Tietojenkäsittelysopimus (DPA)

1. Sopimuksen tarkoitus ja osapuolet

Tämä DPA koskee henkilötietoja, joita Fronterak ("Käsittelijä") käsittelee urakoitsijan ("Rekisterinpitäjä") lukuun, kun Rekisterinpitäjä käyttää Fronterakin palvelua omien asiakkaidensa eli kuluttajien tietojen hallintaan (esim. tarjouspyynnöt, projektitiedot, viestit).

Rekisterinpitäjä päättää henkilötietojen käsittelyn tarkoituksista ja keinoista oman liiketoimintansa osalta. Käsittelijä käsittelee tietoja vain Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, ellei laki muuta vaadi.

2. Käsittelyn kohde, kesto, luonne ja tarkoitus

Käsittelyn kohde: Rekisterinpitäjän asiakkaiden henkilötiedot, jotka kerätään Fronterakin palvelun kautta (tarjouspyynnöt, projektitiedot, viestit, dokumentit).

Kesto: Käsittely kestää niin kauan kuin Rekisterinpitäjällä on aktiivinen Fronterakin tilaus, sekä lisäksi sopimuksen päättymisen jälkeen tietojen palauttamiseen ja tuhoamiseen tarvittavan ajan (enintään 90 päivää).

Luonne ja tarkoitus: Käsittelijän palvelun tuottaminen ja siihen liittyvät toimet, kuten tietojen säilytys, viestinvälitys, varmuuskopiointi ja palvelun ylläpito.

3. Henkilötietojen tyypit ja rekisteröityjen ryhmät

Käsiteltävät henkilötiedot: nimi, sähköposti, puhelinnumero, osoite, projektitiedot, viestinnän sisältö, kuvat ja muut tarjouspyyntöön tai projektiin liittyvät tiedot.

Rekisteröityjen ryhmät: Rekisterinpitäjän nykyiset ja potentiaaliset asiakkaat (kuluttajat) sekä Rekisterinpitäjän omat työntekijät ja edustajat, jotka käyttävät palvelua Rekisterinpitäjän puolesta.

Erityisten henkilötietojen ryhmiä (GDPR 9 art.) ei lähtökohtaisesti käsitellä. Mikäli Rekisterinpitäjä syöttää palveluun erityisiä tietoryhmiä, hän vastaa erikseen niiden käsittelyn lainmukaisuudesta.

4. Käsittelijän velvollisuudet ja luottamuksellisuus

Käsittelijä sitoutuu: (a) käsittelemään henkilötietoja vain Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti; (b) varmistamaan, että käsittelyyn osallistuvat henkilöt ovat sitoutuneet luottamuksellisuuteen tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus; (c) toteuttamaan kaikki GDPR 32 artiklan mukaiset turvallisuustoimet; (d) avustamaan Rekisterinpitäjää tämän velvollisuuksien täyttämisessä.

Käsittelijä ilmoittaa viipymättä Rekisterinpitäjälle, jos jokin Rekisterinpitäjän antama ohje on Käsittelijän käsityksen mukaan tietosuojalainsäädännön vastainen.

5. Tietoturvatoimet (TOM)

Käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet (TOM) suojatakseen henkilötietoja luvattomalta käsittelyltä, vahingossa tapahtuvalta katoamiselta, tuhoutumiselta tai vahingoittumiselta. Toimenpiteet sisältävät vähintään:

(a) Salaus: TLS 1.2+ tiedonsiirrossa ja levossa olevien tietojen salaus; (b) Pääsynhallinta: rooliperusteinen pääsynvalvonta (Supabase RLS), kaksivaiheinen tunnistautuminen ylläpitokäyttäjille; (c) Lokitus ja seuranta: kriittisten toimien lokitus ja säännöllinen seuranta; (d) Varmuuskopiot: päivittäiset varmuuskopiot, joiden palautus testataan vähintään kerran vuodessa; (e) Henkilöstön koulutus: säännöllinen tietosuoja- ja tietoturvakoulutus käsittelyyn osallistuvalle henkilöstölle; (f) Häiriönhallintaprosessi: dokumentoitu prosessi tietoturvaloukkausten havaitsemiseen, arviointiin ja ilmoittamiseen.

Yksityiskohtainen kuvaus voimassa olevista TOM-toimista on saatavilla pyynnöstä osoitteesta info@fronterak.fi.

6. Alikäsittelijöiden käyttö

Rekisterinpitäjä antaa Käsittelijälle yleisen kirjallisen luvan käyttää alikäsittelijöitä palvelun tuottamiseen. Ajantasainen lista alikäsittelijöistä on julkaistu alikäsittelijälistalla.

Käsittelijä ilmoittaa Rekisterinpitäjälle uusista tai vaihtuvista alikäsittelijöistä vähintään 30 päivää ennen muutoksen voimaantuloa. Rekisterinpitäjällä on oikeus vastustaa muutosta perustellusta syystä — vastustustapauksessa osapuolet pyrkivät hyvässä uskossa neuvottelemaan ratkaisun, ja Rekisterinpitäjällä on tarvittaessa oikeus irtisanoa sopimus.

Käsittelijä solmii jokaisen alikäsittelijän kanssa kirjallisen sopimuksen, joka asettaa alikäsittelijälle vastaavat tietosuojavelvoitteet kuin tässä DPA:ssa. Käsittelijä on täysimääräisessä vastuussa alikäsittelijöidensä toimista Rekisterinpitäjälle.

7. Kansainväliset tiedonsiirrot

Henkilötiedot säilytetään pääsääntöisesti EU/ETA-alueella. Mikäli tietoja siirretään ETA-alueen ulkopuolelle, siirto perustuu johonkin GDPR 5 luvun mukaiseen oikeudelliseen perusteeseen, ensisijaisesti EU-komission hyväksymiin vakiosopimuslausekkeisiin (SCC) tai EU–US Data Privacy Framework -järjestelyyn.

Käsittelijä toteuttaa lisäsuojatoimia (esim. salaus, anonymisointi) silloin kun se on tarpeen riittävän suojan tason varmistamiseksi.

8. Avustaminen rekisteröidyn oikeuksien toteuttamisessa

Käsittelijä avustaa Rekisterinpitäjää asianmukaisin teknisin ja organisatorisin toimenpitein vastaamaan rekisteröityjen GDPR 12–22 artikloiden mukaisiin pyyntöihin (mm. tiedonsaanti, oikaisu, poisto, käsittelyn rajoitus, siirrettävyys, vastustus).

Mikäli rekisteröity kohdistaa pyynnön suoraan Käsittelijälle, Käsittelijä toimittaa pyynnön viipymättä Rekisterinpitäjälle eikä vastaa pyyntöön ilman Rekisterinpitäjän nimenomaista valtuutusta.

9. Tietoturvaloukkaukset ja ilmoitusvelvollisuus

Käsittelijä ilmoittaa Rekisterinpitäjälle ilman aiheetonta viivytystä ja viimeistään 48 tunnin kuluessa havaitsemastaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta. Ilmoitus sisältää GDPR 33(3) artiklan mukaiset tiedot: loukkauksen luonne, vaikutukset, toteutetut toimenpiteet ja yhteyshenkilön tiedot.

Käsittelijä avustaa Rekisterinpitäjää tämän GDPR 33 ja 34 artiklan mukaisten ilmoitusvelvollisuuksien täyttämisessä valvontaviranomaiselle ja tarvittaessa rekisteröidyille.

10. Tietosuojavaikutusten arviointi (DPIA)

Käsittelijä avustaa kohtuullisin tavoin Rekisterinpitäjää GDPR 35 ja 36 artiklan mukaisten tietosuojavaikutusten arviointien (DPIA) sekä ennakkokuulemisten toteuttamisessa, kun käsittely todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille.

11. Auditointioikeus

Käsittelijä asettaa Rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tämän DPA:n ja GDPR 28 artiklan mukaisten velvoitteiden noudattamisen osoittamiseksi. Rekisterinpitäjällä on oikeus pyytää enintään kerran vuodessa tietoja Käsittelijän voimassa olevista tietoturvatoimista ja sertifikaateista.

Mikäli Rekisterinpitäjä vaatii laajempaa auditointia paikan päällä, osapuolet sopivat aikataulusta ja kustannusten jaosta erikseen. Käsittelijä voi tarjota auditoinnin korvikkeena riippumattoman kolmannen osapuolen suorittamia tarkastusraportteja (esim. ISO 27001 tai SOC 2 -auditointiraportti).

12. Sopimuksen päättyminen ja tietojen palautus

Sopimuksen päättyessä Käsittelijä — Rekisterinpitäjän valinnan mukaan — joko palauttaa kaikki henkilötiedot Rekisterinpitäjälle koneellisesti luettavassa muodossa tai poistaa ne pysyvästi 90 päivän kuluessa sopimuksen päättymisestä.

Käsittelijä saa kuitenkin säilyttää henkilötietoja siltä osin ja niin kauan kuin se on tarpeen lakisääteisten säilytysvelvoitteiden täyttämiseksi (esim. kirjanpitolaki). Tällöin Käsittelijä suojaa tiedot asianmukaisesti ja käsittelee niitä vain säilytystarkoituksessa.

13. Vastuut ja vahingonkorvaus

Osapuolet vastaavat omasta toiminnastaan GDPR 82 artiklan ja sovellettavan kansallisen lainsäädännön mukaisesti. Käsittelijän kokonaisvastuu Rekisterinpitäjää kohtaan tämän DPA:n perusteella määräytyy urakoitsijan käyttöehtojen vastuunrajoituslausekkeen mukaisesti.

Vastuunrajoitukset eivät kuitenkaan koske vahinkoja, jotka aiheutuvat Käsittelijän tahallisesta tai törkeästä huolimattomuudesta taikka GDPR-pakottavista vastuista rekisteröityjä kohtaan.

14. Sovellettava laki, voimaantulo ja muutokset

Tähän DPA:han sovelletaan Suomen lakia. DPA tulee voimaan, kun urakoitsija rekisteröityy Fronterakin palveluun ja hyväksyy urakoitsijan käyttöehdot.

Mikäli urakoitsija tarvitsee allekirjoitetun version DPA:sta, voi sen pyytää osoitteesta info@fronterak.fi. Käsittelijä voi päivittää tätä DPA:ta lainsäädännön tai palvelun olennaisten muutosten yhteydessä ilmoittamalla muutoksista vähintään 30 päivää ennen voimaantuloa.