Contract
1. Osapuolet
1.1. (Rekisterinpitäjä) osoite:
puh. sähköposti: Y-tunnus:
1.2. Joutsan kunta (Palveluntuottaja) Xxxxxxxx 0/XX 00, 19650 Joutsa puh. 0400 454 044 xxxxx@xxxxxx.xx
Y-tunnus: 0174108-9
Rekisterinpitäjä ja Palveluntuottaja ovat erikseen ”Sopijapuoli” ja yhdessä ”Sopijapuolet”. Sopijapuolen on ilman aiheetonta viivytystä ilmoitettava toiselle Sopijapuolelle mahdollisista yhteyshenkilön muutoksista.
Sopijapuolet ilmoittavat toisilleen tietosuojavastaaviensa yhteystiedot. Tietosuojavastaava (Rekisterinpitäjä) Tietosuojavastaava (Palveluntuottaja)
Nimi: Postiosoite: Puh.: Sähköposti:
Nimi: Xxxxx Xxxxxxx
Postiosoite: Länsitie 5, 19650 Joutsa
Puh.: 040 358 0002
Sähköposti: xxxxx.xxxxxxx@xxxxxx.xx
2. Sopimuksen tarkoitus
Rekisterinpitäjä on tehnyt Palveluntuottajan kanssa sopimuksen, joka koskee sellaista palve- lua, jossa Palveluntuottaja toimii Rekisterinpitäjän ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä.
Tässä dokumentissa kuvataan käsittelytoimia koskevat toimintamallit ja sitoumukset. Henki- lötietojen käsittelyssä on noudatettava EU:n tietosuoja-asetusta, kansallista tietosuojalakia, Rekisterinpitäjän ja Palveluntuottajan välistä Sopimusta sekä Rekisterinpitäjän ohjeita.
3. Henkilötietojen käsittely ja kustannukset
Rekisterinpitäjä käsittelee henkilötietoja Tietosuojalainsäädännön mukaisesti. Rekisterinpitä- jä säilyttää määräysvallan ja kaikki oikeudet henkilötietoihin.
Palveluntuottajalla ei ole oikeutta käsitellä henkilötietoja mihinkään muuhun kuin sopimuk- sessa sovittuun tarkoitukseen. Palveluntuottaja noudattaa voimassa olevan tietosuojalain- säädännön edellyttämiä menettelytapoja ja henkilötietojen käsittelyä ja suojaamista koske- via säännöksiä. Palveluntuottaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tie- tosuojalainsäädännön ja sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.
Palveluntuottaja noudattaa Rekisterinpitäjän henkilötietojen käsittelyssä sopimuksessa ja näissä erityisehdoissa sovittuja ehtoja sekä Rekisterinpitäjän ohjeita. Rekisterinpitäjä vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä Rekisterinpitäjälle, jos sen antamat ohjeet ovat puutteellisia tai jos Palveluntuottaja epäilee niitä lainvastaisiksi.
Rekisterinpitäjällä on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutukses- ta sovitaan sopimuksen mukaisessa muutoshallintamenettelyssä.
Näissä ehdoissa kuvatuista Rekisterinpitäjän toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta.
Sopijapuolen vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy EU:n yleisen tieto- suoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaa- van määräyksen mukaan.
4. Rekisteröityjen ryhmät
Osapuolet ovat sopineet, että Palveluntuottaja käsittelee Rekisterinpitäjän puolesta Sopi- muksessa sovitun palvelun tuottamiseksi sosiaalihuollon asiakas- ja henkilötietoja. Käsiteltä- vät tiedot ovat salassa pidettäviä.
5. Käsittelyn luonne ja tarkoitus
Osapuolet ovat sopineet, että Palveluntuottaja käyttää henkilötietoja sosiaalihuollon asiak- kuuden hoitamiseen.
6. Henkilötietojen käsittelyn kesto
Palveluntuottaja käsittelee tässä yksilöityjä henkilötietoja sopimuskauden ajan.
7. Palveluntuottajan yleiset velvollisuudet
Palveluntuottaja käsittelee henkilötietoja Sopimuksen ja Rekisterinpitäjän antamien ohjeiden mukaisesti. Ryhmittymän ollessa Käsittelijänä tämän sopimuksen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötieto- jen käsittelyyn.
Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Rekisterinpitäjän henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötie- tojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.
Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittele- miään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laa- juudessa.
Palveluntuottaja nimeää tietosuojavastaavan Rekisterinpitäjän henkilötietoihin liittyviä yh- teydenottoja varten ja ilmoittaa kyseisen henkilön yhteystiedot Rekisterinpitäjälle.
Palveluntuottaja saattaa Rekisterinpitäjän saataville tämän pyynnöstä kaikki tiedot, jotka Re- kisterinpitäjä tarvitsee säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Rekisterinpitäjän vastuulla olevien kuvausten ja mui- den dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuo- ja-asetuksen mukaisen ennakkokuulemisen suorittamiseen.
Palveluntuottaja ilmoittaa Rekisterinpitäjälle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin, pyynnöt hoidetaan Rekisterinpitäjän tietosuojavastaavan kautta. Palveluntuotta- ja avustaa Rekisterinpitäjää, jotta Rekisterinpitäjä pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Palveluntuottajalta esimerkiksi avustamista re- kisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen.
Palveluntuottaja sallii Rekisterinpitäjän tai sen valtuuttaman auditoijan suorittamat tarkas- tukset sekä osallistuu niihin.
Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus kä- sitellä Rekisterinpitäjän henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovit- tuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.
Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Rekisterinpitäjän henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoit- teistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Rekisterinpitäjän ohjeiden mukaisesti.
8. Alihankkijat, jotka käsittelevät henkilötietoja
Siltä osin kuin Palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henki- lötietoja, alihankintaan sovelletaan tässä sopimuksen kuvattuja ehtoja. Palveluntuottaja te- kee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Palveluntuottajalle asetettuja velvoitteita sekä Rekisterinpitäjän antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä oh- jeita. Palveluntuottaja varmistaa, että sopimuksen mukainen Rekisterinpitäjän tarkastusoi- keus voidaan ulottaa alihankkijaan.
Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palveluntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettu- ja velvoitteita. Jos Rekisterinpitäjä perustellusti katsoo, että Palveluntuottajan alihankkija ei täytä tietosuojavelvoitteitaan, Rekisterinpitäjällä on oikeus vaatia Palveluntuottajaa vaihta- maan alihankkijaa.
9. Tietoturvaloukkaukset
Palveluntuottajan on ilmoitettava Rekisterinpitäjälle kirjallisesti tietoonsa tulleesta henkilö- tietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Palveluntuottaja sitou- tuu ilmoittamaan Rekisterinpitäjälle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
Palveluntuottajan on annettava Rekisterinpitäjälle vähintään seuraavat tiedot tietoturva- loukkauksesta:
- tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröity- jen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut luku- määrät sillä tarkkuudella kuin nämä ovat tiedossa;
- tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;
- kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
- kuvaus toimenpiteistä, joita Käsittelijä ehdottaa tai joita se on jo toteuttanut tietoturva- loukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lie- ventämiseksi.
Henkilötietojen tietoturvaloukkauksen havaittuaan Palveluntuottaja ryhtyy toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.
10. Sopimuksen muuttaminen
Tähän Käsittelysopimukseen tehdyt muutokset ovat päteviä vain, jos ne on tehty kirjallisesti ja jos molemmat Sopijapuolet ovat vahvistaneet ne allekirjoituksillaan.
11. Henkilötietojen käsittelyn päättyminen
Palveluntuottaja käsittelee tässä sopimuksessa yksilöityjä henkilötietoja sopimuskauden ajan. Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Rekisterinpitäjän lukuun käsittelemiään henkilötietoja ilman Rekisterinpitäjän nimenomaista pyyntöä.
Sopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Rekisterinpitäjälle kaikki Rekisterinpitäjän puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolli- set henkilötietoja sisältävät kopiot ja tiedostot asianmukaisesti. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot.
12. Voimaantulo ja voimassaolo
Tämä sopimus henkilötietojen käsittelystä tulee voimaan, kun molemmat Sopijapuolet ovat allekirjoittaneet sen. Tämä sopimus on voimassa niin kauan kuin Palveluntuottaja käsittelee Rekisterinpitäjän henkilötietoja. Sopimus päättyy viimeistään silloin, kun edellä kohdan 11 toimenpiteet on suoritettu Rekisterinpitäjän edellyttämällä tavalla.
Sopijapuolella on oikeus purkaa tämä sopimus, jos toinen Sopijapuoli olennaisesti rikkoo so- pimusvelvoitteitaan. Jos sopimusrikkomus on korjattavissa, Sopijapuolella on oikeus purkaa tämä sopimus vasta sitten, jos sopimusrikkomukseen syyllistynyt Sopijapuoli ei ole korjannut rikkomusta 30 päivän kuluessa siitä, kun toinen Sopijapuoli on kirjallisesti huomauttanut rik- komuksesta.
13. Allekirjoitukset
Tätä sopimusta henkilötietojen käsittelystä on laadittu kaksi (2) samasanaista alkuperäiskap- paletta, yksi (1) kummallekin Sopijapuolelle.
Paikka ja päivämäärä Paikka ja päivämäärä
Henkilötietojen käsittely Joutsan kunnassa
Henkilötietojen käsittelyssä noudatetaan EU:n tietosuoja-asetuksen säädöksiä sekä kansallis- ta tietosuojalakia.
Perusperiaatteet henkilötietojen käsittelyssä:
• Käsittelijä saa käsitellä henkilötietoja vain sopimuksen mukaiseen käyttötarkoituk- seen
• Käsittelijän tulee ilmoittaa virheellisistä tiedoista rekisterinpitäjälle
• Käsittelijä saa käyttää vain työssään välttämättömiä henkilötietoja
• Käsittelijä vastaa henkilötietojen suojauksesta (säilytyspaikka ja –tapa)
o Manuaalinen aineisto tulee säilyttää lukitussa tilassa
o ATK:lla säilytettävä aineisto tulee säilyttää käyttäjätunnuksen ja salasanan ta- kana
• Käsittelijä ei saa luovuttaa tai siirtää henkilötietoja EU:n tai ETA:n ulkopuolelle ilman rekisterinpitäjän nimenomaista kirjallista lupaa
• Sopimuksen päätyttyä käsittelijän tulee huolehtia tietojen asianmukaisesta hävittä- misestä
• Rekisteriin liittyvät tietopyynnöt ohjataan tietosuojavastaavalle