Contract
Dnr 2020/
Serviceproducenten iakttar de förfaringssätt som gällande dataskyddslagstiftning kräver samt bestämmelserna gällande behandling och skydd av personuppgifter.
Serviceproducenten ansvarar för att servicen är i enlighet med gällande dataskyddslagstiftning och avtalsvillkor, med särskilt beaktande av vad som föreskrivs om inbyggt dataskydd och dataskydd som standard.
Beställaren är den i dataskyddslagstiftningen avsedda personuppgiftsansvariga. Som personuppgiftsbiträde iakttar serviceproducenten de villkor som är bifogade till detta avtal gällande behandling av personuppgifter.
Om en avtalspart har betalat ersättning till den registrerade för skada som orsakats av ett brott mot dataskyddslagstiftningen, har denna avtalspart rätt att utan hinder av de avtalade ansvarsbegränsningarna av den andra avtalsparten som deltagit i samma databehandling driva in en andel som motsvarar dennes skadeståndsansvar av den ersättning som betalats till den registrerade. Avtalspartens ansvar för skada som orsakats den registrerade fastställs enligt artikel 82.4 i EU:s allmänna dataskyddsförordning eller motsvarande bestämmelser i någon annan dataskyddslagstiftning.
Serviceproducenten är bunden av gällande bestämmelser om sekretess- och tystnadsplikt i lag och förordningar samt bestämmelser om utlämnande av sekretessbelagd information.
Med sekretessbelagd information avses all sådan information som har fastställts som sekretessbelagd enligt lagen om offentlighet i myndigheternas verksamhet (621/1999) eller i någon annan lagstiftning, eller som avtalsparten har angett som sekretessbelagd.
Serviceproducenten ska hemlighålla exempelvis uppgifter om den civiltjänstpliktige tjänsteanvändarens hälsotillstånd samt sociala och ekonomiska förhållanden.
På uppkomna handlingar, deras förvaring och utlämnande tillämpas lagen om offentlighet i myndigheternas verksamhet (621/1999), EU:s allmänna dataskyddsförordning (EU) 2016/679, dataskyddslagen (1050/2018) och övriga gällande bestämmelser om behandling av personuppgifter samt de anvisningar som social- och hälsovårdsväsendet gett. Bestämmelserna om sekretessplikt gäller även efter att detta avtal och/eller arbetstagarens arbetsavtal har upphört.
Serviceproducenten ska behandla sekretessbelagda uppgifter endast i den utsträckning som krävs för att tillhandahålla tjänsten. Serviceproducenten förbinder sig att förvara och behandla sekretessbelagda uppgifter på ett sådant sätt att de endast förvaltas av de personer som har rätt till sekretessbelagda uppgifter och så att inte någon utomstående får tillgång till eller kännedom om dem eller kan undersöka dem.
Utlämnande av information till en myndighet eller någon annan aktör på grund av någon bestämmelse som förpliktar myndigheten anses inte vara ett brott mot sekretessplikten.
Serviceproducenten får inte använda anskaffningsavtalet eller köparens namn för marknadsföring utan Beställarens samtycke. Om inte annat avtalats får Serviceproducenten ändå använda anskaffningsavtalet som referensuppgift när denne ger offerter till en upphandlingsenhet som avses i upphandlingslagen.
Serviceproducenten ansvarar för att skydda den utrustning, de datakommunikationsanslutningar och lokaler som den använder mot datasäkerhetsrisker i enlighet med kraven i detta avtal.
Om det är tillåtet att överföra sekretessbelagd information via ett öppet datanätverk ska den datakommunikationsanslutning som används alltid vara krypterad.
Serviceproducenten följer god datahanteringspraxis i sin verksamhet och förbereder sig för avvikande händelser och de motåtgärder som dessa kräver och rapporterar till Beställaren om händelser och störningar som äventyrar säkerheten.
Med avseende på säkerhets- och återställningspraxis ansvarar serviceproducenten för att systemen när ett eventuellt maskinvarufel eller motsvarande inträffar kan återställas och konstrueras till en fungerande helhet inom en tidsfrist som man i förväg avtalat om systemspecifikt. Serviceproducenten ska ha en kontinuitets- och återhämtningsplan för de system som används och ett förfarande för att kommunicera störningar och därmed sammanhängande reparationsåtgärder.
Serviceproducenten ska säkerställa adekvat skydd av de uppgifter som behandlas i fall av oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt utlämnande eller åtkomst till personuppgifter.
Serviceproducenten ombesörjer bekämpning av skadlig programvara genom tidsenliga bekämpningsprogram som kontinuerligt underhålls samt korrigerar kända dataskyddsproblem eller -sårbarheter.
Serviceproducenten ansvarar för genomförande och dokumentering av datasäkerheten för de servrar och annan utrustning som finns i nätet.
Serviceproducenten är medveten om och godkänner att Beställaren eller de externa experter som Beställaren använder (inklusive tekniska experter och säkerhetsexperter) har rätt att auditera att Serviceproducenten uppfyller avtalsförpliktelserna i enlighet med detta avtal samt säkerhets- och kontinuitetsarrangemangen till de delar de berör tjänsteanvändaren. Serviceproducenten har rätt att på goda grunder neka till att en viss auditör används samt att kräva att auditören ingår ett sekretessavtal med Serviceproducenten. Anmälan om granskningen ska göras minst 30 dagar innan den genomförs. Beställaren ska lämna granskningsplanen i god tid före.
Serviceproducenten övervakar regelbundet och systematiskt genomförandet av den datasäkerhetsnivå som krävs enligt detta avtal i sin verksamhet, registrerar eventuella avvikelser och rapporterar dem omedelbart till Beställaren samt inleder korrigerande åtgärder så snart som möjligt. Beställaren följer upp genomförandet av tjänstens säkerhetsnivå i samarbete med Serviceproducenten.
Bilaga 1: VILLKOR FÖR BEHANDLING AV PERSONUPPGIFTER
1. Allmänt
1.1. Denna avtalsbilaga “Villkor för behandling av personuppgifter” är en del av 2461avtalet (Dnr 3944/04/2008 Spk5), nedan “Avtalet”, som Beställaren har gjort med Serviceproducenten.
1.2 I denna avtalsbilaga fastställs bindande för Beställaren och Serviceproducenten de avtalsvillkor beträffande behandling av personuppgifter och dataskydd, enligt vilka Serviceproducenten på uppdrag av Beställaren behandlar personuppgifter för Beställarens del. Serviceproducentens åtgärder och skyldigheter som beskrivs i dessa villkor berättigar inte till någon separat ersättning, om inte något annat har avtalats i dessa villkor.
2. Parternas roller vid behandling av personuppgifter
2.1. Vid behandling av personuppgifter är Beställaren personuppgiftsansvarig och Serviceproducenten är personuppgiftsbiträde (nedan även "handläggare"), om inte annat kommer av syftet med behandlingen av personuppgifter. Med “Beställarens personuppgifter” avses i dessa villkor de personuppgifter som Beställaren ansvarar för i egenskap av personuppgiftsansvarig.
2.2. I beskrivningen av Behandlingsåtgärderna i bilaga 1 till dessa villkor eller i någon annan instruktion för Beställaren beskrivs föremålet, karaktären och syftet för behandlingen av personuppgifter, typerna av personuppgifter och grupperna av registrerade samt den personuppgiftsansvariges och handläggarens skyldigheter och rättigheter. Serviceproducenten förbinder sig att följa de villkor och beskrivningar som anges i Avtalet, beskrivningen av behandlingsåtgärderna och instruktionen. Beställaren ansvarar för instruktionens underhåll och tillgänglighet.
2.3. Om beskrivningen av behandlingsåtgärderna enligt punkt 2.2 inte har gjorts eller om den är bristfällig upprättar eller kompletterar Beställaren vid behov beskrivningen av behandlingsåtgärderna i samarbete med Serviceproducenten.
3. Serviceproducentens allmänna skyldigheter
3.1. Serviceproducenten behandlar personuppgifter i enlighet med de instruktioner som ges i Avtalet och av Beställaren. Då en gruppering är Handläggare gäller skyldigheterna i denna avtalsbilaga alla medlemmar i grupperingen och de underleverantörer som grupperingen använder, som deltar i behandlingen av personuppgifter.
3.2. Serviceproducenten genomför adekvata tekniska och organisatoriska åtgärder, genom vilka den säkerställer att behandlingen av Beställarens personuppgifter sker i enlighet med kraven i avtalet och överenskommen praxis. Syftet med åtgärderna är att säkerställa laglig behandling av personuppgifter samt konfidentialitet, enhetlighet, tillgänglighet och feltolerans i behandlingssystemen och tjänsterna.
3.3. Serviceproducenten behandlar inte och utnyttjar inte heller på något annat sätt de personuppgifter som behandlas på basis av avtalet i annat syfte och annan omfattning än för att uppfylla avtalet.
3.4 . Serviceproducenten utser ett dataskyddsombud eller en kontaktperson som ansvarar för dataskyddet för kontakter i anslutning till Beställarens personuppgifter. Serviceproducenten meddelar Beställaren skriftligen om kontaktuppgifterna till dataskyddsombudet eller kontaktpersonen.
3.5. På Beställarens begäran ger Serviceproducenten Beställaren tillgång till alla uppgifter som Beställaren behöver för att visa att de skyldigheter som föreskrivits den personuppgiftsansvarige och Serviceproducenten iakttas, och på begäran deltar Serviceproducenten på överenskommet sätt i utförandet och upprätthållandet av de beskrivningar och andra dokument, såsom konsekvensbedömning, som ligger på Beställarens ansvar samt i utförandet av förhandssamråd i enlighet med dataskyddsförordningen. Serviceproducenten utför dessa uppgifter enligt de avtalade priserna, om inte annat avtalas.
3.6. Serviceproducenten ska utan dröjsmål meddela Beställaren om alla förfrågningar från de registrerade som gäller utnyttjandet av den registrerades rättigheter. Serviceproducenten svarar inte själv på dessa förfrågningar. Serviceproducenten bistår Beställaren så att Beställaren kan uppfylla sin skyldighet att besvara dessa förfrågningar. Förfrågningarna kan exempelvis förutsätta att Serviceproducenten bistår med information och kommunikation till den registrerade, genomförande av den registrerades rätt till tillgång, korrigering och radering av personuppgifter, genomförande av en begränsning av behandlingen eller överföring av den registrerades egna personuppgifter från ett system till ett annat. Om inte annat avtalats har Serviceproducenten rätt att fakturera Beställaren enligt de priser som avtalats i avtalet om assistansen medför extra kostnader för Serviceproducenten. Serviceproducenten är skyldig att i förväg informera Beställaren om eventuella extra kostnader som uppstår.
3.7. Serviceproducenten tillåter Beställaren eller av denne befullmäktigad auditör att utföra granskningarna och deltar i dem. Mer detaljerade villkor för granskningsförfarandet anges i avtalet.
4. Beställarens instruktioner
4.1. Serviceproducenten följer de villkor som avtalats i Avtalet och i dessa särskilda villkor samt Beställarens skriftliga instruktioner i behandlingen av Beställarens personuppgifter. Beställaren ansvarar för instruktionernas underhåll och tillgänglighet. Serviceproducenten meddelar Beställaren utan onödigt dröjsmål om de instruktioner Beställaren gett är bristfälliga eller om Serviceproducenten misstänker att de är olagliga.
4.2. Beställaren har rätt att ändra, komplettera och uppdatera de instruktioner om behandling av personuppgifter och dataskydd som denne gett till Serviceproducenten. Om ändringar i instruktionerna leder till andra än ringa ändringar i anslutning till de avtalade tjänsterna, avtalar man om deras inverkan i ett förfarande för förändringshantering enligt avtalet.
5. Servicepersonal
5.1. Serviceproducenten ger endast de personer tillgång till sekretessbelagd information som behöver sekretessbelagd information i sina arbetsuppgifter för att producera tjänsten.
5.2. Serviceproducenten ska säkerställa att alla underställda personer som har rätt att behandla Beställarens personuppgifter är bundna att iaktta de sekretessvillkor som avtalats i avtalet eller att de omfattas av en lagstadgad sekretessplikt.
5.3. Serviceproducenten ska se till att varje underställd person som har tillgång till Beställarens personuppgifter är medveten om sina skyldigheter i anslutning till behandlingen av personuppgifter och behandlar dem endast i enlighet med avtalet, dessa särskilda villkor och Beställarens instruktioner.
5.4. Serviceproducenten åtar sig att ge instruktioner och att tillhandahålla utbildning om korrekt behandling av sekretessbelagda uppgifter till personal med tillgång till sådana uppgifter.
6. Underleverantörer som behandlar personuppgifter
6.1. I den mån Serviceproducenten använder underleverantörer som behandlar personuppgifter i sin verksamhet, tillämpas på underleveransen utöver Avtalet de villkor som beskrivs i denna avtalsbilaga.
6.2. Om Serviceproducentens underleverantör behandlar Beställarens personuppgifter, kräver användandet av underleverantören skriftligt tillstånd från Beställaren i förväg.
6.3. Serviceproducenten ingår ett skriftligt avtal med underleverantören där den förbinder de underleverantörer som den använder att uppfylla de skyldigheter som ålagts Serviceproducenten i avtalet och Beställarens gällande instruktioner angående behandling av personuppgifter. Serviceproducenten ser till att Beställarens granskningsrätt enligt avtalet kan utsträckas till underleverantören.
6.4. Serviceproducenten ansvarar för sin underleverantörs andel såsom för sin egen. Serviceproducenten ansvarar för att underleverantören uppfyller de skyldigheter som ålagts personuppgiftsbiträdet. Om Beställaren skäligen anser att Serviceproducentens underleverantör inte fullföljer sina skyldigheter i fråga om dataskydd har Beställaren rätt att kräva att Serviceproducenten byter underleverantör .
6.5. Beställaren ska i förväg informeras om byte av underleverantör som är involverad i behandlingen av personuppgifter. I meddelandet ska det finnas en beskrivning av hur underleverantören behandlar Beställarens personuppgifter i enlighet med dataskyddslagstiftningen. Beställaren har rätt att av motiverade skäl invända mot den föreslagna underleverantören.
7.1. Om inte annat avtalats om var tjänsten tillhandahålls, har Serviceproducenten rätt att behandla Beställarens personuppgifter endast inom Europeiska ekonomiska samarbetsområdet. Vad som föreskrivs i avtalet och i dessa särskilda villkor avseende behandling av personuppgifter gäller även för åtkomst av Beställarens personuppgifter till exempel genom en förvaltnings- och kontrollanslutning.
7.2. Om parterna kommer överens om att Serviceproducenten får överföra Beställarens personuppgifter utanför det Europeiska ekonomiska samarbetsområdet, ska parterna se till att överföringen av personuppgifter sker i enlighet med lagstiftningen.
8.2. Serviceproducenten ska ge Beställaren minst följande information om dataintrånget:
i. en beskrivning av det skedda dataintrånget, inklusive ifrågavarande grupper av registrerade och uppskattade antal samt grupperna av personuppgiftstyper och uppskattade antal med den noggrannhet som man känner till,
ii. namn och kontaktuppgifter till dataskyddsombudet eller någon annan ansvarig person som kan ge ytterligare information om saken,
iii. en beskrivning av de sannolika följderna av dataintrånget och
iv. en beskrivning av de åtgärder som Serviceproducenten föreslår eller som redan vidtagits på grund av dataintrånget, och vid behov åtgärder för att mildra eventuella negativa effekter.
8.3. När ett dataintrång i anslutning till personuppgifter har upptäckts ska Serviceproducenten omedelbart inleda de avtalade åtgärderna för att eliminera dataintrånget samt korrigera och begränsa dess effekter.
9. Avslutande av behandling av personuppgifter
9.1. Under avtalets giltighetstid får Serviceproducenten inte radera personuppgifter som denne behandlar för Beställarens räkning utan Beställarens uttryckliga begäran.
9.2. När avtalet upphör eller hävs returnerar Serviceproducenten till Beställaren alla personuppgifter som denne behandlat för Beställarens räkning samt förstör eventuella kopior av personuppgifterna från sina egna arkiv, om inget annat har avtalats. Uppgifter får inte raderas om det i lagstiftningen eller en myndighetsorder krävs att Serviceproducenten förvarar personuppgifterna.
Bilaga 2: BESKRIVNING AV BEHANDLINGSÅTGÄRDER
1. Parterna
Beställare:
Serviceproducent: Civiltjänstcentralen
2. Dokumentets syfte
Beställaren har ingått ett Avtal med Serviceproducenten som gäller en sådan tjänst där Serviceproducenten fungerar som personuppgiftsbiträde för ett personregister som upprätthålls av Beställaren.
I detta dokument beskrivs de behandlingsåtgärder som Serviceproducenten som personuppgiftsbiträde gör för Beställarens del, typerna av personuppgifter samt de personuppgifter som behandlas. Detta dokument bifogas till Avtal nr 2461 som bilaga nr 2. I behandlingen av personuppgifter ska Avtalet mellan Serviceproducenten och Beställaren samt Beställarens instruktioner iakttas.
3. Typer av personuppgifter och kategorier av registrerade
Parterna har kommit överens om att Serviceproducenten för Beställarens del behandlar följande personuppgifter som hör till personregistret för tjänsteanvändare för att producera den service som avtalats i Avtalet.
• tjänsteanvändarens namn och kontaktuppgifter
• X [instruktion: ange här de uppgifter som räknas upp i beslutet om användarrätt, som antecknas i registret samt vilka andra av tjänsteanvändarnas personuppgifter Serviceproducenten behandlar, till exempel hurdana uppgifter i anslutning till tjänsteanvändarens kundförhållande, utbildning eller arbetshistoria]
4. Behandlingens karaktär och syfte
Parterna har avtalat om att Serviceproducenten producerar utbildningstjänster för Beställaren och för Beställarens räkning behandlar sådana uppgifter om tjänsteanvändarna som är nödvändiga på det sätt som avses i 90 § 1 mom. i civiltjänstlagen (1446/2007) för skötsel av uppgifter som avses i 87 § i civiltjänstlagen (1446/2007).
5. Varaktigheten av behandlingen av personuppgifter
Serviceproducenten behandlar de personuppgifter som specificeras i denna bilaga under avtalsperioden, om inte annat avtalats.