[{"data":1,"prerenderedAt":546},["ShallowReactive",2],{"og-image-business-dpa":3,"social-meta-business-dpa":4,"pricing-plan-EUR":5,"page-business,dpa":6},"",[],{},{"id":7,"title":8,"body":9,"description":536,"extension":537,"meta":538,"navigation":541,"path":542,"seo":543,"stem":544,"__hash__":545},"content/easyweek.fi/business/dpa.md","Tietojenkäsittelylisäsopimus (DPA)",{"type":10,"value":11,"toc":516},"minimark",[12,19],[13,14],"blog-header",{":bullet_points":15,"description":16,"headline":17,"tag":18},"[{\"text\":\"1. Määritelmät\",\"href\":\"#_1-definitions\"},{\"text\":\"2. Roolit\",\"href\":\"#_2-roles\"},{\"text\":\"3. Käsittelyn kohde, kesto ja tarkoitus\",\"href\":\"#_3-subject-matter-duration-purpose\"},{\"text\":\"4. Asiakkaan ohjeet\",\"href\":\"#_4-customer-instructions\"},{\"text\":\"5. Salassapito\",\"href\":\"#_5-confidentiality\"},{\"text\":\"6. Turvallisuus (TOMs)\",\"href\":\"#_6-security-toms\"},{\"text\":\"7. Alikäsittelijät\",\"href\":\"#_7-sub-processors\"},{\"text\":\"8. Kansainväliset siirrot\",\"href\":\"#_8-international-transfers\"},{\"text\":\"9. Rekisteröidyn pyynnöt\",\"href\":\"#_9-data-subject-requests\"},{\"text\":\"10. Henkilötietojen tietoturvaloukkaus\",\"href\":\"#_10-personal-data-breach\"},{\"text\":\"11. DPIA ja ennakkokuuleminen\",\"href\":\"#_11-dpia-and-prior-consultation\"},{\"text\":\"12. Tarkastus\",\"href\":\"#_12-audit\"},{\"text\":\"13. Palauttaminen ja poistaminen\",\"href\":\"#_13-return-and-deletion\"},{\"text\":\"14. Vastuu ja muut ehdot\",\"href\":\"#_14-liability-and-miscellaneous\"},{\"text\":\"Liite I – Kuvaus käsittelystä\",\"href\":\"#annex-i-description-of-processing\"},{\"text\":\"Liite II – Tekniset ja organisatoriset toimenpiteet\",\"href\":\"#annex-ii-technical-and-organisational-measures\"},{\"text\":\"Liite III – Hyväksytyt alikäsittelijät\",\"href\":\"#annex-iii-approved-sub-processors\"}]","Tämä tietojenkäsittelylisäsopimus (\"DPA\") on osa EasyWeek GmbH:n ja yritysasiakkaan (\"Asiakas\") välisiä Yrityspalveluiden käyttöehtoja ja säätelee EasyWeekin suorittamaa Asiakkaan henkilötietojen käsittelyä Asiakkaan puolesta EasyWeekin Yrityspalvelun yhteydessä.","Tietojenkäsittelylisäsopimus","h1",[20,21,22,29,43,48,51,103,107,110,118,122,129,132,136,139,142,146,149,153,160,164,174,177,180,184,187,253,258,261,265,268,271,275,278,281,285,288,292,295,303,306,310,313,316,320,323,326,329,333,339,345,351,356,370,375,407,413,419,423,426,506,510],"blog-content",{},[23,24,25],"p",{},[26,27,28],"em",{},"Päivitetty viimeksi: 15. toukokuuta 2026",[23,30,31,32,37,38,42],{},"Tämä DPA sisältyy viittauksen kautta ",[33,34,36],"a",{"href":35},"/business/terms-and-policies","Yrityspalveluiden käyttöehtoihin"," ja tulee voimaan, kun Asiakas hyväksyy Yrityspalveluiden käyttöehdot tai käyttää Palvelua ensimmäistä kertaa edellä mainitun päivämäärän jälkeen sen mukaan, kumpi tapahtuu aikaisemmin. Asiakas, joka tarvitsee vastakirjoitetun kopion tästä DPA:sta yrityksen kirjepaperilla, voi pyytää sitä kirjoittamalla osoitteeseen ",[33,39,41],{"href":40},"mailto:privacy@easyweek.io","privacy@easyweek.io",". EasyWeek vastakirjoittaa sopimuksen muuttamatta tämän mallin sisältöä.",[44,45,47],"h2",{"id":46},"_1-määritelmät","1. Määritelmät",[23,49,50],{},"Tässä tietojenkäsittelysopimuksessa isoilla alkukirjaimilla kirjoitetut mutta muutoin määrittelemättömät termit ovat merkitykseltään samat kuin Yritysten käyttöehdoissa tai asetuksessa (EU) 2016/679 (GDPR). Erityisesti:",[52,53,54,63,91,97],"ul",{},[55,56,57,58,62],"li",{},"„",[59,60,61],"strong",{},"GDPR","\" — asetus (EU) 2016/679 sekä sitä täydentävä Suomen tietosuojalaki (1050/2018).",[55,64,57,65,68,69,68,72,68,75,68,78,68,81,68,84,68,87,90],{},[59,66,67],{},"Rekisterinpitäjä","\", „",[59,70,71],{},"Henkilötietojen käsittelijä",[59,73,74],{},"Rekisteröity",[59,76,77],{},"Henkilötieto",[59,79,80],{},"Henkilötietojen tietoturvaloukkaus",[59,82,83],{},"Käsittely",[59,85,86],{},"Alihankkijana toimiva henkilötietojen käsittelijä",[59,88,89],{},"Valvontaviranomainen","\" — kuten on määritelty GDPR:n 4 artiklassa.",[55,92,57,93,96],{},[59,94,95],{},"Asiakkaan henkilötiedot","\" — henkilötiedot, jotka Asiakas tai sen valtuuttamat käyttäjät toimittavat Palveluun tai tuottavat Palvelun kautta ja joita EasyWeek käsittelee Asiakkaan puolesta.",[55,98,57,99,102],{},[59,100,101],{},"Vakiosopimuslausekkeet","\" — komission täytäntöönpanopäätöksellä (EU) 2021/914, annettu 4. kesäkuuta 2021, hyväksytyt vakiosopimuslausekkeet henkilötietojen siirtämiseksi kolmansiin maihin GDPR:n mukaisesti.",[44,104,106],{"id":105},"_2-roolit","2. Roolit",[23,108,109],{},"Asiakas on Asiakkaan henkilötietojen rekisterinpitäjä. EasyWeek on henkilötietojen käsittelijä ja käsittelee Asiakkaan henkilötietoja ainoastaan Asiakkaan dokumentoitujen ohjeiden mukaisesti sekä tämän tietojenkäsittelysopimuksen, liiketoiminnan käyttöehtojen ja sovellettavan lainsäädännön mukaisesti.",[23,111,112,113,117],{},"Osapuolet tunnustavat, että EasyWeek on rekisterinpitäjä sellaisten henkilötietoryhmien osalta, joita EasyWeek käsittelee omiin tarkoituksiinsa — esimerkiksi valtuutettujen käyttäjien tilin kirjautumistiedot, laskutustiedot ja Palvelun käyttötiedot. Kyseistä käsittelyä koskee ",[33,114,116],{"href":115},"/business/privacy","yritysten tietosuojakäytäntö",", ei tämä tietojenkäsittelysopimus.",[44,119,121],{"id":120},"_3-kohde-kesto-ja-tarkoitus","3. Kohde, kesto ja tarkoitus",[23,123,124,125,128],{},"Henkilötietojen käsittelyn kohde, luonne, tarkoitus, kesto, Henkilötietoluokat ja Rekisteröityjen luokat on kuvattu ",[59,126,127],{},"Liitteessä I",".",[23,130,131],{},"DPA on voimassa niin kauan kuin EasyWeek käsittelee Asiakkaan Henkilötietoja Asiakkaan puolesta ja pysyy voimassa Palveluehtojen päättymisen jälkeen niin pitkään kuin on tarpeen Section 13:n noudattamiseksi.",[44,133,135],{"id":134},"_4-asiakkaan-ohjeet","4. Asiakkaan ohjeet",[23,137,138],{},"Palvelu itsessään, Asiakkaan Palvelun käyttöliittymän ja API:n kautta soveltama konfiguraatio, liiketoiminnan käyttöehdot sekä tämä DPA muodostavat Asiakkaan täydelliset ja lopulliset dokumentoidut ohjeet EasyWeekille Asiakkaan henkilötietojen käsittelyä koskien. Kaikki lisäohjeet tai niistä poikkeavat ohjeet edellyttävät kirjallista sopimusta ja saattavat aiheuttaa lisämaksuja.",[23,140,141],{},"EasyWeek ilmoittaa Asiakkaalle ilman aiheetonta viivytystä, mikäli sen käsityksen mukaan jokin ohje rikkoo GDPR:ää tai Tietosuojalakia (1050/2018) taikka muuta EU:n tai jäsenvaltion tietosuojasäännöstä, ja voi keskeyttää kiistanalaisen ohjeen noudattamisen odottaen Asiakkaan kirjallista vahvistusta.",[44,143,145],{"id":144},"_5-luottamuksellisuus","5. Luottamuksellisuus",[23,147,148],{},"EasyWeek varmistaa, että henkilöstö, jolla on valtuutus käsitellä Asiakkaan henkilötietoja, on sitoutunut salassapitovelvollisuuteen (tai heille soveltuvan lakisääteisen salassapitovelvollisuuden alaisena) ja on sidottu pääsynvalvontaan sekä vähimpien oikeuksien periaatteisiin. Pääsy Asiakkaan henkilötietoihin on rajattu henkilöstölle, joka tarvitsee niitä Palvelun ylläpitoon tai kehittämiseen.",[44,150,152],{"id":151},"_6-turvatoimet-tekniset-ja-organisatoriset-toimenpiteet","6. Turvatoimet (tekniset ja organisatoriset toimenpiteet)",[23,154,155,156,159],{},"EasyWeek toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskiä vastaavan turvallisuustason, kuten ",[59,157,158],{},"liitteessä II"," on esitetty. EasyWeek voi päivittää teknis-organisatorisia toimenpiteitään ajoittain, edellyttäen että suojelun taso ei heikkene.",[44,161,163],{"id":162},"_7-alihenkilötietojenkäsittelijät","7. Alihenkilötietojenkäsittelijät",[23,165,166,167,170,171,128],{},"Asiakas myöntää täten EasyWeekille yleisen kirjallisen valtuutuksen käyttää alihenkilötietojenkäsittelijöitä. Luettelo hyväksytyistä alihenkilötietojenkäsittelijöistä tämän tietojenkäsittelysopimuksen päivämäärän mukaisesti on esitetty ",[59,168,169],{},"Liitteessä III"," ja sitä ylläpidetään osoitteessa ",[33,172,173],{"href":173},"/business/subprocessors",[23,175,176],{},"EasyWeek ilmoittaa Asiakkaalle vähintään kolmekymmentä (30) päivää etukäteen kaikista suunnitelluista alihenkilötietojenkäsittelijöiden lisäyksistä tai korvaamisista sovelluksen sisäisen ilmoituskeskuksen kautta sekä, mikäli Asiakas on tilannut sähköposti-ilmoitukset, sähköpostitse. Asiakas voi vastustaa muutosta kohtuullisin, dokumentoiduin tietosuojaperustein kolmenkymmenen (30) päivän kuluessa ilmoituksesta. Mikäli osapuolet eivät pääse ratkaisuun, Asiakkaalla on oikeus irtisanoa Liiketoiminnan käyttöehdot siltä osin kuin ne koskevat sitä Palvelun osaa, joka edellyttää riidanalaista alihenkilötietojenkäsittelijää, ja Asiakas saa suhteellisen hyvityksen ennalta maksetuista maksuista jäljellä olevan sopimuskauden osalta.",[23,178,179],{},"EasyWeek asettaa kullekin alihenkilötietojenkäsittelijälle kirjallisella sopimuksella tietosuojavelvoitteet, jotka tarjoavat vähintään yhtä kattavan suojan kuin tässä tietojenkäsittelysopimuksessa määritellyt velvoitteet. EasyWeek on edelleen täysimääräisesti vastuussa Asiakkaalle alihenkilötietojenkäsittelijöidensä velvoitteiden täyttämisestä.",[44,181,183],{"id":182},"_8-kansainväliset-siirrot","8. Kansainväliset siirrot",[23,185,186],{},"Asiakkaan henkilötietoja käsitellään ensisijaisesti Euroopan talousalueella (ETA). Kun Asiakkaan henkilötietoja siirretään ETA:n ulkopuoliseen maahan, johon kohdistuvaa Euroopan komission riittävyyttä koskevaa päätöstä ei ole, sovelletaan vakiosopimuslausekkeita (VSL) seuraavilla valinnoilla:",[52,188,189,195,201,207,213,223,229,235,241,247],{},[55,190,191,194],{},[59,192,193],{},"Moduuli 2"," (Rekisterinpitäjältä henkilötietojen käsittelijälle) sisällytetään viittauksella siirtoihin, jotka tapahtuvat Asiakkaalta (tai sen ETA:n rekisterinpitäjältä) EasyWeekille silloin, kun EasyWeek käsittelee Asiakkaan henkilötietoja kolmannessa maassa.",[55,196,197,200],{},[59,198,199],{},"Moduuli 3"," (Henkilötietojen käsittelijältä henkilötietojen käsittelijälle) sisällytetään viittauksella jatkosiirtoihin EasyWeekilta Alikäsittelijöille kolmannessa maassa.",[55,202,203,206],{},[59,204,205],{},"Lauseke 7"," (Liittymislauseke) on sisällytetty.",[55,208,209,212],{},[59,210,211],{},"Lauseke 9(a)"," — Vaihtoehto 2 (yleinen kirjallinen valtuutus, 30 päivän ennakkoilmoitus) on sovellettava.",[55,214,215,218,219,222],{},[59,216,217],{},"Lauseke 11(a)"," — riippumatonta riitojenratkaisuelintä ",[59,220,221],{},"ei"," ole valittu.",[55,224,225,228],{},[59,226,227],{},"Lauseke 17"," — sovellettava laki on Saksan laki.",[55,230,231,234],{},[59,232,233],{},"Lauseke 18"," — toimivaltaiset tuomioistuimet ovat Düsseldorfissa, Saksassa.",[55,236,237,240],{},[59,238,239],{},"Liite I"," VSL:stä täydennetään viittaamalla tämän DPA:n Liitteeseen I.",[55,242,243,246],{},[59,244,245],{},"Liite II"," VSL:stä täydennetään viittaamalla tämän DPA:n Liitteeseen II.",[55,248,249,252],{},[59,250,251],{},"Liite III"," VSL:stä täydennetään viittaamalla tämän DPA:n Liitteeseen III.",[23,254,255,256,128],{},"Siirron vaikutusarviointi, jossa tiivistetään EasyWeekin arvio kohdemaan lainsäädännöstä sekä mahdollisista täydentävistä teknisistä, sopimuksellisista tai organisatorisista toimenpiteistä, on saatavilla pyynnöstä osoitteesta ",[33,257,41],{"href":40},[23,259,260],{},"Yhdistyneen kuningaskunnan siirtoihin sovelletaan VSL:ään liittyvää Yhdistyneen kuningaskunnan kansainvälistä tietojensiirtolisäystä (UK International Data Transfer Addendum to the SCCs) (ICO:n antama, voimassa 21. maaliskuuta 2022 alkaen). Sveitsin siirtoihin VSL:ää luetaan FDPIC:n edellyttämin mukautuksin.",[44,262,264],{"id":263},"_9-rekisteröidyn-oikeuksia-koskevat-pyynnöt","9. Rekisteröidyn oikeuksia koskevat pyynnöt",[23,266,267],{},"Palvelu tarjoaa itsepalveluominaisuuksia, joiden avulla Asiakas voi toteuttaa rekisteröidyn oikeuksia koskevat pyynnöt, jotka koskevat pääsyä tietoihin, oikaisua, poistamista, käsittelyn rajoittamista, siirrettävyyttä ja vastustamisoikeutta. Mikäli rekisteröity ottaa yhteyttä suoraan EasyWeekiin, EasyWeek välittää pyynnön Asiakkaalle ilman aiheetonta viivästystä eikä vastaa rekisteröidylle muutoin kuin vahvistaakseen pyynnön vastaanotetuksi ja ohjatakseen sen Asiakkaalle.",[23,269,270],{},"EasyWeek avustaa Asiakasta, ottaen huomioon käsittelyn luonteen, asianmukaisin teknisin ja organisatorisin toimenpitein Asiakkaan velvollisuuden täyttämisessä vastata rekisteröidyn oikeuksia koskeviin pyyntöihin GDPR:n 12–22 artiklan mukaisesti.",[44,272,274],{"id":273},"_10-henkilötietojen-tietoturvaloukkaus","10. Henkilötietojen tietoturvaloukkaus",[23,276,277],{},"EasyWeek ilmoittaa Asiakkaalle ilman aiheetonta viivytystä ja joka tapauksessa seitsemänkymmentäkahden (72) tunnin kuluessa siitä, kun se on saanut tiedon Asiakkaan Henkilötietoja koskevasta Tietoturvaloukkauksen. Ilmoituksen on sisällettävä vähintään GDPR:n 33 artiklan 3 kohdan edellyttämät tiedot siltä osin kuin ne ovat tiedossa: Tietoturvaloukkauksen luonne, vaikutuksen kohteena olevien Rekisteröityjen ja tietueiden kategoriat ja arviomäärä, todennäköiset seuraukset sekä toteutetut tai suunnitellut toimenpiteet.",[23,279,280],{},"EasyWeek toteuttaa kohtuulliset toimenpiteet Tietoturvaloukkauksen rajoittamiseksi ja korjaamiseksi sekä toimittaa Asiakkaalle tiedot, jotka ovat tarpeen, jotta Asiakas voi täyttää omat ilmoitusvelvoitteensa valvontaviranomaiselle ja asianomaisille Rekisteröidyille.",[44,282,284],{"id":283},"_11-tietosuojan-vaikutustenarviointi-ja-ennakkokuuleminen","11. Tietosuojan vaikutustenarviointi ja ennakkokuuleminen",[23,286,287],{},"EasyWeek tarjoaa Asiakkaalle kohtuullista apua kaikissa tietosuojan vaikutustenarvioinneissa tai ennakkokuulemisissa, jotka Asiakkaan on suoritettava tietosuoja-asetuksen (GDPR) 35 tai 36 artiklan sekä tietosuojalain (1050/2018) nojalla, siltä osin kuin tällainen apu on kohtuullisesti tarpeen ja EasyWeekillä on hallussaan tarvittavat tiedot.",[44,289,291],{"id":290},"_12-tarkastus","12. Tarkastus",[23,293,294],{},"EasyWeek asettaa Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen tämän tietojenkäsittelysopimuksen noudattamisen osoittamiseksi, mukaan lukien:",[52,296,297,300],{},[55,298,299],{},"Ajantasaiset kopiot keskeisimmistä sertifikaateista ja tarkastusraporteista (kuten ISO 27001 siltä osin kuin saatavilla, sekä asiaankuuluvien Alihankkijoiden SOC 2 type II -raportit).",[55,301,302],{},"Kirjalliset vastaukset kohtuulliseen tietoturvakyselyyn kerran kahdentoista (12) kuukauden jakson aikana, maksutta.",[23,304,305],{},"Mikäli edellä mainitut tiedot eivät ole riittäviä ja Asiakkaan Valvontaviranomainen edellyttää Asiakkaalta paikan päällä suoritettavaa tarkastusta, Asiakas voi itse suorittaa tai antaa riippumattoman tarkastajan suorittaa tarkastuksen Asiakkaan kustannuksella, vähintään kuudenkymmenen (60) päivän kirjallisella ilmoitusajalla, normaalin työajan puitteissa, enintään kerran kahdentoista (12) kuukauden jakson aikana (ellei henkilötietoihin kohdistunut tietoturvaloukkaus ole tapahtunut), kohtuullisten salassapitovelvoitteiden nojalla ja siten, ettei EasyWeekin liiketoimintaa tai muiden asiakkaiden tietoturvaa vaaranneta. Tarkastuksen laajuus rajoittuu EasyWeekin tämän tietojenkäsittelysopimuksen noudattamisen todentamiseen.",[44,307,309],{"id":308},"_13-palautus-ja-poistaminen","13. Palautus ja poistaminen",[23,311,312],{},"Kolmenkymmenen (30) päivän kuluessa liiketoiminnan palveluehtojen päättymisestä Asiakas voi viedä Asiakkaan Henkilötiedot Palvelun tarjoamien itsepalveluvientityökalujen avulla. Tämän kolmenkymmenen päivän lisäajan jälkeen EasyWeek poistaa tai anonymisoi Asiakkaan Henkilötiedot kohtuullisessa ajassa, kuitenkin viimeistään yhdeksänkymmenen (90) päivän kuluessa, paitsi siltä osin kuin EU:n tai jäsenvaltion lainsäädäntö edellyttää EasyWeekiä säilyttämään osan tai kaikki niistä (jolloin säilytettyihin tietoihin sovelletaan edelleen tämän DPA:n salassapito- ja turvallisuusvelvoitteita).",[23,314,315],{},"Asiakkaan Henkilötietoja sisältävät varmuuskopiot ylikirjoitetaan jatkuvasti kiertävällä pohjalla tavanomaisen varmuuskopioiden säilytysajan puitteissa, ja niihin sovelletaan tätä DPA:ta sen voimassaolon päättymiseen saakka.",[44,317,319],{"id":318},"_14-vastuu-ja-muut-ehdot","14. Vastuu ja muut ehdot",[23,321,322],{},"Kummankin osapuolen vastuu tämän tietojenkäsittelysopimuksen nojalla tai siihen liittyen on alisteinen Yrityspalveluehtojen mukaisten vastuun rajoitusten ja poissulkemisten alaisuudelle.",[23,324,325],{},"Tämä tietojenkäsittelysopimus on osa Yrityspalveluehtoja. Jos tämän tietojenkäsittelysopimuksen ja Yrityspalveluehtojen välillä on ristiriita asiakkaiden henkilötietojen käsittelyn osalta, tätä tietojenkäsittelysopimusta sovelletaan ensisijaisesti. Jos tämän tietojenkäsittelysopimuksen ja standardisopimuslausekkeiden välillä on ristiriita, standardisopimuslausekkeita sovelletaan ensisijaisesti.",[23,327,328],{},"Tähän tietojenkäsittelysopimukseen sovelletaan Saksan liittotasavallan lainsäädäntöä. Düsseldorfin, Saksa, tuomioistuimilla on yksinomainen toimivalta, sanotun kuitenkaan rajoittamatta rekisteröityjen pakottavia suojaoikeuksia heidän vakinaisen asuinpaikkansa perusteella, mukaan lukien Suomessa asuviin rekisteröityihin sovellettavat kuluttajansuojalain pakottavat säännökset.",[44,330,332],{"id":331},"liite-i-käsittelyn-kuvaus","Liite I – Käsittelyn kuvaus",[23,334,335,338],{},[59,336,337],{},"Käsittelyn kohde","\nEasyWeek-yrityspalvelun toimittaminen Asiakkaalle tarvittava käsittely.",[23,340,341,344],{},[59,342,343],{},"Kesto","\nYrityspalvelun käyttöehtojen voimassaoloajan sekä mahdollisen irtisanomisen jälkeisen säilytysajan, joka vaaditaan kohdan 13 toteuttamiseen.",[23,346,347,350],{},[59,348,349],{},"Käsittelyn luonne ja tarkoitus","\nIsännöinti, tallennus, hakeminen, organisointi, muuttaminen, siirto, poistaminen, anonymisointi, tilastollinen analyysi sekä muut käsittelytoimet, jotka ovat tarpeen verkkovarauspalvelun, asiakkuudenhallintajärjestelmän, talous- ja laskutustoimintojen, markkinointiautomaation, verkkosivuston rakentamisen, muistutusten ja ilmoitusten, markkinapaikkaluetteloinnin, tekoälyavusteisten ominaisuuksien ja oheistoimintojen toimittamiseksi.",[23,352,353],{},[59,354,355],{},"Rekisteröityjen ryhmät",[52,357,358,361,364,367],{},[55,359,360],{},"Asiakkaan loppuasiakkaat ja mahdolliset asiakkaat",[55,362,363],{},"Asiakkaan työntekijät, freelancerit, alihankkijat ja muut valtuutetut käyttäjät",[55,365,366],{},"Asiakkaan verkkovaraussivujen ja upotettujen widgetien kävijät",[55,368,369],{},"Palvelun kautta välitettyjen viestien lähettäjät ja vastaanottajat",[23,371,372],{},[59,373,374],{},"Henkilötietoryhmät",[52,376,377,380,383,386,389,392,395,398,401,404],{},[55,378,379],{},"Tunnistetiedot (nimi, valokuva, sukupuoli)",[55,381,382],{},"Yhteystiedot (sähköposti, puhelinnumero, osoite)",[55,384,385],{},"Asiakkaan valtuutettujen käyttäjien tilin kirjautumistiedot",[55,387,388],{},"Varaus- ja ajanvaraushistoria",[55,390,391],{},"Asiakkaan lataamat muistiinpanot, tiedostot, valokuvat ja asiakirjat",[55,393,394],{},"Kanta-asiakasohjelmatiedot, lahjakorttisaldot, asiakassegmentit",[55,396,397],{},"Viestinnän sisältö (SMS, WhatsApp, sähköpostin sisältö, push-ilmoitusten sisältö, sovelluksen sisäinen chat)",[55,399,400],{},"Taloustiedot (laskutiedot, maksustatus, maksukorttien neljä viimeistä numeroa — täydelliset korttitiedot käsittelee suoraan Stripe, eikä EasyWeek tallenna niitä)",[55,402,403],{},"Tekniset tiedot (IP-osoite, laitetunniste, selain, kieli, aikaleimat)",[55,405,406],{},"Siinä tapauksessa, että Asiakas päättää kirjata ne: terveyteen liittyvät muistiinpanot (kauneus-, hyvinvointi-, lääketiede- tai hammashuoltokonteksteissa). Asiakas on vastuussa siitä, että sillä on asianmukainen lainmukainen käsittelyperuste GDPR:n 9 artiklan nojalla ennen tällaisten tietojen kirjaamista.",[23,408,409,412],{},[59,410,411],{},"Siirtojen tiheys"," Jatkuva.",[23,414,415,418],{},[59,416,417],{},"Säilytys"," Asiakkaan henkilötietoja säilytetään niin kauan kuin Asiakas ohjeistaa ja kuten on tarkemmin kuvattu kohdassa 13.",[44,420,422],{"id":421},"liite-ii-tekniset-ja-organisatoriset-toimenpiteet","Liite II – Tekniset ja organisatoriset toimenpiteet",[23,424,425],{},"EasyWeek toteuttaa vähintään seuraavat toimenpiteet, joita se voi ajoittain päivittää edellyttäen, että suojan taso ei heikkene:",[52,427,428,434,440,446,452,458,464,470,476,482,488,494,500],{},[55,429,430,433],{},[59,431,432],{},"Pseudonymisointi ja salaus"," — TLS 1.3 julkisissa verkoissa siirrettäville tiedoille; AES-256 levossa oleville tiedoille (tietokantatallennus, objektitallennus, varmuuskopiot); arkaluonteisille kentille soveltuvin osin vuokraajakohtaiset salausavaimet.",[55,435,436,439],{},[59,437,438],{},"Luottamuksellisuus"," — roolipohjainen pääsynhallinta vähimpien oikeuksien periaatteella, monivaiheinen todennus vaaditaan kaikessa hallinnollisessa käytössä, automaattinen istunnon aikakatkaisu, IP-pohjainen pääsynhallinta tuotantojärjestelmille, kirjalliset salassapitovelvoitteet kaikelle henkilöstölle.",[55,441,442,445],{},[59,443,444],{},"Eheys"," — muutoksenhallinta, koodikatselmointi, automaattinen riippuvuuksien skannaus, allekirjoitetut käyttöönottoartefaktit, varmuuskopioiden eheyden tarkistukset.",[55,447,448,451],{},[59,449,450],{},"Saatavuus ja vikasietoisuus"," — tuotantoisännöinti Hetzner-datakeskuksissa Saksassa redundanteilla virta- ja verkkoyhteyksillä, Kubernetes-orkestrointi automaattisella palautumisella, päivittäiset varmuuskopiot vyöhykkeiden välisellä replikoinnilla, dokumentoitu katastrofipalautussuunnitelma vuosittaisine pöytäharjoituksineen, tilasivu osoitteessa status.easyweek.io.",[55,453,454,457],{},[59,455,456],{},"Palautus"," — varmuuskopioiden säilytysaika on riittävä palvelun palauttamiseksi fyysisen tai teknisen häiriön jälkeen; neljännesvuosittaiset palautustestit.",[55,459,460,463],{},[59,461,462],{},"Testaus ja arviointi"," — vuosittainen kolmannen osapuolen tunkeutumistesti tuotantoympäristölle, jatkuva staattinen ja dynaaminen sovellustietoturvatestaus CI/CD-putkessa, haavoittuvuudenhallintaprosessi määritellyin korjaamisaikatavoittein.",[55,465,466,469],{},[59,467,468],{},"Verkkojen erottelu"," — tuotanto-, staging- ja kehitysympäristöt on loogisesti ja fyysisesti erotettu toisistaan; hallinnollinen pääsy ainoastaan bastion-isäntien kautta.",[55,471,472,475],{},[59,473,474],{},"Lokienhallinta ja seuranta"," — keskitetyt tarkastuslokit tunnistautumis-, valtuutus-, konfiguraatiomuutos- ja tietojen vientitapahtumille, säilytettyinä vähintään yhden vuoden ajan; tietoturvatietojen ja -tapahtumien seuranta poikkeamahälytyksillä.",[55,477,478,481],{},[59,479,480],{},"Turvallinen kehitys"," — SDLC, johon sisältyy uhkamallinnus, vertaisarviointi, salaisuuksien skannaus, lisenssien vaatimustenmukaisuus ja OWASP-linjatut koodausstandardit.",[55,483,484,487],{},[59,485,486],{},"Toimittajahallinta"," — kirjalliset sopimukset kaikkien alikäsittelijöiden kanssa vastaavine velvoitteineen; säännöllinen tarkistus.",[55,489,490,493],{},[59,491,492],{},"Henkilöstön turvallisuus"," — taustatarkistukset lain sallimissa rajoissa; tietoturva- ja tietosuojakoulutus rekrytoinnin yhteydessä ja vuosittain sen jälkeen.",[55,495,496,499],{},[59,497,498],{},"Poikkeamanhallinta"," — 24/7-päivystysrotaatio; dokumentoitu poikkeamankäsittelyopas; tietoturvaloukkausilmoitus 72 tunnin kuluessa kohdan 10 mukaisesti.",[55,501,502,505],{},[59,503,504],{},"Fyysinen turvallisuus"," — fyysinen pääsy käsittelylaitoksiin on tiloja hallinnoivan alikäsittelijän (Hetzner, Google Cloud) valvonnassa ISO 27001 / SOC 2 -sertifioitujen kontrollien alaisena.",[44,507,509],{"id":508},"liite-iii-hyväksytyt-alihankkijat-alikäsittelijät","Liite III – Hyväksytyt alihankkijat (alikäsittelijät)",[23,511,512,513,515],{},"Ajantasainen luettelo EasyWeekin alikäsittelijöistä julkaistaan ja ylläpidetään osoitteessa ",[33,514,173],{"href":173},". Kyseisessä URL-osoitteessa oleva luettelo on täten sisällytetty viittauksin tähän tietojenkäsittelysopimukseen ja sen Liitteeseen III.",{"title":3,"searchDepth":517,"depth":517,"links":518},2,[519,520,521,522,523,524,525,526,527,528,529,530,531,532,533,534,535],{"id":46,"depth":517,"text":47},{"id":105,"depth":517,"text":106},{"id":120,"depth":517,"text":121},{"id":134,"depth":517,"text":135},{"id":144,"depth":517,"text":145},{"id":151,"depth":517,"text":152},{"id":162,"depth":517,"text":163},{"id":182,"depth":517,"text":183},{"id":263,"depth":517,"text":264},{"id":273,"depth":517,"text":274},{"id":283,"depth":517,"text":284},{"id":290,"depth":517,"text":291},{"id":308,"depth":517,"text":309},{"id":318,"depth":517,"text":319},{"id":331,"depth":517,"text":332},{"id":421,"depth":517,"text":422},{"id":508,"depth":517,"text":509},"EasyWeekin tietojenkäsittelylisäsopimus GDPR:n 28 artiklan mukaisesti: roolit, ohjeet, alikäsittelijät, TOMs, kansainväliset siirrot, tietoturvaloukkausilmoitukset, tarkastus ja irtisanominen.","md",{"layout":539,"meta_keywords":540,"cover_text":17},"business","data processing addendum, DPA, GDPR Article 28, processor, controller, SCCs, EasyWeek",true,"/easyweek.fi/business/dpa",{"title":8,"description":536},"easyweek.fi/business/dpa","QXZuN632jK766-uxwQOF74htmcSFVpE8TzjWrUOIuLE",1781621563264]