Siirry pääsisältöön

Tietojenkäsittelysopimus

Voimaantulopäivä:

Tämä tietojenkäsittelysopimus ("DPA") on osa palveluehtoja ja sitoo automaattisesti jokaista maksavaa Asiakasta. Sitä sovelletaan aina, kun Jonot Oy (Y-tunnus 3620928-7, "Jonot", "Käsittelijä") käsittelee Loppukäyttäjien henkilötietoja Asiakkaan ("Rekisterinpitäjä") puolesta. Käsittelijän ja Rekisterinpitäjän roolit määräytyvät yleisen tietosuoja-asetuksen (GDPR) 28 artiklan mukaisesti. Erillistä allekirjoitusta ei tarvita.

1. Roolit ja soveltamisala

Rekisterinpitäjä määrää käsittelyn tarkoitukset ja keinot. Jonot käsittelee henkilötietoja ainoastaan käsittelijänä Rekisterinpitäjän puolesta. Tätä DPA:ta sovelletaan siltä osin kuin GDPR koskee käsittelyä. Polarin (laskutus) suorittama käsittely tapahtuu sen omana rekisterinpitäjänä, eikä siihen sovelleta tätä DPA:ta.

2. Käsittelyä koskevat ohjeet

Jonot käsittelee henkilötietoja vain Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, joihin kuuluvat nämä ehdot, tämä DPA ja Asiakkaan tapa käyttää Palvelua, paitsi jos laki edellyttää muuta. Tällöin Jonot ilmoittaa vaatimuksesta ennen käsittelyä, ellei laki sitä kiellä. Jonot ilmoittaa Rekisterinpitäjälle, jos ohje on sen käsityksen mukaan tietosuojalainsäädännön vastainen.

3. Kohde, kesto, luonne ja tarkoitus

Käsittelyn kohde ja kesto, luonne ja tarkoitus sekä henkilötietojen ja rekisteröityjen ryhmät on kuvattu liitteessä 1. Käsittely jatkuu niin kauan kuin Asiakkaalla on aktiivinen tilaus, sekä tietosuojakäytännön mukaisten säilytysaikojen ajan.

4. Luottamuksellisuus

Jonot varmistaa, että henkilötietoja käsittelemään valtuutetut henkilöt ovat sitoutuneet luottamuksellisuuteen tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

5. Turvallisuus

Jonot toteuttaa GDPR:n 32 artiklan mukaiset asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan turvallisuustason varmistamiseksi. Nykyiset toimenpiteet on kuvattu liitteessä 2.

6. Alikäsittelijät

Rekisterinpitäjä antaa yleisen valtuutuksen alikäsittelijöiden käyttöön. Nykyiset alikäsittelijät on lueteltu liitteessä 3. Jonot asettaa kullekin alikäsittelijälle tätä DPA:ta vastaavat tietosuojavelvoitteet ja vastaa niiden toiminnasta. Jonot ilmoittaa aiotuista muutoksista alikäsittelijöihin ja antaa Rekisterinpitäjälle tilaisuuden vastustaa muutosta.

7. Rekisteröityjen pyynnöt

Jonot avustaa Rekisterinpitäjää asianmukaisin teknisin ja organisatorisin toimenpitein vastaamaan rekisteröityjen pyyntöihin, jotka koskevat tarkastusta, oikaisua, poistoa, käsittelyn rajoittamista, siirrettävyyttä tai vastustamista. Jos Jonot vastaanottaa tällaisen pyynnön suoraan, se välittää sen Rekisterinpitäjälle eikä vastaa siihen itse, ellei Rekisterinpitäjä toisin ohjeista.

8. Avustaminen ja tietoturvaloukkaukset

Jonot avustaa Rekisterinpitäjää tämän GDPR:n 32–36 artiklan mukaisissa velvoitteissa. Saatuaan tiedon Rekisterinpitäjän tietoja koskevasta henkilötietojen tietoturvaloukkauksesta Jonot ilmoittaa siitä Rekisterinpitäjälle ilman aiheetonta viivytystä ja toimittaa kohtuudella saatavilla olevat tiedot.

9. Tietojen siirrot

Jonot ei siirrä henkilötietoja ETA-alueen ulkopuolelle ilman riittävyyspäätöstä tai asianmukaisia suojatoimia, kuten EU:n vakiosopimuslausekkeita. Reunaverkossa tapahtuva käsittely voi tapahtua maailmanlaajuisesti infrastruktuuritoimittajamme kautta; tällaisia siirtoja koskevat suojatoimet on kuvattu liitteessä 3.

10. Palautus ja poisto

Sopimuksen päättyessä Jonot poistaa tai palauttaa henkilötiedot palveluehdoissa kuvatulla tavalla: 30 päivän vientijakso, tuotantotietojen poisto ja varmuuskopioiden poistuminen kierrosta 90 päivän kuluessa, ellei laki edellytä säilyttämistä.

11. Auditoinnit

Jonot asettaa saataville tiedot, jotka ovat tarpeen tämän DPA:n noudattamisen osoittamiseksi, ja mahdollistaa auditoinnit sekä myötävaikuttaa niihin. Jonot voi täyttää tämän velvoitteen dokumentaatiolla tai kolmannen osapuolen raporteilla. Paikan päällä tehtävät auditoinnit edellyttävät kohtuullista ennakkoilmoitusta ja salassapitoa, ja ne tehdään enintään kerran vuodessa, ellei kyseessä ole epäilty loukkaus.

12. Vastuu ja muutokset

Tämän DPA:n mukaiseen vastuuseen sovelletaan palveluehtojen vastuunrajoituksia. Jonot voi päivittää tätä DPA:ta lainsäädännön tai toiminnan muutosten huomioimiseksi; olennaisista muutoksista ilmoitetaan palveluehtojen mukaisesti.

Liite 1 — Käsittelyn kuvaus

  • Kohde ja tarkoitus: virtuaalisen jononhallinnan tuottaminen Rekisterinpitäjälle.
  • Luonne: Loppukäyttäjien jonotietojen säilytys, näyttäminen ja reaaliaikainen käsittely.
  • Henkilötietoryhmät: Loppukäyttäjien nimet, puhelinnumerot, vuorohistoria ja vuoron metatiedot; Henkilökäyttäjien tilitiedot.
  • Rekisteröityjen ryhmät: Asiakkaan jonoihin liittyvät Loppukäyttäjät ja Asiakkaan Henkilökäyttäjät.
  • Kesto: tilauksen voimassaolo ja tietosuojakäytännön mukaiset säilytysajat.

Liite 2 — Turvatoimet

  • Salaus siirron aikana (HTTPS edge-verkossa).
  • Pääsynhallinta ja vähimmän oikeuden periaate.
  • Reunaverkon nopeusrajoitus ja todennus.
  • Varmuuskopiointi ja kierrosta poistuminen.
  • Pääsy- ja tapahtumalokitus.

Liite 3 — Alikäsittelijät

  • Cloudflare: isännöinti, tietokanta (D1), Durable Objects ja reunaverkko.
  • Sähköpostin toimittaja: tapahtumasähköpostit (esim. vahvistukset).
  • Polar: laskutus; toimii omana rekisterinpitäjänään (ei tämän DPA:n mukainen alikäsittelijä).

Kysymykset: info@jonot.io.