Henkilötietojen käsittely Lemonsoft alustapalveluissa (SaaS-palvelut) sekä mobiilisovelluksissa
Tämä liite sisältyy Lemonsoft Oyj:n ja asiakkaan väliseen palvelusopimukseen. Liitteessä määritellään henkilötietojen käsittelyyn liittyvät oikeudet ja velvollisuudet EU:n yleisen tietosuoja-asetuksen (EU 2016/679, ”GDPR”) mukaisesti.
1. Osapuolten roolit
Asiakas toimii henkilötietojen rekisterinpitäjänä suhteessa niihin henkilötietoihin, joita se tallentaa ja käsittelee Lemonsoft Alustapalveluissa. Lemonsoft Oyj (Y-tunnus: 2017863-1, Vaasanpuistikko 20 A, 65100 VAASA) toimii henkilötietojen käsittelijänä asiakkaan lukuun.2. Käsittelyn kohde, luonne ja tarkoitus
Käsittely kattaa asiakkaan henkilöstön ja asiakkaaseen liittyvien muiden henkilöiden henkilötiedot siinä laajuudessa kuin ne tallennetaan asiakkaan käyttämiin Lemonsoft Alustapalveluihin.- Käsittelyn tarkoituksena on:
- SaaS- ja mobiilipalveluiden tuottaminen ja tekninen ylläpito
- asiakastuen tarjoaminen
- tietoturvan ja käytettävyyden varmistaminen
- varmuuskopiointi ja palautus
- lokitus ja auditointi
- palvelun laadun kehittäminen
3. Henkilötietojen käsittelyn kesto
Henkilötietoja käsitellään niin kauan kuin asiakas käyttää Lemonsoft Alustapalveluja tai mobiilipalveluita. Sopimuksen päätyttyä Lemonsoft poistaa tai palauttaa asiakkaan ohjeiden mukaisesti kaikki henkilötiedot viimeistään 60 päivän kuluessa ja varmuuskopiot viimeistään kahden vuoden kuluessa, ellei pakottava lainsäädäntö edellytä pidempää säilytystä.4. Alikäsittelijät
Lemonsoft voi käyttää alikäsittelijöitä (esim. pilvipalvelutoimittaja). Lemonsoft vastaa siitä, että alikäsittelijät sitoutuvat vähintään tämän liitteen tasoisiin tietosuoja- ja tietoturvavelvoitteisiin. Lemonsoft ylläpitää ajantasaista listaa alikäsittelijöistä verkkosivuillaan ja ilmoittaa asiakkaalle olennaisista muutoksista etukäteen, jolloin asiakkaalla on oikeus vastustaa uutta alikäsittelijää perustellusta syystä.5. Tietojen sijainti ja siirrot
Asiakkaan data sijaitsee ensisijaisesti palveluntarjoajan konesalissa Ruotsissa. Varmuuskopiot säilytetään kahdessa fyysisessä sijainnissa EU/ETA-alueella. Tietoja ei siirretä EU/ETA-alueen ulkopuolelle ilman asiakkaan etukäteistä kirjallista suostumusta ja GDPR:n mukaisia suojatoimia.6. Turvatoimet
Lemonsoftilla on ISO/IEC 27001:2022 standardin mukainen tietoturvallisuuden hallintajärjestelmä, joka ohjaa Lemonsoftin tietoturvaa. Lemonsoft toteuttaa asianmukaiset tekniset ja organisatoriset toimet, joilla varmistetaan henkilötietojen suojaaminen. Näitä ovat muun muassa:- pilvipalveluntarjoaja, joka täyttää ISO 27001 vaatimukset
- pääsynhallinta, monivaiheinen tunnistautuminen (MFA), käyttöoikeuksien roolipohjainen hallinta
- tiedonsiirron suojaus TLS 1.2/1.3 -yhteydellä ja tietojen salaus levossa
- jatkuva tietoturvamonitorointi ja lokitus.
7. Tietoturvaloukkaukset
Lemonsoft valvoo tietovuotoja jatkuvasti. Jos Lemonsoft havaitsee tietoturvaloukkauksen, se ilmoittaa siitä asiakkaalle viipymättä ja viimeistään 48 tunnin kuluessa. Ilmoitus sisältää vähintään:- tapahtuman kuvauksen
- arvioidut vaikutukset
- toteutetut korjaavat toimenpiteet.
8. Asiakkaan oikeudet ja auditoinnit
- Asiakkaalla on oikeus varmistua siitä, että Lemonsoft täyttää tämän liitteen mukaiset velvoitteet.
- Lemonsoft tarjoaa pyynnöstä tietoja, jotka osoittavat vaatimustenmukaisuuden. Lemonsoft pidättää oikeuden laskuttaa kohtuulliset kustannukset.
- Asiakas voi tarvittaessa toteuttaa auditoinnin kohtuullisella varoitusajalla.
9. Tietosuoja-asetuksen noudattaminen
Lemonsoft sitoutuu avustamaan asiakasta täyttämään rekisterinpitäjän velvollisuudet, kuten:- vastaaminen rekisteröityjen tietopyyntöihin
- vaikutustenarviointien tekeminen
- yhteistyö valvontaviranomaisten kanssa.