Tietojenkäsittelysopimus (DPA)

1. Sopijapuolet ja roolit

Rekisterinpitäjä ("Asiakas"): Huoltoväli-palvelun tilaaja, joka syöttää loppuasiakkaidensa henkilötietoja palveluun ja päättää käsittelyn tarkoituksista ja keinoista.

Henkilötietojen käsittelijä ("Käsittelijä"): Digivoitto Oy (Y-tunnus: 3608714-4), joka käsittelee henkilötietoja Asiakkaan puolesta palvelun tuottamiseksi.

2. Käsittelyn kohde ja tarkoitus

Käsittelijä käsittelee henkilötietoja seuraaviin tarkoituksiin:

• Asiakkaan loppuasiakkaiden yhteystietojen tallentaminen ja hallinta
• Huoltomuistutus-SMS-viestien lähettäminen loppuasiakkaille
• Ajanvarausten vastaanottaminen ja välittäminen Asiakkaalle
• Muistutuslokin ylläpitäminen palvelun toiminnan varmistamiseksi

3. Käsiteltävät henkilötiedot

4. Käsittelijän velvollisuudet

Käsittelijä sitoutuu:

• Käsittelemään henkilötietoja ainoastaan Asiakkaan dokumentoitujen ohjeiden mukaisesti.
• Varmistamaan, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitovelvollisuuteen.
• Toteuttamaan asianmukaiset tekniset ja organisatoriset suojatoimet (ks. kohta 6).
• Auttamaan Asiakasta täyttämään velvollisuutensa rekisteröityjen oikeuksien suhteen (tietojen pääsy, oikaisu, poisto, siirrettävyys).
• Auttamaan Asiakasta tietoturvaloukkausilmoituksissa ja vaikutustenarvioinneissa.
• Poistamaan tai palauttamaan kaikki henkilötiedot sopimuksen päättyessä Asiakkaan valinnan mukaisesti.
• Antamaan Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen velvollisuuksien noudattamisen osoittamiseksi.

5. Alikäsittelijät

Käsittelijä käyttää seuraavia alikäsittelijöitä, joiden käyttöön Asiakas antaa yleisen kirjallisen luvan tämän sopimuksen hyväksymisen yhteydessä:

SCCs = EU:n vakiosopimuslausekkeet kolmansiin maihin siirroille. Käsittelijä ilmoittaa uusista alikäsittelijöistä vähintään 30 päivää etukäteen.

6. Tekniset ja organisatoriset suojatoimet

• Salaus: Kaikki tietoliikenne salattu TLS 1.2+ -protokollalla. Tietokanta salattu levossa (AES-256).
• Pääsynhallinta: Row Level Security (RLS) -politiikat tietokannassa. Jokainen asiakas näkee vain omat tietonsa.
• Tunnistautuminen: Salasanapohjainen kirjautuminen bcrypt-hajautuksella. Hallintapääsy rajoitettu.
• Varmuuskopiointi: Supabasen automaattiset päivittäiset varmuuskopiot.
• Lokitus: API-pyynnöt ja SMS-lähetykset lokitetaan.
• Minimointi: Kerätään vain palvelun kannalta välttämättömät tiedot.

7. Tietoturvaloukkaukset

Käsittelijä ilmoittaa Asiakkaalle tietoturvaloukkauksesta ilman aiheetonta viivytystä, viimeistään 48 tunnin kuluessa loukkauksen havaitsemisesta. Ilmoitus sisältää kuvauksen loukkauksesta, sen vaikutuksista, ja toteutetuista korjaavista toimenpiteistä.

8. Tietojen säilytys ja poisto

• Henkilötietoja säilytetään niin kauan kuin palvelusopimus on voimassa.
• Sopimuksen päättyessä tiedot säilytetään 90 päivää, jonka aikana Asiakas voi pyytää tietojen vientiä.
• 90 päivän jälkeen kaikki henkilötiedot poistetaan pysyvästi, ellei lainsäädäntö edellytä pidempää säilytystä.
• Asiakas voi milloin tahansa poistaa yksittäisen loppuasiakkaan tiedot hallintapaneelista.

9. Rekisteröityjen oikeudet

Käsittelijä avustaa Asiakasta seuraavien oikeuksien toteuttamisessa:

• Oikeus saada pääsy tietoihin: Asiakas voi nähdä kaikki loppuasiakkaidensa tiedot hallintapaneelista.
• Oikeus oikaisuun: Asiakas voi muokata loppuasiakkaidensa tietoja.
• Oikeus tulla unohdetuksi: Asiakas voi poistaa loppuasiakkaan ja kaikki hänen tietonsa hallintapaneelista.
• Oikeus vastustaa käsittelyä: Loppuasiakas voi perua SMS-muistutukset opt-out-linkin kautta.
• Oikeus siirrettävyyteen: Asiakas voi pyytää tietojensa vientiä CSV-muodossa.

10. Tarkastusoikeus

Asiakkaalla on oikeus tarkastaa Käsittelijän tietosuojakäytännöt ja -toimenpiteet. Tarkastukset sovitaan tapauskohtaisesti ja toteutetaan Asiakkaan kustannuksella, ellei tarkastus johdu Käsittelijän sopimusrikkomuksesta.

11. Sovellettava laki

Tähän sopimukseen sovelletaan Suomen lakia ja EU:n yleistä tietosuoja-asetusta (asetus 2016/679, GDPR).