TIETOSUOJALIITE

TIETOSUOJALIITE

1. SOPIJAOSAPUOLET

Tämä tietosuojaliite (”Tietosuojaliite”) koskee henkilötietojen käsittelyä ja on osa Kotkan Työterveys Oy:n (”Palveluntuottaja”) ja yritysasiakas (”Asiakas”) välillä allekirjoitettua työterveyspalveluita koskevaa sopimusta (”Sopimus”).

Palvelun tuottaja: Xxxxxx Xxxxxxxxxx Oy

Osoite: Ruukinkatu 5

48100 Kotka

Y-tunnus: 0159928-9

2. SOVELTAMINEN JA TARKOITUS

Näitä tietosuojaliitteen ehtoja sovelletaan, kun Palveluntuottaja käsittelee Henkilötietoja terveyshuollon palveluita tuottaessaan sopijapuolten välisen sopimuksen perusteella.

Tämän Tietosuojaliitteen tarkoituksena on varmistaa Palveluntuottajan käsittelemien Asiakkaan Henkilötietojen tietoturvan ja tietosuojan periaatteet ja ehdot, joita Palveluntuottaja sitoutuu noudattamaan tuottaessaan Palveluita Asiakkaalle.

3. MÄÄRITELMÄT

i) Henkilötieto tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella.

ii) Henkilötietojen käsittelijä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee Henkilötietoja rekisterinpitäjän lukuun.

iii) Käsittely tarkoittaa toimintoa tai toimintoja, joita toimittaja tekee asiakkaan lukuun sopijapuolten välisen sopimuksen perusteella ja joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, tai muuta tietosuojalainsäädännössä määriteltyä henkilötietojen käsittelyä.

iv) Rekisterinpitäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, tai muuta tietosuojalainsäädännössä määriteltyä rekisterinpitäjää.

v) Tietosuojalainsäädäntö tarkoittaa Euroopan unionin yleistä tietosuoja-asetusta (679/2016) ja muita soveltuvia tietosuojasäännöksiä sekä tietosuojaviranomaisten määräyksiä ja ohjeita.

4. YLEISET OIKEUDET JA VELVOLLISUUDET HENKILÖTIETOJEN KÄSITTELYSSÄ

i) Palveluntuottajan ja Palveluntuottajan henkilöstön tulee käsitellä Henkilötieto soveltuvan Tietosuojalainsäädännön mukaisesti sekä sopijapuolten Sopimuksen ja Asiakkaan Palveluntuottajalle toimittamien kirjallisen ohjeiden mukaisesti ja vain siltä osin ja siten kuin on tarpeellista Palveluiden toimittamiseksi.

ii) Palveluntuottaja ilmoittaa heti Asiakkaalle, jos se huomaa, että Asiakkaan ohjeistus on puutteellinen tai se rikkoo Euroopan unionin yleistä tietosuoja-asetusta tai muuta Tietosuojalainsäädäntöä.

iii) Palveluntuottaja ylläpitää Tietosuoja-asetuksen mukaista selostetta suoritettavista Henkilötietojen käsittelytoimista.

iv) Asiakkaan on Rekisterinpitäjänä tehtävä tarvittavat toimenpiteet varmistaakseen, että Palveluntuottajalle siirrettävien Henkilötietojen käsittely on Asiakkaan osalta Tietosuojalainsäädännön mukaista.

v) Palveluntuottajan tulee viipymättä Asiakkaan pyynnöstä tarjota Asiakkaalle kaikki sellaiset tiedot, jotka Asiakas saattaa tarvita täyttääkseen rekisteröityjen oikeudet, sisältäen pääsyoikeudet, tai noudattaakseen tietosuojaviranomaisten vaatimuksia tai ohjeistusta.

vi) Palveluntuottaja ilmoittaa viipymättä Asiakkaalle kaikista rekisteröityjen, tietosuojavaltuutetun tai muun viranomaisen vaatimuksista ja tiedusteluista.

Palveluntuottajalla on oikeus veloittaa näistä tehtävistä sopijapuolten Sopimuksen mukaisesti, tai jos hintaa ei ole sovittu Palveluntuottajan yleisen hinnaston mukaisesti.

5. KUVAUS HENKILÖTIETOJEN KÄSITTELYSTÄ

Henkilötietojen käsittelyn sisältö:

i) Palveluntuottaja käsittelee Henkilötietoja Sopimuksen mukaisen palvelun tuottamiseksi Asiakkaan asiakasorganisaatiolle ja sen henkilöstölle.

ii) Henkilötiedot koostuvat Asiakkaan asiakasorganisaatioiden henkilöstön henkilö- ja yhteystiedoista sekä terveystiedoista

iii) Palveluntuottaja sitoutuu käsittelemään henkilötietoja tietosuoja- ja tietoturvakäytänteiden mukaisesti muutoksineen mm. käyttöoikeushallinta, suojattu tietoliikenneyhteys ja potilashallinnon tietojen varmistaminen.

6. HENKILÖTIETOJEN SIJAINTI

Palveluntuottajalla on oikeus palvelun tuottamista varten siirtää henkilötietoja Euroopan unionin tai Euroopan talousalueen sisällä. Asiakkaalla on oikeus, milloin tahansa saada Palveluntuottajalta tiedot henkilötietojen käsittelyn sijainnista.

7. AUDITOINNIT

i) Asiakkaalla tai tämän valtuuttamalla auditoijalla on oikeus tarkastaa Henkilötietojen käsittelyä koskevien Palveluntuottajan velvollisuuksien noudattamisen arvioidakseen Palveluntuottajan ja sen alihankkijoiden näiden erityisehtojen velvoitteiden sekä Sopimuksen muiden Henkilötietojen käsittelyä koskevien velvoitteiden noudattamista.

ii) Palveluntuottaja takaa Asiakkaalle Tietosuojalainsäädännön edellyttämät oikeudet Palveluntuottajan alihankkijoiden auditointiin.

iii) Mahdolliset Asiakkaan suorittamat tarkastukset eivät rajoita Palveluntuottajaa tai sen alihankkijoiden näiden erityisehtojen tai Sopimuksen mukaisia velvollisuuksia ja vastuita.

iv) Kumpikin sopijapuoli vastaa omalta osaltaan tarkastuksista aiheutuvista kustannuksista.

8. TIETOTURVA

i) Palveluntuottajan tulee tehdä asianmukaiset tekniset ja organisatoriset toimenpiteet torjuakseen ja ehkäistäkseen Henkilötietojen luvattoman ja laittoman käsittely sekä torjuakseen Henkilötietojen tahattoman katoamisen, muutoksen, tuhoutumisen tai vahingoittumisen.

ii) Palveluntuottajan tulee varmistaa, että Henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitovelvollisuuteen tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus ja että Henkilötietoja käsitellään ainoastaan työtehtävien yhteydessä sovituissa käyttötarkoituksessa.

iii) Palveluntuottajan tulee pitää yllä sähköistä selostetta ja käyttölokia kaikesta Sopimuksen ja tämän Tietosuojaliitteen mukaan suorittamastaan Henkilötietojen käsittelystä.

iv) Palveluntuottaja ilmoittaa Asiakkaalle ilman aiheetonta viivästystä, viimeistään 36 tunnin kuluessa, kirjallisesti kaikista Henkilötietoihin kohdistuneista tietoturvaloukkauksista ja muista tapahtumista, joiden perusteella Asiakkaan lukuun käsiteltyjen Henkilötietojen tietoturvallisuus on vaarantuntu, tai kun Palveluntuottajalla on syytä uskoa, että tietoturva on voinut vaarantua. Asiakkaan pyynnöstä Palveluntuottajan tulee tarjota Asiakkaalle kaikki asiaankuuluva tietoturvaloukkaukseen liittyvä tieto.

Palveluntuottajan tulee myös ilmoittaa Asiakkaalle tietoturvaloukkauksen johdosta tehdyt toimenpiteet.

Jos Palveluntuottajaa velvoittavasta lainsäädännöstä ei muuta johdu, Palveluntuottajan tietoturvaloukkausta koskeva ilmoitus Asiakkaalle sisältää vähintään:

(1) kuvaus tietoturvaloukkauksen luonteesta,

(2) tietoturvaloukkauksen kohteena olleiden tietojen yksilöiminen,

(3) jos tieturvaloukkauksen kohde sisältää Henkilötietoja, kyseisten henkilöryhmien kuvaus ja vaikutuksen alaisten henkilöiden kokonaislukumäärä,

(4) kuvaus korjaavista toimenpiteistä, jotka Toimittaja on suorittanut tai suorittaa tietoturvaloukkausten ennaltaehkäisemiseksi jatkossa,

(5) kuvaus tietoturvaloukkauksen aiheuttamista seurauksista, ja

(6) kuvaus toimittajan suorittamista toimista tietosuojaloukkauksen haittavaikutusten minimoimiseksi.

v) Palveluntuottajan on dokumentoitava kaikki tietoturvaloukkaukset, mukaan lukien kuhunkin tietoturvaloukkaukseen liittyvät seikat, vaikutukset ja tehdyt korjaavat toimenpiteet.

9. KOLMANSIEN OSAPUOLIEN KÄYTTÄMIEN TIETOJEN KÄSITTELYSSÄ

i) Ellei kirjallisesti ole toisin sovittu, Palveluntuottajalla on oikeus käyttää toista tietojen käsittelijää alihankkijanaan Henkilötietojen käsittelyssä. Palveluntuottaja tiedottaa kirjallisen pyynnön perusteella Asiakkaalle kirjallisesti käyttämänsä alihankkijat.

ii) Palveluntuottajan käyttäessä alihankkijaa Henkilötietojen käsittelyyn, seuraavat ehdot soveltuvat:

(1) sanottua toimeksiantoa säädellään kirjallisella sopimuksella; ja

(2) kirjallinen sopimus velvoittaa alihankkijan noudattamaan samoja velvollisuuksia ja sitoutuksia, jotka tämän Sopimuksen ja Tietosuojalainsäädännön mukaan soveltuvat Palveluntuottajaan.

iii) Palveluntuottaja vastaa alihankkijoiden toimista ja laiminlyönneistä suhteessa Asiakkaaseen.

10. HENKILÖTIETOJEN KÄSITTELY, POISTAMINEN JA PALAUTTAMINEN

i) Palveluntuottajan on pidettävä Henkilötiedot luottamuksellisina. Palveluntuottajalla ei ole oikeutta käyttää, käsitellä, paljastaa tai siirtää Henkilötietoja taikka hankkia pääsyä kolmannelle osapuolelle Sopimuksen voimassaolon aikana tai sen jälkeen, ellei tästä ole nimenomaan sovittu Asiakkaan kanssa kirjallisesti.

ii) Sopimuksen irtisanomisen tai voimassaolon päättymisen jälkeen Palveluntuottaja Asiakkaan valinnan mukaan joko poistaa kaikki Asiakkaan puolesta käsitellyt Henkilötiedot tai palauttaa ne Asiakkaalle, sekä poistaa kaikki varmuuskopiot niistä, elleivät lainsäädännössä edellytetä Palveluntuottajaa säilyttämään Henkilötiedot ja ilmoitettava Asiakkaalle kirjallisesti, kun näin on tehty.

Jos Asiakas ei pyydä käsiteltyjen Henkilötietojen poistamista tai palauttamista, Palveluntuottaja säilyttää Asiakkaan puolesta käsitellyt Henkilötiedot kuusi (6) kuukautta Sopimuksen päättymisestä, minkä jälkeen Palveluntuottajan tulee poistaa kaikki kopiot niistä, ellei lainsäädännössä edellytetä Palveluntuottajaa säilyttämään Henkilötiedot.

11. OSAPUOLTEN KORVAUSVASTUU

Tietosuojalainsäädännössä asetetun velvoitteen noudattamisen laiminlyönyt osapuoli on velvollinen suorittamaan valvontaviranomaisen tai tuomioistuimen päätöksen mukaiset hallinnolliset sanktiot, rikosseuraamukset tai vahingonkorvaukset.