JHS 166 Julkisen hallinnon IT-hankintojen yleiset sopimusehdot
JHS 166 Julkisen hallinnon IT-hankintojen yleiset sopimusehdot
Liite 9. Erityisehtoja henkilötietojen käsittelystä (JIT 2015 - Henkilötiedot)
Versio:
Julkaistu:
Voimassaoloaika: toistaiseksi
KÄYTTÖOHJE
Nämä erityisehdot on tarkoitettu käytettäväksi tilanteissa, joissa toimittaja käsittelee henkilötietoja tilaajan puolesta ja lukuun osana hankittavaa palvelua. Ehtoja ei ole tarkoitettu käytettäväksi sellaisenaan, vaan sopimukseen tulisi aina liittää niiden lisäksi kulloiseenkin palveluun soveltuvat erityisehdot sekä julkisen hallinnon IT-hankintojen yleiset sopimusehdot (JIT 2015 – Yleiset ehdot). Ehdot suositellaan otettavaksi soveltamisjärjestyksessä ennen muita erityisehtoja.
Sopimuksessa tulee tarvittaessa määritellä rekisterinpitäjä ja henkilötietojen käsittelijä sekä huomioida EU:n yleisen tietosuoja-asetuksen (EU 2016/679) vaatimukset henkilötietojen käsittelylle.
Tilaaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Sopimukseen on hyvä liittää tilaajan henkilötietoja koskeva käsittelytoimien kuvaus tai muu asiakirja, josta käy konkreettisesti ilmi, mitä henkilötietoja käsitellään ja mihin tarkoitukseen. EU:n yleisen tietosuoja- asetuksen 28 artiklan mukaan henkilötietojen käsittelyä on määritettävä sitovalla asiakirjalla, jossa vahvistetaan henkilötietojen käsittelyn tarkoitus, luonne, kohde, kesto, henkilötietojen tyypit ja rekisteröityjen ryhmät.
Sopijapuolet määrittelevät yhdessä sopimuksen kohteena olevalta palvelulta vaadittavan turvallisuuden tason, joka perustuu riskiarviointiin ja käsiteltävien tietojen luonteeseen ja laatuun.
Tämä käyttöohje ei ole osa sopimusta.
Sisällys
3 Sopijapuolten roolit henkilötietojen käsittelyssä 2
4 Toimittajan yleiset velvollisuudet 2
7 Alihankkijat, jotka käsittelevät henkilötietoja 3
1 Soveltaminen
(1) Näitä erityisehtoja noudatetaan julkisen hallinnon hankintayksikköjen ostaessa palvelua, jonka yhteydessä toimittaja toimii henkilötietojen käsittelijänä, jos näihin erityisehtoihin on viitattu sopimuksessa eikä näistä ole joiltakin osin sovittu kirjallisesti toisin.
(2) Näitä erityisehtoja käytetään yhdessä julkisen hallinnon IT-hankintojen yleisten sopimusehtojen kanssa. Ristiriitatilanteissa nämä erityisehdot pätevät vastaavilta kohdin ennen edellä mainittuja julkisen hallinnon IT-hankintojen yleisiä sopimusehtoja.
2 Määritelmät
Alla olevien erityisehtojen määritelmien lisäksi noudatetaan JIT 2015 Yleisten ehtojen määritelmiä.
käsittelijä
henkilötietolainsäädännössä tarkoitettu henkilötietoja käsittelevä taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun
käsittelytoimien kuvaus
asiakirja, jossa on yksilöity sopimuksen perusteella käsiteltävät henkilötiedot ja kuvattu, miten niitä käsitellään
rekisterinpitäjä
henkilötietolainsäädännössä tarkoitettu taho, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot
tilaajan henkilötieto
henkilötieto, josta tilaaja vastaa rekisterinpitäjänä
3 Sopijapuolten roolit henkilötietojen käsittelyssä
(1) Tilaaja toimii rekisterinpitäjänä ja toimittaja henkilötietojen käsittelijänä, ellei sopimuksesta tai henkilötietojen käsittelyn tarkoituksesta muuta johdu. Sopimuksessa sovitaan sopijapuolten tarkemmat tehtävät ja vastuut henkilötietojen käsittelyn osalta.
(2) Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä toimittajan ja tilaajan velvollisuudet ja oikeudet kuvataan sopimuksen liitteenä olevassa käsittelytoimien kuvauksessa tai muussa tilaajan ohjeistuksessa. Toimittaja noudattaa sopimuksessa, käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja.
4 Toimittajan yleiset velvollisuudet
(1) Toimittaja noudattaa voimassa olevan henkilötietolainsäädännön edellyttämää hyvää tietojen käsittelytapaa ja henkilötietojen suojaamista koskevia säännöksiä. Toimittaja vastaa siitä, että palvelu on kulloinkin voimassa olevan henkilötietolainsäädännön ja sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.
(2) Toimittaja toteuttaa tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että sen käsittelemät tilaajan henkilötiedot ovat asianmukaisesti suojattuja toimittajan käytäntöjen, sopimuksen vaatimusten ja tilaajan kirjallisen ohjeistuksen mukaisesti. Toimenpiteet perustuvat riskiarviointiin ja niillä varmistetaan henkilötietojen luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.
(3) Toimittaja ei käytä eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.
(4) Toimittaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön tilaajan henkilötietojen käsittelyä varten. Toimittaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot tilaajalle.
(5) Toimittaja saattaa tilaajan saataville kaikki tiedot, jotka ovat tarpeen rekisterinpitäjälle ja käsittelijälle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla tilaajan vastuulla olevien kuvausten ja muiden dokumenttien laatimiseen ja ylläpitämiseen.
(6) Toimittaja ilmoittaa tilaajalle ilman aiheetonta viivästystä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Toimittaja avustaa tilaajaa, jotta tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää toimittajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei toisin ole sovittu, toimittajalla on oikeus laskuttaa tilaajaa, jos avustaminen aiheuttaa lisäkuluja toimittajalle. Toimittaja on velvollinen ennakolta ilmoittamaan tilaajalle mahdollisesti aiheutuvista lisäkuluista.
(7) Ellei toisin sovita, toimittaja on velvollinen ylläpitämään luetteloa rekisteröityjen henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista. Luettelo on luovutettava pyydettäessä tilaajalle.
(8) Toimittaja sallii tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkastusmenettelyä koskevat tarkemmat ehdot ovat julkisen hallinnon IT-hankintojen yleisissä sopimusehdoissa (JIT 2015 – Yleiset ehdot) ja sopimuksessa.
5 Xxxxxxxx xxxxxx
(1) Toimittaja noudattaa tilaajan henkilötietojen käsittelyssä sopimuksessa ja näissä erityisehdoissa sovittuja
ehtoja sekä tilaajan ohjeita. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta. Toimittaja ilmoittaa tilaajalle, jos tilaajan antama ohjeistus on puutteellinen tai jos toimittaja epäilee sitä lainvastaiseksi.
(2) Tilaajalla on oikeus muuttaa, täydentää ja päivittää toimittajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu yksinomaan tilaajalle tuotettaviin palveluihin liittyviä muutoksia, niiden vaikutuksesta sovitaan sopimuksen mukaisessa muutoshallintamenettelyssä.
6 Palveluhenkilöstö
(1) Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä tilaajan henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
(2) Toimittaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy tilaajan henkilötietoihin, käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja tilaajan ohjeiden mukaisesti.
7 Alihankkijat, jotka käsittelevät henkilötietoja
(1) Xxx xxxxxxxxxxx xxxxxxxxxxx käsittelee tilaajan henkilötietoja, alihankkijan käyttäminen ja vaihtaminen edellyttää tilaajan ennakkoon kirjallisesti antamaa lupaa.
(2) Toimittaja sitouttaa käyttämänsä alihankkijat noudattamaan sopimusta ja näitä erityisehtoja sekä tilaajan kulloinkin voimassa olevia ohjeita.
(3) Toimittaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Toimittaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita.
8 Palvelun paikka
(1) Ellei palveluntuotantoalueesta ole toisin sovittu, toimittajalla on oikeus käsitellä tilaajan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityisehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
(2) Jos tilaajan henkilötietoja siirretään Euroopan talousalueen ulkopuolelle, sopijapuolet huolehtivat siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukaisesti.
9 Tietoturvaloukkaukset
(1) Toimittaja ilmoittaa kirjallisesti tilaajalle tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi toimittaja ilmoittaa tilaajalle ilman aiheetonta viivytystä muista palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
(2) Toimittaja ilmoittaa kirjallisesti tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:
i. i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
xx. xx. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;
xxx. xxx. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
xx. xx. kuvaus toimenpiteistä, joita toimittaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.