ET
Andmetöötlusleping
Pooled
Vastutav töötleja (Klient): Üksus, kes on nõustunud Suunta.ai kasutustingimustega ja kasutab teenuseid.
Volitatud töötleja (Suunta.ai): Y4 Works Oy, registrikood: 2978296-6, aadress: Soome, e-post: privacy@suunta.ai
1. Määratlused
- Isikuandmed tähendab mis tahes teavet tuvastatud või tuvastatava füüsilise isiku kohta GDPR artikli 4(1) tähenduses.
- Töötlemine tähendab mis tahes Isikuandmetega tehtavat toimingut või toimingute kogumit GDPR artikli 4(2) tähenduses.
- Andmesubjekt tähendab tuvastatud või tuvastatavat füüsilist isikut, kelle kohta Isikuandmed käivad.
- Volitatud töötleja tähendab mis tahes kolmandat isikut, kelle Suunta.ai on kaasatud Isikuandmete töötlemiseks Kliendi nimel.
- Teenused tähendab Suunta.ai platvormi ja seotud teenuseid, nagu on kirjeldatud kasutustingimustes.
- GDPR tähendab Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679 (isikuandmete kaitse üldmäärus).
- Standardtingimused (SCC) tähendab Euroopa Komisjoni poolt vastu võetud standardseid lepinguklausleid Isikuandmete edastamiseks kolmandatesse riikidesse.
- Turvaintsident tähendab Isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist, lubamatut avalikustamist või neile juurdepääsu.
2. Ulatus ja eesmärk
2.1 Ulatus Käesolev andmetöötlusleping kehtib kogu Isikuandmete Töötlemise suhtes, mida Suunta.ai teostab Kliendi nimel teenustega seoses.
2.2 Rollid Klient tegutseb Vastutava töötlejana. Suunta.ai tegutseb Volitatud töötlejana. Kui Suunta.ai määrab Töötlemise eesmärgid ja vahendid (nt teenuse parandamise analüütika), tegutseb Suunta.ai sõltumatu Vastutava töötlejana ja töötleb andmeid vastavalt privaatsuspoliitikale.
2.3 Töötlemise eesmärk Suunta.ai töötleb Isikuandmeid üksnes teenuste osutamiseks vastavalt kasutustingimustele, sh:
- Kasutajakonto haldamine ja autentimine
- AI-põhiste strateegilise planeerimise funktsioonide pakkumine
- Kasutajate esitatud äriandmete töötlemine ja säilitamine
- AI-abiga analüüsi ja soovituste loomine
- Arveldamine ja tellimuste haldamine
- Klienditugi
- Teenuste turvalisus ja väärkasutuse ennetamine
3. Andmekategooriad ja Andmesubjektid
3.1 Andmesubjektide kategooriad
- Kliendi töötajad ja töövõtjad, kes teenuseid kasutavad
- Muud isikud, kelle Isikuandmeid Klient teenustesse esitab
3.2 Isikuandmete kategooriad
| Kategooria | Andmeelemendid | Eesmärk |
|---|---|---|
| Kontoandmed | Nimi, e-post, telefon (valikuline), ametinimetus, roll | Kasutaja tuvastamine ja ligipääs |
| Autentimisandmed | Parooli räsi, SSO identifikaatorid, seansiandmed | Turvaline ligipääs |
| Organisatsiooni andmed | Organisatsiooni nimi, riik, linn, valdkond, suurus | Teenuse kohandamine |
| Kasutusandmed | IP-aadress, user agent, sisselogimiste ajatempleid, tegevuslogid | Turvalisus ja audit |
| Äriandmed | Strateegiadokumendid, OKR-id, KPI-d, projektid, ülesanded | Põhiteenuse osutamine |
| Sideandmed | Vestlussõnumid, AI interaktsioonid | Teenuse funktsioonid |
| Arveldusandmed | Stripe'i kliendi ID, tellimuse üksikasjad | Maksete töötlemine |
3.3 Isikuandmete erikategooriad Klient nõustub, et ei esita teenustesse GDPR artiklis 9 määratletud Isikuandmete erikategooriaid ilma Suunta.ai eelneva kirjaliku nõusolekuta.
4. Volitatud töötleja kohustused
4.1 Töötlemisjuhised Suunta.ai töötleb Isikuandmeid üksnes Kliendi dokumenteeritud juhiste alusel, teavitab Klienti, kui juhis rikub GDPR-i, ning tagab, et volitatud isikud on konfidentsiaalsuskohustustega seotud.
4.2 Turvameetmed
| Meede | Rakendamine |
|---|---|
| Krüpteerimine puhkeolekus | AES-256 (AWS RDS) |
| Krüpteerimine edastamisel | TLS 1.2+ |
| Juurdepääsukontroll | Rollipõhine ligipääs, organisatsioonipõhine eraldatus |
| Autentimine | Parooli räsimine (PBKDF2-SHA256), seansihaldus |
| Auditilogimine | Põhjalik tegevuslogimine koos säilituspoliitikatega |
| Varundus | Automaatne igapäevane varundus ja taastamine ajapunkti alusel |
| Infrastruktuur | AWS EL (Stockholm, eu-north-1) |
4.3 Alltöötlemine Suunta.ai võib kaasata Volitatud töötlejaid vastavalt jaotises 6 sätestatud tingimustele.
4.4 Abi Vastutavale töötlejale Suunta.ai aitab Kliendil vastata Andmesubjekti taotlustele, tagab vastavuse GDPR artiklitele 32–36 ning annab teavet, mis on vajalik vastavuse tõendamiseks.
4.5 Kustutamine ja tagastamine Teenuste lõppemisel või Kliendi taotluse korral: (a) Klient võib taotleda Kliendiandmete eksporti 30 päeva jooksul pärast Lepingu lõppemist; (b) Suunta.ai kustutab Isikuandmed 90 päeva jooksul pärast Lepingu lõppemist, välja arvatud juhul, kui säilitamine on seadusega nõutud; (c) andmete eksport antakse teenuste kaudu JSON- ja CSV-vormingus.
5. AI-spetsiifiline andmekäitlus
5.1 AI-töötlus Kui Kliendiandmeid töödeldakse AI-funktsioonide kaudu: (a) päringud ja vastused edastatakse töötlemiseks kolmandate osapoolte AI-teenusepakkujatele; (b) Suunta.ai EI säilita AI-päringuid ega vastuseid oma andmebaasis; (c) arveldamiseks ja analüütikaks logitakse üksnes kasutusmetaandmed (tokenid, latentsus, mudel, kulu); (d) vestlusajalugu säilitatakse vestluse järjepidevuse võimaldamiseks.
5.2 Kliendiandmete mittekasutamine treenimiseks Suunta.ai EI kasuta Kliendiandmeid AI-mudelite treenimiseks, peenhäälestamiseks ega täiustamiseks ilma selgesõnalise kirjaliku nõusolekuta. Suunta.ai konfigureerib kolmandate osapoolte AI-teenusepakkujad andmete säilitamise keelamiseks, loobub treeningandmete kasutusest ja rakendab nullandmete säilitamise poliitikaid seal, kus see on toetatud.
5.3 RAG dokumenditöötlus Üleslaaditud dokumente töödeldakse teksti eraldamiseks, teisendatakse vektorsisudeks ning toordokumentide tekst kustutatakse 24 tunni jooksul pärast indekseerimist. Lõikude sisu ja vektorsisud säilitatakse teenuse funktsionaalsuse tagamiseks; allika kustutamisel eemaldatakse kõik seotud lõigud ja vektorsisud.
6. Volitatud töötlejad
6.1 Volitatud töötlejate üldluba Klient annab üldise loa Suunta.ai-le kaasata lisa A-s loetletud Volitatud töötlejad.
6.2 Volitatud töötlejate nõuded Suunta.ai sõlmib Volitatud töötlejatega kirjalikud lepingud, mis seavad andmekaitsekohustused vähemalt sama kaitsega kui käesolev andmetöötlusleping, jääb vastutavaks Volitatud töötlejate vastavuse eest ning viib läbi asjakohase hoolsuskontrolli.
6.3 Muudatused Volitatud töötlejate seas Suunta.ai hoiab Volitatud töötlejate ajakohast nimekirja aadressil https://suunta.ai/legal/subprocessors, teavitab Klienti vähemalt 30 päeva enne uue Volitatud töötleja kaasamist ning annab Kliendile võimaluse esitada põhjendatud andmekaitsevastuväide.
6.4 Vastuväite menetlus Kui 30 päeva jooksul lahendust ei leita, võib Klient lõpetada mõjutatud teenused karistuseta. Selline lõpetamine on Kliendi ainus õiguskaitsevahend Volitatud töötleja vastuväite korral.
7. Andmesubjekti õigused
7.1 Abi Suunta.ai aitab Kliendil vastata Andmesubjektide taotlustele GDPR III peatüki alusel, sh juurdepääs, parandamine, kustutamine, piiramine, andmete ülekantavus ja vastuväide.
7.2 Andmesubjekti taotlused Kui Suunta.ai saab taotluse otse Andmesubjektilt, teavitab Suunta.ai Klienti viivitamata, ei vasta otse ilma volituseta või õigusliku kohustuseta ning osutab mõistlikku abi.
7.3 Iseteenindusfunktsioonid Teenused sisaldavad iseteenindusfunktsioone, mis võimaldavad kasutajatel:
- Vaadata ja eksportida oma Isikuandmeid
- Parandada kontoandmeid
- Kustutada oma kasutajakonto
- Taotleda organisatsiooni andmete eksporti
- Taotleda organisatsiooni kustutamist
8. Turvaintsidendid
8.1 Teavitamine Suunta.ai teavitab Klienti turvaintsidendist ilma põhjendamatu viivituseta ja igal juhul 72 tunni jooksul pärast teadlikuks saamist, esitades juhtumi kirjelduse, mõjutatud Andmesubjektid ja andmekirjed, kontaktpunkti, tõenäolised tagajärjed ning rakendatud meetmed.
8.2 Koostöö Suunta.ai teeb koostööd Kliendi uurimisega, võtab mõistlikke meetmeid mõju leevendamiseks, annab täiendusi ning abistab teavitamisel järelevalveasutustele ja Andmesubjektidele.
8.3 Registrid Suunta.ai peab turvalisusega seotud sündmuste jaoks muutumatut vastavuse auditilogi pikendatud säilitusega.
9. Rahvusvahelised edastused
9.1 Töötlemise asukohad Esmane andmetöötlus toimub EL-is (AWS eu-north-1, Stockholm). Osa töötlusest võib toimuda USA-s kolmandate osapoolte AI-teenusepakkujate kaudu.
9.2 Edastamise mehhanismid Edastustel riikidesse, millel puudub ELi piisavuse otsus, tugineb Suunta.ai standardsetele lepinguklauslitele (Moodul 2: Vastutav töötleja → Volitatud töötleja, Moodul 3: Volitatud töötleja → Volitatud töötleja), täiendavatele meetmetele ja Volitatud töötlejate sertifikaatidele, kui kohaldatav.
9.3 Edastuse mõjuhinnang Suunta.ai on läbi viinud edastuse mõjuhinnangud USA-sse suunatud edastuste kohta, arvestades:
- Edastatavate andmete olemus (peamiselt päringud, mitte mahukad Isikuandmed)
- Tehnilised meetmed (krüpteerimine, nullandmete säilitamise konfiguratsioonid)
- Sihtkoha riigi õiguslik raamistik
- Lepingulised kaitsemeetmed Volitatud töötlejatega
10. Auditiõigused
10.1 Audititeave Kliendi kirjaliku taotluse alusel (mitte rohkem kui kord aastas) annab Suunta.ai kokkuvõtte turvameetmetest, kolmandate osapoolte auditite tulemustest (konfidentsiaalsuse piirangutega), kinnituse Volitatud töötlejate vastavuse kohta ning andmed turvaintsidentide kohta, mis on mõjutanud Kliendiandmeid.
10.2 Kohapealsed auditid Kohapealsed auditid nõuavad 30-päevast kirjalikku etteteatamist, viiakse läbi tööajal minimaalse häiringuga, Kliendi kulul, konfidentsiaalsuse tagamisel ja piirduvad andmetöötluslepingu vastavusega.
10.3 Sertifikaadid Suunta.ai töötab SOC 2 Type II ja ISO 27001 sertifikaatide suunas. Saavutamisel jagatakse auditiraporteid klientidele NDA alusel.
11. Andmete säilitamine
11.1 Säilitamisperioodid
| Andmekategooria | Säilitamisaeg | Märkused |
|---|---|---|
| Aktiivse konto andmed | Teenuse kestus | Kustutatakse konto kustutamisel |
| Kustutatud kasutajakontod | Anonümiseeritakse kohe | 90-päevane varukoopia säilitus |
| AI kasutusmetaandmed | 365 päeva | Tokenite arv, kulud |
| Auditilogid (tavapärased) | 24 kuud | CRUD-toimingud |
| Auditilogid (kriitilised) | 36 kuud | Kustutused, turvasündmused |
| Vastavuse auditilogid | 7 aastat | Muutumatu, regulatiivne säilitus |
| Arveldusandmed | 6 aastat | Soome raamatupidamisseadus |
| Varukoopiad | 30 päeva | Automaatne rotatsioon |
11.2 Kustutamisprotsess Organisatsiooni kustutamine järgib struktureeritud protsessi: kustutamistaotlus parooli kinnitusega; 30-päevane ooteperiood (tühistatav); Stripe'i tellimuse tühistamine; kõigi organisatsiooni andmete süstemaatiline kustutamine; muutumatu vastavuse auditilogi kanne.
12. Vastutus
Kummagi poole vastutus käesoleva andmetöötluslepingu alusel allub kasutustingimustes sätestatud piirangutele. Kumbki pool hüvitab teisele poolele kahjud, mis tulenevad hüvitava poole käesoleva andmetöötluslepingu või kohaldatavate andmekaitseseaduste rikkumisest.
13. Kehtivus ja lõpetamine
Käesolev andmetöötlusleping kehtib kogu kasutustingimuste kehtivusaja. Jaotised 5 (AI-spetsiifiline andmekäitlus), 8 (Turvaintsidendid), 11 (Andmete säilitamine) ja 12 (Vastutus) jäävad kehtima pärast Lepingu lõppemist.
14. Kohaldatav õigus
Käesolevat andmetöötluslepingut reguleerivad Soome seadused. Vaidlused lahendatakse vastavalt kasutustingimustes sätestatud vaidluste lahendamise sätetele.
15. Kontakt
Andmekaitsepäringute jaoks: Y4 Works Oy (Suunta.ai), e-post: privacy@suunta.ai
Lisa A: Volitatud töötlejad
Viimati uuendatud: 27.01.2025. Täielik nimekiri: https://suunta.ai/legal/subprocessors.
Lisa B: Tehnilised ja organisatsioonilised meetmed
1. Juurdepääsukontroll
- Rollipõhine juurdepääsukontroll (RBAC)
- Organisatsiooni tasemel andmete eraldatus (mitme rentnikuga arhitektuur)
- Unikaalsed kasutajakontod turvalise autentimisega
- Seansihaldus koos konfigureeritavate aegumistega
- Brute-force kaitse kontolukustusega
2. Krüpteerimine
- Andmed puhkeolekus: AES-256 krüpteerimine (AWS RDS)
- Andmed edastamisel: TLS 1.2+ kõigi ühenduste jaoks
- Paroolide säilitamine: PBKDF2-SHA256 räsimine
3. Kättesaadavus ja vastupidavus
- AWS infrastruktuur kõrge kättesaadavusega
- Automaatne igapäevane varundus ja taastamine ajapunkti alusel
- Katastroofitaaste protseduurid
4. Järelevalve ja logimine
- Põhjalik kasutajate tegevuste auditilogimine
- AI kasutuse jälgimine (ainult metaandmed)
- Turvasündmuste jälgimine
- Logide säilitamine vastavalt jaotisele 11
5. Intsidentidele reageerimine
- Dokumenteeritud intsidentidele reageerimise protseduurid
- 72-tunnine rikkest teavitamise kohustus
- Muutumatu vastavuse auditijälg
6. Personal
- Konfidentsiaalsuskohustused kogu personalile
- Turvateadlikkuse koolitus
- Vähimoodustatud õiguste põhimõte
7. Tarnijate haldus
- Volitatud töötlejate hoolsuskontroll
- Lepingulised andmekaitse nõuded
- Volitatud töötlejate vastavuse regulaarne ülevaatus