Henkilötietojen käsittelyn ehdot Palveluntuottajalle
Henkilötietojen käsittelyn ehdot Palveluntuottajalle
1. Yleistä
1.1. Nämä henkilötietojen käsittelyn ehdot (jäljempänä ”Ehdot”) Pohjois-Pohjanmaan hyvinvointialueen (jäljempänä ”Tilaaja”) ja Palveluntuottajan nimi (jäljempänä ”Palveluntuottaja”) välisen Sopimuksen (Sopimuksen nimi) liite. Näissä ehdoissa määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat ehdot, joiden mukaisesti Palveluntuottaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta. Ehdot perustuvat EU:n yleisen tietosuoja- asetuksen (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679) ja tietosuojaan liittyvän muun kansallisen ja EU-tasoisen lainsäädännön (jäljempänä yhdessä ”Tietosuojalainsäädäntö”) vaatimuksiin.
1.2. Palveluntuottaja noudattaa voimassa olevan tietosuojalainsäädännön edellyttämiä menettelytapoja ja henkilötietojen käsittelyä sekä suojaamista koskevia säännöksiä. Palveluntuottaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön ja Sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.
1.3. Palveluntuottaja sitoutuu noudattamaan henkilötietojen käsittelijänä Sopimusta, näitä Ehtoja ja näiden Ehtojen liitteitä sekä muita mahdollisia Tilaajan antamia ohjeita. Näissä ehdoissa kuvatuista Palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei näissä ehdoissa ole toisin sovittu.
2. Osapuolten roolit henkilötietojen käsittelyssä
2.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan näissä Ehdoissa ja näiden Ehtojen liitteessä 1 ”Käsittelytoimien kuvaus” sekä liitteessä 2 ”Tilaajan ohjeet henkilötietojen käsittelijälle”.
2.3. Jos kohdan 2.2 mukaista Käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää kuvausta tarvittaessa yhteistyössä Palveluntuottajan kanssa.
3. Palveluntuottajan yleiset velvollisuudet
3.1. Palveluntuottaja käsittelee henkilötietoja Sopimuksen, näiden Ehtojen ja näiden Ehtojen liitteiden sekä muiden mahdollisten Tilaajan antamien ohjeiden mukaisesti. Ryhmittymän ollessa Käsittelijänä velvoitteet koskevat kaikkia Ryhmittymän jäseniä ja Ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
3.2. Palveluntuottaja huolehtii tietosuoja-asetuksen 32 artiklan 1 kohdan mukaisista teknisistä ja organisatorisista turvatoimista Tilaajan ohjeiden (Liite 2 ”Tilaajan ohjeet henkilötietojen käsittelijälle”) mukaisesti, joilla varmistetaan, että Tilaajan henkilötietojen käsittely tapahtuu Sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.
3.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä Sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin Sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.
3.4. Palveluntuottaja nimeää tietosuojavastaavan tai muun tietosuojan yhteyshenkilön Xxxxxxxx henkilötietoihin liittyviä yhteydenottoja varten. Henkilö merkitään liitteeseen 1 ”Käsittelytoimien kuvaus”.
3.5. Palveluntuottaja saattaa Tilaajan saataville tämän pyynnöstä viipymättä kaikki tiedot, jotka Tilaaja tarvitsee rekisterinpitäjälle ja Palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Xxxxxxxx vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen.
3.6. Palveluntuottaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Palveluntuottaja avustaa Tilaajaa, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Palveluntuottajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen.
3.7. Tilaajalla tai sen nimeämällä kolmannella osapuolella on oikeus auditoida palveluntuottajan tai sen alihankkijoiden välisen sopimuksen, Sopimuksen sekä näiden Ehtojen noudattaminen varmistuakseen siitä, että Palveluntuottaja on täyttänyt
Sopimuksen sekä näiden Ehtojen mukaiset velvollisuutensa. Palveluntuottajan tulee esim. mahdollistaa Tilaajan tai sen valtuuttaman auditoijan pääsy tiloihin ja järjestelmiin, joissa Tilaajan henkilötiedot ovat.
Ilman erityistä perustetta tarkastusmenettely toteutetaan lähtökohtaisesti 30 vuorokauden ilmoitusaikaa noudattaen. Mikäli Tilaaja voi osoittaa erityisen perusteen tarkastuksen toteuttamiselle, kuten kohtuulliset syyt epäillä henkilötietojen käsittelyyn liittyvää lainsäädännön tai näiden Ehtojen rikkomista tai tietoturvaloukkausta, on Tilaajalla oikeus käynnistää tarkastusmenettely 7 vuorokauden ilmoitusaikaa noudattaen.
Palveluntuottaja sitoutuu avustamaan Tilaajaa ja Xxxxxxxx nimeämää kolmatta osapuolta auditoinnin suorittamisessa. Tilaaja ja Palveluntuottaja vastaavat auditoinnista itselleen aiheutuneista kustannuksista. Mikäli auditoinnissa havaitaan merkittäviä puutteita, Palveluntuottaja vastaa auditoinnista myös Tilaajalle aiheutuneista kustannuksista sekä Tilaajan nimeämän kolmannen osapuolen palkkiosta ja kuluista.
4. Xxxxxxxx xxxxxx
4.1. Palveluntuottaja noudattaa Tilaajan henkilötietojen käsittelyssä Sopimusta, näitä Ehtoja ja näiden Ehtojen liitteitä sekä muita mahdollisia Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja on velvollinen ilmoittamaan kirjallisesti, ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvastaisiksi.
4.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu Sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan Sopimuksen mukaisessa muutoshallintamenettelyssä. Mikäli muutoshallintamenettelystä ei Sopimuksessa ole sovittu, Tilaaja ja Palveluntuottaja sopivat korvauksista etukäteen.
5. Palveluhenkilöstö
5.1. Palveluntuottaja sitoutuu siihen, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Tilaajan henkilötietoja, noudattavat sovittuja ja lainsäädännössä määriteltyjä salassapitoehtoja. Palveluntuottaja vastaa siitä, ettei palveluja tuotettaessa sopimuksen mukaisessa toiminnassa tietoon tullutta henkilötietoa ilmaista luvatta. Palveluntuottaja ei saa ilman Xxxxxxxx lupaa luovuttaa Xxxxxxxx henkilötietoja kolmansille.
5.2. Palveluntuottaja on velvollinen varmistamaan, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee Xxxxxxxx henkilötietoja ainoastaan Sopimuksen, näiden Ehtojen ja muiden mahdollisten Tilaajan kirjallisten ohjeiden mukaisesti.
6. Alihankkijat, jotka käsittelevät henkilötietoja
6.1. Siltä osin kuin Palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi näiden Ehtojen ehtoja. Mitä näissä Ehdoissa todetaan alihankkijoista, koskee Palveluntuottajan koko alihankintaketjua.
6.2. Xxx Xxxxxxxxxxxxxxxxx alihankkija käsittelee Tilaajan henkilötietoja, alihankkijan käyttäminen edellyttää Tilaajan ennakkoon kirjallisesti antamaa lupaa. Sopimuksen voimaantulon myötä Tilaaja antaa Palveluntuottajalle luvan käyttää liitteessä 1 ”Käsittelytoimien kuvaus” kuvattuja alihankkijoita. Palveluntuottaja ilmoittaa kirjallisesti Tilaajalle henkilötietojen käsittelyssä käyttämänsä alihankkijat Käsittelytoimien kuvauksessa tai muussa Tietosuojasopimuksen liitteessä ja huolehtii niissä mahdollisesti myöhemmin tapahtuvien muutosten päivittämisestä.
6.3. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan Sopimuksessa Palveluntuottajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja vastaa, että Sopimuksen mukainen Tilaajan tarkastusoikeus voidaan ulottaa alihankkijaan.
6.4. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palveluntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Xxx Xxxxxxx katsoo, että Palveluntuottajan alihankkija ei täytä tietosuojavelvoitteitaan, Palveluntuottajalla on velvollisuus vaihtaa alihankkijaa Xxxxxxxx vaatimuksesta.
6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta tai lisäämisestä on ilmoitettava Tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja tietosuojalainsäädännön mukaisesti.
Tilaajalla on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa. Mikäli Xxxxxxx vastustaa Palveluntuottajan ilmoittamaa muutosta alihankkijoissa, eivätkä Tilaaja ja Palveluntuottaja pääse asiasta yhteisymmärrykseen, on Tilaajalla oikeus päättää Sopimus sen mahdollisista päättämisperusteista riippumatta.
7. Palvelun paikka
7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, Palveluntuottajalla ja Palveluntuottajan mahdollisella alihankkijalla on oikeus käsitellä Tilaajan henkilötietoja ainoastaan Euroopan talousalueella. Käsittelijän tulee olla ja käsittelyn tulee tapahtua Euroopan talousalueella myös käsiteltäessä henkilötietoja etäyhteyden välityksellä.
7.2. Palveluntuottaja ei saa tuottaa tai siirtää palveluita Euroopan unionin (EU) tai Euroopan talousalueen (ETA) ulkopuolelle ilman Tilaajan etukäteen antamaa lupaa (Liite 3 - Henkilötietojen siirto EU/ETA:n ulkopuolelle).
7.3. Xxx Xxxxxxx ja Palveluntuottaja sopivat, että Palveluntuottajaa saa siirtää Tilaajan henkilötietoja Euroopan talousalueen ulkopuolelle, henkilötietojen siirto toteutetaan lainsäädännön mukaisesti. Lainmukainen siirtomenettely kuvataan liitteessä 3 (Liite 3 - Henkilötietojen siirto EU/ETA:n ulkopuolelle)
8. Tietoturvaloukkaukset
8.1. Palveluntuottajan on ilmoitettava kirjallisesti Tilaajalle tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Palveluntuottajan on annettava Tilaajalle liitteen 4 (Liite 4 ”Ilmoitus tietoturvaloukkauksesta”) mukaiset tiedot tietoturvaloukkauksesta välittömästi ja kuitenkin viimeistään 36 tunnin kuluessa tietoturvaloukkauksen havaittuaan. Tiedot voivat olla saatavilla osissa, jolloin tietoa tulee antaa sitä mukaan, kun sitä on saatavilla.
8.2. Palveluntuottaja sitoutuu ilmoittamaan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista (kuten esim. tietojen saatavuuteen ja käytettävyyteen liittyvät ongelmat), joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi liitteessä 4 (Liite 4 ” Ilmoitus tietoturvaloukkauksesta”) tarkemmin kuvatulla tavalla.
9. Henkilötietojen käsittelyn päättyminen
9.1. Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Xxxxxxxx lukuun käsittelemiään henkilötietoja ilman Tilaajan nimenomaista pyyntöä.
9.2. Sopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot sekä hävittää hallussaan olevat kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot.
9.3. Salassapitoa ja Palveluntuottajan vastuuta koskevat sopimusehdot sekä muut sellaiset sopimusmääräykset, joiden on katsottava tarkoitetun jäämään voimaan Sopimuksen päättymisen jälkeenkin pysyvät voimassa Sopimuksen päättymisestä huolimatta.
10. Vastuut
10.1. Sopimuksessa, johon henkilötietojen käsittely perustuu, mahdollisesti olevaa vastuunrajoituslauseketta ei sovelleta näihin Ehtoihin ja näissä Ehdoissa asetettuihin velvollisuuksiin.
10.2. Palveluntuottajan korvausvastuu on määritelty näissä Ehdoissa ja soveltuvassa Tietosuojalainsäädännössä, mukaan lukien vahingonkorvausoikeudessa. Palveluntuottaja on vastuussa kaikista välittömistä vahingoista aiheutuneista kustannuksista täysimääräisesti mukaan lukien hallinnollisista sakoista, jotka ovat aiheutuneet Tilaajalle tästä Tietosuojasopimuksesta tai Tietosuojalainsäädännöstä johtuvien velvoitteiden rikkomisesta.
10.3. Mikäli Palveluntuottaja on aiheuttanut vahingon tahallisesti tai törkeällä tuottamuksella rikkomalla Ehtoja, Ehtojen liitteitä tai muita mahdollisia Tilaajan antamia ohjeita, on se vastuussa myös välillisistä vahingoista aiheutuneista kustannuksista. Palveluntuottaja on vahingon havaittuaan velvollinen ryhtymään asianmukaisiin toimenpiteisiin vahingon rajoittamiseksi.
10.4. Mikäli Tilaaja on maksanut rekisteröidylle korvauksen Tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, Tilaajalla on oikeus periä samaan käsittelyyn osallistuneelta Palveluntuottajalta tämän vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Tilaajan ja Palveluntuottajan vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy Tietosuojalainsäädännössä olevan vastaavan määräyksen tai tuomioistuimen tuomion taikka viranomaisen päätöksen mukaan.
Liitteet
Liite 1 Käsittelytoimien kuvaus
Liite 2 Tilaajan ohjeet Palveluntuottajalle
Liite 3 Henkilötietojen siirto EU/ETA:n ulkopuolelle Liite 4 Ilmoitus henkilötietojen tietoturvaloukkauksesta