OHJE:
OHJE:
Tämä asiakirja sisältää sopimusehtoja, jotka voidaan ottaa osaksi Tilaajan ja Palveluntuottajan välistä sopimusta silloin, kun Palveluntuottaja käsittelee Xxxxxxxx henkilötietoja Xxxxxxxx puolesta. Sopimuseh- tojen lisäksi osapuolet voivat liittää sopimukseen jäljempänä mainitut henkilötietojen käsittelyä koske- vat ehdot. Sopimukseen on lisäksi hyvä liittää asiakirja, josta käy konkreettisesti ilmi, mitä henkilötietoja käsitellään, miten ja mihin tarkoitukseen. EU:n yleisen tietosuoja-asetuksen 28 artiklan mukaan henki- lötietojen käsittelyä on määritettävä sitovalla asiakirjalla, jossa vahvistetaan henkilötietojen käsittelyn tarkoitus, luonne, kohde, kesto, henkilötietojen tyypit ja rekisteröityjen ryhmät. Poista tämä ohje, kun viimeistelet asiakirjaa.
I Osa: Sopimusehdot [Siirrä nämä ehdot soveltuvin osin sopimukseen]:
Palveluntuottaja noudattaa voimassa olevan tietosuojalainsäädännön edellyttämiä menettelytapoja ja henkilötietojen käsittelyä ja suojaamista koskevia säännöksiä. Palveluntuottaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön ja sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.
Tilaaja on rekisterinpitäjä. Palveluntuottaja noudattaa henkilötietojen käsittelijänä tämän sopimuksen liitteenä olevia ehtoja henkilötietojen käsittelystä.
[Vastuunrajoitusehto] Jos sopijapuoli on maksanut rekisteröidylle korvauksen tietosuojalainsäädän- nön rikkomisen johdosta aiheutuneesta vahingosta, on tällä sopijapuolella oikeus sovittujen vastuun- rajoitusten rajoittamatta periä samaan tietojenkäsittelyyn osallistuneelta toiselta sopijapuolelta tä- män vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Sopijapuolen vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artik- lan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan.
II Osa: Henkilötietojen käsittelyn ehdot
OHJE: Tarkista tämän ohjeen ehdot sekä tässä viitatut Sopimuksen määräykset ja liitteet. Kiinnitä vaa- timusmäärittelyssä huomiota niihin Palveluntuottajalle asetettaviin velvoitteisiin, jotka voivat aiheut- taa sopimusaikana lisäkuluja. Muokkaa ehtoja tarvittaessa ja ennen ehtojen liittämistä tarjouspyyn- töön. Poista tämä ohje.
1. Yleistä
1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa Pirkanmaan maakunnan kuntien lastensuojelun sijaishuollon hankintaopimusta (Dnro 2485/02.07.01/2018), jäljempänä ”Sopi- mus”, jonka Xxxxxxx on tehnyt Palveluntuottajan kanssa.
1.2. Tässä sopimusliitteessä määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palveluntuottaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta. Näissä ehdoissa kuvatuista Palve- luntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.
2. Osapuolten roolit henkilötietojen käsittelyssä
2.1. Käsiteltäessä henkilötietoja Xxxxxxx on rekisterinpitäjä ja Palveluntuottaja on henkilötietojen kä- sittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vas- taa rekisterinpitäjänä.
2.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröity- jen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan näiden eh- tojen liitteessä 1 olevassa Käsittelytoimien kuvauksessa tai muussa Xxxxxxxx ohjeistuksessa. Pal- veluntuottaja sitoutuu noudattamaan Sopimuksessa, käsittelytoimien kuvauksessa ja ohjeis- tuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.
2.3. Jos kohdan 2.2 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Palveluntuottajan kanssa.
3. Palveluntuottajan yleiset velvollisuudet
3.1. Palveluntuottaja käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjeiden mukai- sesti. Ryhmittymän ollessa Käsittelijänä tämän sopimusliitteen velvoitteet koskevat kaikkia ryh- mittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
3.2. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se var- mistaa, että Tilaajan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukai- nen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.
3.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemi- ään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuu- dessa.
3.4. Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Tilaa- jan henkilötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tieto- suojavastaavan tai yhteyshenkilön yhteystiedot Tilaajalle.
3.5. Palveluntuottaja saattaa Tilaajan saataville tämän pyynnöstä kaikki tiedot, jotka Tilaaja tarvit- see rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoit- tamista varten, ja osallistuu pyydettäessä sovitulla tavalla Xxxxxxxx vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tie- tosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Palveluntuottaja tekee nämä tehtävät sopimuksen mukaisilla hinnoilla, ellei toisin sovita.
3.6. Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koske- vat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Pal- veluntuottaja avustaa Tilaajaa, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Palveluntuottajalta esimerkiksi avustamista rekiste- röidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henki- lötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekis- teröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei toisin ole sovittu, Pal- veluntuottajalla on oikeus laskuttaa Tilaajaa sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja Palveluntuottajalle. Palveluntuottaja on velvollinen ennakolta ilmoitta- maan Tilaajalle mahdollisesti aiheutuvista lisäkuluista.
3.7. Palveluntuottaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkastusmenettelyä koskevat tarkemmat ehdot ovat sopimuksessa.
4. Xxxxxxxx xxxxxx
4.1. Palveluntuottaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä sopimuksessa ja näissä erityis- ehdoissa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan an- tamat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvastaisiksi.
4.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötie- tojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan so- pimuksen mukaisessa muutoshallintamenettelyssä.
5. Palveluhenkilöstö
5.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsi- tellä Xxxxxxxx henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassapi- toehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.
5.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Ti- laajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja kä- sittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Tilaajan ohjeiden mukaisesti.
6. Alihankkijat, jotka käsittelevät henkilötietoja
6.1. Siltä osin kuin Palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henki- lötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.
6.2. Xxx Xxxxxxxxxxxxxxxxx alihankkija käsittelee Tilaajan henkilötietoja, alihankkijan käyttäminen edellyttää Tilaajan ennakkoon kirjallisesti antamaa lupaa.
6.3. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttä- mänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Palveluntuottajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että sopimuksen mukainen Tilaajan tarkastusoikeus voi- daan ulottaa alihankkijaan.
6.4. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palveluntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Xxx Xxxxxxx perustellusti katsoo, että Palveluntuottajan alihankkija ei täytä tietosuo- javelvoitteitaan, Tilaajalla on oikeus vaatia Palveluntuottajaa vaihtamaan alihankkijaa.
6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava Tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja tie- tosuojalainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotet- tua alihankkijaa.
7. Palvelun paikka
7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, Palveluntuottajalla on oikeus käsitellä Tilaa- jan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityiseh- doissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
7.2. Jos sopijapuolet sopivat, että Palveluntuottajaa saa siirtää Tilaajan henkilötietoja Euroopan ta- lousalueen ulkopuolelle, sopijapuolet huolehtivat siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukaisesti.
8. Tietoturvaloukkaukset
8.1. Palveluntuottajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tie- toturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Palveluntuottaja sitoutuu ilmoitta- maan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
8.2. Palveluntuottajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:
i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;
iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
iv. kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy viipymättä sopi- muksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.
9. Henkilötietojen käsittelyn päättyminen
9.1. Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Xxxxxxxx lukuun käsittelemiään henkilötietoja ilman Tilaajan nimenomaista pyyntöä.
9.2. Sopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötie- doista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen mää- räyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot.
Liite 1 Henkilötietojen käsittelyn ehtoihin
Ohje: Xxx Xxxxxxxxxxxxxxxx toimii sellaisten henkilötietojen käsittelijänä, joiden rekisterinpitäjä on Tilaaja, henkilötietojen käsittelyn ehtoihin on liitettävä tämä liite täytettynä.
Tässä liitteessä yksilöidään ne Tilaajan henkilötiedot, joita Palveluntuottaja käsittelee Xxxxxxxx lu- kuun. Täytä tarvittavat kohdat ja poista lopuksi tämä ohje.
KÄSITTELYTOIMIEN KUVAUS
1. Osapuolet
Tilaaja:
Palveluntuottaja:
2. Dokumentin tarkoitus
Xxxxxxx on tehnyt Palveluntuottajan kanssa Sopimuksen, joka koskee sellaista palvelua, jossa Pal- veluntuottaja toimii Tilaajan ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä. Tässä dokumentissa kuvataan käsittelytoimet, joita palveluntuottaja henkilötietojen käsittelijänä tekee Xxxxxxxx puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämä dokumentti liitetään Sopimuksen nro liitteeksi nro .
Henkilötietojen käsittelyssä on noudatettava Palveluntuottajan ja Tilaajan välistä Sopimusta sekä Tilaajan ohjeita.
3. Henkilötietojen tyypit ja rekisteröityjen ryhmät
Osapuolet ovat sopineet, että Palveluntuottaja käsittelee Xxxxxxxx puolesta Sopimuksessa sovitun palvelun tuottamiseksi seuraavia Asiakkaan henkilörekisteriin kuuluvia henkilötietoja.
- x [ohje: kirjoita tähän, mitä rekisteröityjen ryhmiä Palveluntuottaja käsittelee, esim. Tilaa- jan työntekijät]
- x [ohje: täydennä tähän, mitä henkilötietoja Palveluntuottaja käsittelee. Esim. Tilaajan työntekijän nimi ja käyttäjätunnus]
- x
- x
4. Käsittelyn luonne ja tarkoitus
Osapuolet ovat sopineet, että Palveluntuottaja…
Ohje: kirjoita tähän, miksi ja miten Palveluntuottaja käsittelee kyseisiä henkilötietoja. Esimerkiksi Tilaaja tilaa Palveluntuottajalta tietokoneiden asennuspalvelua, minkä vuoksi Palveluntuottajan on käsiteltävä Asiakkaan käyttäjien tietoja tietokoneiden käyttäjäkohtaisen asennuksen loppuunsaat- tamiseksi.
5. Henkilötietojen käsittelyn kesto
Palveluntuottaja käsittelee tässä liitteessä yksilöityjä henkilötietoja seuraavan ajan: ______
Ohje Tilaajalle: kuvaa tähän henkilötietojen käsittelyn kesto Palveluntuottajalla. Esimerkiksi tietty- jen laitteiden asennustoimien ajan, minkä jälkeen Palveluntuottaja palauttaa / tuhoaa henkilötie- dot. Tai vaihtoehtoisesti sopimuskauden ajan.