1 TIETOSUOJAVASTAAVA PROJEKTI SOPIMUS
2 Sisällysluettelo 1. Sopimuksen tausta ja tavoitteet... 3 2. Sopijaosapuolet... 3 3. Kuntien konserniyhtiöiden projektiin osallistuminen... 5 4. Tietosuojavastaava projektin tavoitteet... 5 5. Sopijaosapuolten roolit ja vastuut... 5 6. Projektin kesto ja päättäminen... 6 7. Kustannukset ja niiden jakaminen... 6 8. Ilmoitusvelvollisuus... 7 9. Sopimuksen muuttaminen... 7 10. Sopimuksen voimassaolo... 7 11. Salassapito... 7 12. Sopimuskappaleet... 7
3 1. Sopimuksen tausta ja tavoitteet :n hallitus on päättänyt kokouksessaan 20.9.2017 palkata kahden vuoden määräaikaisella työsopimuksella EU:n tietosuoja-asetuksen edellyttämän tietosuojavastaavan. Tietosuojavastaavan työnantaja on (myöhemmin PKSV Oy), mutta hänen asiantuntijaapalvelujaan voivat käyttää myös yrityksen omistajakunnat (Kannonkoski, Karstula, Kinnula, Kivijärvi, Kyyjärvi, Pihtipudas, Saarijärvi ja Viitasaari) sitoutumalla tämän sopimuksen ehtoihin. Tämän sopimuksen tavoitteena on sopia projektin tavoitteista, eri toimijoiden rooleista ja vastuista sekä projektin kustannuksista ja niiden jakamisesta. Tietosuojavastaavan palkkaamisesta perustetaan tietosuojavastaava projekti, johon osallistumista tämä sopimus koskee. 2. Sopijaosapuolet Yritys: Y-tunnus: 1608786-8 PL 13, Tuula Hakkarainen Kannonkosken kunta Y-tunnus: 0175798-8 Järvitie 1, 43300 KANNONKOSKI Karstulan kunta Y-tunnus: 9094917-1 Virastotie 4, 43500 KARSTULA
4 Kinnulan kunta Y-tunnus: 0242816-6 Keskustie 45, 43900 KINNULA Kivijärven kunta Y-tunnus: 0176150-6 Virastotie 5 A, 43800 KIVIJÄRVI Kyyjärven kunta Y-tunnus: 0176410-9 Honkalehdontie 8, 43700 KYYJÄRVI Pihtiputaan kunta Y-tunnus: 0243027-4 Keskustie 9, 44800 PIHTIPUDAS Saarijärven kaupunki Y-tunnus: 0176975-1 PL 13,
5 Viitasaaren kaupunki Y-tunnus: 0208573-0 Keskitie 10, 44500 VIITASAARI 3. Kuntien konserniyhtiöiden projektiin osallistuminen Kuntien konserniyhtiöiden edustajat voivat osallistua projektin järjestämiin koulutustilaisuuksiin. Muusta tietosuojavastaavan palvelujen käyttämisestä sovitaan aina erikseen. Sopiminen tapahtuu tämän sopimuksen liitteellä, jolla konserniyhtiö sitoutuu sopimuksen ehtoihin. 4. Tietosuojavastaava projektin tavoitteet Tietosuojavastaava projektin tavoitteena on nostaa sopimuksen kohdassa 2 mainittujen osallistujien tiedon tasoa EU:n tietosuoja-asetuksesta sekä auttaa osallistujia saattamaan henkilötietojen käsittelykäytäntönsä EU:n tietosuoja-asetuksen vaatimalle tasolle. Tietosuojavastaava -projektin tavoitteita ovat, että projektiin valittu henkilö: - toimii kuntien ja PKSV Oy:n tietosuojatyön asiantuntijana ja koordinoijana - seuraa yhdessä kuntatoimijoiden kanssa EU:n tietosuoja-asetuksen noudattamista - antaa pyydettäessä neuvoja vaikutustenarvioinnista - kouluttaa kuntien, kuntien konserniyhtiöiden ja PKSV Oy:n henkilökuntaa EU:n tietosuojaasetuksen vaatimuksista - tuottaa erikseen projektin aikana sovittavia tietosuojaan ja tietoturvaan liittyviä dokumentteja - toimii valvontaviranomaisten yhteyshenkilönä - tekee EU:n tietosuoja-asetuksen mukaisia henkilötietojen käsittelyyn liittyviä liitteitä olemassa oleviin ja tuleviin sopimuksiin - tekee tietotilinpäätösmallin projektin osallistujille sekä auttaa tarvittaessa osallistujia tietotilinpäätöksen tekemisessä Projektissa pyritään tekemään seudullista yhteistyötä dokumentoinnissa mahdollisuuksien mukaan. 5. Sopijaosapuolten roolit ja vastuut Projektin alussa kunnat perustavat kuntakohtaiset toimialaryhmät. Toimialaryhmien tehtävänä on tehdä kuntakohtaista tietosuojatyötä tietosuojavastaavan asiantuntemusta hyödyntäen. Tietosuojavastaava toimii ryhmien vetäjänä. Toimialaryhmät koostuvat henkilöistä, jotka tekevät tietosuojatyön käytännön toteutusta kunnissa.
6 Kukin sopijaosapuoli vastaa itse EU:n tietosuojaan liittyvän työn toteuttamisesta ja sen tuloksista. Palkattava tietosuojavastaavan rooli on toimia asiantuntijana, koordinoijana ja kouluttajana. Kunnat hyväksyvät tietosuojavastaavan tuottamat dokumentit ennen niiden käyttöönottoa ja vastaavat niiden oikeellisuudesta. PKSV Oy ei vastaa toiselle osapuolelle tai kolmannelle taholle (esimerkiksi toisen osapuolen asiakkaille) mahdollisesti aiheutuneista välittömistä tai välillisistä vahingoista. Kunnat sitoutuvat siihen, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn. Tietosuojavastaava kutsutaan säännöllisesti ylemmän tai keskitason johdon kokouksiin. Hänen läsnäolonsa on suositeltavaa tehtäessä päätöksiä, joilla on vaikutusta tietosuojaan. Kaikki olennaiset tiedot toimitetaan tietosuojavastaavalle viipymättä, jotta hän voi antaa asianmukaisia neuvoja. Tietosuojavastaavan näkemykselle annetaan aina asianmukainen painoarvo. Erimielisyystilanteessa dokumentoidaan perusteet, joiden vuoksi tietosuojavastaavan neuvoa ei noudateta. Tietosuojavastaavaa kuullaan nopeasti, jos ilmenee tietoturvaloukkaus tai muu ongelma. Kunnat sitoutuvat antamaan tietosuojavastaavalle mahdollisuuden suorittaa velvollisuutensa ja tehtävänsä riippumattomasti. Tietosuojavastaava ei ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta, vaan vastuu kuuluu niitä käsittelevän organisaation johdolle. Tietosuojasääntöjen noudattaminen on näin kuntien eikä tietosuojavastaavan vastuulla. 6. Projektin kesto ja päättäminen Projekti alkaa tietosuojavastaavan palkkaamisesta ja kestää kaksi vuotta palkkauksen loppuun saakka. PKSV Oy:n sitoutuu tietosuojavastaavan palkkaukseen projektin ajaksi. Kunnat vastaavat itse tietosuojavastaavan järjestämisestä projektin jälkeen. 7. Kustannukset ja niiden jakaminen PKSV Oy perustaa projektia varten kustannuspaikan kirjanpitoonsa. Projektin kustannukset jaetaan seuraavasti: 50 % kustannuksista jaetaan projektissa mukana olevien kuntien kesken tasan, loput kustannukset jyvitetään kuntakohtaisiin ja seudullisiin kustannuksiin tuntikirjanpidon mukaisesti. PKSV Oy vastaa kustannusten kohtuullisuudesta. PKSV Oy laskuttaa tietosuojavastaava projektin kustannuksia seuraavasti: vuoden alussa laskutetaan 50 % kustannusarvion kustannuksista. Loput laskutetaan kahdessa erässä. Kulut tasataan vuoden lopussa vastaamaan toteutuneita kustannuksia.
7 8. Ilmoitusvelvollisuus Kaikki osapuolet ovat velvollisia ilmoittamaan viipymättä kirjallisesti toiselle osapuolelle asioista, joilla on sopimuksen täyttämisen kannalta oleellista merkitystä. 9. Sopimuksen muuttaminen Tätä sopimusta voidaan muuttaa tai täydentää vain kaikkien Osapuolten allekirjoittamalla liitteellä. 10. Sopimuksen voimassaolo Sopimus astuu voimaan sen allekirjoituksesta. Sopimus päättyy, kun tietosuojavastaavan palkkauksen kahden vuoden määräaika päättyy. 11. Salassapito Palkattava tietosuojavastaava allekirjoittaa erillisen salassapitosopimuksen työssään tietoonsa tulleista salassa pidettävistä ja luottamuksellisista tiedoista. Myös kukin projektin osallistuja tekee erillisen salassapitosopimuksen tietosuojavastaavan kanssa. 12. Sopimuskappaleet Tämä sopimus on tehty 9 kappaleena, yksi (1) kullekin sopijaosapuolelle. Kannonkosken kunta
8 Karstulan kunta Kinnulan kunta Kivijärven kunta Kyyjärven kunta Pihtiputaan kunta
9 Saarijärven kaupunki Viitasaaren kaupunki