LIITE 3: HENKILÖTIETOJEN KÄSITTELYN EHDOT

LIITE 3: HENKILÖTIETOJEN KÄSITTELYN EHDOT

I Osa: Sopimusehdot

Palveluntuottaja noudattaa voimassa olevan tietosuojalainsäädännön edellyttämiä menette- lytapoja ja henkilötietojen käsittelyä ja suojaamista koskevia säännöksiä. Palveluntuottaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön ja sopi- muksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja ole- tusarvoisesta tietosuojasta on säädetty.

Tilaaja on rekisterinpitäjä. Palveluntuottaja noudattaa henkilötietojen käsittelijänä tämän so- pimuksen liitteenä olevia ehtoja henkilötietojen käsittelystä.

Jos sopijapuoli on maksanut rekisteröidylle korvauksen tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, on tällä sopijapuolella oikeus sovittujen vastuunrajoitus- ten rajoittamatta periä samaan tietojenkäsittelyyn osallistuneelta toiselta sopijapuolelta tä- män vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta.

Sopija-puolen vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy EU:n yleisen tie- tosuoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vas- taavan määräyksen mukaan.

II Osa: Henkilötietojen käsittelyn ehdot

1. Yleistä

1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa työterveyspalveluiden tuottamisesta laadittua sopimusta (Dnro         ), jäljempänä ”Sopimus”, jonka Tilaaja on tehnyt Palveluntuottajan kanssa.

1.2. Tässä sopimusliitteessä määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palveluntuottaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puo- lesta. Näissä ehdoissa kuvatuista Palveluntuottajan toimenpiteistä ja velvollisuuk- sista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.

2. Osapuolten roolit henkilötietojen käsittelyssä

2.1. Käsiteltäessä henkilötietoja Xxxxxxx on rekisterinpitäjä ja Palveluntuottaja on hen- kilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä eh- doissa henkilötietoja, joista Tilaaja vastaa rekisterinpitäjänä.

2.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeu- det kuvataan näiden ehtojen liitteessä 1 olevassa Käsittelytoimien kuvauksessa. Palvelun-tuottaja sitoutuu noudattamaan Sopimuksessa ja käsittelytoimien ku- vauksessa olevia ehtoja ja kuvauksia.

2.3. Jos kohdan 2.2 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteel- linen, Tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteis- työssä Palveluntuottajan kanssa.

3. Palveluntuottajan yleiset velvollisuudet

3.1. Palveluntuottaja käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjei- den mukaisesti. Ryhmittymän ollessa Käsittelijänä tämän sopimusliitteen velvoit- teet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankki- joita, jotka osallistuvat henkilötietojen käsittelyyn.

3.2. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Tilaajan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.

3.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

3.4. Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteys- henkilön Tilaajan henkilötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot Tilaajalle.

3.5 Palveluntuottaja saattaa Xxxxxxxx saataville tämän pyynnöstä kaikki tiedot, jotka Tilaaja tarvitsee rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuk- sien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla ta- valla Tilaajan vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaiku- tustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukai- sen ennakkokuulemisen suorittamiseen. Palveluntuottaja tekee nämä tehtävät sopimuksen mukaisilla hinnoilla, ellei toisin sovita.

3.5. Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vas- taa näihin pyyntöihin. Palveluntuottaja avustaa Tilaajaa, jotta Tilaaja pystyy täyt- tämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Pal- veluntuottajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestin- nässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemi- sessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei toisin ole sovittu, Palveluntuottajalla on oikeus laskuttaa Tilaajaa sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisä-kuluja Palveluntuottajalle. Palveluntuottaja on vel- vollinen ennakolta ilmoittamaan Ti-laajalle mahdollisesti aiheutuvista lisäkuluista.

3.6. Palveluntuottaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat tarkas- tukset sekä osallistuu niihin. Tarkastusmenettelyä koskevat tarkemmat ehdot ovat sopimuksessa.

4. Xxxxxxxx xxxxxx

4.1. Palveluntuottaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä sopimuksessa ja näissä erityisehdoissa sovittuja ehtoja sekä Tilaajan mahdollisia muita kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja il- moittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvastaisiksi.

4.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutok- sista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muu- toksia, niiden vaikutuksesta sovitaan sopimuksen mukaisessa muutoshallintame- nettelyssä.

5. Palveluhenkilöstö

5.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Tilaajan henkilötietoja, ovat sitoutuneet noudattamaan sopimuk- sessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvol- lisuus.

5.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Tilaajan ohjeiden mukaisesti.

6. Alihankkijat, jotka käsittelevät henkilötietoja

6.1. Siltä osin kuin Palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsitte- levät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimus- liitteessä kuvattuja ehtoja.

6.2. Xxx Xxxxxxxxxxxxxxxxx alihankkija käsittelee Tilaajan henkilötietoja, alihankkijan käyttäminen edellyttää Tilaajan ennakkoon kirjallisesti antamaa lupaa.

6.3. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitout- taa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Pal- veluntuottajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että sopimuksen mukainen Tilaajan tarkastusoikeus voidaan ulottaa alihankkijaan.

6.4. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Pal- veluntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötieto- jen käsittelijälle asetettuja velvoitteita. Jos Tilaaja perustellusti katsoo, että Palve- luntuottajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Palveluntuottajaa vaihtamaan alihankkijaa.

6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava Tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Tilaa- jan henkilötietoja tietosuojalainsäädännön mukaisesti. Tilaajalla on oikeus perus- tellusta syystä vastustaa ehdotettua alihankkijaa.

7. Palvelun paikka

7.1. Palveluntuottajalla on oikeus käsitellä Tilaajan henkilötietoja ainoastaan Euroo- pan talousalueella.

8. Tietoturvaloukkaukset

8.1. Palveluntuottajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilö- tietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Palveluntuot- taja sitoutuu ilmoittamaan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.

8.2. Palveluntuottajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturva- loukkauksesta:

i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekis- teröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvi- oidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;

ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;

iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja

iv. kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haitta- vaikutusten lieventämiseksi.

8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy viipy- mättä sopimuksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poista- miseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

9. Henkilötietojen käsittelyn päättyminen

9.1. Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Xxxxxxxx lukuun käsittelemiään henkilötietoja ilman Tilaajan nimenomaista pyyntöä.

9.2. Sopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Palvelun- tuottaja säilyttää henkilötiedot.

KÄSITTELYTOIMIEN KUVAUS

1. Osapuolet

Tilaaja: Valkeakosken seudun koulutuskuntayhtymä, PL 119, 37601 VALKEAKOSKI Palveluntuottaja:

2. Dokumentin tarkoitus

Xxxxxxx on tehnyt Palveluntuottajan kanssa Sopimuksen, joka koskee sellaista palvelua, jossa Palveluntuottaja toimii Xxxxxxxx ylläpitämään henkilörekisteriin kuuluvien henkilötieto- jen käsittelijänä.

Tässä dokumentissa kuvataan käsittelytoimet, joita palveluntuottaja henkilötietojen käsitteli- jänä tekee Tilaajan puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämä do- kumentti liitetään Sopimuksen nro     liitteeksi nro 1.

Henkilötietojen käsittelyssä on noudatettava Palveluntuottajan ja Tilaajan välistä Sopimusta sekä Tilaajan ohjeita.

3. Henkilötietojen tyypit ja rekisteröityjen ryhmät

Osapuolet ovat sopineet, että Palveluntuottaja käsittelee Xxxxxxxx puolesta Sopimuksessa sovitun palvelun tuottamiseksi seuraavia Asiakkaan henkilörekisteriin kuuluvia henkilötieto- ja.

Tilaajaan palvelussuhteessa olevien työntekijöiden:

• nimi

• henkilötunnus

• kotiosoite, työpuhelinnumero tai sen puuttuessa kotipuhelinnumero, työsähkö-posti- osoite tai sen puuttuessa kotisähköpostiosoite

• palvelussuhteen laji (virka- tai työsuhde), osa- tai kokoaikaisuus, luonne (toistaiseksi voimassa oleva tai määräaikainen), kestoaika

• eläkejärjestely

• työtehtävä ja työn suorittamispaikka (tulosalue, koulutus- tai toimiala, osasto).

4. Käsittelyn luonne ja tarkoitus

Osapuolet ovat sopineet, että Palveluntuottaja käsittelee Asiakkaan työntekijöiden tietoja työ-terveyshuoltolain 1383/2001 sekä hyvän työterveyshuoltokäytännön periaatteista, työ- terveyshuollon sisällöstä sekä ammattihenkilöiden ja asiantuntijoiden koulutuksesta anne- tun valtioneuvoston asetuksen 708/2013 tarkoittamien työterveyshuoltopalveluiden tarjoa- miseksi Asiakkaalle.

5. Henkilötietojen käsittelyn kesto

Palveluntuottaja käsittelee tässä liitteessä yksilöityjä henkilötietoja sopimuskauden ajan.