Tietojenkäsittelysopimus (DPA)

Voimaantulopäivä: 24.11.2025 Versio: 1.0

Tämä Tietojenkäsittelysopimus (”DPA”) on erottamaton osa ROFFI Oy:n (”Käsittelijä”) ja Asiakkaan (”Rekisterinpitäjä”) välistä Master SaaS Sopimusta tai Palvelusopimusta (”Pääsopimus”).

Tämä DPA astuu voimaan automaattisesti, kun Asiakas hyväksyy Pääsopimuksen ehdot, tilaa Palvelun tai aloittaa Palvelun käytön.

1. Määritelmät ja soveltamisala

1.1 Tämä DPA säätelee ehtoja, joilla ROFFI käsittelee henkilötietoja Asiakkaan puolesta CLOOP- ja AIS-palveluita toimittaessaan.

1.2 Käsitteet kuten ”Henkilötieto”, ”Rekisteröity” ja ”Tietoturvaloukkaus” ymmärretään siten kuin ne on määritelty EU:n yleisessä tietosuoja-asetuksessa (GDPR).

2. Käsittelyn tarkoitus ja ohjeistus

2.1 Käsittelijä käsittelee henkilötietoja ainoastaan Pääsopimuksen mukaisten Palveluiden tuottamiseksi sekä Asiakkaan dokumentoitujen ohjeiden mukaisesti.

2.2 Tämä DPA ja Pääsopimus muodostavat Asiakkaan täydellisen ohjeistuksen Käsittelijälle.

3. Käsittelijän velvollisuudet

Käsittelijä sitoutuu:

  1. Luottamuksellisuus: Varmistamaan, että henkilöstö on sitoutunut salassapitovelvollisuuteen.
  2. Tietoturva: Toteuttamaan asianmukaiset tekniset ja organisatoriset toimet (kuten salaus, pääsynhallinta ja lokitus) tietojen suojaamiseksi.
  3. Avunanto: Avustamaan Asiakasta vastaamaan rekisteröityjen pyyntöihin ja tekemään tarvittavat ilmoitukset tietoturvaloukkauksista ilman aiheetonta viivytystä.

4. Alikäsittelijät (Sub-processors)

4.1 Asiakas antaa Käsittelijälle yleisen luvan käyttää alikäsittelijöitä (esim. pilvipalvelut, AI-mallit) Palvelun tuottamisessa.

4.2 Ajantasainen lista käytetyistä alikäsittelijöistä on nähtävillä Alikäsittelijät-sivulla (linkitä tämä esim. kohtaan rof.fi/legal/subprocessors).

4.3 Käsittelijä vastaa alikäsittelijöidensä toiminnasta suhteessa Asiakkaaseen kuin omastaan.

4.4 Käsittelijä ilmoittaa muutoksista alikäsittelijöissä (esim. sähköpostitse tai päivityksellä verkkosivulle) vähintään 14 päivää ennen muutosta, jolloin Asiakkaalla on oikeus vastustaa muutosta perustellusta syystä.

5. Tietojen siirto EU/ETA:n ulkopuolelle

5.1 Tiedot käsitellään ensisijaisesti EU/ETA-alueella.

5.2 Mikäli tietoja siirretään kolmansiin maihin (esim. USA), siirto suojataan Euroopan komission vakiosopimuslausekkeilla (SCC) tai Data Privacy Framework -järjestelyllä.

6. Auditointi

6.1 Asiakkaalla on oikeus auditoida Käsittelijän toimintaa. Auditointi toteutetaan ensisijaisesti Käsittelijän toimittamien riippumattomien raporttien tai sertifikaattien avulla.

6.2 Mikäli on-site auditointi on välttämätön, se tehdään Asiakkaan kustannuksella, virka-aikana ja vähintään 14 päivän varoitusajalla.

7. Datan palautus ja poisto

7.1 Sopimuksen päättyessä Käsittelijä poistaa Asiakasdatan järjestelmistään (mukaan lukien varmuuskopiot) 90 päivän kuluessa, ellei lainsäädäntö vaadi pidempää säilytystä.

LIITE 1: Käsittelyn kuvaus

  • Rekisteröidyt: Asiakkaan käyttäjät ja Asiakkaan omat asiakkaat.
  • Tietotyypit: Yhteystiedot, tekniset lokitiedot, sekä vapaamuotoinen sisältö (teksti/syötteet), jonka Asiakas lataa Palveluun.
  • Tarkoitus: SaaS-palvelun toimittaminen, tekoälyanalyysi ja hakutoiminnot.