Kuinka Piraja käsittelee tietoja asiakkaidensa puolesta GDPR:n ja globaalien tietosuojalakien mukaisesti.
1. Johdanto
Tämä tietojen käsittelysopimus ("DPA") on osa palveluehtoja Piraja CRM:n ("Käsittelijä", "me", "meitä") ja asiakkaan ("Valvoja", "sinä"), joka käyttää Piraja CRM:n palveluja, välillä.
Tämä DPA koskee niitä tilanteita, joissa käsittelemme henkilötietoja puolestasi palvelujemme tarjoamisen yhteydessä. Tämä DPA on suunniteltu varmistamaan noudattaminen Euroopan unionin yleisen tietosuoja-asetuksen (EU) 2016/679 ("GDPR") 28 artiklan sekä soveltuvien tietosuojalakien vastaavien säännösten mukaisesti.
2. Määritelmät
- Henkilötiedot: Kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön soveltuvan tietosuojalain mukaan.
- Käsittely: Kaikki toimenpiteet, joita suoritetaan henkilötiedoille, mukaan lukien kerääminen, tallentaminen, järjestäminen, strukturointi, säilyttäminen, mukauttaminen, hakeminen, konsultointi, käyttö, paljastaminen, yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.
- Tieto subjekti: Tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, johon henkilötiedot liittyvät.
- Aliprosessori: Mikä tahansa kolmas osapuoli, jota Käsittelijä käyttää henkilötietojen käsittelyyn Valvojan puolesta.
3. Käsittelyn laajuus ja tarkoitus
Käsittelemme henkilötietoja ainoastaan Piraja CRM:n palvelujen tarjoamisen tarkoituksessa, mukaan lukien:
- Asiakassuhteiden hallinta: Yhteystietojen, organisaatioiden ja yksilöiden tallentaminen ja hallinta.
- Viestintä: Sähköpostitietojen käsittely sähköpostilaatikon integraatiomoduulille (Gmail, Outlook).
- Laskutus ja invoicing: Maksu- ja laskutustietojen käsittely Stripe:n kautta.
- Tuki ja tikettijärjestelmä: Tukitietojen ja palvelutapausten hallinta.
- Analytiikka: Yhdistelemät, anonymisoidut käyttöanalyysit palvelun parantamiseksi.
4. Tieto subjekti ja henkilötietojen kategoriat
Tieto subjekti voi sisältää:
- Työntekijäsi ja tiimin jäsenet (käyttäjätilit)
- Asiakkaasi ja kontaktisi (CRM-tiedot)
- Liikekumppanisi ja toimittajasi
Käsiteltyjen henkilötietojen kategoriat:
- Yhteystiedot (nimi, sähköposti, puhelinnumero, osoite)
- Ammatilliset tiedot (työnimike, yritys, osasto)
- Viestintätiedot (sähköpostit, muistiinpanot, aktiviteettikirjanpidot)
- Taloustiedot (laskut, maksureferenssit — korttitietoja käsitellään ainoastaan Stripes:n kautta)
- Teknologiset tiedot (IP-osoitteet, selaininformaatio todennusta varten)
5. Käsittelijän velvoitteet
Meidän tulee:
a) Käsitellä henkilötietoja vain sinun asiakirjoitettuja ohjeitasi noudattaen, ellei soveltuva laki vaadi muuta.
b) Varmistaa, että henkilötietojen käsittelyyn valtuutetut henkilöt ovat sitoutuneet salassapitoon tai ovat lainmukaisen salassapitovelvoitteen alaisia.
c) Toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen turvallisuustason, joka on riittävä riskiin nähden, mukaan lukien:
- Tietojen salaaminen siirron aikana (TLS/HTTPS) ja levossa
- AES-256-GCM-salaus OAuth-tunnuksille
- Rivitasoturvallisuus (RLS) tietokantatauluissa
- Säännölliset turvallisuusarvioinnit ja auditoinnit
- Pääsyvalvonta ja todennus Supabase Authin kautta
d) Älä käytä toista käsittelijää ilman ennakkokirjallista valtuutustasi. Pidämme yllä hyväksyttyjen aliprosessorien luetteloa (katso kohta 8).
e) Avustaa sinua vastaamaan tieto subjekti -pyyntöihin (pääsy, oikaisu, poistaminen, siirrettävyys, rajoittaminen ja vastustaminen).
f) Avustaa sinua varmistamaan noudattamisesi velvoitteet turvallisuuden, tietoturvaloukkauksen ilmoittamisen, tietosuojavaikutusten arviointien ja ennakkokonsultoinnin osalta.
g) Valintasi mukaan poistaa tai palauttaa kaikki henkilötiedot palvelujen päättymisen jälkeen ja poistaa olemassa olevat kopiot, ellei laki vaadi säilyttämistä.
h) Antaa sinulle kaikki tiedot, jotka ovat tarpeen tämän DPA:n noudattamisen osoittamiseksi ja mahdollistaa ja osallistua auditointeihin.
6. Valvojan velvoitteet
Sinun tulee:
a) Varmistaa, että palvelujemme käyttösi ja ohjeesi meille noudattavat soveltuvia tietosuojalakeja.
b) Olla hankkinut kaikki tarvittavat suostumukset ja oikeudelliset perusteet henkilötietojen käsittelyyn, jotka jaat kanssamme.
c) Ilmoittaa meille viipymättä kaikista tieto subjekti -pyynnöistä, jotka vaativat apuamme.
7. Tietoturvaloukkauksen ilmoittaminen
Ilmoitamme sinulle ilman aiheetonta viivytystä (ja joka tapauksessa 72 tunnin kuluessa) siitä, kun olemme tulleet tietoisiksi henkilötietojen loukkauksesta. Ilmoitus sisältää:
- Kuvaus loukkauksen luonteesta
- Tieto subjekti -kategorioiden ja arvioidun määrän henkilötietorekistereistä, joita loukkaus koskee
- Loukkauksen todennäköiset seuraukset
- Toimenpiteet, jotka on toteutettu tai ehdotettu loukkauksen käsittelemiseksi
8. Aliprosessorit
Käytämme seuraavia aliprosessoreita palvelujemme toimittamiseen:
| Aliprosessori | Tarkoitus | Sijainti |
|---|---|---|
| Supabase (Supabase Inc.) | Tietokannan isännöinti, todennus, tiedostojen tallennus | Yhdysvallat (AWS) |
| Stripe (Stripe Inc.) | Maksujen käsittely, laskutus, invoicing | Yhdysvallat |
| Vercel (Vercel Inc.) | Sovelluksen isännöinti, reunaverkko, palvelimettomat toiminnot | Globaali (reunaverkko) |
| Resend (Resend Inc.) | Transaktioviestien toimitus | Yhdysvallat |
| OpenAI (OpenAI LLC) | AI-pohjaiset ominaisuudet (Aiden avustaja) | Yhdysvallat |
| Google (Google LLC) | Gmail-integraatio, Google Kalenteri, Analytiikka | Yhdysvallat |
| Microsoft (Microsoft Corp.) | Outlook/Microsoft 365 -integraatio | Yhdysvallat |
Ilmoitamme sinulle kaikista suunnitelluista muutoksista aliprosessoreihin, antaen sinulle kohtuullisen mahdollisuuden vastustaa.
9. Kansainväliset tietosiirrot
Kun henkilötietoja siirretään Euroopan talousalueen (ETA) ulkopuolelle, varmistamme, että asianmukaiset suojatoimet ovat paikallaan, mukaan lukien:
- Euroopan komission hyväksymät standardisopimuslausekkeet (SCC)
- Asianmukaisuuspäätökset, jos sovellettavissa
- Lisätoimenpiteet tarpeen mukaan
Pääasialliset aliprosessorimme ylläpitävät omia tietosiirtomekanismejaan ja sertifikaattejaan.
10. Tietojen säilyttäminen ja poistaminen
- Säilytämme henkilötietoja vain niin kauan kuin on tarpeen palvelujemme tarjoamiseksi.
- Voit määrittää tietojen säilytysaikoja sovelluksen asetuksissa.
- Automaattinen tietojen puhdistus suoritetaan määritettävissä aikatauluissa.
- Palvelujen päättymisen jälkeen poistamme tietosi 30 päivän kuluessa, ellei laki vaadi niiden säilyttämistä.
- Voit pyytää tietojen vientiä milloin tahansa sovelluksen kautta.
11. Auditointioikeudet
Sinulla on oikeus auditoida DPA:n noudattamistamme. Auditoinnit tulee:
- Suorittaa kohtuullisella ennakkoilmoituksella (vähintään 30 päivää)
- Rajoittaa yhteen vuodessa, ellei tietoturvaloukkausta ole tapahtunut
- Suorittaa normaalin liiketoiminta-ajan aikana
- Valvojan kustannuksella
Voimme täyttää auditointipyyntöjä tarjoamalla asiaankuuluvia sertifikaatteja, auditointiraportteja tai muita asiakirjoja.
12. Vastuu
Kummankin osapuolen vastuu tämän DPA:n mukaan on rajoitettu palveluehdoissa määriteltyjen rajoitusten ja poikkeusten mukaisesti.
13. Kesto ja päättäminen
Tämä DPA pysyy voimassa niin kauan kuin käsittelemme henkilötietoja puolestasi. Se päättyy automaattisesti, kun emme enää käsittele henkilötietoja puolestasi.
Säännökset, jotka luonteensa vuoksi tulisi selvitä päättymisestä (mukaan lukien tietojen poistovelvoitteet, salassapito ja vastuu), pysyvät voimassa.
14. Sovellettava laki
Tätä DPA:ta säätelee sama laki, joka säätelee palveluehtoja, ilman että se vaikuttaa pakollisiin tietosuojalakien säännöksiin, jotka voivat olla voimassa.
15. Yhteystiedot
Kysymyksissä tämän DPA:n tai oikeuksiesi käyttämisen osalta ota meihin yhteyttä:
Sähköposti: support@piraja.io