Tietojenkäsittelysopimus

Tehty tietosuoja-asetuksen 28 artiklan 3 kohdan nojalla. Se on erottamaton osa käyttöehtoja ja koskee automaattisesti jokaista WorkAist Cloudin asiakasta.

Voimassa alkaen: 2026-07-10

Tämä asiakirja on julkaistu useilla kielillä. Ristiriitatilanteessa englanninkielinen versio on sitova.

1. Osapuolet ja roolit

Tämä tietojenkäsittelysopimus (”Sopimus”) tehdään WorkAist-tilillä yksilöidyn asiakkaan (”Rekisterinpitäjä”) ja ILIN & SADOVENKO, LDA:n, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (”Käsittelijä”) välillä.

WorkAist Cloudissa käsiteltävien Asiakastietojen osalta Rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot, ja Käsittelijä käsittelee tietoja Rekisterinpitäjän puolesta. Jos Rekisterinpitäjä itse toimii käsittelijänä kolmannelle osapuolelle, Rekisterinpitäjä vakuuttaa, että sillä on valtuudet tehdä tämä Sopimus ja että sen antamat ohjeet vastaavat kyseisen kolmannen osapuolen ohjeita.

Tämä Sopimus ei koske WorkAist Self-Hostedia, jossa Asiakastiedot eivät päädy Käsittelijän järjestelmiin, eikä tietoja, joiden osalta Käsittelijä itse on rekisterinpitäjä ja joita säätelee tietosuojakäytäntö.

2. Etusijajärjestys

Jos tämä Sopimus on ristiriidassa käyttöehtojen kanssa, tämä Sopimus on ensisijainen tietosuoja-asioissa. Jos se on ristiriidassa erikseen neuvotellun tilauslomakkeen tai allekirjoitetun tietojenkäsittelysopimuksen kanssa, kyseinen asiakirja on ensisijainen.

3. Kohde, kesto, luonne ja tarkoitus

Kohteena on WorkAist Cloudin tarjoaminen. Käsittelyn luonne ja tarkoitus on Asiakastietojen isännöinti, tallennus, siirto ja automaattinen käsittely, jotta Rekisterinpitäjän määrittämät agentit, connectorit ja prosessit voivat toimia, sekä Palvelun tarjoamiseen tarvittava tuki-, tietoturva-, mittaus- ja laskutustoiminta.

Käsittely jatkuu niin kauan kuin Rekisterinpitäjän WorkAist Cloud -sopimus on voimassa, lisättynä kohdan 11 poistoajoilla.

4. Rekisteröityjen ryhmät ja henkilötietoryhmät

Rekisterinpitäjä päättää, mitä se lataa Palveluun. Käsittely koskee tyypillisesti seuraavia:

Rekisteröityjen ryhmätHenkilötietoryhmät
Rekisterinpitäjän työntekijät ja valtuutetut käyttäjätNimi, työsähköposti, rooli, tunnistautumistiedot, auditointilokimerkinnät
Rekisterinpitäjän asiakkaat, liidit ja kontaktitNimi, sähköposti, puhelinnumero, yritys, kirjeenvaihto, CRM-tietueet, mikä tahansa tunniste, jonka Rekisterinpitäjä valitsee synkronoitavaksi
Rekisterinpitäjän toimittajat ja kumppanitYhteystiedot, sopimus- ja laskutustiedot
Kaikki rekisteröidyt, jotka esiintyvät Rekisterinpitäjän käsittelemissä asiakirjoissa tai viesteissäKaikki henkilötiedot, jotka sisältyvät tiedostoihin, sähköposteihin, transkriptioihin, kuviin tai viesteihin, jotka Rekisterinpitäjä toimittaa Palveluun

Erityisiin henkilötietoryhmiin kuuluvia tietoja tietosuoja-asetuksen 9 artiklan nojalla sekä rikostuomioita ja rikoksia koskevia henkilötietoja tietosuoja-asetuksen 10 artiklan nojalla ei saa käsitellä Palvelussa, elleivät osapuolet ole etukäteen sopineet kirjallisesti lisäsuojatoimista.

Tietojen alkuperä

Asiakastiedot päätyvät Palveluun, koska Rekisterinpitäjä liittää ulkoisia järjestelmiä, lataa tiedostoja tai ohjeistaa agenttejaan hakemaan niitä. Ainoastaan Rekisterinpitäjä valitsee nämä lähteet ja määrittää, mitä tuodaan.

Rekisterinpitäjä vakuuttaa, että sillä on tietosuoja-asetuksen 6 artiklan — ja tarvittaessa 9 artiklan — mukainen laillinen peruste kerätä näitä henkilötietoja ja siirtää ne Käsittelijälle, ja että lähdejärjestelmässä vaadittava informointi tai suostumus on voimassa. Käsittelijällä ei ole pääsyä Rekisterinpitäjän lähdejärjestelmiin, se ei valitse niitä, eikä se tarkista eikä pysty tarkistamaan, noudattavatko ne tietosuojalainsäädäntöä. Tämän varmistaminen on Rekisterinpitäjän velvollisuus rekisterinpitäjänä.

5. Käsittely dokumentoitujen ohjeiden mukaisesti

Käsittelijä käsittelee Asiakastietoja vain Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, mukaan lukien siirrot kolmansiin maihin, ellei unionin tai jäsenvaltion lainsäädäntö, jota Käsittelijään sovelletaan, velvoita toisin. Tällöin Käsittelijä ilmoittaa Rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, ellei laki kiellä tätä tärkeän yleisen edun vuoksi.

Käyttöehdot, tämä Sopimus sekä Rekisterinpitäjän Palvelun määritykset ja käyttö muodostavat Rekisterinpitäjän täydelliset dokumentoidut ohjeet. Kaikkien lisäohjeiden on oltava kirjallisia, ja jos ne edellyttävät Palvelun vakiotoiminnallisuuden ylittävää työtä, niistä voidaan periä etukäteen sovittu kohtuullinen maksu.

Käsittelijä ilmoittaa Rekisterinpitäjälle ilman aiheetonta viivytystä, jos se katsoo, että jokin ohje rikkoo tietosuoja-asetusta tai muuta unionin tai jäsenvaltion tietosuojalainsäädäntöä.

6. Salassapito

Käsittelijä varmistaa, että henkilöt, joilla on valtuudet käsitellä Asiakastietoja, ovat sitoutuneet salassapitoon tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus, ja että pääsy on rajattu niihin, jotka tarvitsevat sitä sopimuksen täyttämiseksi.

7. Käsittelyn turvallisuus

Ottaen huomioon tekniikan tason, toteutuskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset samoin kuin luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvan riskin, Käsittelijä toteuttaa seuraavat tekniset ja organisatoriset toimenpiteet tietosuoja-asetuksen 32 artiklan nojalla.

Liite II — Tekniset ja organisatoriset toimenpiteet

ToimenpideToteutus
Salaus siirron aikanaKaikki liikenne Palveluun ja Palvelusta välitetään TLS-yhteydellä automaattisesti uusittavin sertifikaatein. Sisäinen palvelujen välinen liikenne ei poistu isäntäverkosta.
Salaisuuksien salausAsiakkaiden tunnukset ja connector-salaisuudet salataan levossa AES-256-GCM-menetelmällä avaimella, joka säilytetään sovellustietokannan ulkopuolella.
PseudonymisointiTelemetria- ja mittaustietueet viittaavat vuokralaisiin ja agentteihin tunnisteella nimen tai sähköpostin sijaan aina kun tunniste riittää.
Luottamuksellisuus — pääsynhallintaRoolipohjainen pääsynhallinta työtilaa kohden. Jokainen agentti on rajattu omaan tallennustilaetuliitteeseensä ja omaan tietokantaskeemaansa; vuokralaisten välinen pääsy evätään tietokerroksessa, ei vain käyttöliittymässä.
Luottamuksellisuus — henkilöstöVähimmän oikeuden periaatteen mukainen hallinnollinen pääsy, myönnetään yksilöllisesti ja tarkistetaan roolin muuttuessa. Kaikki hallinnolliset toimet kirjataan vain lisättävissä olevaan auditointilokiin.
EheysSyötteiden validointi ja parametrisoidut kyselyt kauttaaltaan. Jokainen operaatioiden API:n kautta tehty muutos kirjaa auditointilokimerkinnän, joka yksilöi tekijän.
Saatavuus ja häiriönsietokykyHallinnoitu isännöinti Tier III -luokan datakeskuksessa Saksassa. Automaattiset päivittäiset tietokannan varmuuskopiot, salattuina ja erillään tuotannosta.
PalautuminenDokumentoitu palautusmenettely viimeisimmästä varmuuskopiosta; palautusta harjoitellaan osana infrastruktuurimuutoksia.
Testaus ja arviointiRiippuvuuksien haavoittuvuusskannaus jatkuvassa integraatiossa, koodikatselmointi ennen yhdistämistä sekä näiden toimenpiteiden säännöllinen, vähintään vuosittainen tarkistus ja tarkistus Palvelun olennaisten muutosten yhteydessä.
Sisäänrakennettu tietojen minimointiConnectorit synkronoivat vain ne kentät, jotka Rekisterinpitäjä ottaa käyttöön. Rekisterinpitäjä voi poistaa minkä tahansa synkronoidun taulukon milloin tahansa.

Käsittelijä voi päivittää näitä toimenpiteitä teknologian kehittyessä edellyttäen, että suojan taso ei heikkene. Voimassa oleva versio on aina tällä sivulla julkaistu versio.

8. Alikäsittelijät

Rekisterinpitäjä antaa Käsittelijälle yleisen kirjallisen valtuutuksen käyttää alikäsittelijöitä. Käsittelijä asettaa jokaiselle alikäsittelijälle sopimuksella tietosuojavelvoitteet, jotka eivät ole vähemmän suojaavia kuin tässä Sopimuksessa asetetut, ja vastaa täysimääräisesti Rekisterinpitäjälle alikäsittelijän toiminnasta.

Liite III — Valtuutetut alikäsittelijät

Seuraavat alikäsittelijät otetaan käyttöön jokaiselle WorkAist Cloudin asiakkaalle, koska ne ovat osa infrastruktuuria, jolla Palvelu toimii.

AlikäsittelijäKäyttötarkoitusSijaintiSiirron suoja
Hetzner Online GmbHSovelluspalvelinten, tietokannan ja varmuuskopioiden isännöintiSaksa (EU)Ei sovellu
Cloudflare, Inc.DNS, käänteisvälityspalvelin, TLS-purku, DDoS-suojausMaailmanlaajuinen reunaverkko, mukaan lukien EUVakiosopimuslausekkeet; EU-US Data Privacy Framework
Stripe Payments Europe, Ltd.Maksujen ja tilausten käsittelyIrlanti (EU)Vakiosopimuslausekkeet konsernin sisäisiä edelleensiirtoja varten; EU-US Data Privacy Framework
Resend, Inc.Tapahtumapohjaisten sähköpostien toimitusYhdysvallatVakiosopimuslausekkeet

Mallien tarjoajat

Suurten kielimallien tarjoajia kohdellaan eri tavalla, koska Rekisterinpitäjä valitsee ne itse.

  • Jos Rekisterinpitäjä toimittaa omat tarjoajakohtaiset tunnuksensa, kyseisen tarjoajan ottaa käyttöön Rekisterinpitäjä, sen omien ohjeiden mukaisesti ja sen oman sopimuksen nojalla kyseisen tarjoajan kanssa. Se ei ole Käsittelijän alikäsittelijä. Käsittelijä ainoastaan välittää pyynnön käyttäen annettuja tunnuksia eikä anna mitään takuuta kyseisen tarjoajan tietoturvasta, käsittelypaikasta, koulutuskäytännöistä tai vaatimustenmukaisuudesta.
  • Jos Rekisterinpitäjä käyttää Käsittelijän hallinnoitua token-laskutusta, Käsittelijä valitsee tarjoajan, ja se on Käsittelijän alikäsittelijä. Tässä ominaisuudessa käytössä oleva tarjoaja on tällä hetkellä Anthropic PBC (Yhdysvallat) suurten kielimallien päättelyä varten, vakiosopimuslausekkeiden nojalla ja sopimuksella kiellettynä kouluttamasta malleja sille lähetetyillä tiedoilla.

Rekisterinpitäjä näkee, mitä mallin tarjoajaa kukin sen agenteista käyttää, ja voi vaihtaa sitä milloin tahansa Palvelun sisällä.

Alikäsittelijöiden muutokset

Käsittelijä ilmoittaa Rekisterinpitäjälle vähintään 30 päivää etukäteen sähköpostitse ennen alikäsittelijän lisäämistä tai vaihtamista. Rekisterinpitäjä voi vastustaa tätä perustelluin tietosuojasyin näiden 30 päivän kuluessa. Jos osapuolet eivät pääse sopimukseen vastalauseesta, Rekisterinpitäjä voi irtisanoa Palvelun kyseisen osan ilman seuraamuksia ja saada suhteutetun palautuksen ennakkoon maksetuista maksuista.

9. Avustaminen rekisteröidyn oikeuksien toteuttamisessa

Ottaen huomioon käsittelyn luonteen, Käsittelijä avustaa Rekisterinpitäjää asianmukaisin teknisin ja organisatorisin toimenpitein, siltä osin kuin se on mahdollista, täyttämään Rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä tietosuoja-asetuksen III luvun nojalla.

Palvelu antaa Rekisterinpitäjälle suoran pääsyn Asiakastietoihin, jotta se voi itse paikantaa, viedä, korjata ja poistaa henkilötietoja. Jos pyyntö siitä huolimatta edellyttää Käsittelijän osallistumista, Käsittelijä vastaa ilman aiheetonta viivytystä ja joka tapauksessa 10 arkipäivän kuluessa. Jos rekisteröity ottaa suoraan yhteyttä Käsittelijään Asiakastietoja koskien, Käsittelijä ei vastaa asiasisältöisesti, vaan välittää pyynnön Rekisterinpitäjälle ilman aiheetonta viivytystä.

10. Avustaminen 32–36 artiklan osalta

Käsittelijä avustaa Rekisterinpitäjää tietosuoja-asetuksen 32–36 artiklan velvoitteiden noudattamisen varmistamisessa, ottaen huomioon käsittelyn luonteen ja Käsittelijän käytettävissä olevat tiedot — erityisesti käsittelyn turvallisuuden, henkilötietojen tietoturvaloukkauksesta ilmoittamisen, rekisteröidylle ilmoittamisen, tietosuojaa koskevien vaikutustenarviointien ja ennakkokuulemisen osalta.

Henkilötietojen tietoturvaloukkaus

Käsittelijä ilmoittaa Rekisterinpitäjälle ilman aiheetonta viivytystä ja joka tapauksessa 48 tunnin kuluessa saatuaan tiedon Asiakastietoihin kohdistuvasta henkilötietojen tietoturvaloukkauksesta. Ilmoituksessa kuvataan loukkauksen luonne, kyseessä olevien rekisteröityjen ja tietueiden ryhmät ja likimääräinen määrä, todennäköiset seuraukset, toteutetut tai ehdotetut toimenpiteet sekä yhteyspiste. Jos kaikkia tietoja ei ole heti saatavilla, ne toimitetaan vaiheittain ilman aiheetonta lisäviivytystä. Käsittelijä ei ilmoita valvontaviranomaiselle tai rekisteröidyille Rekisterinpitäjän puolesta, ellei sitä erikseen ohjeisteta tekemään.

11. Asiakastietojen poistaminen ja palauttaminen

Rekisterinpitäjän valinnan mukaan Käsittelijä poistaa tai palauttaa kaikki Asiakastiedot käsittelyyn liittyvien palvelujen tarjoamisen päätyttyä ja poistaa olemassa olevat kopiot, ellei unionin tai jäsenvaltion lainsäädäntö edellytä henkilötietojen säilyttämistä.

  • 30 päivän ajan sopimuksen päättymisen jälkeen Rekisterinpitäjä voi viedä Asiakastiedot Palvelusta tai pyytää niiden palauttamista jäsennellyssä, yleisesti käytetyssä, koneluettavassa muodossa.
  • Käsittelijä poistaa Asiakastiedot tuotantojärjestelmistä 30 päivän kuluessa tämän vientiajan päättymisestä.
  • Asiakastietoja sisältävät salatut varmuuskopiot korvataan niiden normaalin kierron mukaisesti ja joka tapauksessa 90 päivän kuluessa poistamisesta tuotantojärjestelmistä.
  • Kirjallisesta pyynnöstä Käsittelijä vahvistaa poistamisen kirjallisesti.

12. Auditoinnit ja tiedot

Käsittelijä antaa Rekisterinpitäjälle kaikki tiedot, jotka ovat tarpeen osoittamaan tietosuoja-asetuksen 28 artiklan noudattamisen, ja sallii Rekisterinpitäjän tai tämän valtuuttaman toisen auditoijan suorittamat auditoinnit, mukaan lukien tarkastukset, sekä myötävaikuttaa niihin.

Käytännössä Käsittelijä toimittaa ensin ajantasaisen dokumentaationsa teknisistä ja organisatorisista toimenpiteistä, alikäsittelijäluettelonsa sekä kirjalliset vastaukset tietoturvakyselyyn. Jos tämä ei riitä osoittamaan vaatimustenmukaisuutta, Rekisterinpitäjä voi suorittaa paikan päällä tai etänä toteutettavan auditoinnin 30 päivän kirjallisella ilmoituksella, enintään kerran kalenterivuodessa, ellei kyseessä ole henkilötietojen tietoturvaloukkaus tai valvontaviranomaisen vaatimus. Auditoinnit tehdään työaikana, ne eivät saa kohtuuttomasti häiritä Käsittelijän toimintaa, ja niitä koskee salassapitovelvollisuus. Rekisterinpitäjä vastaa omista auditointikustannuksistaan; Käsittelijä vastaa omistaan, ellei auditointi paljasta tämän Sopimuksen olennaista rikkomusta.

13. Kansainväliset tiedonsiirrot

Käsittelijä tallentaa Asiakastiedot levossa Saksassa. Siirrot Liitteessä III lueteltuihin alikäsittelijöihin Euroopan talousalueen ulkopuolella tapahtuvat Euroopan komission vakiosopimuslausekkeiden (täytäntöönpanopäätös (EU) 2021/914) nojalla, kolmannen moduulin mukaisesti, kun Käsittelijä toimii alikäsittelijää käyttävänä käsittelijänä, täydennettynä tarvittaessa lisäsuojatoimilla, ja — kun vastaanottaja on sertifioitu — EU-US Data Privacy Frameworkia koskevan tietosuojan riittävyyttä koskevan päätöksen nojalla.

Tekemällä tämän Sopimuksen Rekisterinpitäjä valtuuttaa Käsittelijän tekemään nämä vakiosopimuslausekkeet jokaisen alikäsittelijän kanssa Rekisterinpitäjän nimissä ja puolesta.

14. Vastuu

Tämän Sopimuksen mukaista vastuuta säätelee käyttöehtojen vastuunrajoitus, paitsi että mikään ei rajoita kummankaan osapuolen vastuuta rekisteröityä kohtaan tietosuoja-asetuksen 82 artiklan nojalla tai valvontaviranomaista kohtaan.

15. Voimassaolo, sovellettava laki ja yhteystiedot

Tämä Sopimus tulee voimaan, kun Rekisterinpitäjän WorkAist Cloud -sopimus alkaa, ja pysyy voimassa niin kauan kuin Käsittelijä käsittelee Asiakastietoja. Siihen sovelletaan Portugalin lakia, ja Lissabonin tuomioistuimilla on yksinomainen toimivalta, sanotun kuitenkaan rajoittamatta tietosuoja-asetuksen 79 artiklan soveltamista.

Yhteystiedot kaikissa tähän Sopimukseen liittyvissä asioissa: [email protected].