Henkilötietojen käsittelysopimus
Tämä DPA määrittää, miten ZORC AB käsittelee henkilötietoja puolestasi käyttäessäsi sSystm:ää. Se heijastaa BYOC-arkkitehtuuria: liiketoimintatietojesi osalta olet rekisterinpitäjä ja tiedot pysyvät omassa pilvessäsi.
Viimeksi päivitetty:
01Roolit ja BYOC-malli
Tämä henkilötietojen käsittelysopimus ("DPA") on osa käyttöehtoja sinun ("Rekisterinpitäjä") ja ZORC AB:n, Y-tunnus 559481-8857, Ruotsi ("Käsittelijä") välillä, ja koskee tilanteita, joissa Käsittelijä käsittelee henkilötietoja Rekisterinpitäjän puolesta GDPR:n artiklan 28 mukaisesti.
Toisin kuin tyypillisessä SaaS-DPA:ssa, sSystm ei säilytä liiketoimintatietojasi keskitetyssä tietokannassa. Workspace-tietosi ovat omassa tietokannassasi omalla Cloudflare-tililläsi. Olet rekisterinpitäjä ja infrastruktuurin haltija; sSystm käsittelee näitä tietoja vain rajoitetun, peruutettavan, OAuth-rajatun pääsyn kautta. Cloudflare on ali-käsittelijä / infrastruktuuritoimittaja.
02Kohde, luonne ja tarkoitus
- Kohde: sSystm-alustan ja käyttöösi ottamiesi moduulien tarjoaminen.
- Kesto: niin kauan kuin sSystm:llä on pääsy Cloudflare-tiliisi, kunnes peruutat OAuth-valtuutuksen tai irtisanot.
- Luonne ja tarkoitus: workspace-tietojen hosting, jäsentäminen, haku ja käyttö ohjeidesi mukaan, mukaan lukien aloittamasi tai hyväksymäsi tekoälyavusteiset toimet.
- Henkilötietotyypit: mitä valitset tallentaa — tyypillisesti liiketoimintayhteystiedot, projekti- ja asiakirjatiedot, kalenteritiedot.
- Rekisteröidyt: asiakkaasi, yhteystietosi, henkilökuntasi ja muut, joiden tietoja syötät.
03Käsittely ohjeiden mukaan
Käsittelijä käsittelee henkilötietoja vain Rekisterinpitäjän dokumentoitujen ohjeiden mukaan — mukaan lukien alustan ominaisuuksiin ja toimiisi sisältyvät ohjeet — ellei laki vaadi toisin, jolloin se ilmoittaa sinulle, ellei laki sitä kiellä. Käsittelyyn valtuutettu henkilöstö on sidottu salassapitovelvollisuuteen.
04BYOC dataminimointina
BYOC-arkkitehtuuri on itsessään tietosuojakontrolli. Koska liiketoimintatietosi ovat fyysisesti omalla Cloudflare-tililläsi eivätkä keskitetyssä sSystm-varastossa, Käsittelijän altistuminen tiedoillesi on suunniteltu minimaaliseksi, ja säilytät suoran, riippumattoman hallinnan infrastruktuurista ja mahdollisuuden katkaista pääsy milloin tahansa.
05Turvatoimet
Käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimet, mukaan lukien:
- Vähimmäisoikeudet — pääsy hienojakoisten Cloudflare OAuth-scopejen kautta, kukin riskimerkitty.
- Salatut tunnistetiedot — Cloudflare-pääsytokenit salattu levossa AES-256-GCM:llä ja satunnaisella IV:llä per token.
- Vuokralaiseristys — jokaisen organisaation tiedot omassa tietokannassaan omalla tilillään; kyselyt ja nimiavaruudet eristetty organisaatiokohtaisesti.
- Salasanaton tunnistautuminen — kirjautuminen vain Cloudflare OAuth:n kautta.
- EU-toimivaltavalinta — voit kiinnittää tietokannan EU-toimivaltaan Cloudflaren D1-takuun kautta.
- Ihminen hallinnassa — tekoälyn ehdottamat infrastruktuuritoimet, jotka eivät ole todistetusti vain luku -tilassa, odottavat ihmisen hyväksyntää.
06Ali-käsittelijät
Rekisterinpitäjä valtuuttaa Käsittelijän käyttämään ali-käsittelijäluettelossamme listattuja ali-käsittelijöitä — tällä hetkellä Cloudflare (infrastruktuuri/hosting/tekoäly), Resend (sähköposti) ja Anthropic (sisäänrakennetun tekoälyn Claude-mallit Cloudflaren AI Gatewayn kautta). Käsittelijä asettaa jokaiselle ali-käsittelijälle vähintään yhtä suojaavat velvoitteet kuin tässä DPA:ssa, kohtuullisella ennakkoilmoituksella lisäyksistä tai korvauksista.
07Kansainväliset siirrot
Kun henkilötietoja siirretään ETA-alueen ulkopuolelle, osapuolet turvautuvat GDPR:n luvun V asianmukaisiin takeisiin, mukaan lukien Euroopan komission vakiomuotoiset sopimuslausekkeet (SCC). EU-toimivallan valinta kirjautuessa pitää tietokantasi EU-infrastruktuurissa.
08Tietomurtoilmoitus
Käsittelijä ilmoittaa Rekisterinpitäjälle viipymättä saatuaan tiedon henkilötietomurrosta, joka vaikuttaa sen Rekisterinpitäjän puolesta käsittelemiin tietoihin, ja toimittaa tiedot, joita Rekisterinpitäjä tarvitsee artiklojen 33–34 GDPR velvoitteisiinsa. Vuokralaiseristyksen vuoksi tapaus on rakennetusti rajoitettu yhteen vuokralaiseen.
09Avustus ja auditointi
Käsittelyn luonteen huomioon ottaen Käsittelijä avustaa Rekisterinpitäjää rekisteröityjen pyynnöissä ja artiklojen 32–36 GDPR velvoitteissa. Se toimittaa tiedot, joita kohtuudella tarvitaan artiklan 28 noudattamisen osoittamiseen, ja sallii auditoinnit kohtuullisella ennakkoilmoituksella ja luottamuksellisuudella.
10Palautus ja poisto
Koska liiketoimintatietosi ovat omalla Cloudflare-tililläsi, suhteen päättyminen ei vaadi Käsittelijän «palauttavan» tietojasi — ne eivät koskaan poistuneet tililtäsi. OAuth-valtuutuksen peruutus sulkee Käsittelijän ulos; tietokanta ja sisältö pysyvät luonasi.
Irtisanomisen yhteydessä Käsittelijä poistaa tai palauttaa rajoitetut keskustiedot (identiteetti, jäsenyys, metadata) tietosuojakäytännön mukaisesti, paitsi jos laki vaatii säilytystä.
11Voimassaolo ja etusija
Tämä DPA on voimassa niin kauan kuin Ehdot ja niin kauan kuin Käsittelijällä on pääsy tiliisi. Tietosuoja-asioissa ristiriitatilanteessa tämä DPA on etusijalla Ehtoihin nähden. Jos tarvitset vastaalle allekirjoitetun DPA:n tai SCC:t erillisenä asiakirjana, ota yhteyttä support@ssystm.com.