Henkilötietojen käsittelyn ehdot palvelusetelipalveluntuottajille
Henkilötietojen käsittelyn ehdot palvelusetelipalveluntuottajille
1 Osapuolet
Jyväskylän kaupunki on rekisterin pitäjä ja tässä dokumentissa kuvattuna termillä Rekisterinpitäjä. Palvelu- setelipalveluntuottajaksi hyväksytty yritys toimii henkilötietojen käsittelijänä ja kuvataan tässä dokumentissa termillä Palveluntuottaja.
Palveluntuottajan tulee nimetä henkilötietojen käsittelystä vastaava henkilö tai tietosuoja-asetuksen niin edel- lyttäessä tietosuojavastaava hakeutuessaan palvelusetelituottajaksi. Palveluntuottajan on pidettävä vastuu- henkilön tai tietosuojavastaavan yhteystiedot ajan tasalla ja ilmoitettava viipymättä muutoksista.
Hakeutumalla Jyväskylän kaupungin palvelusetelipalveluiden tuottajaksi palveluntuottaja hyväksyy nämä Hen- kilötietojen käsittelyn ehdot.
2 Ehtojen tausta ja tarkoitus
Rekisterinpitäjä on sovitun palvelun yhteydessä käsiteltävien Henkilötietojen lakisääteinen rekisterinpitäjä. Pal- veluntuottaja käsittelee kyseisiä Henkilötietoja Rekisterinpitäjän lukuun ja toimeksiannosta tässä Henkilötieto- jen käsittelyn ehdoissa sovitulla tavalla. Liitteessä 1 on kuvaus rekisteröityjen ryhmistä, tietoturvamenettelyistä ja siitä, mihin tarkoitukseen Palveluntuottaja käsittelee Rekisterinpitäjän Henkilötietoja.
Molemmat osapuolet ymmärtävät ja hyväksyvät, että heillä ei ole velvollisuutta noudattaa Tietosuoja-asetusta kuin vasta 25.5.2018 alkaen mutta sitoutuvat noudattamaan tätä Tietosuoja-asetuksen vaatimusten mukaista Henkilötietojen käsittelyn ehtoja jo ennen Tietosuoja-asetuksen soveltamisen alkamista. Rekisterinpitäjä ja Palveluntuottaja hyväksyvät, että viranomaiset voivat antaa määräyksiä ja ohjeita Tietosuoja-asetuksen sovel- tamisalalla näiden ehtojen lisäksi, joita osapuolet ovat velvollisia noudattamaan.
Ellei tässä Henkilötietojen käsittelyn ehdoissa ole nimenomaisesti toisin ilmoitettu, Palveluntuottaja vastaa itse kaikista kustannuksista, joita sille aiheutuu tämän Henkilötietojen käsittelyn ehtojen ja Tietosuojalainsäädän- nön noudattamisesta.
3 Määritelmät
”Henkilötieto” tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tie- toja, joista voidaan suoraan tai epäsuoraan tunnistaa henkilö. Xxxxxxx on terveydenhuollon potilas tai sosiaa- lihuollon asiakas ja hänestä käytetään myös nimitystä ”rekisteröity”.
”Erityinen henkilötieto” tarkoittaa sellaista henkilötietoa, josta ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisiä tai biometrisiä tietoja henkilön yksiselitteistä tunnistamista varten tai terveyttä tai sosiaalihuollon asiakkuutta koskevia tietoja taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevia tietoja
”Henkilötietojen käsittelyn ehdot” tarkoittaa tätä henkilötietojen käsittelyn ehtoja liitteineen;
”Tietosuoja-asetus” tarkoittaa Euroopan Unionin yleistä tietosuoja-asetusta 2016/679, jonka soveltaminen alkoi 25.5.2018;
”Tietosuojalainsäädäntö” tarkoittaa EU:n yleistä tietosuoja-asetusta sekä muuta henkilötietojen käsittelyyn kulloinkin sovellettavaa lakia.
”Tietoturvaloukkaus” tarkoittaa tapahtumaa, jonka seurauksena on käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin tai tapahtumaa, jossa Henkilötietojen tietoturva on vaarantunut.
4 Rekisterinpitäjän oikeudet ja velvollisuudet
Rekisterinpitäjä käsittelee Henkilötietoja Tietosuojalainsäädännön mukaisesti. Rekisterinpitäjä antaa Palve- luntuottajalle kirjalliset ohjeet Henkilötietojen käsittelyä varten. Ohjeet liitetään tämän dokumentin liitteeksi 2. Rekisterinpitäjällä on oikeus yksipuolisesti muuttaa tai täydentää ohjeita.
Rekisterinpitäjä säilyttää määräysvallan ja kaikki oikeudet Henkilötietoihin, mukaan lukien oikeudet Henkilötie- tojen käsittelystä syntyviin tietoihin.
5 Palveluntuottajan yleiset velvollisuudet
Palveluntuottaja käsittelee Henkilötietoja ammattitaitoisesti, huolellisesti ja näiden Henkilötietojen käsittelyn ehtojen ja Tietosuojalainsäädännön mukaisesti. Palveluntuottajalla ei ole oikeutta käsitellä Henkilötietoja mi- hinkään muuhun kuin liitteessä 1 kuvattuun tarkoitukseen.
Palveluntuottaja sitoutuu käsittelemään Henkilötietoja ainoastaan Rekisterinpitäjän toimittamien kirjallisten oh- jeiden mukaisesti, paitsi jos Palveluntuottajaan Suomessa sovellettavassa laissa toisin vaaditaan. Tällöin Pal- veluntuottajan tulee tiedottaa Rekisterinpitäjälle kyseisestä oikeudellisesta vaatimuksesta ilman aiheetonta vii- vytystä ennen käsittelyä, ellei tiedottaminen ole lain mukaan kiellettyä. Palveluntuottajan tulee välittömästi il- moittaa Rekisterinpitäjälle, jos Rekisterinpitäjän antamat ohjeet Henkilötietojen käsittelemiseksi ovat puutteel- lisia tai jos ne eivät ole lainmukaisia.
Rekisterinpitäjän kirjallisesta pyynnöstä Palveluntuottaja avustaa ja tukee Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Rekisterinpitäjä voi täyttää velvollisuutensa vastata pyyntöihin, jotka koskevat seuraavia, Tietosuoja-asetuksen luvussa 3 säädettyjen rekisteröidyn oikeuksien käyttämistä:
a) oikeus saada pääsy tietoihin;
b) oikeus tietojen oikaisemiseen ja poistamiseen;
c) oikeus käsittelyn rajoittamiseen;
d) oikeus siirtää Henkilötiedot järjestelmästä toiseen; ja
e) oikeus vastustaa Henkilötietojen käsittelyä.
Osapuolien tulee ilman aiheetonta viivytystä rekisteröidyn oikeuksien käyttämistä koskevan pyynnön vastaan- ottamisesta ilmoittaa pyynnöstä toiselle osapuolelle, jos pyynnön toteuttaminen edellyttää toimenpiteitä toiselta osapuolelta. Jos pyynnön toteuttaminen edellyttää toimenpiteitä Palveluntuottajalta, Palveluntuottaja toteuttaa pyynnön välittömästi saatuaan asiasta tiedon ja noudattaa Rekisterinpitäjän mahdollisesti asiassa antamia lisäohjeita.
Palveluntuottajan tulee toimittaa Rekisterinpitäjälle tarvittava dokumentaatio sen varmistamiseksi, että pyyntö on asianmukaisesti toteutettu. Jos rekisteröidyn pyyntö koskee oikeutta saada pääsy tietoihin, Palveluntuottaja toimittaa Rekisterinpitäjän pyynnön mukaisesti joko jäljennöksen rekisteröidyn käsiteltävistä Henkilötiedoista tai toimittaa tiedot yleisesti käytetyssä sähköisessä muodossa.
Palveluntuottaja auttaa Rekisterinpitäjää varmistamaan, että Rekisterinpitäjä pystyy toteuttamaan Tietosuoja- lainsäädännön mukaiset velvoitteensa. Palveluntuottaja avustaa Rekisterinpitäjää seuraavien, Tietosuoja-ase- tuksen 32–36 artikloissa säädettyjä velvoitteiden noudattamisessa:
a) Henkilötietojen käsittelyn turvallisuuden toteuttaminen asianmukaisilla teknisillä ja organisatorisilla toi- menpiteillä;
b) Tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle ja rekisteröidyille;
c) osallistuminen Rekisterinpitäjän pyynnöstä tietosuojaa koskevan vaikutustenarvioinnin tekemiseen; ja
d) osallistuminen Rekisterinpitäjän pyynnöstä valvontaviranomaisen ennakkokuulemiseen.
Palveluntuottaja saattaa Rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen Rekisterinpitäjälle Tieto- suojalainsäädännössä säädettyjen velvollisuuksien noudattamisen osoittamiseksi. Palveluntuottaja sallii Re- kisterinpitäjän tai sen valtuuttaman auditoijan suorittamat auditoinnit näiden Henkilötietojen käsittelyn ehtojen kohdan 11 mukaisesti.
6 Tietoturva
Palveluntuottaja implementoi asianmukaiset ja riittävät tekniset ja organisatoriset toimenpiteet Henkilötietojen suojaamiseksi ja asianmukaisen ja riittävän turvallisuustason varmistamiseksi siten, että Henkilötietojen käsit- tely vastaa näiden ehtojen ja Tietosuojalainsäädännön asettamia vaatimuksia. Palveluntuottaja toteuttaa kaikki tarvittavat toimenpiteet Henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin, vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä tai muulta laittomalta käsitte- lyltä.
Palveluntuottaja ymmärtää, että Henkilötiedot ovat salassa pidettäviä tietoja. Palveluntuottaja varmistaa, että henkilöt, jotka käsittelevät Henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta sekä käsit- telyn aikana, että sen päätyttyä tai että heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. Palveluntuottaja huolehtii siitä, että ainoastaan nimetyillä työntekijöillä on pääsy käsiteltäviin Henkilötietoihin ja että tällaisiksi nimetään vain sellaiset henkilöt, joilla on tehtäviensä mukaan tarve käsitellä Henkilötietoja. Palveluntuottaja huolehtii tarvittavista toimenpiteistä sen varmistamiseksi, että kyseiset henkilöt käsittelevät Henkilötietoja ainoastaan näiden henkilötietojen käsittelyn ehtojen ja Rekisterinpitäjän kirjallisten ohjeiden mu- kaisesti.
Palveluntuottaja on Rekisterinpitäjän kirjallisesta pyynnöstä toimitettava Rekisterinpitäjälle kirjallinen selvitys siitä, miten se toteuttaa edellä mainitut toimenpiteet. Jos Palveluntuottaja implementoimat toimenpiteet eivät Rekisterinpitäjän näkemyksen mukaan ole riittäviä Henkilötietojen tietoturvallisuuden takaamiseksi Tietosuo- jalainsäädännössä edellytetyllä tavalla, Palveluntuottajan tulee implementoida Rekisterinpitäjän ehdottamat lisätoimenpiteet tietoturvallisuuden varmistamiseksi ilman eri kustannusta.
7 Henkilötietojen siirtäminen
Palveluntuottaja ei saa siirtää Henkilötietoja EU- tai ETA-alueen ulkopuolelle ilman Rekisterinpitäjän etukä- teistä, nimenomaista kirjallista suostumusta. Jos Palveluntuottaja siirtää Henkilötietoja EU- tai ETA-alueen
ulkopuolelle Rekisterinpitäjän kirjallisesta pyynnöstä tai Rekisterinpitäjän kirjallisella etukäteisellä suostumuk- sella, Rekisterinpitäjä ja Palveluntuottaja sopivat tarvittavista sopimusjärjestelyistä ja muista menettelytavoista ennen Henkilötietojen siirtämistä. Palveluntuottaja vastaa siitä, että Henkilötietoja käsitellään EU- tai ETA- alueen ulkopuolella näiden Henkilötietojen käsittelyn ehtojen ja Tietosuojalainsäädännön vaatimusten mukai- sesti.
Palveluntuottaja on kirjallisesti ilmoitettava Rekisterinpitäjälle, missä maissa Rekisterinpitäjän Henkilötietoja käsitellään (mukaan lukien se, mistä maista Henkilötietoihin on pääsy).
8 Alihankkijat
Palveluntuottaja saa käyttää Henkilötietojen käsittelyssä alihankkijoita ainoastaan Rekisterinpitäjän etukätei- sellä kirjallisella suostumuksella. Palveluntuottaja vastaa siitä, että alihankkija käsittelee Henkilötietoja näiden Henkilötietojen käsittelyn ehtojen ja Tietosuojalainsäädännön mukaisesti. Palveluntuottajan ja alihankkijan vä- lisen sopimuksen on sisällöltään vastattava vähintäänkin tämän dokumentin ehtoja.
Palveluntuottaja varmistaa erityisesti, että alihankkija toteuttaa kaikki asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta Henkilötietojen käsittely täyttää näiden Henkilötietojen käsittelyn ehdot ja Tietosuojalainsää- dännössä asetetut vaatimukset. Palveluntuottajan on Rekisterinpitäjän kirjallisesta pyynnöstä esitettävä luo- tettavaa selvitystä siitä, miten Palveluntuottaja on huolehtinut, että sen alihankkija noudattaa edellä mainittuja velvollisuuksia ja toimitettava Rekisterinpitäjälle sen ja alihankkijan välinen sopimus nähtäväksi. Rekisterinpi- täjällä on oikeus peruuttaa antamansa suostumus alihankkijan käyttämiseksi, jos Rekisterinpitäjällä on syytä epäillä, että Palveluntuottaja alihankkija ei käsittele Henkilötietoja näiden Henkilötietojen käsittelyn ehtojen ja/tai Tietosuojalainsäädännön mukaisesti. Palveluntuottaja on välittömästi ilmoitettava Rekisterinpitäjälle, jos sen alihankkija ei noudata Henkilötietojen käsittelyssä sovittuja velvoitteitaan.
Palveluntuottaja valvoo säännöllisesti alihankkijansa toimintaa varmistaakseen, että alihankkija noudattaa sille asetettuja velvollisuuksia Henkilötietojen käsittelyssä. Palveluntuottaja huolehtii sen ja alihankkijan välisessä sopimuksessa myös siitä, että Rekisterinpitäjälle on oikeus tarkastaa alihankkijan toiminnot näiden Henkilötie- tojen käsittelyn ehtojen kohdan 11 mukaisesti.
Palveluntuottaja vastaa täysimääräisesti alihankkijansa suorittamasta Henkilötietojen käsittelystä.
9 Tietoturvaloukkaukset
Palveluntuottaja ilmoittaa Rekisterinpitäjälle välittömästi ja viimeistään 48 tunnin kuluessa sen tietoon tulleesta Tietoturvaloukkauksesta.
Palveluntuottaja on Tietoturvaloukkauksen ilmoittamisen yhteydessä tai välittömästi ilmoittamisen jälkeen toi- mitettava Rekisterinpitäjälle:
a) kuvaus Tietoturvaloukkauksesta, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lu- kumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b) sellaisen henkilön yhteystiedot, jolta voi saada asiasta lisätietoja;
c) kuvaus Tietoturvaloukkauksen todennäköisistä seurauksista;
d) kuvaus toimenpiteistä, jotka Palveluntuottaja on toteuttanut Tietoturvaloukkauksen johdosta ja toimen- piteet mahdollisten haittavaikutusten lieventämiseksi.
Palveluntuottaja sitoutuu avustamaan Rekisterinpitäjää Tietoturvaloukkauksesta ilmoittamisessa valvontavi- ranomaiselle ja rekisteröidyille ja antamaan Rekisterinpitäjän saataville kaikki Rekisterinpitäjän pyytämät tiedot Tietoturvaloukkauksesta.
Palveluntuottaja on välittömästi ryhdyttävä toimenpiteisiin Tietoturvaloukkauksen haittavaikutusten ehkäise- miseksi tai lieventämiseksi. Palveluntuottaja on Tietoturvaloukkauksen jälkitoimenpiteenä laadittava Rekiste- rinpitäjälle ehdotus menettelytavoista, joilla Tietoturvaloukkaukset pystytään jatkossa torjumaan. Palveluntuot- taja implementoi yhdessä sovitut menettelytavat Tietoturvaloukkausten ehkäisemiseksi ilman aiheetonta viivy- tystä.
Palveluntuottaja dokumentoi kaikki Henkilötietojen Tietoturvaloukkaukset, mukaan lukien Tietoturvaloukkauk- sen vaikutukset ja tehdyt korjaavat toimenpiteet. Palveluntuottaja toimittaa dokumentaation Rekisterinpitäjän Rekisterinpitäjän kirjallisesta pyynnöstä.
10 Seloste käsittelytoimista
Palveluntuottaja ylläpitää selostetta Rekisterinpitäjän lukuun suorittamastaan Henkilötietojen käsittelystä. Se- loste sisältää seuraavat tiedot:
a) Rekisterinpitäjän, Palveluntuottajan ja Palveluntuottajan tietosuojavastaavan nimi ja yhteystiedot sekä tiedot mahdollisista alihankkijoista;
b) Rekisterinpitäjän lukuun käsiteltävien Henkilötietojen ryhmät Artiklan 28 §: mukaisesti, tässä yhtey- dessä ryhmällä tarkoitetaan yhden palvelusetelin piirissä olevia asiakkaita;
c) tiedot henkilötietojen siirtämisestä EU- tai ETA-alueen ulkopuolelle, mukaan lukien kyseiset kolmannet maat ja selvitys siitä, miten tietosuojan riittävä taso taataan; ja
d) kuvaus Palveluntuottaja toteuttamista, kohdan 6 mukaisista teknisistä ja organisatorisista turvatoi- mista.
Palveluntuottajan on Rekisterinpitäjän kirjallisesta pyynnöstä toimitettava seloste Rekisterinpitäjälle. Selosteen laatimisessa voi käyttää apuna Tietosuojavaltuutetun laatimaa mallipohjaa: Mallipohja henkilötietojen käsitte- lijälle: seloste käsittelytoimista.
11 Tarkastusoikeus
Palveluntuottaja antaa Rekisterinpitäjälle kaikki tiedot, jotka ovat tarpeen osoittamaan, että Palveluntuottaja noudattaa tämän Henkilötietojen käsittelyn ehtoja ja Tietosuojalainsäädännön vaatimuksia.
Rekisterinpitäjällä tai tämän nimeämällä riippumattomalla asiantuntijalla, joka ei voi olla Palveluntuottajan kil- pailija, on oikeus tarkastaa koska tahansa näiden ehtojen voimassaoloaikana, että Palveluntuottaja noudattaa tässä Henkilötietojen käsittelyn ehdoissa Palveluntuottajalle osoitettuja velvoitteita. Rekisterinpitäjä ilmoittaa tarkastuksen toteuttamisesta 14 päivää etukäteen tai jos Rekisterinpitäjällä on syytä epäillä, että Palveluntuot- taja ei käsittele Henkilötietoja näiden Henkilötietojen käsittelyn ehtojen mukaisesti, joissa tapauksissa Rekis- terinpitäjällä on oikeus suorittaa tarkastus ilmoittamatta tästä Palveluntuottaja etukäteen.
Tarkastuksen kohteena on Henkilötietojen käsittelyyn liittyvä Palveluntuottajan dokumentaatio sekä Henkilö- tietojen käsittelyssä käytettävät järjestelmät ja toimitilat. Palveluntuottaja osallistuu aktiivisesti tarkastuksen
toteuttamiseen. Palveluntuottaja osallistuu Rekisterinpitäjän pyynnöstä myös valvontaviranomaisen Rekiste- rinpitäjään kohdistamaan tarkastukseen ja antaa valvontaviranomaiselle tarvittavat tiedot tarkastuksen toteut- tamiseksi.
Kumpikin osapuoli vastaa itse sille tarkastuksesta aiheutuvista kustannuksista. Jos tarkastuksessa käy ilmi, että ole noudattanut näitä Henkilötietojen käsittelyn ehtoja tai Tietosuojalainsäädäntöä, Palveluntuottaja vas- taa kaikista tarkastuksesta aiheutuneista kustannuksista.
12 Henkilötietojen käsittelyn päättyminen
Palveluntuottaja sitoutuu Rekisterinpitäjän kirjallisesta vaatimuksesta ja ilman aiheetonta viivytystä palautta- maan kaikki Henkilötiedot Rekisterinpitäjälle tai Rekisterinpitäjän nimeämälle kolmannelle osapuolelle sen pyy- tämässä formaatissa ja muodossa ja/tai poistamaan Henkilötiedot maksutta. Palveluntuottajan on palautettava ja/tai poistettava Henkilötiedot viimeistään, kun palvelusetelipalveluiden tuottaminen Jyväskylän kaupungille päättyy. Palveluntuottajan on tällöin poistettava myös kaikki olemassa olevat jäljennökset Henkilötiedoista, ellei Palveluntuottaja ole pakottavan lain mukaan säilytettävä kyseiset Henkilötiedot.
Palveluntuottaja sitoutuu olemaan käsittelemättä Henkilötietoja sen jälkeen, kun ne on onnistuneesti luovutettu Rekisterinpitäjälle tai tämän nimeämälle kolmannelle osapuolelle tai kun ne on onnistuneesti tuhottu.
13 Henkilötietojen käsittelystä aiheutuneet vahingot
Palveluntuottaja on vastuussa kaikista kolmannen osapuolen tai rekisteröidyn esittämistä vaatimuksista, va- hingoista, kuluista ja kustannuksista sekä valvontaviranomaisen asettamista hallinnollisista sakoista, joita Re- kisterinpitäjälle aiheutuu siitä, että Palveluntuottaja rikkoo näitä Henkilötietojen käsittelyn ehtoja tai Tietosuo- jalainsäädäntöä.
14 Voimaantulo ja voimassaolo
Tämä Henkilötietojen käsittelyn ehdot tulevat voimaan, Kun palveluntuottaja hakeutuu Jyväskylän kaupungille palvelusetelituottajaksi ja hyväksyy sääntökirjan ja tämän liitteenä olevan Henkilötietojen käsittelyn ehdot. Henkilötietojen käsittelyn ehdot voimassa niin kauan kuin Palveluntuottaja käsittelee Rekisterinpitäjän Henki- lötietoja.
15 Liitteet
Näiden Henkilötietojen käsittelyn ehtoihin kuuluu erottamattomana osana seuraavat liitteet: Liite 1 Kuvaus käsiteltävistä henkilötiedoista ja tietoturvamenettelyistä
Liite 2 Jyväskylän kaupungin perusturvapalveluiden tietosuojaohjeet
Liite 1: Kuvaus käsiteltävistä henkilötiedoista ja tietoturvamenettelyistä
Tässä liitteessä määritellään Palveluntuottajan velvollisuuksia henkilötietojen käsittelyn sekä tietosuoja- ja tietoturvamenettelyjen osalta. Mikäli Palveluntuottaja ei pysty noudattamaan näitä määrityksiä ja liitteenä ole- via Tietosuojaohjeita sekä niissä asetettuja vähimmäisedellytyksiä, tulee Palveluntuottajan ilmoittaa asiasta välittömästi Rekisterinpitäjälle. Rekisterinpitäjällä on oikeus yksipuolisesti muuttaa tai täydentää ohjeita. Re- kisterinpitäjän tulee ilmoittamalla muutoksista ja toimittaa päivitetyt ohjeet Palveluntuottajalle. Osapuolet voi- vat tarvittaessa kirjallisesti täydentää tai muuttaa tätä liitettä.
1 Henkilötietojen käsittelyn tarkoitus
Palveluntuottaja käsittelee Henkilötietoja ainoastaan seuraavan tarkoituksen toteuttamiseksi:
Palveluntuottaja käsittelee henkilötietoja ainoastaan palvelusetelissä/palvelusetelipäätöksessä maini- tun palvelun tuottamiseksi. Henkilötietojen käsittelystä tallentuu lokitietoa ja henkilötietojen käsittelyä valvotaan mm. lokitietojen avulla.
2 Käsiteltävät rekisteröityjen ryhmät ja henkilötiedot
Palveluntuottaja käsittelee seuraavia rekisteröityjen ryhmiä ja seuraavanlaisia henkilötietoja:
Rekisteröityjen ryhmä | Henkilötiedot (Vahti ST IV) | Erityiset henkilötiedot (Vahti ST III) |
Asiakkaat / Potilaat | Asiakkaan/Potilaan yhteystiedot: hetu, nimi, osoitetiedot, kotikunta, puhelinnu- mero, myönnetyt palvelut. | |
Asiakkaat / Potilaat | Palvelusetelipäätökseen liittyvät asia- kas- ja terveystiedot | |
Asiakkaat / Potilaat | Palvelusetelipäätökseen liittyvän palve- lun tiedot, esim. palvelutuottajan an- tama hoito- ja palvelupalaute. | |
Henkilökunta | Palveluntuottajan työntekijöi- den nimi, kirjautumistunnus (täydennä) | |
Kommentit: Asiakkaan/potilaan yhteystiedot päivittyvät palvelusetelin myöntäjän asiakas/potilastietojärjestel- mästä, jonne ne päivittyvät Väestörekisterikeskuksesta. | ||
[OHJE: Määritä rekisteröityjen ryhmät ja käsiteltävät henkilötietotyypit, esim. 1. Asiakas: Nimi, Osoite, Asiakastunnus, Henkilöstö: Nimi, kirjautumistunnus, käyttäjä ID, Erityiset henkilötiedot: rotu, sukupuoli, uskonto, VAHTI Suojataso (ST) : Suojaustaso IV = Luottamuksellinen, Erityistä henkilötietoa sisältävä tieto kuuluu suojatasolle ST III = Rajoitettu]
3 Henkilötiedon käsittelyn kesto
Palveluntuottajalla on oikeus käsitellä palvelusetelipalveluun liittyviä henkilötietoja seuraavasti:
Henkilötietojen säilytysaika:
Pääsääntöisesti 12 vuotta potilaan kuolemasta tai siten kun sosiaalihuollon asiakasasiakirjoista sääde- tään. Mikäli Palveluntuottajan ja Asiakkaan asiakkuus päättyy ennen asiakirjojen säilytysajan päätty- mistä, Palveluntuottaja on velvollinen avustamaan tietojen siirrossa Asiakkaan järjestelmään.
Säilytysaikaa koskevat erityislait ja niissä mainitut säilytysajat:
Potilasasiakirja-asetus ja Laki sosiaalihuollon asiakasasiakirjoista
Muut käsittelyä koskevat erityislait ja määräykset:
[OHJE: lisää kuvaus kuinka kauan henkilötietoja säilytetään, sovellettavat henkilötietojen säilyttämistä koskevat erityislait ja niiden sisältämät säilytysajat sekä muut käsittelyn kestoon vaikuttavat erityislait ja niiden keskeiset määräykset jne.]
4 Raportointi ja viestintä
Tietoturva- ja tietosuojauhista ja -loukkauksesta ilmoittaminen:
Puhelimitse:
Palautekanavan web-lomakkeella: xxxxx://x-xxxxxxxx.xxx.xx/xXxxxxxxx/xx/Xxxxxxxx/00
Kiireellisissä tilanteissa puhelimitse: Jyväskylän kaupungin tietohallintojohtaja 050 65 238
Turvallisuusjärjestelyjen muutoksista ilmoittaminen
Puhelimitse:
Perusturvan tietosuojavastaava Xxxx Xxxxxxx 014 336 6892 (ohjautuu tarvittaessa varahenkilölle)
[OHJE: lisää kuvaus: Käsittelysopimuksen 9 kohtaa täydentävät ohjeet; missä muodossa ilmoitus on tehtävä ja mitä kanavaa käyttäen (esim. salattu sähköposti, lähetti), minkä
tyyppisistä turvallisuusjärjestelyjen muutoksista on ilmoitettava Asiakkaalle ja mistä ei tarvitse ilmoittaa (esim. vartiointiliikkeen vaihdos) jne.]
Avainhenkilöiden muutoksista ilmoittaminen:
Xxxxx.xx –portaalissa palvelusetelihakemuksen tiedoissa
[OHJE: lisää kuvaus: riippuen Sopimuksen määräyksistä, esimerkiksi Toimittajan velvollisuus ilmoittaa, mikäli Toimittajan henkilötietojen käsittelystä vastaava yhteyshenkilö tai
tietosuojavastaava vaihtuu jne.]
Ilmoittaminen rekisteröityjen oikeuksien toteuttamista koskevista pyynnöistä:
Pyynnöt tulee ohjata Jyväskylän kaupungin tietosuojasivustolle, jossa on ohjeet ja lomakkeet tietopyyn- töjen toteuttamiseen. Osoite xxxxx://xxx.xxxxxxxxx.xx/xxx-xxxxxxxx/xxxxxx-xxxxxxxxxx/xxxxxxxxx-xx-xxxxxxxx- oikeudet/sosiaalipalvelujen-ja-1
[OHJE: lisää kuvaus: missä muodossa ja millä aikataululla Toimittajan on ilmoitettava Asiakkaalle rekisteröityjen esittämistä oikeuksiensa toteuttamista koskevista pyynnöistä
jne.]
5 Sovellettavat tietoturvamenettelyt
Palveluntuottajan tuotetta / palvelua koskevat tietoturvamenettelyt perustuvat kuntatoimijoiden tietoturvavaa- timuksia ohjaaviin lakeihin, asetuksiin ja VAHTI-ohjeisiin, joiden pohjalta tietoturvamenettelyt tulee toteuttaa. Toimittajan tulee toteuttaa käsiteltävän tiedon luokituksen mukaiset tietoturvamenettelyt, kuitenkin vähintään täytettävä VAHTI tietosuojatason IV vaatimukset fyysisen ja teknisen tietoturvallisuuden alueet kattaen seu- raava alueet:
FYYSINEN TIETOTURVALLISUUS |
− Tilat ja laitteet − Luvattoman pääsyn estäminen − Suojaaminen salakatselulta- ja kuuntelulta − Toiminnan jatkuvuuden hallinta |
TEKNINEN TIETOTURVALLISUUS |
Tietoliikenneturvallisuus − Verkon rakenteellinen turvallisuus − Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöt − Hallintayhteydet − Langattomat verkot |
Tietojärjestelmäturvallisuus − Pääsyoikeuksien hallinnointi − Käyttöoikeuksien ja salasanojen hallinta − Järjestelmäkovennus − Haittaohjelmasuojaus, virustorjunta − Jäljitettävyys − Poikkeamien havainnointikyky ja toipuminen − Salausratkaisut ja salausavaimet − Hajasäteily − Ohjelmistojen pääsynhallintatoteutukset |
Tietojärjestelmäturvallisuus − Pääsyoikeuksien hallinnointi − Käyttöoikeuksien ja salasanojen hallinta − Järjestelmäkovennus − Haittaohjelmasuojaus (virustorjunta) − Jäljitettävyys − Poikkeamien havainnointikyky ja toipuminen − Salausratkaisut ja salausavaimet − Ohjelmistojen pääsynhallintatoteutukset |
Tietoaineistoturvallisuus − Sähköinen tiedonsiirto, fyysisesti suojatulla alueella − Sähköinen tiedonsiirto, ei suojatulla alueella − Manuaalinen tiedonsiirto − Suojattu tulostus- ja kopiointi − Tulostus- ja kopiointilaitteiden sijoittelu − Kirjaaminen ja rekisteröinti (sovelletaan jos arkaluontoista tai biometristä tietoa) − Sähköisen tietoaineiston hävittäminen (Laitteistot, Laitteiden osat, Väliaikaistiedostot) − Manuaalisen tietoaineiston hävittäminen |
Käyttöturvallisuus − Muutoshallintamenettely − Tietojen käsittelyn fyysinen turvallisuus − Etäkäyttö- ja hallinta − Ohjelmistohaavoittuvuuksien hallinta − Varmuuskopiointi |
TIETOTURVALLISUUTTA OHJAAVAT LAIT, ASETUKSET JA OHJEET
− | |
− | |
− | VAHTI Tietoteknisten laitetilojen turvallisuusohjeet 1/2002, |
− | |
− | |
− | |
− | |
− | |
− | Katakri 2015 – Tietoturvan auditointityökalu viranomaisille, |
− | EU:n tietoturvaluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä (2013/488/EU) |
− | ISO/IEC 27002:2013 |