SOPIMUS OPETUKSEN JÄRJESTÄMISESTÄ SAIRAALAKOULUSSA
SOPIMUS OPETUKSEN JÄRJESTÄMISESTÄ SAIRAALAKOULUSSA
Sopijapuolet: Turun kaupunki (jäljempänä ”Turku”) PL 355
20101 Turku
X kunta (jäljempänä ”Ostajakunta”) Osoite
Jäljempänä sopijapuolesta käytetään erikseen nimitystä ”Sopijapuoli” ja sopi- japuolista yhdessä yhteisnimitystä ”Sopijapuolet”.
Yhteyshenkilöt ja heidän tehtävänsä
Turun kaupunki:
Etunimi Sukunimi titteli puhelinnumero sähköposti
X kunta:
Etunimi Sukunimi titteli puhelinnumero sähköposti
Yhteyshenkilöiden tehtävänä on seurata ja valvoa tämän sopimuksen toteutu- mista ja tiedottaa siitä oman organisaationsa sisällä ja toiselle Sopijapuolelle. Vain sopimuksen yhteyshenkilölle ilmoitetut tiedonannot ja yhteydenotot ovat päteviä. Sopimuksen yhteyshenkilöllä ei ole oikeutta muuttaa sopimusta. So- pijapuolen on viivytyksettä ilmoitettava kirjallisesti yhteyshenkilön vaihtumi- sesta toisen Sopijapuolen yhteyshenkilölle.
1. Sopimuksen tarkoitus
Tällä sopimuksella Turku ja Ostajakunta sopivat perusopetuksen järjestämi- sestä voimassa olevan perusopetuslain (21.8.1998/628) 4 a §:n mukaisesti erikoissairaanhoidossa olevalle oppilaalle (jäljempänä ’’Sopimus).
Sairaalan sijaintikunta on lain mukaan velvollinen järjestämään sairaalassa potilaana olevalle oppilaalle opetusta siinä määrin kuin se hänen terveytensä huomioon ottaen on mahdollista. Sopimus koskee sairaalaopetusta sekä pal- veluna tarjottavaa konsultointia ja tarkoituksena on sopia kustannusten jaka- misesta ja laskuttamisesta. (jäljempänä ’’Palvelu’’).
Tällä Sopimuksella korvataan Turun kasvatus- ja opetuslautakunnan 17.6.2020 § 109 hyväksymä sopimus.
2. Hallinto ja talous
Turku huolehtii Sopimuksen tarkoittaman opetuksen edellyttämästä hallin- nosta ja taloudesta.
3. Sairaalakoulun opetuksen rahoitus ja Ostajakunnalta perittävät korvaukset
Kunnan peruspalvelujen valtionosuudesta annetun lain (29.6.2021/618) 38
§:n mukaan perusopetuslain 4 a §:n 1 momentissa tarkoitettua esi- tai perus- opetusta saavan oppilaan kotikuntalaissa tarkoitettu kotikunta hoidon aikana on velvollinen maksamaan oppilaasta sairaalan tai muun erikoissairaanhoidon toimintayksikön sijantikunnalle korvauksen. Sen estämättä, mitä kunnan pe- ruspalvelujen valtionosuudesta annetun lain 38 §:ssä säädetään korvauksen määräytymisestä, kunnat voivat keskenään tai muun opetuksen järjestäjän kanssa sopia korvauksesta.
Turku laskuttaa oppilaasta edellisen vuoden tilinpäätöksen mukaan lasketun hinnan perusteella. Oppilaskohtainen laskutettava hinta muodostuu siten, että päiväkohtainen hinta kerrotaan oppilaalle järjestettyjen opetuspäivien mää- rällä.
Päiväkohtainen hinta on voimassa lukuvuoden kerrallaan, ja hinta ilmoitetaan etukäteen Ostajakunnalle lukuvuosittain tilinpäätöksen vahvistamisen jälkeen. Esimerkiksi lukuvuoden 2022 – 2023 päiväkustannus muodostuu kalenteri- vuoden 2021 vahvistetun tilinpäätöksen perusteella lasketusta keskimääräi- sestä sairaalakoulun oppilaskohtaisesta kustannuksesta.
Ostajakunta järjestää oppilaalle koulukuljetuksen ja vastaa koulukuljetuskus- tannuksista oppilaan kotoa kouluun silloin, kun oppilas on avo-opetuksessa. Sairaalan ja koulun välisistä mahdollisista kuljetuksista ja niiden aiheuttamista kustannuksista vastaa Turku. Ostajakunta vastaa myös mahdollisen henkilö- kohtaisen ohjaajan palkkauskustannuksista ja oppilaan mahdollisista majoi- tuskustannuksista. Henkilökohtaisen ohjaajan palkkaamisesta Turun on sovit- tava Ostajakunnan kanssa ennen palkkauspäätöksen tekemistä. Oppimateri- aalit tulevat ensisijaisesti Ostajakunnan oppilaan omalta koululta.
Konsultaatio sisältyy sairaalaopetuksen päivähintaan. Ostajakunta vastaa matkakustannusten korvaamisesta konsultoivalle viranhaltijalle/työntekijälle.
Mikäli viranomaisten määräämien julkisten maksujen tai arvonlisäveron suu- ruus tai kantamisperuste muuttuu joko säädösmuutosten tai verotuskäytän- nön muutoksen seurauksena, hinnat muuttuvat vastaavasti.
4. Ostajakunnan laskuttaminen, maksuaika ja viivästyskorko
Turku laskuttaa Ostajakunnan maksuosuudet puolivuosittain jälkikäteen 31.1. ja 31.7. mennessä. Laskuista käy ilmi laskutuksen perusteet, ja ne eivät si- sällä lain mukaan salassapidettäviä tietoja.
Maksut maksetaan laskun perusteella. Lasku erääntyy maksettavaksi kolmen- kymmenen (30) päivän kuluttua hyväksyttävän laskun päiväyksestä. Jos Os- tajakunta ei maksa laskua viimeistään eräpäivänä, Turulla on oikeus periä vii- västyskorkoa voimassa olevan korkolain (20.8.1982/633) 4 §:n 1 momentin mukaisesti sekä kohtuulliset perintäkulut.
Ostajakunta toimittaa laskutusosoitteen Turun yhteyshenkilölle.
5. Tietosuoja ja henkilötietojen käsittely
Sopijapuolet huolehtivat kumpikin omalta osaltaan, että Sopimuksen aikana ja sen päättymisen jälkeen Sopimuksen piirissä olevien asioiden, asiakirjojen ja tietojen käsittelyssä noudatetaan kulloinkin voimassa olevaa lainsäädäntöä sekä määräyksiä salassapidosta, vaitiolovelvollisuudesta, tietosuojasta ja sa- lassa pidettävien tietojen luovuttamisesta.
Sopijapuolet sitoutuvat erityisesti noudattamaan henkilötietojen käsittelyssä EU:n yleistä tietosuoja-asetusta (EU 2016/679, jäljempänä myös ’’tietosuoja- asetus’’), kansallista tietosuojalakia (1050/2018) ja muuta kulloinkin voimassa olevaa tietosuojalainsäädäntöä. Tilanteessa, jossa Palveluun liittyvien
henkilötietojen käsittelyssä Turulle muodostuu rekisterinpitäjyys ja Ostaja- kunta käsittelee henkilötietoja Turun lukuun, sovelletaan liitteenä olevia Turun kaupungin ehtoja henkilötietojen käsittelijälle (kts. liite 1). Tilanteessa, jossa Turku käsittelee henkilötietoja Ostajakunnan lukuun, sovelletaan Ostajakun- nan asettamia ehtoja henkilötietojen käsittelystä. Sopijapuolet vastaavat omalta osaltaan rekisterinpitäjän vastuista.
Palvelussa on noudatettava salassapidosta annettuja julkista hallintoa koske- via voimassa olevia säädöksiä, kuten lakia viranomaisten toiminnan julkisuu- desta (621/1999). Sopijapuolet vastaavat siitä, ettei Palvelua tuotettaessa ja Sopimuksen mukaisessa toiminnassa muuten tietoon tullutta yksityistä tai per- heen salaisuutta luvatta ilmaista. Sopijapuoli ei saa ilman toisen Sopijapuolen lupaa luovuttaa ulkopuolisille henkilötietoja tai tietoja, jotka voivat olla salassa pidettäviä. Sopijapuolten on selvitettävä Palvelua suorittavalle henkilöstölle salassapitovelvollisuuden sisältö.
Sopijapuolet sitoutuvat pitämään salassa toisiltaan saamansa luottamukselli- siksi katsottavat aineistot ja tiedot, jotka ovat lain perusteella salassa pidettä- viä, sekä olemaan käyttämättä niitä muihin kuin Sopimuksen mukaisiin tarkoi- tuksiin. Salassapitovelvollisuuden rikkomisena ei pidetä viranomaisten velvoit- tavan määräyksen vuoksi tapahtuvaa tietojen luovuttamista viranomaisille tai muulle taholle.
Sopijapuolet varmistavat Sopimusta koskevien tietojen asianmukaisen suo- jaamisen. Sopijapuolten on noudatettava voimassa olevassa viranomaisten toiminnasta julkisuudesta annetussa laissa tarkoitettua hyvää tiedonhallintata- paa sekä Sopijapuolten mahdollisesti sopimia muita järjestelyjä tietoturvalli- suudesta ja tietosuojasta huolehtimiseksi. Sopijapuolten on huolehdittava, että sen omistamat laitteet sekä tilat on asianmukaisesti suojattu tietoturvaris- kejä vastaan ja että suojaukseen ja tiedonvarmistukseen liittyviä menettelyjä noudatetaan. Sopijapuolet noudattavat voimassa olevan tietosuojalain edellyt- tämää hyvää tietojen käsittelytapaa ja tietojen suojaamista koskevia säännök- siä sekä muuta tietosuojaa koskevaa lainsäädäntöä.
6. Ilmoitusvelvollisuus
Sopijapuolen tulee ilmoittaa viipymättä kirjallisesti toiselle Sopijapuolelle asi- oista, joilla on sopimussuhteen tai Sopimuksen täyttämisen kannalta olennai- nen merkitys.
7. Sopimuksen muuttaminen ja siirtäminen
Sopijapuolet voivat muuttaa tätä sopimusta kirjallisesti. Muut muutokset ovat mitättömiä. Muutokset tulevat voimaan, kun molemmat Sopijapuolet ovat ne asianmukaisesti hyväksyneet ja allekirjoittaneet Sopijapuolten toimivaltaisten edustajien toimesta.
Sopijapuoli ei voi kokonaan tai osittain siirtää Sopimusta kolmannelle ilman toisen Sopijapuolen etukäteen antamaa kirjallista suostumusta. Sopijapuolella on oikeus siirtää Sopimus sellaiselle kolmannelle osapuolelle, jolle Sopijapuo- len tehtävät siirtyvät kokonaan tai osittain.
8. Vahingonkorvaus
Sopijapuolet ovat velvollisia korvaamaan Sopimuksen ehtojen tahallisesta tai tuottamuksellisesta rikkomisesta toiselle Sopijapuolelle aiheutuneen vahingon täysimääräisesti.
Vahingonkorvausvelvollisuutta ei kuitenkaan ole välillisiin ja epäsuoriin vahin- koihin paitsi kun nämä on aiheutettu tahallaan tai törkeästä huolimattomuu- desta.
9. Sopimuksen voimassaolo, irtisanominen ja purkaminen
Tämä Sopimus tulee voimaan, kun se on Sopijapuolten osalta allekirjoitettu, ja on voimassa toistaiseksi.
Kumpikin Sopijapuoli voi irtisanoa Sopimuksen päättymään vuosittain kunkin vuoden heinäkuun 31. päivänä. Irtisanominen on tehtävä kirjallisella irtisano- misilmoituksella, joka on toimitettava toiselle Sopijapuolelle vähintään vuosi ennen sopimuksen päättymistä.
Kumpikin Sopijapuoli saa purkaa Sopimuksen kokonaan tai osittain, jos toinen Sopijapuoli on olennaisesti rikkonut tässä Sopimuksessa sovittuja sopimus- velvoitteitaan tai on ilmeistä, että olennainen sopimusrikkomus tulee tapahtu- maan. Sopimuksen purkaminen on tehtävä kirjallisesti.
10. Sopimukseen sovellettava laki ja erimielisyyksien ratkaiseminen
Tähän Sopimukseen ja sen tulkintaan sovelletaan Suomen lakia. Mahdolliset sopimuserimielisyydet pyritään ensisijaisesti ratkaisemaan neu-
vottelemalla. Mikäli neuvottelut eivät johda Sopijapuolia tyydyttävään lopputu- lokseen, ratkaistaan erimielisyydet ensimmäisenä oikeusasteena Varsinais- Suomen käräjäoikeudessa.
11. Muut ehdot
Mikäli sopimussuhteen aikana lainsäädännön muutoksista tai valtion toimen- piteistä aiheutuu olosuhteen muutoksia, jotka vaikuttavat Sopimuksen sovel- tamiseen, tarkistetaan Sopimusta olosuhteiden muutosta vastaavasti. Tällai- sia muutoksia voisivat olla esimerkiksi valtion tekemät opetustoimen rahoituk- seen liittyvät muutokset.
Tätä Sopimusta on laadittu kaksi (2) samasanaista kappaletta, yksi (1) kum- mallekin Sopijapuolelle.
Turussa . .20
TURUN KAUPUNKI X kunta
Kasvatuksen ja opetuksen palvelukokonaisuus
nimi nimi
titteli titteli
Liite 1 Turun kaupungin ehdot henkilötietojen käsittelijälle
Liite 1
Turun kaupungin ehdot henkilötietojen kä- sittelijälle
OSA I: Tietosuojaa koskevat ehdot
1 Yleistä
Tämä sopimusliite ”Turun kaupungin ehdot henkilötietojen käsittelijälle” on osa Sopimusta opetuksen jär- jestämisestä sairaalakoulussa (Dnro 2278-2023), jäljempänä ”Sopimus”, jonka Turun kaupunki on tehnyt Ostajakunnan kanssa.
1.1 Tässä sopimusliitteessä määritetään Turun kaupunkia ja Ostajakuntaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Ostajakunta Turun kaupungin toimeksiannosta käsittelee henkilötietoja Turun kaupungin puolesta ja lukuun Sopimuksessa ole- vien sopimusehtojen lisäksi. Mikäli Ostajakunta muodostaa Sopimuksen toteuttamisen yhtey- dessä henkilörekistereitä, Ostajakunta vastaa niistä EU:n yleisen tietosuoja-asetuksen mukai- sena rekisterinpitäjänä.
1.2 Sopijapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä, ja lisäksi Sopijapuolet sitoutuvat saattamaan henkilötietojen käsittelyn ja tietosuojan EU:n yleisen tietosuoja-asetuksen (EU)2016/679 mukai- selle vaatimustasolle ennen Sopimuksen toteuttamiseen ryhtymistä.
1.3 Tämän liitteen perusteella suoritetuista toimenpiteistä syntyvät kustannukset sisältyvät Sopimuk- sessa esitettyyn sopimushintaan, eikä Ostajakunnalla ole oikeutta veloittaa niistä erikseen. Koh- dissa 7.1 ja 7.5 esitettyjen olennaisten muutostöiden korvaamisesta sovitaan erikseen. Ennen ryhtymistä olennaisiin muutostöihin Ostajakunnan on pyydettävä Turun kaupungilta kirjallinen en- nakkolupa.
2 Sopijapuolten roolit henkilötietojen käsittelyssä
2.1 Turun kaupunki toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoitta- mana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Sopijapuolet ymmärtävät, että rekisterinpitäjänä Turun kaupunki saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja or- ganisatoristen toimien täytäntöön panemiseksi niin, että käsittely täyttää kulloinkin voimassaole- van henkilötietojen käsittelyyn ja tietosuojaan liittyvän kansallisen lainsäädännön vaatimukset ja EU:n yleisen tietosuoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu.
2.2 Ostajakunta toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Turun kaupungin henkilötietoja Turun kaupungin puo- lesta ja lukuun.
2.3 Turun kaupunki sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsää- dännön mukaisista rekisterinpitäjän velvollisuuksista.
sopimuksen mukaisen palvelun aikana laadittavassa ja Ostajakuntaa sitovassa dokumentaati- ossa tai muussa Turun kaupungin ohjeistuksessa. Ostajakunta sitoutuu noudattamaan Sopimuk- sessa, dokumentaatiossa ja ohjeistuksessa olevia henkilötietojen käsittelyä koskevia ehtoja ja kuvauksia. Turun kaupunki vastaa ohjeistuksen ylläpidosta ja saatavuudesta.
2.5 Jos kohdan 0 mukaista kuvausta ei ole tehty tai se on puutteellinen, Turun kaupunki laatii tai täy- dentää kuvausta tarvittaessa yhteistyössä Ostajakunnan kanssa. Ostajakunnan on ilmoitettava Turun kaupungille, jos tämän antama ohjeistus on puutteellinen tai jos Ostajakunta epäilee sen rikkovan EU:n yleistä tietosuoja-asetusta, muita EU:n tietosuojasäännöksiä tai kansallista tieto- suojalainsäädäntöä.
2.6 Ostajakunta osallistuu Turun kaupungin pyynnöstä tietojärjestelmäselosteen laatimiseen.
3 Alihankkijat, jotka käsittelevät henkilötietoja
3.1 Ostajakunta ei saa käyttää henkilötietojen käsittelyyn alihankkijaa ilman Turun kaupungin anta- maa kirjallista ennakkolupaa. Ostajakunnan on tiedotettava Turun kaupungille kirjallisesti kaikista suunnitelluista muutoksista, jotka koskevat henkilötietojen käsittelijöinä toimivien alihankkijoiden lisäämistä tai vaihtamista, ja annettava Turun kaupungille mahdollisuus vastustaa tällaisia muu- toksia. Mikäli Turun kaupungin vastustuksesta huolimatta Ostajakunta aikoo käyttää esittä- määnsä alihankkijaa, on Turun kaupungilla oikeus irtisanoa sopimus päättymään ennen uuden tai vaihtuvan alihankkijan käyttöönottoa.
3.2 Siltä osin kuin Ostajakunta käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.
3.3 Ostajakunta, joka henkilötietojen käsittelijänä käsittelee Turun kaupungin henkilötietoja Turun kaupungin puolesta ja lukuun, sitoutuu tässä sopimusliitteessä kuvattuihin henkilötietojen käsitte- lijää koskeviin velvollisuuksiin. Ostajakunnalla on velvollisuus sopimuksilla sitouttaa käyttämänsä alihankkijat noudattamaan tämän sopimusliitteen ehtoja.
3.4 Ostajakunta on vastuussa mahdollisista Turun kaupungin henkilötietoja käsittelevien Ostaja- kunna alihankkijoiden Sopimuksen, tämän sopimusliitteen tai sovellettavan lainsäädännön taikka EU:n yleisen tietosuoja-asetuksen rikkomisista tai laiminlyönneistä kuin omistaan. Jos tietojen käsittelyä suorittava alihankkija ei täytä tietosuojavelvoitteitaan, Ostajakunta on edelleen täysi- määräisesti vastuussa suhteessa Turun kaupunkiin. Jos Turun kaupunki perustellusti katsoo, että Ostajakunnan alihankkija ei täytä tietosuojavelvoitteitaan, Turun kaupungilla on oikeus vaatia Os- tajakuntaa vaihtamaan alihankkijaa. Ostajakunnan on Turun kaupungin perustellusta vaatimuk- sesta vaihdettava alihankkijaa ilman aiheetonta viivästystä.
4 Henkilötietojen käsittelijän yleiset velvollisuudet
4.1 Henkilötietojen käsittelijä käsittelee henkilötietoja Sopimuksen ja Turun kaupungin antamien oh- jeiden mukaisesti.
4.2 Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
4.3 Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen sa- lassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vas- taavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja to- teuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihte- levat riskit sekä noudattamaan Turun kaupungin ohjeita ja mahdollisia Turun kaupungin ohjeiden päivityksiä. Ostajakunnan on Turun kaupungin pyynnöstä osoitettava tekniset ja organisatoriset
toimet, joihin edellä esitetyn turvallisuustason varmistamiseksi on ryhdytty. Teknisiä ja organisa- torisia toimia voivat olla esimerkiksi seuraavat:
1) Henkilötietojen pseudonymisointi ja xxxxxx.
2) Kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytet- tävyys ja vikasietoisuus.
3) Kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa.
4) Menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoris- ten toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
4.4 Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoi- hin, käsittelee niitä ainoastaan Sopimuksen ja Turun kaupungin ohjeiden mukaisesti.
4.5 Henkilötietojen käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Turun kaupungille kaikista rekisteröityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä EU:n ylei- sen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä.
4.6 Henkilötietojen käsittelijä sitoutuu avustamaan Turun kaupunkia asianmukaisilla teknisillä ja or- ganisatorisilla toimenpiteillä, jotta Turun kaupunki pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Henkilötietojen käsittelijä ymmär- tää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä avustamista rekis- teröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilö- tietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja/tai henkilö- tietojen siirtämisessä järjestelmästä toiseen.
4.7 Ostajakunnan on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, joita ovat esimerkiksi csv, xml ja xls(x), ja että ne voidaan automaattisesti irrottaa järjestelmästä siirrettäväksi toiseen järjestelmään.
4.8 Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Turun kaupunkia EU:n yleisen tieto- suoja-asetuksen mukaisen tietosuojaa koskevan vaikutusten arvioinnin tekemisessä, mahdolli- sessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Mikäli avustamisesta syntyy merkittäviä ja ennakoimattomia lisäkustannuksia, voidaan niiden ja- kautumisesta sopia erikseen yksittäistapauksissa. Jos Sopijapuolet eivät pääse yhteisymmärryk- seen kustannusten merkittävyydestä ja ennakoimattomuudesta, kuuluvat avustamiskustannukset Ostajakunnan vastattavaksi.
4.9 Henkilötietojen käsittelijä sitoutuu Turun kaupungin valinnan mukaan poistamaan tai palautta- maan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki Turun kaupungin henkilötiedot Turun kaupungille ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jä- senvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Turun kaupunki voi antaa tältä osin tarkempia ohjeita.
4.10 Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle ilman Tu- run kaupungin kirjallista ennakkolupaa.
4.11 Henkilötietojen käsittelijä saattaa Turun kaupungin saataville kaikki tiedot, jotka ovat tarpeen tässä sopimusliitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Turun kaupungin valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallis- tuu niihin. Turun kaupunki voi edellyttää Ostajakunnalta yhtä (1) auditointitarkastusta kalenteri- vuotta kohden. Mikäli Turun kaupungilla on kuitenkin perusteltu epäilys auditoinnin tarpeellisuu- desta, on Turun kaupungilla oikeus ylimääräisiin auditointeihin. Perusteltuna epäilyksenä pide- tään esimerkiksi Ostajakunnan toiminnassa havaittuja tietosuojapuutteita tai -loukkauksia.
5 Henkilötietojen käsittelijän erityiset velvollisuudet
5.1 Ostajakunnalla on oltava valmius asettaa ja hallinnoida tietojen luovutuksia koskevia rajoituksia, jollaisia voi aiheutua esimerkiksi väestötietolain mukaisesta rekisteröidyn turvakiellosta. Ostaja- kunnan tulee pystyä rajoittamaan rekisteröidyn henkilötietojen käsittelyä osittain tai kokonaan Tu- run kaupungin vaatimalla tavalla. Rekisteröidyn henkilötietojen rajoittaminen ei saa johtaa muiden rekisterissä olevien luonnollisten henkilöiden henkilötietojen rajoittamiseen, ellei Turun kaupungin ja Ostajakunnan kesken kirjallisesti toisin sovita.
5.2 Ellei toisin sovita, Ostajakunta on velvollinen ylläpitämään luetteloa rekisteröityjen henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista. Luettelo on luovutettava pyydettäessä Turun kaupungille. Turun kaupungin pyynnöstä Ostajakunnan on luovutettava luettelossa mainittuja tie- toja Turun kaupungin pyytämässä laajuudessa Turun kaupungin yksilöimille kolmansille tahoille.
5.3 Käsittelyyn käytettyjen tietojärjestelmien lokitukseen liittyen on varmistettava, että
1) Tietojärjestelmän tulee kirjata lokiin Turun kaupungin henkilötietojen käsittelytoimet (kat- selu, muutokset, poistot) ja käsittelyn ajankohta käyttäjätasolla.
2) Tietojärjestelmän lokien on oltava suojattu muutoksilta ja Tietojärjestelmätoimittajan on rajoitettava niihin pääsy käyttöoikeuksin vain tarvittaville henkilöille.
3) Xxxxxx on tuotettava käyttökelpoista informaatiota henkilötietojen käsittelystä, jotta tapah- tumia pystytään tarvittaessa tosiasiallisesti selvittämään.
4) Tietojärjestelmätoimittajan on pyydettäessä ja ilman aiheetonta viivytystä toimitettava em. käyttöoikeudet ja lokitiedot Turun kaupungille veloituksetta.
5) Tietojärjestelmän tulee tukea suostumusten ja kieltojen hallintaa, mikäli henkilötietojen käsittely perustuu suostumukseen ja/tai käsittelyn voi kieltää.
6 Tietoturvaloukkaukset
6.1 Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta tai sen epäillystä Turun kaupungille 24 tunnin kuluessa tiedon saamisesta. Ilmoitus voi olla alustava, ja sitä voidaan täydentää annetun määräajan jälkeen ilman aiheetonta viivästystä. Alustavan il- moituksen tulee sisältää seuraavat asiat: 1) mitä epäillään tapahtuneen, milloin ja koska tullut ilmi, 2) alustava arvio mitä henkilötietoja ja kuinka monen henkilön tietoja loukkaus koskee ja 3) kuka antaa lisätietoja. Lisäksi Ostajakunta sitoutuu ilmoittamaan Turun kaupungille muista Osta- jakunnan tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa.
6.2 Henkilötietojen käsittelijän on annettava Turun kaupungille viipymättä, kuitenkin viimeistään seit- semän (7) päivän kuluessa, vähintään seuraavat tiedot tietoturvaloukkauksesta:
1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asian- omaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
2) tietojärjestelmään kohdistuneen tietoturvaloukkauksen tapahtuma-ajan lokitiedot, joilla tarkoi- tetaan aikajärjestyksessä kirjattua tallennetta tietoverkkojen, sovellusten, järjestelmien ja tie- tosisältöjen tapahtumista ja niiden aiheuttajista;
3) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;
4) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
5) esitettävä arvio aiheutuuko tietoturvaloukkauksesta todennäköisesti rekisteröidyn oikeuksiin tai vapauksiin kohdistuva korkea riski; sekä
6) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on to- teuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
6.3 Jos Turun kaupunki on maksanut rekisteröidylle korvauksen tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, on Turun kaupungilla oikeus Sopimuksessa sovittujen vas- tuunrajoitusten rajoittamatta periä Ostajakunnalta tämän vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Sopijapuolten vastuu rekisteröidylle aiheutu- neesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan.
7 Muita vaatimuksia
7.1 Turun kaupungilla on oikeus muuttaa, täydentää ja päivittää Ostajakunnalle antamiaan henkilötie- tojen käsittelyä ja tietosuojaa koskevia ohjeita. Nämä ohjeet voivat olla henkilötietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia, täydennyk- siä tai päivityksiä. Ostajakunta tekee tarvittavat muutostyöt Turun kaupungin ohjeiden mukaisesti. Jos Turun kaupungin ohjeet aiheuttavat Ostajakunnalle olennaisia muutostöitä (yli yksi (1) henki- lötyöpäivää), lisäkustannuksista sovitaan erikseen. Erikseen sovittavat lisäkustannukset on en- nen toimenpiteisiin ryhtymistä hyväksytettävä kirjallisesti Turun kaupungilla. Ostajakunta ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan näitä muutettuja, täydennettyjä tai päivitettyjä ohjeita.
7.2 Sopijapuolet ymmärtävät, että Sopimuksessa ja sen liitteissä käsitellään myös tietosuojaa koske- via aiheita.
7.3 Ostajakunta sitoutuu reagoimaan viimeistään 36 tunnin kuluessa Turun kaupungin yhteyden- otosta ja vastaamaan viimeistään yhden (1) viikon kuluessa Turun kaupungin tietosuojaa koske- viin ilmoituksiin, reklamaatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuk- sen mukaiset tietoturvaloukkaukset, joihin sovelletaan Sopimuksessa ja edellä tässä liitteessä määritettyjä määräaikoja.
7.4 Jos Ostajakunta laiminlyö tai rikkoo tätä sopimusliitettä, sovellettavaa lainsäädäntöä tai EU:n yleistä tietosuoja-asetusta, Ostajakunnan korvausvastuu on määritelty Sopimuksen lisäksi sovel- lettavassa lainsäädännössä. Lisäksi tällainen laiminlyönti tai rikkomus voi muodostaa Sopimuk- sessa tarkoitetun olennaisen sopimusrikkomuksen, jonka seurauksena Turun kaupungilla on ha- lutessaan oikeus turvautua Sopimuksessa määriteltyihin oikeussuojakeinoihin. Vähäistä laimin- lyöntiä tai rikkomusta ei pidetä olennaisena sopimusrikkomuksena.
7.5 Sopijapuolet ymmärtävät, että Sopimusta ja tätä sopimusliitettä tehtäessä tietosuojaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Turun kaupungin asemaan tai velvollisuuksiin tai tässä sopimusliitteessä määriteltyihin velvollisuuksiin tai vastui- siin, tätä sopimusliitettä voidaan tarvittaessa niiltä osin tarkistaa. Jos tähän sopimusliitteeseen tehdään sellaisia muutoksia, joista aiheutuu Ostajakunnalle olennaisia lisäkustannuksia (yli yksi
(1) henkilötyöpäivää), niiden korvaamisesta sovitaan erikseen. Ostajakunta ja muut henkilötieto- jen käsittelijät sitoutuvat noudattamaan kyseistä tarkistettua sopimusliitettä.
7.6 Sopijapuolet voivat kirjallisesti muuttaa tätä sopimusliitettä Sopimuksessa kuvatuin ehdoin.
Osa II: Henkilötietojen käsittelytoimien kuvaus
Sopijapuolet ovat sopineet, että Ostajakunta käsittelee Turun kaupungin puolesta Sopimuksessa sovitun palvelun toteuttamiseksi seuraavia henkilötietoja:
Henkilötietojen tyypit (valitaan yksi suurimman riskin mukaan):
Matala riski
(esim. henkilötietojen käsittely kohdistuu tavanomaisiin yhteystietoihin)
Keskisuuri riski
(esim. henkilötietojen käsittely kohdistuu tunnistetietoihin tai tarkkoihin yhteystietoihin)
Korkea riski
(esim. henkilötietojen käsittely kohdistuu arkaluontoisiin tietoihin, tarkkoihin sijaintietoihin tai tarkkoihin tunnistetietoihin)
Henkilötietojen ryhmät (valitaan yksi arkaluontoisimman henkilötiedon mukaan):
Tavanomaiset henkilötiedot
Erityiset eli ns. arkaluontoiset henkilötiedot
(rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksi- selitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely)
Henkilötietojen käsittelyn kesto (valitaan yksi):
Sopimuksen keston ajan
Muu aika (pp.kk.vvvv-pp.kk.vvvv):
Henkilötietojen käsittelyn luonne ja tarkoitus
Ostajakunta käsittelee henkilötietoja vain Sopimuksen edellyttämässä laajuudessa. Erityisiä huomioita ja yksityiskohtia henkilötietojen käsittelyn luonteesta ja tarkoituksesta:
Muita erityisiä huomioita ja yksityiskohtia henkilötietojen käsittelystä Sopimuksessa sovitun palvelun tuottamiseen: