Osapuolet
Lääkäri: Lääkäriasema:
Osapuolet ovat solmineet sopimuksen, jonka nojalla yllä määri- telty lääkäri tarjoaa terveydenhuollon palveluita yllä määritellyl- lä lääkäriasemalla (”pääsopimus”). Osana järjestelyä osapuo- let keräävät ja käsittelevät potilas- ja muita palveluiden toimit- tamiseen liittyviä pääosin potilaiden henkilötietoja. Osapuolet voivat näiden osalta puolin ja toisin olla vastuussa oleva rekiste- rinpitäjiä tai toisen osapuolen lukuun toimiva käsittelijä. Itse- näisenä ammatinharjoittajana lääkäri ylläpitää omaan lukuunsa ja omalla vastuullaan potilastietoja, joiden teknisen säilyttämi- sen ja käsittelyn lääkäri on uskonut tältä osin käsittelijänä toi- mivalle lääkäriasemalle. Lääkäriasema puolestaan voi antaa lääkärille pääsyn lääkäriaseman vastuulla oleviin potilaita kos- keviin tietoihin, kuten esim. sen asiakasrekisteriin, laskutustie- toihin, lääkäriaseman potilasrekistereihin esim. työterveyden- huollon yhteydessä sekä vastaaviin tietoihin, joiden osalta lää- käri puolestaan toimii käsittelijänä. Tarvittaessa pääsopimuk- sessa tai muussa sitovassa sopimusasiakirjassa voidaan tar- kemmin sopia kummankin osapuolen kulloisessakin roolissa käsittelemistä tiedoista.
Alla käytetyt termit rekisterinpitäjä ja käsittelijä viittaavat kulloisenkin tilanteen mukaan joko lääkäriin tai lääkäriase- maan. Selvyyden vuoksi todetaan, että käsittelijän roolissa toi- miminen ei estä vastaavien tietojen keräämistä myös omaan rekisteriin, mikäli lain edellytykset tälle täyttyvät, mm. käsitte- lyperusteen ja riittävän informoinnin osalta.
Nämä ehdot yhdessä pääsopimuksen ja muun siihen liittyvän sopimusaineiston kanssa muodostavat EU:n yleisen tietosuoja- asetuksen (2016/679; alla ”tietosuoja-asetus”) 28 artiklan edellyttämän henkilötietojen käsittelyä koskevan kirjallisen sopimuksen. Ehtoja tulee tulkita tämän mukaisesti. Ellei asiayh- teydestä muuta seuraa, näissä ehdoissa käytetyillä termeillä on sama merkitys kuin tietosuoja-asetuksessa.
Käsittelijä sitoutuu käsittelemään henkilötietoja huolellisesti sekä tietosuoja-asetuksen ja muun lainsäädännön edellyttämäl- lä tavalla ja vain rekisterinpitäjän pääsopimuksessa tai muutoin kirjallisesti ohjeistamalla tavalla.
Jos käsittelijään kohdistuu velvollisuus luovuttaa tai paljastaa henkilötietoja kolmannelle, tai muutoin käsitellä henkilötietoja vastoin rekisterinpitäjän ohjeita, käsittelijän on etukäteen ilmoi- tettava rekisterinpitäjälle tästä, ellei laista muuta johdu.
Käsittelijän on kohtuudella avustettava rekisterinpitäjää toteut- tamaan rekisteröidyn tietosuoja-asetuksen mukaisia oikeuksia suhteessa rekisterinpitäjään, esim. antamalla tarkastuspyyntöön vastaamiseen tarvittavia tietoja.
Käsittelijän on rekisterinpitäjän pyynnöstä annettava rekiste- rinpitäjälle kaikki sellaiset tiedot, jotka rekisterinpitäjä kohtuu- della tarvitsee varmistaakseen, että käsittelijä on noudattanut näitä ehtoja, pääsopimusta ja käsittelytoimenpiteisiin soveltu- vaa lainsäädäntöä sekä muutoin kohtuudella avustettava rekis- terinpitäjää varmistamaan tietosuoja-asetuksen velvoitteiden noudattamisessa. Tietosuoja-asetuksen edellyttämissä tilanteis- sa käsittelijän on myös sallittava rekisterinpitäjän tai sen osoit- taman auditoijan suorittaa sellainen auditointi tai tarkastus, joka kohtuudella on tarpeen edellä todettujen seikkojen varmis- tamiseksi ja/tai avustettava kohtuullisessa laajuudessa tie- tosuojaa koskevan vaikutusarvion tekemisessä. Käsittelijän on ilmoitettava rekisterinpitäjälle, jos hän katsoo, että saamansa ohjeistus rikkoo sovellettavaa lainsäädäntöä.
Käsittelijä voi käyttää henkilötietojen käsittelyyn alikäsittelijöi- tä, jotka myös voivat toimia EU/ETA:n ulkopuolella, kunhan kaikki lain tätä koskevat vaatimukset täyttyvät.
Käsittelijän on pyynnöstä annettava rekisterinpitäjälle luettelo kaikista käyttämistään relevanteista alikäsittelijöistä sekä EU/ETA:n ulkopuolisista käsittelypaikoista. Käsittelijän on lain edellyttämällä tavalla etukäteen tiedotettava kaikista suunnitel- luista muutoksista näihin ja varattava rekisterinpitäjälle oikeus perustellusta syystä vastustaa tietyn alikäsittelijän käyttöä tai tietojen siirtoa tiettyyn paikkaan.
Mikäli käsittelijä yllä selostetusti käyttää alikäsittelijää, käsitte- lijän on tehtävä alikäsittelijän kanssa kirjallinen sopimus, jossa alikäsittelijä sitoutuu noudattamaan henkilötietojen käsittelyn osalta vähintään yhtä suojaavia ehtoja kuin mihin käsittelijä näiden ehtojen ja pääsopimuksen nojalla sitoutuu.
Mikäli käsittelijä yllä selostetusti siirtää henkilötietoja EU/ETA:n ulkopuolelle, käsittelijän on varmistuttava siitä, että tietoja EU/ETA:n ulkopuolella suojaavat tietosuoja-asetuksen mukainen suojamekanismi, kuten sopimukseen sisällytetyt EU- komission hyväksymät mallilausekkeet. Kulloinkin sovellettu suojamekanismi on mainittava yllä tarkoitetussa alikäsittelijä- luettelossa.
Käsittelijä vakuuttaa sen tässä tarkoitettuihin käsittelytoimenpi- teisiin osallistuvien työntekijöiden ja muiden edustajien joko antaneen salassapitositoumuksen tai olevan suoraan lain nojalla salassapitovelvollisia.
Käsittelijän vastaa siitä, että henkilötietojen käsittelyssä ja säily- tyksessä noudatetaan tietojen luonteeseen nähden kohtuulista ja riittävää teknistä ja organisatorista tietoturvaa. Riittävän tietoturvatason arvioimisessa käsittelijä huomioi kulloinkin käytössä olevan parhaan tekniikan tason, siihen liittyvät kus- tannukset, käsiteltävien henkilötietojen laajuuden ja luonteen, käsittelytoimenpiteisiin liittyvät riskit sekä vastaavat seikat. Rekisterinpitäjän pyynnöstä käsittelijän on toimitettava rekiste- rinpitäjälle kohtuullinen kirjallinen selvitys tietoturvatoimenpi- teistään sekä toimenpiteiden riittävyydestä alan vakiintuneet toimintatavat huomioiden. Sovellettavista tietoturvavaatimuk- sista voidaan sopia tarkemmin myös pääsopimuksessa, näiden ehtojen liitteessä tai muussa osapuolten välisessä sitovassa asiakirjassa.
Mikäli käsittelijällä on syytä epäillä, että sen tiloihin tai tietojär- jestelmiin on murtauduttu tai henkilötietoja muutoin olisi tullut kolmannen tietoon (muutoin kuin osana pääsopimuksessa tai näissä ehdoissa sallittuja siirtoja) tai kadonnut, sen tulee välit- tömästi, ja joka tapauksessa 48 tunnin sisällä, ilmoittaa tästä rekisterinpitäjälle. Käsittelijän on tarvittavin tiedoin ja toimen- pitein avustettava rekisterinpitäjää noudattamaan kaikkia tilan- teeseen soveltuvia velvoitteita, ml. viranomaisilmoitusten teke- misessä ja muutoin toimittava rekisterinpitäjän kanssa yhteis- toiminnassa tilanteen selvittämiseksi ja soveltuvien velvoittei- den noudattamiseksi.
Pääsopimuksen lakatessa käsittelijän on lopetettava henkilötie- tojen käsittely ja palautettava rekisterinpitäjälle sen halussa olevat rekisterinpitäjän vastuulla olevat tiedot sekä tuhottava jäljelle jäävät kopiot näistä, ellei laista muuta johdu. Tapauskoh- taisesti voidaan myös sopia muista päättämismenettelyistä. Mikäli osapuolet ovat sopineet tietojen säilyttämisvelvoitteesta, päättymistilanteen avustamisvelvollisuudesta tai vastaavasta, Käsittelijä saa tuhota tiedot vasta noudatettuaan kaikkia tällai- sia vaatimuksia täysimääräisesti. Käsittelijän velvollisuus tuhota tiedot ei koske sellaisia tietoja, joita se pitää halussaan itsenäi- senä rekisterinpitäjänä omalla vastuullaan lain tätä koskevien edellytysten täyttyessä.