1. Osapuolet
Rekisterinpitäjä
Sinä, asiakas
Henkilötietojen käsittelijä
ClientFlow
1.1 Käsittelyn laajuus
Tämä DPA koskee henkilötietojen käsittelyä, kun:
- ClientFlow käsittelee henkilötietoja rekisterinpitäjän puolesta osana palvelun tarjoamista
- Käsittely liittyy rekisterinpitäjän asiakassuhteiden hallintaan
- Rekisteröidyt ovat rekisterinpitäjän asiakkaita ja liikekontakteja
Käsittelytoiminnot
- Asiakkaiden yhteystietojen säilyttäminen ja organisointi
- Maksutapahtumien tallentaminen ja seuranta
- Valtuutettujen viestien lähettäminen (muistutukset, ilmoitukset)
- Analytiikan ja raporttien luominen aggregoidun datan perusteella
2. Tietoluokat
| Kategoria | Esimerkit | Tarkoitus |
|---|---|---|
| Tilitiedot | Sähköposti, nimi, profiilikuva | Palvelun käyttö |
| Asiakastiedot | Asiakkaiden nimet, puhelimet, sähköpostit | CRM-toiminnallisuus |
| Maksutiedot | Summat, päivämäärät, tilat | Maksuseuranta |
| Käyttötiedot | Kirjautumisajat, ominaisuuksien käyttö | Turvallisuus, parantaminen |
3. Käsittelijän velvollisuudet
Me sitoudumme:
- Käsittelemään tietoja vain dokumentoitujen ohjeidesi mukaisesti
- Varmistamaan, että henkilöstö on sitoutunut salassapitoon
- Toteuttamaan asianmukaiset turvatoimet
- Avustamaan rekisteröityjen oikeuksien pyynnöissä
- Ilmoittamaan tietoturvaloukkauksista 72 tunnin kuluessa
- Poistamaan tiedot sopimuksen päättyessä (säilytysajan jälkeen)
4. Turvatoimet
Tekniset
- TLS 1.3 (siirto)
- AES-256 (levy)
- OAuth 2.0 -todennus
- Roolipohjainen pääsynhallinta
- Reaaliaikainen valvonta
Organisatoriset
- Turvallisuuskäytännöt
- Tapahtumien käsittelysuunnitelma
- Säännölliset auditoinnit
- Toimittajien turvallisuuskatselmukset
- Henkilöstön koulutus
5. Alikäsittelijät
Käytämme seuraavia hyväksyttyjä alikäsittelijöitä:
| Palveluntarjoaja | Palvelu | Sijainti | DPF |
|---|---|---|---|
| Google Cloud | Todennus | USA | Kyllä |
| iyzico | Maksut | Turkki | SCC:t |
| Meta (WhatsApp) | Viestit | USA | Kyllä |
| Lähetä uudelleen | Sähköposti | USA | SCC:t |
| Hetzner | Isännöinti ja tietokanta | Saksa (EU) | SCC:t |
| Cloudflare | CDN ja tallennus | EU | Kyllä |
DPF = EU-US Data Privacy Framework -sertifioitu
Aliprosessorien muutosilmoitukset
Ilmoitamme sinulle kaikista alikäsittelijöihin suunnitelluista muutoksista:
- Vähintään 14 päivää etukäteen ennen alikäsittelijöiden lisäämistä tai korvaamista
- Ilmoitus sähköpostitse rekisteröityyn tilisi sähköpostiosoitteeseen
- Voit vastustaa muutoksia 14 päivän kuluessa ottamalla meihin yhteyttä
- Jos vastalausettasi ei voida ratkaista, voit lopettaa kyseiset palvelut
5.1 Tarkastusoikeudet
Rekisterinpitäjällä on oikeus varmistaa tämän DPA:n noudattaminen:
- Pyytää asiaankuuluvia dokumentteja ja sertifikaatteja
- Suorittaa tarkastuksia vähintään 30 päivän kirjallisella ilmoituksella
- Tarkastukset suoritetaan normaalien toimistoaikojen aikana
- Tarkastajan on allekirjoitettava salassapitosopimus
Tarkastuksen laajuus
- Turvatoimenpiteet ja tekniset suojatoimet
- Alakäsittelijöiden vaatimustenmukaisuus
- Tietojenkäsittelymenettelyt
- Tietoturvapoikkeamien käsittelyvalmius
Tarkastuskustannukset maksaa rekisterinpitäjä, ellei tarkastus paljasta olennaista vaatimustenvastaisuutta.
6. Tietojen säilytys ja poisto
Tietosi säilytetään tilin palauttamista ja sääntelyvaatimusten noudattamista varten.
| Aikajana | Toiminto |
|---|---|
| Välittömästi | Tili deaktivoitu |
| Toistaiseksi | Tiedot säilytetään (arkistoitu) |
| Milloin tahansa | Tili voidaan aktivoida uudelleen |
7. CCPA-määräykset
CCPA:n mukaan toimimme "Palveluntarjoajana" ja:
- Käsittelemme tietoja vain määriteltyihin liiketoimintatarkoituksiin
- Emme myy henkilötietoja
- Avustamme kuluttajien oikeuspyynnöissä
- Toteutamme kohtuulliset turvatoimet
8. Tietoturvaloukkausilmoitus
Henkilötietojen tietoturvaloukkauksen sattuessa sitoudumme seuraavaan:
Ilmoitusaikataulu
- Ilmoitamme sinulle 72 tunnin kuluessa siitä, kun olemme tulleet tietoisiksi loukkauksesta
- Tarjoamme alustavan arvion loukkauksen laajuudesta ja vaikutuksista
- Toimitamme yksityiskohtaisen kirjallisen ilmoituksen 5 arkipäivän kuluessa
Ilmoituksen sisältö
- Loukkauksen luonne, mukaan lukien luokat ja likimääräinen määrä vaikutuksesta kärsineistä rekisteröidyistä
- Tietosuojavastaavamme nimi ja yhteystiedot
- Kuvaus loukkauksen todennäköisistä seurauksista
- Toimenpiteet, jotka on toteutettu tai ehdotettu loukkauksen käsittelemiseksi
- Toimenpiteet mahdollisten haittavaikutusten lieventämiseksi
Teemme täysimääräistä yhteistyötä tutkimuksessasi ja kaikissa sääntelykyselyissä ja autamme loukkausilmoituksissa valvontaviranomaisille ja vaikutuksesta kärsiville henkilöille sovellettavan lain edellyttämällä tavalla.
9. Kansainväliset tiedonsiirrot
Kun henkilötietoja siirretään Euroopan talousalueen (ETA) ulkopuolelle, varmistamme asianmukaiset suojatoimet:
Siirtomekanismit
EU:n riittävyyspäätökset
Siirrot maihin, joita Euroopan komissio pitää riittävinä
EU-US Data Privacy Framework
Yhdysvaltalaisille käsittelijöille, jotka on sertifioitu DPF:n mukaisesti
Standard Contractual Clauses (SCCs)
EU-komission hyväksymät lausekkeet (2021 versio) muille siirroille
Suoritamme siirtovaikutusarvioinnit tarvittaessa ja toteutamme täydentäviä toimenpiteitä (teknisiä, organisatorisia ja sopimusperusteisia) tarvittaessa olennaisesti vastaavan suojatason varmistamiseksi.
Voit pyytää kopioita asiaankuuluvista siirtomekanismeista pyynnöstä.
10. Vastuu ja korvausvelvollisuus
Käsittelijän vastuu
ClientFlow on vastuussa vahingoista, jotka aiheutuvat käsittelystä, joka ei ole tämän DPA:n mukaista tai jossa olemme toimineet rekisterinpitäjän laillisten ohjeiden ulkopuolella tai niitä vastaan.
Rekisterinpitäjän vastuu
Rekisterinpitäjä on vastuussa vahingoista, jotka aiheutuvat käsittelystä, joka rikkoo sovellettavaa tietosuojalakia tai ei ole rekisterinpitäjän velvoitteiden mukaista tämän DPA:n mukaisesti.
Rajoitukset
- Kumpikaan osapuoli ei ole vastuussa epäsuorista, satunnaisista tai välillisistä vahingoista
- Kokonaisvastuun enimmäismäärä tämän DPA:n mukaisesti on rajoitettu 12 kuukauden aikana ennen vaatimusta maksettuihin maksuihin
- Nämä rajoitukset eivät koske salassapitoloukkauksia, tahallista väärinkäytöstä tai törkeää huolimattomuutta
Kumpikin osapuoli sitoutuu korvaamaan toiselle osapuolelle kolmansien osapuolten vaatimukset, jotka johtuvat korvausvastuullisen osapuolen tämän DPA:n tai sovellettavien tietosuojalakien rikkomisesta.
11. Päättäminen ja tietojen palautus
Kesto
Tämä DPA on voimassa palvelusopimuksen ajan ja niin kauan kuin käsittelemme henkilötietoja puolestasi.
Päättämisen jälkeen
- Valintasi mukaan palautamme tai poistamme kaikki henkilötiedot 30 päivän kuluessa
- Voit pyytää tietojen vientiä yleisesti käytetyssä koneellisesti luettavassa muodossa
- Sertifioimme poiston pyynnöstä
- Tiedot voidaan säilyttää sovellettavan lain edellyttämällä tavalla
Salassapitoa, vastuuta ja tietosuojaoikeuksia koskevat kohdat säilyvät tämän DPA:n päättymisen jälkeen.