TURVALLISUUSSOPIMUS PALVELUSETELIPALVELUT

TURVALLISUUSSOPIMUS PALVELUSETELIPALVELUT

Yrityksen nimi          

Y-tunnus           

Tämä turvallisuussopimus täsmentää Toivakan kunnan yleistä palveluseteliohjetta. Palveluntuottaja sitoutuu tämän turvallisuussopimuksen ehtoihin palvelusetelipalveluja tuottaessaan Toivakan kunnan hyväksymänä palvelusetelituottajana. Tämän sopimuksen ehtoja henkilötietojen käsittelystä ja tietosuojasta sovelletaan ensisijaisesti suhteessa palveluseteliohjeeseen.

Tässä turvallisuussopimuksessa määritellään Toivakan kunnan ja Palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palveluntuottaja Toivakan kunnan toimeksiannosta käsittelee henkilötietoja Toivakan kunnan puolesta palvelusetelipalveluja tuottaessaan. Tällä sopimuksella ei kuitenkaan poiketa lainsäädännön asettamista pakottavista velvoitteista.

Näissä ehdoissa kuvatuista Palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole sovittu.

1 Käsittelytoimien kuvaus

Tässä kuvataan käsittelytoimet, joita Palveluntuottaja henkilötietojen käsittelijänä tekee Toivakan kunnan puolesta tuottaessaan palvelusetelin toimintaohjeen mukaista palvelua Toivakan kunnan lukuun, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämän turvallisuussopimuksen tavoite, tarkoitus ja luonne on varmistaa, että palvelussa noudatetaan henkilötietojen käsittelyssä voimassa olevaa tietosuojalainsäädäntöä ja että henkilötietojen käsittelijä noudattaa Toivakan kunnan antamia ohjeita. Tällä varmistetaan henkilötietojen elinkaaren kattava tietosuoja ja tietoturvallisuus, Palveluntuottajan toiminnan vaatimustenmukaisuus ja palvelun jatkuvuus häiriötilanteissa.

Osapuolet ovat sopineet, että Palveluntuottaja tuottaa Toivakan kunnan järjestämisvastuulla olevia lakisääteisiä ja Toivakan kunnan henkilörekisteriin kuuluvia palveluja, jonka vuoksi Palveluntuottajan on käsiteltävä alla kuvattuja henkilötietoja. Palveluntuottaja käsittelee henkilötietoja vain niiden palvelusetelien (yksi tai useampi palveluseteli) osalta, joihin Palveluntuottaja on hyväksytty palveluja tuottamaan.

Henkilötietoja käsitellään seuraaville rekisteröityjen ryhmille ja henkilötietojen tyypeille:

- ikääntyneiden palveluasuminen ja tehostettu palveluasuminen, ikääntyneiden palveluasumisen ja tehostetun palveluasumisen palvelusetelin asiakkaat

Käsiteltäviä tietoja ovat:

- Asiakkaan yksilöinti ja yhteystiedot (esim. nimi, henkilötunnus, kotiosoite, sähköpostiosoite, puhelinnumero, paikannustiedot)

- Palveluseteli-palvelun järjestämistä ja toteuttamista koskevat asiakas ja/tai potilastiedot

Palveluntuottaja käsittelee edellä mainittuja yksilöityjä henkilötietoja tuottaessaan palvelusetelipalveluja. Palveluntuottajalla on oikeus käsitellä Toivakan kunnan aineistoon sisältyviä henkilötietoja vain palveluseteli- ohjeessa mainitulla perusteella ja vain sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa sekä vain siinä määrin ja niin kauan, kuin se on sopimuksen kohteen toteuttamiseksi välttämätöntä. Henkilötiedot palautetaan Toivakan kunnalle tässä sopimuksessa sovitun sekä muiden mahdollisten Toivakan kunnan antamien ohjeiden mukaisesti.

2 Määritelmät

2.1 Henkilötieto tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään

luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

2.2 Käsittely (tietojen käsittely) tarkoittaa toimintoja, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. Tietojen käsittelyä on mm: haku, järjestäminen, jäsentäminen, kerääminen, kopiointi, kysely, käyttö, levitys, luovutus, lukeminen, muokkaus, muuttaminen, poisto, rajoittaminen, siirtäminen, suojaaminen, säilyttäminen, tallentaminen, tuhoaminen, yhdistäminen sekä muut tietoihin kohdistuvat toimenpiteet.

2.3 Palvelu tarkoittaa sitä palvelua, josta Palveluntuottaja tuottaa palvelusetelipalveluna Toivakan kunnan lukuun

2.4 Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.

2.5 Rekisterinpitäjällä tarkoitetaan Toivakan kuntaa ja Käsittelijällä Palveluntuottajaa. Palveluntuottaja toimii rekisterinpitäjänä itsemaksavien asiakkaiden osalta.

3 Alihankkijat

Tässä turvallisuussopimuksessa Palveluntuottajalle ja Palveluntuottajan palveluksessa oleville henkilöille asetetut velvoitteet koskevat myös Palveluntuottajan alihankkijoita ja niiden palveluksessa olevia henkilöitä siltä osin kuin ne osallistuvat palvelun toteuttamiseen.

Palveluntuottajan on tiedotettava alihankkijoille näistä velvoitteista, ja Palveluntuottaja vastaa siitä, että alihankkijat ja niiden palveluksessa olevat

henkilöt noudattavat niitä. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuten omastaan.

Palveluntuottaja vastaa omalla kustannuksellaan henkilökuntansa ja käyttämiensä alihankkijoiden riittävästä kouluttamisesta tietosuojaan ja tietoturvaan liittyvissä asioissa.

Palveluntuottaja ei saa käyttää toisen henkilötietojen käsittelijän palveluja (alihankkija) henkilötietojen käsittelijöinä ilman Toivakan kunnan etukäteen antamaa kirjallista lupaa EU:n tietosuoja-asetuksen 28 artiklan perusteella.

Palveluntuottajalla on velvollisuus ilmoittaa kaikista suunnitelluista henkilötietojen käsittelijämuutoksista eikä käsittelijää saa vaihtaa ja käyttää ilman Toivakan kunnan etukäteen antamaa kirjallista lupaa. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Palveluntuottajalle asetettuja velvoitteita sekä Toivakan kunnan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita.

Palveluntuottaja varmistaa, että sopimuksen mukainen Toivakan kunnan tarkastusoikeus voidaan ulottaa alihankkijaan.

4 Vastuut ja velvollisuudet

Henkilötietojen käsittelijän (Palveluntuottaja) velvollisuudet ja vastuut on määritelty EU:n tietosuoja-asetuksen 28 artiklassa.

4.1 Velvollisuus noudattaa Toivakan kunnan antamia ohjeita

Palveluntuottaja käsittelee henkilötietoja sopimuksen ja Toivakan kunnan antaman ohjeistuksen mukaisesti.

Palveluntuottajan on viipymättä ilmoitettava Toivakan kunnalle, jos Palveluntuottaja epäilee, että sopimus tai sopimuksen kohteen toteuttamisessa käytettävä palveluseteliohjeistus tai käytäntö rikkoo tietosuojalainsäädäntöä tai on puutteellinen. Toivakan kunnalla on oikeus muuttaa, täydentää ja päivittää henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeitaan.

Sopijapuolilla voi olla erillisiä tietosuojaan liittyviä sisäisiä ohjeita. Sopijapuolten tulee noudattaa niitä siltä osin kuin ne eivät ole ristiriidassa sopimuksen kanssa. Sopijapuolet pyrkivät mahdollisuuksien mukaan huomioimaan toistensa tietosuojaan liittyvät sisäiset ohjeet.

4.2 Velvollisuus noudattaa lainsäädäntöä

Sopijapuolet sitoutuvat noudattamaan tietoturvallisuudesta, tietosuojasta, julkisuudesta ja salassapidosta annettua lainsäädäntöä sekä lainsäädännön nojalla annettuja viranomaismääräyksiä.

Palveluntuottaja vakuuttaa tuntevansa esimerkiksi tietosuoja-asetuksen sisällön, mukaan lukien muun muassa 28 ja 32 artiklassa henkilötietojen käsittelijälle asetetut velvollisuudet. Palveluntuottajan tietosuojalainsäädännön vastaista tahallista tai törkeän huolimatonta menettelyä pidetään perusteena peruuttaa palveluntuottajan hyväksyminen.

Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Toivakan kunnan henkilötietoja, ovat sitoutuneet noudattamaan salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Toivakan kunnan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Toivakan kunnan ohjeiden mukaisesti.

Palveluntuottaja esittää pyynnöstä viivytyksettä yksilöityinä henkilöt, jotka käsittelevät Toivakan kunnan henkilötietoja.

4.3 Toimet tietosuojalainsäädännön vaatimusten noudattamisen turvaamiseksi

Palveluntuottajan tulee arvioida henkilötietojen käsittelyyn rekisteröityjen kannalta liittyvät riskit sekä toteuttaa riittävät tekniset ja organisatoriset toimet sen varmistamiseksi, että henkilötietojen käsittely täyttää

tietosuojalainsäädännön vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

Palveluntuottaja huolehtii esimerkiksi käsittelemiensä henkilötietojen asianmukaisesta suojaamisesta varmistaakseen niiden luottamuksellisuuden, eheyden ja saatavuuden sekä noudattaa sopimuksen kohteen toteuttamisessa sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta.

Sopijapuolet vastaavat siitä, että sopimuksen mukaiset tehtävät tehdään huolellisesti ja ettei Toivakan kunnan aineiston tai luottamuksellisten tietojen luottamuksellisuus, saatavuus tai eheys vaarannu sopijapuolten henkilöstön huolimattomuuden, virheellisten työtapojen tai muun sopimuksen vastaisen toiminnan johdosta.

4.4 Tietosuojaan ja tietoturvallisuuteen liittyvät tehtävät, vastuut ja raportointi

Sopijapuolten tulee määritellä organisaatiossaan tietosuojaan ja - turvallisuuteen liittyvät tehtävät ja vastuut sekä nimetä kokemukseltaan ja pätevyydeltään riittävät vastuuhenkilöt ja ilmoittaa heidän yhteystietonsa toiselle sopijapuolelle.

Tietosuojavastaava

Palveluntuottajalla tulee olla nimetty tietosuojavastaava, jonka tehtävien hoidosta Palveluntuottaja on velvollinen raportoimaan Toivakan kunnan tarvittaessa. Lisäksi on huolehdittava tietoturvasta. Sama henkilö voi toimia tietosuoja- ja tietoturvavastaavana, mikäli hänellä on siihen osaaminen.

Tietosuojavastaavan tehtävät määritellään EU:n tietosuoja-asetuksessa. Tietosuojavastaava huolehtii, että tässä palvelussa noudetaan hyvää tietojen käsittelytapaa. Palveluntuottaja ei veloita erikseen tietosuoja- ja tietoturvavastaavan toiminnasta.

Toivakan kunnan tietosuojavastaava on Xxxx Xxxxxxxx, p. 040 590 1081, xxxx.xxxxxxxx@xxxxxxxx.xx

Raportointi

Palveluntuottaja laatii pyydettäessä raportin, josta tulee ilmetä, kuinka lainsäädäntöä ja tietosuojaperiaatteita on noudatettu. Raportissa tulee olla vähintään seuraavat tiedot: tietoturvallisuustoimenpiteet EU:n tietosuoja- asetuksen 32 artiklan mukaisesti, ohjelmistoturvallisuus ja jatkuvuuden varmistaminen, tietoturvapoikkeamat (lukumäärä, aiheet/syyt ja tehdyt korjaustoimenpiteet sekä tieto, onko toimenpiteet loppuun suoritettu ja mitkä ovat keskeneräisiä ja näiden valmistumisajankohta). Raportin laatiminen kuuluu palvelun hintaan.

Raportti ja muita palvelun tuottamiseen liittyviä asioita käsitellään tarvittaessa pidettävässä seurantakokouksessa.

Seloste henkilötietojen käsittelytoimista

Palveluntuottajan henkilötietojen käsittelijänä on ylläpidettävä selostetta käsittelytoimista, josta ilmenee EU:n tietosuoja-asetuksen 30 artiklan 2 a-d kohdissa mainitut tiedot.

Toivakan kunnalla on oikeus pyytää Palveluntuottajaa toimittamaan seloste aina, kun Toivakan kunta katsoo siihen olevan tarvetta.

Lisätietoa selosteen laatimisesta ja mallipohja löytyy tietosuojavaltuutetun toimiston verkkosivuilta:

xxxxx://xxxxxxxxxx.xx/xxxxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxxxx-xxxxxxxxxxxxxxxxx

4.5 Tietoturvaloukkaukset

Palveluntuottajalla on velvollisuus ilmoittaa Toivakan kunnalle tietoturvaloukkauksista EU:n tietosuoja-asetuksen 33 artiklassa määritellyin tiedoin ilman aiheetonta viivytystä, viimeistään 24 tunnin sisällä saatuaan sen tietoonsa. Ilmoitus tehdään ensisijaisesti palvelusetelin yhteyshenkilölle ja kiireellisissä tapauksissa lisäksi Toivakan kunnan tietosuojavastaavalle (xxxx.xxxxxxxx@xxxxxxxx.xx).

Palveluntuottajan on lisäksi ilmoitettava välittömästi, mikäli hän havaitsee organisaatiossaan tapahtuneen tietojen väärinkäytöksiä. Palveluntuottaja aloittaa viipymättä korjaustoimenpiteet, jotka kuuluvat palvelun hintaan. Vahingot tulee minimoida.

Tietoturvaa koskevat tietoturvaloukkaukset ovat esimerkiksi järjestelmissä, sovelluksissa ja laitteissa ilmenneet loukkaukset, esimerkiksi tietomurrot, salaisen tiedon paljastuminen esimerkiksi haittaohjelman takia. Lisäksi kyse voi olla esimerkiksi toimitiloihin kohdistuneesta murrosta.

Tietosuojaloukkauksia voivat olla esimerkiksi tiedon virheellinen säilytys esim. tietosuojajätettä löytyy roskakorista tai lukitsemattomasta tilasta, asiakaskirje on postitettu väärään osoitteeseen, tieto on välittynyt ulkopuoliselle varomattoman puhelun johdosta.

4.6 Tietosuoja-asetuksen mukainen vahingonkorvaus

Rekisteröidyn oikeus korvauksiin (EU:n tietosuoja-asetus 79–82 artiklat)

Jokaisella rekisteröidyllä (asiakkaalla/potilaalla) on oikeus tehokkaisiin oikeussuojakeinoihin, jos tietosuoja-asetusta ei ole noudatettu ja hänen oikeuksiaan on loukattu. Jos asiakkaalle/potilaalle aiheutuu asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, on hänellä oikeus saada korvausta rekisterinpitäjältä tai henkilötietojen käsittelijältä. Rekisterinpitäjän ja henkilötietojen käsittelijän vastuu on täysimääräinen aineellisesta ja aineettomasta vahingosta. Mikäli toinen Sopijapuoli maksaa täyden korvauksen aiheutuneesta vahingosta, on toisella Sopijapuolella oikeus periä toiselta Sopijapuolelta se osuus korvauksesta, joka vastaa Sopijapuolen osuutta vahingosta.

Korvausvelvollisuus rekisteröidylle on sillä Sopijapuolella, joka on loukannut rekisteröidyn oikeuksia ja aiheuttanut vahinkoa. Palveluntuottaja voi vapautua korvausvastuusta, jos se osoittaa, ettei ole millään tavalla aiheuttanut vahinkoa. Mikäli Toivakan kunta maksaa tai määrätään maksamaan korvaus rekisteröidylle ja korvauksen maksamisen jälkeen osoittautuu, että vahingon on aiheuttanut Palveluntuottaja, on Toivakan kunnalla oikeus periä vastaava summa Palveluntuottajalta. Mikäli vahingon on aiheuttanut Palveluntuottajan

alihankkija, vastaa Palveluntuottaja alihankkijan toiminnasta kuin omastaan ja on korvausvelvollinen Toivakan kunnalle alihankkijan aiheuttamista vahingoista.

Vahingonkorvaus

Xxx Xxxxxxxxxxxxxxxx tai alihankkija on toiminut tietosuoja-asetuksen tai muun tietosuojalainsäädännön tai sopimuksen ja/tai Toivakan kunnan ohjeiden vastaisesti ja tästä on aiheutunut Toivakan kunnalle tai rekisteröidylle aineellista tai aineetonta vahinkoa, on Palveluntuottaja velvollinen korvaamaan kyseisen vahingon täysimääräisesti

4.7 Palveluntuottajan avustamis- ja tiedonantovelvollisuus Sopijapuolet pyrkivät kaikin käytettävissään olevin kohtuullisin keinoin myötävaikuttamaan sopimuksen kohteen toteuttamisessa laadukkaan

tietosuojan tasoon ja toisen sopijapuolen mahdollisuuteen omalta osaltaan ylläpitää sitä vähintään kulloinkin voimassa olevan lainsäädännön määrittämällä tasolla.

Rekisteröityjen tietopyynnöt tulee toimittaa viipymättä Toivakan kunnan kirjaamoon. Tietopyyntöjä ovat asiakas- tai potilastietojen ja lokitietojen tarkastuspyynnöt. Palveluntuottaja ei itse vastaa näihin pyyntöihin.

Palveluntuottaja avustaa Toivakan kuntaa, jotta kunta pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin.

Palveluntuottajan tulee myös pyynnöstä tehdä EU:n tietosuoja-asetuksen 31 artiklan mukaista yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Palveluntuottajan tulee antaa Toivakan kunnalle kaikki tiedot, jotka ovat tarpeen tietosuojalainsäädännössä asetettujen velvoitteiden noudattamisen osoittamista varten. Palveluntuottajan tulee jatkuvasti ylläpitää mainittuja tietoja ja arvioida toimenpiteiden riittävyyttä.

Palveluntuottaja sallii Toivakan kunnan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin.

Palveluntuottajan tulee oma-aloitteisesti ilmoittaa Toivakan kunnalle henkilötietojen käsittelypaikat ja niiden muutokset, elleivät ne selvästi ilmene sopimuksesta tai Toivakan kunnan käytettävissä olevasta dokumentaatiosta.

4.8 Henkilötietojen käsittely ulkomailla

Jos nimenomaisesti ei ole toisin sovittu, Palveluntuottaja ei saa käsitellä Toivakan kunnan aineiston sisältämiä henkilötietoja ETA-alueen ulkopuolella.

4.9 Toivakan kunnan aineiston palauttaminen ja hävittäminen Palveluntuottaja toimittaa palvelun yhteydessä syntyneet asiakas- ja potilasasiakirjat palvelun päätyttyä Toivakan kunnan arkistoon tietoturvalli- sesti. Kaikista mahdollisista tietojen siirrosta aiheutuvista kuluista vastaa Palveluntuottaja.

Tiedot toimitetaan Toivakan kunnalle ensisijaisesti paperimuodossa. Potilas- ja asiakastiedot palautetaan täydellisinä (kaikki asiakirjat). Sähköisiin järjestelmiin tehdyt kirjaukset tulostetaan paperille. Suoraan Toivakan kunnan tietojärjestelmiin tallennettuja tietoja ei tarvitse tulostaa tai siirtää. Muussa kuin paperimuodossa tapahtuvasta siirrosta on sovittava Toivakan kunnan kanssa. Tiedot on oltava järjestettynä asiakaskohtaisesti henkilöt eroteltuna. Luovutuksesta laaditaan siirtoluettelo. Toivakan kunta voi antaa tietojen toimittamisesta tarkempia ohjeistuksia.

Palveluntuottaja vastaa siitä, että sen haltuun ei toimeksiannon päättyessä jää Toivakan kunnan lukuun säilytettyjen henkilötietojen kopioita eikä tallenteita.

Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Toivakan kunnan lukuun käsittelemiään henkilötietoja ilman kunnan nimenomaista pyyntöä.

Henkilötietoja sisältävät jätteet, esim. käytetty dosetti, tulee hävittää tietoturvallisesti.

5 Sopimuksen voimaantulo

Tämä sopimus tulee voimaan, kun molemmat Sopijapuolet ovat sen asianmukaisesti allekirjoittaneet. Tätä sopimusta on tehty kaksi (2) yhdenmukaista kappaletta, yksi (1) kummallekin sopijapuolelle.

Pyydämme palauttamaan toisen kappaleen allekirjoitettuna osoitteella:

Toivakan kunta Sosiaalitoimi Iltaruskontie 2

41660 Toivakka Paikka ja aika

Toivakan kunta Palveluntuottaja

Etunimi Sukunimi Etunimi Sukunimi