Tietojenkäsittelysopimus (DPA)
EU:n yleisen tietosuoja-asetuksen (GDPR) artikla 28 mukainen tietojenkäsittelysopimus Attiren (Käsittelijä) ja asiakkaan (Rekisterinpitäjä) välillä. Tämä sivu vastaa allekirjoitettavaa sopimuspohjaa — pyydä virallinen, allekirjoitettava versio osoitteesta tietosuoja@attire.fi.
Vihje: Selaimen Tulosta-toiminnolla (Ctrl+P / Cmd+P) saat tästä PDF-version offline-käyttöön.
1. Sopimuksen kohde ja kesto
Tämä sopimus määrittelee ehdot henkilötietojen käsittelylle, jonka Käsittelijä suorittaa Rekisterinpitäjän puolesta Attire-palvelua käytettäessä. Sopimus on voimassa Attire-palvelun käyttösopimuksen voimassaoloajan ja kunnes kaikki Rekisterinpitäjän henkilötiedot on palautettu tai poistettu palvelusta.
2. Käsittelyn luonne ja tarkoitus
Käsittelijä käsittelee Rekisterinpitäjän puolesta sellaisia henkilötietoja, jotka Rekisterinpitäjä tallentaa Attire-palveluun käyttäessään sitä kalustonsa ja raporttiensa hallintaan. Käsittelyn tarkoituksena on Attire-palvelun tarjoaminen sovittujen ehtojen mukaisesti.
3. Henkilötietojen tyypit ja rekisteröityjen ryhmät
Käsittelyn kohteena ovat tyypillisesti seuraavat henkilötiedot:
- Rekisterinpitäjän käyttäjien yhteystiedot (nimi, sähköposti, puhelin, käyttäjätunnus)
- Asiakas- ja yritystiedot (yrityksen nimi, Y-tunnus, yhteyshenkilöt)
- Ajoneuvotiedot (rekisterinumero, VIN, omistajatiedot)
- Raportteihin liittyvät tiedot, kuten korjaamon työntekijän nimi tai asiakkaan allekirjoitus
- Käyttölokit (IP-osoite, toiminta-aika, suoritetut toimenpiteet)
Rekisteröityjen ryhmät:
- Rekisterinpitäjän työntekijät ja heidän alihankkijansa
- Rekisterinpitäjän asiakkaiden yhteyshenkilöt
- Ajoneuvojen omistajat ja kuljettajat
4. Käsittelijän velvollisuudet
Käsittelijä sitoutuu:
- käsittelemään henkilötietoja ainoastaan Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, mukaan lukien näiden ehtojen mukaisesti
- varmistamaan, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet luottamuksellisuuteen
- toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet (kuvattu kohdassa 8)
- avustamaan Rekisterinpitäjää rekisteröidyn oikeuksien toteuttamisessa
- avustamaan Rekisterinpitäjää tietoturvaloukkausten ilmoittamisessa ja vaikutusten arvioinnissa
- ilmoittamaan Rekisterinpitäjälle tietoturvaloukkauksesta ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa havaitsemisesta
- sopimuksen päättyessä palauttamaan tai poistamaan kaikki henkilötiedot Rekisterinpitäjän valinnan mukaan
5. Rekisterinpitäjän velvollisuudet
Rekisterinpitäjä:
- vastaa siitä, että sillä on lainmukainen peruste tietojen tallentamiseen ja käsittelyyn Attire-palvelussa
- vastaa siitä, että sen omat rekisteröidyt on informoitu käsittelystä
- antaa ohjeet Käsittelijälle siitä, miten tietoja käsitellään tilausten päättyessä
6. Alikäsittelijät
Rekisterinpitäjä antaa Käsittelijälle yleisen valtuutuksen käyttää seuraavia alikäsittelijöitä Attire-palvelun toiminnan turvaamiseksi:
- Google Cloud (Google Ireland Limited) — palvelinkapasiteetti, tietokanta ja tiedostojen tallennus EU-alueella (europe-west3, Frankfurt)
- Stripe (Stripe Payments Europe Ltd. / Stripe Inc.) — maksunvälitys ja tilauslaskutus
- Plausible Analytics (Plausible Insights OÜ) — anonymisoitu kävijäanalytiikka
- Sähköpostipalvelun tarjoaja — transaktioviestien lähetys (esim. ilmoitukset)
Käsittelijä ilmoittaa Rekisterinpitäjälle uusista alikäsittelijöistä tai muutoksista vähintään 30 vuorokautta etukäteen. Rekisterinpitäjällä on oikeus vastustaa muutosta. Mikäli vastalauseen perusteella ei päästä yhteisymmärrykseen, kumpi tahansa osapuoli voi irtisanoa tilauksen ilman irtisanomisaikaa.
7. Siirrot EU/ETA-alueen ulkopuolelle
Henkilötiedot säilytetään ja niitä käsitellään pääsääntöisesti EU/ETA-alueella. Stripe Inc.:n osalta osa maksuliikennetiedoista voidaan siirtää Yhdysvaltoihin. Siirrot suoritetaan EU komission hyväksymien vakiosopimuslausekkeiden (SCC) nojalla.
8. Tekniset ja organisatoriset toimenpiteet
- Verkkoliikenne salataan TLS 1.2+ -protokollalla
- Tietokannat säilytetään salatuissa Google Cloud -volyymeissä (data-at-rest -salaus)
- Pääsynhallinta perustuu rooleihin, vähimmäisoikeuksiin ja monivaiheiseen tunnistautumiseen ylläpitäjille
- Tuotantoavaimet ja salaisuudet säilytetään Google Secret Managerissa
- Säännölliset varmuuskopiot pidetään EU-alueella; palautustestaus suoritetaan vähintään vuosittain
- Kaikki olennaiset järjestelmämuutokset lokitetaan ja säilytetään 12 kuukautta
- Ohjelmistokoodi ja konfiguraatiot pidetään versionhallinnassa; kriittiset muutokset edellyttävät katselmointia
- Haavoittuvuuspäivitykset toteutetaan riskin mukaisesti, kriittiset ilman aiheetonta viivytystä
9. Tarkastusoikeus
Rekisterinpitäjällä on oikeus tarkastaa Käsittelijän tietosuojakäytäntöjen noudattaminen kerran kalenterivuodessa. Tarkastus tehdään ensisijaisesti Käsittelijän toimittaman tarkastusraportin tai sertifikaattidokumentaation perusteella. Mikäli paikan päällä tehtävä tarkastus on välttämätön, siitä sovitaan vähintään 30 vuorokautta etukäteen ja Rekisterinpitäjä vastaa kohtuullisista tarkastuksen kustannuksista.
10. Sopimuksen päättyminen
Sopimuksen päättyessä Käsittelijä palauttaa Rekisterinpitäjälle tai poistaa kaikki henkilötiedot Rekisterinpitäjän valinnan mukaan, ellei lainsäädäntö edellytä tietojen säilyttämistä. Lainsäädännön edellyttämä säilyttäminen (esim. kirjanpitotositteet) jatkuu lakisääteisen ajan, jonka jälkeen tiedot poistetaan.
11. Vastuu ja sopimuksen ehdot
Tähän sopimukseen sovelletaan Attire-palvelun käyttöehtojen vastuunrajoituksia. Mikäli tämän sopimuksen ja käyttöehtojen välillä on ristiriita henkilötietojen käsittelyn osalta, tämä sopimus on etusijalla. Sopimukseen sovelletaan Suomen lakia.
Päivitetty: 29.6.2026.
Käsittelijänä toimii Kinttala Group (Y-tunnus 2933129-2, Salonkyläntie 167, 21140 Rymättylä). Tämä on Attiren vakiopohjainen DPA-versio. Yritysasiakkaille laaditaan pyynnöstä allekirjoitettava versio yritystiedoin täydennettynä. Mukautukset (esim. tarkemmat tekniset toimenpiteet tai laajempi auditointioikeus) ovat mahdollisia Enterprise-tilauksessa.