Contract

1 (5)

Liite 2




Henkilötietojen käsittelyn ehdot


  1. Yleistä


    1. Tämä ”Henkilötietojen käsittelyn ehdot” on osa tavallisen ja tehostetun palveluasumisen sääntökirjaa.


    1. Tässä liitteessä määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat ehdot, joiden mukaisesti Palveluntuottaja Tilaajan toimeksiannosta käsittelee henkilötietoja Xxxxxxxx puolesta ja lukuun.


    1. Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä ja lisäksi Osapuolet sitoutuvat saattamaan henkilötietojen käsittelyn ja tietosuojan EU:n yleisen tietosuoja-asetuksen (EU)2016/679 mukaiselle vaatimustasolle 25.5.2018 mennessä, jolloin tietosuoja-asetuksen soveltaminen alkaa.


  1. Osapuolten roolit henkilötietojen käsittelyssä


    1. Tilaaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Osapuolet ymmärtävät, että rekisterinpitäjänä Xxxxxxx saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöön panemiseksi niin, että käsittely täyttää voimassaolevan henkilötietojen käsittelyyn ja tietosuojaan liittyvän lainsäädännön vaatimukset ja 25.5.2018 alkaen EU:n yleisen tietosuoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu.


    1. Palveluntuottaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Xxxxxxxx henkilötietoja Xxxxxxxx puolesta ja lukuun. Palveluntuottajan tämän liitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat Tilaajan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Xxxxxxxx puolesta ja lukuun.



    1. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.


    1. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan palvelun aikana laadittavassa ja Palveluntuottajaa sitovassa dokumentaatiossa tai muussa Tilaajan ohjeistuksessa. Palveluntuottaja sitoutuu noudattamaan dokumentaatiossa ja ohjeistuksessa olevia henkilötietojen käsittelyä koskevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.



    1. Jos kohdan 2.4. mukaista kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää kuvausta tarvittaessa yhteistyössä Palveluntuottajan kanssa. Palveluntuottajan on ilmoitettava Tilaajalle, jos tämän antama ohjeistus on puutteellinen tai jos Toimittaja epäilee sitä lainvastaiseksi.


    1. Palveluntuottaja osallistuu Tilaajan pyynnöstä tietojärjestelmäselosteen laatimiseen. Toimittaja suorittaa vaatimuksen mukaiset erikseen sovittavilla hinnoilla.


  1. Alihankkijat, jotka käsittelevät henkilötietoja


    1. Palveluntuottaja ei saa käyttää henkilötietojen käsittelyyn alihankkijan palveluja ilman Tilaajan antamaa kirjallista ennakkolupaa. Palveluntuottajan on tiedotettava Tilaajalle kirjallisesti kaikista suunnitelluista muutoksista, jotka koskevat henkilötietojen käsittelijöinä toimivien alihankkijoiden lisäämistä tai vaihtamista, ja annettava Tilaajalle mahdollisuus vastustaa tällaisia muutoksia.


    1. Siltä osin kuin Palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan tässä liitteessä kuvattuja ehtoja.


    1. Palveluntuottaja ja sen alihankkijat, jotka henkilötietojen käsittelijöinä käsittelevät Xxxxxxxx henkilötietoja Xxxxxxxx puolesta ja lukuun, sitoutuvat kaikki tässä liitteessä kuvattuihin henkilötietojen käsittelijää koskeviin velvollisuuksiin. Palveluntuottajalla on velvollisuus sopimuksilla sitouttaa käyttämänsä alihankkijat noudattamaan tämän liitteen ehtoja.



    1. Palveluntuottaja on vastuussa mahdollisista Tilaajan henkilötietoja käsittelevien Palveluntuottajien alihankkijoiden Sopimuksen, tämän liitteen tai sovellettavan lainsäädännön taikka EU:n yleisen tietosuoja-asetuksen rikkomisista tai laiminlyönneistä kuin omistaan. Jos tietojen käsittelyä suorittava alihankkija ei täytä tietosuojavelvoitteitaan, Palveluntuottaja on edelleen täysimääräisesti vastuussa suhteessa Tilaajaan. Xxx Xxxxxxx perustellusti katsoo, että Palveluntuottajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Palveluntuottajaa vaihtamaan alihankkijaa.


  1. Henkilötietojen käsittelijän yleiset velvollisuudet


    1. Henkilötietojen käsittelijä käsittelee henkilötietoja Xxxxxxxx antamien ohjeiden mukaisesti.


    1. Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.


    1. Sen lisäksi, mitä on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Tilaajan ohjeita ja mahdollisia Tilaajan ohjeiden päivityksiä.


    1. Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Xxxxxxxx ohjeiden mukaisesti.


    1. Henkilötietojen käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Tilaajalle kaikista rekisteröityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä.


    1. Henkilötietojen käsittelijä sitoutuu avustamaan Tilaajaa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Xxxxxxx pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Henkilötietojen käsittelijä ymmärtää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja/tai henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei näiden tehtävien ole sovittu sisältyvän palveluihin ja niistä veloitettaviin maksuihin, Toimittajalla on oikeus veloittaa kohtuulliset työkustannukset sovituilla henkilötyöhinnoilla.


    1. Palveluntuottajan on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, että ne voidaan automaattisesti irrottaa järjestelmästä siirrettäväksi toiseen järjestelmään.


    1. Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Tilaajaa EU:n yleisen tietosuoja-asetuksen mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Palveluntuottajalla on oikeus veloittaa kohtuulliset työkustannukset erikseen sovituilla hinnoilla.


    1. Henkilötietojen käsittelijä sitoutuu Xxxxxxxx valinnan mukaan poistamaan tai palauttamaan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki Tilaajan henkilötiedot Tilaajalle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Tilaaja voi antaa tältä osin tarkempia ohjeita henkilötietojen käsittelijälle.


    1. Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle. Henkilötietojen siirtäminen kolmansiin maihin voidaan tehdä asianmukaisella siirtosopimuksella noudattaen EU-komission kulloinkin voimassa olevia mallilausekkeita ja/tai muita tuolloin voimassaolevia henkilötietojen siirtoa koskevia vaatimuksia.


    1. Henkilötietojen käsittelijä saattaa Tilaajan saataville kaikki tiedot, jotka ovat tarpeen tässä liitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Tilaajan valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.


  1. Henkilötietojen käsittelijän erityiset velvollisuudet


    1. Palveluntuottajalla on oltava valmius asettaa ja hallinnoida tietojen luovutuksia koskevia rajoituksia, jollaisia voi aiheutua esimerkiksi väestötietolain mukaisesta rekisteröidyn turvakiellosta. Toimittajan tulee pystyä rajoittamaan rekisteröidyn henkilötietojen käsittelyä osittain tai kokonaan Xxxxxxxx vaatimalla tavalla. Rekisteröidyn henkilötietojen rajoittaminen ei saa johtaa muiden rekisterissä olevien luonnollisten henkilöiden henkilötietojen rajoittamiseen, xxxxx Xxxxxxxx ja Palveluntuottajan kesken kirjallisesti toisin sovita.


    1. Ellei toisin sovita, Palveluntuottaja on velvollinen ylläpitämään luetteloa rekisteröityjen henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista. Luettelo on luovutettava pyydettäessä Tilaajalle. Tilaajan pyynnöstä Palveluntuottajan on luovutettava luettelossa mainittuja tietoja Tilaajan pyytämässä laajuudessa Tilaajan yksilöimille kolmansille tahoille.


  1. Tietoturvaloukkaukset


    1. Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Tilaajalle ilman aiheetonta viivytystä saatuaan sen tietoonsa ja viimeistään 36 tunnin kuluessa. Lisäksi Palveluntuottaja sitoutuu ilmoittamaan Tilaajalle muista Palveluntuottajan tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa, ellei liitteissä ole sovittu lyhyemmästä määräajasta.


    1. Henkilötietojen käsittelijän on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:


1) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

2) ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;

3) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; sekä

4) kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.


  1. Muita vaatimuksia


    1. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Nämä ohjeet voivat olla henkilötietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia, täydennyksiä tai päivityksiä. Palveluntuottaja tekee tarvittavat muutostyöt Tilaajan ohjeiden mukaisesti. Xxx Xxxxxxxx ohjeet aiheuttavat Palveluntuottajalle olennaisia muutostöitä (yli yksi (1) henkilötyöpäivää), lisäkustannuksista sovitaan erikseen. Palveluntuottaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan näitä muutettuja, täydennettyjä tai päivitettyjä ohjeita.


    1. Osapuolet ymmärtävät, että liitteessä käsitellään myös tietosuojaa koskevia aiheita.


    1. Palveluntuottaja sitoutuu reagoimaan viimeistään 72 tunnin kuluessa Xxxxxxxx yhteydenotosta ja vastaamaan viimeistään yhden (1) viikon kuluessa Tilaajan tietosuojaa koskeviin ilmoituksiin, reklamaatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tietoturvaloukkaukset, joihin sovelletaan tässä liitteessä määritettyjä määräaikoja.


    1. Jos Palveluntuottaja laiminlyö tai rikkoo tätä liitettä vastaan, sovellettavaa lainsäädäntöä tai EU:n yleistä tietosuoja-asetusta, Palveluntuottajan korvausvastuu on määritelty sovellettavassa lainsäädännössä. Lisäksi tällainen laiminlyönti tai rikkomus muodostaa olennaisen sopimusrikkomuksen, jonka seurauksena Tilaajalla on halutessaan oikeus turvautua oikeussuojakeinoihin.


    1. Osapuolet ymmärtävät, että tätä liitettä tehtäessä tietosuojaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Tilaajan asemaan tai velvollisuuksiin tai tässä liitteessä määriteltyihin velvollisuuksiin tai vastuisiin, tätä liitettä voidaan tarvittaessa niiltä osin tarkistaa. Jos tähän liitteeseen tehdään sellaisia muutoksia, joista aiheutuu Palveluntuottajalle olennaisia lisäkustannuksia (yli yksi (1) henkilötyöpäivää), niiden korvaamisesta voidaan sopia erikseen. Toimittaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan kyseistä tarkistettua liitettä.



(Toimittaja = Palveluntuottaja)



Etelä-Savon sosiaali- ja Xxxxxxxxxxxxxxxx 00-00 Xxxxxx 015 3511
terveyspalvelujen kuntayhtymä 50100 Mikkeli Y-tunnus 0825508-3

Document Metadata

Filed: December 5th, 2017