Tietojenkäsittelysopimus

Tietojenkäsittelysopimus (DPA)

Liite, joka sääntelee henkilötietojen käsittelyä Smoven palvelussa GDPR:n 28 artiklan mukaisesti.

Päivitetty 9.6.2026

1. Sopimuksen tarkoitus ja osapuolet

Tämä tietojenkäsittelysopimus (DPA) on osa Smoven palvelun käyttöehtoja, ja sitä sovelletaan, kun Smove käsittelee henkilötietoja asiakkaan lukuun palvelua tuotettaessa.

Asiakas on henkilötietojen rekisterinpitäjä ja Smove Oy (Y-tunnus 3596026-3) toimii henkilötietojen käsittelijänä. Ristiriitatilanteessa tämä sopimus syrjäyttää muut ehdot henkilötietojen käsittelyn osalta.

2. Määritelmät

Tässä sopimuksessa rekisterinpitäjällä, käsittelijällä, henkilötiedolla, käsittelyllä, rekisteröidyllä ja alikäsittelijällä tarkoitetaan samaa kuin EU:n yleisessä tietosuoja-asetuksessa (GDPR, 2016/679).

3. Käsittelyn kohde, kesto, luonne ja tarkoitus

Smove käsittelee henkilötietoja ainoastaan palvelun tuottamiseksi: työvuorosuunnittelua ja henkilöstöhallintoa varten.

  • Kohde: asiakkaan palveluun tallentamat henkilötiedot
  • Kesto: palvelusopimuksen voimassaolon ajan
  • Luonne ja tarkoitus: tietojen tallennus, järjestäminen, käyttö ja muu käsittely palvelun toimintojen toteuttamiseksi
  • Rekisteröidyt: asiakkaan työntekijät ja käyttäjät
  • Tietoryhmät: nimi ja yhteystiedot, työsuhde- ja vuorotiedot, työajat ja poissaolot, osaamistiedot sekä palvelun käyttöön liittyvät tekniset tiedot

4. Käsittely ohjeiden mukaisesti

Smove käsittelee henkilötietoja vain asiakkaan dokumentoitujen ohjeiden mukaisesti, mukaan lukien tämä sopimus ja palvelun käyttö, eikä käytä tietoja omiin tarkoituksiinsa. Smove ilmoittaa asiakkaalle, jos se katsoo ohjeen rikkovan tietosuojalainsäädäntöä.

Asiakas vastaa siitä, että käsittelyllä on lainmukainen peruste ja että sen antamat ohjeet ovat tietosuojalainsäädännön mukaisia.

5. Salassapito

Smove varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitoon ja että pääsy tietoihin on rajattu vain niihin, jotka sitä tehtävissään tarvitsevat.

6. Tietoturva

Smove toteuttaa GDPR:n 32 artiklan mukaiset asianmukaiset tekniset ja organisatoriset toimenpiteet, joihin kuuluvat muun muassa:

  • henkilötietojen salaus siirrettäessä ja levossa
  • käsittelyjärjestelmien luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden varmistaminen
  • kyky palauttaa tietojen saatavuus häiriötilanteessa
  • roolipohjainen pääsynhallinta vähimmän oikeuden periaatteella sekä käytön lokitus
  • turvatoimien säännöllinen testaus ja arviointi

Arkaluonteisten tietojen käsittelyyn sovelletaan tarvittaessa täydentäviä suojatoimia. Tietoturvasta kerrotaan tarkemmin GDPR-sivulla.

7. Alikäsittelijät

Asiakas antaa Smovelle yleisen valtuutuksen käyttää alikäsittelijöitä. Smove on tehnyt jokaisen alikäsittelijän kanssa tietosuojavelvoitteet sisältävän sopimuksen ja vastaa niiden toiminnasta kuin omastaan.

Ajantasainen lista alikäsittelijöistä on GDPR-sivulla. Smove ilmoittaa suunnitelluista muutoksista etukäteen, ja asiakkaalla on oikeus vastustaa muutosta perustellusta syystä.

8. Siirrot EU:n ja ETA:n ulkopuolelle

Henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle. Tiedot säilytetään ja käsitellään Suomessa ja EU:ssa.

9. Avustaminen ja rekisteröidyn oikeudet

Smove avustaa asiakasta asianmukaisin teknisin ja organisatorisin toimin, jotta tämä voi vastata rekisteröityjen pyyntöihin (pääsy, oikaisu, poisto, siirrettävyys, rajoittaminen ja vastustaminen). Palvelussa on työkalut tietojen vientiin ja poistamiseen.

Jos rekisteröity ottaa yhteyttä suoraan Smoveen, Smove ei vastaa pyyntöön itse vaan ohjaa sen asiakkaalle. Smove ilmoittaa asiakkaalle ilman aiheetonta viivästystä myös valvontaviranomaisen tiedusteluista, jotka koskevat asiakkaan henkilötietoja.

Smove avustaa asiakasta lisäksi GDPR:n 32–36 artiklan velvoitteissa, kuten tietoturvasta huolehtimisessa, vaikutustenarvioinnissa (DPIA) ja ennakkokuulemisessa.

10. Tietoturvaloukkaukset

Smove ilmoittaa asiakkaalle henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivästystä, viimeistään 72 tunnin kuluessa siitä, kun loukkaus on tullut Smoven tietoon. Ilmoitus sisältää saatavilla olevat olennaiset tiedot, kuten:

  • loukkauksen luonne sekä asianomaiset tietoryhmät ja arvioidut rekisteröityjen määrät
  • yhteyshenkilö, jolta saa lisätietoa
  • loukkauksen todennäköiset seuraukset
  • toteutetut ja ehdotetut toimet loukkauksen korjaamiseksi ja seurausten lieventämiseksi

Smove ryhtyy viipymättä toimiin loukkauksen rajaamiseksi, dokumentoi loukkaukset ja avustaa asiakasta tämän ilmoitusvelvollisuuksien täyttämisessä.

11. Auditointi

Smove antaa asiakkaalle tämän velvoitteiden osoittamiseksi tarvittavat tiedot ja sallii asiakkaan tai tämän valtuuttaman, salassapitoon sitoutuneen tarkastajan tekemät auditoinnit. Auditointi tehdään kohtuullisin ehdoin ja siitä ilmoitetaan etukäteen, pääsääntöisesti enintään kerran vuodessa, ellei tietosuojalainsäädäntö tai viranomainen edellytä useammin. Kumpikin osapuoli vastaa omista auditoinnista aiheutuvista kustannuksistaan.

12. Käsittelyn päättyminen

Palvelusopimuksen päättyessä Smove asiakkaan valinnan mukaan palauttaa tai poistaa henkilötiedot sovitun ajan kuluessa ja poistaa olemassa olevat kopiot, ellei laki edellytä tietojen säilyttämistä.

13. Vastuu ja sovellettava laki

Tähän sopimukseen sovelletaan Suomen lakia. Osapuolten vastuu määräytyy palvelusopimuksen mukaisesti. Erimielisyydet pyritään ratkaisemaan ensisijaisesti neuvottelemalla.