Hyppää sisältöön
Varaa 15 min demo

Lakimateriaali

Tietojenkäsittelysopimus (DPA)

Päivitetty 3.5.2026

GDPR artiklan 28 mukainen sopimus, joka allekirjoitetaan osana jokaista Umasvoice-tilaussopimusta. Voit lukea mallipohjan tässä ja pyytää allekirjoitettavan PDF-version sähköpostitse ennen tilausta.

1. Sopimuksen tarkoitus ja osapuolet

Rekisterinpitäjä: asiakasyritys (sinä).
Käsittelijä: Umas Oy (Y-tunnus 3604932-4).

Tämä DPA täydentää Umasvoicen käyttöehtoja siltä osin kuin käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Jos tämän sopimuksen ja käyttöehtojen välillä on ristiriita tietosuoja-asioissa, sovelletaan tätä sopimusta.

2. Käsittelyn kohde, kesto ja luonne

  • Kohde: rekisterinpitäjän asiakkaiden puhelimitse välittämät tiedot.
  • Kesto: tilaussopimuksen voimassaolon ajan + enintään 90 vrk sopimuksen päättymisen jälkeen (poisto tai anonymisointi).
  • Tyyppi: vastaanotto, automaattinen reaaliaikainen käsittely (ASR/LLM/TTS), transkriptio, välitys rekisterinpitäjälle, poisto. Puheluaudiota ei tallenneta käsittelijälle eikä sen alikäsittelijöille pysyvästi.
  • Tarkoitus: puheluiden hoitaminen rekisterinpitäjän puolesta, ajanvarausten tekeminen, yhteenvedot.

3. Henkilötietoryhmät ja rekisteröidyt

  • Rekisteröidyt: rekisterinpitäjän asiakkaat ja potentiaaliset asiakkaat jotka soittavat numeroon.
  • Henkilötietoryhmät: nimi, puhelinnumero, osoite (tarvittaessa), tekstimuotoinen transkriptio ja rakenteellinen metadata (aika, kesto, kategoria). Puheluaudiota ei tallenneta.
  • Erityisiin tietoryhmiin (GDPR art. 9) kuuluvia tietoja ei kerätä tarkoituksella. Jos soittaja niitä oma-aloitteisesti kertoo, ne poistetaan transkriptiosta käsittelyn aikana.

4. Käsittelijän velvollisuudet (Art. 28.3)

  1. Käsittelee henkilötietoja vain dokumentoiduin rekisterinpitäjän ohjein.
  2. Varmistaa, että käsittelijän henkilöstö on salassapitovelvollinen.
  3. Toteuttaa Art. 32 mukaiset tekniset ja organisatoriset turvatoimet (salaus siirrossa ja levossa alan vakiokäytäntöjen mukaisesti, 2-vaiheinen autentikointi, pääsyloki, EU-reititys ensisijaisena; siirrot EU:n ulkopuolelle SCC-vakiolausekkeilla).
  4. Ei käytä alikäsittelijöitä ilman tässä sopimuksessa sovittua menettelyä (ks. §5).
  5. Auttaa rekisterinpitäjää vastaamaan rekisteröityjen pyyntöihin (Art. 12–23).
  6. Auttaa Art. 32–36 velvoitteiden täyttämisessä (tietoturvaloukkaus, DPIA, neuvonta).
  7. Palauttaa tai poistaa kaikki henkilötiedot käsittelyn päätyttyä rekisterinpitäjän valinnan mukaan.
  8. Asettaa rekisterinpitäjän saataville kaikki tarvittavat tiedot säädettyjen velvoitteiden noudattamisen osoittamiseksi ja mahdollistaa auditoinnit.
  9. AI-läpinäkyvyys (EU AI Act art. 50): käsittelijä on ohjelmoinut Umasvoice-palvelun ilmoittamaan soittajalle puhelun alussa, että hän on yhteydessä tekoälyavustajan kanssa. Rekisterinpitäjä sitoutuu olemaan poistamatta tätä ilmoitusta tai muuten estämättä sen toimintaa.

5. Alikäsittelijät

Käsittelijä käyttää alikäsittelijöitä, jotka on lueteltu ajantasaisesti tietosuojaselosteessa. Rekisterinpitäjä antaa yleisen suostumuksensa näille alikäsittelijöille tämän sopimuksen allekirjoittamisella. Käsittelijä ilmoittaa sähköpostitse vähintään 30 päivää etukäteen ennen uuden alikäsittelijän lisäämistä tai nykyisen korvaamista. Rekisterinpitäjällä on oikeus vastustaa muutosta perustellusta syystä, jolloin osapuolet neuvottelevat ratkaisun tai sopimus voidaan irtisanoa.

6. Auditointioikeus

Rekisterinpitäjällä on oikeus auditoida käsittelijän henkilötietojen käsittelyä kerran vuodessa kustannuksellaan kohtuullisella ennakkoilmoituksella (30 päivää). Auditointi voidaan toteuttaa kirjallisena kyselynä, etänä tai (käsittelijän suostumuksella) paikan päällä. Käsittelijä toimittaa pyynnöstä ajantasaiset tietoturvaraportit ja itsearvioinnit.

7. Tietoturvaloukkaus (Art. 33)

Käsittelijä ilmoittaa rekisterinpitäjälle tietoturvaloukkauksesta ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa loukkauksen havaitsemisesta. Ilmoitus sisältää loukkauksen luonteen, arvioidut vaikutukset ja tehdyt tai ehdotetut korjaustoimenpiteet.

8. Tietojen palautus ja poisto

Sopimuksen päätyttyä käsittelijä poistaa tai palauttaa rekisterinpitäjän valinnan mukaan kaikki henkilötiedot 90 vuorokauden sisällä. Tämän jälkeen varmuuskopioista tiedot häviävät rotaation mukaisesti enintään 35 päivän sisällä.

9. Palvelutaso (SLA)

Umasvoice tavoittelee 99,5 %:n käytettävyyttä kuukaudessa pois lukien ennalta ilmoitetut huoltokatkot. Käytettävyys lasketaan kalenterikuukauden kokonaisajan suhteena, jonka palvelu on saatavilla soittajille. Jos käytettävyys alittaa 99,5 %, rekisterinpitäjä on oikeutettu kuukausimaksun palautukseen kohtuullisessa suhteessa alitukseen, yksityiskohdat kirjataan allekirjoitettavaan sopimukseen.

10. Sovellettava laki ja jurisdiktio

Tähän sopimukseen sovelletaan Suomen lakia ja EU:n yleistä tietosuoja-asetusta (2016/679). Riidat käsitellään Espoon käräjäoikeudessa.

11. Allekirjoitettava versio

Allekirjoitettava DPA-malli PDF-muodossa toimitetaan pyynnöstä. Yhteydenotot: info@umasity.com. Sopimus allekirjoitetaan kummankin osapuolen puolesta ennen palvelun tuotantokäyttöön ottamista.