Henkilötietojen käsittelysopimus
Päivitetty 16.6.2026
Tämä käsittelysopimus (GDPR 28 artikla) määrittää, miten Tuttu käsittelee asiakkaan soittajien henkilötietoja asiakkaan lukuun. Se on osa palvelun käyttöehtoja.
1. Osapuolet ja tarkoitus
Tämä henkilötietojen käsittelysopimus (jäljempänä ”käsittelysopimus”) on osa Tuttu for Business -palvelun käyttöehtoja ja täydentää niitä. Se muodostaa yleisen tietosuoja-asetuksen (GDPR) 28 artiklan 3 kohdan mukaisen sopimuksen.
Asiakas (yritysasiakas) on soittajiensa ja viestien lähettäjien henkilötietojen rekisterinpitäjä. Insinööritoimisto Loikkanen Oy (Y-tunnus 3600045-9, ”Tuttu”) on näiden tietojen käsittelijä, joka käsittelee tietoja asiakkaan lukuun palvelun tuottamiseksi.
Tutun omasta, rekisterinpitäjänä tekemästä käsittelystä kerrotaan tietosuojaselosteessa.
2. Käsittelyn kohde ja kesto
Käsittelyn kohteena ovat henkilötiedot, joita asiakkaan soittajat ja viestien lähettäjät antavat tai jotka muodostuvat palvelun käytön yhteydessä. Käsittely kestää niin kauan kuin asiakkuus on voimassa, minkä jälkeen tiedot poistetaan tai palautetaan kohdan 12 mukaisesti.
3. Käsittelyn luonne ja tarkoitus
Tuttu vastaa asiakkaan numeroon ohjattuihin puheluihin ja tekstiviesteihin tekoälyllä, vastaa kysymyksiin asiakkaan tietopankin perusteella, ottaa viestejä vastaan, kirjaa soittopyyntöjä ja ilmoittaa niistä asiakkaalle. Käsittely sisältää tietojen vastaanoton, tallentamisen, jäsentämisen, litteroinnin, säilyttämisen ja poistamisen.
4. Henkilötietoryhmät ja rekisteröidyt
Rekisteröityjä ovat asiakkaan soittajat ja viestien lähettäjät. Käsiteltäviä tietoja ovat:
- puhelinnumero (kun se välittyy);
- puheluiden ja tekstiviestien sisältö tekstimuotoisina litteraatteina;
- näppäimistöllä annetut numerot sekä jätetyt viestit ja soittopyynnöt;
- soittajan mahdollisesti antama nimi ja muut yhteystiedot;
- puhelun tekniset tiedot, kuten kesto.
Palvelua ei ole tarkoitettu erityisten henkilötietoryhmien (GDPR 9 artikla) käsittelyyn. Puheäänitä ei tallenneta; pysyvästi säilytetään vain tekstimuotoinen litteraatti.
5. Rekisterinpitäjän ohjeet ja velvollisuudet
Asiakas vastaa siitä, että sillä on oikeusperuste soittajiensa henkilötietojen käsittelylle ja että se on informoinut soittajiaan asianmukaisesti. Asiakkaan palvelussa tekemät asetukset, tietopankin sisältö ja ohjeet muodostavat asiakkaan dokumentoidut ohjeet käsittelylle. Tuttu ilmoittaa asiakkaalle, jos ohje on sen käsityksen mukaan tietosuojalain vastainen.
6. Käsittelijän velvollisuudet
Tuttu sitoutuu GDPR:n 28 artiklan 3 kohdan mukaisesti:
- käsittelemään henkilötietoja vain asiakkaan dokumentoitujen ohjeiden mukaisesti, myös tiedonsiirroissa, ellei laki muuta edellytä;
- varmistamaan, että tietoja käsittelevät henkilöt ovat sitoutuneet salassapitoon;
- toteuttamaan 32 artiklan mukaiset tekniset ja organisatoriset turvatoimet (ks. kohta 9);
- noudattamaan alikäsittelijöiden käyttöä koskevia ehtoja (ks. kohta 7);
- avustamaan asiakasta rekisteröityjen pyyntöihin vastaamisessa (ks. kohta 11);
- avustamaan asiakasta tietoturvan, tietoturvaloukkausten ilmoittamisen ja vaikutustenarviointien osalta (32–36 artikla);
- poistamaan tai palauttamaan henkilötiedot käsittelyn päättyessä (ks. kohta 12);
- asettamaan asiakkaan saataville tiedot, jotka osoittavat näiden velvollisuuksien noudattamisen, ja sallimaan auditoinnit (ks. kohta 13).
7. Alikäsittelijät
Asiakas antaa Tutulle yleisen valtuutuksen käyttää alikäsittelijöitä palvelun tuottamisessa. Tuttu solmii kunkin alikäsittelijän kanssa käsittelyä koskevan sopimuksen, joka asettaa vastaavat tietosuojavelvoitteet, ja vastaa alikäsittelijöidensä toiminnasta kuin omastaan. Käytössä olevat alikäsittelijät:
| Alikäsittelijä | Tehtävä | Sijainti / siirtoperuste |
|---|---|---|
| Twilio | Puheluiden ja tekstiviestien välitys | Yhdysvallat — DPF / vakiosopimuslausekkeet |
| OpenAI | Reaaliaikainen puheentunnistus ja -vastaus | Yhdysvallat — DPF / vakiosopimuslausekkeet |
| OpenRouter (Google, Anthropic) | Tekstiviestien käsittely ja verkkosivuanalyysi | Yhdysvallat — vakiosopimuslausekkeet |
| Voyage AI | Tietopankin ja hakujen vektorointi | Yhdysvallat — vakiosopimuslausekkeet |
| WorkOS | Salasanaton kirjautuminen | Yhdysvallat — DPF / vakiosopimuslausekkeet |
| Stripe | Maksut ja laskutus | Yhdysvallat / Irlanti — DPF / vakiosopimuslausekkeet |
| Resend | Sähköposti-ilmoitukset | Yhdysvallat — vakiosopimuslausekkeet |
Tuttu ilmoittaa uusista tai vaihtuvista alikäsittelijöistä etukäteen palvelussa tai sähköpostitse. Asiakkaalla on oikeus vastustaa muutosta perustellusta tietosuojasyystä; jos ratkaisua ei löydy, asiakas voi irtisanoa tilauksen.
8. Tiedonsiirrot EU/ETA-alueen ulkopuolelle
Tietojen ensisijainen säilytyspaikka on Suomessa (EU/ETA-alueella). Osa alikäsittelijöistä käsittelee tietoja EU/ETA-alueen ulkopuolella, erityisesti Yhdysvalloissa. Siirrot perustuvat GDPR:n 44–46 artiklan suojatoimiin: EU–US Data Privacy Framework -riittävyyspäätökseen (10.7.2023) siihen sertifioituneiden toimijoiden osalta ja muutoin Euroopan komission vakiosopimuslausekkeisiin (SCC).
9. Tietoturva
Tuttu toteuttaa GDPR:n 32 artiklan mukaiset toimet, kuten tietoliikenteen salauksen siirron aikana, asiakaskohtaisen eristyksen tietokannan rivitason käyttöoikeuksilla (row-level security), pääsynhallinnan tuotantojärjestelmiin sekä periaatteen käsitellä vain tarvittavia tietoja.
10. Tietoturvaloukkaukset
Tuttu ilmoittaa asiakkaalle ilman aiheetonta viivytystä saatuaan tietoonsa asiakkaan henkilötietoja koskevan tietoturvaloukkauksen ja avustaa asiakasta tämän GDPR:n 33–34 artiklan mukaisten ilmoitusvelvoitteiden täyttämisessä.
11. Rekisteröityjen pyynnöt
Jos rekisteröity ottaa yhteyttä Tuttuun oikeuksiensa käyttämiseksi, Tuttu ohjaa pyynnön asiakkaalle eikä vastaa siihen itse, ellei asiakas toisin ohjeista. Tuttu avustaa asiakasta kohtuullisin teknisin ja organisatorisin toimin vastaamaan rekisteröityjen pyyntöihin.
12. Tietojen poistaminen tai palauttaminen
Kun asiakkuus päättyy, asiakas voi viedä tietonsa palvelusta. Tilin poiston jälkeen kaikki asiakkaan henkilötiedot poistetaan pysyvästi 14 vuorokauden kuluessa, ellei laki edellytä säilyttämistä. Säilytysajoista kerrotaan tarkemmin tietosuojaselosteessa.
13. Auditointi ja todentaminen
Tuttu asettaa asiakkaan pyynnöstä saataville tiedot, jotka ovat tarpeen tämän käsittelysopimuksen noudattamisen osoittamiseksi. Auditoinnit toteutetaan kohtuullisesti ennalta sovittuna ajankohtana siten, ettei palvelun toiminta tai muiden asiakkaiden tietoturva vaarannu.
14. Ehtojen etusija
Henkilötietojen käsittelyä koskevissa kysymyksissä tämä käsittelysopimus on ensisijainen suhteessa muihin käyttöehtoihin. Muilta osin sovelletaan käyttöehtoja.
Lähteet ja lainsäädäntö
- Yleinen tietosuoja-asetus, 28 artikla — Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (käsittelijä)
- Vakiosopimuslausekkeet (SCC) — Komission täytäntöönpanopäätös (EU) 2021/914
- EU–US Data Privacy Framework — Komission täytäntöönpanopäätös (EU) 2023/1795, 10.7.2023