Suonenjoen kaupunki

Suonenjoen kaupunki

Tarjouspyynnön liite: Mielen hyvinvointipalvelujen hankinta Henkilötietojen käsittelyn ehdot

1. Yleistä

1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa hankinnan ”Mielen hyvinvointipalvelut” sopimusta, jäljempänä ”Sopimus”, jonka Tilaaja on tehnyt Palveluntuottajan (XX) kanssa.

1.2. Tässä sopimusliitteessä määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palveluntuottaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta. Tässä sopimuksessa noudatetaan kulloinkin voimassa olevaa tietosuojaan ja henkilötietojen käsittelyyn sovellettavaa lainsäädäntöä. Näissä ehdoissa kuvatuista Palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.

2. Osapuolten roolit henkilötietojen käsittelyssä

2.1. Käsiteltäessä henkilötietoja Tilaaja on rekisterinpitäjä ja Palveluntuottaja on henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vastaa rekisterinpitäjänä.

2.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan näiden ehtojen liitteenä olevassa Käsittelytoimien kuvauksessa tai muussa Tilaajan ohjeistuksessa. Palveluntuottaja sitoutuu noudattamaan Sopimuksessa, käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

2.3. Jos kohdan 2.2 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Palveluntuottajan kanssa.

Palveluntuottajan yleiset velvollisuudet

2.4. Palveluntuottaja käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjeiden mukaisesti. Ryhmittymän ollessa Käsittelijänä tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

2.5. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Tilaajan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja

vikasietoisuus. Palveluntuottajan tulee toimittaa Tilaajalle pyydettäessä selvitys siitä, miten em. asiat on toteutettu.

2.6. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

2.7. Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Tilaajan henkilötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot Tilaajalle.

2.8. Palveluntuottaja saattaa Xxxxxxxx saataville tämän pyynnöstä kaikki tiedot, jotka Tilaaja tarvitsee rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Xxxxxxxx vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja- asetuksen mukaisen ennakkokuulemisen suorittamiseen. Palveluntuottaja tekee nämä tehtävät sopimuksen mukaisilla hinnoilla, ellei toisin sovita.

2.9. Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Palveluntuottaja avustaa Tilaajaa, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Palveluntuottajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Palveluntuottaja tekee nämä tehtävät sopimuksen mukaisilla hinnoilla, ellei toisin sovita.

2.10. Palveluntuottaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkastusmenettelyä koskevat tarkemmat ehdot ovat sopimuksessa.

3. Xxxxxxxx xxxxxx

3.1. Palveluntuottaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä sopimuksessa ja näissä erityisehdoissa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvastaisiksi.

3.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan sopimuksen mukaisessa muutoshallintamenettelyssä.

4. Palveluhenkilöstö

4.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Tilaajan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

4.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Tilaajan ohjeiden mukaisesti.

5. Palvelun paikka

5.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, Palveluntuottajalla on oikeus käsitellä Tilaajan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityisehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.

5.2. Jos sopijapuolet sopivat, että Palveluntuottajaa saa siirtää Tilaajan henkilötietoja Euroopan talousalueen ulkopuolelle, sopijapuolet huolehtivat siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukaisesti.

6. Tietoturvaloukkaukset

6.1. Palveluntuottajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta viimeistään 24 tunnin kuluessa. Lisäksi Palveluntuottaja sitoutuu ilmoittamaan Tilaajalle muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa.

Ellei Sopimuksen mukaisista palvelutasovaatimuksista muuta johdu, Käsittelijä sitoutuu reagoimaan viimeistään 72 tunnin kuluessa Xxxxxxxx yhteydenotosta ja vastaamaan viimeistään

yhden (1) viikon kuluessa tietosuojaa koskeviin Tilaajan palvelupyyntöihin tai reklamaatioihin. Tietoturvaloukkauksiin sovelletaan kuitenkin edellä määritettyjä määräaikoja.

Palveluntuottajan on toimitettava raportti tietoturvatapahtumista puolivuosittain Tilaajalle.

Jos sovitulla aikajaksolla ei ole tietosuojaan liittyviä poikkeamatapahtumia, tämä todetaan raportissa.

6.2. Palveluntuottajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:

i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;

ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;

iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja

iv. kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

6.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy viipymättä sopimuksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

7. Henkilötietojen käsittelyn päättyminen

7.1. Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Xxxxxxxx lukuun käsittelemiään henkilötietoja ilman Tilaajan nimenomaista pyyntöä.

7.2. Sopimuksen päättyessä tai purkautuessa Palveluntuottajan tulee joko poistaa kaikki henkilötiedot, mukaan lukien lokitiedot. Henkilötietojen käsittelijän tulee esittää rekisterinpitäjälle todisteet siitä, että tietojen poistaminen on suoritettu, ja rekisterinpitäjän kirjallisen asiaa koskevan pyynnön vastaanotettuaan toimitettava rekisterinpitäjälle kirjallinen vahvistus siitä, että henkilötiedot ja kaikki niistä mahdollisesti olevat jäljennökset on pysyvästi tuhottu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot.

8. Vastuunrajoitusehto

Jos sopijapuoli on maksanut rekisteröidylle korvauksen tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, on tällä sopijapuolella oikeus sovittujen vastuunrajoitusten rajoittamatta periä samaan tietojenkäsittelyyn osallistuneelta toiselta sopijapuolelta tämän vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Sopijapuolen vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan.

LIITE Käsittelytoimien kuvaus