Tietojenkäsittelysopimus (DPA)

Päivitetty viimeksi 8. toukokuuta 2026

Pilottivaiheen versio. Tämä tietojenkäsittelysopimus (Data Processing Agreement, DPA) on pilotin minimitoteutus. Pyydämme, että suuremmat asiakkaat ja juristin tarkastama lopullinen versio pyydetään erikseen sähköpostitse: smoothbooking.app@gmail.com.

Tämä tietojenkäsittelysopimus ("DPA") täydentää käyttöehtoja ja tietosuojaselostettaniiltä osin kuin SmoothBooking käsittelee henkilötietoja Pro-käyttäjän ("Rekisterinpitäjä") lukuun GDPR-asetuksen artiklan 28 mukaisesti.

1. Osapuolet

  • Käsittelijä: SmoothBooking (Y-tunnus Y-tunnus rekisteröidään pian), Osoite ilmoitetaan rekisteröinnin jälkeen.
  • Rekisterinpitäjä: Pro-käyttäjäksi rekisteröitynyt yritys, joka käyttää SmoothBookingia oman asiakaskuntansa hallintaan.

2. Käsittelyn kohde, kesto, luonne ja tarkoitus

  • Kohde: Pro-käyttäjän omien asiakkaiden henkilötietojen käsittely SmoothBooking-palvelussa.
  • Kesto: Sopimus on voimassa niin kauan kuin Pro-käyttäjän tili on aktiivinen, ja päättyy 30 päivän kuluessa tilin poistamisesta lukuun ottamatta lain edellyttämiä säilytysvelvoitteita.
  • Luonne ja tarkoitus: Ajanvarausten ja jonon hallinta, asiakasviestintä, markkinointiautomaatio ja kanta-asiakaskohtainen alennusten hallinta.

3. Käsiteltävät tiedot ja rekisteröidyt

Henkilötietotyypit:

  • Tunnistetiedot (nimi, sähköposti, puhelinnumero)
  • Varaus- ja jonohistoria
  • Markkinointisuostumuksen tila ja peruutushistoria
  • Vapaamuotoiset Pro-käyttäjän kirjaamat asiakasmuistiinpanot

Rekisteröidyt: Pro-käyttäjän loppuasiakkaat.

Emme käsittele tietosuoja-asetuksen 9 artiklan mukaisia erityisiin ryhmiin kuuluvia tietoja, ellei Pro-käyttäjä erikseen syötä niitä muistiinpanokenttään. Ohjeistamme välttämään tällaisten tietojen kirjaamista vapaakenttiin.

4. Käsittelijän velvollisuudet

SmoothBooking:

  • käsittelee henkilötietoja vain Pro-käyttäjän dokumentoitujen ohjeiden mukaisesti — käytännössä Palvelun toiminnallisuutta vastaten;
  • varmistaa, että henkilötietoja käsitteleviin sitoutuneilta työntekijöiltä on edellytetty vaitiolovelvollisuutta;
  • toteuttaa GDPR Art. 32 mukaiset asianmukaiset tekniset ja organisatoriset suojatoimet (ks. kohta 7);
  • avustaa Pro-käyttäjää tämän rekisteröidyiltä saamiin pyyntöihin (oikeus saada tiedot, oikaisu, poisto, käsittelyn rajoittaminen);
  • ilmoittaa Pro-käyttäjälle ilman aiheetonta viivytystä saatuaan tiedon henkilötietojen tietoturvaloukkauksesta (ks. kohta 8);
  • ei siirrä henkilötietoja EU/ETA-alueen ulkopuolelle ilman GDPR Art. 44–49 mukaista suojatointa.

5. Rekisterinpitäjän velvollisuudet

Pro-käyttäjä:

  • vastaa siitä, että henkilötietojen käsittelyllä on lainmukainen peruste (sopimus, suostumus, oikeutettu etu jne.);
  • informoi rekisteröityjä tietosuoja-asetuksen Art. 13/14 mukaisesti omasta käsittelystään;
  • syöttää järjestelmään vain niitä tietoja, jotka ovat välttämättömiä käyttötarkoitukseen.

6. Alikäsittelijät

Pro-käyttäjä antaa yleisen luvan käyttää alikäsittelijöitä alla olevan listan mukaisesti. Listan päivitetty versio on tietosuojaselosteessa; ilmoitamme uusista tai vaihtuvista alikäsittelijöistä Palvelussa tai sähköpostitse vähintään 30 päivää ennen muutosta. Pro-käyttäjällä on oikeus vastustaa muutosta perustellusta syystä — tällöin sopijapuolet pyrkivät löytämään ratkaisun, ja jos sitä ei löydy, Pro-käyttäjällä on oikeus päättää sopimus ilman irtisanomisaikaa.

Keskeisimmät alikäsittelijät on lueteltu tietosuojaselosteessa.

7. Tietoturva

  • Yhteydet salataan TLS 1.2+ -protokollalla.
  • Salasanat tallennetaan tiivisteinä (hash), eivät selväkielisinä.
  • Pääsy tuotantotietoihin rajoitetaan rooliperustaisesti ja kirjataan.
  • Tiedot tallennetaan EU/ETA-alueelle aina kun pilvialusta sen mahdollistaa; mahdolliset siirrot kolmansiin maihin perustuvat komission hyväksymiin vakiolausekkeisiin.
  • Ympäristöt (dev/staging/prod) on erotettu, ja tuotannon dataa ei käytetä testauksessa.

8. Tietoturvaloukkauksen ilmoittaminen

Saatuamme tiedon henkilötietojen tietoturvaloukkauksesta ilmoitamme Pro-käyttäjälle ilman aiheetonta viivytystä, viimeistään 72 tunnin kuluessa, sähköpostitse Pro-käyttäjän tiliin liitettyyn osoitteeseen. Ilmoitus sisältää saatavilla olevat tiedot loukkauksen luonteesta, vaikutuksista ja korjaavista toimenpiteistä.

9. Tarkastusoikeus

Toimitamme Pro-käyttäjälle pyynnöstä kohtuullisen määrän kirjallista dokumentaatiota tietoturvasta ja prosesseistamme osoittaaksemme sopimuksen noudattamisen. Mahdollinen paikan päällä tehtävä auditointi edellyttää erillistä sopimusta sen laajuudesta ja kustannustenjaosta.

10. Tietojen palautus tai poisto

Pro-käyttäjän pyynnöstä tai sopimuksen päätyttyä:

  • toimitamme vientipaketin Pro-käyttäjän omasta datasta koneellisesti luettavassa muodossa, ja
  • poistamme datan järjestelmistämme 30 päivän kuluessa lukuun ottamatta niitä tietoja, joiden säilytys on lain mukaan pakollista (esim. kirjanpito).

11. Vastuu

Käsittelijän ja Rekisterinpitäjän välinen vastuu määräytyy käyttöehtojen kohdan 16 vastuunrajoitusten mukaisesti, ellei pakottavasta lainsäädännöstä (mukaan lukien GDPR Art. 82) muuta johdu.

12. Yhteyshenkilö ja muutokset

DPA:han liittyvissä kysymyksissä yhteys: smoothbooking.app@gmail.com. Olennaisista muutoksista ilmoitetaan Pro-käyttäjälle vähintään 30 päivää ennen niiden voimaantuloa.