Lyyli.ai - Viestinnän hallintajärjestelmäLyyli
Takaisin listaan
Liitteet

LIITE 3 – Henkilötietojen käsittelysopimus (DPA)

Versio v1.2Päivitetty 9. kesäkuuta 2026

LIITE 3 – Henkilötietojen käsittelysopimus (DPA)

Rekisterinpitäjä (Asiakas): [Nimi, Y-tunnus, osoite]

Käsittelijä (Toimittaja): Lyyli AI Oy; hello@lyyli.ai

DPO: Veikko Laitinen, veikko@lyyli.ai

1. Johdanto ja sovellettavat ehdot

GDPR ja kansallinen lainsäädäntö; IT2022 YSE soveltuvin osin.

2. Käsittelyn kohde ja kesto

Pääsopimuksen ajan + enintään 30 päivää päättymisen jälkeen poistamista/palautusta varten.

3. Luonne ja tarkoitus

Keruu, tallennus, järjestäminen, rajoittaminen, haku, käyttö, luovutus ohjeen perusteella, lokitus, varmistus/palautus, poisto/anonymisointi. Käsittely voi sisältää tekoälyavusteisia toimenpiteitä (esim. sisällön luonnostelu, analyysi, viestinnän tuki) Rekisterinpitäjän antamien ohjeiden ja pääsopimuksen puitteissa.

Tekoälyinferenssi suoritetaan Zero Data Retention -periaatteella toimivilla palveluntarjoajilla; sisältöä ei tallenneta tekoälyntarjoajien toimesta eikä käytetä mallien koulutukseen. Tekoälypyynnöt anonymisoidaan.

4. Rekisteröidyt ja tietoryhmät

Työntekijät/tekijät; nimi, sähköposti, rooli/tehtävä, käyttö- ja lokitiedot, viestien metadata ja sisällöt Rekisterinpitäjän ohjeen mukaan.

Ei erityisiä henkilötietoryhmiä ilman erillistä sopimusta. Ei asiakkaiden asiakkaita.

5. Rekisterinpitäjän velvollisuudet

Lainmukaisuus, käsittelyperusteet, informointi; käyttäjä- ja oikeuksien hallinta.

6. Käsittelijän velvollisuudet

Ohjeiden noudattaminen, salassapito, Liite 4 TOMs, avustaminen pyyntöihin ja loukkauksiin, lokit ja dokumentointi, auditointien mahdollistaminen.

7. Alikäsittelijät

Luettelo Liite 5; vähintään vastaavat velvoitteet.

8. Kansainväliset siirrot

Henkilötietoja voidaan siirtää EU/ETA-alueen ulkopuolelle, kun alikäsittelijä tai tekninen toteutus (esim. tekoäly- tai pilvipalvelu) sitä edellyttää. Siirrot toteutetaan GDPR:n V luvun mukaisin suojatoimin, kuten Euroopan komission vakiosopimuslausekkeilla (SCC) ja/tai EU–US Data Privacy Framework -viitekehyksellä soveltuvin osin, sekä tarvittaessa täydentävin teknisin ja organisatorisin toimenpitein kulloisenkin alikäsittelijän ja palvelukuvauksen mukaisesti.

9. Tietoturvaloukkaukset

Ilmoitus viipymättä ja viimeistään 48 h kuluessa.

10. Auditoinnit

Kerran vuodessa, 14 arkipäivää ennakkoilmoitusta, ilman kohtuutonta haittaa.

11. Poistaminen tai palauttaminen

Päättyessä poisto/palautus; varmuuskopiot yliajetaan säilytysjakson jälkeen; poistotodistus pyydettäessä.

12. Vastuu ja laki

Pääsopimus & IT2022; Suomen laki; Helsingin käräjäoikeus.