Liite 2 Tietosuojasopimus ja käsittelytoimien kuvaus
Liite 2 Tietosuojasopimus ja käsittelytoimien kuvaus
Sopijaosapuolet
Hämeenkyrön kunta ja Palveluntuottaja
Tietosuojasopimuksen taustaa
Tämä sopimus koskee kaikkia palvelusetelituottajien yksiköitä, jotka Hämeenkyrön kunta on hyväksynyt varhaiskasvatuksen palveluseteliyksiköksi.
Sääntökirjaehdot:
Palveluntuottaja noudattaa voimassa olevan tietosuojalainsäädännön edellyttämiä menettelytapoja ja henkilötietojen käsittelyä ja suojaamista koskevia säännöksiä. Palveluntuottaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön ja sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.
Hämeenkyrön kunta on Rekisterinpitäjä. Palveluntuottaja noudattaa henkilötietojen Käsittelijänä sääntökirjassa olevien ehtojen lisäksi tässä tietosuojasopimuksessa olevia ehtoja.
[Vastuunrajoitusehto] Jos sopijapuoli on maksanut rekisteröidylle korvauksen tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, on tällä sopijapuolella oikeus sovittujen vastuunrajoitusten rajoittamatta periä samaan tietojenkäsittelyyn osallistuneelta toiselta sopijapuolelta tämän vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Sopijapuolen vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan.
Henkilötietojen käsittelyn ehdot
1. Yleistä
1.1. Tämä tietosuojasopimus/Henkilötietojen käsittelyn ehdot ovat osa varhaiskasvatuksen palvelusetelituottajaksi hyväksymistä.
1.2. Tässä tietosuojasopimuksessa määritellään Rekisterinpitäjää ja Palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat ehdot, joiden mukaisesti Palveluntuottaja Rekisterinpitäjän toimeksiannosta käsittelee henkilötietoja Rekisterinpitäjän puolesta. Näissä ehdoissa
kuvatuista Palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.
2. Osapuolten roolit henkilötietojen käsittelyssä
2.1. Käsiteltäessä henkilötietoja Hämeenkyrön kunta on Rekisterinpitäjä ja Palveluntuottaja on henkilötietojen Käsittelijä (jäljempänä myös ”Käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. Henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Hämeenkyrön kunta vastaa Rekisterinpitäjänä.
2.2. Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä Rekisterinpitäjän ja Käsittelijän velvollisuudet ja oikeudet kuvataan näiden ehtojen liitteessä 1 olevassa Käsittelytoimien kuvauksessa tai muussa Rekisterinpitäjän ohjeistuksessa. Palveluntuottaja sitoutuu noudattamaan varhaiskasvatuksen palvelusetelin sääntökirjassa,
käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Rekisterinpitäjä vastaa ohjeistuksen ylläpidosta ja saatavuudesta.
2.3. Jos kohdan 2.2 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Rekisterinpitäjä laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Palveluntuottajan kanssa.
3. Palveluntuottajan yleiset velvollisuudet
3.1. Palveluntuottaja käsittelee henkilötietoja sääntökirjan ja Rekisterinpitäjän antamien ohjeiden mukaisesti. Ryhmittymän ollessa käsittelijänä tämän sääntökirjaliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen
käsittelyyn.
3.2. Palveluntuottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että rekisterinpitäjän henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys,
saatavuus ja vikasietoisuus.
3.3. Palveluntuottaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.
3.4. Palveluntuottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön rekisterinpitäjän henkilötietoihin liittyviä yhteydenottoja varten. Palveluntuottaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot rekisterinpitäjälle.
3.5. Palveluntuottaja saattaa rekisterinpitäjän saataville tämän pyynnöstä kaikki tiedot, jotka rekisterinpitäjä tarvitsee rekisterinpitäjälle ja palveluntuottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla rekisterinpitäjän vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Palveluntuottaja tekee nämä tehtävät sääntökirjan mukaisilla hinnoilla, ellei toisin sovita.
3.6. Palveluntuottaja ilmoittaa rekisterinpitäjälle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palveluntuottaja ei itse vastaa näihin pyyntöihin. Palveluntuottaja avustaa rekisterinpitäjää, jotta rekisterinpitäjä pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää palveluntuottajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen. Ellei toisin ole sovittu, palveluntuottajalla on oikeus laskuttaa rekisterinpitäjää sopimuksessa
sovituilla hinnoilla, jos avustaminen aiheuttaa lisäkuluja palveluntuottajalle. Palveluntuottaja on velvollinen ennakolta ilmoittamaan rekisterinpitäjälle mahdollisesti aiheutuvista lisäkuluista.
3.7. Palveluntuottaja sallii rekisterinpitäjän tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin. Tarkastusmenettelyä koskevat tarkemmat ehdot ovat sopimuksessa.
4. Rekisterinpitäjän ohjeet
4.1. Palveluntuottaja noudattaa rekisterinpitäjän henkilötietojen käsittelyssä sopimuksessa ja näissä erityisehdoissa sovittuja ehtoja sekä rekisterinpitäjän kirjallisia ohjeita. Rekisterinpitäjä vastaa ohjeiden ylläpidosta ja saatavuudesta. Palveluntuottaja ilmoittaa ilman aiheetonta viivytystä rekisterinpitäjälle, jos rekisterinpitäjän antamat ohjeet ovat puutteellisia tai jos palveluntuottaja epäilee niitä lainvastaisiksi.
4.2. Rekisterinpitäjällä on oikeus muuttaa, täydentää ja päivittää Palveluntuottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden
muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä muita kuin vähäisiä muutoksia, niiden vaikutuksesta
sovitaan sopimuksen mukaisessa muutoshallintamenettelyssä.
5. Palveluhenkilöstö
5.1. Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä rekisterinpitäjän henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.
5.2. Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy rekisterinpitäjän henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja rekisterinpitäjän ohjeiden mukaisesti.
6. Alihankkijat, jotka käsittelevät henkilötietoja
6.1. Siltä osin kuin palveluntuottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan sopimuksen lisäksi tässä sääntökirjaliitteessä kuvattuja ehtoja.
6.2. Jos palveluntuottajan alihankkija käsittelee rekisterinpitäjän henkilötietoja, alihankkijan käyttäminen edellyttää rekisterinpitäjän ennakkoon kirjallisesti antamaa lupaa.
6.3. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa palveluntuottajalle asetettuja velvoitteita sekä rekisterinpitäjän antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että rekisterinpitäjän tarkastusoikeus voidaan
ulottaa alihankkijaan.
6.4. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palveluntuottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen Käsittelijälle asetettuja velvoitteita. Jos rekisterinpitäjä perustellusti katsoo, että palveluntuottajan alihankkija ei täytä
tietosuojavelvoitteitaan, Rekisterinpitäjällä on oikeus vaatia Palveluntuottajaa vaihtamaan alihankkijaa.
6.5. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava rekisterinpitäjälle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee rekisterinpitäjän henkilötietoja tietosuojalainsäädännön mukaisesti. Rekisterinpitäjällä on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa.
7. Palvelun paikka
7.1. Ellei palvelun tuottamispaikasta ole toisin sovittu, palveluntuottajalla on oikeus käsitellä rekisterinpitäjän henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityisehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Rekisterinpitäjän
henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.
7.2. Jos sopijapuolet sopivat, että Palveluntuottajaa saa siirtää Rekisterinpitäjän henkilötietoja Euroopan talousalueen ulkopuolelle, sopijapuolet huolehtivat siitä, että henkilötietojen siirto toteutetaan lainsäädännön mukaisesti.
8. Tietoturvaloukkaukset
8.1. Palveluntuottajan on ilmoitettava rekisterinpitäjälle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Lisäksi palveluntuottaja sitoutuu ilmoittamaan rekisterinpitäjälle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.
8.2. Palveluntuottajan on annettava rekisterinpitäjälle vähintään seuraavat tiedot tietoturvaloukkauksesta:
i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;
ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;
iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja
iv. kuvaus toimenpiteistä, joita Palveluntuottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
8.3. Henkilötietojen tietoturvaloukkauksen havaittuaan palveluntuottaja ryhtyy viipymättä sopimuksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.
9. Henkilötietojen käsittelyn päättyminen
9.1. Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa rekisterinpitäjän lukuun käsittelemiään henkilötietoja ilman Rekisterinpitäjän nimenomaista pyyntöä.
9.2. Sopimuksen päättyessä tai purkautuessa Palveluntuottaja palauttaa Rekisterinpitäjälle kaikki Rekisterinpitäjän puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Palveluntuottaja säilyttää henkilötiedot.
KÄSITTELYTOIMIEN KUVAUS
1. Osapuolet
Rekisterinpitäjä: Kunta
Käsittelijä: Palvelusetelipalveluntuottaja
Hyväksyessään päivitetyn palvelusetelisääntökirjan osapuolet sitoutuvat tähän Tietosuojasopimukseen, jonka tarkoituksena on sopia Osapuolten vastuista Rekisterinpitäjän myöntämällä varhaiskasvatuksen palvelusetelillä yksityiseen palvelusetelipäiväkotiin hyväksytyn lapsen ja hänen vanhempiensa tietojen käsittelystä.
2. Dokumentin tarkoitus
Palveluntuottajan on hyväksytty tuottamaan sellaista palvelua, jossa Palveluntuottaja toimii kunnan ylläpitämään henkilörekisteriin kuuluvien henkilötietojen Käsittelijänä. Tässä dokumentissa kuvataan käsittelytoimet, joita palveluntuottaja henkilötietojen Käsittelijänä tekee Rekisterinpitäjän puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Henkilötietojen käsittelyssä on noudatettava Sääntökirjaa varhaiskasvatuksen palvelusetelipalvelujen tuottamisesta sekä Rekisterinpitäjän ohjeita.
3. Henkilötietojen tyypit ja rekisteröityjen ryhmät
Osapuolet ovat sopineet, että Palveluntuottaja käsittelee Rekisterinpitäjän puolesta sovitun palvelun tuottamiseksi seuraavia Asiakkaan henkilörekisteriin kuuluvia henkilötietoja.
- Lasten ja vanhempien tiedot.
4. Käsittelyn luonne ja tarkoitus
Osapuolet ovat sopineet, että palveluntuottajan palveluksessa olevat ammattihenkilöt käsittelevät asiakkaiden henkilötietoja. Käytettävät tietojärjestelmä on Rekisterinpitäjän osoittama ja lisäksi palveluntuottaja voi käyttää muuta valitsemaansa luotettavaa järjestelmää, mikäli siihen on tarvetta.
5. Henkilötietojen käsittelyn kesto
Palveluntuottaja käsittelee tässä liitteessä yksilöityjä henkilötietoja 1.8.2024 alkaen palvelusetelitoiminnan päättymiseen saakka.
6. Yhteyshenkilö
Käsittelijän henkilötietojen tietosuoja-asioiden yhteyshenkilönä toimivien yhteystiedot toimitetaan kuntakohtaisesti molempien osapuolten toimesta.