Henkilötietojen käsittelyn ehdot
LIITE 4
Henkilötietojen käsittelyn ehdot
Hankinta-asia: 21048/Tilapäishoito tai muu vapaa kehitysvammaisten ja muuta erityistä tukea tarvitsevien lasten omaishoitajille tai huoltajille
1. Yleistä
1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa tilapäishoito tai muu vapaa kehitysvam- maisten ja muuta erityistä tukea tarvitsevien lasten omaishoitajille tai huoltajille sopimusta nro 210309, jäljempänä sopimus, jonka tilaaja on tehnyt palveluntuottajan kanssa.
1.2. Tässä sopimusliitteessä määritellään tilaajaa ja palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti palveluntuottaja tilaajan toimeksiannosta käsit- telee henkilötietoja tilaajan puolesta. Näissä ehdoissa kuvatuista palveluntuottajan toimenpiteistä ja vel- vollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.
2. Osapuolten roolit henkilötietojen käsittelyssä
2.1. Käsiteltäessä henkilötietoja tilaaja on rekisterinpitäjä ja palveluntuottaja on henkilötietojen käsittelijä (jäl- jempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilö- tiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista tilaaja vastaa rekisterinpitäjänä.
2.3. Jos kohdan 2.2 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä palveluntuottajan kanssa.
3. Palveluntuottajan yleiset velvollisuudet
3.1. Palveluntuottaja käsittelee henkilötietoja sopimuksen ja tilaajan antamien ohjeiden mukaisesti. Ryhmit- tymän ollessa käsittelijänä tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
3.2. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, et- tä tilaajan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukai- sesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittely- järjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.
3.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henki- lötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.
3.4. Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön tilaajan henki- lötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot tilaajalle.
3.5. Palveluntuottaja saattaa tilaajan saataville tämän pyynnöstä kaikki tiedot, jotka tilaaja tarvitsee rekiste- rinpitäjälle ja palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osal- listuu pyydettäessä sovitulla tavalla tilaajan vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuu- lemisen suorittamiseen. Palveluntuottaja tekee nämä tehtävät sopimuksen mukaisilla hinnoilla, ellei toi- sin sovita.
3.6. Palveluntuottaja ilmoittaa tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekiste- röidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Palveluntuottaja avus- taa tilaajaa, jotta tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää palveluntuottajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, re- kisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toi- seen. Ellei toisin ole sovittu, palveluntuottajalla on oikeus laskuttaa tilaajaa sopimuksessa sovituilla hin- noilla, jos avustaminen aiheuttaa lisäkuluja palveluntuottajalle. Palveluntuottaja on velvollinen ennakolta ilmoittamaan tilaajalle mahdollisesti aiheutuvista lisäkuluista.
3.7. Palveluntuottaja sallii tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkastusmenettelyä koskevat tarkemmat ehdot ovat sopimuksessa.
4. Xxxxxxxx xxxxxx
4.1. Palveluntuottaja noudattaa tilaajan henkilötietojen käsittelyssä sopimuksessa ja näissä erityisehdoissa sovittuja ehtoja sekä tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä tilaajalle, jos tilaajan antamat ohjeet ovat puutteel- lisia tai jos palveluntuottaja epäilee niitä lainvastaisiksi.
4.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää palveluntuottajalle antamiaan henkilötietojen käsitte- lyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan sopimuksen mukaisessa muutos- hallintamenettelyssä.
5. Palveluhenkilöstö
5.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä tilaa- jan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.
5.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy tilaajan hen- kilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja tilaajan ohjeiden mukaisesti.
6. Alihankkijat, jotka käsittelevät henkilötietoja
6.1. Siltä osin kuin palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, ali- hankintaan sovelletaan sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.
6.2. Jos palveluntuottajan alihankkija käsittelee tilaajan henkilötietoja, alihankkijan käyttäminen edellyttää ti- laajan ennakkoon kirjallisesti antamaa lupaa.
6.3. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä ali- hankkijat noudattamaan omalta osaltaan sopimuksessa palveluntuottajalle asetettuja velvoitteita sekä tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että sopimuksen mukainen tilaajan tarkastusoikeus voidaan ulottaa alihankkijaan.
6.4. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palveluntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Jos tilaaja perustellusti katsoo, että palveluntuottajan alihankkija ei täytä tietosuojavelvoitteitaan, tilaajalla on oikeus vaatia palveluntuottajaa vaihtamaan alihankkijaa.
6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee tilaajan henkilötietoja tietosuojalainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa.
7. Palvelun paikka
7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, palveluntuottajalla on oikeus käsitellä tilaajan henkilö- tietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityisehdoissa sovitaan hen-
kilötietojen käsittelystä, koskee myös pääsyn mahdollistamista tilaajan henkilötietoihin esimerkiksi hal- linta- ja valvontayhteyden välityksellä.
7.2. Jos sopijapuolet sopivat, että palveluntuottajaa saa siirtää tilaajan henkilötietoja Euroopan talousalueen ulkopuolelle, sopijapuolet huolehtivat siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukai- sesti.
8. Tietoturvaloukkaukset
8.1. Palveluntuottajan on ilmoitettava tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvalouk- kauksesta ilman aiheetonta viivytystä kuitenkin viimeistään 36 tunnin kuluessa. Lisäksi palveluntuottaja sitoutuu ilmoittamaan tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
8.2. Palveluntuottajan on annettava tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:
i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;
iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
iv. kuvaus toimenpiteistä, joita palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan palveluntuottaja ryhtyy viipymättä sopimuksessa so- vittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja kor- jaamiseksi.
9. Henkilötietojen käsittelyn päättyminen
9.1. Sopimuksen voimassaoloaikana palveluntuottaja ei saa poistaa tilaajan lukuun käsittelemiään henkilö- tietoja ilman tilaajan nimenomaista pyyntöä.
9.2. Sopimuksen päättyessä tai purkautuessa palveluntuottaja palauttaa tilaajalle kaikki tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että palveluntuottaja säilyttää henkilötiedot.