Viimeisin päivitys: 14. maaliskuuta 2026
1. Johdanto
Tämä tietojenkäsittelysopimus ("DPA") on osa Aihio AI:n käyttöehtoja ja sitoo rekisterinpitäjää ("Asiakas") ja henkilötietojen käsittelijää ("Aihio AI"). Sopimus koskee henkilötietojen käsittelyä, jota Aihio AI suorittaa Asiakkaan puolesta chatbot-palvelun yhteydessä.
2. Määritelmät
Tässä sopimuksessa käytetään EU:n yleisen tietosuoja-asetuksen (GDPR, 2016/679) mukaisia määritelmiä:
- "Henkilötieto" tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja.
- "Käsittely" tarkoittaa kaikkia henkilötietoihin kohdistuvia toimintoja, kuten keräämistä, tallentamista, käyttöä ja poistamista.
- "Rekisterinpitäjä" tarkoittaa Asiakasta, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
- "Henkilötietojen käsittelijä" tarkoittaa Aihio AI:ta, joka käsittelee henkilötietoja Rekisterinpitäjän puolesta.
3. Käsittelyn kohde ja laajuus
Aihio AI käsittelee henkilötietoja seuraavissa tarkoituksissa:
- Chatbot-keskustelujen käsittely ja tallennus
- Tietopohjan materiaalien indeksointi ja haku (RAG)
- Käyttöanalytiikka ja raportit
- Käyttäjätilien ja tiimien hallinta
4. Käsiteltävät henkilötiedot
Käsiteltävät henkilötietotyypit voivat sisältää:
- Loppukäyttäjien chat-viestit ja niihin liittyvät metatiedot (aikaleimat, istuntotunnisteet)
- Asiakkaan chatbotille syöttämä materiaali, joka voi sisältää henkilötietoja
- Asiakkaan hallintapaneelin käyttäjätiedot (nimi, sähköposti, rooli)
5. Käsittelijän velvollisuudet
Aihio AI sitoutuu seuraaviin velvollisuuksiin:
- Käsittelee henkilötietoja ainoastaan Asiakkaan dokumentoitujen ohjeiden mukaisesti
- Varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitovelvollisuuteen
- Toteuttaa asianmukaiset tekniset ja organisatoriset suojatoimet (GDPR art. 32)
- Avustaa Asiakasta rekisteröityjen oikeuksia koskevien pyyntöjen täyttämisessä
- Poistaa tai palauttaa kaikki henkilötiedot palvelun päättyessä Asiakkaan valinnan mukaisesti
- Antaa Asiakkaan käyttöön tiedot, jotka ovat tarpeen GDPR-vaatimusten noudattamisen osoittamiseksi
6. Alikäsittelijät
Aihio AI käyttää seuraavia alikäsittelijöitä palvelun tuottamisessa:
- Supabase (EU West, Irlanti): Tietokanta, käyttäjähallinta ja tiedostojen tallennus
- Vercel (EU-alue): Sovelluksen hosting ja CDN
- OpenAI / Google / xAI / DeepSeek: Kielimallien rajapinnat chat-vastausten generoimiseen
- Stripe: Maksujen käsittely (ei tallenna chat-dataa)
Ilmoitamme alikäsittelijöiden muutoksista Asiakkaalle etukäteen. Asiakkaalla on oikeus vastustaa muutosta.
7. Tietojen siirrot
Kaikki henkilötiedot säilytetään ensisijaisesti EU:n alueella (Irlanti). Jos tietoja siirretään EU:n/ETA:n ulkopuolelle (esim. kielimallirajapinnat), varmistamme asianmukaiset suojatoimet EU:n hyväksymien vakiosopimuslausekkeiden (SCC) mukaisesti.
8. Tietoturvatoimenpiteet
Aihio AI toteuttaa seuraavat tekniset ja organisatoriset suojatoimenpiteet:
- Tietojen salaus siirron aikana (TLS 1.2+) ja levossa (AES-256)
- Rivitason tietoturva (RLS) tietokantatasolla — asiakkaat eivät pääse toistensa tietoihin
- Roolipohjainen pääsynhallinta (RBAC) tiimitasolla
- Säännölliset tietoturvapäivitykset ja haavoittuvuustarkistukset
- Lokitus ja valvonta poikkeavuuksien havaitsemiseksi
9. Tietoturvaloukkaukset
Aihio AI ilmoittaa Asiakkaalle tietoturvaloukkauksesta ilman aiheetonta viivytystä, viimeistään 48 tunnin kuluessa loukkauksen havaitsemisesta. Ilmoitus sisältää kuvauksen loukkauksesta, sen todennäköisistä seurauksista ja toteutetuista korjaavista toimenpiteistä.
10. Rekisteröityjen oikeudet
Aihio AI avustaa Asiakasta rekisteröityjen seuraavien oikeuksien toteuttamisessa:
- Oikeus saada pääsy omiin tietoihinsa
- Oikeus tietojen oikaisemiseen
- Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi")
- Oikeus käsittelyn rajoittamiseen
- Oikeus tietojen siirrettävyyteen
11. Sopimuksen kesto ja päättyminen
Tämä DPA on voimassa niin kauan kuin Aihio AI käsittelee henkilötietoja Asiakkaan puolesta. Palvelun päättyessä Aihio AI poistaa kaikki henkilötiedot 30 päivän kuluessa, lukuun ottamatta lokitietoja, joita säilytetään enintään 90 päivää tietoturvasyistä, varmuuskopioita, joita tarvitaan palautumiseen, sekä tietoja, joiden säilyttämistä lainsäädäntö edellyttää. Tällaisiin tietoihin sovelletaan edelleen tämän sopimuksen salassapito- ja turvallisuusvelvoitteita.