Aluehallitus
Pöytäkirja 21.12.2022/Pykälä 260

Henkilötietojen käsittelyn ehtojen päivitys 1.1.2023

Aluehallitus 21.12.2022 § 260

Lisätiedot Va. hallintojohtaja Ilkka Naukkarinen, ilkka.naukkarinen@siunsote.fi,

                                                puh. 013 330 4503.

Päätösehdotus Hyvinvointialuejohtaja Leivonen Kirsi:

 Aluehallitus päättää

1. hyväksyä liitteenä olevat henkilötietojen käsittelyn ehdot siten, että ne astuvat voimaan 1.1.2023 lähtien

2. hyväksyä, että henkilötietojen käsittelyn ehtoja käytetään ensisijaisina sopimusliitteinä sovittaessa henkilötietojen käsittelystä hyvinvointialueen palveluntuottajien kanssa sekä hyvinvointialueelle hakeutuvien palvelusetelituottajien osalta

3. hyväksyä, että henkilötietojen käsittelystä voidaan tilannekohtaisesti sopia muilla EU:n yleisen tietosuoja-asetuksen mukaisilla ehdoilla, mikäli hyvinvointialueella sopimuksesta tai palvelun hankkimisesta vastaava henkilö näin päättää

4. valtuuttaa jatkossa hallintojohtajan tekemään henkilötietojen käsittelyn ehtoihin teknisiä muutoksia ja korjauksia sekä saattamaan tehdyt muutokset aluehallituksen tietoon.

Päätös Hyväksyttiin.

Selostus Pohjois-Karjalan hyvinvointialue toimii rekisterinpitäjänä, kun se määrittelee toiminnassaan ja palveluissaan henkilötietojen käsittelyn tarkoitukset ja keinot, tai kun sille on laissa säädetty rekisterinpitoa koskeva tehtävä. Jos hyvinvointialue rekisterinpitäjänä haluaa käyttää käsittelijää, esimerkiksi ulkoista palveluntuottajaa henkilötietojen käsittelyssä, tulee käsittelijän täyttää EU:n yleisen tietosuoja-asetuksen asettamat vaatimukset, ja rekisterinpitäjän ja käsittelijän on sovittava suoritettavasta käsittelystä sopimuksella tietosuoja-asetuksen 28 artiklan mukaisesti.

Henkilötietojen käsittelijän rekisterinpitäjän lukuun toteuttamaa henkilötietojen käsittelyä on määritettävä sopimuksella tai muulla sitovalla asiakirjalla, jossa vahvistetaan tietojen käsittelyn tarkoitus, luonne, kohde, kesto, henkilötietojen tyypit ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on sovittava erityisesti, että henkilötietojen käsittelijä

a)      käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja EU:n tai ETA-maiden ulkopuolelle

b)      varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus

c)       toteuttaa kaikki tietosuoja-asetuksen 32 artiklassa vaaditut käsittelyn turvallisuuteen liittyvät tekniset ja organisatoriset toimenpiteet

d)      käyttää toisia käsittelijöitä eli alikäsittelijöitä (alihankkijoita) rekisterinpitäjän luvalla ja vastaa alikäsittelijöiden velvoitteiden täyttämisestä

e)      auttaa asianmukaisin toimenpitein rekisterinpitäjää täyttämään tätä koskevat tietosuoja-asetuksen 32-36 artiklan mukaiset velvoitteet sekä rekisterinpitäjän velvollisuuden vastata rekisteröityjen pyyntöihin

f)        saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tämän velvollisuuksien noudattamisen osoittamista varten ja sallii rekisterinpitäjän tai muun tämän valtuuttaman auditoijan suorittamat tarkastukset

g)       poistaa tai palauttaa rekisterinpitäjälle kaikki henkilötiedot käsittelytoimien päätyttyä.

Pohjois-Karjalan sosiaali- ja terveyspalvelujen kuntayhtymässä henkilötietojen käsittelystä on sovittu erillisin ehdoin vuodesta 2018, jolloin EU:n yleistä tietosuoja-asetusta alettiin soveltaa. Kuntayhtymän siirtyessä Pohjois-Karjalan hyvinvointialueeksi henkilötietojen käsittelyn ehtoja on rakenteellisesti uudistettu sekä pyritty sisällöllisesti selkiyttämään. Käsittelyn ehtoihin kuuluu erottamattomana osana henkilötietojen käsittelytoimien kuvaus, joka sisältää sopimus- tai palvelukohtaiset tarkemmat tiedot henkilötietojen käsittelytoimista, kuten henkilötietojen käsittelyn kohteesta, luonteesta ja tarkoituksesta sekä henkilötietojen tyypeistä ja rekisteröityjen ryhmistä.

Henkilötietojen käsittelyn ehdot muodostavat erillisen kokonaisuuden, jota käytetään sopimuksen tai tarjouspyynnön liitteenä hyvinvointialueella 1.1.2023 alkaen. Ehtoja sovelletaan lisäksi palvelusetelipalvelujen tuottajaksi hakeutuvien palveluntuottajien osalta, ja ehdot lisätään hyvinvointialueen palvelusetelisääntökirjan yleisen osan ja palvelukohtaisten osien liitteiksi 1.1.2023 alkaen.

Kuntayhtymän tietosuojatyöryhmä on suositellut kokouksessaan 8.12.2022 seuraavaa:

• Pohjois-Karjalan hyvinvointialueelle laadittuja henkilötietojen käsittelyn ehtoja tullaan käyttämään ensisijaisina sopimusliitteinä sovittaessa henkilötietojen käsittelystä hyvinvointialueen palveluntuottajien kanssa sekä hyvinvointialueelle hakeutuvien palvelusetelituottajien osalta.

• Mikäli palveluntuottaja ilmaisee, ettei se halua sitoutua hyvinvointialueen henkilötietojen käsittelyn ehtoihin, on henkilötietojen käsittelystä kuitenkin sovittava tietosuoja-asetuksen mukaisesti. Tällöin hyvinvointialueella sopimuksesta tai palvelun hankkimisesta vastaavan henkilön vastuulla on varmistua siitä, että osapuolten välille vahvistetaan kyseessä olevaan henkilötietojen käsittelytilanteeseen sopivat muut henkilötietojen käsittelyn ehdot siten, ettei tietojen käsittelystä aiheudu riskiä rekisteröityjen oikeuksille ja vapauksille.

• Pohjois-Karjalan hyvinvointialueelle laadittujen henkilötietojen käsittelyn ehtojen erottamattomaksi osaksi tulee ensisijaisesti laatia ehtojen liitteenä oleva henkilötietojen käsittelytoimien kuvaus. Vaihtoehtoisesti vastaavan kuvauksen voi laatia muulla tavoin henkilötietojen käsittelytilanteeseen soveltuen. Tällöin hyvinvointialueella sopimuksesta tai palvelun hankkimisesta vastaavan henkilön vastuulla on varmistua siitä, että kuvauksessa olevat tiedot vastaavat tietosuoja-asetuksen vaatimuksia.