Tietojenkäittelysopimus
Osapuolet
Rekisterinpitäjä (Asiakas): Taho, joka on hyväksynyt Suunta.ai:n käyttöehdot ja käyttää palveluja.
Tietojenkäittelijä (Suunta.ai): Y4 Works Oy, Y-tunnus: 2978296-6, Osoite: Suomi, Sähköposti: privacy@suunta.ai
1. Määritelmät
- Henkilötiedot tarkoittavat kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja GDPR:n 4 artiklan 1 kohdan mukaisesti.
- Käsittely tarkoittaa mitä tahansa toimintoa tai toimintosarjaa, joka kohdistuu henkilötietoihin, GDPR:n 4 artiklan 2 kohdan mukaisesti.
- Rekisteröity tarkoittaa tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, jota henkilötiedot koskevat.
- Alikäsittelijä tarkoittaa kolmatta osapuolta, jonka Suunta.ai on ottanut käsittelemään henkilötietoja asiakkaan puolesta.
- Palvelut tarkoittavat Suunta.ai-alustaa ja siihen liittyviä palveluja käyttöehdoissa kuvatulla tavalla.
- GDPR tarkoittaa Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus).
- Vakiosopimuslausekkeet (SCCs) tarkoittavat Euroopan komission hyväksymiä vakiosopimuslausekkeita henkilötietojen siirtämiseksi kolmansiin maihin.
- Tietoturvaloukkaus tarkoittaa mitä tahansa vahingossa tai laittomasti tapahtunutta henkilötietojen tuhoamista, häviämistä, muuttamista, luvatonta paljastamista tai pääsyä niihin.
2. Soveltamisala ja tarkoitus
2.1 Soveltamisala Tämä tietojenkäsittelysopimus koskee kaikkea henkilötietojen käsittelyä, jonka Suunta.ai suorittaa asiakkaan puolesta palvelujen yhteydessä.
2.2 Roolit Asiakas toimii rekisterinpitäjänä. Suunta.ai toimii tietojenkäsittelijänä. Kun Suunta.ai määrittää käsittelyn tarkoitukset ja keinot (esim. palvelun parantamisanalytiikkaa varten), Suunta.ai toimii itsenäisenä rekisterinpitäjänä ja käsittelee tällaisia tietoja tietosuojaselosteensa mukaisesti.
2.3 Käsittelyn tarkoitus Suunta.ai käsittelee henkilötietoja ainoastaan palvelujen tarjoamiseksi käyttöehdoissa kuvatulla tavalla, mukaan lukien:
- Käyttäjätilien hallinta ja tunnistautuminen
- Tekoälyavusteisten strategisen suunnittelun ominaisuuksien tarjoaminen
- Käyttäjien toimittamien liiketoimintatietojen käsittely ja tallennus
- Tekoälyavusteisten analyysien ja suositusten tuottaminen
- Laskutus ja tilausten hallinta
- Asiakastuki
- Palvelun turvallisuus ja väärinkäytön esto
3. Tietoryhmät ja rekisteröityjen ryhmät
3.1 Rekisteröityjen ryhmät
- Asiakkaan työntekijät ja urakoitsijat, jotka käyttävät palveluja
- Muut henkilöt, joiden henkilötiedot asiakas toimittaa palveluihin
3.2 Henkilötietoryhmät
| Kategoria | Tietoelementit | Tarkoitus |
|---|---|---|
| Tilitiedot | Nimi, sähköposti, puhelin (valinnainen), tehtävänimike, rooli | Käyttäjän tunnistus ja pääsy |
| Tunnistautumistiedot | Salasanan hajautus, SSO-tunnisteet, istuntotiedot | Turvallinen pääsy |
| Organisaatiotiedot | Organisaation nimi, maa, kaupunki, toimiala, koko | Palvelun räätälöinti |
| Käyttötiedot | IP-osoite, käyttäjäagentti, kirjautumisaikaleimat, toimintalokit | Turvallisuus ja auditointi |
| Liiketoimintatiedot | Strategiadokumentit, OKR:t, KPI:t, projektit, tehtävät | Ydinpalvelun toimitus |
| Viestintätiedot | Keskusteluviestit, tekoälyvuorovaikutukset | Palvelun ominaisuudet |
| Laskutustiedot | Stripe-asiakastunnus, tilaustiedot | Maksujenkäsittely |
3.3 Erityiset tietoryhmät Asiakas sitoutuu olemaan toimittamatta erityisryhmiin kuuluvia henkilötietoja (GDPR:n 9 artiklassa määritellysti) palveluihin ilman Suunta.ai:n kirjallista ennakkosuostumusta.
4. Käsittelijän velvoitteet
4.1 Käsittelyohjeet Suunta.ai käsittelee henkilötietoja ainoastaan asiakkaan dokumentoitujen ohjeiden mukaisesti, ilmoittaa asiakkaalle, jos ohje rikkoo GDPR:ää, ja varmistaa, että valtuutetut henkilöt ovat salassapitovelvoitteen alaisia.
4.2 Turvatoimenpiteet
| Toimenpide | Toteutus |
|---|---|
| Salaus levossa | AES-256 (AWS RDS) |
| Salaus siirrettäessä | TLS 1.2+ |
| Pääsynhallinta | Roolipohjainen pääsy, organisaatiokohtainen eristys |
| Tunnistautuminen | Salasanan hajautus (PBKDF2-SHA256), istunnonhallinta |
| Tarkastuslokitus | Kattava toimintojen lokitus säilytyskäytännöillä |
| Varmuuskopiointi | Automatisoidut päivittäiset varmuuskopiot point-in-time-palautuksella |
| Infrastruktuuri | AWS EU (Tukholma, eu-north-1) |
4.3 Alikäsittely Suunta.ai voi käyttää alikäsittelijöitä kohdassa 6 määritettyjen ehtojen mukaisesti.
4.4 Avustaminen rekisterinpitäjälle Suunta.ai avustaa asiakasta rekisteröidyn pyyntöihin vastaamisessa, GDPR:n 32-36 artiklojen noudattamisen varmistamisessa ja vaatimustenmukaisuuden osoittamiseksi tarvittavien tietojen toimittamisessa.
4.5 Poisto ja palautus Palvelujen päättyessä tai asiakkaan pyynnöstä: (a) asiakas voi pyytää asiakastietojen vientiä 30 päivän kuluessa päättymisestä; (b) Suunta.ai poistaa henkilötiedot 90 päivän kuluessa päättymisestä, ellei säilytystä edellytetä laissa; (c) tietojen vienti toimitetaan JSON- ja CSV-muodoissa palvelujen kautta.
5. Tekoälykohtainen tietojenkäsittely
5.1 Tekoälykäsittely Kun asiakastietoja käsitellään tekoälyominaisuuksien kautta: (a) kehotteet ja vastaukset välitetään kolmannen osapuolen tekoälypalveluntarjoajille käsittelyä varten; (b) Suunta.ai EI tallenna tekoälykehotteitä tai -vastauksia tietokantaansa; (c) vain käyttömetatietoja (tokenit, viive, malli, kustannus) kirjataan laskutusta ja analytiikkaa varten; (d) keskusteluhistoria tallennetaan keskustelun jatkuvuuden mahdollistamiseksi.
5.2 Ei koulutusta asiakastiedoilla Suunta.ai EI käytä asiakastietoja tekoälymallien kouluttamiseen, hienosäätöön tai parantamiseen ilman nimenomaista kirjallista suostumusta. Suunta.ai määrittää kolmannen osapuolen tekoälypalveluntarjoajat poistamaan tietojen säilytyksen käytöstä mahdollisuuksien mukaan, kieltäytymään koulutusdatan käytöstä ja soveltamaan nollatietosäilytyskäytäntöjä tuettaessa.
5.3 RAG-dokumenttien käsittely Ladatut dokumentit käsitellään tekstin purkamiseksi, muunnetaan vektoriupotuksiksi, ja raakateksti poistetaan 24 tunnin kuluessa indeksoinnista. Palojen sisältö ja upotukset säilytetään palvelun toiminnallisuutta varten; lähteen poistamisen yhteydessä kaikki siihen liittyvät palat ja upotukset poistetaan.
6. Alikäsittelijät
6.1 Valtuutetut alikäsittelijät Asiakas antaa yleisen valtuutuksen Suunta.ai:lle käyttää liitteessä A lueteltuja alikäsittelijöitä.
6.2 Alikäsittelijöiden vaatimukset Suunta.ai tekee alikäsittelijöiden kanssa kirjalliset sopimukset, joissa asetetaan vähintään tätä tietojenkäsittelysopimusta vastaavat tietosuojavelvoitteet, pysyy vastuussa alikäsittelijöiden vaatimustenmukaisuudesta ja suorittaa asianmukaisen huolellisuusarvioinnin.
6.3 Alikäsittelijöiden muutokset Suunta.ai ylläpitää ajantasaista alikäsittelijäluetteloa osoitteessa https://suunta.ai/legal/subprocessors, ilmoittaa asiakkaalle vähintään 30 päivää ennen uuden alikäsittelijän käyttöönottoa ja antaa asiakkaalle mahdollisuuden vastustaa perustelluista tietosuojasyistä.
6.4 Vastustusmenetly Jos ratkaisua ei saavuteta 30 päivän kuluessa, asiakas voi päättää kyseessä olevat palvelut ilman seuraamuksia. Tällainen päättäminen on asiakkaan ainoa oikeuskeino alikäsittelijöitä koskeviin vastustuksiin.
7. Rekisteröidyn oikeudet
7.1 Avustaminen Suunta.ai avustaa asiakasta rekisteröityjen pyyntöihin vastaamisessa heidän käyttäessään GDPR:n III luvun mukaisia oikeuksiaan, mukaan lukien pääsy tietoihin, oikaisu, poistaminen, rajoittaminen, tietojen siirrettävyys ja vastustaminen.
7.2 Rekisteröidyn pyynnöt Jos Suunta.ai vastaanottaa pyynnön suoraan rekisteröidyltä, Suunta.ai ilmoittaa viipymättä asiakkaalle, ei vastaa suoraan ellei valtuutettu tai lain vaatima, ja tarjoaa kohtuullista apua.
7.3 Itsepalveluominaisuudet Palvelut sisältävät itsepalveluominaisuuksia, jotka mahdollistavat käyttäjille:
- Henkilötietojensa tarkastelu ja vienti
- Tilitietojen korjaus
- Käyttäjätilin poisto
- Organisaatiotietojen viennin pyytäminen
- Organisaation poiston pyytäminen
8. Tietoturvaloukkaukset
8.1 Ilmoitus Suunta.ai ilmoittaa asiakkaalle kaikista tietoturvaloukkauksista ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa tiedon saamisesta, toimittaen kuvauksen tapahtumasta, vaikutuksen kohteena olevista rekisteröidyistä ja tietueista, yhteyspisteestä, todennäköisistä seurauksista ja toteutetuista toimenpiteistä.
8.2 Yhteistyö Suunta.ai tekee yhteistyötä asiakkaan tutkimuksessa, ryhtyy kohtuullisiin toimiin vaikutusten lieventämiseksi, tarjoaa päivityksiä ja avustaa ilmoituksissa valvontaviranomaisille ja rekisteröidyille.
8.3 Tietueet Suunta.ai ylläpitää muuttumatonta vaatimustenmukaisuuden tarkastuslokia turvallisuuteen liittyvistä tapahtumista pidennetyllä säilytysajalla.
9. Kansainväliset siirrot
9.1 Käsittelypaikat Ensisijainen tietojenkäsittely tapahtuu EU:ssa (AWS eu-north-1, Tukholma). Osa käsittelystä voi tapahtua USA:ssa kolmannen osapuolen tekoälypalveluntarjoajien kautta.
9.2 Siirtomekanismit Siirroissa maihin, joilla ei ole EU:n vastaavuuspäätöstä, Suunta.ai nojautuu vakiosopimuslausekkeisiin (Moduuli 2: Rekisterinpitäjältä käsittelijälle, Moduuli 3: Käsittelijältä käsittelijälle), täydentäviin toimenpiteisiin ja alikäsittelijöiden sertifiointeihin soveltuvin osin.
9.3 Siirron vaikutustenarviointi Suunta.ai on suorittanut siirtojen vaikutustenarviointeja USA:han tapahtuvien siirtojen osalta, huomioiden:
- Siirrettävien tietojen luonne (ensisijaisesti kehotteet/kyselyt, ei massaluonteisia henkilötietoja)
- Tekniset toimenpiteet (salaus, nollatietosäilytysmääritykset)
- Kohdemaan oikeudellinen kehys
- Sopimukselliset suojat alikäsittelijöiden kanssa
10. Tarkastusoikeudet
10.1 Tarkastustiedot Asiakkaan kirjallisesta pyynnöstä (enintään kerran vuodessa) Suunta.ai toimittaa yhteenvedon turvatoimista, kolmannen osapuolen tarkastusten tulokset (salassapidolla), vahvistuksen alikäsittelijöiden vaatimustenmukaisuudesta ja tietueet asiakastietoja koskevista tietoturvaloukkauksista.
10.2 Paikan päällä suoritettavat tarkastukset Paikan päällä suoritettavat tarkastukset edellyttävät 30 päivän kirjallista ennakkoilmoitusta, suoritetaan työaikana minimaalisella häiriöllä, asiakkaan kustannuksella, salassapidon alaisena ja rajoittuen tietojenkäsittelysopimuksen vaatimustenmukaisuuteen.
10.3 Sertifioinnit Suunta.ai työskentelee SOC 2 Type II- ja ISO 27001 -sertifiointien saavuttamiseksi. Saavuttamisen jälkeen tarkastusraportit asetetaan asiakkaiden saataville salassapitosopimuksen (NDA) alaisina.
11. Tietojen säilyttäminen
11.1 Säilytysajat
| Tietokategoria | Säilytysaika | Huomiot |
|---|---|---|
| Aktiivisten tilien tiedot | Palvelujen kesto | Poistetaan tilin poiston yhteydessä |
| Poistetut käyttäjätilit | Anonymisoidaan välittömästi | 90 päivän varmuuskopiosäilytys |
| Tekoälyn käyttömetadata | 365 päivää | Tokenmäärät, kustannukset |
| Tarkastuslokit (vakio) | 24 kuukautta | CRUD-operaatiot |
| Tarkastuslokit (kriittiset) | 36 kuukautta | Poistot, tietoturvatapahtumat |
| Vaatimustenmukaisuuden tarkastuslokit | 7 vuotta | Muuttumaton, sääntely-säilytys |
| Laskutustiedot | 6 vuotta | Suomen kirjanpitolaki |
| Varmuuskopiot | 30 päivää | Automaattinen kierrätys |
11.2 Poistoprosessi Organisaation poisto noudattaa strukturoitua prosessia: poistopyyntö salasanan vahvistuksella; 30 päivän siirtymäaika (peruutettavissa); Stripe-tilauksen peruutus; kaikkien organisaatiotietojen järjestelmällinen poisto; muuttumaton vaatimustenmukaisuuden tarkastuslokimerkintä.
12. Vastuu
Kummankin osapuolen vastuu tämän tietojenkäsittelysopimuksen nojalla on käyttöehtojen vastuunrajoitusten alainen. Kumpikin osapuoli korvaa toiselle tappiot, jotka johtuvat korvaavan osapuolen tämän tietojenkäsittelysopimuksen tai sovellettavien tietosuojalakien rikkomisesta.
13. Voimassaoloaika ja päättyminen
Tämä tietojenkäsittelysopimus on voimassa käyttöehtojen keston ajan. Kohdat 5 (Tekoälykohtainen tietojenkäsittely), 8 (Tietoturvaloukkaukset), 11 (Tietojen säilyttäminen) ja 12 (Vastuu) säilyvät voimassa päättymisen jälkeen.
14. Sovellettava laki
Tähän tietojenkäsittelysopimukseen sovelletaan Suomen lakia. Riidat ratkaistaan käyttöehtojen riitojenratkaisumääräysten mukaisesti.
15. Yhteystiedot
Tietosuojatiedusteluissa: Y4 Works Oy (Suunta.ai), Sähköposti: privacy@suunta.ai
Liite A: Valtuutetut alikäsittelijät
Viimeksi päivitetty: 27.1.2025. Katso täydellinen luettelo osoitteessa https://suunta.ai/legal/subprocessors.
Liite B: Tekniset ja organisatoriset toimenpiteet
1. Pääsynhallinta
- Roolipohjainen pääsynhallinta (RBAC)
- Organisaatiotason tietojen eristys (monitenanttirakenne)
- Ainutlaatuiset käyttäjätilit turvallisella tunnistautumisella
- Istunnonhallinta määritettävissä olevilla aikakatkaisuilla
- Brute-force-suojaus tilin lukituksella
2. Salaus
- Tiedot levossa: AES-256-salaus (AWS RDS)
- Tiedot siirrettäessä: TLS 1.2+ kaikissa yhteyksissä
- Salasanojen tallennus: PBKDF2-SHA256-hajautus
3. Saatavuus ja joustavuus
- AWS-infrastruktuuri korkealla saatavuudella
- Automatisoidut päivittäiset varmuuskopiot point-in-time-palautuksella
- Katastrofista toipumisen menettelyt
4. Seuranta ja lokitus
- Kattava käyttäjätoimintojen tarkastuslokitus
- Tekoälyn käytön seuranta (vain metatieto)
- Tietoturvatapahtumien seuranta
- Lokien säilytys kohdan 11 mukaisesti
5. Poikkeamien käsittely
- Dokumentoidut poikkeamien käsittelymenettelyt
- 72 tunnin tietoturvaloukkauksesta ilmoittamisen sitoumus
- Muuttumaton vaatimustenmukaisuuden tarkastusjälki
6. Henkilöstö
- Salassapitovelvoitteet kaikelle henkilöstölle
- Tietoturvakoulutus
- Vähimmän oikeuden periaate
7. Toimittajahallinta
- Huolellisuusarviointi alikäsittelijöistä
- Sopimukselliset tietosuojavaatimukset
- Alikäsittelijöiden vaatimustenmukaisuuden säännöllinen arviointi