NO
Databehandlingsavtale
Parter
Behandlingsansvarlig (Kunde): Den enheten som har godtatt Suunta.ai bruksvilkår og bruker Tjenestene.
Databehandler (Suunta.ai): Y4 Works Oy, Organisasjonsnummer: 2978296-6, Adresse: Finland, E-post: privacy@suunta.ai
1. Definisjoner
- Personopplysninger betyr all informasjon som gjelder en identifisert eller identifiserbar fysisk person som definert i GDPR artikkel 4(1).
- Behandling betyr enhver operasjon eller sett av operasjoner utført på personopplysninger, som definert i GDPR artikkel 4(2).
- Den registrerte betyr den identifiserte eller identifiserbare fysiske personen som personopplysningene gjelder.
- Underbehandler betyr enhver tredjepart engasjert av Suunta.ai til å behandle personopplysninger på vegne av Kunden.
- Tjenestene betyr Suunta.ai-plattformen og relaterte tjenester som beskrevet i bruksvilkårene.
- GDPR betyr forordning (EU) 2016/679 fra Europaparlamentet og Rådet (generell databeskyttelsesforordning).
- Standardavtalevilkår betyr standardavtalevilkårene for overføring av personopplysninger til tredjeland som er vedtatt av Europakommisjonen.
- Sikkerhetsbrudd betyr enhver utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av eller tilgang til personopplysninger.
2. Omfang og formål
2.1 Omfang Denne DPA gjelder for all behandling av personopplysninger av Suunta.ai på vegne av Kunden i forbindelse med Tjenestene.
2.2 Roller Kunden fungerer som behandlingsansvarlig. Suunta.ai fungerer som databehandler. Hvor Suunta.ai bestemmer formålene og midlene for behandling (f.eks. for tjenesteforbedringsanalyse), fungerer Suunta.ai som uavhengig behandlingsansvarlig og vil behandle slike data i samsvar med sin personvernpolicy.
2.3 Behandlingsformål Suunta.ai behandler personopplysninger utelukkende for formålet med å levere Tjenestene som beskrevet i bruksvilkårene, inkludert:
- Brukerkontohåndtering og autentisering
- Levere AI-drevne strategiske planleggingsfunksjoner
- Behandle og lagre forretningsdata sendt inn av brukere
- Generere AI-assistert analyse og anbefalinger
- Fakturering og abonnementshåndtering
- Kundesupport
- Tjenestesikkerhet og misbruksforebygging
3. Kategorier av data og registrerte
3.1 Kategorier av registrerte
- Kundens ansatte og entreprenører som bruker Tjenestene
- Andre personer hvis personopplysninger sendes inn til Tjenestene av Kunden
3.2 Kategorier av personopplysninger
| Kategori | Dataelementer | Formål |
|---|---|---|
| Kontodata | Navn, e-post, telefon (valgfritt), jobbtittel, rolle | Brukeridentifikasjon og tilgang |
| Autentiseringsdata | Passordhash, SSO-identifikatorer, sesjonsdata | Sikker tilgang |
| Organisasjonsdata | Organisasjonsnavn, land, by, bransje, størrelse | Tjenestetilpasning |
| Bruksdata | IP-adresse, user agent, innloggingstidsstempler, aktivitetslogger | Sikkerhet og revisjon |
| Forretningsdata | Strategidokumenter, OKRs, KPIs, prosjekter, oppgaver | Kjerntjenestelevering |
| Kommunikasjonsdata | Chattmeldinger, AI-interaksjoner | Tjenestefunksjoner |
| Faktureringsdata | Stripe Customer ID, abonnementsdetaljer | Betalingsbehandling |
3.3 Spesielle kategorier av data Kunden godtar ikke å sende inn spesielle kategorier av personopplysninger (som definert i GDPR artikkel 9) til Tjenestene uten Suunta.ai's forutgående skriftlige samtykke.
4. Behandlers forpliktelser
4.1 Behandlingsinstruksjoner Suunta.ai skal behandle personopplysninger kun på dokumenterte instruksjoner fra Kunden, informere Kunden hvis en instruksjon krenker GDPR, og sikre at autoriserte personer er bundet av konfidensialitet.
4.2 Sikkerhetstiltak
| Tiltak | Implementering |
|---|---|
| Kryptering i hvile | AES-256 (AWS RDS) |
| Kryptering under overføring | TLS 1.2+ |
| Tilgangskontroll | Rollbasert tilgang, organisasjonsisolering |
| Autentisering | Passordhashing (PBKDF2-SHA256), sesjonshåndtering |
| Revisjonsloggføring | Omfattende aktivitetsloggføring med lagringspolicyer |
| Sikkerhetskopiering | Automatiserte daglige sikkerhetskopier med gjenoppretting til tidspunkt |
| Infrastruktur | AWS EU (Stockholm, eu-north-1) |
4.3 Underbehandling Suunta.ai kan engasjere underbehandlere under forbehold av betingelsene i seksjon 6.
4.4 Bistand til behandlingsansvarlig Suunta.ai skal bistå Kunden med å svare på registrertes forespørsler, sikre overholdelse av GDPR artikler 32-36, og gi informasjon som er nødvendig for å demonstrere overholdelse.
4.5 Sletting og retur Ved opphør av Tjenestene eller på Kundens forespørsel: (a) kan Kunden be om eksport av Kundedata innen 30 dager etter opphør; (b) skal Suunta.ai slette personopplysninger innen 90 dager etter opphør, med mindre lagring er påkrevd ved lov; (c) leveres dataeksport i JSON- og CSV-formater via Tjenestene.
5. AI-spesifikk datahåndtering
5.1 AI-behandling Når Kundedata behandles gjennom AI-funksjoner: (a) sendes prompts og svar til tredjeparts AI-leverandører for behandling; (b) lagrer Suunta.ai IKKE AI-prompts eller svar i sin database; (c) logges kun bruksmetadata (tokens, latens, modell, kostnad) for fakturering og analyse; (d) lagres chattsamtalehistorikk for å muliggjøre samtalekontinuitet.
5.2 Ingen trening på Kundedata Suunta.ai vil IKKE bruke Kundedata til å trene, finjustere eller forbedre AI-modeller uten uttrykkelig skriftlig samtykke. Suunta.ai konfigurerer tredjeparts AI-leverandører til å deaktivere databevar hvor tilgjengelig, velge bort bruk av treningsdata, og anvende null databevarspolicyer hvor støttet.
5.3 RAG-dokumentbehandling Opplastede dokumenter behandles for å ekstrahere tekst, konverteres til vektorembeddings, og rå dokumenttekst ryddes innen 24 timer etter indeksering. Chunk-innhold og embeddings beholdes for tjenestefunksjonalitet; ved kildesletting fjernes alle tilknyttede chunks og embeddings.
6. Underbehandlere
6.1 Autoriserte underbehandlere Kunden gir generell autorisasjon for Suunta.ai til å engasjere de underbehandlere som er oppført i vedlegg A.
6.2 Underbehandlerkrav Suunta.ai skal inngå skriftlige avtaler med underbehandlere som pålegger databeskyttelsesforpliktelser som ikke er mindre beskyttende enn denne DPA, forblir ansvarlig for underbehandlerens overholdelse, og utføre passende due diligence.
6.3 Endringer i underbehandlere Suunta.ai skal opprettholde en oppdatert liste over underbehandlere på https://suunta.ai/legal/subprocessors, varsle Kunden minst 30 dager før engasjement av en ny underbehandler, og gi Kunden mulighet til å innvende på rimelige databeskyttelsesgrunner.
6.4 Innvendingprosess Hvis ingen løsning nås innen 30 dager, kan Kunden opphøre de berørte Tjenestene uten straff. Slik opphør er Kundens eneste rettsmiddel for underbehandlerinnvendinger.
7. Registrertes rettigheter
7.1 Bistand Suunta.ai skal bistå Kunden med å svare på registrertes forespørsler om å utøve sine rettigheter under GDPR kapittel III, inkludert tilgang, retting, sletting, begrensning, dataportabilitet og innvending.
7.2 Registrertes forespørsler Hvis Suunta.ai mottar en forespørsel direkte fra en registrert, skal Suunta.ai umiddelbart varsle Kunden, ikke svare direkte med mindre autorisert eller påkrevd ved lov, og gi rimelig bistand.
7.3 Selvbetjeningsfunksjoner Tjenestene inkluderer selvbetjeningsfunksjoner som gjør det mulig for brukere å:
- Vise og eksportere sine personopplysninger
- Korrigere kontoinformasjon
- Slette sitt brukerkonto
- Be om organisasjonsdataeksport
- Be om organisasjonssletting
8. Sikkerhetsbrudd
8.1 Varsling Suunta.ai skal varsle Kunden om ethvert sikkerhetsbrudd uten ugrunnet forsinkelse og i alle fall innen 72 timer etter å ha blitt klar over det, og gi en beskrivelse av hendelsen, berørte registrerte og register, kontaktpunkt, sannsynlige konsekvenser og tiltak som er iverksatt.
8.2 Samarbeid Suunta.ai skal samarbeide med Kundens undersøkelse, ta rimelige skritt for å begrense effekter, gi oppdateringer og bistå med varsler til tilsynsmyndigheter og registrerte.
8.3 Register Suunta.ai opprettholder en uforanderlig overholdelsesrevisjonslogg for sikkerhetsrelevante hendelser med utvidet lagring.
9. Internasjonale overføringer
9.1 Behandlingslokasjoner Primær databehandling skjer i EU (AWS eu-north-1, Stockholm). Noen behandling kan forekomme i USA gjennom tredjeparts AI-leverandører.
9.2 Overføringsmekanismer For overføringer til land uten et EU-adekvansbeslut, forlitar Suunta.ai seg på standardavtalevilkår (modul 2: behandlingsansvarlig til databehandler, modul 3: databehandler til databehandler), supplerende tiltak og underbehandlercertifiseringer hvor tilgjengelig.
9.3 Overføringspåvirkningsvurdering Suunta.ai har utført overføringspåvirkningsvurderinger for overføringer til USA, med hensyn til:
- Type data som overføres (primært prompts/spørsmål, ikke bulk personopplysninger)
- Tekniske tiltak (kryptering, null databevarkonfigurasjoner)
- Rettssystem i destinasjonslandet
- Kontraktuelle beskyttelser med underbehandlere
10. Revisjonsrettigheter
10.1 Revisjonsinformasjon På Kundens skriftlige forespørsel (høyst en gang per år) skal Suunta.ai gi en sammendrag av sikkerhetstiltak, tredjepartsrevisjonsresultater (under forbehold for konfidensialitet), bekreftelse av underbehandlerens overholdelse, og register over sikkerhetsbrudd som påvirker Kundedata.
10.2 Revisjoner på stedet Revisjoner på stedet krever 30 dagers forhåndsskriftlig varsel, utføres under kontortid med minimal forstyrrelse, på Kundens bekostning, under konfidensialitet, og begrenset til DPA-overholdelse.
10.3 Sertifiseringer Suunta.ai arbeider mot SOC 2 Type II- og ISO 27001-sertifiseringer. Ved oppnåelse vil revisjonsrapporter gjøres tilgjengelige for kunder under sekretessavtale.
11. Databevar
11.1 Lagringsperioder
| Datakategori | Lagringsperiode | Notater |
|---|---|---|
| Aktive kontodata | Tjenesternes varighet | Slettes ved kontosletting |
| Slettede brukerkontoer | Anonymiseres umiddelbart | 90-dagers sikkerhetskopieringslagring |
| AI-bruksmetadata | 365 dager | Tokenantal, kostnader |
| Revisjonslogger (standard) | 24 måneder | CRUD-operasjoner |
| Revisjonslogger (kritiske) | 36 måneder | Slettinger, sikkerhetshendelser |
| Overholdelsesrevisjonslogger | 7 år | Uforanderlig, regulatorisk lagring |
| Faktureringsregister | 6 år | Finsk regnskapslov |
| Sikkerhetskopier | 30 dager | Automatisert rotasjon |
11.2 Slettingsprosess Organisasjonssletting følger en strukturert prosess: slettingsforespørsel med passordbekreftelse; 30-dagers respittperiode (kan avbrytes); Stripe-abonnementsavbestilling; systematisk sletting av all organisasjonsdata; uforanderlig overholdelsesrevisjonsloggpost.
12. Ansvar
Hver parts ansvar under denne DPA er underlagt begrensningene som er angitt i bruksvilkårene. Hver part skal erstatte den andre for tap som oppstår fra den erstatningsgivende partens brudd på denne DPA eller gjeldende databeskyttelseslover.
13. Tidsperiode og opphør
Denne DPA forblir i kraft under bruksvilkårenes varighet. Seksjoner 5 (AI-spesifikk datahåndtering), 8 (Sikkerhetsbrudd), 11 (Databevar) og 12 (Ansvar) overlever opphør.
14. Gjeldende lov
Denne DPA er underlagt finsk lov. Tvister skal løses i samsvar med tvistløsningsbestemmelsene i bruksvilkårene.
15. Kontakt
For databeskyttelseshenvendelser: Y4 Works Oy (Suunta.ai), E-post: privacy@suunta.ai
Vedlegg A: Autoriserte underbehandlere
Sist oppdatert: 2025-01-27. Se den fullstendige listen på https://suunta.ai/legal/subprocessors.
Vedlegg B: Tekniske og organisatoriske tiltak
1. Tilgangskontroll
- Rollbasert tilgangskontroll (RBAC)
- Organisasjonsnivå dataisolering (multi-tenant-arkitektur)
- Unike brukerkontoer med sikker autentisering
- Sesjonshåndtering med konfigurerbare timeout
- Brute-force-beskyttelse med kontolåsning
2. Kryptering
- Data i hvile: AES-256-kryptering (AWS RDS)
- Data under overføring: TLS 1.2+ for alle tilkoblinger
- Passordlagring: PBKDF2-SHA256 hashing
3. Tilgjengelighet og motstandsdyktighet
- AWS-infrastruktur med høy tilgjengelighet
- Automatiserte daglige sikkerhetskopier med gjenoppretting til tidspunkt
- Katastrofegjenopprettingsprosedyrer
4. Overvåking og loggføring
- Omfattende revisjonsloggføring av brukeraktiviteter
- AI-brukssporing (kun metadata)
- Sikkerhetshendelsesovervåking
- Logglagring per seksjon 11
5. Hendelsesrespons
- Dokumenterte hendelsesresponsprosedyrer
- 72-timers bruddvarslingsforpliktelse
- Uforanderlig overholdelsesrevisjonsspor
6. Personell
- Konfidensialitetsforpliktelser for alt personell
- Sikkerhetsbevissthetstrening
- Prinsippet om minste privilegium
7. Leverandørshåndtering
- Due diligence på underbehandlere
- Kontraktuelle databeskyttelseskrav
- Regelmessig gjennomgang av underbehandlerens overholdelse