HENKILÖTIETOJEN KÄSITTELYSOPIMUS (DPA)

Data Processing Agreement · GDPR artikla 28

Versio 1.0 · Voimassa 23.6.2026 alkaen

Käsittelijä

Clinico Oy

Y-tunnus: 3581510-3

Von Daehnin katu 14 A 6, 00790 Helsinki

info@clinico.fi

Rekisterinpitäjä (Asiakas)

Palvelun tilannut yritys. Asiakaskohtaiset tiedot (yrityksen nimi, Y-tunnus, edustaja) kirjataan Asiakkaan tilin tietoihin tilauksen yhteydessä.

Tämä DPA on osa Osapuolten välistä Palvelusopimusta (clinico.fi/terms) ja sitä sovelletaan yhdessä sen kanssa. Asiakas hyväksyy tämän DPA:n hyväksyessään Palveluehdot sähköisesti. DPA sitoo Palveluntarjoajaa kaikessa henkilötietojen käsittelyssä, jota se suorittaa Asiakkaan lukuun Palvelusopimuksen nojalla.

DPA 1. MÄÄRITELMÄT

Henkilötieto: kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot

Rekisterinpitäjä: Asiakas, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot

Käsittelijä: Clinico Oy, joka käsittelee henkilötietoja Asiakkaan lukuun

Alikäsittelijä: kolmas osapuoli, jonka Käsittelijä valtuuttaa käsittelemään henkilötietoja

Tietoturvaloukkaus: turvallisuusloukkaus, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen tai luvattomaan luovuttamiseen

DPA 2. KÄSITTELYN KOHDE JA TARKOITUS

DPA 2.1 Käsittelyn kohde

Palveluntarjoaja käsittelee henkilötietoja ainoastaan Palvelusopimuksessa kuvatun Clinico-palvelun tuottamiseksi Asiakkaalle. Käsittely kattaa kanta-asiakasohjelman ylläpidon, asiakasviestinnän, pisteiden hallinnan, kliinisen sisällön välittämisen Käyttäjille sekä niihin liittyvät analytiikka- ja automatisointitoiminnot sekä aggregoitu analytiikka Asiakkaan oman liiketoiminnan kehittämiseksi.

DPA 2.2 Käsiteltävät henkilötietoryhmät

Asiakkaan lukuun käsittelijänä käsiteltävät tiedot:

Kanta-asiakkaiden yhteystiedot (nimi, puhelinnumero, sähköpostiosoite)

Asiointitiedot (käyntihistoria, pistetapahtumat, palkintojen lunastukset)

Kliininen sisältö, jota Asiakas välittää Palvelun kautta Käyttäjälle: kotihoito-ohjeet, laboratoriotulokset, käyntiyhteenvedot, rokotus- ja hoitomuistutukset

Hyvinvointiseurantatiedot (check-in-vastaukset, päiväkirjamerkinnät)

Clinico Oy:n omana rekisterinpitäjänä hallinnoimat tiedot (ei käsittelijärooli):

Käyttäjätilitiedot (kirjautumistiedot, push-notifikaatiotunnisteet)

Palvelun käyttödata ja analytiikka

Lemmikin perustiedot siltä osin kuin tallennettu suoraan Clinico-palveluun

Palveluntarjoaja ei käsittele potilasrekisteriin kuuluvia eläinlääketieteellisiä tietoja rekisterinpitäjänä.

DPA 2.3 Rekisteröityjen ryhmät

Klinikan asiakkaat, joiden tietoja Asiakas tallentaa Palveluun asiakassuhteen hoitamiseksi, hoitomuistutusten lähettämiseksi ja klinikan sisäiseen analytiikkaan — riippumatta siitä, ovatko he liittyneet kanta-asiakasohjelmaan

Klinikan henkilökunnan jäsenet (kirjautumis- ja käyttäjätilitiedot)

DPA 3. KÄSITTELIJÄN VELVOLLISUUDET

DPA 3.1 Käsittely ainoastaan ohjeiden mukaisesti

Palveluntarjoaja käsittelee henkilötietoja ainoastaan Asiakkaan dokumentoitujen ohjeiden mukaisesti. Mikäli Palveluntarjoaja katsoo, että ohje rikkoo GDPR:ää tai muuta sovellettavaa lainsäädäntöä, se ilmoittaa tästä Asiakkaalle välittömästi. Asiakkaan antamat asiakaskohtaiset käsittelyohjeet — kuten tiettyjen henkilöiden rajaaminen tekoälypohjaisen analyysin ulkopuolelle tai analytiikan laajuuden rajaaminen — kirjataan Asiakkaan tilin tietoihin tai asiakaskohtaiseen liitteeseen ja katsotaan tämän kohdan tarkoittamiksi dokumentoiduiksi ohjeiksi.

DPA 3.2 Salassapito

Palveluntarjoaja varmistaa, että henkilötietoja käsittelemään valtuutetut henkilöt ovat sitoutuneet salassapitovelvollisuuteen tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

DPA 3.3 Tekniset ja organisatoriset turvatoimet

Palveluntarjoaja toteuttaa GDPR 32 artiklan mukaiset asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi, sisältäen vähintään:

Tietojen salaus siirron aikana (TLS) ja levossa

Pääsynhallinta ja käyttäjien tunnistautuminen

Säännölliset varmuuskopiot ja palautumistestaukset

Henkilökunnan tietosuojakoulutus

Haavoittuvuuksien hallinta ja päivityskäytännöt

DPA 3.4 Rekisteröityjen oikeuksien tukeminen

Palveluntarjoaja avustaa Asiakasta rekisteröityjen oikeuksia koskevien pyyntöjen täyttämisessä, mukaan lukien oikeus tarkastukseen, oikaisemiseen, poistamiseen ja siirtämiseen. Tarvittavat tiedot toimitetaan Asiakkaalle 5 arkipäivän kuluessa pyynnön vastaanottamisesta.

DPA 3.5 Tietoturvaloukkaukset

Palveluntarjoaja ilmoittaa Asiakkaalle tietoturvaloukkauksesta ilman aiheetonta viivytystä ja viimeistään 48 tunnin kuluessa loukkauksen havaitsemisesta. Ilmoitus sisältää:

Kuvauksen loukkauksen luonteesta ja laajuudesta

Arvion vaikutuksista rekisteröityihin

Toteutetut ja suunnitellut korjaavat toimenpiteet

Yhteyshenkilön tiedot lisätietoja varten

DPA 3.6 Vaikutustenarviointi

Palveluntarjoaja avustaa Asiakasta GDPR 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin (DPIA) tekemisessä tarvittaessa toimittamalla relevantit tiedot käsittelytoimistaan.

DPA 3.7 Käsittelyn päättyminen

Palvelusopimuksen päättyessä Palveluntarjoaja joko palauttaa tai poistaa kaikki henkilötiedot Asiakkaan valinnan mukaan 60 päivän kuluessa sopimuksen päättymisestä, ellei EU:n tai jäsenvaltion lainsäädäntö edellytä henkilötietojen säilyttämistä.

DPA 4. ALIKÄSITTELIJÄT

DPA 4.1 Valtuutus ja vastuut

Asiakas valtuuttaa Palveluntarjoajan käyttämään alla lueteltuja alikäsittelijöitä. Palveluntarjoaja vastaa alikäsittelijöidensä toimista kuin omistaan ja varmistaa, että alikäsittelijät sitoutuvat tietosuojavelvoitteisiin, jotka vastaavat tässä DPA:ssa asetettuja velvoitteita.

DPA 4.2 Hyväksytyt alikäsittelijät

PalveluntarjoajaKäyttötarkoitusSijaintiSiirtomekanismiSupabase Inc.Tietokanta ja autentikointiIrlanti (EU)EU-alueVercel Inc.Web-sovelluksen hostingEU-alueEU-alueGoogle Cloud / Vertex AITekoälypalvelut (Clinico Sense)Suomi (EU)EU-alueExpo / EASPush-ilmoitukset ja mobiilirakentaminenUSASCC + EU-US Data Privacy FrameworkMixpanelAnalytiikkaEU-alueEU-alueResendSähköpostiviestintäIrlanti (EU)EU-alueTwilioSMS-viestintäEU-palvelimetEU-alue

Huomio Expo / EAS: Mobiilisovelluksen käyttäjä hyväksyy Clinico-palvelun käyttöehdot ja tietosuojaselosteen kirjautuessaan palveluun, jolloin hän antaa suostumuksensa tietojen käsittelylle myös Expon infrastruktuurin kautta. Klinikan oman tietosuojaselosteen ajantasaisuudesta vastaa Asiakas.

DPA 4.3 Muutokset alikäsittelijöihin

Palveluntarjoaja ilmoittaa Asiakkaalle uusista tai muuttuvista alikäsittelijöistä vähintään 14 päivää etukäteen sähköpostitse. Asiakkaalla on oikeus vastustaa muutosta perustelluista tietosuojasyistä 14 päivän kuluessa ilmoituksesta. Mikäli osapuolet eivät löydä ratkaisua, Asiakkaalla on oikeus irtisanoa Palvelusopimus ilman ylimääräistä irtisanomisaikaa.

DPA 5. KANSAINVÄLISET TIEDONSIIRROT

Henkilötietoja käsitellään ensisijaisesti Euroopan talousalueella. Infrastruktuuri on pääosin EU:ssa: Supabase (Irlanti), Vercel (EU), Resend (Irlanti), Twilio (EU-palvelimet), Mixpanel (EU-alue), Google Vertex AI (Suomi).

Expo / EAS -infrastruktuurissa osa käsittelystä tapahtuu USA:ssa. Siirto perustuu EU-US Data Privacy Framework -kehykseen sekä EU:n komission hyväksymiin vakiosopimuslausekkeisiin (SCC). Käyttäjän suostumus hankitaan palvelun käyttöehtoja hyväksyttäessä.

DPA 6. TARKASTUSOIKEUS

Asiakkaalla on oikeus tarkastaa tai teettää tarkastus Palveluntarjoajan henkilötietojen käsittelyä koskevien velvoitteiden noudattamisesta:

Ensisijaisesti kirjallisten selvitysten ja dokumentaation perusteella

Tarvittaessa paikan päällä tai kolmannen osapuolen auditoijaa käyttäen, 30 päivän ennakkoilmoituksella

Korkeintaan kerran kalenterivuodessa, ellei erityinen syy muuta edellytä

Tarkastuksesta aiheutuvat kohtuulliset kustannukset kuuluvat Asiakkaalle, ellei tarkastuksessa havaita olennaisia rikkomuksia.

DPA 7. VASTUUT JA SOVELLETTAVA LAKI

Tämä DPA on osa Palvelusopimusta ja siihen sovelletaan Suomen lakia. Vastuunrajoitukset määräytyvät Palvelusopimuksen mukaisesti. Tietosuojaloukkauksista aiheutuva vastuu määräytyy pakottavan lainsäädännön, erityisesti GDPR:n, mukaisesti eikä Palvelusopimuksen vastuukatto rajoita pakottavasta lainsäädännöstä johtuvaa vastuuta.

DPA 8. VOIMASSAOLO

Tämä DPA tulee voimaan Palvelusopimuksen voimaantulohetkellä ja on voimassa niin kauan kuin Palveluntarjoaja käsittelee henkilötietoja Asiakkaan lukuun. DPA päättyy automaattisesti Palvelusopimuksen päättyessä.

DPA 9. HYVÄKSYNTÄ

Tämä DPA hyväksytään osana Clinico Oy:n Palveluehtoja. Hyväksyessään Palveluehdot sähköisesti Asiakas hyväksyy samalla tämän DPA:n. Erillistä allekirjoitusta ei edellytetä. Palveluntarjoaja tallentaa hyväksynnästä hyväksymisajankohdan, hyväksyneen osapuolen tunnistetiedot sekä hyväksytyn DPA:n version.