Esityslistat/pöytäkirjat

VARSINAIS-SUOMEN HYVINVOINTIALUEEN YLEISET TIETOSUOJA- JA TIETOTURVAEHDOT

1.Yleistä

1.1.Tämä sopimusliite ”Yleiset tietosuoja- ja tietoturvaehdot” on osa Sopimus kuntouttavan työtoiminnan yhteistoiminnan muodoista -sopimusta, jäljempänä ”Sopimus”, jonka Tilaaja (Varsinais-Suomen hyvinvointialue) on tehnyt Toimittajan (Turun kaupunki) kanssa.

1.2.Tässä sopimusliitteessä määritellään Tilaajaa ja Toimittajaa sitovasti ne henkilötietojen käsittelyä, tietosuojaa ja tietoturvallisuutta koskevat sopimusehdot, joiden mukaisesti Toimittaja Tilaajan toimeksiannosta käsittelee henkilötietoja Tilaajan puolesta sekä toimii tuottaessaan Sopimuksessa kuvattua palvelua. Näissä ehdoissa kuvatuista Toimittajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole näissä ehdoissa sovittu.

2.Määritelmät

2.1.Palvelu tarkoittaa sitä palvelua, josta Tilaaja ja Toimittaja ovat sopineet Sopimuksessa.

2.2.Sopimus tarkoittaa Toimittajan ja Tilaajan välistä sopimusta, jonka liitteenä tämä liite on.

2.3.Tilat tarkoittavat sellaisia Toimittajan tai sen alihankkijan toimitiloja, joissa säilytetään, käytetään tai muutoin käsitellään Tilaajan salassa pidettäviä tai muuten luottamuksellisia tietoja tai Tilaajan omistamia tai Palvelun tuottamiseen liittyviä järjestelmiä.

3.Osapuolten roolit henkilötietojen käsittelyssä

3.1.Käsiteltäessä henkilötietoja Tilaaja on rekisterinpitäjä ja Toimittaja on henkilötietojen käsittelijä (jäljempänä myös ”käsittelijä”), ellei henkilötietojen käsittelyn tarkoituksesta muuta johdu. ”Tilaajan henkilötiedoilla” tarkoitetaan näissä ehdoissa henkilötietoja, joista Tilaaja vastaa rekisterinpitäjänä.

3.2.Henkilötietojen käsittelyn kohde, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän ja käsittelijän velvollisuudet ja oikeudet kuvataan palvelukohtaisissa käsittelytoimien kuvauksissa tai muussa Tilaajan ohjeistuksessa. Toimittaja sitoutuu noudattamaan Sopimuksessa, käsittelytoimien kuvauksessa ja ohjeistuksessa olevia ehtoja ja kuvauksia. Tilaaja vastaa ohjeistuksen ylläpidosta ja saatavuudesta.

3.3.Jos kohdan 3.2 mukaista käsittelytoimien kuvausta ei ole tehty tai se on puutteellinen, Tilaaja laatii tai täydentää käsittelytoimien kuvausta tarvittaessa yhteistyössä Toimittajan kanssa.

3.4.Toimittaja sitoutuu pitämään salassa kaikki Tilaajalta saamansa lain mukaan salassa pidettävät tai muuten luottamukselliset tiedot.

3.5.Toimittaja sitoutuu käsittelemään salassa pidettäviä tai muuten luottamuksellisia tietoja vain Palvelun tuottamisen vaatimassa laajuudessa. Toimittaja antaa pääsyn näihin tietoihin vain Palvelun tuottamiseen osallistuville henkilöille.

3.6.Toimittaja sitoutuu ylläpitämään listaa Palvelun tuottamiseen osallistuvista henkilöistä. Toimittaja sitoutuu kouluttamaan Palvelun tuottamiseen osallistuvia henkilöitä tiedon turvalliseen käsittelyyn.

3.7.Tiedon antamisesta asiakirjasta, joka on saatu Tilaajalta tai laadittu Tilaajan toimeksiantotehtävää suoritettaessa, päättää Tilaaja, jollei toimeksiannosta muuta johdu.

3.8.Toimittaja vastaa siitä, ettei Tilaajan tietojen, kohteiden tai toiminnan turvallisuus vaarannu Toimittajan henkilöstön huolimattomuuden, virheellisten työtapojen tai muun tämän liitteen tai Sopimuksen vastaisen toiminnan johdosta.

4.Toimittajan yleiset velvollisuudet

4.1.Toimittaja käsittelee henkilötietoja Sopimuksen ja Tilaajan antamien ohjeiden mukaisesti. Ryhmittymän (palveluntuottajien yhteenliittymä hankintasopimuksessa) ollessa Käsittelijänä tämän sopimusliitteen velvoitteet koskevat kaikkia ryhmittymän jäseniä, ja ryhmittymän käyttämiä alihankkijoita, jotka osallistuvat henkilötietojen käsittelyyn.

4.2.Toimittaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Tilaajan henkilötietojen käsittely tapahtuu sopimuksen vaatimusten ja sovittujen käytäntöjen mukaisesti. Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä käsittelyjärjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.

4.3.Toimittaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

4.4.Toimittaja nimeää tietosuojavastaavan tai tietosuojasta vastaavan yhteyshenkilön Tilaajan henkilötietoihin liittyviä yhteydenottoja varten. Toimittaja ilmoittaa kirjallisesti tietosuojavastaavan tai yhteyshenkilön yhteystiedot Tilaajalle.

4.5.Toimittaja saattaa Tilaajan saataville tämän pyynnöstä kaikki tiedot, jotka Tilaaja tarvitsee rekisterinpitäjälle ja Toimittajalle säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja osallistuu pyydettäessä sovitulla tavalla Tilaajan vastuulla olevien kuvausten ja muiden dokumenttien, kuten vaikutustenarvioinnin, laatimiseen ja ylläpitämiseen sekä tietosuoja-asetuksen mukaisen ennakkokuulemisen suorittamiseen. Toimittaja sitoutuu reagoimaan viimeistään 72 tunnin kuluessa Tilaajan yhteydenotosta ja vastaamaan viimeistään yhden (1) viikon kuluessa Tilaajan tietosuojaa koskeviin ilmoituksiin, reklamaatioihin tai muihin viesteihin, pois lukien EU:n yleisen tietosuoja-asetuksen mukaiset tietoturvaloukkaukset, joihin sovelletaan tässä liitteessä määritettyjä määräaikoja.

4.6.Toimittaja ilmoittaa Tilaajalle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä. Toimittaja ei itse vastaa näihin pyyntöihin. Toimittaja avustaa Tilaajaa, jotta Tilaaja pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin. Pyynnöt voivat edellyttää Toimittajalta esimerkiksi avustamista rekisteröidylle tiedottamisessa ja viestinnässä, rekisteröidyn pääsyoikeuden toteuttamisessa, henkilötietojen oikaisemisessa tai poistamisessa, käsittelyn rajoittamisen toteuttamisessa tai rekisteröidyn omien henkilötietojen siirtämisessä järjestelmästä toiseen.

4.7.Ellei toisin sovita, Toimittaja on velvollinen ylläpitämään luetteloa rekisteröityjen henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista. Luettelo on luovutettava pyydettäessä Tilaajalle. Tilaajan pyynnöstä Toimittajan on luovutettava luettelossa mainittuja tietoja Tilaajan pyytämässä laajuudessa Tilaajan yksilöimille kolmansille tahoille.

4.8.Toimittajalla on oltava valmius asettaa ja hallinnoida tietojen luovutuksia koskevia rajoituksia, jollaisia voi aiheutua esimerkiksi väestötietolain mukaisesta rekisteröidyn turvakiellosta. Toimittajan tulee pystyä rajoittamaan rekisteröidyn henkilötietojen käsittelyä osittain tai kokonaan Tilaajan vaatimalla tavalla. Rekisteröidyn henkilötietojen rajoittaminen ei saa johtaa muiden rekisterissä olevien luonnollisten henkilöiden henkilötietojen rajoittamiseen, ellei Tilaajan ja Toimittajan kesken kirjallisesti toisin sovita.

4.9.Osapuolet ymmärtävät, että Sopimusta ja tätä sopimusliitettä tehtäessä tietosuojaa koskeva lainsäädäntö ja sen tulkinta on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Tilaajan asemaan tai velvollisuuksiin tai tässä sopimusliitteessä määriteltyihin velvollisuuksiin tai vastuisiin, tätä sopimusliitettä voidaan tarvittaessa niiltä osin tarkistaa. Jos tähän sopimusliitteeseen tehdään sellaisia muutoksia, joista aiheutuu Toimittajalle olennaisia lisäkustannuksia (yli kaksi (2) henkilötyöpäivää), niiden korvaamisesta on sovittava Tilaajan ja Toimittajan kesken erikseen kirjallisesti etukäteen ennen muutoksiin ryhtymistä. Toimittaja ja muut henkilötietojen käsittelijät sitoutuvat noudattamaan kyseistä tarkistettua sopimusliitettä.

4.10.Toimittaja vastaa siitä, että Palveluun liittyvien laitteiden ja tietojärjestelmien virustorjunta sekä tietoturvapäivitykset hoidetaan Toimittajan tietoturvasuunnitelman mukaisesti tai muulla Toimittajan hyväksymällä tavalla.

5.Tilaajan ohjeet

5.1.Toimittaja noudattaa Tilaajan henkilötietojen käsittelyssä sopimuksessa ja näissä erityisehdoissa sovittuja ehtoja sekä Tilaajan kirjallisia ohjeita. Tilaaja vastaa ohjeiden ylläpidosta ja saatavuudesta. Toimittaja ilmoittaa ilman aiheetonta viivytystä Tilaajalle, jos Tilaajan antamat ohjeet ovat puutteellisia tai jos Toimittaja epäilee niitä lainvastaisiksi.

5.2.Tilaajalla on oikeus muuttaa, täydentää ja päivittää Toimittajalle antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeita. Jos ohjeiden muutoksista aiheutuu sopimuksen mukaisiin palveluihin liittyviä työmäärältään yli kahden (2) henkilötyöpäivän muutoksia, niiden vaikutuksesta sovitaan sopimuksen mukaisessa muutoshallintamenettelyssä.

6.Palveluhenkilöstö

6.1.Toimittaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Tilaajan henkilötietoja, ovat sitoutuneet noudattamaan sopimuksessa sovittuja salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

6.2.Toimittaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Tilaajan henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Tilaajan ohjeiden mukaisesti.

7.Alihankkijat, jotka käsittelevät henkilötietoja

7.1.Siltä osin kuin Toimittaja käyttää toiminnassaan alihankkijoita, jotka käsittelevät henkilötietoja, alihankintaan sovelletaan Sopimuksen lisäksi tässä sopimusliitteessä kuvattuja ehtoja.

7.2.Toimittaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Toimittajalle asetettuja velvoitteita sekä Tilaajan antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Toimittaja varmistaa, että sopimuksen mukainen Tilaajan tarkastusoikeus voidaan ulottaa alihankkijaan.

7.3.Toimittaja vastaa käyttämänsä alihankkijan osuudesta kuin omastaan. Toimittaja vastaa siitä, että alihankkija noudattaa omalta osaltaan henkilötietojen käsittelijälle asetettuja velvoitteita.

7.4. Henkilötietojen käsittelyyn osallistuvan alihankkijan vaihtamisesta on ilmoitettava kirjallisesti Tilaajalle etukäteen. Ilmoituksessa tulee kuvata, miten alihankkija käsittelee Tilaajan henkilötietoja tietosuojalainsäädännön mukaisesti. Tilaajalla on oikeus perustellusta syystä vastustaa ehdotettua alihankkijaa.

7.5.Mitä tässä liitteessä on sovittu Toimittajan henkilöstöstä, sovelletaan myös alihankkijan Palvelun tuottamiseen osallistuvaan henkilöstöön.

7.6.Toimittajan tulee huolehtia siitä, että se pystyy noudattamaan tätä liitettä myös käyttäessään alihankkijoita. Toimittajan on tiedotettava alihankkijalleen, että turvallisuusjärjestelyjen saattamisesta tämän Turvallisuussopimuksen edellyttämälle tasolle saattaa syntyä kustannuksia. Tilaaja ei vastaa näistä kustannuksista.

8.Palvelun paikka

8.1.Ellei palvelun tuottamispaikasta ole toisin sovittu, Toimittajalla on oikeus käsitellä Tilaajan henkilötietoja ainoastaan Euroopan talousalueella. Mitä sopimuksessa ja näissä erityisehdoissa sovitaan henkilötietojen käsittelystä, koskee myös pääsyn mahdollistamista Tilaajan henkilötietoihin esimerkiksi hallinta- ja valvontayhteyden välityksellä.

8.2.Henkilötietojen käsittelijä ei saa siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle ilman Tilaajan kirjallista ennakkolupaa. Mikäli Tilaaja antaa kirjallisen luvan, henkilötietojen siirtäminen kolmansiin maihin voidaan tehdä asianmukaisella siirtosopimuksella noudattaen EU-komission kulloinkin voimassa olevia mallilausekkeita ja/tai muita tuolloin voimassaolevia henkilötietojen siirtoa koskevia vaatimuksia.

9.Tietoturvaloukkaukset

9.1.Toimittajan on ilmoitettava Tilaajalle kirjallisesti tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä ja viimeistään 36 tunnin kuluessa. Lisäksi Toimittaja sitoutuu ilmoittamaan Tilaajalle ilman aiheetonta viivytystä muista palvelun häiriö- tai ongelmatilanteista, joilla voi olla vaikutuksia rekisteröityjen asemaan ja oikeuksiin.

9.2.Toimittajan on annettava Tilaajalle vähintään seuraavat tiedot tietoturvaloukkauksesta:

i. tapahtuneen tietoturvaloukkauksen kuvaus, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

ii. tietosuojavastaavan tai muun vastuuhenkilön nimi ja yhteystiedot, jolta voi saada asiassa lisätietoja;

iii. kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; ja

iv. kuvaus toimenpiteistä, joita Toimittaja ehdottaa tai joita se on jo toteuttanut tietoturvaloukkauksen johdosta, ja tarvittaessa toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

9.3.Henkilötietojen tietoturvaloukkauksen havaittuaan Toimittaja ryhtyy viipymättä sopimuksessa sovittuihin toimenpiteisiin tietoturvaloukkauksen poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi.

10.Henkilötietojen käsittelyn päättyminen

10.1.Sopimuksen voimassaoloaikana Toimittaja ei saa poistaa Tilaajan lukuun käsittelemiään henkilötietoja ilman Tilaajan nimenomaista pyyntöä.

10.2.Sopimuksen päättyessä tai purkautuessa Toimittaja palauttaa Tilaajalle kaikki Tilaajan puolesta käsitellyt henkilötiedot sekä hävittää omilta taltioiltaan mahdolliset kopiot henkilötiedoista, ellei muuta ole sovittu. Tietoja ei saa poistaa, jos lainsäädännössä tai viranomaisen määräyksellä on edellytetty, että Toimittaja säilyttää henkilötiedot.

11.Toimitilaturvallisuus

11.1.Tilojen täytyy olla asianmukaisesti suojattu lukituksella, kulunvalvonnalla sekä muilla turvajärjestelyillä, jotta voidaan estää luvaton pääsy Tiloihin sekä siellä säilytettäviin tietoihin ja järjestelmiin.

11.2.Mikäli Palvelu suoritetaan Tiloissa, Toimittajan tulee varmistaa Tilojen tarkoituksenmukainen fyysinen turvallisuus tulipalon, sähkökatkosten, vesivahinkojen, ulkopuolisten häiriötekijöiden ja muiden erityistilanteiden varalta. Tilaaja ja Toimittaja sopivat tarvittaessa Palveluun liittyvistä tarkemmista vaatimuksista.

11.3.Henkilöt, joille ei ole myönnetty oikeutta Tilaajan salassa pidettäviin tai muuten luottamuksellisiin tietoihin tai niitä sisältäviin tai muihin Tilaajan tai Palveluun liittyviin järjestelmiin kappaleen 12. mukaisesti, saavat oleskella Tiloissa ainoastaan valvonnan alaisina. Valvontaa ei edellytetä, mikäli salassa pidettäviä tai muuten luottamuksellisia tietoja säilytetään tai käsitellään Tiloissa siten, että nämä henkilöt eivät voi päästä niihin käsiksi.

11.4.Henkilöiden, joilla on pääsy Tiloihin, tulee olla tunnistettavissa.

12.Pääsy järjestelmiin ja tietoihin

12.1.Toimittaja vastaa siitä, että Tilaajan salassa pidettäviä tai muuten luottamuksellisia tietoja annetaan tai pääsy sellaisia tietoja sisältäviin dokumentteihin ja järjestelmiin sallitaan vain nimetyille Toimittajan ja sen alihankkijan henkilöstöön kuuluville henkilöille, joille on annettu oikeus päästä kyseisiin järjestelmiin ja/tai tietoihin ja jotka ovat tietoisia salassapitoa koskevista velvoitteistaan.

12.2.Toimittaja vastaa siitä, että Tilaajan salassa pidettävien ja muiden luottamuksellisten tietojen käsittelyyn osallistuvat Toimittajan tai sen alihankkijan henkilöstöön kuuluvat henkilöt sekä henkilöt, joilla on pääsy Toimittajan hallinnoimiin järjestelmiin, joissa säilytetään Tilaajan salassa pidettäviä tai muuten luottamuksellisia tietoja, noudattavat tätä liitettä.

12.3.Toimittaja vastaa siitä, että henkilö, joka käsittelee Tilaajan salassa pidettäviä tai muuten luottamuksellisia tietoja ja/tai jolla on pääsy järjestelmiin, joissa Tilaajan salassa pidettäviä tai muuten luottamuksellisia tietoja säilytetään tai joiden avulla Palvelua tuotetaan, tekee vaitiolositoumuksen Tilaajan hyväksymällä lomakkeella ennen kuin hän aloittaa mainittujen tietojen käsittelyn tai saa pääsyn mainittuihin järjestelmiin.

13.Tietoaineistojen käsittely ja säilyttäminen

13.1.Mikäli erikseen ei toisin sovita, Tilaajan salassa pidettävien ja muuten luottamuksellisten tietojen käsittelyssä noudatetaan tässä kappaleessa annettuja ohjeita.

13.2.Työskentely-ympäristö: Tietoja tai asiakirjoja ei saa jättää esille tai ilman valvontaa työtilasta poistuttaessa. Tietoja tai asiakirjoja voi jättää tilapäisesti esille ottaen huomioon tilajärjestelyt ja käytössä olevat lukitukset. Tietojen ja asiakirjojen käsittelyä työpaikan ulkopuolella tulee välttää.

13.3.Kopiointi: Kopioita käsitellään kuten alkuperäistä tietoa tai asiakirjaa. Alkuperäisestä tiedosta tai asiakirjasta voidaan ottaa tarvittaessa sekä sähköisiä että paperimuotoisia kopioita.

13.4.Jakelu: Tiedon luovuttamisen edellytyksenä on, että vastaanottajalla on tarvittavat oikeudet aineiston käsittelyyn sekä kyky käsitellä sitä vaatimusten mukaisesti.

13.5.Tiedon siirto: Toimittaja vastaa siitä, että Tilaajan salassa pidettävä tai muuten luottamuksellinen tieto tulee jakaa siten, etteivät asiattomat pääse käsiksi salassa pidettävään tietoon. Tiedon jakamisessa ja siirtämisessä on käytettävä asianmukaisia tietoturvajärjestelyitä. Asiakirjan siirto kuljetusyhtiön (esim. posti) välityksellä tapahtuu suljetussa läpinäkymättömässä kirjekuoressa. Tilaajan salassa pidettävän tai muuten luottamuksellisen tiedon käsittely puhelimessa asianmukaisesti harkiten on sallittu. Salassa pidettävän tiedon siirto tekstiviestipalveluna ei ole sallittu ilman salausta. Tilaaja ohjeistaa tarvittaessa tiedon jakamiseen tai siirtämiseen liittyen.

13.6.Tallennus ja säilytys: Tietoverkon palvelimille talletettu tieto tulee olla käsittelyoikeuksilla suojattu. Perustietoturvallisuustason ympäristössä tietoverkon palvelimille salassa pidettävä tieto voidaan tallentaa selväkielisenä. Luonnosasiakirjoja käsitellään kuten vastaavia valmiita asiakirjoja säilytyksen ja tallennuksen osalta. Suositellaan, että paperimuotoiset sekä salassa pidettävää tietoa sisältävät ulkoiset muistit ja vastaavat laitteet säilytetään niitä varten tarkoitetuissa turvakaapeissa, holveissa tai vastaavissa lukituissa ja valvotuissa tiloissa. Tulee varmistaa, etteivät ulkopuoliset pääse käsiksi tietoon.

13.7.Pääsy tietoon: Tietoa voidaan lukea palvelimelta selväkielisenä perustietoturvatason verkoissa. Etäkäyttö on sallittu suojattua yhteyttä käyttäen edellyttäen, että käyttöympäristö täyttää tiedon suojaukselle asetetut vaatimukset.

13.8.Arkistointi: Arkistointi tapahtuu Tilaajan arkistonmuodostussuunnitelman mukaisesti.

13.9.Tietoaineiston hävittäminen: Alkuperäisasiakirjat tulee hävittää käyttötarpeen päätyttyä Tilaajan arkistonmuodostussuunnitelman mukaisesti. Tarpeettomat asiakirjakopiot tulee hävittää käyttötarpeen päätyttyä. Luonnosasiakirjat tulee hävittää käyttötarpeen päätyttyä. Hävittäminen tulee suorittaa siten, etteivät salassa pidettävät ja henkilötietoja sisältävät tiedot joudu niihin oikeudettomien haltuun. Sähköiset tiedostot tuhotaan työasemilta ja palvelimilta sekä muilta muistivälineiltä Tilaajan kanssa erikseen sovittavalla tietoturvallisella tavalla. Paperimuotoiset asiakirjat hävitetään valvotusti polttamalla, silppurilla tai laittamalla suljettuun astiaan siirrettäväksi polttolaitokseen.

13.10.Toimittaja noudattaa julkisuuslaissa (621/1999) tarkoitettua hyvää tiedonhallintapaa, tietosuojalakia (1050/2018), EU:n yleistä tietosuoja-asetusta sekä muuta tietosuojaa koskevaa lainsäädäntöä Sopimukseen liittyvän Palvelun tuottamisessa.

13.11.Tilaaja määrittää tarvittaessa Palvelun hankinnan yhteydessä Palveluun sovellettavat muut tietoturvavaatimukset, jotka Toimittajan tulee täyttää.

14.Tarkastukset ja raportointi

14.1.Tilaajalla tai Tilaajan määräämällä kolmannella taholla (joka ei ole Toimittajan suoranainen kilpailija) on oikeus tarkastaa omalla kustannuksellaan etukäteen ilmoitettuna ajankohtana Toimittajan ja sen alihankkijoiden turvallisuusjärjestelyt tätä liitettä sekä Sopimusta koskevilta osin. Tilaajan on ilmoitettava tahdostaan suorittaa tarkastus kolmekymmentä (30) päivää ennen ehdotettua tarkastuspäivää. Toimittaja voi ehdottaa uutta päivää tarkastukselle. Uusi ajankohta ei kuitenkaan voi olla myöhemmin kuin kymmenen (10) päivää Tilaajan ilmoittaman päivän jälkeen. Tarkastus saadaan suorittaa kuitenkin enintään kaksi kertaa vuodessa, ellei ole erityisen painavia syitä useammille tarkastuksille. Haavoittuvuusskannauksia voidaan kuitenkin tehdä edellä mainituista määräajoista riippumatta erikseen sovittavina ajankohtina. Tarkastukset eivät saa vaarantaa Toimittajan tai sen alihankkijoiden tietoturvaa tai Toimittajan tai sen alihankkijoiden salassapitovelvoitteita muita asiakkaita kohtaan.

14.2.Toimittajan tulee huolehtia sopimusjärjestelyin siitä, että Tilaajalla on mahdollisuus tarkastaa Toimittajan ohella myös Toimittajan sellaisen alihankkijan turvallisuusjärjestelyt, joka osallistuu Tilaajan salassa pidettävien tai muiden luottamuksellisten tietojen käsittelyyn tai Tilaajan tietojärjestelmien ylläpitoon.

14.3.Toimittajan tulee korjata tarkastuksessa havaitut puutteet viivytyksettä, kuitenkin viimeistään 30 vuorokauden kuluessa Tilaajan kirjallisesta ilmoituksesta, ellei siitä ole Tilaajan ja Toimittajan välillä erikseen toisin sovittu. Olennaiset puutteet, jotka muodostavat ilmeisen uhkan tietoturvallisuudelle, on korjattava heti. Tilaaja ei vastaa edellä mainituista korjauksista aiheutuvista kuluista ja kustannuksista.

14.4.Toimittaja on velvollinen ilmoittamaan Tilaajalle, jos Toimittajan tai sen alihankkijan tämän liitteen kannalta keskeisissä toiminnoissa tai henkilöstö- tai turvallisuusjärjestelyissä tapahtuu muutoksia tai jos Toimittajan tai sen alihankkijan omistussuhteissa tapahtuu merkittäviä muutoksia.

14.5.Toimittaja valvoo tämän liitteen edellyttämän turvallisuustason toteutumista toiminnassaan säännöllisesti ja suunnitelmallisesti, kirjaa mahdolliset poikkeamat ja raportoi ne Tilaajalle viivytyksettä sekä aloittaa korjaustoimet viipymättä. Tilaaja seuraa Palvelun turvallisuustason toteutumista yhteistyössä Toimittajan kanssa.

14.6.Toimittaja on velvollinen ilmoittamaan Tilaajalle, mikäli Toimittajaan kohdistuu Tilaajaa mahdollisesti uhkaavia yhteydenottoja.

14.7.Tilaajalla on oikeus luovuttaa muille viranomaisille tieto siitä, että tämän luvun mukainen tarkastus on suoritettu, mutta Tilaajalla ei kuitenkaan ilman Toimittajan lupaa ole oikeutta luovuttaa muille viranomaisille tietoa tarkastuksen tuloksista ellei pakottavasta lainsäädännöstä muuta johdu.

14.8.Toimittaja sallii Tilaajan tai sen valtuuttaman auditoijan suorittamat henkilötietojen käsittelyä koskevat tarkastukset sekä osallistuu niihin. Henkilötietojen käsittelijä saattaa Tilaajan saataville kaikki tiedot, jotka ovat tarpeen tässä sopimus-liitteessä kuvattujen velvollisuuksien noudattamisen osoittamista varten, ja sallii Tilaajan valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Auditointia koskevat tarkemmat ehdot sovitaan Toimittajan kanssa erikseen ennen auditoinnin toteuttamista. Toimittajalla ei ole oikeutta vaatia Tilaajalta korvauksia auditoinnin toteuttamisesta

Liite henkilötietojen käsittelyä koskeviin ehtoihin (Varsinais-Suomen hyvinvointialueen yleiset tietosuoja- ja tietoturvaehdot)

KÄSITTELYTOIMIEN KUVAUS

1.Osapuolet

Tilaaja: Varsinais-Suomen hyvinvointialue

Toimittaja: Turun kaupunki

2.Dokumentin tarkoitus

Tilaaja on tehnyt Toimittajan kanssa Sopimuksen, joka koskee sellaista palvelua, jossa Toimittaja toimii Tilaajan ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä.

Tässä dokumentissa kuvataan käsittelytoimet, joita Toimittaja henkilötietojen käsittelijänä tekee Tilaajan puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämä dokumentti liitetään osaksi Sopimuksen liitettä 1.

Henkilötietojen käsittelyssä on noudatettava Toimittajan ja Tilaajan välistä Sopimusta sekä Tilaajan ohjeita.

3.Henkilötietojen tyypit ja rekisteröityjen ryhmät

Osapuolet ovat sopineet, että Toimittaja käsittelee Tilaajan puolesta Sopimuksessa sovitun palvelun toteuttamiseksi seuraavia Tilaajan henkilörekisteriin kuuluvia henkilötietoja.

Toimittaja käsittelee asiakkaan asianhoitamista varten tarpeellisia tietoja

okuten asiakkaan nimi, henkilötunnus, yhteystiedot

osopimus asiakkaan palvelusta, josta ilmenevät sopijaosapuolet, sopimuksen kesto, palvelun tavoite, työtoiminnan tehtävät sekä niiden sisältö, ohjauksen järjestäminen, poissaoloista ilmoittaminen, sopimuksen tarkistuspäivä, sopimuksen ehdot, päivittäinen työtoiminta-aika ja viikoittainen tuntimäärä

oasiakkaan poissaoloihin liittyvät tiedot ja mahdolliset todistukset sekä muut sellaiset tiedot, jotka ovat välttämättömiä kuntouttavan työtoiminnan tehtäviin liittyen.

4.Käsittelyn luonne ja tarkoitus

Osapuolet ovat sopineet, että osapuolet toteuttavat yhteistoiminnassa kuntouttavan työtoiminnan palveluita. Kuntouttavan työtoiminnan tarkoituksenmukaiseksi toteuttamiseksi Toimittaja käsittelee vain Turun kaupunkiin ohjattujen kuntouttavan työtoiminnan asiakkaiden yllä mainittuja henkilötietoja.

5.Henkilötietojen käsittelyn kesto

Tässä liitteessä yksilöityjen henkilötietojen käsittely päättyy Toimittajan osalta kun asiakkaan kuntouttavan työtoiminnan jakso kunnassa/ kaupungissa päättyy. Henkilötietojen käsittely päättyy kuitenkin viimeistään tämän Sopimuksen päättyessä.