Liite 1. Henkilötietojen käsittelyn ehdot
Palvelusetelisääntökirjan yleinen osa
Liite 1. Henkilötietojen käsittelyn ehdot
Henkilötietojen käsittelyn ehdot
1 Yleistä
1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa hyvinvointialueen ja palveluntuottajan välillä koskevaa sopimusta, jäljempänä sopimus, jonka tilaaja on tehnyt palveluntuottajan kanssa.
1.2. Tässä sopimusliitteessä määritellään tilaajaa ja palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti palveluntuottaja tilaajan toimeksiannosta käsittelee henkilötietoja tilaajan puolesta. Näissä ehdoissa kuvatuista palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.
2 Osapuolten roolit henkilötietojen käsittelyssä
2.1. Käsiteltäessä henkilötietoja tilaaja on rekisterinpitäjä ja palveluntuottaja on henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista tilaaja vastaa rekisterinpitäjänä.
2.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan Käsittelytoimien kuvauksessa tai muussa tilaajan ohjeistuksessa. Palveluntuottaja sitoutuu noudattamaan sopimuksessa, käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.
3 Palveluntuottajan yleiset velvollisuudet
3.1. Palveluntuottaja käsittelee henkilötietoja sopimuksen ja tilaajan antamien ohjeiden mukaisesti.
Palvelusetelisääntökirjan yleinen osa
Liite 1. Henkilötietojen käsittelyn ehdot
3.2. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että tilaajan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti.
3.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.
3.4. Palveluntuottaja saattaa tilaajan saataville tämän pyynnöstä kaikki ne mahdolliset tiedot, jotka tilaaja tarvitsee rekisterinpitäjälle ja palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten.
3.5. Palveluntuottaja ilmoittaa tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Palveluntuottaja avustaa tilaajaa, jotta tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää palveluntuottajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen.
4 Tilaajan ohjeet
4.1. Palveluntuottaja noudattaa tilaajan henkilötietojen käsittelyssä sopimuksessa ja näissä erityisehdoissa sovittuja ehtoja sekä tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä tilaajalle, jos tilaajan antamat ohjeet ovat puutteellisia tai jos palveluntuottaja epäilee niitä lainvastaisiksi.
4.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan sopimuksen mukaisessa muutos- hallintamenettelyssä.
Palvelusetelisääntökirjan yleinen osa
Liite 1. Henkilötietojen käsittelyn ehdot
5 Palveluhenkilöstö
5.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä tilaajan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.
5.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja tilaajan ohjeiden mukaisesti.
6 Alihankkijat, jotka käsittelevät henkilötietoja
6.1. Siltä osin kuin palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.
6.2. Jos palveluntuottajan alihankkija käsittelee tilaajan henkilötietoja, alihankkijan käyttäminen edellyttää tilaajan ennakkoon kirjallisesti antamaa lupaa.
6.3. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa palveluntuottajalle asetettuja velvoitteita sekä tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että sopimuksen mukainen tilaajan tarkastusoikeus voidaan ulottaa alihankkijaan.
6.4. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palveluntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Jos tilaaja perustellusti katsoo, että palveluntuottajan alihankkija ei täytä tietosuojavelvoitteitaan, tilaajalla on oikeus vaatia palveluntuottajaa vaihtamaan alihankkijaa.
6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten
Palvelusetelisääntökirjan yleinen osa
Liite 1. Henkilötietojen käsittelyn ehdot
alihankkija käsittelee tilaajan henkilötietoja tietosuojalainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa.
7 Palvelun paikka
7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, palveluntuottajalla on oikeus käsitellä tilaajan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityisehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
7.2. Jos sopijapuolet sopivat, että palveluntuottajaa saa siirtää tilaajan henkilötietoja Euroopan talousalueen ulkopuolelle, sopijapuolet huolehtivat siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukaisesti.
8 Henkilötietojen käsittelyn päättyminen
8.1. Sopimuksen voimassaoloaikana palveluntuottaja ei saa poistaa tilaajan lukuun käsittelemiään henkilötietoja ilman tilaajan nimenomaista pyyntöä.
8.2. Sopimuksen päättyessä tai purkautuessa palveluntuottaja palauttaa tilaajalle kaikki tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että palveluntuottaja säilyttää henkilötiedot.