Tietojenkäsittelysopimus (DPA) - Avoinhakemus.fi

Versio: 1.0
Päivitetty: 2026-04-14

Tämä tietojenkäsittelysopimus ("DPA") on osa Avoinhakemus.fi-palvelun käyttöehtoja ja soveltuu vain sellaiseen henkilötietojen käsittelyyn, jossa Tukex käsittelee henkilötietoja yritysasiakkaan lukuun henkilötietojen käsittelijänä. Silloin kun Tukex määrittää käsittelyn tarkoitukset ja keinot itse, Tukex toimii itsenäisenä rekisterinpitäjänä eikä tämä DPA sovellu siihen käsittelyyn.

1. Osapuolet

  • Rekisterinpitäjä / Customer: yritysasiakas, joka käyttää Avoinhakemus.fi-palvelua
  • Käsittelijä / Processor: Tukex (Y-tunnus 3359661-3), info@avoinhakemus.fi

2. Soveltamisala

Tämä DPA koskee vain maksullisen palvelun yhteydessä tapahtuvaa käsittelyä siltä osin kuin Tukex käsittelee henkilötietoja yritysasiakkaan puolesta esimerkiksi hakemusten teknisessä välityksessä, vastaanottokanavan ylläpidossa tai siihen liittyvässä tukitoiminnassa.

Tämä DPA ei sovellu käsittelyyn, jossa Tukex toimii omiin tarkoituksiinsa rekisterinpitäjänä, kuten:

  • palvelun käyttäjätilien, kirjautumisen ja tietoturvan hallinta
  • laskutus, maksut ja lakisääteiset kirjanpitovelvoitteet
  • palvelun oman toiminnan, lokituksen ja turvallisuuden varmistaminen
  • sivuston ja palvelun yleinen hallinnointi

3. Käsittelyn kohde, tarkoitus ja kesto

Käsittelyn kohteena voivat olla yritysasiakkaalle palvelun kautta välittyvät hakemuksiin liittyvät henkilötiedot sekä muut sellaiset tiedot, joita Tukex käsittelee yritysasiakkaan ohjeiden mukaisesti palvelun toteuttamiseksi.

Käsittelyn tarkoitus on:

  • välittää hakemuksia yritysasiakkaan osoittamaan vastaanottokanavaan
  • ylläpitää palvelun teknisiä toimintoja, jotka mahdollistavat hakemusten vastaanoton
  • tarjota siihen liittyvää asiakastukea ja virhetilanteiden selvitystä

Käsittely jatkuu niin kauan kuin maksullinen palvelu on voimassa tai niin kauan kuin Tukex käsittelee tietoja yritysasiakkaan puolesta palvelun toteuttamiseksi, ellei pakottava laki edellytä pidempää säilytystä.

4. Henkilötietoryhmät ja rekisteröidyt

Tyypilliset rekisteröidyt:

  • työnhakijat, joiden hakemuksia välitetään yritysasiakkaalle
  • yritysasiakkaan yhteyshenkilöt, siltä osin kuin tietoja käsitellään yritysasiakkaan lukuun

Tyypilliset henkilötietoryhmät:

  • nimi- ja yhteystiedot
  • hakemusteksti ja siihen sisältyvät tiedot
  • vastaanottokanavaan ja viestien välitykseen liittyvät tekniset tiedot

5. Ohjeet ja käyttötarkoitus

Tukex käsittelee henkilötietoja vain yritysasiakkaan dokumentoitujen ohjeiden mukaisesti, ellei sovellettava laki edellytä muuta. Palvelun käyttäminen, asetukset ja palvelun normaalit tekniset toiminnot muodostavat ensisijaiset ohjeet käsittelylle.

6. Luottamuksellisuus

Tukex varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet luottamuksellisuuteen tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

7. Tietoturva

Tukex toteuttaa riskitasoon nähden asianmukaiset tekniset ja organisatoriset toimenpiteet, mukaan lukien tarpeen mukaan:

  • pääsyjen rajaus ja tunnistautuminen
  • salattu tiedonsiirto
  • lokitus, valvonta ja väärinkäytön esto
  • varmuuskopiot ja palautusmenettelyt
  • haavoittuvuuksien ja virhetilanteiden hallinta

8. Alikäsittelijät

Yritysasiakas hyväksyy, että Tukex voi käyttää alikäsittelijöitä palvelun tuottamiseksi, kuten hosting-, sähköposti-, tietokanta-, maksuliikenne- ja postilaatikkoinfrastruktuurin tarjoajia.

Tukex vastaa siitä, että alikäsittelijöihin sovelletaan olennaisilta osin vastaavia tietosuojavelvoitteita kuin tässä DPA:ssa.

9. Kansainväliset siirrot

Jos henkilötietoja siirretään EU/ETA-alueen ulkopuolelle, Tukex käyttää sovellettavan lain edellyttämiä siirtomekanismeja, kuten Euroopan komission vakiosopimuslausekkeita, silloin kun niitä tarvitaan.

10. Avustaminen

Tukex avustaa yritysasiakasta kohtuullisessa laajuudessa:

  • rekisteröityjen pyyntöihin vastaamisessa
  • tietoturvaloukkausten selvittämisessä
  • tietosuojaa koskevissa vaikutustenarvioinneissa ja viranomaisyhteistyossa

Avustaminen tapahtuu ottaen huomioon käsittelyn luonne ja Tukexin saatavilla olevat tiedot.

11. Henkilötietojen poistaminen tai palauttaminen

Palvelusuhteen päättyessä Tukex poistaa tai palauttaa yritysasiakkaan lukuun käsitellyt henkilötiedot kohtuullisessa ajassa, ellei sovellettava laki edellytä tietojen säilyttämistä.

12. Tarkastukset

Tukex antaa yritysasiakkaalle pyynnöstä kohtuulliset tiedot, jotka ovat tarpeen tämän DPA:n noudattamisen arvioimiseksi. Mahdolliset tarkastukset sovitaan etukäteen kirjallisesti ja toteutetaan tavalla, joka ei vaaranna muiden asiakkaiden tietoturvaa tai salassapitoa.

13. Vastuu

Tämän DPA:n mukaiseen vastuuseen sovelletaan Avoinhakemus.fi-palvelun käyttöehtojen vastuunrajoituksia, ellei pakottava laki toisin edellytä.

14. Etusija

Jos tämän DPA:n ja käyttöehtojen välillä on ristiriita sellaiseen käsittelyyn nähden, jossa Tukex toimii käsittelijänä yritysasiakkaan lukuun, tämän DPA:n ehdot ovat ensisijaisia kyseisen käsittelyn osalta.