Liite 5 Henkilötietojen käsittelyn ehdot

Liite 5 Henkilötietojen käsittelyn ehdot

1. Yleistä

1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa esikoulu- ja koulukuljetusten hankintaa koskevaa sopimusta, jäljempänä ”Sopimus”, jonka Tilaaja on tehnyt Palvelun- tuottajan kanssa.

1.2. Tässä sopimusliitteessä määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henkilötieto- jen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palveluntuottaja Ti- laajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta. Näissä ehdoissa kuva- tuista Palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei Sopimuksessa tai näissä ehdoissa toisin ole sovittu.

2. Osapuolten roolit henkilötietojen käsittelyssä

2.1. Käsiteltäessä henkilötietoja Xxxxxxx on rekisterinpitäjä ja Palveluntuottaja on henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vastaa rekisterinpitäjänä.

2.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekiste- röityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan näiden ehtojen liitteenä 1 olevassa Käsittelytoimien kuvauksessa. Palveluntuottaja sitoutuu noudattamaan Sopimuksessa, käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

3. Palveluntuottajan yleiset velvollisuudet

3.1. Palveluntuottaja käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjeiden mukai- sesti. Ryhmittymän ollessa Käsittelijänä tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä.

3.2. Palveluntuottaja toteuttaa asianmukaiset ja tarvittavat toimenpiteet, joilla se varmistaa, että Tilaajan henkilötietojen käsittely tapahtuu Sopimuksen ja näiden ehtojen mukaisten vaatimusten sekä sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on var- mistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.

3.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä Sopimuksen tai näiden ehtojen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

3.4. Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Ti- laajan henkilötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot Tilaajalle. Mikäli tiedoissa tapahtuu

muutoksia, Palveluntuottajan on ilmoitettava muutoksista Tilaajalle ilman aiheetonta viiväs- tystä.

3.5. Palveluntuottaja saattaa Xxxxxxxx saataville tämän pyynnöstä kaikki tiedot, jotka Tilaaja tar- vitsee rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Xxxxxxxx vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämi- seen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Palvelun- tuottaja tekee nämä tehtävät kohtuullista korvausta vastaan esimerkiksi Palveluntuottajan voimassa olevan hinnaston mukaisella toimistotyöhinnalla tai muuten erikseen sovittavalla kohtuullisella hinnalla.

3.6. Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyn- töihin. Palveluntuottaja avustaa Tilaajaa, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Palveluntuottajalta esimerkiksi avusta- mista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteutta- misessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteut- tamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei toisin ole sovittu, Palveluntuottajalla on oikeus laskuttaa Tilaajaa Sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja Palveluntuottajalle. Palveluntuottaja on vel- vollinen ennakolta ilmoittamaan Tilaajalle mahdollisesti aiheutuvista lisäkuluista.

3.7. Palveluntuottaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkastusmenettelyä koskevat tarkemmat ehdot ovat Sopimuksessa.

4. Xxxxxxxx xxxxxx

4.1. Palveluntuottaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä Sopimuksessa ja näissä henkilötietojen käsittelyn ehdoissa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvastaisiksi.

4.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilö- tietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu Sopi- muksen mukaiseen Palveluun liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan siten, kuin Sopimuksessa on kuvattu sopimusmuutoksista.

5. Palveluhenkilöstö

5.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Tilaajan henkilötietoja, ovat sitoutuneet noudattamaan Sopimuksessa sovittuja sa- lassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

5.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja

käsittelee niitä ainoastaan Sopimuksen, näiden henkilötietojen käsittelyn ehtojen ja Tilaajan muiden kirjallisten ohjeiden mukaisesti.

6. Alihankkijat, jotka käsittelevät henkilötietoja

6.1. Siltä osin kuin Palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät hen- kilötietoja (”alikäsittelijä”), alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliit- teessä kuvattuja ehtoja.

6.2. Xxx Xxxxxxxxxxxxxxxxx alihankkija käsittelee Tilaajan henkilötietoja, alihankkijan käyttämi- nen edellyttää Tilaajan ennakkoon kirjallisesti antamaa lupaa. Palveluntuottajan on toimi- tettava lupaa koskeva pyyntö vähintään 14 päivää ennen asianomaisen henkilötietojen ali- käsittelijän käyttämistä sekä tarvittavat tiedot, jotta Xxxxxxx voi päättää luvasta. Tilaajalla on oikeus vain perustellusta syystä vastustaa ehdotettua alihankkijaa, minkä jälkeen Pal- veluntuottaja voi ehdottaa Tilaajan hyväksyttäväksi toista alihankkijaa.

6.3. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyt- tämänsä alihankkijat noudattamaan omalta osaltaan Sopimuksessa Palveluntuottajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen kä- sittelyyn liittyviä kirjallisia ohjeita. Palveluntuottaja varmistaa, että Sopimuksen mukainen Tilaajan tarkastusoikeus voidaan ulottaa alihankkijaan. Henkilötietojen käsittelijän on re- kisterinpitäjän pyynnöstä toimitettava jäljennös tällaisesta henkilötietojen alikäsittelijän sopimuksesta ja mahdollisista myöhemmistä muutoksista rekisterinpitäjälle. Jos se on tar- peen liikesalaisuuksien tai muiden luottamuksellisten tietojen (mukaan lukien henkilötie- dot) suojaamiseksi, henkilötietojen käsittelijä voi poistaa sopimuksesta tekstiä ennen jäl- jennöksen toimittamista.

6.4. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palveluntuot- taja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle, jos henkilötietojen alikäsittelijä ei täytä sopimusvelvoitteitaan. Jos Tilaaja perustellusti katsoo, että Palveluntuottajan alihankkija ei täytä tietosuojavelvoitteitaan, Palveluntuottajan on vaihdettava ko. alihankkija ilman aiheetonta viivästystä.

6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava Tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja tietosuojalainsäädännön mukaisesti. Tilaajalla on oikeus vain perustellusta syystä vastustaa ehdotettua alihankkijaa, minkä jälkeen Palveluntuottaja voi ehdottaa Tilaajan hyväksyttä- väksi toista alihankkijaa.

6.6. Henkilötietojen käsittelijän on sovittava henkilötietojen alikäsittelijän kanssa kolmatta osa- puolta suojaavasta edunsaajalausekkeesta, jonka mukaan, jos henkilötietojen käsittelijä on tosiasiallisesti kadonnut, lakannut olemasta oikeudellisesti tai tullut maksukyvyttö- mäksi, rekisterinpitäjällä on oikeus purkaa henkilötietojen alikäsittelijän sopimus ja ohjeis- taa alikäsittelijää poistamaan tai palauttamaan henkilötiedot.

6.7. Palveluntuottajan kulloinkin käyttämät alikäsittelijät liitetään luettelona näiden henkilötie- tojen käsittelyn ehtojen liitteeksi. Liitettä päivitetään tarvetta vastaavasti.

7. Henkilötietojen käsittelyn alue

7.1. Palveluntuottajalla on oikeus käsitellä Tilaajan henkilötietoja ainoastaan Euroopan talous- alueella (”ETA”). Mitä Sopimuksessa ja näissä henkilötietojen käsittelyn ehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.

7.2. Jos sopijapuolet sopivat, että Palveluntuottajaa saa siirtää Tilaajan henkilötietoja Euroopan talousalueen ulkopuolelle, sopijapuolet huolehtivat siitä, että henkilötietojen siirto toteute- taan lainsäädännön mukaisesti.

8. Tietoturvaloukkaukset

8.1. Palveluntuottajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Palveluntuottaja sitoutuu il- moittamaan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilan- teista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.

8.2. Palveluntuottajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauk- sesta:

i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;

ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;

iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja

iv. kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Siltä osin kuin kaikkia tietoja ei ole mahdollista toimittaa samaan aikaan, alkuperäisen ilmoituksen on sisällytettävä saatavilla olevat tiedot, ja lisätiedot on sen jälkeen toimitettava ilman aiheetonta viivytystä, kun ne tulevat saataville.

8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy viipymättä sopi- muksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

9. Vastuu vahingoista

9.1. Riippumatta siitä, mitä Osapuolten vahingonkorvausvastuista on sovittu Sopimuksessa, Osapuoli on velvollinen korvaamaan täysimääräisesti toiselle Osapuolelle eikä Sopimuk- sessa sovittuja vastuunrajoituksia sovelleta seuraaviin korvauksiin:

(i) vahingonkorvaukset, jotka tämä toinen Osapuoli on velvollinen EU:n yleisen tieto- suoja-asetuksen 82 Artiklan mukaisesti maksamaan rekisteröidyille Osapuolen tai alikäsittelijän Sopimuksen ja rikkomisen tai laiminlyönnin perusteella, sekä

(ii) tällaiseen prosessiin liittyvät kohtuulliset asianajokustannukset.

Selvyyden vuoksi todetaan, että tämä kohta jää voimaan Sopimuksen päättymisen jälkeenkin.

10.Henkilötietojen käsittelyn päättyminen

10.1. Jos henkilötietojen käsittelijä rikkoo Sopimuksen tai näitä henkilötietojen käsittelyn ehtoja, rekisterinpitäjä voi määrätä henkilötietojen käsittelijän keskeyttämään henkilötieto- jen käsittelyn, kunnes henkilötietojen käsittelijä noudattaa Sopimuksessa tai tässä sovittuja henkilötietojen käsittelyn ehtoja tai Sopimus puretaan.

10.2. Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Xxxxxxxx puolesta kä- sittelemiään henkilötietoja ilman Tilaajan nimenomaista pyyntöä.

10.3. Sopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot sekä hävittää todisteellisesti omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Palveluntuottaja on velvollinen tekemään sovitut toimet siitä huolimatta, vaikka Sopimuskausi olisi päättynyt.

10.4. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edelly- tetty, että Palveluntuottaja säilyttää henkilötiedot Sopimuksen tai henkilötietojen käsittelyn päättymisestä huolimatta.

KÄSITTELYTOIMIEN KUVAUS

1. Osapuolet

Tilaaja: Jämijärven kunta Palveluntuottaja: [täydennetään]

2. Liitteen tarkoitus

Xxxxxxx on tehnyt Palveluntuottajan kanssa Sopimuksen, joka koskee sellaista palvelua, jossa Pal- veluntuottaja toimii Tilaajan ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä. Tässä liitteessä kuvataan käsittelytoimet, joita Palveluntuottaja henkilötietojen käsittelijänä tekee Tilaajan puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämä liitetään osaksi So- pimuksen liitettä 4 Henkilötietojen käsittelyn ehdot.

Henkilötietojen käsittelyssä on noudatettava Palveluntuottajan ja Tilaajan välistä Sopimusta sekä Tilaajan kirjallisia ohjeita.

3. Henkilötietojen tyypit ja rekisteröityjen ryhmät

Osapuolet ovat sopineet, että Palveluntuottaja käsittelee Xxxxxxxx puolesta Sopimuksessa sovitun koulukuljetuspalvelun tuottamiseksi seuraavia Tilaajan henkilörekisteriin kuuluvia henkilötietoja:

- Henkilötietojen tyyppi: yhteystiedot (nimi, osoite, puhelinnumero)

- Rekisteröityjen ryhmä: Koulukuljetuksen piirissä olevat esikoulu- ja peruskouluoppilaat

4. Käsittelyn luonne ja tarkoitus

Tilaaja tilaa Palveluntuottajalta koulukuljetuspalveluita. Reittien suunnittelemiseksi ja Xxxxxxxx to- teuttamiseksi Palveluntuottajan on välttämätöntä käsitellä kuljetettaviin oppilaisiin liittyviä henki- lötietoja. Tietosuoja-asetuksen mukainen käsittelyperuste on rekisterinpitäjän lakisääteinen vel- voite (perusopetuslain 32 §).

5. Henkilötietojen käsittelyn kesto

Palveluntuottaja käsittelee tässä liitteessä yksilöityjä henkilötietoja vain niin kauan, kuin Palvelun tuottamisen vuoksi on tarpeen, kuitenkin enintään Sopimuskauden ajan tai rekisterinpitäjän anta- man ohjeistuksen mukaisesti.