Sopimusosapuolet:

1. Sopimus toimeksiannosta suoritetusta tietojenkäsittelystä, laadittu yleisen tietosuoja-asetuksen 28 artiklan mukaisesti

Sopimusosapuolet:

Toimeksiantaja (vastuuhenkilö):

[Hoitava lääkäri] Ja

Toimeksisaaja (käsittelijä):

Ruma GmbH Aachener Str. 338 D-50933 Köln

Johdanto-osa

(1) Tällä sopimuksella täsmennetään tietosuojalainsäädäntöön perustuvat velvoitteet, jotka sitovat sopimusosapuolia sen myötä, että ne käyttävät Ruma Digital System Pro

-sovellusta. Sitä sovelletaan kaikkiin toimiin, joiden yhteydessä toimeksisaajan työntekijät tai sen toimeksiannosta toimivat kolmannet osapuolet voivat olla tekemisissä toimeksiantajan henkilötietojen kanssa. Tämän sopimuksen säännöksiä sovelletaan soveltuvin osin, jos toimeksisaaja tai tämän toimeksiannosta toimiva kolmas osapuoli tarkistaa tai huoltaa (paikalla tai etänä) automaattisia menetelmiä tai tietojenkäsittelylaitteita ja jos tällöin on mahdollista saada tietoon henkilötietoja.

(2) Jos pääsopimuksen päätyttyä annetaan jatkotoimeksianto, tämän sopimuksen säännöksiä sovelletaan myös jatkotoimeksiantoon. Tällöin ei ole tarpeen, että tätä sopimusta jatkettaisiin nimenomaisesti tai että se tehtäisiin nimenomaisesti uudelleen. Xxxxxxxxxxxx korvaa tällöin täysin tämän sopimuksen sisällön ja käsitteet. Edellä todetun huomioon ottaen osapuolet sopivat seuraavaa:

1.1. Sopimuksen sisältö ja kesto

(1) Toimeksianto kattaa seuraavat asiat: Hoitava lääkäri käyttää Ruma Digital System Pro -sovellusta ja potilas Ruma Digital System -sovellusta; potilas videoi nauttimisen; hoitava lääkäri arvioi kuvatun videon; lääkärin yksityinen avain tallennetaan salatusti laitteeseen; palveluntarjoajat siirtävät ja tallentavat tietoja salatusti Ruma Digital System (Pro) -sovelluksen toiminnan turvaamiseksi.

(2) Toimeksisaaja käsittelee tässä yhteydessä tämän tietosuojasopimuksen nojalla henkilötietoja toimeksiantajaa varten EU:n yleisen tietosuoja-asetuksen (GPDR) 4 artiklan 2 kohdassa ja 28 artiklassa tarkoitetulla tavalla.

(3) Sopimuksella sovittu palvelu toimitetaan ainoastaan Saksassa.

1.2. Ohjeiden antaminen

(1) Hoitava lääkäri ei xxxx xxxxxxx. Käsittelyyn käytetty menettely on täysin automaattinen.

1.3. Toimeksiannon kesto

(1) Sopimus koskee Ruma Digital System (Pro) -sovelluksen käyttöä.

2. Henkilötietojen luonne

• Anonymisoidut potilastiedot

o Potilaan suostumus ja suostumustekstin versio

o Potilassovelluksen tunniste, salattu, varustettu aikaleimalla

o Annettujen merkkiaineiden tunniste, salattu, varustettu aikaleimalla

o Viittaus salattuun videotiedostoon, varustettu aikaleimalla

o Tulos arviosta, jonka lääkäri antaa katsottuaan videon, varustettu aikaleimalla

 Hoitavan lääkärin yhteystiedot

 Hoitavan lääkärin yksityinen avain

2.1. Asianosaiset henkilöryhmät

• Potilaat

• Hoitava lääkäri

• Hoitavan lääkärin työntekijät

2.2. Toimeksiantajan oikeudet ja velvollisuudet

(1) Toimeksiantaja ilmoittaa toimeksisaajalle välittömästi, jos toimeksiannon lopputulosta tarkistettaessa havaitaan virheitä tai poikkeamia.

(2) Toimeksiantaja on velvollinen käsittelemään luottamuksellisina kaikki sopimuksen myötä saamansa tiedot toimeksisaajan liikesalaisuuksista ja tietoturvatoimenpiteistä. Kyseistä velvoitetta sovelletaan myös tämän sopimuksen päätyttyä.

(3) Ruma Digital-System Prossa käytetyn tabletin käyttö yksityistarkoituksiin on erityisesti kielletty. Laitetta saa käyttää vain lääketieteellisen vastaanoton yhteydessä ja vain lääketieteellisen vastaanoton työntekijöiden toimesta, ja se on suojattava häviämiseltä ja luvattomalta käytöltä turvakoodin avulla.

2.3. Tahot, joille toimeksiantajalla on oikeus antaa ohjeita, ja toimeksisaajalta ohjeita vastanottavat tahot

(1) Ei ole nimetty henkilöitä, joilla on oikeus antaa ohjeita. Käsittely on kokonaisuudessaan automaattista.

3. Toimeksisaajan velvollisuudet

(1) Toimeksisaaja käsittelee henkilötietoja ainoastaan täysin automatisoidusti Ruma Digital System -sovelluksen mahdollistamalla tavalla.

(2) Toimeksisaaja varmistaa, että toimeksiantajaa varten käsitellyt tiedot pidetään täysin erillään muista tiedoista.

(3) Toimeksisaajan on tehtävä tarvittavissa määrin yhteistyötä toimeksiantajan kanssa ja tuettava tätä mahdollisuuksien mukaan asianmukaisesti, jotta toimeksiantaja voi noudattaa EU:n yleisen tietosuoja-asetuksen 11–22 artiklassa tarkoitettuja asianosaisille henkilöille kuuluvia oikeuksia, luoda käsittelytoimia koskevan rekisterin ja arvioida tietosuojaa koskevat vaikutuksensa vaaditulla tavalla (yleisen tietosuoja- asetuksen 28 artiklan 3 kohdan toisen virkkeen e ja f luetelmakohta). Sen on toimitettava tätä varten tarvittavat tiedot viipymättä toimeksiantajalle.

(4) Toimeksisaaja vahvistaa tuntevansa EU:n yleisen tietosuoja-asetuksen tietosuojasäännökset, jotka koskevat toimeksiannosta suoritettua tietojenkäsittelyä.

(5) Kun toimeksisaaja käsittelee henkilötietoja toimeksiannon mukaisesti, se on velvoitettu varmistamaa kyseisten tietojen luottamuksellisuus. Kyseistä velvoitetta sovelletaan myös sopimuksen päättymisen jälkeen.

(6) Toimeksisaaja valvoo, että hänen yrityksessään noudatetaan tietosuojasäännöksiä.

(7) Toimeksisaajan tietosuojavastaava on Xxxxxx Xxxxx, Cyclops GmbH, xxxxxx.xxxxx@xxxxxxx.xx.

(8) Toimeksiantajalle on ilmoitettava välittömästi, jos tietosuojavastaava vaihtuu.

4. Toimeksisaajan velvoite ilmoittaa käsittelyssä ilmenevistä häiriöistä ja henkilötietojen tietoturvaloukkauksista

(1) Toimeksisaajan on ilmoitettava toimeksiantajalle viipymättä (viimeistään kuitenkin kahden tunnin kuluessa), jos ilmenee häiriöitä, jos toimeksisaaja tai tämän palveluksessa olevat henkilöt rikkovat tietosuojasäännöksiä tai tässä sopimuksessa sovittua ja jos epäillään, että käsiteltyjen henkilötietojen tietosuojaa rikotaan tai että henkilötietojen käsittelyssä ilmenee poikkeuksia. Kyseinen määräaika koskee myös erityisesti ilmoitusvelvollisuuksia, joita toimeksiantajalla on mahdollisesti EU:n yleisen tietosuoja-asetuksen 33 ja 34 artiklan perusteella. Toimeksisaajan on varmistettava, että hän pystyy tarvittaessa tukemaan toimeksiantajaa asianmukaisella tavalla täyttämään velvoitteet, joita tarkoitetaan EU:n yleisen tietosuoja-asetuksen 33 ja 34 artiklassa (EU:n yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan 2 virkkeen f luetelmakohta). Toimeksisaaja saa tehdä toimeksiantajan puolesta EU:n yleisen tietoturva-asetuksen 33 ja 34 artiklassa tarkoitettuja ilmoituksia ainoastaan saatuaan tähän kirjalliset ohjeet. Toimeksisaajan on noudatettava kyseisten ilmoituksen tekemisessä tämän sopimuksen 4 kohtaa.

(2) Osapuolet ovat tietoisia siitä, että EU:n yleisessä tietosuoja-asetuksessa velvoitetaan toimeksiantajia tai tämän toimeksiantajia ilmoittamaan edellä mainituista asioista 72 tunnin kuluessa ja että kyseinen määräaika on Saksan televiestintäasetuksen (TKG) mukaan 24 tuntia.

5. Suhteet alihankkijoihin alihankintaa koskevissa asioissa (EU:n yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan toisen virkkeen d luetelmakohta)

(1) Toimeksisaajan on varmistettava sopimuksella, että sovittuja toimeksiantajan ja toimeksisaajan välisiä säännöksiä sovelletaan myös alihankkijoihin. Alihankkijoiden kanssa tehdyissä sopimuksissa on esitettävä tiedot täsmällisesti siten, että toimeksisaajan ja alihankkijan velvoitteet erotellaan selkeästi toisistaan. Tämä koskee myös alihankkijoiden välisiä vastuita, jos käytetään useita alihankkijoita. Erityisesti todettakoon, että toimeksiantajalla, hänen liikekumppaneillaan ja heidän toimeksiannosta toimivilla kolmansilla osapuolilla on oltava oikeus tehdä tarvittaessa asianmukaisia tarkistuksia ja tarkastuksia (mukaan lukien paikalla tehtävät tarkistukset ja tarkastukset) alihankkijoille.

(2) Sopimus on tehtävä alihankkijan kanssa kirjallisena.

(3) Toimeksisaajan on valvottava asianmukaisesti, että kaikki alihankkijat noudattava velvoitteitaan. Valvonnan tulokset on kirjattava ja luovutettava pyydettäessä toimeksiantajalle.

(4) Toimeksisaaja on vastuussa toimeksiantajalle siitä, että alihankkija noudattaa tietosuojavelvoitteita, joita toimeksisaaja on velvoittanut sitä noudattamaan sopimuksella tämän sopimuskohdan mukaisesti.

(5) Liitteessä ”alihankkijat” on nimetty alihankkijat,

jotka käsittelevät tällä hetkellä tietoja toimeksisaajan puolesta sopimuksessa määritetyissä määrin. Kyseiseen liitteeseen on merkitty kyseisten alihankkijoiden nimi, osoite ja toimeksiannon sisältö. Toimeksiantaja vahvistaa suostuvansa siihen, että kyseiset alihankkijat suorittavat toimeksiantoa.

(6) Käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat kulloinkin käytettyjen alihankkijoiden vaihtamista tai uusien alihankkijoiden lisäämistä. Täten toimeksiantajalla on mahdollisuus vastustaa tällaisia muutoksia (EU:n yleisen tietosuoja-asetuksen 28 §:n 2 kohdan toinen virke).

6. EU:n yleisen tietosuoja-asetuksen 32 artiklassa tarkoitetut tekniset ja organisatoriset toimenpiteet (EU:n yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan toisen virkkeen c luetelmakohta)

(1) On varmistettava, että toimeksiantoon liittyviä käsittelytoimia suoritettaessa noudatetaan turvallisuustasoa, joka on asianosaisten luonnollisten henkilöiden perusoikeuksiin ja -vapauksiin kohdistuvan riskin mukainen. Turvallisuustason noudattamiseen kuuluu, että järjestelmien ja palveluiden luottamuksellisuutta, käytettävyyttä ja eheyttä suojellaan. On myös varmistettava, että vikasietoisuus on riittävä suhteessa käsittelyn tapaan, laajuuteen, olosuhteisiin ja tarkoitukseen. Kyseisiä asioita on suojeltava ja vikatiesietoisuus varmistettava siten, että asianmukaisilla teknisillä ja organisatorisilla korjaavilla toimenpiteillä pysytään lieventämään kyseistä riskiä jatkuvasti.

(2) Toimeksiantajan on arvioitava asianmukaisesti ja todistettavasti, millaisia riskejä liittyy toimeksiannon mukaiseen henkilötietojen käsittelyyn. Xxxxxxxx on otettava huomioon, kuinka todennäköisesti oikeuksiin ja vapauksiin kohdistuvat riskit toteutuvat ja kuinka vakavia kyseiset riskit ovat.

(3) Tämän sopimuksen yhteydessä tarkasteltavissa olevassa Ruma Digital System - sovelluksen tietosuoja- ja tietoturvakonseptissa on määritelty erilaisia teknisiä ja organisatorisia toimenpiteitä, jotka soveltuvat määritellyn riskin torjumiseen. Niissä otetaan huomioon suojeltavat asiat, ja ne on eritelty eri tekniikoiden osalta yksityiskohtaisesti siten, että otetaan erityisesti huomioon toimeksisaajan käyttämät tietojärjestelmät ja käsittelymenettelyt.

(4) Jos toimeksisaaja sopii toimeksiantajan kanssa merkittävistä muutoksista, nämä on dokumentoitava (kirjallisesti tai sähköisesti). Dokumentoidut sopimukset on säilytettävä tämän sopimuksen voimassaolon ajan ja kolme vuotta tämän jälkeen.

7. Vastuu

(1) Lähtökohtaisesti viitataan EU:n yleisen tietosuoja-asetuksen 82 artiklaan. Muilta osin toimeksisaaja vapauttaa toimeksiantajan kaikista tämän vaikutuspiirissä oleviin tietosuojarikkomuksiin liittyvästä vastuusta.

8. Muuta

(1) Lisäsopimukset on laadittava ja purettava kirjallisesti.

(2) Toimeksiantajaa varten käsiteltyjen tietojen ja näiden käsittelyyn käytettyjen tietovälineiden osalta ei voida vaatia Saksan siviililain 273 §:ssä tarkoitetun pidätysoikeuden soveltamista.

(3) Jos jotkin tämän sopimuksen yksittäiset säännökset ovat pätemättömiä tai jos niistä tulee pätemättömiä, tällä ei ole vaikutusta minkään muun tämän sopimuksen säännöksen pätevyyteen. Jos jokin tämän sopimuksen säännös on pätemätön, sopimusosapuolet ovat velvollisia neuvottelemaan korvaavasta säännöksestä, joka vastaa mahdollisimman paljon pätemätöntä säännöstä sopimusosapuolten tavoittelemien taloudellisten päämäärien osalta ja joka on sisällöltään lainsäädännön mukainen.

(4) Sovelletaan Saksan lainsäädäntöä.

[Hoitava lääkäri Ruma GmbH

Esimerkkikaupunki] Köln

Sähköinen suostumus: Xxxxxxxxx suostumus:

[Päivämäärä] [Päivämäärä]