HENKILÖTIETOJEN KÄSITTELYN EHDOT PALVELUSETELITOIMINNASSA
HENKILÖTIETOJEN KÄSITTELYN EHDOT PALVELUSETELITOIMINNASSA
I Osa: Palvelusetelitoiminnan sopijapuolet Rekisterinpitäjä:
Tilaaja, Keski-Uudenmaan hyvinvointialue (palvelusetelin myöntäjä)
Henkilötietojen käsittelijä:
Palveluntuottaja, palvelusetelituottajaksi hyväksytty yritys/ammatinharjoittaja
1. EU-tietosuoja-asetuksen 28 artiklan mukainen sopimus henkilötietojen käsittelystä (GDPR)
Euroopan unionin yleinen tietosuoja-asetus (EU 679/2916) on tullut voimaan toukokuussa 2016 ja sitä sovelletaan kansallisesti 25.5.2018 alkaen. Tällä sopimusliitteellä toteutetaan tietosuoja-asetuksen määräys ja sovitaan henkilötietojen käsittelyn ehdoista palvelusetelitoiminnassa. Palvelusetelitoimittaja käsittelee rekisterinpitäjän toimeksiannosta rekisteröityjä koskevia henkilötietoja. Palvelusetelin myöntävä taho, Keski-Uudenmaan hyvinvointialue (Keusote), on palvelusetelitoiminnassa käsiteltävien henkilötietojen rekisterinpitäjä. Mikäli tämä sopimusliite on ristiriidassa palvelusetelitoimintaa koskevien muiden ehtojen kanssa, noudatetaan sopimusliitteen ehtoja. Sopimusliitteen tarkoituksena on varmistaa se, että palvelusetelitoiminta täyttää 25.5.2018 alkaen sovellettavan tietosuoja- asetuksen määräykset.
II Osa: Yleiset Sopimusehdot
1. Yleistä
1.1.Palveluntuottaja noudattaa voimassa olevan tietosuojalainsäädännön edellyttä- miä menettelytapoja ja henkilötietojen käsittelyä ja suojaamista koskevia säännök- siä. Palveluntuottaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tieto- suojalainsäädännön ja palvelusetelitoiminnalle asetettujen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuo- jasta on säädetty.
1.2.Tilaaja on rekisterinpitäjä. Palveluntuottaja noudattaa toiminnassaan henkilötieto- jen käsittelijänä tämän sopimuksen ehtoja.
2. Vastuunrajoitusehto
2.1 Jos sopijapuoli on maksanut rekisteröidylle korvauksen tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, on tällä sopijapuolella oikeus sovit- tujen vastuunrajoitusten rajoittamatta periä samaan tietojenkäsittelyyn osallistu- neelta toiselta sopijapuolelta tämän vahingonkorvausvastuuta vastaava osuus re- kisteröidylle maksetusta korvauksesta. Sopijapuolen vastuu rekisteröidylle aiheutu- neesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 koh- dan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mu- kaan.
III Osa: Henkilötietojen käsittelyn erityiset ehdot
1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa sopimusta, jäljempänä ”Sopimus”, jonka Xxxxxxx on tehnyt Palveluntuottajan kanssa. Sopimus on syntynyt, kun palveluntuottaja on hyväksytty palveluseteli-palveluntuottajaksi.
1.2. Tässä sopimusliitteessä määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henki- lötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palve- luntuottaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta. Näissä ehdoissa kuvatuista Palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.
2. Osapuolten roolit henkilötietojen käsittelyssä
2.1. Käsiteltäessä henkilötietoja Xxxxxxx on rekisterinpitäjä ja Palveluntuottaja on henkilö- tietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tar- koituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vastaa rekisterinpitäjänä.
2.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja re- kisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet ku- vataan näiden ehtojen liitteessä 1 olevassa Käsittelytoimien kuvauksessa tai muussa Xxxxxxxx ohjeistuksessa. Palveluntuottaja sitoutuu noudattamaan Sopimuksessa, kä- sittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.
2.3. Jos kohdan 2.2 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteelli- nen, Tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Palveluntuottajan kanssa.
3. Palveluntuottajan yleiset velvollisuudet
3.1. Palveluntuottaja käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjeiden mukaisesti. Xxxxxxxxxxx ollessa Käsittelijänä tämän sopimusliitteen velvoitteet
koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
3.2. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Tilaajan henkilötietojen käsittely tapahtuu sopimuksen vaati- musten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on var- mistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palvelui- den luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.
3.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tar- koituksessa ja laajuudessa.
3.4. Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteys- henkilön Tilaajan henkilötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja il- moittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot Tilaajalle.
3.5. Palveluntuottaja saattaa Tilaajan saataville tämän pyynnöstä kaikki tiedot, jotka Ti- laaja tarvitsee rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Tilaa- jan vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioin- nin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuu- lemisen suorittamiseen. Palveluntuottaja tekee nämä tehtävät sopimuksen mukai- silla hinnoilla, ellei toisin sovita.
3.6. Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Palveluntuottaja avustaa Tilaajaa, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Palveluntuotta- jalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekiste- röidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistami- sessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei toisin ole sovittu, Palveluntuottajalla on oi- keus laskuttaa Tilaajaa sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja Palveluntuottajalle. Palveluntuottaja on velvollinen ennakolta ilmoitta- maan Tilaajalle mahdollisesti aiheutuvista lisäkuluista.
3.7. Palveluntuottaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastuk- set sekä osallistuu niihin. Tarkastusmenettelyä koskevat tarkemmat ehdot ovat sopi- muksessa.
4. Xxxxxxxx xxxxxx
4.1. Palveluntuottaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä sopimuksessa ja näissä erityisehdoissa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Palveluntuot- taja epäilee niitä lainvastaisiksi.
4.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, nii- den vaikutuksesta sovitaan sopimuksen mukaisessa muutoshallintamenettelyssä.
5. Palveluhenkilöstö
5.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Tilaajan henkilötietoja, ovat sitoutuneet noudattamaan sopimuk- sessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvolli- suus.
5.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä vel- voitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Tilaa- jan ohjeiden mukaisesti.
6. Alihankkijat, jotka käsittelevät henkilötietoja
6.1. Siltä osin kuin Palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittele- vät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliit- teessä kuvattuja ehtoja.
6.2. Xxx Xxxxxxxxxxxxxxxxx alihankkija käsittelee Tilaajan henkilötietoja, alihankkijan käyt- täminen edellyttää Tilaajan ennakkoon kirjallisesti antamaa lupaa.
6.3. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Palvelun- tuottajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että sopimuk- sen mukainen Tilaajan tarkastusoikeus voidaan ulottaa alihankkijaan.
6.4. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palve- luntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Jos Tilaaja perustellusti katsoo, että Palveluntuot- tajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Palve- luntuottajaa vaihtamaan alihankkijaa.
6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava Ti- laajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja tietosuojalainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä kieltää ehdotetun alihankkijan käyttö.
7. Palvelun paikka
7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, Palveluntuottajalla on oikeus käsi- tellä Tilaajan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityisehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
Jos sopijapuolet sopivat, että Palveluntuottajaa saa siirtää Tilaajan henkilötietoja Euroopan talousalueen ulkopuolelle, sopijapuolet huolehtivat siitä, että henkilötie- tojen siirto toteutetaan lainsäädännön mukaisesti.
8.1. Palveluntuottajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötie- tojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Palveluntuottaja si- toutuu ilmoittamaan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
8.2. Palveluntuottajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturva- loukkauksesta:
i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;
iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
iv. kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy viipy- mättä sopimuksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.
9. Henkilötietojen käsittelyn päättyminen
9.1. Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Xxxxxxxx lukuun kä- sittelemiään henkilötietoja ilman Tilaajan nimenomaista pyyntöä.
9.2. Sopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädän- nössä tai viranomaisen määräyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot.
10. Allekirjoitukset
- Asiakirja on allekirjoitettu sähköisesti -
Tilaajan edustajan nimi Palveluntuottajan edustajan nimi
asema asema
LIITTEET
- henkilötietojen käsittelyä koskevat ohjeet
- käsittelytoimien kuvaus
- tietoturvaliite