Heltin tietojenkäsittelyliite

1.1. Tämä tietojenkäsittelyliite (”Liite”) on liitetty osaksi ja muodostaa osan Heltti Oy:n (”Heltti”) yleisiä palveluehtoja, joita sovelletaan Heltin asiakkailleen (”Asiakas”) toimittamiin työterveyshuolto- ja työhyvinvointipalveluihin.

1.2. Liitteen tarkoituksena on varmistaa Heltin käsittelemien Asiakkaan henkilötietojen tietosuojan ja tietoturvan riittävä taso. Tämä Liite määrittelee henkilötietoja koskevan tietosuojan ja tietoturvan periaatteet ja ehdot, joita Heltti sitoutuu noudattamaan tuottaessaan palveluita Asiakkaalle.

1.3. Selvyyden vuoksi todetaan, että Heltti käsittelee Asiakkaan ja Asiakkaan työntekijöiden henkilötietoja myös itsenäisenä rekisterinpitäjänä esimerkiksi potilastietojen osalta. Tämä Liite koskee vain henkilötietoja, joita Heltin katsotaan käsittelevän Asiakkaan lukuun. Rekisteröityjen sekä henkilötietojen ryhmät on määritelty tämän liitteen lopussa.

2.1. Heltti käsittelee henkilötietoja ainoastaan palvelusopimuksessa määriteltyihin tarkoituksiin, vain siinä laajuudessa kuin on tarpeen Asiakkaan ja Asiakkaan työntekijöiden palvelua varten ja ainoastaan palvelusopimuksen voimassaoloajan, ellei pakottavasta lainsäädännöstä muuta johdu.

2.2. Heltti käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimii muutoinkin niin, ettei rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä̈ perustetta.

2.3. Heltti varmistaa, että henkilötietoja käsittelevät vain ne henkilöt, joiden työtehtävien hoitaminen sitä edellyttää ja että̈ nämä henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus.

2.4. Heltti siirtää Asiakkaan henkilötietoja Euroopan unionin ja Euroopan talousalueen ulkopuolelle ainoastaan tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa.

2.5. Heltti toteuttaa kaikki lainsäädännön henkilötietojen käsittelijöiltä edellyttämät turvallisuustoimenpiteet siten kuin tässä Liitteessä on tarkemmin sovittu.

2.6. Heltti avustaa mahdollisuuksien mukaan ja käsittelyn luonteen huomioon ottaen Asiakasta asianmukaisilla toimenpiteillä̈ täyttämään Asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä.

2.7. Heltti avustaa käsittelyn luonne ja Heltin saatavilla olevat tiedot huomioon ottaen Asiakasta varmistamaan, että Asiakkaalle laissa asetettuja velvollisuuksia, kuten turvatoimia, vaikutusten arviointia ja ennakkokuulemista, noudatetaan. Heltti on velvollinen avusta- maan Asiakasta vain sovellettavan lainsäädännön Heltille käsittelijänä asettamien velvoitteiden mukaisessa laajuudessa.

2.8. Heltti huomioi Asiakkaan toimittamat tietojen korjaukset, poistot ja muutokset ilman aiheetonta viivytystä henkilötietojen käsittelyssä̈. Heltti tuhoaa tai palauttaa Asiakkaalle Asiakkaan pyynnöstä kaikki henkilötiedot ja poistaa olemassa olevat jäljennökset, ellei pakottavasta lainsäädännöstä muuta johdu.

2.9. Heltti ylläpitää tarvittavia selosteita/kirjanpitoa käsittelytoimista ja tarvittaessa saattaa Asiakkaan saataville kaikki sellaiset tiedot, jotka osoittavat, että Heltti noudattaa sille tässä Liitteessä ja sovellettavassa lainsäädännössä säädettyjä velvollisuuksia.

2.10. Heltti ilmoittaa Asiakkaalle, jos Heltti katsoo, että Asiakkaan antama ohjeistus rikkoo sovellettavaa lainsäädäntöä tai Asiakkaan toimintatavoissa on puutteita, ja tarvittaessa avustaa Asiakasta toimintatapojen korjaamisessa.

2.11. Heltillä on oikeus laskuttaa yllä kuvatuista avustamisesta, korjaamisesta, pyyntöihin vastaamisesta ja Asiakkaan ohjeistuksen muutoksista johtuvista toimista ja kustannuksistaan.

3.1. Heltti toteuttaa soveltuvan tietosuojalainsäädännön määräämät asianmukaiset suojatoimenpiteet käsittelemiensä henkilötietojen suojaamiseksi. Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot, käsillä olevaan tietojenkäsittelyyn liittyvät erityiset riskit sekä käsiteltävien henkilötietojen arkaluonteisuus.

3.2. Heltti ilmoittaa Asiakkaalle ilman aiheetonta viivytystä tietoonsa saamistaan tietoturvaloukkauksista, kuten tietomurroista, vahingossa tapahtuneesta tai lainvastaisesta henkilötietojen tuhoamisesta, hävittämisestä, muuttamisesta, luvattomasta luovuttamisesta taikka pääsystä henkilötietoihin. Ilmoituksessa on mahdollisimman tarkasti kuvattava, mitä on tapahtunut, kenen henkilötietoja ja mitä henkilötietoja loukkaus koskee sekä arvioidut lukumäärät.

3.3. Heltti selvittää ilman aiheetonta viivytystä loukkauksen syyt ja vaikutukset ja tekee tarvittavat toimenpiteet loukkauksen lopettamiseksi, haittavaikutusten lieventämiseksi ja vastaavien loukkausten ehkäisemiseksi. Heltin on ilman aiheetonta viivytystä dokumentoitava selvityksen tulokset ja tehdyt toimenpiteet Asiakkaalle.

3.4. Heltti toimii yhteistyössä Asiakkaan kanssa ja toimittaa lain ja tietosuojaviranomaisten edellyttämän dokumentaation Asiakkaalle tietoturvaloukkauksiin liittyen.

4.1 Heltillä on oikeus käyttää alihankkijoita Asiakkaan henkilötietojen käsittelyssä. Alihankkijalla tarkoitetaan käsittelijää, joka käsittelee henkilötietoja tämän Liitteen mukaisesti, kokonaan tai osittain Heltin lukuun ja Heltin toimeksiannosta. Asiakkaan pyynnöstä Heltti ilmoittaa käsittelyssä käytettävät alihankkijat ja tiedottaa ennalta suunnitelluista muutoksista, joilla alihankkijoita lisätään tai vaihdetaan. Jos Asiakas ei hyväksy suunniteltua muutosta, Asiakkaalla ja Heltillä on oikeus kolmenkymmenen (30) päivän ajan muutoksen tiedottamisesta irtisanoa palvelusopimus päättymään kyseisen kolmenkymmenen (30) päivän jakson päättyessä sen palvelun osalta, jonka tuottamiseen alihankkijan muutos vaikuttaa ja jossa henkilötietoja käsitellään. Jos alihankkijavaihdos, jota Asiakas ei hyväksy ja johon Heltti ei voi vaikuttaa, estää tai olennaisesti vaikeuttaa jonkin palvelun tuottamista, Heltillä ei ole velvollisuutta tuottaa kyseistä palvelua.

4.2. Heltti tekee kirjalliset käsittelysopimukset alihankkijoiden kanssa ja edellyttää kaikkien alihankkijoiden noudattavan Heltille tässä Liitteessä asetettuja tietosuojavelvoitteita tai vastaavan tieto- suojan tason takaavia velvoitteita. Alihankkija käsittelee henkilötietoja vain kirjallisen sopimuksen mukaisesti. Heltti vastaa käyttämiensä alihankkijoiden toimista kuin omistaan.

5.1. Tämä Liite on osa Heltin yleisiä palveluehtoja 04/2022. Yleisten palveluehtojen kohta 4.1 (Salassapito) soveltuu myös Asiakkaan henkilötietoihin. Myös yleisten palveluehtojen kohdat 6 (Vahingonkorvaus ja vastuunrajoitukset) ja 8 (Sovellettava laki ja erimielisyyksien ratkaiseminen) soveltuvat myös tähän Liitteeseen.

Rekisteröityjen ryhmät	Asiakkaan työntekijät
Henkilötietojen ryhmät	Nimi ja henkilötunnus Yhteystiedot (osoite, sähköpostiosoite, puhelinnumero) Työsuhteen tiedot (työsuhteen alkamis- ja loppumispäivämäärä, rooli, osasto)

Heltti Oy (www.heltti.fi)
Mannerheimintie 12 A, 00100 Helsinki
Kotipaikka: Helsinki, Y-tunnus: 2544593-8
6/2023

1.1. This Data Processing Appendix (the “Appendix”) has been attached to and forms an integral part of Heltti Ltd’s (“Heltti”) General Terms and Conditions of Service that are applied to the occupational healthcare and wellbeing serviced provided by Heltti to its customers (the ”Customer”).

1.2. The purpose of the Appendix is to ensure the sufficient level of data protection and information security applicable to the personal data of the Customer and processed by Heltti. This Appendix sets out the principles and terms and conditions on data protection and information security that Heltti complies with in providing services to the Customer.

1.3. For the sake of clarity, Heltti processes information of the Customer and Customer’s employees also as independent data controller, for example, as regards patient data. This Appendix is only applied to such personal data which Heltti is regarded to process for the account of the Customer. Categories of data subjects and personal data have been defined at the end of this Appendix.

2.1. Heltti processes personal data only for the purposes set out in the service agreement, only to the extent necessary for providing services to the Customer and the Customer’s employees, and only during the term of the service agreement, unless otherwise required by mandatory legislation.

2.2. Heltti processes personal data with due care and in accordance with laws and good data processing practices, and in a manner not restricting the data subjects’ right to privacy or other fundamental rights relating to privacy, unless there are statutory grounds.

2.3. Heltti ensures that personal data is processed only by such persons whose work tasks require that and who have agreed to comply with confidentiality obligations or are bound by applicable statutory confidentiality obligations.

2.4. Heltti will transfer the Customer’s personal information outside the European Union or the European Economic Area only in accordance with the data protection legislation and the restrictions set therein.

2.5. Heltti executes all the security procedures required by law for data processors as agreed in more detail in this Appendix.

2.6. Heltti assists the Customer with appropriate procedures, to the extent possible and taking into consideration the circumstances, in complying with the Customer’s obligation to respond to the data subjects’ requests to use the data subjects’ rights.

2.7. Heltti assists the Customer in ensuring, to the extent possible and taking into consideration the circumstances, the compliance with the Customer’s statutory obligations, such as security measures, impact analysis and advance hearing. Heltti’s obligation to assist is restricted to the statutory obligations of a data processor.

2.8. Heltti complies, without unnecessary delay, with rectifications, erasures and amendments in the data processing that the Customer notifies to Heltti. At the request of the Customer, Heltti will erase or return to the Customer all personal data and deletes copies thereof, unless otherwise required by mandatory legislation.

2.9. Heltti maintains necessary descriptions/logs on data processing activities and, if necessary, provides the Customer with such information that is required to show that Heltti complies with its obligations under this Appendix and applicable legislation.

2.10. Heltti notifies the Customer if, in Heltti’s view, the Customer’s instructions are in breach of applicable legislation or if there are deficiencies in the Customer’s procedures. If necessary, Heltti assists the Customer in rectifying the Customer’s procedures.

2.11. Heltti has the right to invoice for Heltti’s actions and costs incurred in assisting the Customer, responding to the Customer’s request and amendments in the Customer’s instructions.

3.1. Heltti ensures an appropriate level of security by implementing technical and organizational measures required by applicable data protection laws. In implementing the data security measures, the available technical solutions, specific risks relating to the data processing and the sensitivity of the processed data are taken into account.

3.2. Heltti notifies the Customer, without delay after having become aware, of any data security incidents, such as security breaches, accidental or unlawful destruction or alteration, unauthorized disclosure or access to personal data. The notification is required to describe the events as accurately as possible, persons whose data or what data was concerned, and the volumes of affected data subjects or data.

3.3. Heltti investigates without unnecessary delay all causes for the breach and takes appropriate actions to end the breach, mitigate the effects and prevent further similar breaches. Heltti will without unnecessary delay document the results of the investigation and the actions taken for the Customer.

3.4. Heltti co-operates with the Customer and submits to the Customer the documentation required by legislation and data protection authorities regarding data security incidents.

4.1. Heltti has the right to use subcontractors in the processing of the Customer’s personal data. Subcontractor means a processor that processes personal data in accordance with this Annex, in whole or in part on behalf of Heltti and based on an assignment given by Heltti. At the Customer’s request, Heltti discloses the subcontractors used. Heltti gives to the Customer prior notice of planned changes to add or change subcontractors. If the Customer does not accept the planned change, the Customer and Heltti have the right within thirty (30) days from Heltti’s notice of the change to terminate the service agreement to end at the expiry of such thirty (30) days’ time period, for such service where personal data is processed and that is affected by the change of the subcontractor. If there is a change in subcontractors that the Customer does not accept and Heltti cannot avoid, and such change prevents or materially complicates the provision of certain service, Heltti has no obligation to provide such service

4.2. Heltti enters into written data processing agreements with the subcontractors and ensures that the subcontractors will comply with Heltti’s data protection obligations set out in this Appendix. The subcontractors will process personal data only in accordance with the written agreements. Heltti will be responsible for the subcontractors’ actions.

5.1 This Appendix forms an integral part of Heltti’s General Terms and Conditions of Service (04/2022). Section 4.1 (Confidentiality) applies also to the Customer’s personal data. In addition, Sections 6 (Damages and Limitations of Liability) and 8 (Applicable Laws and Settlement of Disputes) apply to this Appendix.

Categories of data subjects	Employees of the Customer
Categories of personal data	Name and personal identity number Contact details (address, e-mail, phone number) Information of employment (start and end date of employment, role, department)

Heltti Oy (www.heltti.fi)
Mannerheimintie 12 A, 00100 Helsinki
Domicile: Helsinki, Business ID: 2544593-8
6/2023