Tietojenkäsittelysopimus
Tämä DPA on osa käyttöehtoja ja kuvastaa sitoutumistamme GDPR- ja CCPA-vaatimustenmukaisuuteen.
Versio 1.0 | Viimeksi päivitetty: joulukuu 2024
1. Osapuolet
Rekisterinpitäjä
Sinä, asiakas
Henkilötietojen käsittelijä
ClientFlow
1.1 Käsittelyn laajuus
Tämä DPA koskee henkilötietojen käsittelyä, kun:
- ClientFlow käsittelee henkilötietoja rekisterinpitäjän puolesta osana palvelun tarjoamista
- Käsittely liittyy rekisterinpitäjän asiakassuhteiden hallintaan
- Rekisteröidyt ovat rekisterinpitäjän asiakkaita ja liikekontakteja
Käsittelytoiminnot
- Asiakkaiden yhteystietojen säilyttäminen ja organisointi
- Maksutapahtumien tallentaminen ja seuranta
- Valtuutettujen viestien lähettäminen (muistutukset, ilmoitukset)
- Analytiikan ja raporttien luominen aggregoidun datan perusteella
2. Tietoluokat
| Kategoria | Esimerkit | Tarkoitus |
|---|---|---|
| Tilitiedot | Sähköposti, nimi, profiilikuva | Palvelun käyttö |
| Asiakastiedot | Asiakkaiden nimet, puhelimet, sähköpostit | CRM-toiminnallisuus |
| Maksutiedot | Summat, päivämäärät, tilat | Maksuseuranta |
| Käyttötiedot | Kirjautumisajat, ominaisuuksien käyttö | Turvallisuus, parantaminen |
3. Käsittelijän velvollisuudet
Me sitoudumme:
- Käsittelemään tietoja vain dokumentoitujen ohjeidesi mukaisesti
- Varmistamaan, että henkilöstö on sitoutunut salassapitoon
- Toteuttamaan asianmukaiset turvatoimet
- Avustamaan rekisteröityjen oikeuksien pyynnöissä
- Ilmoittamaan tietoturvaloukkauksista 72 tunnin kuluessa
- Poistamaan tiedot sopimuksen päättyessä (säilytysajan jälkeen)
4. Turvatoimet
Tekniset
- TLS 1.3 (siirto)
- AES-256 (levy)
- OAuth 2.0 -todennus
- Roolipohjainen pääsynhallinta
- Reaaliaikainen valvonta
Organisatoriset
- Kirjalliset turvallisuus- ja tietojenkäsittelykäytännöt
- Poikkeamiin reagointimenettely
- Toimittajien ja alikäsittelijöiden arvioinnit
- Salassapitovelvollisuus kaikille, joilla on pääsy tietoihin
- Muutoksenhallinta tuotantojärjestelmille
5. Alikäsittelijät
Käytämme seuraavia hyväksyttyjä alikäsittelijöitä:
| Palveluntarjoaja | Palvelu | Sijainti | DPF |
|---|---|---|---|
| Google Cloud | Todennus | USA | Kyllä |
| iyzico | Maksut | Turkki | SCC:t |
| Meta (WhatsApp) | Viestit | USA | Kyllä |
| Lähetä uudelleen | Sähköposti | USA | SCC:t |
| Hetzner | Isännöinti ja tietokanta | Saksa (EU) | SCC:t |
| Cloudflare | CDN ja tallennus | EU | Kyllä |
DPF = EU-US Data Privacy Framework -sertifioitu
Aliprosessorien muutosilmoitukset
Ilmoitamme sinulle kaikista alikäsittelijöihin suunnitelluista muutoksista:
- Vähintään 14 päivää etukäteen ennen alikäsittelijöiden lisäämistä tai korvaamista
- Ilmoitus sähköpostitse rekisteröityyn tilisi sähköpostiosoitteeseen
- Voit vastustaa muutoksia 14 päivän kuluessa ottamalla meihin yhteyttä
- Jos vastalausettasi ei voida ratkaista, voit lopettaa kyseiset palvelut
5.1 Tarkastusoikeudet
Rekisterinpitäjällä on oikeus varmistaa tämän DPA:n noudattaminen:
- Pyytää asiaankuuluvia dokumentteja ja sertifikaatteja
- Suorittaa tarkastuksia vähintään 30 päivän kirjallisella ilmoituksella
- Tarkastukset suoritetaan normaalien toimistoaikojen aikana
- Tarkastajan on allekirjoitettava salassapitosopimus
Tarkastuksen laajuus
- Turvatoimenpiteet ja tekniset suojatoimet
- Alakäsittelijöiden vaatimustenmukaisuus
- Tietojenkäsittelymenettelyt
- Tietoturvapoikkeamien käsittelyvalmius
Tarkastuskustannukset maksaa rekisterinpitäjä, ellei tarkastus paljasta olennaista vaatimustenvastaisuutta.
6. Tietojen säilytys ja poisto
Säilytämme henkilötietoja vain niin kauan kuin kuvattujen tarkoitusten kannalta on tarpeen tai sovellettavan lain vaatimana (esim. Turkin verotusmenettelylaki ja Turkin kauppalaki, jotka edellyttävät kirjanpito- ja kaupallisten tietojen säilyttämistä jopa 10 vuotta).
| Aikajana | Toiminto |
|---|---|
| Tilin poistopyynnön jälkeen | Aktiiviset asiakastiedot poistetaan tai anonymisoidaan 30 päivän kuluessa |
| Jopa 10 vuotta | Maksu- ja laskutustiedot säilytetään, kun vero- ja kauppalaki sitä edellyttää |
| Sopimuksen päättyessä | Henkilötiedot palautetaan tai poistetaan 30 päivän kuluessa, ellei lakisääteisiä säilytysvelvoitteita ole |
7. CCPA-määräykset
CCPA:n mukaan toimimme "Palveluntarjoajana" ja:
- Käsittelemme tietoja vain määriteltyihin liiketoimintatarkoituksiin
- Emme myy henkilötietoja
- Avustamme kuluttajien oikeuspyynnöissä
- Toteutamme kohtuulliset turvatoimet
8. Tietoturvaloukkausilmoitus
Henkilötietojen tietoturvaloukkauksen sattuessa sitoudumme seuraavaan:
Ilmoitusaikataulu
- Ilmoitamme sinulle 72 tunnin kuluessa siitä, kun olemme tulleet tietoisiksi loukkauksesta
- Tarjoamme alustavan arvion loukkauksen laajuudesta ja vaikutuksista
- Toimitamme yksityiskohtaisen kirjallisen ilmoituksen 5 arkipäivän kuluessa
Ilmoituksen sisältö
- Loukkauksen luonne, mukaan lukien kategoriat ja noin kyseessä olevien rekisteröityjen määrä
- Tietosuojayhteyshenkilön yhteystiedot lisäkysymyksiä varten
- Kuvaus loukkauksen todennäköisistä seurauksista
- Toteutetut tai ehdotetut toimenpiteet loukkauksen käsittelemiseksi
- Toimenpiteet mahdollisten haittavaikutusten lieventämiseksi
Teemme täysimääräistä yhteistyötä tutkimuksessasi ja kaikissa sääntelykyselyissä ja autamme loukkausilmoituksissa valvontaviranomaisille ja vaikutuksesta kärsiville henkilöille sovellettavan lain edellyttämällä tavalla.
9. Kansainväliset tiedonsiirrot
Kun henkilötietoja siirretään Euroopan talousalueen (ETA) ulkopuolelle, varmistamme asianmukaiset suojatoimet:
Siirtomekanismit
EU:n riittävyyspäätökset
Siirrot maihin, joita Euroopan komissio pitää riittävinä
EU-US Data Privacy Framework
Yhdysvaltalaisille käsittelijöille, jotka on sertifioitu DPF:n mukaisesti
Standard Contractual Clauses (SCCs)
EU-komission hyväksymät lausekkeet (2021 versio) muille siirroille
Suoritamme siirtovaikutusarvioinnit tarvittaessa ja toteutamme täydentäviä toimenpiteitä (teknisiä, organisatorisia ja sopimusperusteisia) tarvittaessa olennaisesti vastaavan suojatason varmistamiseksi.
Voit pyytää kopioita asiaankuuluvista siirtomekanismeista pyynnöstä.
10. Vastuu ja korvausvelvollisuus
Käsittelijän vastuu
ClientFlow on vastuussa vahingoista, jotka aiheutuvat käsittelystä, joka ei ole tämän DPA:n mukaista tai jossa olemme toimineet rekisterinpitäjän laillisten ohjeiden ulkopuolella tai niitä vastaan.
Rekisterinpitäjän vastuu
Rekisterinpitäjä on vastuussa vahingoista, jotka aiheutuvat käsittelystä, joka rikkoo sovellettavaa tietosuojalakia tai ei ole rekisterinpitäjän velvoitteiden mukaista tämän DPA:n mukaisesti.
Rajoitukset
- Kumpikaan osapuoli ei ole vastuussa epäsuorista, satunnaisista tai välillisistä vahingoista
- Kokonaisvastuun enimmäismäärä tämän DPA:n mukaisesti on rajoitettu 12 kuukauden aikana ennen vaatimusta maksettuihin maksuihin
- Nämä rajoitukset eivät koske salassapitoloukkauksia, tahallista väärinkäytöstä tai törkeää huolimattomuutta
Kumpikin osapuoli sitoutuu korvaamaan toiselle osapuolelle kolmansien osapuolten vaatimukset, jotka johtuvat korvausvastuullisen osapuolen tämän DPA:n tai sovellettavien tietosuojalakien rikkomisesta.
11. Päättäminen ja tietojen palautus
Kesto
Tämä DPA on voimassa palvelusopimuksen ajan ja niin kauan kuin käsittelemme henkilötietoja puolestasi.
Päättämisen jälkeen
- Valintasi mukaan palautamme tai poistamme kaikki henkilötiedot 30 päivän kuluessa
- Voit pyytää tietojen vientiä yleisesti käytetyssä koneellisesti luettavassa muodossa
- Sertifioimme poiston pyynnöstä
- Tiedot voidaan säilyttää sovellettavan lain edellyttämällä tavalla
Salassapitoa, vastuuta ja tietosuojaoikeuksia koskevat kohdat säilyvät tämän DPA:n päättymisen jälkeen.