Audio ei tallennu. DPA jokaiselle. SCC siirtoihin.

1. Tekninen tietoturva

• Audio ei tallennu: puheluiden ääntä ei tallenneta pysyvästi, käsittely tapahtuu reaaliaikaisesti ja audio poistuu käsittelyn jälkeen.
• Palvelinsijainti: EU-reititys ensisijaisena; siirrot EU:n ulkopuolelle tapahtuvat vain SCC-vakiolausekkeilla ja Schrems II -arvioinnilla.
• Salaus levossa: tekstiyhteenvedot ja metatiedot salataan alan vakiokäytäntöjen mukaisesti.
• Salaus siirrossa: TLS kaikille yhteyksille, HSTS-preload käytössä.
• Pääsyvalvonta: 2-vaiheinen autentikointi kaikille Umas Oy:n työntekijöille; pääsy rajattu nimenomaisesti tarvitseville henkilöille.
• Lokitus: kaikki pääsyt tietoihin lokitetaan; asiakas saa pyynnöstä pääsylokit.
• Varmuuskopiot: salattu, automaattinen rotaatio EU-alueella.

2. Lainsäädäntö

Noudatamme seuraavia säädöksiä:

• EU 2016/679 (GDPR), yleinen tietosuoja-asetus, sovellettava kaikkiin henkilötietoihin.
• Tietosuojalaki 1050/2018, Suomen kansallinen tietosuojalaki.
• Laki sähköisen viestinnän palveluista 917/2014, luottamuksellinen viestintä ja viestintäpalveluiden tietosuoja.
• EU AI Act (2024/1689), tekoälyasetus, vaiheittain voimaan 2025–2027.
• Viestinnän tietosuojadirektiivi 2002/58/EY (ePrivacy), sähköiseen viestintään liittyvät erityissäännöt.

3. Tietojen käsittelysopimus (DPA)

Jokainen Umasvoice-sopimus sisältää henkilötietojen käsittelysopimuksen (Data Processing Agreement, DPA). Sinä olet rekisterinpitäjä, Umas Oy on käsittelijä. Sopimus on kirjallinen, suomenkielinen, ja se kattaa:

1. Käsittelyn tarkoitus, kesto ja tyyppi.
2. Henkilötietoryhmät (yleensä puhelinnumerot, nimet, puhesisältö).
3. Alikäsittelijät nimettynä (konesali, puhesynteesi, puheentunnistus, kielimalli, SIP-operaattori) + niiden sijainnit, koko lista DPA:n liitteessä, ei julkisesti sivustolla.
4. Turvatoimet (tekniset + organisatoriset).
5. Rekisteröityjen oikeuksien toteuttaminen (pääsy, oikaisu, poisto, siirto).
6. Tietomurtoilmoitusmenettely (72h GDPR art. 33).
7. Auditointi- ja tarkastusoikeudet.
8. Sopimuksen päättymiseen liittyvät toimenpiteet (tietojen palautus tai poisto).

Haluatko nähdä DPA-mallin ennen tilausta? Lähetä sähköposti info@umasity.com, toimitamme sen muutaman arkipäivän sisällä.

4. EU AI Act -läpinäkyvyys

Umasvoice kuuluu EU:n tekoälyasetuksen (2024/1689) artiklan 50 läpinäkyvyysvaatimusten piiriin: soittajalle kerrotaan puhelun alussa selkeästi, että vastaajana toimii tekoäly. Palvelu ei ole artiklan 6 mukainen korkean riskin järjestelmä eikä käsittele biometrisia tunnisteita, tunnepäättelyä reaaliajassa tai sosiaalista pisteytystä. Umasvoicen oletusarvoinen alkuviesti:

"Tervetuloa. Puhelusi käsitellään tekoälyn avulla. Miten voin auttaa?"

Teksti on muokattavissa käyttöönoton yhteydessä, mutta läpinäkyvyyselementin tulee säilyä. Vaikutustenarviointi (DPIA, GDPR art. 35) toteutetaan yhdessä asiakkaan kanssa ennen palvelun tuotantokäyttöä silloin kun käsittelytarve sitä edellyttää. Emme käytä palvelua EU AI Actin kieltämiin tarkoituksiin, erityisesti biometriseen tunnistamiseen, sosiaaliseen pisteytykseen tai reaaliaikaiseen tunteiden tunnistamiseen.

5. Rekisteröidyn oikeudet

Soittaja (sinun asiakkaasi) on GDPR:n mukaan rekisteröity, jolla on seuraavat oikeudet:

• Pääsy omiin tietoihin (art. 15), kuka tahansa voi pyytää kopion omista säilytetyistä tiedoistaan (tekstiyhteenveto + metatiedot).
• Oikaisu (art. 16), virheelliset tiedot on korjattava.
• Poisto (art. 17), säilytetyt tiedot on poistettava pyynnöstä, ellei lainmukaista perustetta säilytykselle ole.
• Käsittelyn rajoitus (art. 18).
• Tietojen siirto (art. 20), jäsennellyssä muodossa.
• Vastustamisoikeus (art. 21).

Kaikki pyynnöt käsitellään 30 päivän sisällä. Tukitiimi osoitteessa info@umasity.com.