TIETOSUOJASOPIMUS Luottamuksellinen
TIETOSUOJASOPIMUS Luottamuksellinen
Tämä Tietosuojasopimus on Kanta-Hämeen sairaanhoitopiirin palvelutuottajahakemuslomakkeen liite (Xxxxx.xx). Hakemuslomakkeen allekirjoituksella Palveluntuottaja sitoutuu samalla tämän tieto- suojasopimuksen ehtojen noudattamiseen.
1. Osapuolet
• Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä ”Tilaaja”) Ahvenistontie 20, 13530 Hämeenlinna
Y-tunnus: 0818235-5
• Palveluntuottaja
Tilaajasta ja Palveluntuottajasta käytetään jäljempänä yhdessä nimitystä ”Osapuolet” ja erikseen ”Osapuoli”.
2. Määritelmät
Tätä Tietosuojasopimusta sovelletaan kaikkiin Osapuolten välisiin sopimuksiin, jotka koskevat hen- kilötietojen käsittelyä. Mikäli tämän Tietosuojasopimuksen ehdot ovat ristiriidassa minkä tahansa muun sopimuksen kanssa, noudatetaan tätä Tietosuojasopimusta niiltä osin kuin se koskee henki- lötietojen käsittelyä.
Tässä Tietosuojasopimuksessa määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henkilötieto- jen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palveluntuottaja Tilaajan toi- meksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta. Tässä Tietosuojasopimuksessa kuvatuista Palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole sovittu.
Palveluntuottaja noudattaa voimassa olevan tietosuojalainsäädännön edellyttämiä menettelyta- poja ja henkilötietojen käsittelyä ja suojaamista koskevia säännöksiä. Palveluntuottaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön ja sopimuksen vaatimusten mu- kainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.
3. Osapuolten roolit henkilötietojen käsittelyssä
3.1. Käsiteltäessä henkilötietoja Xxxxxxx on rekisterinpitäjä ja Palveluntuottaja on henkilötietojen kä- sittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vas- taa rekisterinpitäjänä.
3.3. Jos kohdan 3.2 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Palveluntuottajan kanssa.
4. Palveluntuottajan yleiset velvollisuudet
4.1. Palveluntuottaja käsittelee henkilötietoja sopimuksen, tämän Tietosuojasopimuksen ja Tilaajan antamien ohjeiden mukaisesti. Ryhmittymän ollessa Käsittelijänä tämän Tietosuojasopimuksen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
4.2. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se var- mistaa, että Tilaajan henkilötietojen käsittely tapahtuu sopimuksen, tämän Tietosuojasopimuk- sen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on var- mistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luotta- muksellisuus, eheys, saatavuus ja vikasietoisuus.
4.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemi- ään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuu- dessa.
4.4. Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Tilaa- jan henkilötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tieto- suojavastaavan tai yhteyshenkilön yhteystiedot Tilaajalle.
4.5. Palveluntuottaja saattaa Xxxxxxxx saataville tämän pyynnöstä kaikki tiedot, jotka Tilaaja tarvit- see rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoit- tamista varten, ja osallistuu pyydettäessä sovitulla tavalla Xxxxxxxx vastuulla olevien kuvausten
ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tie- tosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Palveluntuottaja tekee nämä tehtävät sopimuksen mukaisilla hinnoilla, ellei toisin sovita.
4.6. Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koske- vat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Pal- veluntuottaja avustaa Tilaajaa, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Palveluntuottajalta esimerkiksi avustamista rekiste- röidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henki- lötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekis- teröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei toisin ole sovittu, Pal- veluntuottajalla on oikeus laskuttaa Tilaajaa sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja Palveluntuottajalle. Palveluntuottaja on velvollinen ennakolta ilmoitta- maan Tilaajalle mahdollisesti aiheutuvista lisäkuluista.
4.7. Palveluntuottaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkastusmenettelyä koskevat tarkemmat ehdot ovat sopimuksessa.
5. Xxxxxxxx xxxxxx
5.1. Palveluntuottaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä sopimuksessa ja näissä Tieto- suojasopimuksen ehdoissa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjei- den ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä Tilaa- jalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvas- taisiksi.
5.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötie- tojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan so- pimuksen mukaisessa muutoshallintamenettelyssä.
6. Palveluntuottajan henkilöstö
6.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsi- tellä Xxxxxxxx henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassapi- toehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.
6.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Ti- laajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja kä- sittelee niitä ainoastaan sopimuksen, näiden Tietosuojasopimuksen ehtojen ja Tilaajan ohjei- den mukaisesti.
7. Palvelun paikka
7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, Palveluntuottajalla on oikeus käsitellä Tilaa- jan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja tässä Tietosuoja- sopimuksen ehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollista- mista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
7.2. Jos Osapuolet sopivat, että Palveluntuottajaa saa siirtää Xxxxxxxx henkilötietoja Euroopan ta- lousalueen ulkopuolelle, Osapuolet huolehtivat siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukaisesti.
8. Tietoturvaloukkaukset
8.1. Palveluntuottajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tie- toturvaloukkauksesta ilman aiheetonta viivytystä ja viimeistään 36 tunnin kuluessa sen havait- semisesta. Lisäksi Palveluntuottaja sitoutuu ilmoittamaan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
8.2. Palveluntuottajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:
i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;
iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
iv. kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy viipymättä sopi- muksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.
9. Vastuut
Käsittelijän korvausvastuu on määritelty sopimuksen lisäksi sovellettavassa lainsäädännössä. Osa- puolen vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuk- sen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mu- kaan.
10. Sopimuksen voimassaolo ja henkilötietojen käsittelyn päättyminen
Tämä Tietosuojasopimus tulee voimaan, kun palveluntuottaja on asianmukaisesti allekirjoittanut palvelunsetelituottajahakemuksen. Tietosuojasopimus on voimassa niin kauan, kun Palveluntuot- taja käsittelee Tilaajan henkilötietoja sopimuksen mukaisesti.
Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Xxxxxxxx lukuun käsittelemiään hen- kilötietoja ilman Tilaajan nimenomaista pyyntöä.
Sopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Tilaajalle kaikki Tilaajan puo- lesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot.
11. Sovellettava laki ja erimielisyyksien ratkaiseminen
Tähän Tietosuojasopimukseen sovelletaan Suomen lakia. Tästä Tietosuojasopimuksesta mahdolli- sesti aiheutuvat tai siihen liittyvät riidat, erimielisyydet tai vaatimukset ratkaistaan lopullisesti väli- miesmenettelyssä Keskuskauppakamarin nopeutetun välimiesmenettelyn sääntöjen mukaisesti.
12. Liitteet
Mikäli tämän Tietosuojasopimukseen ja mahdollisen muun Osapuolten solmiman sopimuksen eh- dot ovat keskenään ristiriidassa, sovelletaan Tietosuojasopimusta. Mahdolliset muutokset on teh- tävä kirjallisesti ja liitettävä osaksi tätä Tietosuojasopimusta.
Tähän Tietosuojasopimukseen kuuluvat:
Liite 1 Käsittelytoimien kuvaus
Liite 2 Ohje salassa pidettävien tietojen käsittelystä ja säilyttämisestä
Tietosuojasopimuksen liite 1 Käsittelytoimien kuvaus
KÄSITTELYTOIMIEN KUVAUS
1. Osapuolet
Tilaaja: Kanta-Hämeen sairaanhoitopiirin ky
Palveluntuottaja:
2. Dokumentin tarkoitus
Xxxxxxx on tehnyt Palveluntuottajan kanssa Sopimuksen, joka koskee sellaista palvelua, jossa Palvelun- tuottaja toimii Xxxxxxxx ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä.
Tässä dokumentissa kuvataan käsittelytoimet, joita Palveluntuottaja henkilötietojen käsittelijänä tekee Xxxxxxxx puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot.
Henkilötietojen käsittelyssä on noudatettava Palveluntuottajan ja Tilaajan välistä Sopimusta sekä Tilaa- jan ohjeita.
3. Henkilötietojen tyypit ja rekisteröityjen ryhmät
Osapuolet ovat sopineet, että Palveluntuottaja käsittelee Sopimuksessa sovitun palvelun tuotta- miseksi Tilaajan pyynnöstä seuraavien Xxxxxxxx henkilörekisteriin kuuluvien rekisteröityjen henkilötie- toja:
• Sopimuksen mukaisten palveluiden tuottamiseksi välttämättömiä Tilaajan Potilasasiakirjoista koostuvaan potilasrekisteriin liittyviä henkilötietoja, esim.
o Henkilön yksilöintitiedot sekä niiden historiatiedot (nimi, syntymäaika, henkilötunnus, kotikunta ja yhteystiedot)
o Potilaan hoidon ja hoidon järjestämisen yhteydessä syntyneitä tai hoitoa varten saapu- neita tietoja.
4. Käsittelyn luonne ja tarkoitus
Osapuolet ovat sopineet, että Palveluntuottaja käsittelee Xxxxxxxx pyynnöstä kohdassa 3 määriteltyjen rekisteröityjen henkilötietoja Sopimuksen mukaisten palveluiden tuottamiseksi:
• Tilaajan Potilasasiakirjoista koostuvaan potilasrekisteriin liittyvien rekisteröityjen henkilötie- toja Sopimuksen mukaisesti tai Tilaajan tekemien erillisten toimeksiantojen perusteella
• Tietojen käyttö muuhun kuin Sopimuksen palveluiden tuottamiseen on kiellettyä.
Henkilötietojen käsittelyn kohteena on arkaluonteisia tietoja. Kaikki käsiteltävä henkilötieto on salassa pidettävää tietoa.
5. Henkilötietojen käsittelyn kesto
Palveluntuottaja käsittelee tässä liitteessä yksilöityjä henkilötietoja niin kauan, kun Palveluntuottaja käsittelee Tilaajan henkilötietoja Sopimuksen mukaisesti.
Sopimuksen päätyttyä Tilaaja ilmoittaa, mitä Palveluntuottajan hallussa oleville Sopimukseen kuulu- ville henkilötiedoille tulee tehdä.