Tietojenkäsittelysopimus

Tietojenkäsittelysopimus (DPA)

Liite, joka sääntelee henkilötietojen käsittelyä Sutjan palvelussa GDPR:n 28 artiklan mukaisesti.

Päivitetty 17.7.2026

1. Sopimuksen tarkoitus ja osapuolet

Tämä tietojenkäsittelysopimus (DPA) on osa Sutjan palvelun käyttöehtoja, ja sitä sovelletaan, kun Sutja käsittelee henkilötietoja asiakkaan lukuun palvelua tuotettaessa.

Asiakas on henkilötietojen rekisterinpitäjä ja plops Oy (Y-tunnus 3596026-3) toimii henkilötietojen käsittelijänä. Ristiriitatilanteessa tämä sopimus syrjäyttää muut ehdot henkilötietojen käsittelyn osalta.

2. Määritelmät

Tässä sopimuksessa rekisterinpitäjällä, käsittelijällä, henkilötiedolla, käsittelyllä, rekisteröidyllä ja alikäsittelijällä tarkoitetaan samaa kuin EU:n yleisessä tietosuoja-asetuksessa (GDPR, 2016/679).

3. Käsittelyn kohde, kesto, luonne ja tarkoitus

Sutja käsittelee henkilötietoja ainoastaan palvelun tuottamiseksi: työvuorosuunnittelua ja henkilöstöhallintoa varten.

  • Kohde: asiakkaan palveluun tallentamat henkilötiedot
  • Kesto: palvelusopimuksen voimassaolon ajan
  • Luonne ja tarkoitus: tietojen tallennus, järjestäminen, käyttö ja muu käsittely palvelun toimintojen toteuttamiseksi
  • Rekisteröidyt: asiakkaan työntekijät ja käyttäjät
  • Tietoryhmät: nimi ja yhteystiedot, työsuhde- ja vuorotiedot, työajat ja poissaolot, osaamistiedot sekä palvelun käyttöön liittyvät tekniset tiedot

4. Käsittely ohjeiden mukaisesti

Sutja käsittelee henkilötietoja vain asiakkaan dokumentoitujen ohjeiden mukaisesti, mukaan lukien tämä sopimus ja palvelun käyttö, eikä käytä tietoja omiin tarkoituksiinsa. Sutja ilmoittaa asiakkaalle, jos se katsoo ohjeen rikkovan tietosuojalainsäädäntöä.

Asiakas vastaa siitä, että käsittelyllä on lainmukainen peruste ja että sen antamat ohjeet ovat tietosuojalainsäädännön mukaisia.

5. Salassapito

Sutja varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitoon ja että pääsy tietoihin on rajattu vain niihin, jotka sitä tehtävissään tarvitsevat.

6. Tietoturva

Sutja toteuttaa GDPR:n 32 artiklan mukaiset asianmukaiset tekniset ja organisatoriset toimenpiteet, joihin kuuluvat muun muassa:

  • henkilötietojen salaus siirrettäessä ja levossa
  • käsittelyjärjestelmien luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden varmistaminen
  • kyky palauttaa tietojen saatavuus häiriötilanteessa
  • roolipohjainen pääsynhallinta vähimmän oikeuden periaatteella sekä käytön lokitus
  • turvatoimien säännöllinen testaus ja arviointi

Arkaluonteisten tietojen käsittelyyn sovelletaan tarvittaessa täydentäviä suojatoimia. Tietoturvasta kerrotaan tarkemmin GDPR-sivulla.

7. Alikäsittelijät

Asiakas antaa Sutjalle yleisen valtuutuksen käyttää alikäsittelijöitä. Sutja on tehnyt jokaisen alikäsittelijän kanssa tietosuojavelvoitteet sisältävän sopimuksen ja vastaa niiden toiminnasta kuin omastaan.

Ajantasainen lista alikäsittelijöistä on GDPR-sivulla. Sutja ilmoittaa suunnitelluista muutoksista etukäteen, ja asiakkaalla on oikeus vastustaa muutosta perustellusta syystä.

8. Siirrot EU:n ja ETA:n ulkopuolelle

Henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle. Tiedot säilytetään ja käsitellään Suomessa ja EU:ssa.

9. Avustaminen ja rekisteröidyn oikeudet

Sutja avustaa asiakasta asianmukaisin teknisin ja organisatorisin toimin, jotta tämä voi vastata rekisteröityjen pyyntöihin (pääsy, oikaisu, poisto, siirrettävyys, rajoittaminen ja vastustaminen). Palvelussa on työkalut tietojen vientiin ja poistamiseen.

Jos rekisteröity ottaa yhteyttä suoraan Sutjaan, Sutja ei vastaa pyyntöön itse vaan ohjaa sen asiakkaalle. Sutja ilmoittaa asiakkaalle ilman aiheetonta viivästystä myös valvontaviranomaisen tiedusteluista, jotka koskevat asiakkaan henkilötietoja.

Sutja avustaa asiakasta lisäksi GDPR:n 32–36 artiklan velvoitteissa, kuten tietoturvasta huolehtimisessa, vaikutustenarvioinnissa (DPIA) ja ennakkokuulemisessa.

10. Tietoturvaloukkaukset

Sutja ilmoittaa asiakkaalle henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivästystä, viimeistään 72 tunnin kuluessa siitä, kun loukkaus on tullut Sutjan tietoon. Ilmoitus sisältää saatavilla olevat olennaiset tiedot, kuten:

  • loukkauksen luonne sekä asianomaiset tietoryhmät ja arvioidut rekisteröityjen määrät
  • yhteyshenkilö, jolta saa lisätietoa
  • loukkauksen todennäköiset seuraukset
  • toteutetut ja ehdotetut toimet loukkauksen korjaamiseksi ja seurausten lieventämiseksi

Sutja ryhtyy viipymättä toimiin loukkauksen rajaamiseksi, dokumentoi loukkaukset ja avustaa asiakasta tämän ilmoitusvelvollisuuksien täyttämisessä.

11. Auditointi

Sutja antaa asiakkaalle tämän velvoitteiden osoittamiseksi tarvittavat tiedot ja sallii asiakkaan tai tämän valtuuttaman, salassapitoon sitoutuneen tarkastajan tekemät auditoinnit. Auditointi tehdään kohtuullisin ehdoin ja siitä ilmoitetaan etukäteen, pääsääntöisesti enintään kerran vuodessa, ellei tietosuojalainsäädäntö tai viranomainen edellytä useammin. Kumpikin osapuoli vastaa omista auditoinnista aiheutuvista kustannuksistaan.

12. Käsittelyn päättyminen

Palvelusopimuksen päättyessä Sutja asiakkaan valinnan mukaan palauttaa tai poistaa henkilötiedot sovitun ajan kuluessa ja poistaa olemassa olevat kopiot, ellei laki edellytä tietojen säilyttämistä.

13. Vastuu ja sovellettava laki

Tähän sopimukseen sovelletaan Suomen lakia. Osapuolten vastuu määräytyy palvelusopimuksen mukaisesti. Erimielisyydet pyritään ratkaisemaan ensisijaisesti neuvottelemalla.