Henkilötietojen käsittelyn ehdot

Henkilötietojen käsittelyn ehdot

1. Yleistä

1.1. Tämä sopimusliite ”Henkilötietojen käsittelyn ehdot” on osa Pohjois-Savon sairaanhoitopiirin ja Pohjois-Savon pelastuslaitoksen välistä yhteistoimintasopimusta, jonka osapuolet ovat tehneet ensihoitopalveluiden tuottamisesta Pohjois-Savon sairaanhoitopiirissä.

1.2. Tässä sopimusliitteessä määritellään Pohjois-Savon sairaanhoitopiiriä (Sairaanhoitopiiri) ja Pohjois-Savon pelastuslaitosta (Pelastuslaitos) koskien sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Pelastuslaitos Sairaanhoitopiirin toimeksiannosta käsittelee henkilötietoja Sairaanhoitopiirin puolesta. Näissä ehdoissa kuvatuista Xxxxxxxxxxxxxxxxx toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.

2. Osapuolten roolit henkilötietojen käsittelyssä

2.1. Käsiteltäessä henkilötietoja Sairaanhoitopiiri on rekisterinpitäjä ja Pelastuslaitos on henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Sairaanhoitopiirin henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Sairaanhoitopiiri vastaa rekisterinpitäjänä.

2.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan henkilötietojen käsittelyn kuvauksessa (liitteen lopussa) sekä Sairaanhoitopiirin ohjeistuksessa. Pelastuslaitos sitoutuu noudattamaan Sopimuksessa, käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Sairaanhoitopiiri vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

2.3. Jos kohdan 2.2 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Sairaanhoitopiiri laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Pelastuslaitoksen kanssa.

3. Pelastuslaitoksen yleiset velvollisuudet

3.1. Pelastuslaitos käsittelee henkilötietoja Sopimuksen ja Sairaanhoitopiirin antamien ohjeiden mukaisesti. Ryhmittymän ollessa Käsittelijänä tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

3.2. Pelastuslaitos toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Sairaanhoitopiirin henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.

3.3. Pelastuslaitos ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

3.4. Pelastuslaitos nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Sairaanhoitopiirin henkilötietoihin liittyviä yhteydenottoja varten. Pelastuslaitos ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot Sairaanhoitopiirille.

3.5. Pelastuslaitos saattaa Sairaanhoitopiirin saataville tämän pyynnöstä kaikki tiedot, jotka Sairaanhoitopiiri tarvitsee rekisterinpitäjälle ja Pelastuslaitokselle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Sairaanhoitopiirin vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen.

3.6. Pelastuslaitos ilmoittaa Sairaanhoitopiirille viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Pelastuslaitos ei itse vastaa näihin pyyntöihin. Pelastuslaitos avustaa Sairaanhoitopiiriä, jotta Sairaanhoitopiiri pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Pelastuslaitokselta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen.

3.7. Pelastuslaitos sallii Sairaanhoitopiirin tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkastusmenettelystä sovitaan tarvittaessa erikseen.

4. Sairaanhoitopiirin ohjeet

4.1. Pelastuslaitos noudattaa Sairaanhoitopiirin henkilötietojen käsittelyssä sopimuksessa ja näissä erityisehdoissa sovittuja ehtoja sekä Sairaanhoitopiirin kirjallisia ohjeita. Sairaanhoitopiiri

vastaa ohjeiden ylläpidosta ja saatavuudesta. Pelastuslaitos ilmoittaa ilman aiheetonta viivytystä Sairaanhoitopiirille, jos Sairaanhoitopiirin antamat ohjeet ovat puutteellisia tai jos Pelastuslaitos epäilee niitä lainvastaisiksi.

4.2. Sairaanhoitopiirillä on oikeus muuttaa, täydentää ja päivittää Pelastuslaitokselle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan sopimuksen mukaisessa muutoshallintamenettelyssä.

5. Palveluhenkilöstö

5.1. Pelastuslaitos varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Sairaanhoitopiirin henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

5.2. Pelastuslaitos varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Sairaanhoitopiirin henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Sairaanhoitopiirin ohjeiden mukaisesti.

6. Alihankkijat, jotka käsittelevät henkilötietoja

6.1. Siltä osin kuin Pelastuslaitos käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.

6.2. Xxx Xxxxxxxxxxxxxxxxx alihankkija käsittelee Sairaanhoitopiirin henkilötietoja, alihankkijan käyttäminen edellyttää Sairaanhoitopiirin ennakkoon kirjallisesti antamaa lupaa.

6.3. Pelastuslaitos tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Pelastuslaitokselle asetettuja velvoitteita sekä Sairaanhoitopiirin antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Pelastuslaitos varmistaa, että sopimuksen mukainen Sairaanhoitopiirin tarkastusoikeus voidaan ulottaa alihankkijaan.

6.4. Pelastuslaitos vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Pelastuslaitos vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Jos Sairaanhoitopiiri perustellusti katsoo, että Pelastuslaitoksen alihankkija ei täytä tietosuojavelvoitteitaan, Sairaanhoitopiirillä on oikeus vaatia Pelastuslaitosta vaihtamaan alihankkijaa.

6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava Sairaanhoitopiirille etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee

Sairaanhoitopiirin henkilötietoja tietosuojalainsäädännön mukaisesti. Sairaanhoitopiirillä on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa.

7. Palvelun paikka

7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, Pelastuslaitoksella on oikeus käsitellä Sairaanhoitopiirin henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityisehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Sairaanhoitopiirin henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.

8. Tietoturvaloukkaukset

8.1. Pelastuslaitoksen on ilmoitettava Sairaanhoitopiirille kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi Pelastuslaitos sitoutuu ilmoittamaan Sairaanhoitopiirille ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.

8.2. Pelastuslaitoksen on annettava Sairaanhoitopiirille vähintään seuraavat tiedot tietoturvaloukkauksesta:

i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;

ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;

iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja

iv. kuvaus toimenpiteistä, joita Xxxxxxxxxxxxxx ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan Pelastuslaitos ryhtyy viipymättä sopimuksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

9. Henkilötietojen käsittelyn päättyminen

9.1. Sopimuksen voimassaoloaikana Pelastuslaitos ei saa poistaa Sairaanhoitopiirin lukuun käsittelemiään henkilötietoja ilman Sairaanhoitopiirin nimenomaista pyyntöä.

9.2. Sopimuksen päättyessä tai purkautuessa Pelastuslaitos palauttaa Sairaanhoitopiirille kaikki Sairaanhoitopiirin puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Pelastuslaitos säilyttää henkilötiedot.

KÄSITTELYTOIMIEN KUVAUS

1. Osapuolet

Pohjois-Savon sairaanhoitopiirin kuntayhtymä (”Sairaanhoitopiiri”) Pohjois-Savon pelastuslaitos (”Pelastuslaitos”)

2. Dokumentin tarkoitus

Sairaanhoitopiiri on tehnyt Xxxxxxxxxxxxxxxxx kanssa yhteistoimintasopimuksen ensihoitopalveluiden järjestämisestä Pohjois-Savon sairaanhoitopiirissä, jonka perusteella Pelastuslaitos toimii Sairaanhoitopiirin ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä.

Tässä dokumentissa kuvataan käsittelytoimet, joita Pelastuslaitos henkilötietojen käsittelijänä tekee Sairaanhoitopiirin puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämä dokumentti liitetään henkilötietojen käsittelyehtojen liitteeksi.

Henkilötietojen käsittelyssä on noudatettava Pelastuslaitoksen ja Sairaanhoitopiirin välistä sopimusta sekä Sairaanhoitopiirin ohjeita.

3. Henkilötietojen tyypit ja rekisteröityjen ryhmät

Osapuolet ovat sopineet, että Pelastuslaitos käsittelee Sairaanhoitopiirin puolesta seuraavia Sairaanhoitopiirin henkilörekisteriin kuuluvia henkilötietoja.

Rekisteröityjen ryhmät: sairaanhoitopiirin potilaat

Henkilötietojen tyypit: ao. tiedostoissa/lomakkeilla olevat potilastiedot

- Ensivaste ja ensihoitokertomuksen (potilaskertomus) kirjaaminen kaikista ensihoidon tehtävistä (KELA SV 210 lomake)

- Codea (sähköinen ensihoitokertomus) kirjaaminen kaikista ensihoitotehtävistä

- KEJO eHK (sähköinen ensihoitokertomus) kirjaaminen (10/2020 alkaen)

4. Käsittelyn luonne ja tarkoitus

Osapuolet ovat sopineet, että Pelastuslaitos käsittelee kohdassa 3 kuvattuja ensivaste ja ensihoitokertomustietoa ensivaste ja ensihoitotehtävän (potilaskertomus) dokumentaatioksi sekä ja sairasvakuutuslain laskutusta (KELA) tai muun laskutettavan tahon tarvitsemia tietoja varten. SV210 lomake täytetään tehtävän yhteydessä, Codean ensihoitokertomuksen tiedot kirjataan tehtävän jälkeen asemapaikalla ja KEJO eHK tehtävän yhteydessä.

5. Henkilötietojen käsittelyn kesto

Pelastuslaitos käsittelee tässä liitteessä yksilöityjä henkilötietoja yhteistoimintasopimuksen voimassaolon ajan.