Henkilötietojen käsittelysopimus (DPA)


Osapuolet

Tämä henkilötietojen käsittelysopimus ("DPA") on osa Piilo Accounting Oy:n palvelun yleisiä sopimus- ja käyttöehtoja. Se on voimassa niin kauan kuin Asiakkaan ja Käsittelijän välinen palvelusopimus on voimassa.

Sopimus tehdään seuraavien osapuolten välillä:

Rekisterinpitäjä Yritys, yhdistys tai yhteisö, joka käyttää Piilo-palvelua ("Asiakas").

Käsittelijä Piilo Accounting Oy (Y-tunnus 3405733-9), Kap Hornin katu 7 A 25, 00220 Helsinki ("Käsittelijä")

Päivitetty 19.3.2026.

Määritelmät

Palvelu tarkoittaa Piilo Accounting Oy:n tarjoamaa Piilo-ohjelmistoa sekä siihen liittyviä toimintoja, integraatioita ja tukipalveluja, joita Asiakas käyttää palvelusopimuksen perusteella.

Sopimuksen tarkoitus

Tämä sopimus määrittelee ehdot, joiden mukaisesti Käsittelijä käsittelee henkilötietoja Asiakkaan puolesta Palvelun tarjoamiseksi.

Käsittelijä käsittelee henkilötietoja ainoastaan Asiakkaan dokumentoitujen ohjeiden mukaisesti. Tällaisia ohjeita ovat muun muassa tämä sopimus, Palvelun käyttöehdot sekä Asiakkaan Palvelun käytön yhteydessä suorittamat toimenpiteet.

Käsittelyn kohde ja tarkoitus

Henkilötietojen käsittelyn kohteena on Palvelun kautta käsiteltävä taloushallinto- ja kirjanpitoaineisto. Käsittelyn tarkoituksena on:

  • Palvelun tarjoaminen
  • Kirjanpidon ja taloushallinnon tietojen käsittely
  • Asiakassuhteen hallinta
  • Palvelun tietoturvan ja toimivuuden varmistaminen

Käsittelyn luonne ja kesto

Henkilötietojen käsittely tapahtuu niin kauan kuin Asiakkaan ja Käsittelijän välinen palvelusopimus on voimassa tai sen jälkeen siltä osin kuin laki vaatii säilyttämistä. Käsittely voi sisältää esimerkiksi:

  • Tietojen tallentamista
  • Järjestämistä
  • Säilyttämistä
  • Hakemista
  • Siirtämistä
  • Poistamista

Henkilötietojen tyypit

Käsiteltävät henkilötiedot voivat sisältää esimerkiksi:

  • Nimi
  • Sähköpostiosoite
  • Puhelinnumero
  • Organisaatio ja rooli
  • Laskutustiedot
  • Pankkitapahtumat
  • Kirjanpitotiedot
  • Maksutapahtumat
  • Sopimustiedot

Asiakas vastaa siitä, mitä henkilötietoja Palveluun tallennetaan.

Rekisteröityjen ryhmät

Henkilötietoja voivat koskea esimerkiksi:

  • Asiakkaan edustajat
  • Asiakkaan työntekijät
  • Asiakkaan asiakkaat
  • Asiakkaan toimittajat
  • Muut taloushallinnon osapuolet

Rekisterinpitäjän velvollisuudet

Asiakas toimii rekisterinpitäjänä ja vastaa siitä, että:

  • Henkilötietojen käsittelylle on laillinen peruste
  • Rekisteröidyille annetaan asianmukaiset tietosuojainformaatiot
  • Käsittelijälle annetut ohjeet ovat tietosuojalainsäädännön mukaisia

Käsittelijän velvollisuudet

Käsittelijä sitoutuu toteuttamaan ja ylläpitämään asianmukaisia teknisiä ja organisatorisia turvatoimia Asiakkaan henkilötietojen suojaamiseksi. Käsittelijä varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitoon.

  • Datan salaus: Henkilötietojen salaus siirron aikana
  • Pääsynhallinta: Pääsy tietoon on rajattu vain välttämättömään henkilöstöön, ja se edellyttää monivaiheista tunnistautumista (MFA). 
  • Infrastruktuuri: Palvelun isännöintiin käytetään pääsääntöisesti EU/ETA-alueella sijaitsevia, alan standardien mukaisesti sertifioituja konesaleja.
  • Jatkuvuus: Automaattinen, maantieteellisesti hajautettu varmuuskopiointi ja säännöllinen palautustestaus.
  • Ylläpito: Ohjelmiston ja infrastruktuurin säännöllinen päivitys sekä haavoittuvuuksien seuranta.

Alihankkijat (Sub-processors)

Käsittelijä voi käyttää Palvelun tuottamisessa alihankkijoita. Käsittelijä varmistaa, että alihankkijat sitoutuvat vastaaviin tietosuojavelvoitteisiin kuin tässä sopimuksessa.

Ajantasainen lista alihankkijoista on saatavilla Käsittelijän verkkosivuilla osoitteessa piilo.ai/alikasittelijat

Käsittelijä ilmoittaa uusista alikäsittelijöistä päivittämällä alikäsittelijöitä koskevan listan verkkosivuillaan tai muulla kohtuullisella tavalla vähintään 30 päivää ennen muutoksen voimaantuloa.

Asiakkaalla on oikeus vastustaa uutta alihankkijaa perustellusta, tietosuojaan liittyvästä syystä. Mikäli osapuolet eivät pääse yhteisymmärrykseen, kummallakin osapuolella on oikeus irtisanoa palvelusopimus päättymään välittömästi.

Henkilötietojen siirrot EU/ETA:n ulkopuolelle

Mikäli henkilötietoja siirretään EU/ETA-alueen ulkopuolelle, Käsittelijä varmistaa, että siirrot toteutetaan sovellettavan tietosuojalainsäädännön mukaisesti.

Siirrot voivat perustua esimerkiksi:

  • Euroopan komission mallisopimuslausekkeisiin (SCC)
  • EU:n riittävyyspäätökseen

Rekisteröityjen oikeudet ja avustaminen

Käsittelijä avustaa Asiakasta kohtuullisessa määrin rekisteröityjen oikeuksien toteuttamisessa (tietopyynnöt, oikaisu, poistaminen, rajoittaminen, siirrettävyys). Lisäksi Käsittelijä avustaa Asiakasta kohtuullisessa määrin tietosuojaa koskevien vaikutustenarviointien (DPIA) tekemisessä ja ennakkokuulemisissa viranomaisten kanssa, huomioiden käsittelyn luonteen ja Käsittelijän saatavilla olevat tiedot.

Tietoturvaloukkaukset

Käsittelijä ilmoittaa Asiakkaalle ilman aiheetonta viivytystä saatuaan tiedon henkilötietojen tietoturvaloukkauksesta.

Tietojen poistaminen sopimuksen päättyessä

Palvelusopimuksen päättyessä Käsittelijä poistaa henkilötiedot kohtuullisen ajan kuluessa, ellei sovellettava lainsäädäntö edellytä tietojen säilyttämistä.

Sopimuksen suhde käyttöehtoihin

Tämä DPA muodostaa osan Palvelun yleisiä sopimus ja -käyttöehtoja.

Mikäli tämän sopimuksen ja käyttöehtojen välillä on ristiriita henkilötietojen käsittelyn osalta, sovelletaan tämän DPA:n ehtoja.

Tarkastusoikeus

Käsittelijä antaa Asiakkaalle kaikki tiedot, jotka ovat tarpeen tässä sopimuksessa säädettyjen velvollisuuksien noudattamisen osoittamiseksi. Käsittelijä sallii Asiakkaan tai muun Asiakkaan valtuuttaman riippumattoman tarkastajan suorittamat tarkastukset. Tarkastuksista on sovittava vähintään 14 vuorokautta etukäteen, ne on suoritettava Käsittelijän normaaleina työaikoina, ja ne tapahtuvat Asiakkaan kustannuksella. Tarkastukset eivät saa vaarantaa muiden asiakkaiden tietoturvaa, liikesalaisuuksia tai Palvelun normaalia toimintaa.