Tietosuojasopimus

 

1.Yleistä

 

Tässä asiakirjassa sovitaan henkilötietojen käsittelystä sellaisissa tapauksissa, joissa palvelusetelituottaja käsittelee Turun kaupungin hyvinvointitoimialan (myöh. myös kaupunki) henkilötietoja kaupungin puolesta. Tämän sopimuksen ehtojen noudattamisen lisäksi liitteenä on käsittelytoimien kuvauksen, josta käy ilmi, mitä henkilötietoja käsitellään, miten ja mihin tarkoitukseen; Liite, Käsittelytoimien kuvaus.

 

Turun kaupungin hyvinvointitoimiala on rekisterinpitäjä. Palveluntuottaja noudattaa henkilötietojen käsittelijänä tämän sopimuksen liitteenä olevia ehtoja henkilötietojen käsittelystä.

 

Tässä liitteessä määritellään kaupungin ja palvelusetelituottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat ehdot, joiden mukaisesti Palveluntuottaja kaupungin toimeksiannosta käsittelee henkilötietoja kaupungin puolesta. Näissä ehdoissa kuvatuista palvelusetelituottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.

 

Henkilötietojen käsittelyn osalta noudatetaan ensisijaisesti tätä Tietosuojasopimusta, mikäli saman toimittajan kanssa oleva muu sopimus on ristiriidassa tämän Tietosuojasopimuksen ehtojen kanssa.

 

Palvelusetelituottaja noudattaa voimassa olevan tietosuojalainsäädännön edellyttämiä menettelytapoja ja henkilötietojen käsittelyä ja suojaamista koskevia säännöksiä. Palvelusetelituottaja vastaa siitä, että palvelu on kulloinkin voimassa olevan tietosuojalainsäädännön ja sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä sisäänrakennetusta ja oletusarvoisesta tietosuojasta on säädetty.

 

Jos sopijapuoli on maksanut rekisteröidylle korvauksen tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, on tällä sopijapuolella oikeus sovittujen vastuunrajoitusten rajoittamatta periä samaan tietojenkäsittelyyn osallistuneelta toiselta sopijapuolelta tämän vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Sopijapuolen vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan.

 

2.Osapuolten roolit henkilötietojen käsittelyssä

 

Käsiteltäessä henkilötietoja Turun kaupungin hyvinvointitoimiala on rekisterinpitäjä ja palvelusetelituottaja henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Turun kaupungin hyvinvointitoimialan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista kaupunki vastaa rekisterinpitäjänä.

Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan näiden ehtojen liitteenä olevassa Käsittelytoimien kuvauksessa tai sääntökirjassa. Palvelusetelituottaja sitoutuu noudattamaan sääntökirjassa ja käsittelytoimien kuvauksessa olevia ehtoja ja kuvauksia. Turun kaupungin hyvinvointitoimiala vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

 

3.Palvelusetelituottajan yleiset velvollisuudet

 

Palvelusetelituottaja käsittelee henkilötietoja sääntökirjan ja kaupungin antamien ohjeiden mukaisesti. Ryhmittymän ollessa käsittelijänä tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

 

Palvelusetelituottaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että kaupungin henkilötietojen käsittely tapahtuu sääntökirjan ja sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.

 

Palvelusetelituottaja ei käsittele eikä muulla tavoin hyödynnä käsittelemiään henkilötietoja muutoin kuin asiakkaan palveluiden mukaisessa tarkoituksessa ja laajuudessa.

Palvelusetelituottaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön kaupungin henkilötietoihin liittyviä yhteydenottoja varten. Nimettyjen henkilöiden yhteystiedot on merkitty omavalvontasuunnitelmaan.

 

Palvelusetelituottaja saattaa kaupungin saataville tämän pyynnöstä kaikki tiedot, jotka kaupunki tarvitsee rekisterinpitäjälle ja palvelusetelituottajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla kaupungin vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen.

 

Palvelusetelituottaja ilmoittaa kaupungille viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Palvelusetelituottaja ei itse vastaa näihin pyyntöihin. Palvelusetelituottaja avustaa kaupunkia, jotta kaupunki pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää palvelusetelituottajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa.

 

Palvelusetelituottaja sallii kaupungin tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin.

 

 

4.Kaupungin ohjeet

 

Palvelusetelituottaja noudattaa kaupungin henkilötietojen käsittelyssä sääntökirjassa ja näissä erityisehdoissa sovittuja ehtoja sekä muita mahdollisia kaupungin kirjallisia ohjeita. Kaupunki vastaa ohjeiden ylläpidosta ja saatavuudesta. Palvelusetelituottaja ilmoittaa ilman aiheetonta viivytystä kaupungille, jos kaupungin antamat ohjeet ovat puutteellisia tai jos palvelusetelituottaja epäilee niitä lainvastaisiksi.

 

Kaupungilla on oikeus muuttaa, täydentää ja päivittää palvelusetelituottajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu muita kuin vähäisiä muutoksia, niiden vaikutuksesta sovitaan erikseen.

 

5.Palveluhenkilöstö

 

Palvelusetelituottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä kaupungin henkilötietoja, ovat sitoutuneet noudattamaan sääntökirjassa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

 

Palvelusetelituottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy kaupungin henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sääntökirjan ja kaupungin ohjeiden mukaisesti.

6.Alihankkijat, jotka käsittelevät henkilötietoja

 

Siltä osin kuin palvelusetelituottaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan sääntökirjan lisäksi tässä liitteessä kuvattuja ehtoja.

 

Jos palvelusetelituottajan alihankkija käsittelee kaupungin henkilötietoja, alihankkijan käyttäminen edellyttää, että palvelusetelituottaja on allekirjoittanut alihankkijan kanssa sopimuksen siitä, että sääntökirjan ehtoja liitteineen noudatetaan, erityisesti huomioiden Käsittelytoimien kuvauksen ja Tietosuojasopimuksen.

 

Palvelusetelituottaja varmistaa, että sääntökirjan ja tämän sopimuksen mukainen kaupungin tarkastusoikeus voidaan ulottaa alihankkijaan.

 

Palvelusetelituottaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Palvelusetelituottaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita. Jos kaupunki perustellusti katsoo, että palvelusetelituottajan alihankkija ei täytä tietosuojavelvoitteitaan, kaupungilla on oikeus vaatia palvelusetelituottajaa vaihtamaan alihankkijaa.

 

Palvelusetelituottajan tulee huomioida, että kaikissa palvelusetelipalveluissa ei ole sääntökirjan mukaan lainkaan mahdollista käyttää alihankkijoita.

7.Palvelun paikka

 

Ellei palvelun tuottamispaikasta ole toisin sovittu, palvelusetelituottajalla on oikeus käsitellä kaupungin henkilötietoja ainoastaan Euroopan talousalueella. Mitä sääntökirjassa ja näissä erityisehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista kaupungin henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.

 

Palvelusetelituottajaa ei saa siirtää kaupungin henkilötietoja Euroopan talousalueen ulkopuolelle.

 

8.Tietoturvaloukkaukset

 

Palvelusetelituottajan on ilmoitettava kaupungille kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta 24 tunnin kuluessa tiedon saamisesta. Lisäksi palvelusetelituottaja sitoutuu ilmoittamaan kaupungille ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.

 

Palvelusetelituottajan on annettava kaupungille vähintään seuraavat tiedot tietoturvaloukkauksesta:

 

1.tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät sillä tarkkuudella kuin nämä ovat tiedossa;

 

2.tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;

 

3.kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja

 

4.kuvaus toimenpiteistä, joita palvelusetelituottaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

 

Henkilötietojen tietoturvaloukkauksen havaittuaan palvelusetelituottaja ryhtyy viipymättä toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.


 

9.Henkilötietojen käsittelyn päättyminen

 

Hyväksynnän voimassaoloaikana palvelusetelituottaja ei saa poistaa kaupungin lukuun käsittelemiään henkilötietoja ilman kaupungin nimenomaista pyyntöä.

 

Palvelusetelituottajan hyväksynnän päättyessä palvelusetelituottaja palauttaa kaupungille kaikki kaupungin puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että palveluntuottaja säilyttää henkilötiedot.

 

10.Sitoutuminen tietosuojasopimukseen

 

Palveluntuottaja sitoutuu tämän sopimuksen ehtoihin samalla kun sitoutuu

noudattamaan sääntökirjaa.