Tämä henkilötietojen käsittelysopimus (DPA) täydentää palveluehtojamme ja kuvaa, miten käsittelemme henkilötietoja sinun puolestasi EU:n yleisen tietosuoja-asetuksen (GDPR) artiklan 28 mukaisesti. Sopimus astuu voimaan automaattisesti, kun käytät Vaivatta-palvelua.
1. Osapuolet
Rekisterinpitäjä ("Asiakas")
Sinä tai yritys, joka käyttää Vaivatta-palvelua tämän sopimuksen nojalla.
Henkilötietojen käsittelijä
Innovategy Oy (Y-tunnus 3281265-2), PL 10, 15101 Lahti, Suomi.
2. Käsittelyn kohde ja tarkoitus
Vaivatta tarjoaa human-concierge -palvelua suomalaisten pienyritysten digitaalisten työkalujen hallintaan. Käsittelemme henkilötietoja vain palvelusopimuksen toteuttamiseen — palveluiden käyttöönottoon ja ylläpitoon, asiakasviestintään, työkalujen valvontaan, häiriönhallintaan ja laskutukseen.
3. Käsiteltävät tietotyypit
Käsittelemme puolestasi seuraavia henkilötietoja:
- Yhteyshenkilöiden perustiedot: nimi, sähköposti, puhelinnumero, rooli
- Yritystiedot: nimi, Y-tunnus, osoite
- Palvelun käyttötiedot: kirjautumiset, käyttöloki, käyttäjäasetukset
- Concierge-keskustelujen sisältö: viestit ja liitteet, joita lähetät meille
- Hallinnoitavien työkalujen metatiedot: työkalulistat, toimittajat, sopimustiedot
Emme käsittele GDPR:n erityisryhmiin kuuluvia arkaluonteisia tietoja ilman erillistä kirjallista sopimusta.
4. Rekisteröidyt
Käsittely voi koskea seuraavia henkilöryhmiä:
- Asiakkaan työntekijät ja yhteyshenkilöt
- Asiakkaan käyttämien työkalujen pääkäyttäjät
- Mahdolliset muut henkilöt, joiden tiedot päätyvät concierge-keskusteluihin asiakkaan toimesta
5. Käsittelijän velvollisuudet
Innovategy Oy sitoutuu:
- Käsittelemään henkilötietoja vain dokumentoitujen ohjeidesi mukaisesti
- Varmistamaan, että henkilöstömme on sitoutunut salassapitoon
- Toteuttamaan asianmukaiset tekniset ja organisatoriset suojatoimet (kuvattu Tietoturva-sivulla)
- Käyttämään alihankkijoita vain alla luetelluin ehdoin
- Avustamaan rekisteröityjen oikeuksien toteuttamisessa
- Ilmoittamaan tietoturvaloukkauksista 72 tunnin kuluessa havaitsemisesta
- Poistamaan tai palauttamaan henkilötiedot sopimuksen päättyessä
- Toimittamaan kohtuullisia tietoja vaatimustenmukaisuuden osoittamiseksi
6. Alihankkijat
Käytämme seuraavia alihankkijoita henkilötietojen käsittelyssä. Hyväksyt tämän alihankkijaluettelon ottamalla palvelun käyttöön. Ilmoitamme luettelon muutoksista vähintään 14 päivää etukäteen ja sinulla on oikeus vastustaa muutoksia perustellusta syystä.
| Alihankkija | Käyttötarkoitus | Sijainti | Suojakeino |
|---|---|---|---|
| Hetzner Online GmbH | Palvelininfrastruktuuri ja tallennus | Suomi (Tuusula), Saksa (varmuuskopiot) | EU |
| Stripe Payments Europe Ltd. | Maksujen käsittely | Irlanti | EU |
| Meta Platforms Ireland Ltd. | WhatsApp Business -viestintä | Irlanti | EU |
| Cloudflare, Inc. (R2) | Mediasisältöjen tallennus | EU-alue | EU + SCC |
| Twilio Sendgrid Ireland | Sähköpostin lähetys | Irlanti | EU |
Mosparo-botinesto ja asiakaskohtainen Passbolt-salasanavakka toimivat omilla palvelimillamme Hetznerin konesalissa, eivätkä ole erillisiä alihankkijoita. SCC = EU:n vakiosopimuslausekkeet.
7. Tietojen siirrot
Henkilötietojasi käsitellään ja säilytetään ensisijaisesti Suomessa. Mahdolliset varmuuskopiot voivat sijaita muualla EU:ssa. Tietoja ei siirretä EU/ETA-alueen ulkopuolelle. Jos siirto tulisi tarpeelliseksi tulevaisuudessa, ilmoitamme siitä etukäteen ja varmistamme siirron laillisuuden EU:n vakiosopimuslausekkeilla tai muulla GDPR:n hyväksymällä suojakeinolla.
8. Tekniset ja organisatoriset turvatoimet
Sovellamme muun muassa seuraavia turvatoimia:
- Liikenteen salaus (TLS 1.3) ja lepäävien tietojen salaus levyllä
- Pääsynhallinta vähimmän oikeuden periaatteella ja kaksivaiheisella tunnistautumisella
- Säännöllinen tietoturvapäivitysten asentaminen ja haavoittuvuusskannaus
- Auditointiloki tärkeistä tapahtumista
- Säännöllinen palautumiskyvyn testaus varmuuskopioista
Täydellinen kuvaus on Tietoturva-sivulla.
9. Tietoturvaloukkauksesta ilmoittaminen
Jos havaitsemme henkilötietoihisi kohdistuvan tietoturvaloukkauksen, ilmoitamme siitä sinulle viipymättä, viimeistään 72 tunnin kuluessa havaitsemisesta. Ilmoitus sisältää:
- Kuvauksen loukkauksesta ja sen ajankohdasta
- Loukkauksen kohteena olevien tietojen ja rekisteröityjen luonteen
- Todennäköiset seuraukset
- Toimenpiteet, jotka olemme jo toteuttaneet tai aiomme toteuttaa
- Yhteyshenkilön lisätietojen hankkimista varten
10. Tarkastusoikeus
Sinulla on oikeus tarkistaa, että noudatamme tätä sopimusta. Tarkastukset suoritetaan:
- Kohtuullisella ennakkoilmoituksella (vähintään 30 päivää)
- Normaalina työaikana ja ilman, että ne haittaavat palvelun toimintaa
- Enintään kerran vuodessa, ellei tietoturvaloukkaus tai viranomaispyyntö edellytä muuta
Vaihtoehtoisesti voimme toimittaa pyynnöstä yhteenvedon turvatoimistamme ja viimeisimmistä auditoinneista.
11. Voimassaolo ja päättyminen
Tämä DPA on voimassa niin kauan kuin käytät Vaivatta-palvelua. Sopimuksen päättyessä:
- Voit pyytää tietojesi vientiä koneluettavassa muodossa ennen palvelun päättymistä
- Poistamme aktiivisesta käytöstä olevat henkilötiedot 30 päivän kuluessa sopimuksen päättymisestä
- Varmuuskopioista tiedot poistuvat 90 päivän kuluessa palautumisaikataulun mukaisesti
- Voimme säilyttää tietoja, jos laki sitä erikseen vaatii (esim. kirjanpitolaki)
12. Sopimuksen hyväksyminen
Tämä DPA astuu voimaan automaattisesti, kun hyväksyt Vaivatan palveluehdot ja alat käyttää palvelua. Sopimus on osa palvelukokonaisuuttasi eikä edellytä erillistä allekirjoitusta.
Jos tarvitset allekirjoitetun version arkistointia tai sisäisiä vaatimuksiasi varten, otathan yhteyttä — toimitamme PDF:n pyynnöstä.
Kysymyksiä?
Tietosuoja- ja sopimusasioissa:
- Tietosuoja-asiat
- [email protected]
- Sopimusasiat
- [email protected]