Tietojenkäsittelysopimus

yleisen tietosuoja-asetuksen (GDPR) 28 artiklan mukaisesti – rekisterinpitäjän ja AX1S / AIGOY:n (käsittelijä) välillä

Tämä on kohteliaisuusvuoksi tehty suomenkielinen käännös. Sitova, allekirjoitettava sopimus on saksankielinen versio (”Auftragsverarbeitungsvertrag”); ristiriitatilanteessa saksankielinen versio on etusijalla. Yllä olevat lataukset sisältävät saksankielisen alkuperäisversion.

Rekisterinpitäjä

[Yritys / Nimi]
[Katuosoite, nro]
[Postinumero, kaupunki], [Maa]
edustajana: [Nimi]
”Rekisterinpitäjä”

Käsittelijä

Thomas Brandt, yksityinen elinkeinonharjoittaja
toiminimellä AX1S / AIGOY
AX1S c/o Clevver, Winterhuder Weg 29
22085 Hamburg, Saksa
”Käsittelijä”

§ 1 Kohde ja kesto

Käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun AIGOY-alustan (AI Governance, Risk & Compliance) tarjoamisen yhteydessä. Kesto vastaa pääsopimusta ja päättyy sen päättyessä.

§ 2 Luonne, laajuus ja tarkoitus

AIGOY-alustan ja sen moduulien (tekoälyinventaario, riskienhallinta, käytäntöjen hallinta, vaatimustenmukaisuusraportointi, hallitusportaali, koulutuskeskus, ilmoituskanava) tarjoaminen sekä Compliance CoWorker ”Felixin” tekoälyavusteinen käytäntöjen ja riskiarviointien valmistelu kaksisilmäisyysperiaatteen mukaisesti. Käsittely tapahtuu yksinomaan palvelujen tarjoamiseksi ja rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti.

§ 3 Tietotyypit ja rekisteröityjen ryhmät

Henkilötietotyypit (tyypilliset):

Perus-/yhteystiedot (nimi, työsähköposti, osasto, rooli)
Todennustiedot (tiivistetty salasana, kirjautumisen aikaleima, istuntotunnus)
Alustan käyttö- ja lokitiedot (sis. tarkastusjäljen)
Koulutus-/osaamistiedot (moduulien edistyminen, todistukset)
Rekisterinpitäjän syöttämät sisältötiedot (esim. käytännöt, riskit, raportit)

Rekisteröityjen ryhmät: rekisterinpitäjän työntekijät, johto ja toimihenkilöt, alustan käyttäjät sekä tarvittaessa kolmannet osapuolet, joiden tietoja rekisterinpitäjä syöttää osana vaatimustenmukaisuusprosessejaan.

Erityiset henkilötietoryhmät (GDPR:n 9 artikla) eivät kuulu tarkoitettuun käyttöön; niiden syöttäminen on yksinomaan rekisterinpitäjän vastuulla ja sitä tulisi välttää.

§ 4 Käsittelijän velvollisuudet

GDPR:n 28 artiklan 3 kohdan mukaisesti käsittelijä sitoutuu erityisesti:

käsittelemään tietoja vain rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti (sis. siirrot kolmansiin maihin, ellei laki sitä edellytä).
varmistamaan, että käsittelyyn valtuutetut henkilöt ovat sitoutuneet salassapitoon.
toteuttamaan GDPR:n 32 artiklan edellyttämät tekniset ja organisatoriset toimenpiteet (liite 1).
noudattamaan ehtoja muiden käsittelijöiden käyttämiselle (28 artiklan 2 ja 4 kohta) (§ 6, liite 2).
avustamaan rekisterinpitäjää rekisteröityjen oikeuksien toteuttamisessa (12–23 artikla).
avustamaan rekisterinpitäjää 32–36 artiklan mukaisissa velvollisuuksissa (turvallisuus, tietoturvaloukkausilmoitukset, DPIA).
poistamaan tai palauttamaan henkilötiedot käsittelyn päätyttyä rekisterinpitäjän valinnan mukaan (§ 10).
toimittamaan näyttöä vaatimustenmukaisuudesta ja sallimaan auditoinnit (§ 9).

§ 5 Tekniset ja organisatoriset toimenpiteet (TOM)

Liitteessä 1 esitetyt TOM:t (GDPR:n 32 artikla) ovat voimassa. Toimenpiteitä voidaan mukauttaa tekniseen kehitykseen edellyttäen, että suojaustasoa ei alenneta.

§ 6 Alikäsittelijät

Rekisterinpitäjä antaa yleisen valtuutuksen liitteessä 2 luetelluille alikäsittelijöille. Käsittelijä tekee niiden kanssa GDPR:n 28 artiklan mukaiset sopimukset, joissa asetetaan vastaavat velvollisuudet. Muutoksista ilmoitetaan etukäteen; rekisterinpitäjä voi vastustaa niitä tärkeillä tietosuojaperusteilla. Kolmansiin maihin tehtäviin siirtoihin sovelletaan asianmukaisia suojatoimia (vakiosopimuslausekkeet GDPR:n 46 artiklan 2 kohdan c alakohdan mukaisesti tai EU:n ja Yhdysvaltojen Data Privacy Framework).

§ 7 Rekisteröityjen oikeudet

Käsittelijä tukee rekisterinpitäjää rekisteröityjen pyyntöihin vastaamisessa ja välittää sille suoraan osoitetut pyynnöt ilman aiheetonta viivytystä.

§ 8 Henkilötietojen tietoturvaloukkausten ilmoittaminen

Käsittelijä ilmoittaa rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan tiedon henkilötietojen tietoturvaloukkauksesta sekä GDPR:n 33 artiklan edellyttämät tiedot, jotta rekisterinpitäjä voi täyttää GDPR:n 33 ja 34 artiklan mukaiset velvollisuutensa.

§ 9 Auditointi- ja näyttöoikeudet

Näyttö toimitetaan ensisijaisesti soveltuvalla dokumentaatiolla (esim. käytetyn infrastruktuurin SOC 2 Type II, auditointiraportit, TOM-dokumentaatio). Tarvittaessa käsittelijä mahdollistaa auditoinnit kohtuullisella varoitusajalla ja ilman suhteetonta häiriötä.

§ 10 Poistaminen ja palauttaminen

Käsittelyn päätyttyä käsittelijä poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjän valinnan mukaan ja tuhoaa kopiot, ellei lakisääteinen säilytysvelvollisuus ole voimassa. Poistaminen vahvistetaan pyynnöstä.

§ 11 Vastuu

Vastuuseen sovelletaan GDPR:n 82 artiklaa ja pääsopimusta.

§ 12 Loppumääräykset

Muutokset edellyttävät tekstimuotoa. Ristiriitatilanteessa tämän sopimuksen tietosuojamääräykset ovat etusijalla pääsopimukseen nähden. Sovelletaan Saksan lakia.

Paikka, päivämäärä – Rekisterinpitäjä
Nimi / tehtävä

Paikka, päivämäärä – Käsittelijä (AX1S / AIGOY)
Thomas Brandt

Liite 1 – Tekniset & organisatoriset toimenpiteet (GDPR:n 32 artikla)

AIGOY kehitetään Saksassa, isännöidään Saksassa ja sitä tuetaan Saksasta.

Tavoite	Toimenpide
Luottamuksellisuus	Salaus siirrossa (TLS 1.2+) ja levossa (AES-256); Row Level Security (RLS); roolipohjainen, vähimmäisoikeuksien pääsy.
Eheys	Vain INSERT-tyyppinen tarkastusjälki; kaksisilmäisyysperiaatteen hyväksyntäcockpit – jokainen Felixin kirjoitustoiminto tulee voimaan vasta hyväksynnän jälkeen.
Saatavuus & vikasietoisuus	Säännölliset varmuuskopiot EU-alueella; vahvistettu infrastruktuuri (Supabase / AWS eu-central-1 Frankfurt, SOC 2 Type II).
Tietojen sijainti	Käsittely/tallennus EU:ssa (Frankfurt/Saksa). Tekoälypäättely: ei koulutusta tiedoilla; EU-päättely (AWS Bedrock Frankfurt) valmisteilla.
Erottelu	Looginen vuokralaiserottelu (tenant_id) toteutettuna RLS:n kautta.
Toimeksiannon valvonta	GDPR:n 28 artiklan DPA:t kaikkien alikäsittelijöiden kanssa; SCC/DPF kolmansiin maihin tehtäviin siirtoihin.

Liite 2 – Hyväksytyt alikäsittelijät

Alikäsittelijä	Sijainti	Palvelu / tarkoitus	Huomautus
IONOS SE	Montabaur, Saksa 🇩🇪	Verkkohosting	GDPR:n 28 artiklan DPA
Supabase Inc.	AWS eu-central-1, Frankfurt 🇩🇪 (EU)	Taustajärjestelmä, tietokanta, todennus, Edge Functions	GDPR:n 28 artiklan DPA; SOC 2 Type II
Anthropic PBC	USA 🇺🇸	Tekoälypalvelu (Claude-malli) analyyseihin / CoWorker Felixiin	Ei koulutusta tiedoilla; SCC + EU-U.S. DPF; GDPR:n 28 artiklan DPA
Stripe Payments Europe, Ltd.	Dublin, Irlanti 🇮🇪 (EU)	Maksunkäsittely	Vain Business- / Enterprise-tilaukset

Viimeksi päivitetty: toukokuu 2026. Tämä malli on lähtökohta eikä se ole oikeudellista neuvontaa. Mukauta se yksittäistapaukseen ja tarkistuta se oikeudellisesti ennen käyttöä. Ajantasainen alikäsittelijäluettelo julkaistaan Luottamus & Turvallisuus -sivulla.