Henkilötietojen käsittelyn ehdot palveluntuottajille
Henkilötietojen käsittelyn ehdot palveluntuottajille
1. Osapuolet
Rekisterinpitäjä: Keski-Suomen hyvinvointialueen aluehallitus on palve-
lusetelitoiminnassa syntyneiden henkilötietojen Rekis- terinpitäjä.
Henkilötietojen
käsittelijä: Palvelusetelituottajaksi hyväksytty yritys toimii Tieto-
suoja-asetuksen mukaisena käsittelijänä ja käsittelee palveluissa käytettäviä Henkilötietoja Rekisterinpitäjän lukuun. Henkilötietojen käsittelijä kuvataan tässä doku- mentissa termillä Palveluntuottaja.
Palveluntuottajan tulee nimetä henkilötietojen käsittelystä vastaava henkilö ja/tai tietosuoja-asetuksen niin edellyttäessä tietosuojavastaava hakeutuessaan palve- luntuottajaksi. Palveluntuottajan on pidettävä vastuuhenkilön ja/tai tietosuojavas- taavan yhteystiedot ajan tasalla ja ilmoitettava viipymättä muutoksista.
Täyttäessään tuottajan palvelukohtaisen hakemuslomakkeen Palse.fi-portaalissa Palveluntuottaja hyväksyy nämä Henkilötietojen käsittelyn ehdot.
2. Ehtojen tausta ja tarkoitus
Palveluntuottaja käsittelee kyseisiä Henkilötietoja Rekisterinpitäjän lukuun ja toi- meksiannosta näissä henkilötietojen käsittelyn ehdoissa sovitulla tavalla. Liitteessä 1 on kuvaus rekisteröityjen ryhmistä, tietoturvamenettelyistä ja siitä, mihin tarkoi- tukseen Palveluntuottaja käsittelee Rekisterinpitäjän henkilötietoja.
Molemmat osapuolet ymmärtävät ja hyväksyvät, että heillä on lakisääteinen vel- vollisuus noudattaa Tietosuoja-asetusta ja näitä henkilötietojen käsittelyehtoja. Osapuolet ymmärtävät, että viranomaiset voivat antaa määräyksiä ja ohjeita Tieto- suoja-asetuksen soveltamisalalla näiden henkilötietojen käsittelyehtojen hyväksy- misen jälkeen. Osapuolet ovat velvollisia noudattamaan näitä määräyksiä ja ohjeita.
Ellei tässä Henkilötietojen käsittelyn ehdoissa ole nimenomaisesti toisin ilmoitettu, Palveluntuottaja vastaa itse kaikista kustannuksista, joita sille aiheutuu Tietosuoja- lainsäädännön ja tämän Henkilötietojen käsittelyn ehtojen noudattamisesta.
3. Määritelmät
”Henkilötieto” tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnol- liseen henkilöön liittyviä tietoja, joista voidaan suoraan tai epäsuoraan tunnistaa henkilö. Henkilö on terveydenhuollon potilas tai sosiaalihuollon asiakas ja hänestä käytetään myös nimitystä ”rekisteröity”.
”Erityinen henkilötieto” tarkoittaa sellaista henkilötietoa, josta ilmenee rotu tai et- ninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisiä tai biometrisiä tietoja henkilön yksiselit- teistä tunnistamista varten tai terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevia tietoja
”Henkilötietojen käsittelyn ehdot” tarkoittaa tätä henkilötietojen käsittelyn ehtoja liitteineen;
”Tietosuoja-asetus” tarkoittaa Euroopan Unionin yleistä tietosuoja-asetusta 2016/679, jonka soveltaminen alkoi 25.5.2018;
”Tietosuojalainsäädäntö” tarkoittaa EU:n yleistä tietosuoja-asetusta sekä muuta henkilötietojen käsittelyyn ja salassapitoon kulloinkin sovellettavaa lakia.
”Tietoturvaloukkaus” tarkoittaa tapahtumaa, jonka seurauksena on käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin tai tapahtumaa, jossa Hen- kilötietojen tietoturva on vaarantunut.
4. Rekisterinpitäjän oikeudet ja velvollisuudet
Rekisterinpitäjä käsittelee Henkilötietoja Tietosuojalainsäädännön mukaisesti. Re- kisterinpitäjä antaa Palveluntuottajalle kirjalliset ohjeet Henkilötietojen käsittelyä varten tässä sopimuksessa ja sen liitteissä sekä mahdollisissa muissa dokumen- teissa. Rekisterinpitäjällä on oikeus yksipuolisesti muuttaa tai täydentää ohjeita.
Rekisterinpitäjä säilyttää määräysvallan ja kaikki oikeudet Henkilötietoihin, mukaan lukien oikeudet Henkilötietojen käsittelystä syntyviin tietoihin (lokitietoihin).
5. Palveluntuottajan yleiset velvollisuudet
Palveluntuottaja käsittelee Henkilötietoja ammattitaitoisesti, huolellisesti, Tieto- suojalainsäädännön ja näiden Henkilötietojen käsittelyn ehtojen mukaisesti. Palve- luntuottajalla ei ole oikeutta käsitellä Henkilötietoja mihinkään muuhun kuin liit- teessä 1 kuvattuun tarkoitukseen.
Palveluntuottaja sitoutuu käsittelemään Henkilötietoja ainoastaan Rekisterinpitä- jän toimittamien kirjallisten ohjeiden mukaisesti, paitsi jos Palveluntuottajaan Suo- messa sovellettavassa laissa toisin vaaditaan. Tällöin Palveluntuottajan tulee tie- dottaa Rekisterinpitäjälle kyseisestä oikeudellisesta vaatimuksesta ilman aihee- tonta viivytystä ennen käsittelyä, ellei tiedottaminen ole lain mukaan kiellettyä. Pal- veluntuottajan tulee välittömästi ilmoittaa Rekisterinpitäjälle, jos Rekisterinpitäjän antamat ohjeet Henkilötietojen käsittelemiseksi ovat puutteellisia tai jos ne eivät ole lainmukaisia.
Rekisterinpitäjän kirjallisesta pyynnöstä Palveluntuottaja avustaa ja tukee Rekiste- rinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Rekiste- rinpitäjä voi täyttää velvollisuutensa vastata pyyntöihin, jotka koskevat seuraavia, Tietosuoja-asetuksen luvussa 3 säädettyjen rekisteröidyn oikeuksien käyttämistä:
a) oikeus saada pääsy tietoihin;
b) oikeus tietojen oikaisemiseen ja poistamiseen;
c) oikeus käsittelyn rajoittamiseen;
d) oikeus siirtää Henkilötiedot järjestelmästä toiseen; ja
e) oikeus vastustaa Henkilötietojen käsittelyä.
Osapuolien tulee ilman aiheetonta viivytystä rekisteröidyn oikeuksien käyttämistä koskevan pyynnön vastaanottamisesta ilmoittaa pyynnöstä toiselle osapuolelle, jos pyynnön toteuttaminen edellyttää toimenpiteitä toiselta osapuolelta. Jos pyyn- nön toteuttaminen edellyttää toimenpiteitä Palveluntuottajalta, Palveluntuottaja toteuttaa pyynnön välittömästi saatuaan asiasta tiedon ja noudattaa Rekisterinpi- täjän mahdollisesti asiassa antamia lisäohjeita.
Palveluntuottajan tulee toimittaa Rekisterinpitäjälle tarvittava dokumentaatio sen varmistamiseksi, että pyyntö on asianmukaisesti toteutettu. Jos rekisteröidyn pyyntö koskee oikeutta saada pääsy tietoihin, Palveluntuottaja toimittaa Rekiste- rinpitäjän pyynnön mukaisesti joko jäljennöksen rekisteröidyn käsiteltävistä Henki- lötiedoista tai toimittaa tiedot yleisesti käytetyssä sähköisessä muodossa.
Palveluntuottaja auttaa Rekisterinpitäjää varmistamaan, että Rekisterinpitäjä pys- tyy toteuttamaan Tietosuoja-lainsäädännön mukaiset velvoitteensa. Palveluntuot- taja avustaa Rekisterinpitäjää seuraavien, Tietosuoja-asetuksen 32–36 artikloissa säädettyjä velvoitteiden noudattamisessa:
a) Henkilötietojen käsittelyn turvallisuuden toteuttaminen asianmukai- silla teknisillä ja organisatorisilla toimenpiteillä;
b) Tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle ja re- kisteröidyille;
c) osallistuminen Rekisterinpitäjän pyynnöstä tietosuojaa koskevan vai- kutustenarvioinnin tekemiseen; ja
d) osallistuminen Rekisterinpitäjän pyynnöstä valvontaviranomaisen en- nakkokuulemiseen.
Palveluntuottaja saattaa Rekisterinpitäjän saataville kaikki tiedot, jotka ovat tar- peen Rekisterinpitäjälle Tietosuojalainsäädännössä säädettyjen velvollisuuksien noudattamisen osoittamiseksi. Palveluntuottaja sallii Rekisterinpitäjän tai sen val- tuuttaman auditoijan suorittamat auditoinnit näiden Henkilötietojen käsittelyn eh- tojen kohdan 11 mukaisesti.
6. Tietoturva
Palveluntuottaja toteuttaa asianmukaiset ja riittävät tekniset ja organisatoriset toi- menpiteet Henkilötietojen suojaamiseksi ja asianmukaisen ja riittävän turvallisuus- tason varmistamiseksi siten, että Henkilötietojen käsittely vastaa Tietosuojalain- säädännön ja näiden ehtojen asettamia vaatimuksia. Palveluntuottaja toteuttaa kaikki tarvittavat toimenpiteet Henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin, vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttami- selta, luovuttamiselta, siirtämiseltä tai muulta laittomalta käsittelyltä.
Palveluntuottaja ymmärtää, että Henkilötiedot ovat salassa pidettäviä tietoja. Pal- veluntuottaja varmistaa, että henkilöt, jotka käsittelevät Henkilötietoja, ovat sitou- tuneet noudattamaan salassapitovelvollisuutta sekä käsittelyn aikana, että sen päätyttyä tai että heitä koskee asianmukainen lakisääteinen salassapitovelvolli- suus. Palveluntuottaja huolehtii siitä, että ainoastaan nimetyillä työntekijöillä on pääsy käsiteltäviin Henkilötietoihin ja että tällaisiksi nimetään vain sellaiset henki- löt, joilla on tehtäviensä mukaan tarve käsitellä Henkilötietoja. Palveluntuottaja huolehtii tarvittavista toimenpiteistä sen varmistamiseksi, että kyseiset henkilöt kä- sittelevät Henkilötietoja ainoastaan näiden Henkilötietojen käsittelyn ehtojen ja Re- kisterinpitäjän kirjallisten ohjeiden mukaisesti.
Palveluntuottajan on Rekisterinpitäjän kirjallisesta pyynnöstä toimitettava Rekiste- rinpitäjälle kirjallinen selvitys siitä, miten se toteuttaa edellä mainitut toimenpiteet. Jos Palveluntuottajan implementoimat toimenpiteet eivät Rekisterinpitäjän näke- myksen mukaan ole riittäviä Henkilötietojen tietoturvallisuuden takaamiseksi Tie- tosuojalainsäädännössä edellytetyllä tavalla, Palveluntuottajan tulee toteuttaa Re- kisterinpitäjän ehdottamat lisätoimenpiteet tietoturvallisuuden varmistamiseksi il- man eri kustannusta.
7. Henkilötietojen siirtäminen
Palveluntuottaja ei saa siirtää Henkilötietoja EU- tai ETA-alueen ulkopuolelle ilman Rekisterinpitäjän etukäteistä, nimenomaista kirjallista suostumusta. Xxx Xxxxxxxx- tuottaja siirtää Henkilötietoja EU- tai ETA-alueen ulkopuolelle Rekisterinpitäjän kir- jallisesta pyynnöstä tai Rekisterinpitäjän kirjallisella etukäteisellä suostumuksella, Rekisterinpitäjä ja Palveluntuottaja sopivat tarvittavista sopimusjärjestelyistä ja muista menettelytavoista ennen Henkilötietojen siirtämistä. Palveluntuottaja vas- taa siitä, että Henkilötietoja käsitellään EU- tai ETA- alueen ulkopuolella Tietosuo- jalainsäädännön ja näiden Henkilötietojen käsittelyn ehtojen vaatimusten mukai- sesti.
Palveluntuottajan on kirjallisesti ilmoitettava Rekisterinpitäjälle, missä maissa Re- kisterinpitäjän Henkilötietoja käsitellään (mukaan lukien se, mistä maista Henkilö- tietoihin on pääsy). Pääsyä on mm. tekninen huoltoyhteys Palveluntuottajan käyt- tämiin tiedonkäsittely-ympäristöihin ja -palveluihin, joissa Rekisterinpitäjän
henkilötietoja käsitellään. Erityistä henkilötietoa ei saa käsitellä julkisissa pilvipal- veluissa (esim. Microsoft, Google).
8. Alihankkijat
Palveluntuottaja saa käyttää Henkilötietojen käsittelyssä alihankkijoita ainoastaan Rekisterinpitäjän etukäteisellä kirjallisella suostumuksella. Palveluntuottaja vastaa siitä, että alihankkija käsittelee Henkilötietoja Tietosuojalainsäädännön ja näiden Henkilötietojen käsittelyn ehtojen mukaisesti. Palveluntuottajan ja alihankkijan vä- lisen sopimuksen on sisällöltään vastattava vähintäänkin tämän dokumentin eh- toja.
Palveluntuottaja varmistaa erityisesti, että alihankkija toteuttaa kaikki asianmukai- set tekniset ja organisatoriset toimenpiteet, jotta Henkilötietojen käsittely täyttää Tietosuojalainsäädännössä ja näiden Henkilötietojen käsittelyn ehdoissa asetetut vaatimukset. Palveluntuottajan on Rekisterinpitäjän kirjallisesta pyynnöstä esitet- tävä luotettavaa selvitystä siitä, miten Palveluntuottaja on huolehtinut, että sen ali- hankkija noudattaa edellä mainittuja velvollisuuksia ja toimitettava Rekisterinpitä- jälle sen ja alihankkijan välinen sopimus nähtäväksi. Rekisterinpitäjällä on oikeus peruuttaa antamansa suostumus alihankkijan käyttämiseksi, jos Rekisterinpitäjällä on syytä epäillä, että Palveluntuottajan alihankkija ei käsittele Henkilötietoja Tieto- suojalainsäädännön ja/tai näiden Henkilötietojen käsittelyn ehtojen mukaisesti. Palveluntuottaja on välittömästi ilmoitettava Rekisterinpitäjälle, jos sen alihankkija ei noudata Henkilötietojen käsittelyssä sovittuja velvoitteitaan.
Palveluntuottaja valvoo säännöllisesti alihankkijansa toimintaa varmistaakseen, että alihankkija noudattaa sille asetettuja velvollisuuksia Henkilötietojen käsitte- lyssä. Palveluntuottaja huolehtii sen ja alihankkijan välisessä sopimuksessa myös siitä, että Rekisterinpitäjällä on oikeus tarkastaa alihankkijan toiminnot näiden Hen- kilötietojen käsittelyn ehtojen kohdan 11 mukaisesti.
Palveluntuottaja vastaa täysimääräisesti alihankkijansa suorittamasta Henkilötieto- jen käsittelystä.
9. Tietoturvaloukkaukset
Palveluntuottaja ilmoittaa Rekisterinpitäjälle välittömästi ja viimeistään 48 tunnin kuluessa sen tietoon tulleesta Tietoturvaloukkauksesta.
Palveluntuottaja on Tietoturvaloukkauksen ilmoittamisen yhteydessä tai välittö- mästi ilmoittamisen jälkeen toimitettava Rekisterinpitäjälle:
a) kuvaus Tietoturvaloukkauksesta, mukaan lukien asianomaisten rekisteröi- tyjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b) sellaisen henkilön yhteystiedot, jolta voi saada asiasta lisätietoja;
c) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista;
d) kuvaus toimenpiteistä, jotka Palveluntuottaja on toteuttanut Tietoturva- loukkauksen johdosta ja toimenpiteet mahdollisten haittavaikutusten lie- ventämiseksi.
Palveluntuottaja sitoutuu avustamaan Rekisterinpitäjää Tietoturvaloukkauksesta ilmoittamisessa valvontaviranomaiselle ja rekisteröidyille ja antamaan Rekisterin- pitäjän saataville kaikki Rekisterinpitäjän pyytämät tiedot Tietoturvaloukkauksesta.
Palveluntuottajan on välittömästi ryhdyttävä toimenpiteisiin Tietoturvaloukkauk- sen haittavaikutusten ehkäisemiseksi tai lieventämiseksi. Palveluntuottajan on Tie- toturvaloukkauksen jälkitoimenpiteenä laadittava Rekisterinpitäjälle ehdotus me- nettelytavoista, joilla Tietoturvaloukkaukset pystytään jatkossa torjumaan. Palve- luntuottaja toteuttaa yhdessä sovitut menettelytavat Tietoturvaloukkausten ehkäi- semiseksi ilman aiheetonta viivytystä.
Palveluntuottaja dokumentoi kaikki Henkilötietojen Tietoturvaloukkaukset, mu- kaan lukien Tietoturvaloukkauksen vaikutukset ja tehdyt korjaavat toimenpiteet. Palveluntuottaja toimittaa dokumentaation Rekisterinpitäjälle Rekisterinpitäjän kir- jallisesta pyynnöstä.
10. Seloste käsittelytoimista
Palveluntuottaja ylläpitää selostetta Rekisterinpitäjän lukuun suorittamastaan Henkilötietojen käsittelystä. Seloste sisältää seuraavat tiedot:
a) Rekisterinpitäjän, Palveluntuottajan ja Palveluntuottajan tietosuojavastaa- van nimi ja yhteystiedot sekä tiedot mahdollisista alihankkijoista;
b) Rekisterinpitäjän lukuun käsiteltävien Henkilötietojen ryhmät, tässä yhtey- dessä ryhmällä tarkoitetaan palvelusetelipäätöksen piirissä olevia asiak- kaita;
c) tiedot Henkilötietojen siirtämisestä EU- tai ETA-alueen ulkopuolelle, mu- kaan lukien kyseiset kolmannet maat ja selvitys siitä, miten tietosuojan riit- tävä taso taataan; ja
d) kuvaus Palveluntuottajan toteuttamista, kohdan 6 mukaisista teknisistä ja organisatorisista turvatoimista.
Palveluntuottajan on Rekisterinpitäjän kirjallisesta pyynnöstä toimitettava seloste Rekisterinpitäjälle. Selosteen laatimisessa voi käyttää apuna Tietosuojavaltuute- tun laatimaa mallipohjaa: Mallipohja henkilötietojen käsittelijälle: seloste käsittely- toimista.
11. Tarkastusoikeus
Palveluntuottaja antaa Rekisterinpitäjälle kaikki tiedot, jotka ovat tarpeen osoitta- maan, että Palveluntuottaja noudattaa Tietosuojalainsäädännön ja tämän Henkilö- tietojen käsittelyn ehtojen vaatimuksia.
Rekisterinpitäjällä tai tämän nimeämällä riippumattomalla asiantuntijalla, joka ei voi olla Palveluntuottajan kilpailija, on oikeus tarkastaa koska tahansa näiden ehtojen voimassaoloaikana, että Palveluntuottaja noudattaa tässä Henkilötietojen käsitte- lyn ehdoissa Palveluntuottajalle osoitettuja velvoitteita. Rekisterinpitäjä ilmoittaa tarkastuksen toteuttamisesta 14 päivää etukäteen tai jos Rekisterinpitäjällä on syytä epäillä, että Palveluntuottaja ei käsittele Henkilötietoja näiden Henkilötieto- jen käsittelyn ehtojen mukaisesti, joissa tapauksissa Rekisterinpitäjällä on oikeus suorittaa tarkastus ilmoittamatta tästä Palveluntuottaja etukäteen.
Tarkastuksen kohteena on Henkilötietojen käsittelyyn liittyvä Palveluntuottajan dokumentaatio sekä Henkilötietojen käsittelyssä käytettävät järjestelmät ja toimi- tilat. Palveluntuottaja osallistuu aktiivisesti tarkastuksen toteuttamiseen. Palvelun- tuottaja osallistuu Rekisterinpitäjän pyynnöstä myös valvontaviranomaisen Rekis- terinpitäjään kohdistamaan tarkastukseen ja antaa valvontaviranomaiselle tarvitta- vat tiedot tarkastuksen toteuttamiseksi.
Kumpikin osapuoli vastaa itse sille tarkastuksesta aiheutuvista kustannuksista. Jos tarkastuksessa käy ilmi, että Palveluntuottaja ei ole noudattanut Tietosuojalainsää- däntöä ja/tai näitä Henkilötietojen käsittelyn ehtoja, Palveluntuottaja vastaa kai- kista tarkastuksesta aiheutuneista kustannuksista.
12. Henkilötietojen käsittelyn päättyminen
Palveluntuottaja sitoutuu Rekisterinpitäjän kirjallisesta vaatimuksesta ja ilman ai- heetonta viivytystä palauttamaan kaikki Henkilötiedot Rekisterinpitäjälle tai Rekis- terinpitäjän nimeämälle kolmannelle osapuolelle sen pyytämässä formaatissa ja muodossa ja/tai poistamaan Henkilötiedot maksutta. Palveluntuottajan on palau- tettava ja/tai poistettava Henkilötiedot viimeistään, kun palveluiden tuottaminen Keski-Suomen hyvinvointialueelle päättyy. Palveluntuottajan on tällöin poistettava myös kaikki olemassa olevat jäljennökset Henkilötiedoista, ellei Palveluntuottajan ole pakottavan lain mukaan säilytettävä kyseiset Henkilötiedot.
Palveluntuottaja sitoutuu olemaan käsittelemättä Henkilötietoja sen jälkeen, kun ne on onnistuneesti luovutettu Rekisterinpitäjälle tai tämän nimeämälle kolman- nelle osapuolelle tai kun ne on onnistuneesti tuhottu. Hävitetyistä tiedoista Palve- luntuottaja on velvollinen antamaan kirjallisen todistuksen Rekisterinpitäjälle.
13. Henkilötietojen käsittelystä aiheutuneet vahingot
Palveluntuottaja on vastuussa kaikista Rekisterinpitäjälle aiheutuneista välittömistä vahingoista, kuluista ja kustannuksista, jotka ovat seurausta Palveluntuottajan tai Palveluntuottajan alihankkijan näihin Henkilötietojen käsittelyn ehtoihin kohdistu- vasta sopimusrikkomuksesta ja/tai Tietosuojalainsäädännön rikkomisesta. Käsitte- lysopimuksen mukainen Osapuolten vahingonkorvausvastuun enimmäismäärä on 50 000 € Käsittelysopimukseen liittyvien vahinkojen osalta.
Osapuolten vahingonkorvausvastuu suhteessa rekisteröityihin ja kolmansiin osa- puoliin määräytyvät Tietosuojalainsäädännön mukaisesti. Kumpikin osapuoli on velvollinen maksamaan määrätyistä vahingonkorvauksista ja hallinnollisista sa- koista vain sen osan, joka vastaa sille tietosuojavalvontaviranomaisen tai tuomiois- tuimen lainvoimaisessa päätöksessä vahvistettua vastuuta vahingosta.
14. Voimaantulo ja voimassaolo
Nämä Henkilötietojen käsittelyn ehdot tulevat voimaan, kun palveluntuottaja täyt- tää Palse.fi-portaalissa tuottajan palvelukohtaisella sitoumuslomakkeella olevat ehdot ja tämän liitteenä olevan Henkilötietojen käsittelyn ehdot. Henkilötietojen käsittelyn ehdot ovat voimassa niin kauan kuin Palveluntuottaja käsittelee Rekiste- rinpitäjän Henkilötietoja.
15. Liitteet
Näiden Henkilötietojen käsittelyn ehtoihin kuuluu erottamattomana osana seu- raavat liitteet:
Liite 1 Kuvaus käsiteltävistä henkilötiedoista ja tietoturvamenettelyistä Liite 2 Keski-Suomen hyvinvointialueen tietosuojaohjeet palveluntuotta- jalle
Liite 1: Kuvaus käsiteltävistä henkilötiedoista ja tietoturvamenette- lyistä
Tässä liitteessä määritellään Palveluntuottajan velvollisuuksia henkilötietojen kä- sittelyn sekä tietosuoja- ja tietoturvamenettelyjen osalta. Mikäli Palveluntuottaja ei pysty noudattamaan näitä määrityksiä ja liitteenä olevia Tietosuojaohjeita sekä niissä asetettuja vähimmäisedellytyksiä, tulee Palveluntuottajan ilmoittaa asiasta välittömästi Rekisterinpitäjälle. Rekisterinpitäjällä on oikeus yksipuolisesti muuttaa tai täydentää ohjeita. Rekisterinpitäjän tulee ilmoittamalla muutoksista ja toimittaa päivitetyt ohjeet Palveluntuottajalle. Osapuolet voivat tarvittaessa kirjallisesti täy- dentää tai muuttaa tätä liitettä.
1. Henkilötietojen käsittelyn tarkoitus
Palveluntuottaja käsittelee henkilötietoja ainoastaan seuraavan tarkoituksen to- teuttamiseksi:
Palveluntuottaja käsittelee henkilötietoja ainoastaan palvelusetelipäätöksessä mainitun palvelun tuottamiseksi. Henkilötietojen käsittelystä tallentuu lokitietoa ja henkilötietojen käsittelyä valvotaan mm. lokitietojen avulla.
2. Käsiteltävät rekisteröityjen ryhmät ja henkilötiedot
Palveluntuottaja käsittelee seuraavia rekisteröityjen ryhmiä ja seuraavanlaisia henkilötietoja:
Rekisteröityjen ryhmä | Henkilötiedot | Erityiset henkilötiedot |
Asiakkaat/potilaat | Asiakkaan/Potilaan yh- teystiedot: hetu, nimi, osoi- tetiedot, kotikunta, puhe- linnumero, | Myönnetyt palvelut. |
Asiakkaat/potilaat | Palvelusetelipäätökseen liit- tyvät asia-kas- ja terveystie- dot | |
Asiakkaat/potilaat | Palvelusetelipäätökseen liit- tyvän palvelun tiedot, esim. palvelutuottajan antama hoito- ja palvelupalaute. | |
Henkilökunta | Palveluntuottajan työnteki- jöiden nimi, kirjautumistun- nus |
3. Raportointi ja viestintä
Keski-Suomen hyvinvointialueen tietosuojavastaava
HVA tietosuojavastaavan tiedot, täydennetään kun tiedossa
Tietoturva- ja tietosuojauhista ja -loukkauksesta ilmoittaminen:
ilmoita tapa/kanava, täydennetään kun tiedossa
Turvallisuusjärjestelyjen muutoksista ilmoittaminen:
ilmoita paikka tapa/kanava tai HVA tietoturvapäällikön ja tsv:n tiedot, täyden- netään kun tiedossa
Avainhenkilöiden muutoksista ilmoittaminen:
Xxxxx.xx -portaalissa palveluntuottajan tiedoissa
Ilmoittaminen rekisteröityjen oikeuksien toteuttamista koskevista pyynnöistä:
ilmoita paikka tai www-linkki, täydennetään kun tiedossa