Tietojenkäsittelysopimus

1. Tarkoitus ja osapuolet

Tämä tietojenkäsittelysopimus täydentää Venuetin käyttöehtoja. Sopimusta sovelletaan henkilötietoihin, joita InSoHo Oy käsittelee Venuet-palvelussa operaattorin puolesta.

Operaattori toimii näiden henkilötietojen rekisterinpitäjänä. InSoHo Oy toimii käsittelijänä. Jos operaattori antaa palvelun käyttöoikeuden omille työntekijöilleen tai muille käyttäjilleen, operaattori vastaa siitä, että näillä käyttäjillä on oikeus käsitellä palvelussa olevia henkilötietoja.

2. Käsittelyn kohde ja kesto

Käsittelyn kohteena on Venuet-palvelun tuottaminen operaattorille. Käsittely kestää niin kauan kuin operaattorin palvelusopimus on voimassa ja sen jälkeen niin kauan kuin tietojen palauttaminen, poistaminen, varmuuskopioiden poistuminen, lakisääteinen säilytys tai oikeusvaateiden käsittely edellyttää.

3. Käsittelyn luonne ja tarkoitus

Käsittely sisältää henkilötietojen tallentamista, järjestämistä, hakemista, näyttämistä, muuttamista, lähettämistä, analysointia, säilyttämistä, varmuuskopiointia, poistamista ja suojaamista siinä laajuudessa kuin palvelun tarjoaminen edellyttää.

Käsittelyn tarkoituksena on mahdollistaa tarjouspyyntöjen vastaanotto, tarjousten luonti ja lähetys, tarjousten seuranta, hyväksyntöjen ja sähköisten allekirjoitusten todentaminen, asiakashallinta, liitteiden käsittely, ilmoitukset, käyttäjähallinta, tuki, tietoturva ja palvelun ylläpito. Valinnaiset ominaisuudet, kuten tekoälyavustaja, WhatsApp-integraatio tai Google Kalenteri -synkronointi, voivat aiheuttaa lisäkäsittelyä vain, jos operaattori ottaa ne käyttöön.

4. Henkilötietotyypit ja rekisteröityjen ryhmät

Käsiteltävät henkilötiedot voivat sisältää esimerkiksi nimiä, sähköpostiosoitteita, puhelinnumeroita, organisaatioita, rooleja, tapahtuma- ja varaustietoja, ruokavalio- ja allergiatietoja, laskutustietoja, viestejä, kommentteja, tarjousten sisältöä, hyväksyntä- ja allekirjoitustietoja, IP-osoitteita, käyttö- ja lokitietoja sekä operaattorin palveluun tallentamia liitteitä.

Rekisteröityjä voivat olla operaattorin työntekijät ja käyttäjät, asiakkaat, potentiaaliset asiakkaat, tarjouspyyntöjen lähettäjät, tapahtumavieraat, yhteyshenkilöt, laskutusyhteyshenkilöt ja muut henkilöt, joiden tietoja operaattori tallentaa tai käsittelee palvelussa.

5. Rekisterinpitäjän ohjeet

InSoHo Oy käsittelee henkilötietoja vain operaattorin dokumentoitujen ohjeiden mukaisesti. Ohjeita ovat tämä sopimus, käyttöehdot, palvelun asetukset, operaattorin palvelussa tekemät toimet sekä operaattorin kirjalliset ohjeet, jos InSoHo Oy hyväksyy ne.

Jos InSoHo Oy katsoo, että operaattorin ohje rikkoo tietosuojalainsäädäntöä, InSoHo Oy ilmoittaa tästä operaattorille, ellei laki kiellä ilmoittamista.

6. Käsittelijän henkilöstö ja salassapito

InSoHo Oy varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitoon tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. Pääsy henkilötietoihin rajataan henkilöille, joilla on tehtäviensä perusteella tarve käsitellä tietoja.

7. Turvatoimet

InSoHo Oy toteuttaa asianmukaiset tekniset ja organisatoriset turvatoimet ottaen huomioon käsittelyn luonteen, laajuuden, asiayhteyden, tarkoitukset ja riskit. Toimenpiteitä voivat olla esimerkiksi salattu tiedonsiirto, käyttöoikeuksien hallinta, roolipohjaiset oikeudet, lokitus, varmuuskopiot, tuotanto- ja kehitysympäristöjen erottaminen, haavoittuvuuksien korjaaminen, palveluntarjoajien sopimuksellinen valvonta ja henkilöstön pääsyn rajoittaminen.

Operaattori vastaa omista käyttäjistään, salasanoistaan, käyttöoikeuksistaan, päätelaitteistaan, omista integraatioistaan sekä siitä, mitä tietoja se päättää tallentaa palveluun.

8. Alihankkijat

Operaattori antaa InSoHo Oy:lle yleisen luvan käyttää alihankkijoita henkilötietojen käsittelyssä. InSoHo Oy vastaa siitä, että alihankkijoille asetetaan olennaisilta osin samantasoiset tietosuojavelvoitteet kuin tässä sopimuksessa.

Alihankkijoita voivat olla esimerkiksi hosting-, tietokanta-, pilvitallennus-, sähköposti-, lokitus-, tietoturva-, maksunvälitys- ja valinnaisten ominaisuuksien palveluntarjoajat. Tämänhetkisiä palveluntarjoajia voivat olla Vercel, Neon, Cloudflare R2, Resend, Stripe, Google (Google Calendar API), Anthropic ja Meta siltä osin kuin kyseinen palvelu tai ominaisuus on operaattorin käytössä.

InSoHo Oy ilmoittaa olennaisista uusista tai korvaavista alihankkijoista kohtuullisella tavalla. Operaattori voi vastustaa muutosta perustellusta tietosuojasyystä. Jos osapuolet eivät löydä kohtuullista ratkaisua, operaattori voi lopettaa kyseisen palvelun tai ominaisuuden käytön.

9. Kansainväliset tiedonsiirrot

InSoHo Oy voi siirtää henkilötietoja EU/ETA-alueen ulkopuolelle vain, jos siirrolle on GDPR:n mukainen peruste. Tällainen peruste voi olla esimerkiksi Euroopan komission hyväksymät vakiolausekkeet, soveltuva tietosuojakehys tai muu lain sallima siirtomekanismi.

InSoHo Oy huolehtii siitä, että sen käyttämät alihankkijat sitoutuvat soveltuviin siirtoperusteisiin, jos ne käsittelevät henkilötietoja EU/ETA-alueen ulkopuolella.

10. Rekisteröityjen oikeudet

InSoHo Oy avustaa operaattoria kohtuullisin teknisin ja organisatorisin toimin rekisteröityjen oikeuksien toteuttamisessa, ottaen huomioon käsittelyn luonteen ja InSoHo Oy:n käytettävissä olevat tiedot.

Jos rekisteröity ottaa suoraan yhteyttä InSoHo Oy:hyn tietojen käyttämiseksi, oikaisemiseksi, poistamiseksi, rajoittamiseksi, siirtämiseksi tai vastustamiseksi, InSoHo Oy ohjaa pyynnön operaattorille tai käsittelee pyynnön operaattorin dokumentoitujen ohjeiden mukaisesti, ellei laki edellytä muuta.

11. Avustaminen tietoturva- ja vaikutustenarviointivelvoitteissa

InSoHo Oy avustaa operaattoria kohtuullisesti GDPR:n mukaisten tietoturva-, vaikutustenarviointi- ja ennakkokuulemisvelvoitteiden täyttämisessä, siltä osin kuin avustaminen liittyy InSoHo Oy:n suorittamaan käsittelyyn ja käytettävissä oleviin tietoihin.

12. Henkilötietojen tietoturvaloukkaukset

InSoHo Oy ilmoittaa operaattorille ilman aiheetonta viivytystä saatuaan tiedon henkilötietojen tietoturvaloukkauksesta, joka koskee operaattorin henkilötietoja. Ilmoituksessa annetaan saatavilla olevat tiedot loukkauksen luonteesta, vaikutuksista, todennäköisistä seurauksista ja toteutetuista tai ehdotetuista korjaavista toimista.

Operaattori vastaa tarvittavista ilmoituksista valvontaviranomaisille ja rekisteröidyille, ellei pakottavasta laista muuta johdu. InSoHo Oy avustaa operaattoria kohtuullisesti näiden velvoitteiden täyttämisessä.

13. Tietojen palauttaminen ja poistaminen

Palvelusopimuksen päättyessä InSoHo Oy palauttaa, poistaa tai anonymisoi operaattorin henkilötiedot operaattorin ohjeiden, palvelun teknisten mahdollisuuksien ja sovellettavan lain mukaisesti. Ellei muuta sovita, aktiivinen palveludata poistetaan tai anonymisoidaan yleensä 30 päivän kuluessa siitä, kun tilin poisto tulee lopulliseksi.

Tietoja voidaan säilyttää pidempään, jos laki, kirjanpito, väärinkäytösten selvittäminen, tietoturva, varmuuskopioiden kierto tai oikeusvaateen laatiminen, esittäminen tai puolustaminen sitä edellyttää.

14. Auditointi ja tietojen saataville asettaminen

InSoHo Oy asettaa operaattorin saataville kohtuulliset tiedot, joita tarvitaan tämän sopimuksen velvoitteiden osoittamiseksi. Tämä voi sisältää esimerkiksi tietoturvaa, alihankkijoita ja käsittelyä koskevaa dokumentaatiota.

Operaattori voi pyytää auditointia kohtuullisella ennakkoilmoituksella. Auditointi toteutetaan tavalla, joka ei vaaranna muiden asiakkaiden tietoja, palvelun turvallisuutta, liikesalaisuuksia tai palvelun saatavuutta. Osapuolet sopivat auditoinnin käytännön toteutuksesta, aikataulusta ja mahdollisista kustannuksista erikseen.

15. Vastuu ja etusijajärjestys

Tähän sopimukseen sovelletaan samoja vastuunrajoituksia ja sovellettavaa lakia kuin Venuetin käyttöehtoihin, ellei pakottavasta tietosuojalainsäädännöstä muuta johdu.

Jos tämän sopimuksen ja käyttöehtojen välillä on ristiriita henkilötietojen käsittelyä koskevassa asiassa, tämä tietojenkäsittelysopimus on ensisijainen kyseisen ristiriidan osalta.

16. Muutokset

InSoHo Oy voi päivittää tätä tietojenkäsittelysopimusta, kun palvelu, alihankkijat, käsittelytavat tai lainsäädäntö muuttuvat. Olennaisista muutoksista ilmoitetaan operaattorille kohtuullisesti etukäteen. Jos operaattori ei hyväksy olennaista muutosta, operaattori voi lopettaa palvelun käytön ennen muutoksen voimaantuloa.