Turun kaupungin ehdot henkilötietojen käsittelijälle
OSA I: Tietosuojaa koskevat ehdot
1 Yleistä
1.1Tämä sopimusliite ”Turun kaupungin ehdot henkilötietojen käsittelijälle” on osa sopimusta: Asiakkuuksien hallintajärjestelmän käyttöönotto Turun joukkoliikenteelle sekä optiot käyttöönoton laajentamisesta (Hanselin puitesopimus KLKH160 ict asiantuntijapalvelut (Dnro 3628-2020), jäljempänä ”Sopimus”, jonka Tilaaja on tehnyt Toimittajan kanssa.
1.2Tässä sopimusliitteessä määritetään Tilaajaa ja Toimittajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Toimittaja Tilaajan toimeksiannosta käsittelee henkilötietoja Tilaajan puolesta ja lukuun Sopimuksessa olevien sopimusehtojen lisäksi. Mikäli Toimittaja muodostaa Sopimuksen toteuttamisen yhteydessä henkilörekistereitä, Toimittaja vastaa niistä EU:n yleisen tietosuoja-asetuksen mukaisena rekisterinpitäjänä.
1.3Osapuolet sitoutuvat noudattamaan toiminnassaan soveltuvaa voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä, ja lisäksi Osapuolet sitoutuvat saattamaan henkilötietojen käsittelyn ja tietosuojan EU:n yleisen tietosuoja-asetuksen (EU)2016/679 mukaiselle vaatimustasolle ennen Sopimuksen toteuttamiseen ryhtymistä.
1.4Tämän liitteen perusteella suoritetuista toimenpiteistä syntyvät kustannukset sisältyvät Sopimuksessa esitettyyn sopimushintaan, eikä Toimittajalla ole oikeutta veloittaa niistä erikseen. Kohdissa 7.1 ja 7.5 esitettyjen olennaisten muutostöiden korvaamisesta sovitaan erikseen. Ennen ryhtymistä olennaisiin muutostöihin Toimittajan pyydettävältä Tilaajalta kirjallinen ennakkolupa.
2 Osapuolten roolit henkilötietojen käsittelyssä
2.1Tilaaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Osapuolet ymmärtävät, että rekisterinpitäjänä Tilaaja saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöön panemiseksi niin, että käsittely täyttää kulloinkin voimassaolevan henkilötietojen käsittelyyn ja tietosuojaan liittyvän kansallisen lainsäädännön vaatimukset ja EU:n yleisen tietosuoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu.
2.2Toimittaja toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä, joka käsittelee Tilaajan henkilötietoja Tilaajan puolesta ja lukuun. Toimittajan Sopimuksen ja tämän sopimusliitteen mukaisesti käyttämät alihankkijat, jotka osallistuvat Tilaajan henkilötietojen käsittelyyn, toimivat myös henkilötietojen käsittelijöinä Tilaajan puolesta ja lukuun. Ryhmittymän ollessa Toimittajana tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.
2.3Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.
2.4Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan Sopimuksessa, sopimuksen mukaisen palvelun aikana laadittavassa ja Toimittajaa sitovassa dokumentaatiossa tai muussa Tilaajan ohjeistuksessa. Toimittaja sitoutuu noudattamaan Sopimuksessa, dokumentaatiossa ja ohjeistuksessa olevia henkilötietojen käsittelyä koskevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.
2.5Jos kohdan 2.4 mukaista kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää kuvausta tarvittaessa yhteistyössä Toimittajan kanssa. Toimittajan on ilmoitettava Tilaajalle, jos tämän antama ohjeistus on puutteellinen tai jos Toimittaja epäilee sen rikkovan EU:n yleistä tietosuoja-asetusta, muita EU:n tietosuojasäännöksiä tai kansallista tietosuojalainsäädäntöä.
2.6Toimittaja osallistuu Tilaajan pyynnöstä tietojärjestelmäselosteen laatimiseen.
3 Alihankkijat, jotka käsittelevät henkilötietoja
3.1Toimittaja ei saa käyttää henkilötietojen käsittelyyn alihankkijaa ilman Tilaajan antamaa kirjallista ennakkolupaa. Toimittajan on tiedotettava Tilaajalle kirjallisesti kaikista suunnitelluista muutoksista, jotka koskevat henkilötietojen käsittelijöinä toimivien alihankkijoiden lisäämistä tai vaihtamista, ja annettava Tilaajalle mahdollisuus vastustaa tällaisia muutoksia. Mikäli Tilaajan vastustuksesta huolimatta Toimittaja aikoo käyttää esittämäänsä alihankkijaa, on Tilaajalla oikeus irtisanoa sopimus päättymään ennen uuden tai vaihtuvan alihankkijan käyttöönottoa.
3.2Siltä osin kuin Toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.
3.3Toimittaja, joka henkilötietojen käsittelijänä käsittelee Tilaajan henkilötietoja Tilaajan puolesta ja lukuun, sitoutuu tässä sopimusliitteessä kuvattuihin henkilötietojen käsittelijää koskeviin velvollisuuksiin. Toimittajalla on velvollisuus sopimuksilla sitouttaa käyttämänsä alihankkijat noudattamaan tämän sopimusliitteen ehtoja.
3.4Toimittaja on vastuussa mahdollisista Tilaajan henkilötietoja käsittelevien Toimittajan alihankkijoiden Sopimuksen, tämän sopimusliitteen tai sovellettavan lainsäädännön taikka EU:n yleisen tietosuoja-asetuksen rikkomisista tai laiminlyönneistä kuin omistaan. Jos tietojen käsittelyä suorittava alihankkija ei täytä tietosuojavelvoitteitaan, Toimittaja on edelleen täysimääräisesti vastuussa suhteessa Tilaajaan. Jos Tilaaja perustellusti katsoo, että Toimittajan alihankkija ei täytä tietosuojavelvoitteitaan, Tilaajalla on oikeus vaatia Toimittajaa vaihtamaan alihankkijaa. Toimittajan on Tilaajan perustellusta vaatimuksesta vaihdettava alihankkijaa ilman aiheetonta viivästystä.
4 Henkilötietojen käsittelijän yleiset velvollisuudet
4.1Henkilötietojen käsittelijä käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjeiden mukaisesti.
4.2Henkilötietojen käsittelijä sitoutuu varmistamaan, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
4.3Sen lisäksi, mitä Sopimuksessa on sovittu henkilötietojen suojaa, tietoturvallisuutta ja tietojen salassapitoa koskevista vaatimuksista, henkilötietojen käsittelijä sitoutuu toteuttamaan riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden varmistamiseksi ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit sekä noudattamaan Tilaajan ohjeita ja mahdollisia Tilaajan ohjeiden päivityksiä. Toimittajan on Tilaajan pyynnöstä osoitettava tekniset ja organisatoriset toimet, joihin edellä esitetyn turvallisuustason varmistamiseksi on ryhdytty. Teknisiä ja organisatorisia toimia voivat olla esimerkiksi seuraavat:
1)Henkilötietojen pseudonymisointi ja salaus.
2)Kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus.
3)Kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa.
4)Menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
4.4Henkilötietojen käsittelijän on myös toteutettava toimenpiteet sen varmistamiseksi, että jokainen henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Sopimuksen ja Tilaajan ohjeiden mukaisesti.
4.5Henkilötietojen käsittelijä sitoutuu ilman aiheetonta viivästystä ilmoittamaan Tilaajalle kaikista rekisteröityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön sekä EU:n yleisen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä.
4.6Henkilötietojen käsittelijä sitoutuu avustamaan Tilaajaa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Henkilötietojen käsittelijä ymmärtää, että näiden oikeuksien käyttämistä koskevat pyynnöt voivat edellyttää siltä avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa ja/tai henkilötietojen siirtämisessä järjestelmästä toiseen.
4.7Toimittajan on huolehdittava siitä, että sen käsittelemät henkilötiedot ovat sellaisessa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, joita ovat esimerkiksi csv, xml ja xls(x), ja että ne voidaan automaattisesti irrottaa järjestelmästä siirrettäväksi toiseen järjestelmään.
4.8Henkilötietojen käsittelijä sitoutuu tarvittaessa avustamaan Tilaajaa EU:n yleisen tietosuoja-asetuksen mukaisen tietosuojaa koskevan vaikutusten arvioinnin tekemisessä, mahdollisessa ennakkokuulemisessa ja mahdollisen tietosuojaa koskevan sertifioinnin hankkimisessa. Mikäli avustamisesta syntyy merkittäviä ja ennakoimattomia lisäkustannuksia, voidaan niiden jakautumisesta sopia erikseen yksittäistapauksissa. Jos osapuolet eivät pääse yhteisymmärrykseen kustannusten merkittävyydestä ja ennakoimattomuudesta, kuuluvat avustamiskustannukset Toimittajan vastattavaksi.
4.9Henkilötietojen käsittelijä sitoutuu Tilaajan valinnan mukaan poistamaan tai palauttamaan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki Tilaajan henkilötiedot Tilaajalle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Tilaaja voi antaa tältä osin tarkempia ohjeita.
4.10Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle ilman Tilaajan kirjallista ennakkolupaa.
4.11Henkilötietojen käsittelijä saattaa Tilaajan saataville kaikki tiedot, jotka ovat tarpeen tässä sopimusliitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Tilaajan valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Tilaaja voi edellyttää Toimittajalta kahta (2) auditointitarkastusta kalenterivuotta kohden. Mikäli Tilaajalla on kuitenkin perusteltu epäilys auditoinnin tarpeellisuudesta, on Tilaajalla oikeus ylimääräisiin auditointeihin. Perusteltuna epäilyksenä pidetään esimerkiksi Toimittajan toiminnassa havaittuja tietosuojapuutteita tai -loukkauksia.
5 Henkilötietojen käsittelijän erityiset velvollisuudet
5.1Toimittajalla on oltava valmius asettaa ja hallinnoida tietojen luovutuksia koskevia rajoituksia, jollaisia voi aiheutua esimerkiksi väestötietolain mukaisesta rekisteröidyn turvakiellosta. Toimittajan tulee pystyä rajoittamaan rekisteröidyn henkilötietojen käsittelyä osittain tai kokonaan Tilaajan vaatimalla tavalla. Rekisteröidyn henkilötietojen rajoittaminen ei saa johtaa muiden rekisterissä olevien luonnollisten henkilöiden henkilötietojen rajoittamiseen, ellei Tilaajan ja Toimittajan kesken kirjallisesti toisin sovita.
5.2Ellei toisin sovita, Toimittaja on velvollinen ylläpitämään luetteloa rekisteröityjen henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista. Luettelo on luovutettava pyydettäessä Tilaajalle. Tilaajan pyynnöstä Toimittajan on luovutettava luettelossa mainittuja tietoja Tilaajan pyytämässä laajuudessa Tilaajan yksilöimille kolmansille tahoille.
6 Tietoturvaloukkaukset
6.1Henkilötietojen käsittelijän on ilmoitettava kirjallisesti henkilötietojen tietoturvaloukkauksesta Tilaajalle 24 tunnin kuluessa tiedon saamisesta. Lisäksi Toimittaja sitoutuu ilmoittamaan Tilaajalle muista Toimittajan tuottaman palvelun olennaisista häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin. Ilmoitus on tehtävä edellä mainitussa määräajassa.
6.2Henkilötietojen käsittelijän on annettava Tilaajalle viipymättä, kuitenkin viimeistään seitsemän (7) päivän kuluessa, vähintään seuraavat tiedot tietoturvaloukkauksesta:
1)kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
2)ilmoitettava tietosuojavastaava tai muu vastuuhenkilö, jolta voi saada asiassa lisätietoja;
3)kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
4)esitettävä arvio aiheutuuko tietoturvaloukkauksesta todennäköisesti rekisteröidyn oikeuksiin tai vapauksiin kohdistuva korkea riski; sekä
5)kuvattava toimenpiteet, joita kyseinen henkilötietojen käsittelijä ehdottaisi tai joita se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
6.3Jos Tilaaja on maksanut rekisteröidylle korvauksen tietosuojalainsäädännön rikkomisen johdosta aiheutuneesta vahingosta, on Tilaajalla oikeus Sopimuksessa sovittujen vastuunrajoitusten rajoittamatta periä Toimittajalta tämän vahingonkorvausvastuuta vastaava osuus rekisteröidylle maksetusta korvauksesta. Sopijapuolten vastuu rekisteröidylle aiheutuneesta vahingosta määräytyy EU:n yleisen tietosuoja-asetuksen 82 artiklan 4 kohdan tai muussa tietosuojalainsäädännössä olevan vastaavan määräyksen mukaan.
7 Muita vaatimuksia
7.1Tilaajalla on oikeus muuttaa, täydentää ja päivittää Toimittajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Nämä ohjeet voivat olla henkilötietojen käsittelyä tai tietosuojaa koskeviin teknisiin tai organisatorisiin toimenpiteisiin liittyviä muutoksia, täydennyksiä tai päivityksiä. Toimittaja tekee tarvittavat muutostyöt Tilaajan ohjeiden mukaisesti. Jos Tilaajan ohjeet aiheuttavat Toimittajalle olennaisia muutostöitä (yli yksi (1) henkilötyöpäivää), lisäkustannuksista sovitaan erikseen. Erikseen sovittavat lisäkustannukset on ennen toimenpiteisiin ryhtymistä hyväksytettävä kirjallisesti Tilaajalla. Toimittaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan näitä muutettuja, täydennettyjä tai päivitettyjä ohjeita.
7.2Osapuolet ymmärtävät, että Sopimuksessa ja sen liitteissä käsitellään myös tietosuojaa koskevia aiheita.
7.3Toimittaja sitoutuu reagoimaan viimeistään 72 tunnin kuluessa Tilaajan yhteydenotosta ja vastaamaan viimeistään yhden (1) viikon kuluessa Tilaajan tietosuojaa koskeviin ilmoituksiin, reklamaatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tietoturvaloukkaukset, joihin sovelletaan Sopimuksessa ja edellä tässä liitteessä määritettyjä määräaikoja.
7.4Jos Toimittaja laiminlyö tai rikkoo tätä sopimusliitettä, sovellettavaa lainsäädäntöä tai EU:n yleistä tietosuoja-asetusta, Toimittajan korvausvastuu on määritelty Sopimuksen lisäksi sovellettavassa lainsäädännössä. Lisäksi tällainen laiminlyönti tai rikkomus voi muodostaa Sopimuksessa tarkoitetun olennaisen sopimusrikkomuksen, jonka seurauksena Tilaajalla on halutessaan oikeus turvautua Sopimuksessa määriteltyihin oikeussuojakeinoihin. Vähäistä laiminlyöntiä tai rikkomusta ei pidetä olennaisena sopimusrikkomuksena.
7.5Osapuolet ymmärtävät, että Sopimusta ja tätä sopimusliitettä tehtäessä tietosuojaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Tilaajan asemaan tai velvollisuuksiin tai tässä sopimusliitteessä määriteltyihin velvollisuuksiin tai vastuisiin, tätä sopimusliitettä voidaan tarvittaessa niiltä osin tarkistaa. Jos tähän sopimusliitteeseen tehdään sellaisia muutoksia, joista aiheutuu Toimittajalle olennaisia lisäkustannuksia (yli yksi (1) henkilötyöpäivää), niiden korvaamisesta sovitaan erikseen. Toimittaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan kyseistä tarkistettua sopimusliitettä.
7.6Osapuolet voivat kirjallisesti muuttaa tätä sopimusliitettä Sopimuksessa kuvatuin ehdoin.
Osa II: Henkilötietojen käsittelytoimien kuvaus
Osapuolet ovat sopineet, että Toimittaja käsittelee Tilaajan puolesta Sopimuksessa sovitun palvelun toteuttamiseksi seuraavia henkilötietoja:
Henkilötietojen tyypit (valitaan yksi suurimman riskin mukaan):
•Matala riski
(esim. henkilötietojen käsittely kohdistuu tavanomaisiin yhteistietoihin)
X Keskisuuri riski
(esim. henkilötietojen käsittely kohdistuu tunnistetietoihin tai tarkkoihin yhteistietoihin)
•Korkea riski
(esim. henkilötietojen käsittely kohdistuu arkaluontoisiin tietoihin, tarkkoihin sijaintietoihin tai tarkkoihin tunnistetietoihin)
Henkilötietojen ryhmät (valitaan yksi arkaluontoisimman henkilötiedon mukaan):
X Tavanomaiset henkilötiedot
•Erityiset eli ns. arkaluontoiset henkilötiedot
(rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely)
Henkilötietojen käsittelyn kesto (valitaan yksi):
X Sopimuksen keston ajan
•Muu aika (pp.kk.vvvv-pp.kk.vvvv): ___________________________
Henkilötietojen käsittelyn luonne ja tarkoitus
Toimittaja käsittelee henkilötietoja vain Sopimuksen edellyttämässä laajuudessa.
Erityisiä huomioita ja yksityiskohtia henkilötietojen käsittelyn luonteesta ja tarkoituksesta:
_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Muita erityisiä huomioita ja yksityiskohtia henkilötietojen käsittelystä Sopimuksessa sovitun palvelun tuottamiseen:
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
|
|
|
|
|
|
|
|