Revialin tietojenkäsittelysopimus

1. Tausta

Tämä tietojenkäsittelysopimus ("TKS") on liitetty viittauksella Ehtoihin ja muodostaa erottamattoman ja olennaisen osan Revialin (Palveluntarjoajan) ja Asiakkaan välillä solmittua Sopimusta. Tämä TKS määrittelee ehdot, joilla Palveluntarjoaja käsittelee henkilötietoja Asiakkaan lukuun Sopimuksen nojalla.

2. Soveltamisala

Siltä osin kuin Asiakas syöttää henkilötietoja Palveluihin tai niitä muutoin käsitellään Palvelun tarjoamisen yhteydessä, Osapuolet tiedostavat, että Asiakas toimii rekisterinpitäjänä ja Palveluntarjoaja käsittelijänä, joka käsittelee henkilötietoja Asiakkaan lukuun Palvelujen tarjoamista varten.

Mikäli tämän TKS:n ja muun Sopimuksen välillä on ristiriitaisuuksia, tämä TKS on etusijalla.

3. Määritelmät

Ellei tässä TKS:ssa tai Sopimuksessa ole toisin määritelty, tässä TKS:ssa käytetyillä termeillä, kuten "rekisterinpitäjä", "käsittelijä", "rekisteröity" ja "henkilötiedot", on sama merkitys kuin tietosuoja-asetuksessa (yleinen tietosuoja-asetus (EU) 2016/679) ja muissa soveltuvissa tietosuojasäännöksissä.

4. Henkilötietojen käsittely

Henkilötietojen käsittelyn tarkoituksena tämän TKS:n nojalla on Palvelujen tarjoaminen Asiakkaalle. Henkilötietojen käsittely tässä yhteydessä viittaa tallentamiseen, ylläpitoon ja Palvelun kannalta tarpeellisiin käsittelytoimiin. Käsittely, rekisteröityjen ryhmät ja käsiteltävien henkilötietojen tyypit on määritelty liitteessä 1 (Käsittelyn yksityiskohdat).

Henkilötietoja voidaan käsitellä niin kauan kuin Palveluita tarjotaan Sopimuksen nojalla ja sen jälkeen, jos sovellettava laki tai jommankumman Osapuolen sopimukselliset velvoitteet tai oikeudet sitä edellyttävät.

5. Asiakkaan ohjeet ja vastuu

Palveluntarjoaja käsittelee henkilötietoja Asiakkaan kirjallisten ohjeiden mukaisesti, jotka on vahvistettu tässä TKS:ssa. Osapuolet sopivat, että tämä TKS on Asiakkaan täydellinen kirjallinen ohjeistus Palveluntarjoajalle Asiakkaan toimiessa Rekisterinpitäjänä. Lisäohjeet edellyttävät Osapuolten välistä erillistä kirjallista sopimusta.

Asiakas vastaa siitä, että sen Palveluun liittyvä henkilötietojen käsittely on soveltuvan tietosuojasääntelyn mukaista.

6. Palveluntarjoajan yleiset velvoitteet

Palveluntarjoaja avustaa Asiakasta tämän kirjallisesta pyynnöstä ja yksinomaan Asiakkaan kustannuksella rekisteröityjen tai valvontaviranomaisen pyyntöihin vastaamisessa tai muissa asioissa, joissa käsittelijän tulee tietosuoja-asetuksen perusteella rekisterinpitäjää avustaa. Ellei muusta hinnoitteluperusteesta ole sovittu, Palveluntarjoaja on oikeutettu laskuttamaan avustamisesta sen kulloinkin voimassa olevien henkilötyöhintojen mukaisesti.

Palveluntarjoaja ilmoittaa Asiakkaalle mahdollisimman pian saatuaan Rekisteröidyltä pyynnön käyttää Tietosuoja-asetuksen mukaisia oikeuksiaan.

Palveluntarjoaja ylläpitää vastuullaan olevista käsittelytoimista selostetta varmistaakseen oman vaatimustenmukaisuutensa tietojen käsittelijänä Tietosuoja-asetuksen mukaisesti. Asiakkaan kirjallisesta pyynnöstä Palveluntarjoaja toimittaa riittävät tiedot Asiakkaalle siinä laajuudessa kuin on tarpeen Palveluntarjoajan tässä TKS:ssa ja Tietosuoja-asetuksessa asetettujen velvoitteiden noudattamisen osoittamiseksi.

7. Tietoturva

Palveluntarjoaja toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia toimenpiteitä varmistaakseen henkilötietojen asianmukaisen turvallisuustason ja suojatakseen henkilötietoja luvattomalta tai laittomalta käsittelyltä sekä tahattomalta häviämiseltä, tuhoutumiselta, vahingoittumiselta, muuttamiselta tai luovuttamiselta Palvelujen tarkoituksia varten. Palvelun tietoturvaa on kuvattu liitteessä 2: Revialin tekniset ja organisatoriset turvatoimet. Palveluntarjoajalla on oikeus kehittää ja muuttaa Palvelun turvatoimia harkintansa ja kehittyvän teknologia mukaisesti, edellyttäen että Palvelun tietoturva ei olennaisesti heikkene. Ajantasainen kuvaus turvatoimista on Asiakkaan saatavilla pyydettäessä ja/tai Palveluntarjoajan internetsivuilla.

Henkilötietojen tietoturvaloukkauksen sattuessa Palveluntarjoaja ilmoittaa siitä Asiakkaalle ilman aiheetonta viivytystä saatuaan tietoturvaloukkauksesta tiedon ja ryhtyy kohtuullisiin toimiin lieventääkseen loukkauksesta aiheutuvia vahinkoja. Ilmoituksen tulee sisältää tiedot, jotka Palveluntarjoaja voi kohtuudella Asiakkaalle antaa, mukaan lukien seuraavat tiedot:

a) kuvaus henkilötietojen tietoturvaloukkauksen luonteesta, mukaan lukien mahdollisuuksien mukaan rekisteröityjen ryhmät ja kyseessä olevat henkilötiedot;
b) yhteyspisteen nimi ja yhteystiedot, josta voi saada lisätietoja;
c) kuvaus henkilötietojen tietoturvaloukkauksen todennäköisistä seurauksista; ja
d) kuvaus toteutetuista tai ehdotetuista toimenpiteistä henkilötietojen tietoturvaloukkauksen korjaamiseksi.

Tiedot voidaan antaa vaiheittain, jos kaikkia tietoja ei ole mahdollista antaa samanaikaisesti.
Palveluntarjoaja tekee yhteistyötä ja avustaa Asiakasta kaupallisesti kohtuullisissa määrin tämän kirjallisesta pyynnöstä ja valvontaviranomaiselle tehtävissä henkilötietojen tietoturvaloukkauksia koskevissa ilmoituksissa tietosuoja-asetuksen edellyttämällä tavalla. Palveluntarjoaja dokumentoi henkilötietojen tietoturvaloukkaukset ja pitää dokumentaation Asiakkaan saatavilla tämän kirjallisesta pyynnöstä.

8. Alikäsittelijät

Palveluntarjoajalla on oikeus käyttää alikäsittelijöitä Palvelun tarjoamiseen. Palveluntarjoaja antaa tietoja alikäsittelijöistään liitteessä 3 (alikäsittelijät) ja verkkosivustollaan, missä on aina ajantasainen tieto alikäsittelijöistä. Palveluntarjoaja ilmoittaa Asiakkaalle kirjallisesti (sisältäen sähköpostin) tulevista muutoksista Alikäsittelijöihin vähintään neljätoista (14) päivää etukäteen, jotta Asiakkaalla on riittävästi aikaa vastustaa muutosta. Asiakas antaa suostumuksensa Palveluntarjoajan Alikäsittelijöiden käytölle tässä osiossa kuvatulla tavalla.

Palveluntarjoaja vastaa siitä, että sen alikäsittelijöihin sovelletaan olennaisesti vastaavia tietosuojavelvoitteita kuin mitä tässä TKS:ssa on kuvattu. Palveluntarjoaja on vastuussa Alikäsittelijöistään ja niiden tämän TKS:n velvoitteiden noudattamisesta.

9. Henkilötietojen siirrot

Palvelun yhteydessä käytetään alikäsittelijöitä, joista osa sijaitsee ja käsittelee henkilötietoja Euroopan talousalueella ("ETA"), ja näiden alikäsittelijöiden osalta henkilötiedot säilyvät ETA-alueella. Liitteessä 3 (alikäsittelijät) kuvatusti osa alikäsittelijöistä voi sijaita myös ETA-alueen ulkopuolella, minkä Asiakas hyväksyy, edellyttäen että alikäsittelijä (i) suorittaa henkilötietojen kansainvälisen siirron soveltuvien EU:n vakiosopimuslausekkeiden (standard contractual clauses, SCC) mukaisesti tai; (ii) henkilötietojen siirto toteutetaan käyttäen muuta soveltuvan tietosuojasääntelyn mukaista suojakeinoa kuten EU:n ja Yhdysvaltojen välistä tietosuojakehystä tai tietosuojan riittävyyspäätöstä.

10. Auditoinnit

Asiakkaan kirjallisesta pyynnöstä ja yksinomaan Asiakkaan kustannuksella Asiakkaalla on oikeus kerran kahdessatoista (12) kuukaudessa auditoida Palveluntarjoajan velvoitteiden noudattamista Tietosuoja-asetuksen ja tämän TKS:n mukaisesti. Auditointiraportti ja siihen liittyvät tiedot katsotaan Palveluntarjoajan luottamuksellisiksi tiedoiksi.

11. Tietojen luottamuksellisuus

Palveluntarjoaja vastaa, että henkilötietoja tämän TKS:n nojalla käsittelevät henkilöt ja tahot ovat sitoutuneet asianmukaiseen salassapitoon. Muilta osin salassapitoon ja luottamuksellisuuteen sovelletaan Ehdoissa sovittua.

12. Muut ehdot, voimassaolo ja päättyminen

Muilta osin tähän TKS:een sovelletaan Ehtojen sopimusmääräyksiä (sisältäen selvyyden vuoksi vastuuta ja vahingonkorvausvelvollisuuden rajauksia koskevat ehdot).

Tämä TKS tulee voimaan samanaikaisesti muun Sopimuksen kanssa ja on voimassa, kunnes Sopimus päättyy tai niin kauan kuin Palveluntarjoaja käsittelee henkilötietoja Asiakkaan lukuun.

Ellei Asiakas ole kirjallisesti toisin ohjeistanut ja ellei henkilötietojen säilyttäminen ole soveltuvan lain perusteella välttämätöntä, Palveluntarjoaja poistaa ja tuhoaa TKS:n perusteella käsitellyt henkilötiedot viimeistään Ehtojen kohdan 4.4 mukaisten aikarajojen puitteissa minä aikana Asiakkaalla on itse mahdollisuus hakea datan, sisältäen siihen sisältyvät henkilötiedot, Palvelusta.

Liite 1: Käsittelyn yksityiskohdat

Seuraavat tiedot täydentävät tätä DPA:ta ja kuvaavat tietosuoja-asetuksen 28 artiklan vaatimusten mukaisesti käsittelyn osapuolia, luonnetta, tarkoitusta, kestoa sekä henkilötietojen tyyppejä ja rekisteröityjen ryhmiä.

Rekisterinpitäjä: Asiakas (Revialin pääsopimuksessa määritelty asiakasorganisaatio). Osoite: Asiakkaan virallinen osoite (kuten pääsopimuksessa). Yhteyshenkilö: Asiakkaan edustaja (esim. allekirjoittaja tai tietosuoja-yhteyshenkilö).
Rooli: Rekisterinpitäjä – Asiakas käyttää Revialin Palvelua henkilötietojen käsittelyyn omia tarkoituksiaan varten (myynti ja asiakassuhteet) ja määrittää käsittelyn tarkoitukset ja keinot.
Henkilötietojen käsittelijä: Spinder Company Oy (Y-tunnus 3128583-8, suomalainen osakeyhtiö). Osoite: c/o Toinen Toimisto, Kempeleentie 7, 90400 Oulu. Yhteyshenkilö: Revialin tietosuojavastaava tai -yhteyshenkilö (support@revial.com).
Rooli: Henkilötietojen käsittelijä – Revial tarjoaa pilvipohjaista myyntiohjelmistopalvelua (sis. tekoälyominaisuuksia) ja käsittelee Asiakkaan henkilötietoja Asiakkaan puolesta Palvelun tuottamiseksi pääsopimuksen ehtojen mukaisesti.
Käsittelyn luonne ja tarkoitus: Henkilötietojen käsittely on tarpeen, jotta Revial voi tarjota Asiakkaalle Palvelun toiminnallisuudet. Käsittelyyn sisältyy mm. tietojen tallentaminen Revialin pilvipohjaiseen järjestelmään (asiakastiedot ja -muistiot CRM-tyyppisesti), tietojen järjestely ja haku, tekoälypohjaisten analyysien ja yhteenvetojen tuottaminen Asiakkaan syöttämästä sisällöstä (esim. kokousmuistiinpanojen automaattinen tiivistäminen tai sähköpostiluonnosten generointi), sekä viestintäominaisuudet (esim. sähköposti-integraatio, muistutukset). Käsittely on pääosin automatisoitua ja tapahtuu Asiakkaan Palvelussa suorittamien toimien seurauksena. Revial käsittelee tietoja vain siinä laajuudessa kuin Palvelun toimittaminen ja tekninen ylläpito vaativat.
Käsittelyn tarkoituksena on mahdollistaa Asiakkaan myyntiprosessien tehostaminen: Asiakas voi tallentaa ja hallinnoida myyntiliidejä, asiakastietoja ja -kontakteja, seurata myyntikeskusteluja, sekä hyödyntää tekoälyn tuottamia analyyseja ja ehdotuksia osana myyntityötään.
Käsittelyn kohde ja kesto: Käsittelyn kohteena ovat Asiakkaan toimittamat tai Asiakkaan puolesta kerätyt henkilötiedot, jotka liittyvät Asiakkaan myynti- ja asiakassuhdetoimintaan. Käsittely alkaa, kun Asiakas ensimmäisen kerran lataa henkilötietoja Revialin Palveluun, ja jatkuu koko pääsopimuksen voimassaoloajan. Henkilötietojen käsittely päättyy, kun pääsopimus päättyy ja kaikki Asiakkaan henkilötiedot on tämän DPA:n mukaisesti palautettu tai poistettu Revialin ympäristöstä. Tyypillisesti käsittely on jatkuvaa sopimuskauden ajan (henkilötietoja lisätään, muokataan, analysoidaan ja poistetaan Asiakkaan toimesta säännöllisesti Palvelun käytön yhteydessä).
Henkilötietojen tyypit: Palvelussa käsitellään seuraavia pääasiallisia henkilötietojen ryhmiä:
- Yhteystiedot: henkilöiden nimet, ammattinimikkeet, työnantajan tai organisaation nimi, työ- tai liiketoiminta-sähköpostiosoitteet, puhelinnumerot, postiosoitteet ja muut vastaavat yhteystiedot. (Esim. Asiakkaan myyntiliidien ja asiakkaiden yhteystiedot, Asiakkaan työntekijöiden ammatilliset yhteystiedot.)
- Viestinnän sisällöt: myyntiin ja asiakaskontakteihin liittyvien keskustelujen ja viestien sisällöt. Tähän voi sisältyä kokousmuistiinpanoja, tapaamis- ja puhelutallenteita ja niiden transkriptioita, sähköpostiviestejä ja -ketjuja, chat- tai viestialustojen keskusteluja, tarjoukset ja sopimusluonnokset sekä muut dokumentit, jotka sisältävät henkilöiden kommentteja, mielipiteitä, aikataulutietoja tms.
- Tapahtuma- ja seurantatiedot: tiedot toimenpiteistä ja vuorovaikutuksista myyntiprosessissa. Esimerkiksi kirjaukset kokousten ajankohdista ja osallistujista, lähetetyistä tarjouksista, puheluiden tai esittelyjen ajankohdista, sekä näihin liittyvät tulokset (kuten “tarjous hyväksytty/hylätty”, “seurantapuhelu sovittu päivälle X”). Nämä tiedot voivat sisältää henkilön nimen ja muita tietoja osana kirjauksia.
- Käyttäjätili- ja lokitiedot: Asiakkaan valtuutettujen käyttäjien (esim. työntekijöiden) Palvelussa oleviin tileihin liittyvät perustiedot kuten nimi, käyttäjätunnus, sähköpostiosoite, sekä Palvelun käytöstä kertyvät lokitiedot kuten kirjautumisajat, käyttäjän suorittamat keskeiset toimet (esim. tietojen lisääminen tai muokkaaminen), käyttäjän laitteen IP-osoite ja muita teknisiä tapahtumatietoja. Näitä tietoja voidaan pitää henkilötietoina silloin, kun ne liittyvät tunnistettavaan henkilöön (Asiakkaan käyttäjään).
- Erityisiä henkilötietoryhmiä (esim. rotu/etninen alkuperä, poliittiset mielipiteet, uskonnolliset vakaumukset, terveys- tai biometriset tiedot, rikosrekisteritiedot) ei ole tarkoitus tai lupa käsitellä Palvelussa.
Rekisteröityjen ryhmät: Asiakkaan Palvelussa käsittelemät henkilötiedot voivat koskea seuraavia rekisteröityjen ryhmiä:
- Asiakkaan oma henkilöstö: Asiakkaan työntekijät, edustajat tai muut Palvelun käyttäjät, joiden henkilötietoja (lähinnä ammatillisia yhteystietoja ja käyttäjätilitietoja) käsitellään Palvelun käytön yhteydessä. (Esim. myyjät tai tiimin jäsenet, joiden toimet kirjataan järjestelmään ja joiden yhteystiedot voivat näkyä kokouskutsuissa tai viestinnässä.)
- Asiakkaan asiakkaat ja liidit: luonnolliset henkilöt (yksinyrittäjät, yritysasiakkaiden yhteyshenkilöt, kuluttaja-asiakkaat), joihin Asiakkaan myynti- tai markkinointitoimet kohdistuvat ja joiden tietoja Asiakas tallentaa järjestelmään. Tähän ryhmään kuuluvat esimerkiksi potentiaaliset asiakkaat ("liidit"), nykyiset asiakkaat, yhteistyökumppaneiden yhteyshenkilöt ja muut liikekontaktit. Heidän tietonsa voivat sisältää yhteystietoja ja viestinnän sisältöä, kuten edellä kuvattu.
- Kolmansien osapuolten edustajat: muut henkilöt, jotka saattavat esiintyä Asiakkaan tallentamissa tiedoissa. Esimerkiksi, jos Asiakkaan myyntikokoukseen osallistuu toisen yrityksen edustaja tai suosituksen antaja, hänen nimensä ja puheensa voivat sisältyä kokouksen muistiinpanoon tai transkriptioon. Samoin, jos Asiakas kirjaa järjestelmään loppuasiakkaan yhteyshenkilön tietoja osana myyntiprosessia, kyseinen henkilö on rekisteröitynä Palvelussa.
Käsittelyn kesto ja päättyminen: Henkilötietojen käsittely jatkuu koko sopimussuhteen ajan. Asiakas voi itse määrittää tietojen säilytysaikoja Palvelun käytön yhteydessä (esim. poistamalla tarpeettomaksi käyneitä tietoja säännöllisesti). Revial noudattaa Asiakkaan ohjeita tietojen poistamisesta sopimuskauden aikanakin. Sopimuksen päättyessä henkilötiedot joko palautetaan Asiakkaalle tai poistetaan pysyvästi, kuten DPA:n kohdassa 12 on sovittu.

Liite 2: Revialin tekniset ja organisatoriset turvatoimet

Revial on ottanut käyttöön seuraavat keskeiset tekniset ja organisatoriset toimenpiteet suojatakseen henkilötietoja luvattomalta tai lainvastaiselta käsittelyltä, häviämiseltä, tuhoutumiselta ja vahingoittumiselta. Toimenpiteet on suunniteltu ottaen huomioon käsittelyn nykyteknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus ja tarkoitukset sekä henkilötietoihin kohdistuvat riskit.

Pääsynhallinta: Pääsy Asiakkaan henkilötietoihin on rajattu vain valtuutetuille henkilöille, joilla on työnsä puolesta välttämätön tarve käsitellä tietoja. Revial käyttää roolipohjaisia käyttöoikeuksia: työntekijöille ja järjestelmäprosesseille annetaan vain minimioikeudet (“need-to-know” ja “least privilege” -periaatteet). Järjestelmään kirjautuminen edellyttää vahvaa tunnistautumista; palvelun hallintakäyttöliittymiin vaaditaan vähintään käyttäjätunnus ja salasana, ja kriittisiin järjestelmiin lisäksi monivaiheinen tunnistautuminen (MFA), mikäli mahdollista. Oletussalasanat vaihdetaan käyttöönottovaiheessa. Käyttöoikeuksia tarkistetaan säännöllisesti, ja kun työntekijän tehtävä muuttuu tai työsuhde päättyy, hänen pääsynsä henkilötietoihin poistetaan tai estetään viipymättä. Kaikista käyttöoikeuden omaavien henkilöiden on sitouduttava salassapitoon (kuten kohdassa 11 kuvattu).
Salaus: Revial suojaa henkilötiedot vahvoilla salausmenetelmillä sekä siirron aikana että levossa. Kaikki verkkoliikenne käyttäjän selaimen (tai muun asiakasohjelman) ja Revialin palvelimen välillä on salattu TLS (Transport Layer Security) -protokollalla (vähintään versio 1.2 tai uudempi), mikä estää tietojen luvattoman sieppaamisen siirtoyhteydessä. Palvelimilla ja tietokannoissa olevat hiedot on salattu levossa käyttämällä vahvaa salausalgoritmia (esim. AES-256). Salausavaimet hallinnoidaan turvallisesti (käyttäen pilvipalveluntarjoajan avaintenhallintapalveluja tai vastaavia mekanismeja), ja pääsy avaimiin on rajoitettu muutamalle valtuutetulle henkilölle. Myös varmuuskopiot ja siirrettävät tietovälineet, jotka sisältävät henkilötietoja, salataan, jotta tietojen suoja säilyy kaikissa olosuhteissa.
Verkko- ja sovellusturva: Revialin pilvi-infrastruktuurissa hyödynnetään palomuureja ja verkon segmentointia henkilö- ja asiakastietojen suojaamiseksi. Vain välttämättömät palvelut ja portit on avattu internetiin; muutoin sisäisten tietokantojen ja palvelujen käyttö on rajoitettu Revialin sisäiseen verkkoon tai VPN-yhteyksiin. Revial käyttää reitityksen ja sisällönjakelun hallintaan palveluntarjoajia, jotka huolehtivat myös DDoS-suojauksesta. Sovelluskerroksella Revial on implementoinut mekanismeja estämään yleisiä haittatapahtumia (esim. rajoittaa epäilyttävän usein toistuvat toiminnot, kuten bruteforce-kirjautumisyritykset). Revial päivittää jatkuvasti ohjelmistokomponenttejaan tunnettuja haavoittuvuuksia vastaan: kriittiset tietoturvapäivitykset asennetaan pikaisesti, viimeistään muutaman arkipäivän sisällä julkaisusta. Revialin koodiin ja infrastruktuuriin tehdään säännöllisesti haavoittuvuusskannauksia automaattisilla työkaluilla. Lisäksi Revial teettää aika ajoin ulkopuolisilla asiantuntijoilla tunkeutumistestejä järjestelmiinsä; näiden testien tulokset käydään läpi, ja mahdollisesti havaitut heikkoudet korjataan viipymättä.
Lokitus ja valvonta: Revial valvoo järjestelmiään havaitakseen tietoturvauhat ja virhetilanteet. Keskeisissä järjestelmissä on kattava lokien keräys: kirjataan mm. käyttäjäkirjautumiset, olennaiset toiminnot (esim. tietueiden lisääminen, muokkaaminen ja poistaminen), järjestelmien virheilmoitukset ja palvelinten resurssikäyttö. Nämä lokitiedot on suojattu luvattomalta muokkaukselta ja niitä säilytetään määritellyn ajan. Revialilla on käytössä automaattisia hälytyksiä – esimerkiksi toistuvista epäonnistuneista kirjautumisista, epätavallisen suurista tietokantakyselyistä tai palvelimen suorituskykyyn vaikuttavista piikeistä lähtee ilmoitus ylläpitoryhmälle. Revialin tiimi tarkkailee lokitietoja ja hälytyksiä säännöllisesti. Mahdolliset poikkeamat (esim. tunnistautumatta jääneet sisäänpääsyrutistukset tai dataan kohdistuvat epätavalliset haut) tutkitaan viipymättä. Lokitietoja käytetään myös forensiikkaan tietoturvaloukkaustilanteissa.
Henkilöstön koulutus ja luotettavuus: Tietoturva ja tietosuoja ovat osa Revialin yrityskulttuuria. Uudet työntekijät perehdytetään Revialin tietoturva- ja tietosuojakäytäntöihin, ja koko henkilöstölle järjestetään vähintään vuosittain koulutus, joka kattaa GDPR:n periaatteet, hyvät tietoturvakäytännöt (esim. phishing-hyökkäysten tunnistaminen) ja yrityksen sisäiset ohjeistukset henkilötietojen käsittelystä. Kriittisissä rooleissa toimiville työntekijöille voidaan tehdä taustaselvityksiä rekrytointivaiheessa soveltuvan lain sallimissa rajoissa. Kaikki Revialin työntekijät ovat allekirjoittaneet salassapitosopimukset ja sitoutuneet noudattamaan yrityksen tietoturva- ja tietosuojapolitiikkoja. Revialilla on määritelty sisäiset kurinpitotoimet, mikäli työntekijä rikkoo tietosuoja- tai tietoturvavelvoitteita.
Varmuuskopiot ja jatkuvuus: Revial varmistaa henkilötietojen saatavuuden ja eheyden ylläpitämällä säännöllisiä varmuuskopioita. Henkilötietoja sisältävät tietokannat varmuuskopioidaan päivittäin (tai tiheämmin, jos liiketoiminnan jatkuvuus sitä vaatii). Varmuuskopiot säilytetään salattuina erillisessä tallennuspaikassa (esim. eri palveluntarjoajan tallennustilassa tai eri alueella) suojattuna fyysisiltä ja loogisilta uhkilta. Revial on määritellyt tavoiteajat tietojen palautukselle: kriittisissä tapauksissa pyritään palauttamaan palvelu (RTO, Recovery Time Objective) tyypillisesti 24–48 tunnin sisällä ja tietojen enimmäismenetys (RPO, Recovery Point Objective) on korkeintaan 24 tuntia (eli varmuuskopiointi on niin tiheää, että enintään vuorokauden tiedot voivat hävitä pahimmassa tapauksessa). Varmuuskopioiden palauttamista testataan säännöllisesti varmistamaan, että tiedot voidaan lukea ja palauttaa odotetusti todellisessa häiriötilanteessa. Revialilla on katastrofipalautussuunnitelma: jos ensisijainen palvelininfrastruktuuri vikaantuu vakavasti, Revial voi käynnistää palvelunsa varaympäristössä (mahdollisesti toisessa datakeskuksessa tai pilvialueella) mahdollisimman nopeasti.
Häiriötilanteiden hallinta: Revial on laatinut kirjallisen tietoturvapoikkeamien hallintasuunnitelman. Siinä määritellään toimenpiteet ja vastuut epäiltyjen tai havaittujen tietoturvaloukkausten varalta (sis. viestintäsuunnitelman, eskalointipolun ja yhteistyön viranomaisten kanssa). Revialin henkilöstö on koulutettu tunnistamaan ja ilmoittamaan tietoturvapoikkeamista sisäisesti välittömästi. Kun mahdollinen henkilötietojen tietoturvaloukkaus havaitaan, Revialin nimetty insidenttitiimi käynnistää tutkinnan: se eristää vaikuttavat järjestelmät (tarvittaessa ottamalla ne väliaikaisesti alas), tunnistaa loukkauksen syyn ja laajuuden, sekä ryhtyy korjaaviin toimiin. Revial dokumentoi jokaisen vaiheen ja tekee jälkiarvioinnin poikkeaman jälkeen oppiakseen tapahtuneesta. Revial ilmoittaa Asiakkaalle henkilötietojen tietoturvaloukkauksista DPA:n mukaisesti ja avustaa Asiakasta mahdollisissa viranomais- tai rekisteröityilmoituksissa.
Alikäsittelijöiden hallinta: Revial varmistaa, että sen käyttämät alikäsittelijät (ks. liite 3) noudattavat vähintään yhtä tiukkoja tietoturvatoimia kuin Revial itse. Ennen uuden alikäsittelijän käyttöönottamista Revial arvioi kyseisen toimittajan tietoturvakäytäntöjä ja -sertifiointeja (esim. ISO 27001 -sertifiointi, SOC2 -raportti) ja varmistaa sopimusteitse alikäsittelijän sitoutumisen tietosuojavelvoitteisiin. Revial edellyttää alikäsittelijöiltään mm. salassapitoa, riittävää henkilöstön koulutusta, teknistä suojausta ja tietoturvaloukkausten ilmoittamista viipymättä Revialille. Revial seuraa tärkeimpien alikäsittelijöidensä tietoturvan tasoa esimerkiksi pyytämällä säännöllisesti heidän auditointiraporttejaan tai ilmoituksiaan tietoturvatapahtumista. Mikäli alikäsittelijän toiminnassa havaitaan puutteita, Revial ryhtyy toimenpiteisiin (esim. vaatii korjauksia tai tarvittaessa vaihtaa palveluntarjoajaa).

Liite 3: Alikäsittelijät

Alla luetellaan Revialin käyttämät alikäsittelijät (alihankkijat), jotka käsittelevät Asiakkaan henkilötietoja osana Palvelujen tarjoamista. Kunkin alikäsittelijän osalta on kuvattu sen tarjoama palvelu/rooli sekä ensisijainen sijainti, jossa henkilötietoja käsitellään. Mikäli sijainti on EU/ETA-alueen ulkopuolella, on mainittu käytössä oleva siirtoperuste (esim. SCC).

  
      Alikäsittelijä
      Kuvaus (tehtävä)
      Sijainti
    
      Supabase, Inc.
      
        Pilvitietokanta- ja autentikointialusta. Isännöi Revialin palvelun
        tietokantaa, johon Asiakkaan henkilötiedot tallentuvat
        (esim. yhteystiedot, muistiot, transkriptiot).
      
      EU (Frankfurt)
    
      Vercel, Inc.
      
        Pilvi-infrastruktuuri Revialin sovelluksen käyttöön. Tarjoaa palvelun
        käyttöliittymän ja taustatoimintojen isännöinnin sekä
        CDN-sisällönjakelun (mahdollistaa sovelluksen globaalin käytettävyyden).
      
        EU (ensisijainen) & globaali CDN (EU/USA, SCC käytössä
        siirroille, henkilödataa ei siirretä)
      
      OpenAI, L.L.C.
      
        Tekoälypalvelun (kielimalli-API) tarjoaja. Käsittelee Asiakkaan
        palveluun syöttämää tekstisisältöä (esim. kokousmuistiot, transkriptiot,
        viesti-inbox) tuottaakseen AI-pohjaisia tuloksia (yhteenveto, ehdotukset)
        Revialin Palvelussa.
      
        EU (ensisijainen) / Yhdysvallat (SCC alainen)

Revial ylläpitää ajan tasalla olevaa listaa käyttämistään alikäsittelijöistä. Mikäli Revial lisää, vaihtaa tai poistaa alikäsittelijöitä, se ilmoittaa tästä Asiakkaalle etukäteen kohdan 8 mukaisesti. Asiakas voi myös pyytää lisätietoja yksittäisten alikäsittelijöiden tietoturvatoimista tai tietosuojakäytännöistä, ja Revial toimittaa kohtuudella vaadittavat tiedot (ottaen huomioon salassapidon).