Perustelut
Valmistelijat: Tutkimus- ja tietosuojajuristi Päivi Hiltunen p. 050 465 8399 ja tietosuojavastaava Anttoni Nemtsinkoff p. 040 565 0365.
Tausta
Tietosuoja-asetuksen (EU) 2016/679 28 artiklan mukaan henkilötietojen käsittelijän suorittamasta henkilötietojen käsittelystä on sovittava rekisterinpitäjän ja käsittelijän välillä kirjallisella sopimuksella tai muulla oikeudellisella asiakirjalla. Artikla sisältää myös sopimuksen vähimmäissisältöä koskevat vaatimukset.
Nordlabin ja Pohteen väliset sopimukset
Pohteen ja Nordlabin välillä on solmittu useita sopimuksia, joiden toteuttamisen yhteydessä käsitellään henkilötietoja. Osassa sopimuksista henkilötietojen rekisterinpitäjänä toimii Pohde ja Nordlab Pohteen henkilötietojen käsittelijänä. Joissain sopimuksissa rekisterinpitäjänä toimii Nordlab ja Pohde Nordlabin henkilötietojen käsittelijänä.
Kaikissa Pohteen ja Nordlabin välisissä sopimuksissa ei ole tietosuoja-asetuksen 28 artiklan mukaisia henkilötietojen käsittelyä koskevia ehtoja ja osassa vanhemmista sopimuksista ehdot olisi syytä päivittää.
Aluehallitus on päätöksessään 20.12.2022 § 514 hyväksynyt Nordlab hyvinvointiyhtymän palvelusopimuksen. Päätöksessä on mainittu, että palvelusopimuksen liite henkilötietojen käsittelyehdot tuodaan myöhemmin hyväksyttäväksi.
Henkilötietojen käsittelyn ehdot Pohteella
Aluehallitus on päätöksessään 26.3.2024 § 134 hyväksynyt Pohteen henkilötietojen käsittelyn ehdot, joita tulisi lähtökohtaisesti käyttää silloin, kun Pohde toimii rekisterinpitäjänä.
Pohteen aluehallituksen hyväksymien henkilötietojen käsittelyn ehtojen sijaan Nordlabin kanssa solmittavissa sopimuksissa on tarkoitus noudattaa hyväksyttäväksi esitettäviä tietosuojaliitettä liitteineen. Tietosuojaliite toimii 28 artiklan tarkoittamana kirjallisena sopimuksena.
Henkilötietojen käsittelyn ehdot Nordlabin sopimuksissa YTA-alueella
Nordlab on toivonut, että kaikkien YTA-alueen hyvinvointialueiden kanssa solmituissa sopimuksissa olisi käytössä samat henkilötietojen käsittelyn ehdot, jotta samoja asioita ei tarvitsisi neuvotella useaan kertaan eri hyvinvointialueiden kanssa. Tämä on ollut myös hyvinvointialueiden kannalta järkevää, koska näin on voitu saada neuvotteluissa ja ehtojen laatimisessa synergiaetua.
YTA-hyvinvointialueiden tietosuojavastaavista ja juristeista koostuva ryhmä ovat yhdessä laatineet yhteisen tietosuojaliitteen käytettäväksi kaikissa Nordlabin kanssa solmituissa sopimuksissa. Tietosuojaliite on tarkoitus päivittää kaikkiin jo voimassa oleviin Nordlabin ja kunkin YTA-hyvinvointialueen sopimuksiin. Lisäksi tietosuojaliitettä tai sen päivitettyjä versioita voidaan käyttää Nordlabin ja hyvinvointialueiden välisissä tulevissa sopimuksissa. Tietosuojaliite sisältää kaikki tietosuoja-asetuksen 28 artiklan edellyttämät asiat ja ovat tärkeimmiltä osin saman sisältöiset kuin Pohteen henkilötietojen käsittelyn ehdot.
Vastuunrajoituksen osalta YTA-hyvinvointialueiden tietosuojaliite on rekisterinpitäjän kannalta parempi, koska sen ehtojen mukaan vastuunrajoitusta ei sovelleta rekisteröidyille maksettaviin korvauksiin, joista säädetään tietosuoja-asetuksen 82 artiklassa.
Nordlabin ehtona YTA-hyvinvointialueiden laatiman tietosuojaliitteen käyttämiselle niissä sopimuksissa, joissa kukin hyvinvointialue toimii rekisterinpitäjänä, on ollut se, että sitä käytetään myös niissä sopimuksissa, joissa Nordlab toimii rekisterinpitäjänä ja kukin hyvinvointialue henkilötietojen käsittelijänä.
Muut YTA-hyvinvointialueet ja Nordlab ovat ilmoittaneet saattavansa tahoillaan asian päätöksentekoon ja ovat alustavasti ilmoittaneet, että yhteisesti laadittua tietosuojaliitettä voitaisiin käyttää molemmin puolin kaikissa Pohteen ja Nordlabin välisissä nykyisissä, voimassa olevissa sopimuksissa, joissa käsitellään henkilötietoja. Tämän lisäksi lähtökohtaisesti näitä tietosuojaliitteitä tai niiden päivitettyjä versioita voidaan käyttää Nordlabin ja hyvinvointialueiden välisissä tulevissa sopimuksissa.
Pohteen kokonaisvaltaisen riskienhallintaryhmän käsittely
Poikkeamat aluehallituksen 26.3.2024 § 134 hyväksymiin henkilötietojen käsittelyn ehtoihin on tullut käsitellä Pohteen kokonaisvaltaisen riskienhallinnan ohjausryhmässä.
Tietosuojaliite liitteineen on käsitelty ja niiden kanssa eteneminen on hyväksytty Pohteen strategisessa tietosuoja-tietoturvaryhmässä (nyk. kokonaisvaltaisen riskienhallinnan ohjausryhmä) 28.4.2025 ja kokonaisvaltaisen riskienhallinnan ohjausryhmässä 19.1.2026.
Valmistelijan ehdotus
Sari Haataja, hallintojohtaja (p. 040 482 9590)
Aluehallitus
- hyväksyy YTA-hyvinvointialueiden yhteisesti laatiman tietosuojaliitteen liitteineen (1-4);
- hyväksyy YTA-hyvinvointialueiden tietosuojaliitteen liitteineen (1-4) päivitettäväksi ja/tai lisättäväksi kaikkiin Pohteen ja Nordlabin välisiin voimassa oleviin sopimuksiin, joissa käsitellään henkilötietoja riippumatta siitä, kumpi taho toimii rekisterinpitäjänä;
- hyväksyy tietosuojaliitteen liitteineen (1-4) käytettäväksi kaikissa Pohteen ja Nordlabin välisissä tulevissa sopimuksissa, joissa käsitellään henkilötietoja riippumatta siitä, kumpi taho toimii rekisterinpitäjänä; ja
- päättää, että hallintopalveluissa voidaan tehdä Tietosuojaliitteeseen ja sen liitteisiin teknisluonteisia tarkistuksia ja antaa tarkentavia menettelyohjeita; ja
- edellyttää tietosuojaliitteen ja sen liitteiden (1-4) voimaantulon osalta, että Nordlab hyväksyy ne osaltaan.
Päätösehdotus
Esittelijä: Ilkka Luoma, hyvinvointialuejohtaja
Aluehallitus hyväksyy hallintojohtajan ehdotuksen.