OSA I: Tietosuojaa koskevat ehdot

”kaupungin/kunnan nimi” ehdot henkilötietojen käsittelijälle

OSA I: Tietosuojaa koskevat ehdot

1 Yleistä

1.1 Tämä sopimusliite ” ”kaupungin/kunnan nimi” ehdot henkilötietojen käsittelijälle” on osa Pien- eläinpäivystyspalvelut käyttöoikeussopimusta (Dnro 10805-2019), jäljempänä ”Sopimus”, jonka Tilaaja on tehnyt Toimittajan kanssa.

1.2 Tässä sopimusliitteessä määritetään Tilaajaa ja Toimittajaa sitovasti ne henkilötietojen käsitte- lyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Xxxxxxxx toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta ja lukuun Sopimuksessa olevien sopimusehtojen li- säksi. Mikäli Toimittaja muodostaa Sopimuksen toteuttamisen yhteydessä henkilörekistereitä, Toimittaja vastaa niistä EU:n yleisen tietosuoja-asetuksen mukaisena rekisterinpitäjänä.

1.3 Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä, ja lisäksi Osapuolet sitoutuvat saattamaan henkilötietojen käsittelyn ja tietosuojan EU:n yleisen tietosuoja-asetuksen (EU)2016/679 mukai- selle vaatimustasolle ennen Sopimuksen toteuttamiseen ryhtymistä.

1.4 Tämän liitteen perusteella suoritetuista toimenpiteistä syntyvät kustannukset sisältyvät Sopi- muksessa esitettyyn sopimushintaan, eikä Toimittajalla ole oikeutta veloittaa niistä erikseen. Kohdissa 7.1 ja 7.5 esitettyjen olennaisten muutostöiden korvaamisesta sovitaan erikseen. En- nen ryhtymistä olennaisiin muutostöihin Toimittajan pyydettävältä Tilaajalta kirjallinen ennakko- lupa.

2 Osapuolten roolit henkilötietojen käsittelyssä

2.1 Tilaaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana re- kisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Osa- puolet ymmärtävät, että rekisterinpitäjänä Xxxxxxx saa käyttää ainoastaan sellaisia henkilötieto- jen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoris- ten toimien täytäntöön panemiseksi niin, että käsittely täyttää kulloinkin voimassaolevan henki- lötietojen käsittelyyn ja tietosuojaan liittyvän kansallisen lainsäädännön vaatimukset ja EU:n yleisen tietosuoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2.2 Toimittaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Xxxxxxxx henkilötietoja Xxxxxxxx puolesta ja lukuun. Toimittajan Sopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osal- listuvat Tilaajan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Xxxxxxxx puolesta ja lukuun. Ryhmittymän ollessa Toimittajana tämän sopimusliitteen velvoitteet koske- vat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat hen- kilötietojen käsittelyyn.

2.3 Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

2.4 Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksessa, sopimuksen mukaisen palvelun aikana laadittavassa ja Toimittajaa sitovassa dokumentaatiossa tai muussa Tilaajan ohjeistuksessa. Toimittaja sitoutuu noudattamaan Sopimuksessa, doku- mentaatiossa ja ohjeistuksessa olevia henkilötietojen käsittelyä koskevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

2.5 Jos kohdan 2.4 mukaista kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää kuvausta tarvittaessa yhteistyössä Toimittajan kanssa. Toimittajan on ilmoitettava Tilaajalle, jos tämän antama ohjeistus on puutteellinen tai jos Toimittaja epäilee sen rikkovan EU:n yleistä tie- tosuoja-asetusta, muita EU:n tietosuojasäännöksiä tai kansallista tietosuojalainsäädäntöä.

2.6 Toimittaja osallistuu Tilaajan pyynnöstä tietojärjestelmäselosteen laatimiseen.

3 Alihankkijat, jotka käsittelevät henkilötietoja

3.1 Toimittaja ei saa käyttää henkilötietojen käsittelyyn alihankkijaa ilman Tilaajan antamaa kirjal- lista ennakkolupaa. Toimittajan on tiedotettava Tilaajalle kirjallisesti kaikista suunnitelluista muutoksista, jotka koskevat henkilötietojen käsittelijöinä toimivien alihankkijoiden lisäämistä tai vaihtamista, ja annettava Tilaajalle mahdollisuus vastustaa tällaisia muutoksia. Mikäli Xxxxxxxx vastustuksesta huolimatta Toimittaja aikoo käyttää esittämäänsä alihankkijaa, on Tilaajalla oi- keus irtisanoa sopimus päättymään ennen uuden tai vaihtuvan alihankkijan käyttöönottoa.

3.2 Siltä osin kuin Toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.

3.3 Toimittaja, joka henkilötietojen käsittelijänä käsittelee Xxxxxxxx henkilötietoja Xxxxxxxx puolesta ja lukuun, sitoutuu tässä sopimusliitteessä kuvattuihin henkilötietojen käsittelijää koskeviin velvolli- suuksiin. Toimittajalla on velvollisuus sopimuksilla sitouttaa käyttämänsä alihankkijat noudatta- maan tämän sopimusliitteen ehtoja.

3.4 Toimittaja on vastuussa mahdollisista Tilaajan henkilötietoja käsittelevien Toimittajan alihankki- joiden Sopimuksen, tämän sopimusliitteen tai sovellettavan lainsäädännön taikka EU:n yleisen tietosuoja-asetuksen rikkomisista tai laiminlyönneistä kuin omistaan. Jos tietojen käsittelyä suo- rittava alihankkija ei täytä tietosuojavelvoitteitaan, Toimittaja on edelleen täysimääräisesti vas- tuussa suhteessa Tilaajaan. Xxx Xxxxxxx perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa. Toimit- tajan on Tilaajan perustellusta vaatimuksesta vaihdettava alihankkijaa ilman aiheetonta viiväs- tystä.

4 Henkilötietojen käsittelijän yleiset velvollisuudet

4.1 Henkilötietojen käsittelijä käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjeiden mukaisesti.

4.2 Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

4.3 Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimen- piteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnol- listen henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Xxxxxxxx ohjeita ja mahdollisia Tilaajan ohjeiden päivityk- siä. Toimittajan on Tilaajan pyynnöstä osoitettava tekniset ja organisatoriset toimet, joihin edellä esitetyn turvallisuustason varmistamiseksi on ryhdytty. Teknisiä ja organisatorisia toimia voivat olla esimerkiksi seuraavat:

1) Henkilötietojen pseudonymisointi ja xxxxxx.

2) Kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käy- tettävyys ja vikasietoisuus.

3) Kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa.

4) Menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisato- risten toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

4.4 Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötie- toihin, käsittelee niitä ainoastaan Sopimuksen ja Tilaajan ohjeiden mukaisesti.

4.5 Henkilötietojen käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Tilaajalle kaikista rekisteröityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä.

4.6 Henkilötietojen käsittelijä sitoutuu avustamaan Tilaajaa asianmukaisilla teknisillä ja organisatori- silla toimenpiteillä, jotta Xxxxxxx pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka kos- kevat rekisteröidyn oikeuksien käyttämistä. Henkilötietojen käsittelijä ymmärtää, että näiden oi- keuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä avustamista rekisteröidylle tiedot- tamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikai- semisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja/tai henkilötietojen siir- tämisessä järjestelmästä toiseen.

4.7 Toimittajan on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, joita ovat esimerkiksi csv, xml ja xls(x), ja että ne voidaan automaattisesti irrottaa järjestelmästä siirrettäväksi toiseen järjestelmään.

4.8 Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Tilaajaa EU:n yleisen tietosuoja- asetuksen mukaisen tietosuojaa koskevan vaikutusten arvioinnin tekemisessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Mikäli avustamisesta syntyy merkittäviä ja ennakoimattomia lisäkustannuksia, voidaan niiden jakautu- misesta sopia erikseen yksittäistapauksissa. Jos osapuolet eivät pääse yhteisymmärrykseen kustannusten merkittävyydestä ja ennakoimattomuudesta, kuuluvat avustamiskustannukset Toimittajan vastattavaksi.

4.9 Henkilötietojen käsittelijä sitoutuu Xxxxxxxx valinnan mukaan poistamaan tai palauttamaan käsit- telyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki Tilaajan henkilötiedot Tilaajalle ja pois- taa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädän- nössä vaaditaan säilyttämään henkilötiedot. Tilaaja voi antaa tältä osin tarkempia ohjeita.

4.10 Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle ilman Tilaajan kirjallista ennakkolupaa.

4.11 Henkilötietojen käsittelijä saattaa Tilaajan saataville kaikki tiedot, jotka ovat tarpeen tässä sopi- musliitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Tilaajan valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Tilaaja voi edellyttää Toimittajalta kahta (2) auditointitarkastusta kalenterivuotta kohden. Mikäli Tilaa- jalla on kuitenkin perusteltu epäilys auditoinnin tarpeellisuudesta, on Tilaajalla oikeus ylimääräi- siin auditointeihin. Perusteltuna epäilyksenä pidetään esimerkiksi Toimittajan toiminnassa ha- vaittuja tietosuojapuutteita tai -loukkauksia.

5 Henkilötietojen käsittelijän erityiset velvollisuudet

5.1 Toimittajalla on oltava valmius asettaa ja hallinnoida tietojen luovutuksia koskevia rajoituksia, jollaisia voi aiheutua esimerkiksi väestötietolain mukaisesta rekisteröidyn turvakiellosta. Toimit- tajan tulee pystyä rajoittamaan rekisteröidyn henkilötietojen käsittelyä osittain tai kokonaan Ti- laajan vaatimalla tavalla. Rekisteröidyn henkilötietojen rajoittaminen ei saa johtaa muiden rekis- terissä olevien luonnollisten henkilöiden henkilötietojen rajoittamiseen, xxxxx Xxxxxxxx ja Toimitta- jan kesken kirjallisesti toisin sovita.

5.2 Ellei toisin sovita, Toimittaja on velvollinen ylläpitämään luetteloa rekisteröityjen henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista. Luettelo on luovutettava pyydettäessä Tilaa- jalle. Tilaajan pyynnöstä Toimittajan on luovutettava luettelossa mainittuja tietoja Tilaajan pyytä- mässä laajuudessa Tilaajan yksilöimille kolmansille tahoille.

6 Tietoturvaloukkaukset

6.1 Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Ti- laajalle 24 tunnin kuluessa tiedon saamisesta. Lisäksi Toimittaja sitoutuu ilmoittamaan Tilaajalle muista Toimittajan tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määrä- ajassa.

6.2 Henkilötietojen käsittelijän on annettava Tilaajalle viipymättä, kuitenkin viimeistään seitsemän

(7) päivän kuluessa, vähintään seuraavat tiedot tietoturvaloukkauksesta:

1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asi- anomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;

3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

4) esitettävä arvio aiheutuuko tietoturvaloukkauksesta todennäköisesti rekisteröidyn oikeuksiin tai vapauksiin kohdistuva korkea riski; sekä

5) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on to- teuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

6.3 Jos Tilaaja on maksanut rekisteröidylle korvauksen tietosuojalainsäädännön rikkomisen joh- dosta aiheutuneesta vahingosta, on Tilaajalla oikeus Sopimuksessa sovittujen vastuunrajoitus- ten rajoittamatta periä Toimittajalta tämän vahingonkorvausvastuuta vastaava osuus rekiste- röidylle maksetusta korvauksesta. Sopijapuolten vastuu rekisteröidylle aiheutuneesta vahin- gosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuoja- lainsäädännössä olevan vastaavan määräyksen mukaan.

7 Muita vaatimuksia

7.1 Tilaajalla on oikeus muuttaa, täydentää ja päivittää Toimittajalle antamiaan henkilötietojen käsit- telyä ja tietosuojaa koskevia ohjeita. Nämä ohjeet voivat olla henkilötietojen käsittelyä tai tieto- suojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia, täydennyksiä tai päivityksiä. Toimittaja tekee tarvittavat muutostyöt Tilaajan ohjeiden mukaisesti. Xxx Xxxxxxxx ohjeet aiheuttavat Toimittajalle olennaisia muutostöitä (yli yksi (1) henkilötyöpäivää), lisäkustan- nuksista sovitaan erikseen. Erikseen sovittavat lisäkustannukset on ennen toimenpiteisiin ryhty- mistä hyväksytettävä kirjallisesti Tilaajalla. Toimittaja ja muut henkilötietojen käsittelijät sitoutu- vat noudattamaan näitä muutettuja, täydennettyjä tai päivitettyjä ohjeita.

7.2 Osapuolet ymmärtävät, että Sopimuksessa ja sen liitteissä käsitellään myös tietosuojaa koske- via aiheita.

7.3 Toimittaja sitoutuu reagoimaan viimeistään 72 tunnin kuluessa Xxxxxxxx yhteydenotosta ja vas- taamaan viimeistään yhden (1) viikon kuluessa Tilaajan tietosuojaa koskeviin ilmoituksiin, rekla- maatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tietotur- valoukkaukset, joihin sovelletaan Sopimuksessa ja edellä tässä liitteessä määritettyjä määräai- koja.

7.4 Jos Toimittaja laiminlyö tai rikkoo tätä sopimusliitettä, sovellettavaa lainsäädäntöä tai EU:n yleistä tietosuoja-asetusta, Toimittajan korvausvastuu on määritelty Sopimuksen lisäksi sovel- lettavassa lainsäädännössä. Lisäksi tällainen laiminlyönti tai rikkomus voi muodostaa Sopimuk- sessa tarkoitetun olennaisen sopimusrikkomuksen, jonka seurauksena Tilaajalla on halutes- saan oikeus turvautua Sopimuksessa määriteltyihin oikeussuojakeinoihin. Vähäistä laiminlyön- tiä tai rikkomusta ei pidetä olennaisena sopimusrikkomuksena.

7.5 Osapuolet ymmärtävät, että Sopimusta ja tätä sopimusliitettä tehtäessä tietosuojaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Tilaajan asemaan tai velvollisuuksiin tai tässä sopimusliitteessä määriteltyihin velvollisuuksiin tai vastuisiin, tätä sopimusliitettä voidaan tarvittaessa niiltä osin tarkistaa. Jos tähän sopimusliitteeseen tehdään sellaisia muutoksia, joista aiheutuu Toimittajalle olennaisia lisäkustannuksia (yli yksi (1) henkilö- työpäivää), niiden korvaamisesta sovitaan erikseen. Toimittaja ja muut henkilötietojen käsitteli- jät sitoutuvat noudattamaan kyseistä tarkistettua sopimusliitettä.

7.6 Osapuolet voivat kirjallisesti muuttaa tätä sopimusliitettä Sopimuksessa kuvatuin ehdoin.

Osa II: Henkilötietojen käsittelytoimien kuvaus

Osapuolet ovat sopineet, että Toimittaja käsittelee Xxxxxxxx puolesta Sopimuksessa sovitun pal- velun toteuttamiseksi seuraavia henkilötietoja:

Henkilötietojen tyypit (valitaan yksi suurimman riskin mukaan):

x Matala riski

(esim. henkilötietojen käsittely kohdistuu tavanomaisiin yhteistietoihin)

□ Keskisuuri riski

(esim. henkilötietojen käsittely kohdistuu tunnistetietoihin tai tarkkoihin yhteistietoihin)

□ Korkea riski

(esim. henkilötietojen käsittely kohdistuu arkaluontoisiin tietoihin, tarkkoihin sijaintietoi- hin tai tarkkoihin tunnistetietoihin)

Henkilötietojen ryhmät (valitaan yksi arkaluontoisimman henkilötiedon mukaan):

x Tavanomaiset henkilötiedot

□ Erityiset eli ns. arkaluontoiset henkilötiedot

(rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksi- selitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henki- lön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely)

Henkilötietojen käsittelyn kesto (valitaan yksi):

x Sopimuksen keston ajan

□ Muu aika (pp.kk.vvvv-pp.kk.vvvv):             

Henkilötietojen käsittelyn luonne ja tarkoitus

Toimittaja käsittelee henkilötietoja vain Sopimuksen edellyttämässä laajuudessa. Erityisiä huomioita ja yksityiskohtia henkilötietojen käsittelyn luonteesta ja tarkoituksesta:

Muita erityisiä huomioita ja yksityiskohtia henkilötietojen käsittelystä Sopimuksessa sovi- tun palvelun tuottamiseen: