Henkilötietojen käsittelyn ehdot, VNK
Liite 5 khall 13.3.23 § 57
Henkilötietojen käsittelyn ehdot, VNK
Henkilötietojen käsittelyn ehdot
1. Yleistä
1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa kuntamallin majoitussopimusta,
jäljempänä ”Sopimus”, jonka Xxxxxxx on tehnyt Xxxxxxxxxxx kanssa.
1.2. Tässä sopimusliitteessä viitataan Sopimuksessa toisena osapuolena olevaan ”Palveluntuotta- jaan” termillä ”Toimittaja”.
1.3. Tässä sopimusliitteessä määritellään Tilaajaa ja Toimittajaa sitovasti ne henkilötietojen käsitte- lyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Tilaajan toimeksian- nosta käsittelee henkilötietoja Xxxxxxxx puolesta. Näissä ehdoissa kuvatuista Toimittajan toi- menpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.
2. Osapuolten roolit henkilötietojen käsittelyssä
2.1. Käsiteltäessä henkilötietoja Xxxxxxx on rekisterinpitäjä ja Toimittaja on henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Ti- laajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vastaa rekis- terinpitäjänä.
2.2. Toimittaja noudattaa voimassa olevan tietosuojalainsäädännön edellyttämiä menettelytapoja ja henkilötietojen käsittelyä ja suojaamista koskevia säännöksiä. Toimittaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön ja sopimuksen vaatimusten mu- kainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.
2.3. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröity- jen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan näiden eh- tojen liitteessä 1 olevassa Käsittelytoimien kuvauksessa tai muussa Xxxxxxxx ohjeistuksessa. Toi- mittaja sitoutuu noudattamaan Sopimuksessa, käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.
2.4. Jos kohdan 2.3. mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Toimittajan kanssa.
3. Toimittajan yleiset velvollisuudet
3.1. Toimittaja käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjeiden mukaisesti. Ryh- mittymän ollessa Käsittelijänä tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
3.2. Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Xxxxxxxx henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytän- töjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen kä- sittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vika- sietoisuus.
3.3. Toimittaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.
3.4. Toimittaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Tilaajan hen- kilötietoihin liittyviä yhteydenottoja varten. Toimittaja ilmoittaa kirjallisesti tietosuojavastaa- van tai yhteyshenkilön yhteystiedot Tilaajalle.
3.5. Toimittaja saattaa Xxxxxxxx saataville tämän pyynnöstä kaikki tiedot, jotka Xxxxxxx tarvitsee re- kisterinpitäjälle ja Toimittajalle säädettyjen velvollisuuksien noudattamisen osoittamista var- ten, ja osallistuu pyydettäessä sovitulla tavalla Xxxxxxxx vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-ase- tuksen mukaisen ennakkokuulemisen suorittamiseen. Toimittaja tekee nämä tehtävät sopi- muksen mukaisilla hinnoilla, ellei toisin sovita.
3.6. Toimittaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat re- kisteröidyn oikeuksien käyttämistä. Toimittaja ei itse vastaa näihin pyyntöihin. Toimittaja avus- taa Tilaajaa, jotta Xxxxxxx pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Toimittajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja vies- tinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai pois- tamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siir- tämisessä järjestelmästä toiseen. Ellei toisin ole sovittu, Toimittajalla on oikeus laskuttaa Tilaa- jaa sopimuksessa sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja Toimittajalle. Toimit- taja on velvollinen ennakolta ilmoittamaan Tilaajalle mahdollisesti aiheutuvista lisäkuluista.
3.7. Toimittaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallis- tuu niihin.
4. Xxxxxxxx xxxxxx
4.1. Toimittaja noudattaa Xxxxxxxx henkilötietojen käsittelyssä sopimuksessa ja näissä erityiseh- doissa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saa- tavuudesta. Toimittaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat oh- jeet ovat puutteellisia tai jos Toimittaja epäilee niitä lainvastaisiksi.
4.2. Tilaajalla on oikeus muuttaa, täydentää ja päivittää Toimittajalle antamiaan henkilötietojen kä- sittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukai- siin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan sopimuk- sen mukaisessa muutoshallintamenettelyssä.
5. Palveluhenkilöstö
5.1. Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Xxxxxxxx henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassapitoeh- toja tai heitä koskee lakisääteinen salassapitovelvollisuus.
5.2. Toimittaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Tilaajan ohjeiden mukaisesti.
6. Alihankkijat, jotka käsittelevät henkilötietoja
6.1. Siltä osin kuin Toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.
6.2. Xxx Xxxxxxxxxxx alihankkija käsittelee Xxxxxxxx henkilötietoja, alihankkijan käyttäminen edellyt- tää Tilaajan ennakkoon kirjallisesti antamaa lupaa.
6.3. Toimittaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä ali- hankkijat noudattamaan omalta osaltaan sopimuksessa Toimittajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Toi- mittaja varmistaa, että sopimuksen mukainen Tilaajan tarkastusoikeus voidaan ulottaa alihank- kijaan.
6.4. Toimittaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Toimittaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Xxx Xxxxxxx perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa.
6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava Tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Xxxxxxxx henkilötietoja tie- tosuojalainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotet- tua alihankkijaa.
7. Palvelun paikka
7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, Toimittajalla on oikeus käsitellä Tilaajan hen- kilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityisehdoissa so- vitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötie- toihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
7.2. Jos sopijapuolet sopivat, että Toimittajaa saa siirtää Tilaajan henkilötietoja Euroopan talousalu- een ulkopuolelle, sopijapuolet huolehtivat siitä, että henkilötietojen siirto toteutetaan lainsää- dännön mukaisesti.
8. Tietoturvaloukkaukset
8.1. Toimittajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturva- loukkauksesta ilman aiheetonta viivytystä. Lisäksi Toimittaja sitoutuu ilmoittamaan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaiku- tuksia rekisteröityjen asemaan ja oikeuksiin.
8.2. Toimittajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:
i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;
iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
iv. kuvaus toimenpiteistä, joita Toimittaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä sopimuksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoitta- miseksi ja korjaamiseksi.
9. Henkilötietojen käsittelyn päättyminen
9.1. Sopimuksen voimassaoloaikana Toimittaja ei saa poistaa Xxxxxxxx lukuun käsittelemiään henki- lötietoja ilman Tilaajan nimenomaista pyyntöä.
9.2. Sopimuksen päättyessä tai purkautuessa Toimittaja palauttaa Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyk- sellä on edellytetty, että Toimittaja säilyttää henkilötiedot.
10. Vastuunrajoitus
10.1 Sopimuksessa sovituista vastuunrajoituksista huolimatta, jos sopijapuoli on maksanut rekiste- röidylle korvauksen tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, on tällä sopijapuolella oikeus sovittujen vastuunrajoitusten rajoittamatta periä samaan tieto- jenkäsittelyyn osallistuneelta toiselta sopijapuolelta tämän vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Sopijapuolen vastuu rekisteröidylle aiheutu- neesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan.
11. Sopimuksen voimassaolo
Nämä henkilötietojen käsittelyn ehdot ovat voimassa niin kauan kuin sopimus on voimassa, mutta joka tapauksessa niin kauan, kunnes velvoitteet henkilötietojen käsittelyyn tulevat täy- tettyä.
Nämä ehdot korvaavat muut mahdolliset henkilötietojen käsittelystä Xxxxxxxxxxx kanssa sovi- tut ehdot.
Nämä henkilötietojen käsittelyn ehdot tulevat voimaan, kun kumpikin sopijapuoli on sen alle- kirjoittanut.
Henkilötietojen käsittelystä valmisteltu sopimus on laadittu kahtena samansanaisena kappa- leena, yksi kummallekin sopijapuolelle.
. kuuta 2022 . kuuta 2022 Sopijaosapuolet:
nimi ja titteli nimi ja titteli
Ohje: Xxx Xxxxxxxxxx toimii sellaisten henkilötietojen käsittelijänä, joiden rekisterinpitäjä on Ti- laaja, henkilötietojen käsittelyn ehtoihin on liitettävä tämä liite täytettynä.
Tässä liitteessä yksilöidään ne Tilaajan henkilötiedot, joita Toimittaja käsittelee Xxxxxxxx lukuun. Täytä tarvittavat kohdat ja poista lopuksi tämä ohje.
KÄSITTELYTOIMIEN KUVAUS
1. Osapuolet
Tilaaja:
Toimittaja:
2. Dokumentin tarkoitus
Xxxxxxx on tehnyt Toimittajan kanssa Sopimuksen, joka koskee sellaista palvelua, jossa Toimittaja toimii Xxxxxxxx ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä.
Tässä dokumentissa kuvataan käsittelytoimet, joita Toimittaja henkilötietojen käsittelijänä tekee Xxxxxxxx puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämä dokumentti liitetään vastaanottokeskuksen ja kunnan väliseen kuntamallin majoitussopimukseen.
Henkilötietojen käsittelyssä on noudatettava Toimittajan ja Tilaajan välistä Sopimusta sekä Tilaa- jan ohjeita.
3. Henkilötietojen tyypit ja rekisteröityjen ryhmät
Osapuolet ovat sopineet, että Toimittaja käsittelee Xxxxxxxx puolesta Sopimuksessa sovitun palve- lun tuottamiseksi seuraavia Asiakkaan henkilörekisteriin kuuluvia henkilötietoja.
- Kunnasta majoitusta hakevan ja saavan henkilön nimi, UMA numero sekä oleskelustatus.
4. Käsittelyn luonne ja tarkoitus
Osapuolet ovat sopineet, että Toimittajan tulee varmistua siitä, että kunnassa sopimuksen mukai- sessa kuntamallin majoituksessa asuvan henkilön statuksena on tilapäistä suojelua hakeva tai saava henkilö.
Vastaanottokeskus on sopinut, että kunta tuottaa tilapäistä suojelua hakeville ja saaville majoitus- ja ohjauspalveluita. Kunnalle maksetaan korvausta kuntamallin palveluiden tuottamisesta ainoas- taan tilapäistä suojelua hakevien ja saavien henkilöiden osalta. Kunnan tulee pystyä varmista- maan kunnassa majoittuvien henkilöiden status palveluiden järjestämiseksi. Kunta käsittelee tie- toja vain tähän tarkoitukseen.
5. Henkilötietojen käsittelyn kesto
Toimittaja käsittelee tässä liitteessä yksilöityjä henkilötietoja seuraavan ajan: Sopimuskauden ajan.