Voimassa 30.6.2026 alkaen.
4 Rekisterinpitäjän velvollisuudet
11 Turvallisuus, suojaaminen ja riskit
12 Henkilötietojen tietoturvaloukkaukset
13 Tietosuojaa koskeva vaikutustenarviointi
14 Rekisteröidyn oikeuksien toteuttaminen
Tämä Sopimus henkilötietojen käsittelystä (jäljempänä Sopimus tai DPA-sopimus) on olennainen osa Aptual Commerce Oy:n (y-tunnus 2735384-2, jäljempänä Toimittaja) Johku-Palvelua (jäljempänä Johku-Palvelu tai Palvelu) koskevaa, Toimittajan ja Johku-Palvelua hankkivan asiakkaan (jäljempänä Asiakas) Johku Ekosysteemisopimusta (jäljempänä Ekosysteemisopimus tai Pääsopimus). Asiakas ja Toimittaja yhdessä ovat tämän sopimuksen osapuolet (jäljempänä Osapuolet).
Rekisterinpitäjä (jäljempänä Rekisterinpitäjä) tarkoittaa yhteisöä, joka määrittää henkilötietojen käsittelyn tarkoituksen ja keinot. Henkilötietojen käsittelijä (jäljempänä Käsittelijä) tarkoittaa yhteisöä, joka käsittelee henkilötietoja Rekisterinpitäjän puolesta. Alikäsittelijällä tarkoitetaan Käsittelijän sopimuskumppania, joka voi käsitellä henkilötietoja erikseen sovitusti ja siten kuin Palvelun tuottamiseksi on tarpeellista. Johku-Palvelua voimassa olevan Pääsopimuksen mukaan käytettäessä Toimittaja toimii Asiakkaan lukuun Käsittelijänä. Asiakas toimii Käyttäjän henkilötietoja sisältävän asiakasrekisterin Rekisterinpitäjänä.
Johku-Palvelun Käyttäjä on luonnollinen tai oikeushenkilö, joka toimii toisena osapuolena Asiakkaan Palvelua hyväksikäyttäen tekemässä oikeustoimessa (jäljempänä Käyttäjä).
Henkilötiedolla tarkoitetaan henkilöä koskevia tietoja, joista henkilö voidaan tunnistaa suoraan tai välillisesti. Tässä DPA-Sopimuksessa henkilötiedolla tarkoitetaan erityisesti sellaisia henkilöä koskevia tietoja, jotka lähetetään Toimittajalle, joihin Toimittaja pääsee käsiksi tai joita Toimittaja muuten käsittelee Asiakkaan puolesta Johku-Palvelussa. Käyttäjän käyttäessä Johku-Palvelua, tämän henkilötietoja voidaan tallentaa Asiakkaan asiakasrekisteriin. Käyttäjä, jonka henkilötietoja tallennetaan Rekisterinpitäjän rekisteriin, on tässä Sopimuksessa tarkoitettu Rekisteröity.
Toimittaja tallentaa käsittelyn aikana ja sen päätyttyä Anonymisoitua tietoa Palvelun käytöstä ja kaupankäyntiprosessista. Tiedon Anonymisoinnilla tarkoitetaan Käyttäjän tietojen muokkaamista siten, ettei niistä voida millään toimenpiteillä enää tunnistaa henkilöitä.
Tämä Sopimus on liite Toimittajan ja Asiakkaan välillä solmittuun Pääsopimukseen, jossa Osapuolet ovat sopineet Toimittaja toteuttavan Pääsopimuksen mukaista Palvelua Asiakkaalle. Osapuolten välisen yhteistyön voimassaolo, sisältö sekä Osapuolten vastuut ja velvoitteet on määritelty Pääsopimuksessa.
Tämä DPA-Sopimus koskee Käsittelijän Rekisterinpitäjän puolesta tekemää henkilötietojen käsittelyä ja määrittelee, kuinka Käsittelijä osaltaan varmistaa Rekisterinpitäjän ja sen Rekisteröityjen yksityisyyden teknisillä ja organisatorisilla toimenpiteillä. Osapuolten tarkoituksena ei ole tässä DPA:ssa siirtää mitään Rekisterinpitäjän lakisääteisiä velvollisuuksia Käsittelijälle. Käsittelijän Rekisterinpitäjän puolesta tekemän henkilötietojen käsittelyn tarkoitus on Pääsopimuksen ja tämän DPA-Sopimuksen noudattaminen.
Tällä DPA-Sopimuksella tai sen Pääsopimuksella ei siirretä miltään osin Rekisterinpitäjälle kuuluvia vastuita tai velvoitteita henkilötietojen Käsittelijänä toimivalle Toimittajalle.
Tämä DPA-sopimus tulee voimaan Pääsopimuksen voimaan tullessa ja pysyy voimassa Pääsopimuksen voimassaoloajan tai niin kauan kuin on tarpeen Sopimuksen mukaisen henkilötietojen käsittelyn suorittamiseksi loppuun.
Toimittaja toimii Käsittelijänä Rekisterinpitäjänä toimivan Asiakkaan lukuun vain silloin ja siltä osin, kuin Toimittajan ja Asiakkaan välillä on voimassa oleva Ekosysteemisopimus.
Tämä sopimus korvaa mahdolliset aiemmat Toimittajan ja Asiakkaan väliset, Johku-Palvelua koskevat tai siihen liittyvät sopimukset henkilötietojen käsittelystä.
Käyttäjän tilatessa Johku-Palvelua hyödyntävästä kaupasta tuotteita tai palveluita, Käyttäjän ostoprosessissa Palvelun kautta syöttämät henkilötiedot voidaan tallentaa Asiakkaan asiakasrekisteriin. Asiakas toimii asiakasrekisterinsä Rekisterinpitäjänä.
Sitoutumalla tähän DPA-Sopimukseen Rekisterinpitäjä vahvistaa käsittelevänsä henkilötietoja sovellettavan tietosuojasääntelyn mukaisesti käyttäessään Käsittelijän tarjoamia palveluja Sopimuksen mukaisesti. Rekisterinpitäjä vahvistaa täyttäneensä kaikki henkilötietojen käsittelyyn liittyvät pakolliset ilmoitukset viranomaisille sekä suostumusten hankintaan liittyvät velvollisuudet ja vaatimukset, sekä velvollisuutensa tarjota oleellisia Rekisteröityjen henkilötietojen käsittelyyn liittyviä tietoja Rekisteröidyille sovellettavan tietosuojasääntelyn mukaisesti.
Mikäli Rekisterinpitäjä kerää Käyttäjän ostoprosessin aikana laajempaa seurantadataa ja/tai käyttää omaa asiakasrekisteriään kolmansissa järjestelmissä ottamalla käyttöön Johku-Palveluun kytkettäviä kolmansien palveluja ja/tai sovelluksia tai siirtämällä tietoja raakadatana Johku-Palvelun ulkopuolelle, vastaa Rekisterinpitäjä kaikilta osin lainsäädännön ja viranomaismääräysten mukaisesta henkilötietojen käsittelystä toiminnassaan. Rekisterinpitäjä vahvistaa täyttäneensä velvollisuutensa tarjota oleellisia Rekisteröityjen henkilötietojen käsittelyyn liittyviä tietoja Rekisteröidyille sovellettavan pakollisen tietosuojasääntelyn mukaisesti.
Rekisterinpitäjällä tulee olla Käyttäjän henkilötietojen käsittelystä ja siihen liittyvistä periaatteista asianmukainen ja ajantasainen tietosuojaseloste. Rekisterinpitäjän velvollisuuksiin lukeutuu esimerkiksi, mutta ei yksinomaan, henkilötietojen keräämiseen, käyttämiseen, luovuttamiseen ja säilyttämiseen liittyvien määräysten noudattaminen. Rekisterinpitäjä vahvistaa, että sen vastuulle kuuluvat Rekisteröidyn yksityisyydensuojan ja henkilötietojen riittävän suojaamisen edellyttämät tekniset ja organisatoriset turvatoimet ovat riittävät.
Toimittaja käsittelee henkilötietoja Rekisterinpitäjän lukuun ainoastaan Pääsopimuksen ja DPA-Sopimuksen käsittämässä laajuudessa ja niissä määritellyin tavoin, toimien tällöin Rekisterinpitäjän asiakasrekisterin henkilötietojen Käsittelijänä. Käsittelijä käsittelee henkilötietoja sovellettavan lainsäädännön määräyksiä noudattaen.
Käsittelijällä on voimassa oleva käsittelyseloste henkilötietojen käsittelystä. Seloste on Käsittelijän organisaation sisäinen asiakirja, joka tukee Käsittelijän tietojenkäsittelytoimien lainmukaisuuden osoitusvelvollisuuden toteuttamista.
Käsittelijä antaa pääsyn tämän DPA:n perusteella käsiteltäviin henkilötietoihin viranomaisille silloin, kun viranomaisen oikeus saada tietoja perustuu lainsäädäntöön, tuomioistuimen päätöksen tai muuhun näihin rinnastettavaan määräykseen.
Ellei erikseen ole Käsittelijän ja Rekisterinpitäjän välillä kirjallisesti toisin sovittu, Käsittelijä ei hallinnoi millään tavoin eikä ole millään tavoin vastuussa siitä, miten Rekisterinpitäjä käyttää Käsittelijän tarjoamaa API-rajapintaa tai vastaavaa kolmannen osapuolen ohjelmiston integraatiota Käsittelijän tarjoamaan palveluun.
Käsittelijä voi käyttää Alikäsittelijöitä Pääsopimuksen ja tämän DPA-Sopimuksen mukaiseen palvelujen tarjoamiseen Rekisterinpitäjälle. Tällaiset alikäsittelijät voivat olla EU:ssa tai sen ulkopuolella sijaitsevia Alikäsittelijöitä.
Alikäsittelijät voivat osallistua henkilötietojen käsittelyyn. Käsittelijä vastaa siitä, että alikäsittelijät sitoutuvat noudattamaan tämän Sopimuksen mukaisia tietosuojavelvoitteita vastaavia velvoitteita. Alikäsittelijät käsittelevät Pääsopimuksen ja tämän DPA-Sopimuksen mukaisen palvelun tarjoamiseen liittyviä henkilötietoja ainoastaan Käsittelijän ja Alikäsittelijän välisen, voimassa olevan sopimuksen perusteella.
Tämän Sopimuksen liitteessä A on listattu Käsittelijän Alikäsittelijät, jotka voivat käsitellä henkilötietoja. Käsittelijällä on oikeus vaihtaa, vähentää tai lisätä Alikäsittelijöitä Sopimuksen voimassaoloaikana. Käsittelijä päivittää Sopimuksen liitteen A kohtuullisessa ajassa alikäsittelijämuutoksesta ja pitää ajantasaisen liitteen Rekisterinpitäjän saatavilla.
Mikäli muutos vaikuttaa olennaisella tavalla Rekisterinpitäjän oikeudelliseen asemaan tai Rekisterinpitäjällä on muu perusteltu syy vastustaa muutosta, tulee Rekisterinpitäjän ilmoittaa vastustamisesta ilman aiheetonta viivytystä saatuaan Käsittelijältä tiedon asiasta. Mikäli Alikäsittelijää koskevasta muutoksesta ei päästä yhteisymmärrykseen, on Rekisterinpitäjällä oikeus päättää Pääsopimus siinä sovituin ehdoin.
Hyväksyessään tämän DPA-Sopimuksen Rekisterinpitäjä hyväksyy Käsittelijän alikäsittelijöiden käytön kuvatulla tavalla.
Käsittelijällä on oikeus siirtää palvelun toteuttamista varten henkilötietoja EU:n, Euroopan talousalueen (ETA) tai muiden maiden sisällä, joiden Euroopan Komissio on todennut takaavan riittävän tietosuojan tason. Palvelun toteuttamiseksi Käsittelijällä on myös oikeus siirtää henkilötietoja EU/ETA:n ulkopuolelle tietosuojalainsäädännön mukaisesti. Jos henkilötietoja käsitellään EU/ETA:n ulkopuolella, kumpikin sopijapuoli varmistaa osaltaan tietosuojalainsäädännön noudattamisen henkilötietojen käsittelyn osalta.
Kumpikin Osapuoli sitoutuu pitämään salassa tietoonsa saamansa toisen Osapuolen liikesalaisuudet ja muut luottamukselliset tiedot sekä Palvelussa käsiteltävät tiedot. Niitä ei saa käyttää muutoin kuin Sopimuksen täyttämiseksi. Salassapitovelvollisuus jatkuu myös Sopimuksen päätyttyä. Osapuolet huolehtivat siitä, että myös heidän henkilöstönsä ja alihankkijansa sitoutuvat salassapitoon.
Käsittelijä kerää Rekisterinpitäjän lukuun ainoastaan tietoja, jotka ovat oleellisia onnistuneen kaupankäyntiprosessin muodostamiseksi, analysoimiseksi ja kehittämiseksi sekä asiakas-/sopimussuhteen hoitamiseksi. Käyttäjistä kerätään ja käsitellään seuraavia tietoja:
- Etu- ja sukunimi
- sähköpostiosoite
- tilauksen lähdesivu
- IP-osoite
- ehtojen opt-in hyväksyntä
- sähköisen markkinoinnin opt-in suostumus
Tilattavien tuotteiden tai palvelujen niin edellyttäessä käsiteltäviin tietoihin voi näiden lisäksi kuulua myös:
- katuosoite, postinumero, postitoimipaikka
- maa
- puhelinnumero
Yritys- ja yhteisöasiakkaista kerätään lisäksi:
- yrityksen nimi
- y-tunnus
- verkkolaskuosoite
- verkkolaskutuksen välittäjätunnus, viite ja merkki
Näiden lisäksi kerätään ja käsitellään myös muuta tilausprosessiin liittyvää tietoa.
Edellä mainittuja tietoja kerätään ja käsitellään seuraaviin käyttötarkoituksiin:
- Kaupankäyntitapahtumien lakien ja asetusten mukainen hoitaminen
- Kauppiaan ja asiakkaan välisen vastuiden ja velvoitteiden täyttämisen sekä viestinnän mahdollistaminen
- Sähköisen markkinoinnin lupien hallinnointi
- Väärinkäytösten ennaltaehkäisy ja selvittäminen
- Muut vastaavat käyttötarkoitukset
Asiakkaalla on mahdollista käyttää osana Palvelua räätälöitäviä lomakkeita, joiden avulla tämä voi edellyttää Toimittajaa keräämään Käyttäjästä ja tämän tilauksesta laajempia tietoja edellä mainittujen tietojen lisäksi. Lähtökohtaisesti Toimittaja ei kerää eikä käsittele arkaluontoisiksi luokiteltuja henkilötietoja, kuten terveydentilaa, vakaumusta tai muita vastaavia tietoja. Mikäli Asiakas edellyttää Toimittajan käsittelevän arkaluontoisia henkilötietoja Asiakkaan puolesta osana Pääsopimuksen mukaista Palvelua, on Asiakas velvollinen ilmoittamaan ja sopimaan tästä Toimittajan kanssa erikseen kirjallisesti.
Kaikkien käyttäjien tietojen käsittelyn perusteena on sopimus, joka syntyy tilattaessa tuotteita ja/tai palveluja kauppiaalta. Niiltä osin, kun tietoja käytetään sopimukseen liittymättömässä sähköisessä markkinoinnissa, käsittelyn perusteena on suostumus.
Rekisteröityjä koskevia henkilötietoja kerätään rekisteröidyiltä itseltään sähköisin keinoin tämän asioidessa Johkun avulla.
Toimittaja toimii Asiakkaan asiakasrekisterin Käsittelijänä vain, jos Toimittajalla ja Asiakkaalla on voimassa oleva Ekosysteemisopimus. Ekosysteemisopimuksen ollessa voimassa, Palveluun tallennettuja henkilötietoja säilytetään Rekisterinpitäjän ja Rekisteröidyn keskinäiseen sopimukseen, suostumukseen tai lailliseen oikeutukseen perustuvan ajan taikka lainsäädännön asettaman velvollisuuden tai muun määräyksen toteuttamisen vaatiman ajan. Rekisterinpitäjän on varmistettava, että henkilötietojen säilytysaika on määritelty tietojen minimoinnin periaatetta noudattaen, mihin sisältyy mahdollisimman lyhyt säilytysaika. Rekisterinpitäjän on suunniteltava, perusteltava ja dokumentoitava henkilötietojen säilytysaika. Sovittujen tai muutoin määriteltyjen säilytysaikojen lainmukaisuus on Rekisterinpitäjänä toimivan Asiakkaan vastuulla.
Toimittajan ja Asiakkaan välisen Ekosysteemisopimuksen päättyminen johtaa tämän Sopimuksen päättymiseen. Toimittaja poistaa tallennetut henkilötiedot sopimuksen päättymishetkellä, ellei erityisistä syistä, kuten lain tai viranomaisen määräyksestä, muuta johdu. Asiakas on vastuussa siitä, että hänellä on tätä ennen tarvittavat ja asianmukaiset varmuuskopiot ja muut tallenteet kaikista niistä tiedoista, jotka tämä katsoo tarpeelliseksi omien velvoitteidensa täyttämiseksi. Pääsopimuksen päättymisestä ja Asiakkaan Materiaalin poistamisesta sovitaan Pääsopimuksessa.
Käsittelijä varmistaa asianmukaisen ja alan vakiintuneiden käytänteiden mukaisten organisatoristen, teknisten ja fyysisten turvatoimien avulla, jotka vastaavat tietosuoja-asetuksen mukaisia tietoturvatoimia. Käsittelijä toimittaa Rekisterinpitäjälle pyynnöstä ja tarvittaessa riittävät tiedot palvelinympäristön, salassapidon ja muiden olennaisten tietoturvan toteuttamiseen liittyvien seikkojen osalta.
Osapuolet vastaavat kukin vastuullaan olevien tarvittavien laitteiden ja tietoteknisen käyttöympäristön asianmukaisesta ja riittävästä tietoturvasta.
Toimittaja ilmoittaa viivytyksettä tietoonsa tulleesta henkilötietojen tietoturvaloukkauksesta Asiakkaalle, jotta tämä voi täyttää tietosuoja-asetuksessa määritellyt ilmoitusvelvoitteet asetetussa määräajassa. Toimittaja pyrkii kohtuudella käytössään olevien resurssien puitteissa avustamaan Asiakasta täyttämään tälle asetetut tiedonantovelvoitteet. Siltä osin kuin kaikkia tietoja ei ole kohtuudella mahdollista toimittaa samanaikaisesti, alkuperäiseen ilmoitukseen sisällytetään saatavilla olevat tiedot. Lisätiedot toimitetaan jälkikäteen ilman aiheetonta viivytystä heti, kun ne tulevat saataville.
Toimittaja ryhtyy tarvittaviin jatkotoimenpiteisiin tietoturvaloukkauksen haittavaikutusten minimoimiseksi sekä mahdollisten tulevien loukkausten estämiseksi.
Mikäli Toimittajan avustaa Asiakasta Asiakkaan aiheuttamassa tai muutoin Asiakkaan vastuulle kuuluvassa Tietosuoja-asetuksen tietoturvaloukkauksessa, rekisteröityjen oikeuksien tavanomaisesta käsittelystä poikkeavassa toteuttamisessa tai muussa näihin rinnastettavassa toimessa on Toimittajalla oikeus laskuttaa tähän käytetyt työtunnit käyttämänsä tavanomaisen tuntihinnan mukaisesti. Toimittaja toimittaa ajankäyttöön ja laskutukseen liittyvän arvion etukäteen Asiakkaan hyväksyttäväksi.
Vaikutustenarviointi on tehtävä silloin, kun suunnitellaan henkilötietojen käsittelyä, joka todennäköisesti aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille. Vaikutustenarviointi auttaa Rekisterinpitäjää tietosuojalainsäädännön vaatimusten noudattamisessa, sen dokumentoinnissa ja osoittamisessa.
Vaikutustenarviointia on päivitettävä toimintaympäristön, lainsäädännön tai käsittelytoimista aiheutuvien riskien muuttuessa. Tämän lisäksi Toimittaja suosittelee, että Asiakas arvioi päivittämisen tarvetta säännöllisesti, esimerkiksi kahden vuoden välein.
Toimittaja auttaa tarvittaessa Asiakasta vaikutustenarvioinnin tekemisessä. Toimittajalla on oikeus laskuttaa tähän käytetyt työtunnit käyttämänsä tavanomaisen tuntihinnan mukaisesti. Toimittaja toimittaa ajankäyttöön ja laskutukseen liittyvän arvion etukäteen Asiakkaan hyväksyttäväksi.
Toimittaja ei lähtökohtaisesti vastaa suoraan Rekisteröityjen pyyntöihin.
Kun Rekisterinpitäjä käsittelee henkilötietoja, sen on toteutettava asianmukaiset toimenpiteet Rekisteröityjen tietosuojaoikeuksien toteuttamiseksi. Sen on myös helpotettava Rekisteröidyn oikeuksien käyttämistä.
Asiakkaalla on Palvelussa käytössään asiakasrekisterin hallinnan työkalu, jonka avulla Asiakas voi täyttää velvollisuutensa vastata pyyntöihin, jotka koskevat tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksien käyttämistä. Tällaisia oikeuksia voivat olla muun muassa, sellaisina kuin ne on tietosuoja-asetuksessa määritelty, rekisteröidyn oikeus saada pääsy tietoon, oikeus saada tieto korjatuksi, oikeus kieltää käsittely, oikeus tietojen poistamiseen (ns. "oikeus tulla unohdetuksi"), oikeus käsittelyn rajoittamiseen ja oikeus saada tiedot siirretyksi järjestelmästä toiseen.
Toimittaja välittää Asiakkaalle Käyttäjiltä saamansa tietopyynnöt viipymättä. Toimittaja ei lähtökohtaisesti vastaa tietopyyntöihin.
Rekisterinpitäjä voi auditoida omalla kustannuksellaan Käsittelijän tämän DPA-Sopimuksen tai henkilötietojen käsittelyä koskevan tietosuojalainsäädännön noudattamisen enintään kerran vuodessa. Rekisterinpitäjä voi pyytää auditoinnin suorittamista useammin, mikäli Rekisterinpitäjään sovellettava lainsäädäntö edellyttää tätä.
Käsittelijä saattaa tarvittaessa Rekisterinpitäjän saataville ne tiedot, jotka ovat tarpeen tässä Sopimuksessa ja tietosuojalainsäädännössä säädettyjen velvollisuuksien noudattamisen osoittamista varten. Käsittelijä sallii Rekisterinpitäjän tai Rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit Rekisterinpitäjää koskeviin Johku-Palvelun ostoprosessin osiin.
Auditointia pyytäessään Rekisterinpitäjän on esitettävä Käsittelijälle auditointisuunnitelma, josta ilmenee auditoinnin suunniteltu laajuus, kesto ja alkamispäivä, vähintään 30 päivää ennen auditoinnin suunniteltua alkamisajankohtaa. Jos auditoinnin suorittaa kolmas osapuoli, tulee auditoinnin suorittajan allekirjoittaa salassapitosopimus. Jos tietojen käsittely tapahtuu ympäristössä, jota käyttävät Käsittelijän muut asiakkaat tai muut kolmannet osapuolet, Käsittelijä voi perustelluista, turvallisuuteen liittyvistä syistä vaatia, että auditoinnin suorittaa Käsittelijän valitsema tai hyväksymä objektiivinen kolmas osapuoli.
Auditointi suoritetaan Toimittajan normaalin työajan puitteissa eikä se saa kohtuuttomasti häiritä Toimittajan liiketoimintaa. Asiakaslähtöisten auditointien kustannuksista vastaa Asiakas.
Sopijapuolet ovat vastuussa henkilötietojen käsittelystä toiselle tämän Sopimuksen sopijapuolelle aiheutuneesta vahingosta.
Toimittaja on vastuussa henkilötietojen käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja lainsäädännön pakottavia velvoitteita. Toimittaja ei ole vastuussa Asiakkaalle sopimusrikkomusten aiheuttamista välillisistä vahingoista tai kolmansien esittämistä vaatimuksista. Toimittajan sopimusrikkomuksia koskeva vahingonkorvausvastuu rajoittuu yhteenlaskettuna enimmäismääränä siihen summaan, joka on määritelty Johkun Ekosysteemisopimuksessa.
Mikäli Rekisteröidylle aiheutuu vahinkoa pakottavan henkilötietojen tietosuojaa koskevan lainsäädännön määräysten rikkomisesta, ei Toimittaja ole missään tapauksessa vastuussa Asiakkaan aiheuttamasta tai Asiakkaan vastuupiiriin muutoin kuuluvasta vahingosta.
Toimittaja voi muuttaa tämän Sopimuksen ehtoja samoin Pääsopimuksessa määritellyin ehdoin ja edellytyksin, kuin se voi muuttaa Pääsopimuksen ehtoja.
Seuraavassa lista Johkun tietojen käsittelyssä käyttämistä alihankkijoista:
Rooli: tekninen palvelinalusta, pilvipalvelu
Palvelimen fyysinen sijainti: Suomi (EU)
Tietojen siirtyminen EU:n tai ETA:n ulkopuolelle: Eivät siirry.
Tietosuojaseloste: Privacy Policy, https://upcloud.com/security-privacy/
DPA: https://upcloud.com/terms-of-service/#data-processing-agreement
Rekisterit, joita koskee: Kauppiaiden asiakasrekisterit, Johkun kauppiasrekisteri
Päivitetty: 29.6.2026
Tarkoitus: Sähköpostiviestien välitys
Palvelimen fyysinen sijainti: Chicago, USA
Tietojen siirtyminen EU:n tai ETA:n ulkopuolelle: Kyllä.
Siirtyvät henkilötiedot: Nimi, osoite, sähköposti, puhelinnumero, mahdolliset kauppiaan lomakkeilla kysymät tiedot.
Tietosuojaseloste: https://postmarkapp.com/eu-privacy
EU-U.S. Data Privacy Framework (DPF): Aktiivinen
Komission hyväksymät vakiolausekkeet: Postmark DPA, https://postmarkapp.com/dpa
Rekisterit, joita koskee: Kauppiaiden asiakasrekisterit
Päivitetty: 29.6.2026
Tarkoitus: tekstiviestipalvelut Johkun sisällä, silloin kun kauppias ottaa ne käyttöön
Palvelimen fyysinen sijainti: Puola (EU)
Tietojen siirtyminen EU:n tai ETA:n ulkopuolelle: Mahdollista.
Siirtyvät henkilötiedot: Puhelinnumero
Tietosuojaseloste: Privacy Policy, https://www.smsapi.com/en/privacy
Komission hyväksymät vakiolausekkeet: SMSAPI General Terms and DPA, https://www.smsapi.com/en/terms
Rekisterit, joita koskee: Kauppiaiden asiakasrekisterit
Päivitetty: 29.6.2026
Tarkoitus: Vahvan tunnistautumisen palvelut
Palvelimen fyysinen sijainti: EU
Tietojen siirtyminen EU:n tai ETA:n ulkopuolelle: Ei
Siirtyvät henkilötiedot: Nimi, syntymäaika, tunniste
Tietosuojaseloste: https://www.signicat.com/about/privacy-policy
Komission hyväksymät vakiolausekkeet: DPA, https://developer.signicat.com/terms/agreements/appendix-6-data-processing-agreement.html
Rekisterit, joita koskee: Kauppiaiden asiakasrekisterit
Päivitetty: 29.6.2026
Tarkoitus: Saatavuuksien, hinnan sekä tilauksien synkronointi OTA-kanavien ja Johkun välillä.
Palvelimen fyysinen sijainti: Useita sijainteja, EU ja USA
Tietojen siirtyminen EU:n tai ETA:n ulkopuolelle: Kyllä.
Siirtyvät henkilötiedot: Nimi, sähköposti, puhelinnumero, osoite, maa, varatut majoituskohteet
Tietosuojaseloste: Privacy Policy, https://channex.io/policy#privacy
Komission hyväksymät vakiolausekkeet: Channex DPA, https://channex.io/policy#privacy
Rekisterit, joita koskee: Kauppiaiden asiakasrekisterit
Päivitetty: 25.6.2026
Tarkoitus: Älylaitteiden, -lukituksen ja kulkuoikeuksien hallinta
Palvelimen fyysinen sijainti: USA
Tietojen siirtyminen EU:n tai ETA:n ulkopuolelle: Kyllä.
Siirtyvät henkilötiedot: PIN-koodi
Tietosuojaseloste: Privacy Policy, https://www.seam.co/legal/seam-privacy-notice
EU-U.S. Data Privacy Framework (DPF): Aktiivinen
Komission hyväksymät vakiolausekkeet: https://www.seam.co/trust-center
Rekisterit, joita koskee: Kauppiaiden asiakasrekisterit
Päivitetty: 29.6.2026
Tarkoitus: Fonttien käyttö, recaptcha, Google Workspace
Palvelimen fyysinen sijainti: Googlella on palvelinkeskuksia ympäri maailmaa: https://datacenters.google/locations/
Tietojen siirtyminen EU:n tai ETA:n ulkopuolelle: Mahdollista.
Siirtyvät henkilötiedot: Nimi, sähköposti, puhelinnumero
Tietosuojaseloste: Privacy Policy, https://cloud.google.com/terms/cloud-privacy-notice
EU-U.S. Data Privacy Framework (DPF): Aktiivinen
Komission hyväksymät vakiolausekkeet: Google Cloud DPA, https://cloud.google.com/terms/data-processing-addendum
Rekisterit, joita koskee: Kauppiaiden asiakasrekisterit, Johkun asiakasrekisteri
Päivitetty: 29.6.2026
Tarkoitus: Johku Ecosystem
Palvelimen fyysinen sijainti: USA
Tietojen siirtyminen EU:n tai ETA:n ulkopuolelle: Kyllä.
Siirtyvät henkilötiedot: Nimi, sähköposti
Tietosuojaseloste: Privacy Policy, https://trust.mightynetworks.com
EU-U.S. Data Privacy Framework (DPF): Ei
Komission hyväksymät vakiolausekkeet: Mighty Networks EU DPA, https://www.mightynetworks.com/dpa
Rekisterit, joita koskee: Johku Ecosystem -kauppiasyhteisö
Päivitetty: 29.6.2026 (palvelu suljetaan 31.7.2026)
Tarkoitus: Johkun asiakkuuksienhallinta ja markkinointi
Palvelimen fyysinen sijainti: USA (AWS, Digital Ocean)
Tietojen siirtyminen EU:n tai ETA:n ulkopuolelle: Kyllä.
Siirtyvät henkilötiedot: Nimi, sähköposti, puhelinnumero
Tietosuojaseloste: Privacy Policy, https://transpond.io/Privacy
Komission hyväksymät vakiolausekkeet: Transpond DPA, https://transpond.io/Dpa
Rekisterit, joita koskee: Johkun asiakasrekisteri
Päivitetty: 29.6.2026
Tarkoitus: Johkun asiakkuuksienhallinta
Palvelimen fyysinen sijainti: USA (AWS, Digital Ocean)
Tietojen siirtyminen EU:n tai ETA:n ulkopuolelle: Kyllä.
Siirtyvät henkilötiedot: Nimi, sähköposti, puhelinnumero
Tietosuojaseloste: Privacy Policy, https://capsulecrm.com/privacy/
Komission hyväksymät vakiolausekkeet: Capsule DPA, https://capsulecrm.com/dpa/
Rekisterit, joita koskee: Johkun asiakasrekisteri
Päivitetty: 25.6.2026
Tarkoitus: Johkun asiakkuuksienhallinta
Palvelimen fyysinen sijainti: USA
Tietojen siirtyminen EU:n tai ETA:n ulkopuolelle: Kyllä.
Siirtyvät henkilötiedot: Nimi, sähköposti, puhelinnumero
Tietosuojaseloste: Privacy Policy, https://zapier.com/privacy
EU-U.S. Data Privacy Framework (DPF): Aktiivinen
Komission hyväksymät vakiolausekkeet: Zapier DPA, https://zapier.com/legal/data-processing-addendum
Rekisterit, joita koskee: Johkun asiakasrekisteri
Päivitetty: 29.6.2026
