvinvointialue Kunta/ kaupunki
Päivämäärä ja paikka Päivämäärä ja paikka
Allekirjoitus Allekirjoitus
Nimen selvennys ja nimike Nimen selvennys ja nimike
LIITTEET:
Liite 1. Tietosuoja- ja tietoturvaehdot
Tietosuoja- ja tietoturvaehdot
Liite
Sisällys
2 Osapuolten roolit henkilötietojen käsittelyssä 3
3 Palveluntuottajan yleiset velvollisuudet 3
6 Alihankkijat, jotka käsittelevät henkilötietoja 6
8 Henkilötietojen tietoturvaloukkaukset 6
10 Henkilötietojen käsittelyn päättyminen 8
1 Yleistä
Tämä sopimusliite ”Tietosuoja- ja tietoturvaehdot ”on osa seuraavien sopijapuolten, Pohjois- Savon hyvinvointialueen (”Tilaaja”) ja kunta (”Palveluntuottaja”) välistä sopimusta (yhteis- työsopimus kuntouttavan työtoiminnan järjestämisestä), (”Sopimus”), jonka Xxxxxxx on tehnyt Palveluntuottajan kanssa.
Tässä sopimusliitteessä määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palveluntuottaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta sekä toimii tuottaessaan Sopimuk- sessa kuvattua palvelua. Näissä ehdoissa kuvatuista Palveluntuottajan toimenpiteistä ja vel- vollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.
Palveluntuottaja noudattaa tietosuojaa, tietoturvaa ja tiedonhallintaa koskevaa lainsäädäntöä sekä voimassa olevan tietosuojalainsäädännön edellyttämiä menettelytapoja ja henkilötieto- jen käsittelyä ja suojaamista koskevia säännöksiä. Palveluntuottaja vastaa siitä, että palvelu on kulloinkin voimassa olevan lainsäädännön ja sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.
Jos sopijapuoli on maksanut rekisteröidylle korvauksen tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, on tällä sopijapuolella oikeus sovittujen vastuunrajoitus- ten rajoittamatta periä samaan tietojenkäsittelyyn osallistuneelta toiselta sopijapuolelta tämän vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Sopija- puolen vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy EU:n yleisen tietosuoja- asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan.
2 Osapuolten roolit henkilötietojen käsittelyssä
Käsiteltäessä henkilötietoja Tilaaja on rekisterinpitäjä ja Palveluntuottaja on henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vastaa rekisterinpitäjänä.
Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröity- jen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan näiden eh- tojen liitteessä 1 olevassa Käsittelytoimien kuvauksessa tai muussa Xxxxxxxx ohjeistuksessa. Palveluntuottaja sitoutuu noudattamaan Sopimuksessa, käsittelytoimien kuvauksessa ja näi- den ehtojen liitteessä 2 olevassa ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa oh- jeistuksen ylläpidosta ja saatavuudesta.
Jos Käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Palveluntuottajan kanssa.
3 Palveluntuottajan yleiset velvollisuudet
Palveluntuottaja noudattaa tietosuojaa, tietoturvaa ja tiedonhallintaa koskevaa lainsäädäntöä sekä voimassa olevan tietosuojalainsäädännön edellyttämiä menettelytapoja ja henkilötieto- jen käsittelyä ja suojaamista koskevia säännöksiä. Palveluntuottaja vastaa siitä, että palvelu
on kulloinkin voimassa olevan lainsäädännön ja sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.
Palveluntuottaja käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjeiden mukai- sesti. Ryhmittymän (Palveluntuottajien yhteenliittymä hankintasopimuksessa) ollessa Käsitteli- jänä tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se var- mistaa, että Tilaajan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukai- nen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.
Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemi- ään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuu- dessa.
Palveluntuottaja nimeää tietosuojavastaavan tai muun tietosuojayhteyshenkilön Tilaajan hen- kilötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tietosuojavas- taavan tai yhteyshenkilön yhteystiedot Tilaajalle.
Palveluntuottaja saattaa Tilaajan saataville tämän pyynnöstä kaikki tiedot, jotka Tilaaja tarvit- see rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoit- tamista varten, ja osallistuu pyydettäessä sovitulla tavalla Xxxxxxxx vastuulla olevien kuvaus- ten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Palveluntuottaja tekee nämä tehtävät sopimuksen mukaisilla hinnoilla, ellei toisin sovita. Palveluntuottaja sitoutuu vastaamaan ilman aiheetonta viivytystä Tilaajan tietosuojaa koskeviin ilmoituksiin, reklamaati- oihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tietoturva- loukkaukset, joihin sovelletaan tässä liitteessä määritettyjä määräaikoja.
Palveluntuottajan on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa (esimerkiksi csv, xml ja xls (s)) tul- kintaohjeineen, että ne voidaan automaattisesti irrottaa järjestelmästä siirrettäväksi toiseen järjestelmään.
Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koske- vat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Pal- veluntuottaja avustaa Tilaajaa, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Palveluntuottajalta esimerkiksi avustamista rekiste- röidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henki- lötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekis- teröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen.
Palveluntuottajalla on oltava valmius asettaa ja hallinnoida tietojen luovutuksia koskevia rajoi- tuksia, jollaisia voi aiheutua esimerkiksi väestötietolain mukaisesta rekisteröidyn turvakiel- losta. Palveluntuottaja tulee pystyä rajoittamaan rekisteröidyn henkilötietojen käsittelyä osit- tain tai kokonaan Tilaajan vaatimalla tavalla. Rekisteröidyn henkilötietojen rajoittaminen ei saa
johtaa muiden rekisterissä olevien luonnollisten henkilöiden henkilötietojen rajoittamiseen, xxxxx Xxxxxxxx ja Palveluntuottajan kesken kirjallisesti toisin sovita.
Osapuolet ymmärtävät, että Sopimusta ja tätä sopimusliitettä tehtäessä tietosuojaa koskeva lainsäädäntö ja sen tulkinta ovat muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Tilaajan asemaan tai velvollisuuksiin tai tässä sopimusliitteessä määriteltyihin velvollisuuksiin tai vastuisiin, tätä sopimusliitettä voidaan tarvittaessa niiltä osin tarkistaa. Jos tähän sopimus- liitteeseen tehdään sellaisia muutoksia, joista aiheutuu Palveluntuottajalle olennaisia lisäkus- tannuksia (yli kaksi (2) henkilötyöpäivää), niiden korvaamisesta on sovittava Xxxxxxxx ja Palve- luntuottajan kesken erikseen kirjallisesti etukäteen ennen muutoksiin ryhtymistä. Palveluntuot- taja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan kyseistä tarkistettua sopimus- liitettä.
Palveluntuottaja vastaa siitä, että Palvelu tuotetaan Tilaajan tietoturvapolitiikan ja -periaattei- den mukaisesti, esimerkiksi virustorjunnan sekä tietoturvapäivitysten osalta, tai muulla Tilaa- jan hyväksymällä tavalla. Tilaaja ohjeistaa tarvittaessa tietoturvaperiaatteiden toteuttamista.
Palveluntuottaja sitoutuu pitämään salassa kaikki Tilaajalta saamansa lain mukaan salassa pidettävät tai muuten luottamukselliset tiedot. Palveluntuottaja sitoutuu käsittelemään salassa pidettäviä tai muuten luottamuksellisia tietoja vain Palvelun tuottamisen vaatimassa laajuu- dessa. Palveluntuottaja antaa pääsyn näihin tietoihin vain Palvelun tuottamiseen osallistuville henkilöille. Palveluntuottaja sitoutuu kouluttamaan Palvelun tuottamiseen osallistuvia henki- löitä tiedon turvalliseen käsittelyyn.
Tiedon antamisesta asiakirjasta, joka on saatu Tilaajalta tai laadittu Tilaajan toimeksiantoteh- tävää suoritettaessa, päättää Tilaaja, jollei toimeksiannosta muuta johdu.
Palveluntuottaja vastaa siitä, ettei Tilaajan tietojen, kohteiden tai toiminnan turvallisuus vaa- rannu Palveluntuottajan henkilöstön huolimattomuuden, virheellisten työtapojen tai muun tä- män liitteen tai Sopimuksen vastaisen toiminnan johdosta.
4 Tilaajan ohjeet
Palveluntuottaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä Sopimuksessa ja näissä eri- tyisehdoissa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpi- dosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvastaisiksi.
Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötieto- jen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan so- pimuksen mukaisessa muutoshallintamenettelyssä.
5 Palveluhenkilöstö
Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus kä- sitellä Tilaajan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassa- pitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.
Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Ti- laajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsit- telee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Tilaajan ohjeiden mukaisesti.
6 Alihankkijat, jotka käsittelevät henkilötietoja
Siltä osin kuin Palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilö- tietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja. Toimittajan tulee huolehtia siitä, että se pystyy noudattamaan tätä liitettä myös käyttäessään alihankkijoita.
Xxx Xxxxxxxxxxxxxxxxx alihankkija käsittelee Tilaajan henkilötietoja tai ylläpitää Tilaajan tietojär- jestelmiä, alihankkijan käyttäminen edellyttää Tilaajan ennakkoon kirjallisesti antamaa lupaa. Mikäli alihankkijoita käytetään, Tilaajan hyväksymät alihankkijat luetteloidaan liitteessä 3.
Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttä- mänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Palveluntuottajalle asetet- tuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että sopimuksen mukainen Tilaajan tarkastusoi- keus voidaan ulottaa alihankkijaan.
Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palveluntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Xxx Xxxxxxx perustellusti katsoo, että Palveluntuottajan alihankkija ei täytä tieto- suojavelvoitteitaan, Tilaajalla on oikeus vaatia Palveluntuottajaa vaihtamaan alihankkijaa.
Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava Tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja tieto- suojalainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotet- tua alihankkijaa.
7 Palvelun paikka
Ellei palvelun tuottamispaikasta ole toisin sovittu, Palveluntuottajalla on oikeus käsitellä Tilaa- jan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityiseh- doissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle ilman Tilaajan kirjallista ennakkolupaa. Mikäli Tilaaja antaa kirjallisen luvan, henkilötietojen siirtämi- nen kolmansiin maihin voidaan tehdä asianmukaisella siirtosopimuksella noudattaen EU-ko- mission kulloinkin voimassa olevia vakiosopimuslausekkeita ja/tai muita tuolloin voimassaole- via henkilötietojen siirtoa koskevia vaatimuksia.
8 Henkilötietojen tietoturvaloukkaukset
Palveluntuottajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tieto- turvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Palveluntuottaja sitoutuu ilmoittamaan
Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
Palveluntuottajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:
• tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröity- jen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut luku- määrät;
• tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asi- assa lisätietoja;
• kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
• kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tieto- turvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy viipymättä sopimuk- sessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoit- tamiseksi ja korjaamiseksi.
9 Tarkastukset
Tilaajalla tai Xxxxxxxx määräämällä kolmannella taholla (joka ei ole Palveluntuottajan suoranai- nen kilpailija) on oikeus tarkastaa omalla kustannuksellaan etukäteen ilmoitettuna ajankoh- tana Palveluntuottajan ja sen alihankkijoiden turvallisuusjärjestelyt tätä liitettä sekä Sopimusta koskevilta osin. Tilaajan on ilmoitettava tahdostaan suorittaa tarkastus kolmekymmentä (30) päivää ennen ehdotettua tarkastuspäivää. Palveluntuottaja voi ehdottaa uutta päivää tarkas- tukselle. Uusi ajankohta ei kuitenkaan voi olla myöhemmin kuin kymmenen (10) päivää Tilaa- jan ilmoittaman päivän jälkeen. Tarkastus saadaan suorittaa kuitenkin enintään kaksi kertaa vuodessa, ellei ole erityisen painavia syitä useammille tarkastuksille. Haavoittuvuusskannauk- sia voidaan kuitenkin tehdä edellä mainituista määräajoista riippumatta erikseen sovittavina ajankohtina. Tarkastukset eivät saa vaarantaa Palveluntuottajan tai sen alihankkijoiden tieto- turvaa tai Palveluntuottajan tai sen alihankkijoiden salassapitovelvoitteita muita asiakkaita kohtaan.
Palveluntuottajan tulee huolehtia sopimusjärjestelyin siitä, että Tilaajalla on mahdollisuus tar- kastaa Palveluntuottajan ohella myös Palveluntuottajan sellaisen alihankkijan turvallisuusjär- jestelyt, joka osallistuu Tilaajan salassa pidettävien tai muiden luottamuksellisten tietojen kä- sittelyyn tai Tilaajan tietojärjestelmien ylläpitoon.
Palveluntuottajan tulee korjata tarkastuksessa havaitut puutteet viivytyksettä, kuitenkin vii- meistään 30 vuorokauden kuluessa Xxxxxxxx kirjallisesta ilmoituksesta, ellei siitä ole Tilaajan ja Palveluntuottajan välillä erikseen toisin sovittu. Olennaiset puutteet, jotka muodostavat il- meisen uhkan tietoturvallisuudelle, on korjattava heti. Tilaaja ei vastaa edellä mainituista kor- jauksista aiheutuvista kuluista ja kustannuksista.
Palveluntuottaja on velvollinen ilmoittamaan Tilaajalle, jos Palveluntuottajan tai sen alihankki- jan tämän liitteen kannalta keskeisissä toiminnoissa tai henkilöstö- tai turvallisuusjärjeste- lyissä tapahtuu olennaisia muutoksia tai jos Palveluntuottajan tai sen alihankkijan omistussuh- teissa tapahtuu merkittäviä muutoksia.
Palveluntuottaja valvoo tämän liitteen edellyttämän turvallisuustason toteutumista toiminnas- saan säännöllisesti ja suunnitelmallisesti, kirjaa mahdolliset poikkeamat ja raportoi ne Tilaa- jalle viivytyksettä sekä aloittaa korjaustoimet viipymättä. Tilaaja seuraa Palvelun turvallisuus- tason toteutumista yhteistyössä Palveluntuottajan kanssa.
Tilaajalla on oikeus luovuttaa muille viranomaisille tieto siitä, että tämän luvun mukainen tar- kastus on suoritettu, mutta Xxxxxxxxxx ei kuitenkaan ilman Palveluntuottajan lupaa ole oikeutta luovuttaa muille viranomaisille tietoa tarkastuksen tuloksista, ellei pakottavasta lainsäädän- nöstä muuta johdu.
Palveluntuottaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat henkilötietojen käsit- telyä koskevat tarkastukset sekä osallistuu niihin. Henkilötietojen käsittelijä saattaa Tilaajan saataville kaikki tiedot, jotka ovat tarpeen tässä sopimusliitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Tilaajan valtuuttaman auditoijan suorittamat audi- toinnit, kuten tarkastukset, sekä osallistuu niihin. Auditointia koskevat tarkemmat ehdot sovi- taan Palveluntuottajan kanssa erikseen ennen auditoinnin toteuttamista. Palveluntuottajalla ei ole oikeutta vaatia Tilaajalta korvauksia auditoinnin toteuttamisesta.
Palveluntuottaja toimittaa pyynnöstä Tilaajan henkilötietojen käsittelyyn ja tietoturvan auditoin- tiin tarvittavat lokitiedot Tilaajalle.
10 Henkilötietojen käsittelyn päättyminen
Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Xxxxxxxx lukuun käsittelemi- ään henkilötietoja ilman Tilaajan nimenomaista pyyntöä.
Sopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötie- doista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot.
11 Liitteet
1. Henkilötietojen käsittelytoimien kuvaus
2. Tilaajan ohjeita
Kirjoita tekstiä napsauttamalla tai napauttamalla tätä.
Liite 1
Henkilötietojen käsittelytoimien kuvaus 1 Osapuolet
Tilaaja
Pohjois-Savon hyvinvointialue
Palveluntuottaja
Kunta
2 Asiakirjan tarkoitus
Xxxxxxx on tehnyt Palveluntuottajan kanssa sopimuksen (”Sopimus”), joka koskee sellaista pal- velua, jossa Palveluntuottaja toimii Xxxxxxxx ylläpitämään henkilörekisteriin kuuluvien henkilö- tietojen käsittelijänä.
Sopimuksen nimi: Yhteistyösopimus kuntouttavan työtoiminnan järjestämisestä
Henkilötietojen käsittelyn tarkoitus on: Asiakkaan kuntouttavan työtoiminnan toteutumisen to- dentaminen.
Tässä dokumentissa kuvataan käsittelytoimet, joita Palveluntuottaja henkilötietojen käsitteli- jänä tekee Tilaajan puolesta, henkilötietojen tyypit, käsiteltävät henkilötiedot ja henkilötietojen käsittelyn kesto. Tämä dokumentti liitetään Palveluntuottajan ja Tilaajan välisen tietosuoja- ja tietoturvasopimuksen liitteeksi.
Henkilötietojen käsittelyssä on noudatettava Palveluntuottajan ja Tilaajan välistä palvelua kos- kevaa Sopimusta, tietosuoja- ja tietoturvasopimusta sekä Tilaajan ohjeita.
3 Rekisteröityjen ryhmät
Palveluntuottaja käsittelee seuraavien rekisteröityjen henkilötietoja:
☐ Tilaajan työntekijät
☐ Opiskelijat
☐ Tilaajan potilaat
☒ Muu: Kunnalle ohjautuvat kuntouttavan työtoiminnan asiakkaat
4 Henkilötietojen tyypit
Palveluntuottaja käsittelee seuraavia henkilötietoja:
Yleiset henkilötiedot
☒ Nimi
☒ Henkilötunnus
☒ Sukupuoli
☒ Syntymäaika
☒ Yhteystiedot (osoite, puhelinnumero, sähköposti tai muu yhteystieto)
☐ Pseudonymisoitu henkilötieto
☐ Muu: Kirjoita tekstiä napsauttamalla tai napauttamalla tätä.
Erityiset henkilötietoryhmät
☐ Potilastieto
☐ Muut erityisiin henkilötietoryhmiin kuuluvat henkilötiedot: [Valitse seuraavista ryhmistä: Tie- dot, joista ilmenee): rotu, etninen alkuperä, poliittiset mieleipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, terveydentilaa koskevat tiedot, seksuaalisuutta koskevat tiedot tai geneettiset/biometriset tiedot yksiselitteiseen tunnistamiseen].
Henkilöstö- ja taloushallinto
☐ Työhakemukset ja muu rekrytoinnin tiedot
☐ Pankkiyhteystiedot tai muu maksamiseen tarvittava tieto
☐ Työntekijän nykyisiä ja entisiä työtehtäviä koskevat tiedot ja/tai aikaisempaa työpaikkaa koskevat tiedot
☐ Henkilötunnus
☐ Kuva(t)
☐ Lomat ja poissaolotiedot
☐ Muut henkilöstö- ja taloushallinnon tarvitsemat tiedot: Täydennä selventävällä tekstillä IT ja turvallisuus
☐ Käyttäjän identiteetin hallintaan ja käytön valvontaa koskevat tiedot
☐ Järjestelmän tekniseen valvontaan liittyvät tiedot sekä käytön historiatiedot
☐ Turvallisuuden valvontaan ja kulunvalvontaan liittyvät tiedot
☐ Muut IT:n ja turvallisuuden kannalta tarpeelliset tiedot: Täydennä selventävällä tekstillä.
5 Henkilötietojen käsittelyn kesto
Palveluntuottaja käsittelee henkilötietoja
☒ niin kauan kuin se on tarpeen Sopimuksen edellyttämän palvelun tuottamiseksi
☐ sopimuskauden ajan
☐ Kirjoita tekstiä napsauttamalla tai napauttamalla tätä. asti
☐ Muu:
Liite 2
Toimitilaturvallisuutta, pääsyä järjestelmiin ja tietoihin sekä tietoaineiston käsitte- lyä ja säilyttämistä koskevia Tilaajan ohjeita
1 Toimitilaturvallisuus
Palvelun toteuttamiseen käytettyjen tilojen (”Tilat”) täytyy olla asianmukaisesti suojattu luki- tuksella, kulunvalvonnalla sekä muilla turvajärjestelyillä, jotta voidaan estää luvaton pääsy Ti- loihin sekä siellä säilytettäviin tietoihin ja järjestelmiin.
Toimittajan tulee varmistaa Tilojen tarkoituksenmukainen fyysinen turvallisuus tulipalon, säh- kökatkosten, vesivahinkojen, ulkopuolisten häiriötekijöiden ja muiden erityistilanteiden varalta. Tilaaja ja Palveluntuottaja sopivat tarvittaessa Palveluun liittyvistä tarkemmista vaatimuksista.
Henkilöt, joille ei ole myönnetty oikeutta Tilaajan salassa pidettäviin tai muuten luottamukselli- siin tietoihin tai niitä sisältäviin tai muihin Tilaajan tai Palveluun liittyviin järjestelmiin saavat oleskella Tiloissa ainoastaan valvonnan alaisina. Valvontaa ei edellytetä, mikäli salassa pidet- täviä tai muuten luottamuksellisia tietoja säilytetään tai käsitellään Tiloissa siten, että nämä henkilöt eivät voi päästä niihin käsiksi.
Henkilöiden, joilla on pääsy Tiloihin, tulee olla tunnistettavissa.
2 Pääsy järjestelmiin ja tietoihin
Palveluntuottaja vastaa siitä, että Tilaajan salassa pidettäviä tai muuten luottamuksellisia tie- toja annetaan tai pääsy sellaisia tietoja sisältäviin dokumentteihin ja järjestelmiin sallitaan vain nimetyille Palveluntuottajan ja sen alihankkijan henkilöstöön kuuluville henkilöille, joille on an- nettu oikeus päästä kyseisiin järjestelmiin ja/tai tietoihin ja jotka ovat tietoisia salassapitoa koskevista velvoitteistaan.
Palveluntuottaja vastaa siitä, että Tilaajan salassa pidettävien ja muiden luottamuksellisten tietojen käsittelyyn osallistuvat Palveluntuottajan tai sen alihankkijan henkilöstöön kuuluvat henkilöt sekä henkilöt, joilla on pääsy Palveluntuottajan hallinnoimiin järjestelmiin, joissa säily- tetään Tilaajan salassa pidettäviä tai muuten luottamuksellisia tietoja, noudattavat tätä liitettä tai vastaavia ohjeita.
Palveluntuottaja vastaa siitä, että henkilö, joka käsittelee Xxxxxxxx salassa pidettäviä tai muu- ten luottamuksellisia tietoja ja/tai jolla on pääsy järjestelmiin, joissa Tilaajan salassa pidettäviä tai muuten luottamuksellisia tietoja säilytetään tai joiden avulla Palvelua tuotetaan, tekee vai- tiolositoumuksen ennen kuin hän aloittaa mainittujen tietojen käsittelyn tai saa pääsyn mainit- tuihin järjestelmiin.
3 Tietoaineistojen käsittely ja säilyttäminen
Mikäli erikseen ei toisin sovita, Xxxxxxxx salassa pidettävien ja muuten luottamuksellisten tieto- jen käsittelyssä noudatetaan tässä kappaleessa annettuja ohjeita.
Työskentely-ympäristö: Tietoja tai asiakirjoja ei saa jättää esille tai ilman valvontaa työtilasta poistuttaessa. Tietoja tai asiakirjoja voi jättää tilapäisesti esille ottaen huomioon tilajärjestelyt ja käytössä olevat lukitukset. Tietojen ja asiakirjojen käsittelyä työpaikan ulkopuolella tulee välttää.
Kopiointi: Kopioita käsitellään kuten alkuperäistä tietoa tai asiakirjaa. Alkuperäisestä tiedosta tai asiakirjasta voidaan ottaa tarvittaessa sekä sähköisiä että paperimuotoisia kopioita.
Jakelu: Xxxxxx luovuttamisen edellytyksenä on, että vastaanottajalla on tarvittavat oikeudet aineiston käsittelyyn sekä kyky käsitellä sitä vaatimusten mukaisesti.
Tiedon siirto: Palveluntuottaja vastaa siitä, että Tilaajan salassa pidettävä tai muuten luotta- muksellinen tieto tulee jakaa siten, etteivät asiattomat pääse käsiksi salassa pidettävään tie- toon. Tiedon jakamisessa ja siirtämisessä on käytettävä asianmukaisia tietoturvajärjestelyitä. Asiakirjan siirto kuljetusyhtiön (esim. posti) välityksellä tapahtuu suljetussa läpinäkymättö- mässä kirjekuoressa. Tilaajan salassa pidettävän tai muuten luottamuksellisen tiedon käsittely puhelimessa asianmukaisesti harkiten on sallittu. Xxxxxxx pidettävän tiedon siirto ei ole sallittu ilman salausta. Tilaaja ohjeistaa tarvittaessa tiedon jakamiseen tai siirtämiseen liittyen.
Tallennus ja säilytys: Tietoverkon palvelimille talletettu tieto tulee olla käsittelyoikeuksilla suo- jattu. Xxxxxxx pidettävä tieto tietoverkon palvelimille on salattava, ellei Tilaajan kanssa ole muuta sovittu. Luonnosasiakirjoja käsitellään kuten vastaavia valmiita asiakirjoja säilytyksen ja tallennuksen osalta. Suositellaan, että paperimuotoiset sekä salassa pidettävää tietoa si- sältävät ulkoiset muistit ja vastaavat laitteet säilytetään niitä varten tarkoitetuissa turvakaa- peissa, holveissa tai vastaavissa lukituissa ja valvotuissa tiloissa. Tulee varmistaa, etteivät ul- kopuoliset pääse käsiksi tietoon.
Pääsy tietoon: Etäkäyttö on mahdollista Tilaajan ohjeistuksen mukaisesti, joka pitää sisällään esimerkiksi henkilökohtaiset tunnukset, vahvan tunnistautumisen ja suojatun yhteyden.
Arkistointi: Arkistointi tapahtuu Tilaajan erikseen antaman ohjeistuksen mukaisesti.
Tietoaineiston hävittäminen: Alkuperäisasiakirjat tulee hävittää käyttötarpeen päätyttyä Tilaa- jan erikseen antaman ohjeistuksen mukaisesti. Tarpeettomat asiakirjakopiot tulee hävittää käyttötarpeen päätyttyä. Luonnosasiakirjat tulee hävittää käyttötarpeen päätyttyä. Hävittämi- nen tulee suorittaa siten, etteivät salassa pidettävät ja henkilötietoja sisältävät tiedot joudu nii- hin oikeudettomien haltuun. Sähköiset tiedostot tuhotaan työasemilta ja palvelimilta sekä muilta muistivälineiltä tietoturvallisella tavalla. Paperimuotoiset asiakirjat hävitetään valvotusti polttamalla, silppurilla tai laittamalla suljettuun astiaan siirrettäväksi polttolaitokseen.
Palveluntuottaja tukee Tilaajaa julkisen hallinnon tiedonhallinnasta annetun lain (2019/906) mukaisten velvoitteiden noudattamisessa ja noudattaa tietosuojalakia (1050/2018), EU:n yleistä tietosuoja-asetusta sekä muuta tietosuojaa koskevaa lainsäädäntöä Sopimukseen liit- tyvän Palvelun tuottamisessa.
Tilaaja määrittää tarvittaessa Palvelun hankinnan yhteydessä Palveluun sovellettavat muut tietoturvavaatimukset, jotka Palveluntuottajan tulee täyttää.
Kirjoita tekstiä napsauttamalla tai napauttamalla tätä.