HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA SOPIMUS
HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA SOPIMUS
Osapuolet
Lääkäri: Lääkäriasema:
Tausta ja tarkoitus
Osapuolet ovat solmineet sopimuksen, jonka nojalla yllä määri- telty lääkäri tarjoaa terveydenhuollon palveluita yllä määritellyllä lääkäriasemalla (”pääsopimus”). Osana järjestelyä osapuolet keräävät ja käsittelevät potilas- ja muita palveluiden toimittami- seen liittyviä pääosin potilaiden henkilötietoja. Osapuolet voivat näiden osalta puolin ja toisin olla vastuussa oleva rekisterinpitä- jiä tai toisen osapuolen lukuun toimiva käsittelijä. Itsenäisenä ammatinharjoittajana lääkäri ylläpitää omaan lukuunsa ja omalla vastuullaan potilastietoja, joiden teknisen säilyttämisen ja käsittelyn lääkäri on uskonut tältä osin käsittelijänä toimivalle lääkäriasemalle. Lääkäriasema puolestaan voi antaa lääkärille pääsyn lääkäriaseman vastuulla oleviin potilaita koskeviin tietoi- hin, kuten esim. sen asiakasrekisteriin, laskutustietoihin, lääkä- riaseman potilasrekistereihin esim. työterveydenhuollon yhtey- dessä sekä vastaaviin tietoihin, joiden osalta lääkäri puolestaan toimii käsittelijänä. Tarvittaessa pääsopimuksessa tai muussa si- tovassa sopimusasiakirjassa voidaan tarkemmin sopia kumman- kin osapuolen kulloisessakin roolissa käsittelemistä tiedoista.
Alla käytetyt termit rekisterinpitäjä ja käsittelijä viittaavat kul- loisenkin tilanteen mukaan joko lääkäriin tai lääkäriasemaan. Selvyyden vuoksi todetaan, että käsittelijän roolissa toimiminen ei estä vastaavien tietojen keräämistä myös omaan rekisteriin, mikäli lain edellytykset tälle täyttyvät, mm. käsittelyperusteen ja riittävän informoinnin osalta.
Nämä ehdot yhdessä pääsopimuksen ja muun siihen liittyvän so- pimusaineiston kanssa muodostavat EU:n yleisen tietosuoja-ase- tuksen (2016/679; alla ”tietosuoja-asetus”) 28 artiklan edel- lyttämän henkilötietojen käsittelyä koskevan kirjallisen sopi- muksen. Ehtoja tulee tulkita tämän mukaisesti. Ellei asiayhtey- destä muuta seuraa, näissä ehdoissa käytetyillä termeillä on sama merkitys kuin tietosuoja-asetuksessa.
Käsittelijän yleiset vastuut
Käsittelijä sitoutuu käsittelemään henkilötietoja huolellisesti sekä tietosuoja-asetuksen ja muun lainsäädännön edellyttämällä tavalla ja vain rekisterinpitäjän pääsopimuksessa tai muutoin kirjallisesti ohjeistamalla tavalla.
Jos käsittelijään kohdistuu velvollisuus luovuttaa tai paljastaa henkilötietoja kolmannelle, tai muutoin käsitellä henkilötietoja vastoin rekisterinpitäjän ohjeita, käsittelijän on etukäteen ilmoi- tettava rekisterinpitäjälle tästä, ellei laista muuta johdu.
Käsittelijän on kohtuudella avustettava rekisterinpitäjää toteut- tamaan rekisteröidyn tietosuoja-asetuksen mukaisia oikeuksia suhteessa rekisterinpitäjään, esim. antamalla tarkastuspyyntöön vastaamiseen tarvittavia tietoja.
Käsittelijän on rekisterinpitäjän pyynnöstä annettava rekisterin- pitäjälle kaikki sellaiset tiedot, jotka rekisterinpitäjä kohtuudella tarvitsee varmistaakseen, että käsittelijä on noudattanut näitä ehtoja, pääsopimusta ja käsittelytoimenpiteisiin soveltuvaa lain- säädäntöä sekä muutoin kohtuudella avustettava rekisterinpitä- jää varmistamaan tietosuoja-asetuksen velvoitteiden noudatta- misessa. Tietosuoja-asetuksen edellyttämissä tilanteissa käsitte- lijän on myös sallittava rekisterinpitäjän tai sen osoittaman audi- toijan suorittaa sellainen auditointi tai tarkastus, joka kohtuu- della on tarpeen edellä todettujen seikkojen varmistamiseksi ja/tai avustettava kohtuullisessa laajuudessa tietosuojaa koske- van vaikutusarvion tekemisessä. Käsittelijän on ilmoitettava re- kisterinpitäjälle, jos hän katsoo, että saamansa ohjeistus rikkoo sovellettavaa lainsäädäntöä.
Alikäsittelijät ja tietojen siirto EU/ETA:n ulkopuolelle
Käsittelijä voi käyttää henkilötietojen käsittelyyn alikäsittelijöitä, jotka myös voivat toimia EU/ETA:n ulkopuolella, kunhan kaikki lain tätä koskevat vaatimukset täyttyvät.
Käsittelijän on pyynnöstä annettava rekisterinpitäjälle luettelo kaikista käyttämistään relevanteista alikäsittelijöistä sekä EU/ETA:n ulkopuolisista käsittelypaikoista. Käsittelijän on lain edellyttämällä tavalla etukäteen tiedotettava kaikista suunnitel- luista muutoksista näihin ja varattava rekisterinpitäjälle oikeus perustellusta syystä vastustaa tietyn alikäsittelijän käyttöä tai tie- tojen siirtoa tiettyyn paikkaan.
Mikäli käsittelijä yllä selostetusti käyttää alikäsittelijää, käsitteli- jän on tehtävä alikäsittelijän kanssa kirjallinen sopimus, jossa ali- käsittelijä sitoutuu noudattamaan henkilötietojen käsittelyn osalta vähintään yhtä suojaavia ehtoja kuin mihin käsittelijä näi- den ehtojen ja pääsopimuksen nojalla sitoutuu.
Mikäli käsittelijä yllä selostetusti siirtää henkilötietoja EU/ETA:n ulkopuolelle, käsittelijän on varmistuttava siitä, että tietoja EU/ETA:n ulkopuolella suojaavat tietosuoja-asetuksen mukai- nen suojamekanismi, kuten sopimukseen sisällytetyt EU-komis- sion hyväksymät mallilausekkeet. Kulloinkin sovellettu suojame- kanismi on mainittava yllä tarkoitetussa alikäsittelijäluettelossa.
Tietojen suojaaminen ja tietomurrot
Käsittelijä vakuuttaa sen tässä tarkoitettuihin käsittelytoimenpi- teisiin osallistuvien työntekijöiden ja muiden edustajien joko an- taneen salassapitositoumuksen tai olevan suoraan lain nojalla sa- lassapitovelvollisia.
Käsittelijän vastaa siitä, että henkilötietojen käsittelyssä ja säily- tyksessä noudatetaan tietojen luonteeseen nähden kohtuulista ja riittävää teknistä ja organisatorista tietoturvaa. Riittävän tieto- turvatason arvioimisessa käsittelijä huomioi kulloinkin käytössä olevan parhaan tekniikan tason, siihen liittyvät kustannukset, kä- siteltävien henkilötietojen laajuuden ja luonteen, käsittelytoi- menpiteisiin liittyvät riskit sekä vastaavat seikat. Rekisterinpitä- jän pyynnöstä käsittelijän on toimitettava rekisterinpitäjälle koh- tuullinen kirjallinen selvitys tietoturvatoimenpiteistään sekä toi- menpiteiden riittävyydestä alan vakiintuneet toimintatavat huo- mioiden. Sovellettavista tietoturvavaatimuksista voidaan sopia tarkemmin myös pääsopimuksessa, näiden ehtojen liitteessä tai muussa osapuolten välisessä sitovassa asiakirjassa.
Mikäli käsittelijällä on syytä epäillä, että sen tiloihin tai tietojär- jestelmiin on murtauduttu tai henkilötietoja muutoin olisi tullut kolmannen tietoon (muutoin kuin osana pääsopimuksessa tai näissä ehdoissa sallittuja siirtoja) tai kadonnut, sen tulee välittö- mästi, ja joka tapauksessa 48 tunnin sisällä, ilmoittaa tästä rekis- terinpitäjälle. Käsittelijän on tarvittavin tiedoin ja toimenpitein avustettava rekisterinpitäjää noudattamaan kaikkia tilanteeseen soveltuvia velvoitteita, ml. viranomaisilmoitusten tekemisessä ja muutoin toimittava rekisterinpitäjän kanssa yhteistoiminnassa tilanteen selvittämiseksi ja soveltuvien velvoitteiden noudatta- miseksi.
Sopimuksen päättyminen
Pääsopimuksen lakatessa käsittelijän on lopetettava henkilötie- tojen käsittely ja palautettava rekisterinpitäjälle sen halussa ole- vat rekisterinpitäjän vastuulla olevat tiedot sekä tuhottava jäljelle jäävät kopiot näistä, ellei laista muuta johdu. Tapauskohtaisesti voidaan myös sopia muista päättämismenettelyistä. Mikäli osa- puolet ovat sopineet tietojen säilyttämisvelvoitteesta, päättymis- tilanteen avustamisvelvollisuudesta tai vastaavasta, Käsittelijä saa tuhota tiedot vasta noudatettuaan kaikkia tällaisia vaatimuk- sia täysimääräisesti. Käsittelijän velvollisuus tuhota tiedot ei koske sellaisia tietoja, joita se pitää halussaan itsenäisenä rekis- terinpitäjänä omalla vastuullaan lain tätä koskevien edellytysten täyttyessä.