Contract
10.03.2023
SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ
Osapuolet
TILAAJA
Keski-Suomen
sairaanhoitopiirin kuntayhtymä (KSSHP)
-
Postiosoite
Keskussairaalantie 19
Postinumero ja postitoimipaikka
40620 Jyväskylä
Yhteyshenkilö ja yhteyshenkilön yhteystiedot
Sairaanhoitopiirin tietosuojavastaava ja tietosuojaa koskevat yhteydentotot
Xxxxxx Xxxxxx, xxxxxxxxxx@xxxxx.xx
PALVELUNTUOTTAJA
-
Postiosoite
Postinumero ja postitoimipaikka
Yhteyshenkilö ja yhteyshenkilön yhteystiedot
Palveluntuottajaorganisaation tietosuojavastaava ja tietosuojaa koskevat yhteydentotot
Yleistä
Tässä sopimuksessa määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat ehdot, joiden mukaisesti Palveluntuottaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta. Tässä sopimuksessa kuvatuista Palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole tässä sopimuksessa tai erikseen kirjallisesti sovittu.
Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä.
Osapuolten roolit henkilötietojen käsittelyssä
Käsiteltäessä henkilötietoja Xxxxxxx on rekisterinpitäjä ja Palveluntuottaja on henkilötietojen käsittelijä, ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan tässä sopimuksessa henkilötietoja, joista Tilaaja vastaa rekisterinpitäjänä.
Henkilötietojen käsittelyn luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä soveltuvat tietosuojatoimenpiteet ja käsittelyn kesto kuvataan tämän sopimuksen liitteenä olevassa käsittelytoimien kuvauksessa tai muussa Xxxxxxxx Palveluntuottajalle antamassa ohjeistuksessa. Palveluntuottaja sitoutuu noudattamaan tässä sopimuksessa, käsittelytoimien kuvauksessa ja Tilaajan ohjeistuksessa olevia ehtoja, ohjeita ja määrityksiä. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.
Jos kohdan 3.2. mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Palveluntuottaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Xxxxxxxx kanssa.
Palveluntuottajan yleiset velvollisuudet
Palveluntuottaja käsittelee henkilötietoja tämän sopimuksen ehtojen, käsittelytoimien kuvauksen ja Tilaajan antamien ohjeiden mukaisesti. Ryhmittymän ollessa käsittelijänä tämän sopimuksen velvoitteet koskevat kaikkia ryhmittymän jäseniä ja kaikkia ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
Sen lisäksi, mitä Tilaajan ja Palveluntuottajan välillä on rekisterinpitäjän ja käsittelijän välisen suhteen muodostovassa puite- tai palvelusopimuksessa tai muussa sopimuksessa (”Palvelusopimus”) sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, Palveluntuottaja sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.
Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä Palvelusopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin Palvelusopimuksessa kuvatun palvelun mukaisessa tarkoituksessa ja sen edellyttämässä laajuudessa.
Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Tilaajan henkilötietojen käsittelyyn tai tietosuojaan liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot Tilaajalle.
Palveluntuottaja saattaa Xxxxxxxx saataville tämän pyynnöstä kaikki tiedot, jotka Tilaaja tarvitsee rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Xxxxxxxx vastuulla olevien kuvausten ja muiden dokumenttien ja asiakirjojen, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä yleisen tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Palveluntuottaja suorittaa nämä tehtävät Palvelusopimuksen mukaisilla hinnoilla, ellei toisin sovita.
Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista Tilaajan henkilötietoihin kohdistuvista rekisteröityjen tietopyynnöistä ja vaatimuksista, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa tietopyyntöihin eikä ryhdy itsenäisesti toimiin rekisteröidyn vaatimusten johdosta. Palveluntuottaja avustaa Tilaajaa, jotta Xxxxxxx pystyy täyttämään velvollisuutensa vastata rekisteröityjen pyyntöihin ja vaatimuksiin. Pyynnöt ja vaatimukset voivat edellyttää Palveluntuottajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei toisin ole sovittu, Palveluntuottajalla on oikeus laskuttaa Tilaajaa Palvelusopimuksen mukaisilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja Palveluntuottajalle. Palveluntuottaja on velvollinen ennakolta ilmoittamaan Tilaajalle mahdollisesti aiheutuvista lisäkuluista.
Palveluntuottaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkastusmenettelystä on sovittu tarkemmin Palvelusopimuksessa.
Xxxxxxxx xxxxxx
Palveluntuottaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä tässä sopimuksessa ja käsittelytoimien kuvauksessa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvastaisiksi.
Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu Palvelusopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan Palvelusopimuksen mukaisessa muutoshallintamenettelyssä.
Palveluhenkilöstö
Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Xxxxxxxx henkilötietoja, ovat sitoutuneet noudattamaan Palvelusopimuksessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen tai muu salassapitovelvollisuus.
Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan Palvelusopimuksen, tämän sopimuksen ja Tilaajan ohjeiden mukaisesti.
Alihankkijat, jotka käsittelevät henkilötietoja
Siltä osin kuin Palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan tämän sopimuksen ehtoja.
Xxx Xxxxxxxxxxxxxxxxx alihankkija käsittelee Tilaajan henkilötietoja, alihankkijan käyttäminen edellyttää Tilaajan ennakkoon kirjallisesti antamaa lupaa.
Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan tässä sopimuksessa Palveluntuottajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että kohdassa 4.7. tarkoitettu Tilaajan tarkastusoikeus voidaan ulottaa alihankkijaan.
Palveluntuottaja vastaa käyttämänsä alihankkijan suorittamasta Xxxxxxxx henkilötietojen käsittelystä kuin omastaan. Palveluntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Xxx Xxxxxxx perustellusti katsoo, että Palveluntuottajan alihankkija ei täytä tai ei kykene täyttämään tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Palveluntuottajaa vaihtamaan alihankkijaa.
Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava Tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja tietosuojalainsäädännön sekä tämän sopimuksen edellytysten mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa.
Käsittelyn maantieteellinen sijainti
Ellei palvelun tuottamispaikasta ole toisin sovittu, Palveluntuottajalla on oikeus käsitellä Tilaajan henkilötietoja ainoastaan Euroopan talousalueella (ETA). Mitä Palvelusopimuksessa ja tässä sopimuksessa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
Jos osapuolet sopivat, että Palveluntuottaja saa siirtää Tilaajan henkilötietoja Euroopan talousalueen ulkopuolelle, Palveluntuottaja huolehtii siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukaisesti varmistaen riittävä tietosuojan taso.
Tietoturvaloukkaukset
Palveluntuottajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Palveluntuottaja sitoutuu ilmoittamaan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
Palveluntuottajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:
1) tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
2) tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta henkilöltä voi tiedustella asiassa lisätietoja;
3) kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
4) kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.
Henkilötietojen käsittelyn päättyminen
Palvelusopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Xxxxxxxx lukuun käsiteltäviä henkilötietoja ilman Tilaajan nimenomaista pyyntöä.
Palvelusopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot Tilaajan henkilötiedoista, ellei muuta ole sovittu. Henkilötietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot. Hävitetyistä tiedoista Palveluntuottaja on velvollinen antamaan kirjallisen todistuksen Tilaajalle.
Voimaantulo ja muutokset
Tämä sopimus astuu voimaan molempien osapuolten allekirjoituksilla ja voidaan irtisanoa päättymään samanaikaisesti viimeiseksi voimassa olevan Tilaajan henkilötietojen käsittelyä sisältävän palvelun kanssa. Kaikki muutokset tähän sopimuksen sovitaan yhteisymmärryksessä kirjallisesti. Jotta muutokset olisivat päteviä, molempien osapuolten tulee hyväksyä ne allekirjoituksin.
Muut ehdot
Xxx Xxxxxxxx ja Palveluntuottajan välillä tehty puite- tai palvelusopimus tai muu sopimus on ristiriidassa tämän sopimuksen tai sen liitteenä olevan käsittelytoimien kuvauksen kanssa, noudatetaan ensisijaisesti tämän sopimuksen ja käsittelytoimien kuvauksen ehtoja.
Liitteet
Tähän sopimukseen liitetään käsittelytoimien kuvaus. Käsittelytoimien kuvaukseen sisällytetään kaikki Palveluntuottajan Tilaajalle toimittamat palvelut edellyttäen, että kyseiset palvelut pitävät sisällään Tilaajan henkilötietojen käsittelyä.
ALLEKIRJOITUKSET
Tätä sopimusta on laadittu kaksi saman sisältöistä kappaletta yksi kummallekin osapuolelle.
TILAAJA PALVELUNTUOTTAJA
Keski-Suomen sairaanhoitopiirin kuntayhtymä
Paikka ja päivämäärä Paikka ja päivämäärä
Nimi Nimi
Tehtävänimike Tehtävänimike j
LIITE KÄSITTELYTOIMIEN KUVAUS
Osapuolet
TILAAJA: Keski-Suomen sairaanhoitopiirin kuntayhtymä (KSSHP)
PALVELUNTUOTTAJA:
Käsittelytoimien kuvauksen tarkoitus
Xxxxxxx on tehnyt Palveluntuottajan kanssa palvelusopimuksen, joka koskee sellaista palvelua, jossa Palveluntuottaja toimii Xxxxxxxx ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä.
Tässä liitteessä kuvataan ne käsittelytoimet, joita Palveluntuottaja henkilötietojen käsittelijänä suorittaa Xxxxxxxx puolesta palvelusopimuksessa tai -sopimuksissa sovitun palvelun tai palveluiden tuottamiseksi. Tämä käsittelytoimien kuvaus koskee seuraavaa palvelua/seuraavia palveluita:
Henkilötietojen käsittelyssä on noudatettava Palveluntuottajan ja Xxxxxxxx välisiä sopimuksia, tämän liitteen pääsopimuksen ehtoja sekä Tilaajan Palveluntuottajalle antamia ohjeita.
Xxxxxxxx etukäteen hyväksymät alihankkijat
[Ohje: Kirjaa tähän ne Tilaajan hyväksymät alihankkijat, joita Palveluntuottaja hyödyntää henkilötietojen käsittelyssä.]
Henkilötietojen tyypit ja rekisteröityjen ryhmät
Osapuolet ovat sopineet, että Palveluntuottaja käsittelee Xxxxxxxx puolesta palvelusopimuksessa tai -sopimuksissa sovitun palvelun tai palveluiden tuottamiseksi seuraaviin rekisteröityjen ryhmiin liittyviä henkilötietoja:
[Ohje: Kirjoita tähän, mitä rekisteröityjen ryhmiä käsittely koskee, esim. Tilaajan työntekijät, potilaat, muut.]
Osapuolet ovat sopineet, että Palveluntuottaja käsittelee seuraavia Tilaajan ylläpitämään rekisteriin kuuluvia henkilötietoja;
- Käsiteltävät henkilötiedot:
[Ohje: täydennä tähän, mitä henkilötietoja Palveluntuottaja käsittelee. Esim. Tilaajan työntekijän nimi ja käyttäjätunnus, kotiosoite, yhteystiedot, kansalaisuus, syntymäaika, palkkatiedot.]
- Käsiteltävät erityiset henkilötietoryhmät:
[Ohje: täydennä tähän, mitä erityisiä henkilötietoryhmiä Palveluntuottaja käsittelee. Esim. Tilaajan työntekijän rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettiset tai biometriset tiedot henkilön yksiselitteistä tunnistamista varten, terveyttä koskevat tiedot, seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot.]
Käsittelyn luonne ja tarkoitus
Osapuolet ovat sopineet, että Palveluntuottaja käsittelee henkilötietoja ainoastaan palvelusopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa. Palveluntuottaja käsittelee henkilötietoja seuraavasti:
[Ohje: kirjoita tähän, miksi ja miten Palveluntuottaja käsittelee kyseisiä henkilötietoja. Esimerkiksi Tilaaja tilaa Palveluntuottajalta tietokoneiden asennuspalvelua, minkä vuoksi Palveluntuottajan on käsiteltävä Tilaajan tai muun asiakkaan käyttäjien tietoja tietokoneiden käyttäjäkohtaisen asennuksen loppuunsaattamiseksi.]
Soveltuvat suojatoimenpiteet
Henkilötietojen käsittelyssä noudatetaan huolellisuutta. Lisäksi henkilötietojen käsittelijän tulee toteuttaa riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi, mukaan lukien käsittelyn turvallisuus. Käsittelijä on toteuttanut edellä mainitut suojatoimet seuraavasti:
[Ohje: Tähän kuvaus Palveluntuottajan toteuttamista suojatoimista (paperiset tiedot/sähköiset tiedot).]
Henkilötietojen käsittelyn kesto
Palveluntuottaja käsittelee tässä liitteessä yksilöityjä henkilötietoja seuraavan ajan:
[Ohje: Palveluntuottajan suorittaman henkilötietojen käsittelyn kesto. Esimerkiksi tiettyjen laitteiden asennustoimien ajan, minkä jälkeen Palveluntuottaja palauttaa / tuhoaa henkilötiedot. Tai vaihtoehtoisesti sopimuskauden ajan.]
Muutokset tähän käsittelytoimien kuvaukseen
Muutokset Paveluntuottajan toiminnassa tai Tilaajan tarpeissa suhteessa tämän käsittelytoimien kuvauksen käsittämään palveluun voivat edellyttä muutoksia tähän käsittelytoimien kuvaukseen. Tällaisista muutoksista sovitaan yhteisesti erikseen ja ne kirjataan osaksi tätä käsittelytoimien kuvausta.