Revial Logo
Takaisin

Tietojenkäsittelysopimus

Henkilötietojen käsittelyehdot GDPR:n mukaisesti

Päivitetty: 1. tammikuuta 2025

1. Tausta

Tämä tietojenkäsittelysopimus ("DPA") sisällytetään viittauksella ehtoihin ja muodostaa kiinteän osan Revialin (Palveluntarjoaja) ja Asiakkaan välisestä sopimuksesta. Se määrittää ehdot sille, miten Palveluntarjoaja käsittelee henkilötietoja Asiakkaan puolesta.

2. Soveltamisala

Kun Asiakas syöttää henkilötietoja Palveluihin tai niitä käsitellään palvelun toimittamisen aikana, molemmat osapuolet tunnustavat, että Asiakas toimii rekisterinpitäjänä ja Palveluntarjoaja käsittelijänä, käsitellen henkilötietoja Asiakkaan puolesta palvelun tarjoamista varten.

Mikäli tämän DPA:n ja muiden sopimusehtojen välillä on ristiriitoja, tämä DPA on ensisijainen.

3. Määritelmät

Tässä käytetyt termit – kuten "rekisterinpitäjä", "käsittelijä", "rekisteröity" ja "henkilötiedot" – vastaavat yleisen tietosuoja-asetuksen (EU) 2016/679 ja muun sovellettavan tietosuojalainsäädännön määritelmiä.

4. Henkilötietojen käsittely

Käsittelyn tarkoituksena on Palvelujen toimittaminen Asiakkaalle. Tämä sisältää tietojen tallentamisen, ylläpidon ja tarpeellisen operatiivisen käsittelyn. Käsittelyn yksityiskohdat, kohderyhmät ja tietotyypit on kuvattu Liitteessä 1.

Tietojenkäsittely jatkuu palvelujakson ajan ja sen jälkeen, jos laki tai sopimusvelvoitteet sitä edellyttävät.

5. Asiakkaan ohjeet ja vastuu

Palveluntarjoaja käsittelee tietoja tässä DPA:ssa vahvistettujen kirjallisten ohjeiden mukaisesti. Tämä asiakirja muodostaa Asiakkaan täydelliset kirjalliset ohjeet. Lisäohjeet edellyttävät erillistä kirjallista sopimusta.

Asiakas varmistaa, että sen tietojenkäsittely on sovellettavan tietosuojalainsäädännön mukaista.

6. Palveluntarjoajan yleiset velvollisuudet

Kirjallisesta pyynnöstä ja Asiakkaan kustannuksella Palveluntarjoaja avustaa rekisteröityjen tai viranomaisten pyyntöihin vastaamisessa. Avustaminen laskutetaan normaalien tuntiveloitusten mukaan, ellei toisin sovita.

Palveluntarjoaja ilmoittaa Asiakkaalle viipymättä rekisteröityjen pyynnöistä käyttää GDPR:n mukaisia oikeuksiaan.

Palveluntarjoaja ylläpitää käsittelytoimistaan rekisteriä osoittaakseen vaatimustenmukaisuuden ja toimittaa Asiakkaalle riittävät tiedot kirjallisesta pyynnöstä.

7. Tietoturva

Palveluntarjoaja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riittävän turvallisuustason ja suojatakseen henkilötietoja luvattomalta käsittelyltä, vahingossa tapahtuvalta menetykseltä, tuhoutumiselta, vahingoittumiselta, muuttamiselta tai luovuttamiselta. Turvatoimenpiteet on kuvattu Liitteessä 2.

Palveluntarjoaja voi päivittää turvatoimenpiteitä ylläpitäen riittävää suojaustasoa.

Saatuaan tiedon henkilötietomurrosta Palveluntarjoaja ilmoittaa Asiakkaalle viipymättä ja ryhtyy kohtuullisiin toimiin vahingon lieventämiseksi. Ilmoitukset sisältävät: (a) tietomurron luonteen kuvauksen ja kohderyhmät; (b) yhteystiedot lisätietoja varten; (c) todennäköiset seuraukset; ja (d) toteutetut tai ehdotetut korjaavat toimenpiteet.

Palveluntarjoaja toimii kaupallisesti kohtuullisella tavalla viranomaisten tietomurtoilmoitusten yhteydessä ja ylläpitää tietomurtodokumentaatiota Asiakkaan tarkasteltavaksi.

8. Alihankkijat

Palveluntarjoaja voi käyttää alihankkijoita palvelun toimittamisessa. Tiedot alihankkijoista ovat Liitteessä 3 ja verkkosivuilla ajantasaisena.

Palveluntarjoaja antaa kirjallisen ilmoituksen alihankkijamuutoksista vähintään neljätoista (14) päivää etukäteen, antaen Asiakkaalle riittävästi aikaa vastustaa. Asiakas hyväksyy alihankkijoiden käytön kuvatulla tavalla.

Palveluntarjoaja varmistaa, että alihankkijat ylläpitävät oleellisesti vastaavia tietosuojavelvoitteita ja on vastuussa niiden vaatimustenmukaisuudesta.

9. Henkilötietojen siirrot

Palvelu käyttää alihankkijoita, joista osa sijaitsee Euroopan talousalueella ("ETA"), missä henkilötiedot säilyvät. Jotkin alihankkijat voivat toimia ETA:n ulkopuolella (Liitteen 3 mukaisesti), jonka Asiakas hyväksyy, jos alihankkija: (i) toteuttaa siirrot sovellettavien EU:n vakiosopimuslausekkeiden (SCC) mukaisesti; tai (ii) käyttää muita sopivia mekanismeja kuten EU-U.S. Data Privacy Framework tai riittävyyspäätöksiä.

10. Tarkastukset

Kirjallisesta pyynnöstä ja Asiakkaan kustannuksella Asiakas voi tarkastaa Palveluntarjoajan DPA- ja GDPR-vaatimustenmukaisuuden kerran kahdentoista (12) kuukauden aikana. Tarkastusraportit katsotaan Palveluntarjoajan luottamuksellisiksi tiedoiksi.

11. Tietojen luottamuksellisuus

Palveluntarjoaja varmistaa, että henkilöstö ja tahot, jotka käsittelevät tietoja tämän DPA:n nojalla, ylläpitävät asianmukaista luottamuksellisuutta. Luottamuksellisuusvelvoitteet noudattavat muutoin Ehtoja.

12. Muut ehdot, voimassaolo ja päättyminen

Ehtojen määräykset soveltuvat muutoin, mukaan lukien vastuu- ja vahinkorajoitukset.

Tämä DPA tulee voimaan pääsopimuksen kanssa ja pysyy voimassa sopimuksen päättymiseen asti tai niin kauan kuin Palveluntarjoaja käsittelee Asiakkaan tietoja.

Ellei Asiakas toisin kirjallisesti ohjeista ja ellei laki edellytä säilyttämistä, Palveluntarjoaja poistaa ja tuhoaa käsitellyt henkilötiedot Ehtojen kohdan 4.4 mukaisissa aikarajoissa, joiden aikana Asiakas voi noutaa tiedot Palvelusta.

Liite 1: Käsittelyn yksityiskohdat

Seuraavat tiedot kuvaavat osapuolet, luonteen, tarkoituksen, keston ja tietotyypit/kohderyhmät GDPR:n artiklan 28 mukaisesti:

Rekisterinpitäjä: Asiakas (pääsopimuksessa määritelty organisaatio), virallinen osoite ja edustajan yhteystiedot

Rooli: Rekisterinpitäjä — Asiakas käyttää Revialin Palvelua henkilötietojen käsittelyyn omiin tarkoituksiinsa (myynti ja asiakassuhteet), määrittäen käsittelyn tarkoitukset ja keinot

Käsittelijä: Spinder Company Oy (Y-tunnus 3128583-8, suomalainen yhtiö), c/o Second Office, Kempeleentie 7, 90400 Oulu, Yhteystieto: support@revial.com

Rooli: Käsittelijä — Revial tarjoaa pilvipohjaisen myyntiohjelmistopalvelun (sisältäen tekoälyominaisuudet), käsitellen Asiakkaan tietoja Asiakkaan puolesta

Käsittelyn luonne ja tarkoitus: Käsittely mahdollistaa Revialin palvelutoiminnallisuuksien tarjoamisen, mukaan lukien tietojen tallennus pilvijärjestelmiin (CRM-tyyppiset asiakastiedot ja muistiinpanot), järjestäminen ja haku, tekoälyn luoma analyysi ja yhteenvedot Asiakkaan syötteestä (kuten automaattinen tapaamisten yhteenvetojen luonti tai sähköpostiluonnosten luonti) sekä viestintäominaisuudet (sähköposti-integraatio, muistutukset). Käsittely on pääasiassa automatisoitua ja perustuu Asiakkaan toimiin. Revial käsittelee tietoja vain palvelun toimittamiseen ja tekniseen ylläpitoon tarvittavassa laajuudessa.

Tarkoitus: Mahdollistaa Asiakkaan myyntiprosessien tehostaminen: liidien seuranta, asiakastietojen ja yhteyshenkilöiden hallinta, myyntikeskustelujen seuranta sekä tekoälyn luomien analyysien ja ehdotusten hyödyntäminen.

Kohde ja kesto: Käsittely koskee Asiakkaan toimittamia tai Asiakkaan valtuuttamia henkilötietoja liittyen myynti- ja asiakassuhteiden toimintaan. Käsittely alkaa, kun Asiakas ensimmäisen kerran lataa tietoja, ja jatkuu sopimuksen voimassaoloajan. Käsittely päättyy sopimuksen päättyessä ja kaikkien Asiakkaan henkilötietojen palauttamisessa tai poistamisessa tämän DPA:n mukaisesti. Tyypillisesti käsittely on jatkuvaa koko sopimuskauden ajan, kun Asiakas lisää, muokkaa, analysoi ja poistaa tietoja säännöllisesti.

Henkilötietotyypit:

  • Yhteystiedot: Nimet, tittelit, työnantajan/organisaation nimet, ammatilliset sähköpostiosoitteet, puhelinnumerot, postiosoitteet ja vastaavat yhteystiedot (myyntiliidit, asiakasyhteyshenkilöt, työntekijöiden ammatilliset tiedot)
  • Viestintäsisältö: Myynti- ja asiakassuhteiden keskustelujen ja viestien sisällöt, mukaan lukien tapaamisten muistiinpanot, tallenteiden transkriptiot, sähköpostit ja ketjut, chat-keskustelut, tarjoukset, sopimusluonnokset ja asiakirjat, joissa on henkilökohtaisia kommentteja, mielipiteitä ja aikataulutietoja
  • Tapahtuma- ja seurantatiedot: Tiedot myyntiprosessitoimista ja vuorovaikutuksesta — tapaamisten päivämäärät ja osallistujat, lähetetyt tarjoukset, puhelu-/esityspäivämäärät ja tulokset (kuten "tarjous hyväksytty/hylätty", "jatkopuhelu sovittu päivälle X"). Tiedot voivat sisältää henkilöiden nimiä ja tietoja.
  • Käyttäjätili- ja lokitiedot: Palvelun käyttäjätilitiedot (nimi, käyttäjänimi, sähköposti) ja palvelun käyttölokit (kirjautumisajat, keskeiset toiminnot kuten tietojen lisäykset/muutokset/poistot, laitteen IP-osoite ja tekniset tapahtumatiedot). Nämä ovat henkilötietoja, kun ne liittyvät tunnistettaviin henkilöihin (Asiakkaan käyttäjät).
  • Erityiset kategoriat: Erityisiä kategorioita (rotu/etninen tausta, poliittiset mielipiteet, uskonnolliset vakaumukset, terveys/biometriset tiedot, rikosrekisterit) ei ole tarkoitus käsitellä Palvelussa.

Rekisteröityjen ryhmät:

  • Asiakkaan oma henkilöstö: Asiakkaan työntekijät, edustajat tai muut Palvelun käyttäjät, joiden henkilötietoja (pääasiassa ammatillisia yhteystietoja ja tilitietoja) käsitellään palvelun käytön aikana
  • Asiakkaan asiakkaat ja liidit: Luonnolliset henkilöt (yksityisyrittäjät, yritysten yhteyshenkilöt, kuluttaja-asiakkaat), joihin Asiakkaan myynti/markkinointi kohdistuu, mukaan lukien potentiaaliset asiakkaat ("liidit"), nykyiset asiakkaat, kumppanien yhteyshenkilöt ja muut liikekontaktit yhteystietoineen ja viestintäsisältöineen
  • Kolmansien osapuolten edustajat: Muut henkilöt, jotka esiintyvät Asiakkaan tallentamissa tiedoissa — kuten ulkopuoliset osallistujat Asiakkaan myyntitapaamisissa tai suosittelijat, joiden nimet ja lausunnot esiintyvät tapaamisten muistiinpanoissa tai transkriptioissa; tai loppuasiakkaiden yhteyshenkilöt

Käsittelyn kesto ja päättyminen: Käsittely jatkuu sopimuksen voimassaoloajan. Asiakas määrittää tietojen säilytysajat palvelun käytön aikana (poistamalla säännöllisesti tarpeettomia tietoja). Revial noudattaa Asiakkaan poistopyyntöjä myös sopimuskauden aikana. Sopimuksen päättyessä tiedot palautetaan tai poistetaan DPA:n kohdan 12 mukaisesti.

Liite 2: Revialin tekniset ja organisatoriset turvatoimenpiteet

Revial toteuttaa seuraavat keskeiset toimenpiteet henkilötietojen suojaamiseksi luvattomalta/laittomalta käsittelyltä, menetykseltä, tuhoutumiselta, vahingoittumiselta, muuttamiselta ja luovutukselta:

Pääsynhallinta: Pääsy Asiakkaan henkilötietoihin on rajoitettu valtuutetulle henkilöstölle, jolla on työhön liittyvä tarve. Revial käyttää roolipohjaista pääsynhallintaa "need-to-know"- ja "least privilege" -periaatteilla. Järjestelmäpääsy edellyttää vahvaa todennusta; hallintaliittymät vaativat vähintään käyttäjätunnuksen/salasanan, monivaiheinen todennus (MFA) kriittisille järjestelmille mahdollisuuksien mukaan. Oletussalasanat vaihdetaan käyttöönoton yhteydessä. Pääsyoikeuksia tarkistetaan säännöllisesti; kun työntekijän rooli muuttuu tai työsuhde päättyy, tietojen käyttöoikeus poistetaan välittömästi. Kaikki tietoja käsittelevät henkilöt ovat salassapitovelvollisia ja heidän on noudatettava yrityksen tietosuojakäytäntöjä, määriteltyine kurinpitotoimenpiteineen rikkomuksista.

Salaus: Revial suojaa henkilötiedot vahvalla salauksella siirron aikana ja levossa. Kaikki käyttäjän ja palvelimen välinen verkkoliikenne käyttää TLS:ää (versio 1.2 tai uudempi), estäen tietojen luvattoman kaappauksen. Palvelimella ja tietokannassa oleva data levossa käyttää vahvoja algoritmeja (kuten AES-256). Salausavaimia hallitaan turvallisesti pilvipalveluntarjoajan avainhallintapalvelujen tai vastaavien kautta, pääsy rajoitettu valtuutetulle henkilöstölle. Varmuuskopiot ja siirrettävät tietovälineet, jotka sisältävät henkilötietoja, ovat salattuja, ylläpitäen suojaa kaikissa tilanteissa.

Verkko- ja sovellusturvallisuus: Revialin pilvi-infrastruktuuri käyttää palomuureja ja verkon segmentointia. Vain välttämättömät palvelut ja portit ovat internet-alttiita; sisäinen tietokanta- ja palvelupääsy on rajoitettu sisäisiin verkkoihin tai VPN:ään. Revial käyttää reititys- ja sisällöntoimituspalveluntarjoajia DDoS-suojauksella. Sovellustason mekanismit estävät yleisiä uhkia (kuten nopeusrajoitus epäilyttävälle toistuville toimille tai brute force -yrityksille). Ohjelmistokomponentteja päivitetään jatkuvasti tunnettuja haavoittuvuuksia vastaan; kriittiset tietoturvapäivitykset asennetaan päivien kuluessa julkaisusta. Koodi ja infrastruktuuri läpikäyvät säännölliset automaattiset haavoittuvuusskannaukset, ajoittaisine ulkopuolisine penetraatiotestauksineen; tunnistetut heikkoudet korjataan viipymättä.

Lokitus ja valvonta: Revial valvoo järjestelmiä tietoturvauhkien ja virheiden varalta. Keskeiset järjestelmät ylläpitävät kattavaa lokitusta: käyttäjien kirjautumiset, olennaiset toimet (tietueiden lisäykset/muutokset/poistot), järjestelmävirheet ja palvelimen resurssien käyttö. Lokit on suojattu luvattomalta muuttamiselta ja niitä säilytetään määrätyt ajat. Automatisoidut hälytykset ilmoittavat ylläpitäjille toistuvista epäonnistuneista kirjautumisista, epätavallisista tietokantakyselyistä tai palvelimen suorituskyvyn piikeistä. Tiimi tarkistaa säännöllisesti lokeja ja hälytyksiä; poikkeamia tutkitaan välittömästi. Lokit tukevat forensiikkaa tietomurtotilanteissa.

Henkilöstön koulutus ja luotettavuus: Turvallisuus ja tietosuoja ovat Revialin kulttuurin ytimessä. Uudet työntekijät saavat perehdytyksen tietosuoja- ja turvallisuuskäytäntöihin; kaikki henkilöstö saa vuosittaisen koulutuksen, joka kattaa GDPR-periaatteet, turvallisuuden parhaat käytännöt (kuten tietojenkalastelun tunnistaminen) ja yrityksen tietojenkäsittelyohjeet. Kriittisten roolien työntekijöille voidaan tehdä taustatarkastuksia lain sallimissa rajoissa. Kaikki henkilöstö allekirjoittaa salassapitosopimukset ja sitoutuu yrityksen tietosuojakäytäntöihin, vakiintuneine kurinpitotoimenpiteineen rikkomuksista.

Varmuuskopiointi ja jatkuvuus: Revial ylläpitää säännöllisiä varmuuskopioita henkilötietojen saatavuuden ja eheyden varmistamiseksi. Henkilötietoja sisältävät tietokannat varmuuskopioidaan päivittäin (tai useammin, jos liiketoiminnan jatkuvuus vaatii). Varmuuskopiot ovat salattuja ja tallennetaan erikseen (eri palveluntarjoajan tallennus tai alue) fyysisiä ja loogisia uhkia vastaan. Revial määrittelee palautumisaikatavoitteet (RTO — tyypillisesti 24–48 tuntia kriittisille palveluille) ja palautumispistetavoitteet (RPO — enintään 24 tunnin tietojen menetys). Varmuuskopioiden palautusta testataan säännöllisesti tietojen käytettävyyden varmistamiseksi todellisissa häiriötilanteissa. Revialilla on katastrofipalautumissuunnitelma: jos ensisijainen infrastruktuuri epäonnistuu kriittisesti, palvelu voidaan käynnistää varmuuskopioympäristössä (mahdollisesti eri datakeskus tai pilvialue) mahdollisimman nopeasti.

Poikkeamanhallinta: Revialilla on kirjalliset tietomurron vastaustoimenpiteet, jotka määrittelevät toimet ja vastuut epäiltyjen/tunnistettujen tietomurtojen varalta (mukaan lukien viestintäsuunnitelmat, eskalaatiopolut ja viranomaisyhteistyö). Henkilöstö on koulutettu tunnistamaan tietomurrot ja raportoimaan ne välittömästi sisäisesti. Havaittujen tietomurtojen yhteydessä poikkeamatiimi aloittaa tutkinnan: eristää vaikutuksen alaiset järjestelmät (mahdollisesti väliaikaisesti), tunnistaa syyn ja laajuuden sekä toteuttaa korjaukset. Jokainen vaihe dokumentoidaan; jälkiarvioinnit tallentavat opitut asiat. Revial ilmoittaa Asiakkaalle tietomurroista DPA:n ehtojen mukaisesti ja avustaa viranomais- tai rekisteröityjen ilmoituksissa.

Alihankkijahallinta: Revial varmistaa, että alihankkijat ylläpitävät vastaavia turvatoimenpiteitä. Ennen uusien alihankkijoiden käyttöönottoa Revial arvioi niiden käytännöt ja sertifikaatit (kuten ISO 27001 tai SOC2 -raportit) ja edellyttää sopimusoikeudellisia sitoumuksia tietosuojavelvoitteisiin. Revial edellyttää alihankkijoilta luottamuksellisuuden ylläpitoa, henkilöstön koulutusta, teknistä turvallisuutta ja tietomurtojen viipymätöntä raportointia. Revial seuraa keskeisiä alihankkijoita säännöllisten tarkastusraporttien tai tietomurtoilmoitusten kautta. Kun alihankkijan puutteita havaitaan, Revial ryhtyy toimiin (edellyttäen korjauksia tai vaihtaen palveluntarjoajia tarvittaessa).

Liite 3: Alihankkijat

Alla ovat Revialin nykyiset alihankkijat, jotka käsittelevät Asiakkaan henkilötietoja palvelun toimittamiseksi:

AlihankkijaKuvaus (Toiminto)Sijainti
Supabase, Inc.Pilvitietokanta- ja todennusalusta, joka isännöi Revialin palvelutietokantaa sisältäen Asiakkaan henkilötiedot (yhteystiedot, muistiinpanot, transkriptiot)EU (Frankfurt)
Vercel, Inc.Pilvi-infrastruktuuri Revialin sovellukselle, tarjoten käyttöliittymän, backend-toiminnot ja CDN-sisällöntoimituksen (mahdollistaen globaalin palvelun saatavuuden)EU (ensisijainen) & Globaali CDN (EU/USA, SCC koskee siirtoja; henkilötietoja ei siirretä)
OpenAI, L.L.C.Tekoälypalvelun (kielimallin API) tarjoaja, joka käsittelee Asiakkaan palveluun toimittamaa tekstiä (tapaamisten muistiinpanot, transkriptiot, viestilaatikot) tekoälytulosten (yhteenvedot, ehdotukset) luomiseksi Revialin PalvelussaEU (ensisijainen) / USA (SCC-säädelty)

Revial ylläpitää ajantasaista alihankkijaluetteloa. Kun Revial lisää, vaihtaa tai poistaa alihankkijoita, se ilmoittaa Asiakkaalle kohdan 8 mukaisesti. Asiakas voi pyytää lisätietoja yksittäisten alihankkijoiden turvallisuus- tai tietosuojakäytännöistä; Revial toimittaa kohtuullisesti pyydetyt tiedot luottamuksellisuutta kunnioittaen.