Bilaga 3

Personuppgift betyder i dataskyddsförordningen avsedda personuppgifter, som är alla uppgif- ter som ansluter sig till en identifierad eller identifierbar fysisk person.

Personuppgiftsbiträde

betyder en i dataskyddsförordningen avsedd handläggare av personuppgifter, som är en i förhållande till den personuppgiftsansvarige utomstående aktör, som behandlar personuppgifter för den personuppgiftsansvariges räkning. I denna bilaga används för personuppgiftsbiträdet benämningen serviceprodu- cent.

Serviceproducent betyder en serviceproducent eller serviceproducent som har godkänts till kom- munens register över servicesedelproducenter.

Personuppgiftsansvarig

betyder en i dataskyddsförordningen avsedd personuppgiftsansvarig, som fast- ställer ändamålen och medlen för behandlingen av personuppgifter. Kommunen är personuppgiftsansvarig.

Registrerad betyder en fysisk person som en personuppgift gäller.

Part betyder kommunen i egenskap av arrangör av servicesedeltjänsten och service- producenten i egenskap av dess producent.

Dataskydd betyder i dataskyddsförordningen och dataskyddslagen (1050/2018) avsett in- byggt dataskydd som tillämpas som standard.

Dataskyddsförordningen

betyder EU:s allmänna dataskyddsförordning (EU)2016/679.

Dataskyddsreglering betyder i dataskyddsförordningen och den nationella dataskyddslag (1050/2018) som kompletterar den avsedda regleringen samt på grundval av dessa träffade avgöranden av behöriga myndigheter.

Kommunala personuppgifter

betyder personuppgifter som kommunen svarar för i egenskap av personupp

-giftsansvarig.

2. Förbindelsens betydelse

Serviceproducenten förbinder sig till att i egenskap av kommunens servicesedelproducent i enlighet med den ansökan den gjort utföra behandlingen av personuppgifter och de uppgifter och åtgärder som gäller dataskydd i enlighet med denna förpliktelse.

Kommunen betalar inte serviceproducenten någon särskild ersättning för behandlingen av personupp- gifter.

3. Kontaktpersoner i dataskyddsangelägenheter

Serviceproducenten utser för kontakter i anslutning till kommunala personuppgifter ett dataskyddsom- bud eller en kontaktperson som ansvarar för dataskyddet. Kommunen utser en egen kontaktperson för angelägenheter med anknytning till dataskyddet.

Kommunens kontaktperson i dataskyddsangelägenheter Kimitoöns kommuns dataskyddsansvarig

Xxxxx Xxxxxxxx-Xxxxx xxxxx.xxxxxxxx-xxxxx@xxxxxxxx.xx tfn 040 751 9836

Serviceproducenten ska utan dröjsmål meddela kommunens kontaktperson om ändringar avseende kontaktpersonen.

4. Parternas roller i behandlingen av personuppgifter

Kommunen fungerar som personuppgiftsansvarig i enlighet med dataskyddsregleringen.

Serviceproducenten fungerar som personuppgiftsbiträde, som behandlar personuppgifter å kommu- nens vägnar och för dess räkning.

Kommunen svarar för att den i sin egen verksamhet iakttar dataskyddsregleringen och med alla skä- liga medel strävar efter att bidra till serviceproducentens möjligheter att handla i enlighet med denna bilaga.

5. Serviceproducentens skyldigheter

5.1. Serviceproducentens allmänna skyldigheter

Serviceprodcenten iakttar de gällande tillvägagångssätt som dataskyddsregleringen förutsätter och de stadganden, villkor i förbindelser och anvisningar av kommunen som gäller behandling och skydd av personuppgifter. Serviceproducenten svarar för att servicen är i enlighet med dataskyddsförordningen,

den dataskyddslagstiftning som kompletterar den och kraven i förbindelsen, med särskilt beaktande av det som stadgats om inbyggt dataskydd som tillämpas som standard.

Serviceproducenten förbinder sig att i syfte att säkerställa en säkerhetsnivå som svarar mot risken vidta adekvata tekniska och organisatoriska åtgärder för att säkerställa att säkerheten och de registre- rades rättigheter realiseras. Serviceproducenten ska härvid observera behandlingens och de behand- lade personuppgifternas karaktär, omfattning, sammanhang och syften samt de risker av varierande sannolikhet och allvar som är riktade mot den registrerades rättigheter och friheter. Syftet med de ovan nämnda åtgärderna är att säkerställa att personuppgifterna behandlas på ett lagligt sätt samt sä- kerställa konfidentialiteten, integriteten, tillgängligheten och motståndskraften hos behandlingssyste- men och tjänsterna, medräknat förmågan att snabbt återställa uppgifternas tillgänglighet och till- gången till uppgifterna när det inträffar ett fysiskt eller tekniskt fel.

Det som i denna förbindelse avtalas om behandlingen av personuppgifter gäller också möjliggörande av tillgång till de kommunala personuppgifterna exempelvis genom förmedling av en operativ och övervakningsförbindelse.

5.2. Omfattningen av behandlingen av personuppgifter

Serviceproducenten behandlar de kommunala personuppgifterna i det syfte och den omfattning som följer av föremålet för förbindelsen. Serviceproducenten behandlar eller utnyttjar inte på annat sätt de personuppgifter den behandlar på grundval av förbindelsen förutom i det syfte och den omfattning som följer av uppfyllandet av förbindelsen.

5.3. Beskrivning av behandlingsåtgärderna

Föremålet för behandlingen av personuppgifter, dess karaktär och syfte samt typerna av personupp- gifter och grupperna av registrerade samt den personuppgiftsansvariges och personuppgiftsbiträdets skyldigheter och rättigheter beskrivs i förbindelsen, den dokumentation som ansluter sig till den och i kommunens instruktioner samt i den beskrivning av behandlingsåtgärderna som utarbetas senast i början av den service som förbindelsen avser.

Serviceproducenten förbinder sig att iaktta villkoren och beskrivningarna i förbindelsen, dokumentat- ionen eller instruktionerna.

5.4. Den registrerades rättigheter

Serviceproducenten meddelar utan dröjsmål kommunen om alla begäranden av de registrerade, som gäller utövandet av en registrerads rättigheter.

Serviceproducenten biträder kommunen med adekvata tekniska och organisatoriska åtgärder för att kommunen ska kunna uppfylla sina skyldigheter att tillmötesgå begäranden, som gäller utövandet av en registrerads rättigheter. Begärandena kan exempelvis förutsätta att serviceproducenten assisterar den registrerade vad gäller information och kommunikation, förverkligandet av den registrerades rätt

till tillgång, korrigering eller radering av personuppgifter, genomförande av begränsning av behand- lingen eller dataportabilitet av den registrerades egna personuppgifter från ett system till ett annat. Serviceproducenten upprätthåller en förteckning över rättelser eller raderingar av registrerades per- sonuppgifter, såvida man inte avtalar annorledes. Förteckningen ska överlåtas till kommunen eller av kommunen angiven tredje man när kommunen begär detta. De ovan nämnda åtgärderna ingår i den service som är föremål för förbindelsen, såvida man inte har avtalat annat.

Serviceproducenten ska se till att de personuppgifter den behandlar är i ett sådant strukturerat, all- mänt använt och maskinläsbart format, att de automatiskt kan frigöras från serviceproducentens sy- stem för att överföras till ett annat system.

5.5. Begränsningar gällande utlämnande av personuppgifter

Serviceproducenten har beredskap att uppställa och hantera begränsningar gällande utlämnande av personuppgifter, som kan bero exempelvis på spärrmarkering. Serviceproducenten ska kunna be- gränsa behandlingen av en registrerads personuppgifter delvis eller helt på det sätt kommunen kräver. Begränsning av en registrerads personuppgifter får inte leda till begränsning av övriga registrerades personuppgifter, såvida inte serviceproducenten och kommunen särskilt avtalar om annat.

Serviceproducenten ska sörja för skyddet av uppgifter som är underkastade spärrmarkering samt att begränsningarna gällande utlämnande av andra eventuella uppgifter efterföljs.

5.6. Auditering

Serviceproducenten tillåter revisioner av kommunen eller av den befullmäktigad auditör samt deltar i dem. Auditering kan utföras en gång om året, om inte annat följer av överträdelse av förbindelsen från serviceproducentens sida eller av lagstiftningen.

Auditeringen ska utföras så att serviceproducentens övriga klienters dataskydd inte äventyras. Ser- viceproducenten svarar för att servicen och de datasystem som sammanhänger med den har doku- menterats på vederbörligt sätt för utförandet av auditeringen.

Kommunen svarar för kostnaderna för auditeringen. Om det i auditeringen uppdagas betydande bris- ter i serviceproducentens dataskyddsreglering eller vad gäller iakttagandet av förbindelsen, svarar ser- viceproducenten för kostnaderna för auditeringen.

Serviceproducenten ska utan dröjsmål korrigera de brister som uppdagades vid auditeringen, senast inom 30 dagar efter ett skriftligt meddelande av kommunen. Väsentliga brister ska korrigeras genast.

5.7. Uppgifter som kommunen behöver och konsekvensbedömning

Serviceproducenten sänder till kommunens förfogande på dess begäran alla de uppgifter som kom- munen behöver för att ådagalägga att de förpliktelser som stadgats för den personuppgiftsansvarige och serviceproducenten har följts.

Serviceproducenten förbinder sig att vid behov biträda kommunen i utarbetandet av konsekvensbe- dömningen avseende dataskyddet i enlighet med dataskyddsförordningen, eventuellt föregående samråd och anskaffandet av certifiering avseende dataskyddet. Om man inte har avtalat om att dessa åtgärder ska ingå i den tjänst som är föremål för förbindelsen, har serviceproducenten rätt att fakturera skäliga arbetskostnader högst till de personarbetspriser som avtalats i förbindelsen.

5.8. Register över behandling

Serviceproducenten förbinder sig att på kommunens begäran utarbeta ett register över behandlingen. Om man inte har avtalat om att dessa åtgärder ska ingå i den tjänst som är föremål för förbindelsen, har serviceproducenten rätt att fakturera skäliga arbetskostnader högst till de personarbetspriser som avtalats i förbindelsen.

6. Anvisningar gällande dataskyddet

Serviceproducenten följer i behandlingen av de kommunala personuppgifterna de villkor som avtalats i förbindelsen samt kommunens skriftliga anvisningar. Kommunen svarar för att anvisningarna upprätt- hålls och är tillgängliga. Serviceproducenten meddelar utan dröjsmål kommunen, om de anvisningar som kommunen gett är bristfälliga eller om serviceproducenten befarar att de är lagstridiga.

Kommunen har rätt att ändra, komplettera och uppdatera de anvisningar om behandlingen av person- uppgifter och om dataskyddet som den gett serviceproducenten. Serviceproducenten har rätt att faktu- rera skäliga arbetskostnader för genomförandet av ändringar högst till de personarbetspriser som av- talats i förbindelsen, om den arbetsmängd som genomförandet av ändringarna orsakar överskrider en

(1) personarbetsdag. Om ändringar i anvisningarna orsakar andra än smärre ändringar, som ansluter sig till de tjänster som avses i förbindelsen, avtalar man om dessa i enlighet med punkt 12 i bilagan.

7. Servicepersonalen

Serviceproducenten säkrar att alla under den lydande personer, som har rätt att behandla kommunala personuppgifter, har förbundit sig att följa de sekretessvillkor som avtalats i förbindelsen eller omfattas av lagstadgad tystnadsplikt.

Servicerpoducenten säkrar att alla under den lydande personer, som har tillgång till de kommunala personuppgifterna, är medvetna om sina förpliktelser i anslutning till behandlingen av personuppgifter och behandlar dem endast i enlighet med förbindelsen och kommunens anvisningar.

8. Underleverantörer och en gruppering som personuppgiftsbiträde

Underleverantörer som anlitas i enlighet med serviceproducentens förbindelse och denna bilaga och som deltar i behandlingen av kommunala personuppgifter, verkar som personuppgiftsbiträden å kom- munens vägnar och för dess räkning.

Serviceproducenten får för behandlingen av kommunala personuppgifter anlita en underleverantörs tjänster utan på förhand givet skriftligt tillstånd av kommunen. De underleverantörer som anlitas när förbindelsen börjar beskrivs i bilagan Beskrivning av behandlingsåtgärderna. Serviceproducenten ska på förhand skriftligen informera kommunen om alla sådana ändringar, som gäller utökning eller byte av de underleverantörer som behandlar personuppgifter och ge kommunen möjlighet att motsätta sig sådana ändringar.

Serviceproducenten ska skriftligen avtala med de underleverantörer som behandlar de kommunala underleverantörernas personuppgifter om att de för egen del förbinder sig att följa de förpliktelser som ålagts serviceproducenten samt de anvisningar kommunen utfärdat i anslutning till behandlingen av personuppgifter. Serviceproducenten ska säkra att kommunens på förbindelsen baserade rätt till audi- tering kan utsträckas till underleverantören.

Serviceproducenten ansvarar för en av denne anlitad underleverantörs andel såsom för sin egen. Ser- viceproducenten svarar för att underleverantören för sin del iakttar de förpliktelser som ålagts person- uppgiftsbiträde. Om kommunen på goda grunder anser att serviceproducentens underleverantör inte uppfyller sina dataskyddsförpliktelser, har kommunen rätt att kräva att serviceproducenten byter ut un- derleverantören.

När en gruppering är serviceproducent, gäller denna bilagas förpliktelser alla medlemmar i gruppe- ringen och grupperingsmedlemmarnas underleverantörer, som deltar i behandlingen av de kommu- nala personuppgifterna.

9. Platsen för behandlingen av personuppgifter

Serviceproducenten får inte överföra personuppgifter till ett land utanför EU eller EES, såvida man inte särskilt avtalat om detta. Om avtalsparterna avtalat att serviceproducenten får överföra de kommunala personuppgifterna till ett land utanför EU eller Europeiska ekonomiska samarbetsområdet, sörjer par- terna för att överföringen av personuppgifterna genomförs i enlighet med dataskyddsregleringen och gällande krav avseende överföringen av personuppgifter.

10. Personuppgiftsincidenter

Serviceproducenten bör utan onödigt dröjsmål och senast inom 36 timmar skriftligen meddela kommu- nen om en personuppgiftsincident. Meddelandet ska lämnas till adressen [Kompletteras] samt kom- munens kontaktperson i dataskyddsangelägenheter som anges i punkt 3. Dessutom förbinder sig ser- viceproducenten att meddela kommunen om övriga störnings- eller problemsituationer i servicen, vilka kan ha konsekvenser för de registrerades ställning och rättigheter. Meddelandet ska lämnas inom ovan nämnda tidsfrist, såvida man inte i förbindelsen eller dess bilagor har avtalat om en kortare tids- frist.

Serviceproducenten ska ge kommunen minst följande information om en personuppgiftsincident:

1) beskrivning av den inträffade personuppgiftsincidenten, inklusive kategorierna av vederbörande registrerade och deras uppskattade antal samt kategorierna av personuppgiftstyper och deras uppskattade antal med den exakthet som man har kännedom om dessa;

2) namnet på och kontaktuppgifterna till dataskyddsombudet eller någon annan ansvarig person, av vilken man kan få ytterligare information i saken;

3) beskrivning av personuppgiftsincidentens sannolika konsekvenser; och

4) beskrivning av de åtgärder som serviceproducenten föreslår och som denne redan har genomfört med anledning av personuppgiftsincidenten, och vid behov åtgärder för att lindra eventuella skadeverkningar.

Efter att ha upptäckt en personuppgiftsincident vidtar serviceproducenten utan dröjsmål åtgärder för att eliminera personuppgiftsincidenten och begränsa och korrigera dess konsekvenser. När en per- sonuppgiftsincident inträffar biträder serviceproducenten kommunen att göra den anmälan till tillsyns- myndigheten och lämna den information till den registrerade som avses i dataskyddsförordningens artiklar 33 och 34.

11. Kommunens meddelanden och reklamationer

Serviceproducenten förbinder sig att senast inom 72 timmar svara på kontakt av kommunen avseende anmälningar som gäller dataskyddet, reklamationer och andra meddelanden.

På meddelande om de personuppgiftsincidenter som avses i dataskyddsförordningen tillämpas de tidsfrister och det förfarande som anges i punkt 10.

12. Ändring av förbindelsen

Lagstiftningen om dataskyddet är i ett ändringsskede. Om det inträffar ändringar i lagstiftningen eller tolkningen av den och de föreskrifter, instruktioner och rekommendationer som gäller den och som på- verkar kommunens skyldigheter eller ansvar, kan parterna precisera och ändra denna förbindelse på ett sätt som svarar mot ändringarna. Ändringarna kan orsaka serviceproducenten tilläggskostnader.

Såvida inte annat har avtalats i förbindelsen, har serviceproducenten rätt att fakturera skäliga arbets- kostnader högst till de personarbetspriser som avtalats i förbindelsen, om det orsakas mer tilläggs- kostnader än en mängd som motsvarar en (1) personarbetsdag. I ett sådant fall uppgör serviceprodu- centen för kommunens godkännande en uppgiftsspecifik uppskattning av arbetsmängden innan arbe- tet utförs.

13. Behandlingen av personuppgifter upphör

Serviceproducenten får inte under förbindelseperioden radera personuppgifter som denne behandlar utan uttrycklig begäran av kommunen.

När förbindelsen eller den till den anslutna förpliktelsen för serviceproducenten att biträda upphör, re- turnerar serviceproducenten utan dröjsmål till kommunen alla de personuppgifter denne behandlat å kommunens vägnar i ett strukturerat, allmänt använt och maskinläsbart format. Serviceproducenten destruerar eventuella kopior och säkerhetskopior av personuppgifterna, om inte annat har avtalats.

Uppgifterna får inte raderas, om det i EU-regleringen, lagstiftningen eller med myndighetsföreskrift har

förutsatts att serviceproducenten lagrar personuppgifterna. Kommunen kan ge serviceproducenten noggrannare anvisningar.

14. Överträdelser av förbindelsen och ansvar

Om serviceproducenten försummar eller bryter mot denna förbindelse, tillämplig dataskyddsreglering eller annan lagstiftning, har serviceproducentens skadeståndsansvar förutom i förbindelsen fastställts även i tillämplig lagstiftning. Överträdelser av förbindelsen i anslutning till dataskyddet anses vara vä- sentlig överträdelse av förbindelsen.

Om part har betalat en registrerad ersättning för en skada som inträffat med anledning av brott mot dataskyddsregleringen, har denna part rätt att av den andra part som deltagit i samma behandling av uppgifterna uppbära den andel av den ersättning som betalats till den registrerade som svarar mot dennes skadeståndsansvar. En parts ansvar för skada som orsakats registrerad bestäms enligt arti- kel 82, punkt 4 i dataskyddsförordningen eller motsvarande bestämmelse i annan dataskyddslagstift- ning.

Om kommunen påförs i dataskyddsförordningens artikel 83 avsedd administrativ sanktionsavgift och avgiften kan anses bero på förfarande eller försummelse från serviceproducentens sida, är servicepro- ducenten skyldig att ersätta kommunen med ett belopp som svarar mot sanktionsavgiften.

Eventuella i förbindelsen eller annanstans avtalade ansvarsbegränsningar begränsar inte parts rätt att få ovan nämnda ersättningar av den andra parten.

15. Tillämplig lag

På förbindelsen tillämpas finsk lag med undantag för stadgandena gällande lagkonflikt i finsk lag.

16. Förbindelsens bilagor och handlingarnas tillämpningsordning

Förbindelsen och bilagorna kompletterar varandra. Om förbindelsehandlingarna är i konflikt sinsemel- lan, följs de i följande ordning:

Förbindelse

Bilaga 1 Beskrivning av personuppgifternas behandlingsåtgärder

Document Metadata

Table of Contents

Bilaga 3

Document Metadata