Päivitetty viimeksi: 2026-04-27 · Versio 1.0
Henkilötietojen käsittelysopimus
Palvelu: Billify
Voimaantulopäivä: 2026-04-27
Versio: 1.0
Muutoshistoria:
- 2026-04-27 (v1.0): Ensijulkaisu.
Johdanto
Tämä henkilötietojen käsittelysopimus ("DPA") on tehty seuraavien osapuolten välillä:
Rekisterinpitäjä: Asiakas, joka on hyväksynyt Billifyn käyttöehdot ("Asiakas" tai "Rekisterinpitäjä"); ja
Henkilötietojen käsittelijä: NodeIT Ab Oy, Y-tunnus 3475122-4, rekisteröity osoitteessa Sundåkersvägen 5, 68620 Jakobstad, Suomi ("Billify" tai "Käsittelijä").
Tämä DPA on osa Billifyn käyttöehtoja ja säätelee Billifyn suorittamaa henkilötietojen käsittelyä Asiakkaan puolesta Billify-laskutuspalvelun ("Palvelu") tarjoamisen yhteydessä. Tämän DPA:n ja käyttöehtojen välillä mahdollisesti esiintyvissä ristiriidoissa tämä DPA on ensisijainen henkilötietojen käsittelyn osalta.
Osapuolet tekevät tämän DPA:n täyttääkseen asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus — "GDPR") 28 artiklan vaatimukset.
Tämä DPA tulee voimaan automaattisesti, kun Asiakas hyväksyy käyttöehdot. Allekirjoitettu PDF-kopio on pyydettäessä saatavilla osoitteesta legal@billify.fi Asiakkaille, jotka tarvitsevat sitä omaa vaatimustenmukaisuuttaan varten.
1. Käsittelyn kohde, luonne ja tarkoitus
1.1 Kohde
Billify käsittelee henkilötietoja Asiakkaan puolesta mahdollistaakseen Asiakkaan:
- Ylläpitää asiakastietokantaansa (loppuasiakkaita) ja niihin liittyviä yhteystieto- ja laskutustietoja;
- Luoda, tallentaa, hallita ja lähettää laskuja näille asiakkaille;
- Toimittaa laskuja asiakkaille sähköpostitse ja tarjota julkinen laskunäkymä;
- Luoda laskujen PDF-tiedostoja.
1.2 Käsittelyn luonne
Suoritettavat käsittelyoperaatiot sisältävät: tallentamisen, hakemisen, näyttämisen, päivittämisen, siirtämisen (sähköpostin toimittaminen), poistamisen, PDF-renderöinnin ja laskun viitenumeroiden luomisen.
1.3 Tarkoitus
Käsittely suoritetaan ainoastaan Palvelun tarjoamiseksi Asiakkaalle käyttöehtojen mukaisesti.
1.4 Kesto
Käsittely jatkuu Asiakkaan Billify-tilin keston ajan. Aktiivisen tilin aikana Asiakas voi poistaa yksittäisiä asiakastietueita ja laskuluonnoksia milloin tahansa Billify-sovelluksen kautta. Lähetettyjä tai maksettuja laskuja ei voi poistaa sovelluksen kautta (tämä on tarkoituksellinen suojatoimi, jotta Asiakkaat eivät vahingossa tuhoa kirjanpitovelvollisuuksiensa kannalta tarpeellisia tietueita); lähetettyjen tai maksettujen laskujen poistaminen tapahtuu kirjallisella pyynnöllä osoitteeseen privacy@billify.fi. Täydellinen käsittely päättyy tilin irtisanomiseen (Asiakkaan pyynnöstä tai käyttöehtojen mukaisesti), minkä jälkeen tarjotaan 30 päivän vientikkuna kohdan 9 mukaisesti. Billify täyttää myös erityiset kirjalliset poistovaatimukset, jotka on toimitettu osoitteeseen privacy@billify.fi, kaupallisesti kohtuullisessa ajassa, ellei laillinen säilytysvelvoite estä sitä.
2. Käsiteltävien henkilötietojen tyypit
Tämän DPA:n mukaiset käsiteltävien henkilötietojen kategoriat ovat ne, jotka Asiakas syöttää Billify-palveluun laskutustoimintansa yhteydessä. Billify-datamallin perusteella nämä sisältävät:
2.1 Asiakas- (loppuasiakas-) tiedot
| Kategoria | Kentät |
|---|---|
| Tunnistaminen | Nimi (henkilö tai yritys), organisaatiotunnus |
| Yhteystiedot | Sähköpostiosoite |
| Sijainti | Katuosoite, postinumero, kaupunki, maa |
| Asetukset | Ensisijainen laskun kieli |
2.2 Laskutiedot
| Kategoria | Kentät |
|---|---|
| Laskun otsikko | Laskunumero, tila, päivämäärä, eräpäivä, valuutta, kieli |
| Viitteet | "Meidän viitteemme", "teidän viitteenne" (voivat sisältää henkilönimiä) |
| Huomautukset | Vapaamuotoinen huomautuskenttä (voi sisältää henkilötietoja) |
| Rivit | Kuvaus, määrä, yksikköhinta, ALV-kanta |
2.3 Tiedot, joita Asiakas ei hallitse tämän DPA:n mukaisesti
Seuraavia tietoja käsittelee Billify rekisterinpitäjänä (ei tämän DPA:n mukaisesti): Asiakkaan omia tilitietoja (sähköposti, yritysprofiili, tilausdata).
3. Rekisteröityjen kategoriat
Rekisteröidyt, joiden henkilötietoja käsitellään tämän DPA:n mukaisesti, ovat:
- Asiakkaan asiakkaat ja yhteyshenkilöt (luonnolliset henkilöt, joko yksityiset henkilöt tai oikeushenkilöiden työntekijät/edustajat), joiden tiedot Asiakas syöttää Billify-asiakastietokantaan tai laskutietueisiin.
Asiakas vastaa siitä, sisältävätkö sen asiakkaat luonnollisia henkilöitä, ja varmistaa, että heidän tietojensa käsittelyllä on käsittelyperuste.
4. Käsittelijän velvollisuudet
4.1 Ohjeet
Billify käsittelee henkilötietoja ainoastaan Asiakkaan dokumentoiduilla ohjeilla, jotka ilmaistaan Asiakkaan palvelun käytön kautta (tietueiden luominen, katsominen, muokkaaminen, lähettäminen ja poistaminen). Billify ei käsittele Asiakkaan tietoja muuhun tarkoitukseen.
Jos EU:n tai Suomen laki edellyttää Billifyä käsittelemään henkilötietoja tavalla, jota Asiakas ei ole ohjannut, Billify ilmoittaa Asiakkaalle kyseisestä lakisääteisestä vaatimuksesta ennen käsittelyä (ellei laki kiellä tätä).
4.2 Salassapito
Billify varmistaa, että henkilötietojen käsittelyyn valtuutetut henkilöt ovat asianmukaisten salassapitovelvollisuuksien (sopimuksellisten tai lakisääteisten) alaisia.
4.3 Tietoturva (tekniset ja organisatoriset toimenpiteet — TOM)
Billify toteuttaa seuraavat tietoturvatoimenpiteet (perustuen todelliseen järjestelmäarkkitehtuuriin tämän DPA:n päivämäärän mukaisesti):
Salaus
- Siirron aikana: Kaikki käyttäjien selainten ja Billifyn välillä siirrettävä tieto sekä Billifyn sovelluskerroksen ja sen alikäsittelijöiden (Supabase, Stripe, Resend) välillä siirrettävä tieto on salattu TLS 1.2:lla tai korkeammalla.
- Levossa: Kaikki Supabase PostgreSQL:ssä ja Supabase Storagessa tallennettu tieto on salattu levossa AES-256:lla, Supabasen ja sen alla olevan pilvipalveluntarjoajan (AWS) hallinnoimana.
Pääsynhallinta
- Rivitason suojaus (Row-Level Security, RLS): Pakollinen tietokantatasolla (PostgreSQL); jokainen Billify-käyttäjä voi ainoastaan lukea ja kirjoittaa omia rivejään. Asiakkaat eivät pääse toistensa tietoihin.
- Todennus: Käyttäjät todentautuvat sähköpostilla ja salasanalla (tiivistetty bcrypt:llä; Supabase Auth:n hallinnoimana). Istunnot ylläpidetään vain HTTP:hen rajoitettujen selainevästeiden kautta.
- Palveluroolin eristäminen: Hallinnolliset tietokantaoperaatiot (esim. Stripe webhook -käsittely) käyttävät erillistä palveluroolin avainta asianmukaisilla laajuusrajoituksilla; tätä avainta ei luovuteta asiakkaille.
- Vähimmäisoikeudet: Laskureiden päivitykset on rajoitettu PostgreSQL:ssä sarake- ja käytäntötason hallintakeinoilla; vain nimetty tietokantafunktio voi kasvattaa laskuria.
Saatavuus ja eheys
- Varmuuskopiointi: Päivittäiset varmuuskopiot 7 päivän säilytysajalla Supabase Free-suunnitelman kautta. Pisteenaikainen palautus ei ole saatavilla Free-suunnitelmalla. Billify arvioi varmuuskopiointimahdollisuudet uudelleen, jos Supabase-suunnitelmatasoa muutetaan.
- Webhook-eheys: Stripe webhook -allekirjoitukset tarkistetaan kryptografisesti vastaanotettaessa väärenneltyjen maksutapahtumien syöttämisen estämiseksi.
Haavoittuvuuksien hallinta
- Riippuvuudet hallitaan npm:n kautta; päivityksiä tulee tarkistaa säännöllisesti
(esim. käyttäen
npm audittai Dependabotia). Tunkeutumistestausta tulee suorittaa vähintään vuosittain ennen yleistä saatavuusjulkaisua.
Asiakas tunnustaa, että mikään järjestelmä ei ole täydellisen turvallinen ja että Billifyn tietoturvatoimenpiteet edustavat kohtuullisia alan standardin mukaisia varotoimia, jotka ovat asianmukaisia käsitellyn tiedon luonteeseen nähden.
Billify tarkistaa ja tarvittaessa päivittää nämä toimenpiteet teknologisen kehityksen ja käsittelyn riskin valossa.
4.4 Alikäsittelijät
Asiakas valtuuttaa Billifyn käyttämään tämän DPA:n liitteessä 1 lueteltuja alikäsittelijöitä. Billify:
- Asettaa jokaiselle alikäsittelijälle tietosuojavelvollisuudet, jotka ovat vähintään yhtä suojaavia kuin tässä DPA:ssa;
- Vastaa Asiakkaalle alikäsittelijän velvollisuuksien täyttämisestä GDPR:n mukaisesti.
Muutosilmoitus
Billify ilmoittaa Asiakkaalle alikäsittelijän aiotusta lisäämisestä tai korvaamisesta sähköpostitse rekisteröidyn tilin sähköpostiosoitteeseen vähintään 30 päivää ennen muutoksen voimaantuloa. Asiakas voi vastustaa muutosta kirjallisesti tuona aikana. Jos Asiakas vastustaa ja osapuolet eivät pääse sopimukseen, Asiakas voi irtisanoa kyseisiä palveluita koskevan sopimuksen ilman sanktioita.
4.5 Rekisteröityjen oikeuksien avustaminen
Billify avustaa Asiakasta rekisteröityjen oikeuksiin liittyvien pyyntöjen täyttämisessä (GDPR:n 15–22 artikla) siltä osin kuin tällaiset pyynnöt koskevat tämän DPA:n mukaisia tietoja:
- Tarjoamalla Asiakkaalle tekniset keinot asiakastietojen käyttöön, korjaamiseen ja poistamiseen Billify-sovelluksen kautta, ja täyttämällä tietojen siirtopyyntöjä (GDPR:n 20 art.) tiliasetuksissa saatavilla olevan itsepalveluvientitoiminnon kautta.
- Toimittamalla Asiakkaalle viipymättä kaikki suoraan Billifylle tulleet pyynnöt, jotka koskevat tämän DPA:n mukaisia tietoja.
Nykyinen toteutushuomio: Yksittäiset laskujen PDF-tiedostot voidaan ladata Billify-käyttöliittymästä. Asiakastietueet ja luonnosmaiset laskut voi poistaa sovelluksessa milloin tahansa aktiivisen tilin aikana. Itsepalveluinen tietovienti (jäsennelty ZIP-tiedosto sisältäen profiilin, asiakastietueet, laskut ja PDF-kopiot jokaisesta laskusta) on saatavilla tiliasetuksissa kohdassa "Vie tietosi", toteuttaen GDPR:n 20 artiklan siirrettävyysvaatimuksen. Lähetettyjen tai maksettujen laskujen poistaminen ja täydellinen tilin poistaminen suoritetaan edelleen kirjallisella pyynnöllä osoitteeseen privacy@billify.fi 30 päivän kuluessa vastaanotosta.
4.6 Tietosuojavaikutusten arvioinnit
Billify antaa kohtuullista apua Asiakkaalle GDPR:n 35 artiklan mukaisessa tietosuojan vaikutustenarvioinnissa (DPIA), joka liittyy tämän DPA:n mukaiseen käsittelyyn, mukaan lukien tarjoamalla asiaankuuluvia tietoja käsittelytoimistaan ja tietoturvatoimenpiteistään.
4.7 Tarkastusoikeudet
Asiakkaan kirjallisesta pyynnöstä (vähintään 30 päivän ennakkoilmoituksella) Billify asettaa Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen tämän DPA:n vaatimustenmukaisuuden osoittamiseksi, mukaan lukien:
- Dokumentaatio tietoturvatoimenpiteistä ja alikäsittelijäsopimuksista;
- Vastaukset tietoturvakysymyksiin.
Asiakas voi myös tarkastaa Billifyn vaatimustenmukaisuuden enintään kerran kalenterivuodessa, Asiakkaan kustannuksella, käyttäen molempien osapuolten sopimaa riippumatonta tarkastajaa, joka on allekirjoittanut salassapitosopimuksen. Tarkastajan laajuus rajoittuu suoraan tähän DPA:han liittyviin asioihin.
Jos tietoturvapoikkeama tai valvontaviranomainen edellyttää lisätarkastuksia, osapuolet sopivat laajuudesta ja kustannuksista vilpittömässä mielessä.
5. Rekisterinpitäjän velvollisuudet
Asiakas (Rekisterinpitäjänä) vakuuttaa ja takaa, että:
- Sillä on GDPR:n mukainen käsittelyperuste henkilötietojen toimittamiseksi Billifylle ja asiakkaidensa henkilötietojen käsittelemiseksi tässä DPA:ssa kuvatulla tavalla;
- Se on antanut asianmukaiset läpinäkyvyysilmoitukset asiakkailleen (rekisteröityille) käsittelystä;
- Se ohjeistaa Billifyä käsittelemään henkilötietoja ainoastaan sovellettavan lain mukaisesti;
- Se ilmoittaa Billifylle viipymättä, jos jokin sen ohjeista edellyttäisi Billifyä rikkomaan sovellettavaa lakia.
6. Alikäsittelijät
Liite 1 — Hyväksytyt alikäsittelijät
| Alikäsittelijä | Tarkoitus | Käsiteltävät tiedot | Sijainti | Siirtomekanismi |
|---|---|---|---|---|
| Supabase Inc. | Tietokanta, todennus, tiedostosäilytys | Kaikki asiakasdata | EU — AWS eu-west-1 (Irlanti) | Tiedot käsitellään EU:ssa; ei kansainvälistä siirtoa. Supabasen DPA. |
| Resend Inc. (Plus Five Five, Inc.) | Transaktiosähköpostipalvelu | Vastaanottajan sähköposti, laskunumero, laskun URL, Asiakkaan yrityksen nimi, asiakkaan nimi | Yhdysvallat | Vakiosopimuslausekkeet (EU:n komission päätös 2021/914, moduuli 3) Resendin DPA:han sisällytettynä (automaattisesti tehty ToS:n hyväksymisen yhteydessä) + EU–USA-tietosuojakehyksen sertifiointi |
| Render Services, Inc. | Sovelluksen isännöinti | HTTP-liikenne (IP, otsikot); ei sisällä sovelluspalvelintietokantaa | EU — Frankfurt, Saksa | Tiedot käsitellään EU:ssa; ei kansainvälistä siirtoa. Renderin DPA. |
Huomio Stripestä: Stripe Payments Europe, Ltd. käsittelee Billifyn omia tilauslaskutustietoja (Asiakkaan sähköpostiosoite, Stripe-tunnisteet ja Asiakkaan Billify-tilaukseen liittyvät maksutapahtumat). Tässä suhteessa Billify toimii rekisterinpitäjänä ja Stripe henkilötietojen käsittelijänä (tai itsenäisenä rekisterinpitäjänä maksukorttidata PCI DSS:n mukaisesti). Tämä käsittely on tämän DPA:n soveltamisalan ulkopuolella ja sitä säätelee tietosuojaseloste ja Stripen omat ehdot. Stripe ei vastaanota Asiakkaan Billify-palveluun lataamaa loppuasiakasdataa.
7. Kansainväliset tiedonsiirrot
Siltä osin kuin tämän DPA:n mukaisia henkilötietoja siirretään Euroopan talousalueen (ETA) ulkopuoliseen maahan, siirto tapahtuu jotakin seuraavista suojatoimista käyttäen:
- Euroopan komission tekemä riittävyyspäätös (GDPR:n 45 artikla);
- Euroopan komission hyväksymät vakiosopimuslausekkeet (SCC) (GDPR:n 46(2)(c) artikla); tai
- Muu asianmukainen suojatoimi GDPR:n 46 artiklan mukaisesti.
Sovellettava mekanismi kunkin alikäsittelijän osalta on yksilöity liitteessä 1.
Vahvistetuista alikäsittelijöistä ainoastaan Resend sisältää siirron ETA:n ulkopuolelle (Yhdysvaltoihin). Supabase (AWS eu-west-1, Irlanti) ja Render (Frankfurt, Saksa) käsittelevät tietoja EU:ssa.
Billify ei siirrä asiakasdata ETA:n ulkopuolelle ennen kuin se on ottanut käyttöön asianmukaisen siirtomekanismin. Asiakas valtuuttaa liitteessä 1 kuvatut siirrot hyväksymällä tämän DPA:n.
8. Henkilötietojen tietoturvaloukkauksen ilmoittaminen
8.1 Ilmoitus Asiakkaalle
Billify ilmoittaa Asiakkaalle ilman aiheetonta viivytystä tultuaan tietoiseksi henkilötietojen tietoturvaloukkauksesta, joka koskee tämän DPA:n mukaisia asiakasdata. Billify pyrkii ilmoittamaan Asiakkaalle 24 tunnin kuluessa loukkauksen havaitsemisesta.
Ilmoitukset lähetetään sähköpostitse Asiakkaan ensisijaiseen tiliinsä rekisteröityyn sähköpostiosoitteeseen, täydennettynä sovelluksensisäisellä ilmoituksella teknisesti mahdollisuuksien mukaan. Asiakkaat ovat vastuussa rekisteröidyn sähköpostiosoitteensa ajantasaisuudesta varmistaakseen tällaisten ilmoitusten oikea-aikaisen vastaanottamisen.
Ilmoitus sisältää, siinä määrin kuin se on tiedossa tuona hetkenä:
- Kuvauksen loukkauksen luonteesta, mukaan lukien (mahdollisuuksien mukaan) rekisteröityjen kategoriat ja likimääräinen lukumäärä sekä loukattujen henkilötietueiden lukumäärä;
- Loukkauksen todennäköiset seuraukset;
- Loukkauksen korjaamiseksi ja sen vaikutusten lieventämiseksi toteutetut tai suunnitellut toimenpiteet.
Billify voi antaa nämä tiedot vaiheittain, jos kaikkia yksityiskohtia ei ole heti saatavilla, ilmoittaen selvästi, että ilmoitus on alustava.
8.2 Ilmoitus valvontaviranomaiselle
Asiakas, Rekisterinpitäjänä, vastaa ilmoittamisesta asiaankuuluvalle valvontaviranomaiselle (Suomessa: Tietosuojavaltuutetun toimisto) 72 tunnin kuluessa loukkauksen havaitsemisesta, GDPR:n 33 artiklan mukaisesti.
Billify antaa Asiakkaalle kaikki tarvittavat tiedot ja apua tämän ilmoituksen tekemiseksi ja tarvittaessa rekisteröityjen tiedottamiseksi GDPR:n 34 artiklan mukaisesti.
9. Tietojen palauttaminen ja poistaminen
Asiakkaan tilin irtisanomisen tai päättymisen yhteydessä:
- Irtisanomisen jälkeen Asiakkaalla on 30 päivän vientikkuna, jonka aikana hän voi ottaa yhteyttä osoitteeseen privacy@billify.fi pyytääkseen saatavilla olevan tiedon vientiä. Asiakasdata ei poistu automaattisesti tämän ikkunan päättyessä.
- Kirjallisesta pyynnöstä osoitteeseen privacy@billify.fi (tehty 30 päivän ikkunan
aikana tai sen jälkeen) Billify poistaa tai anonymisoi pysyvästi kaikki tämän
DPA:n mukaiset asiakasdata kaupallisesti kohtuullisessa ajassa, paitsi siltä osin
kuin:
- Sovellettava EU:n tai Suomen laki edellyttää Billifyä säilyttämään tietoja itsenäisenä rekisterinpitäjänä (esim. Billifyn omat talous- ja kirjanpitotiedot kirjanpitolain mukaisesti) — tämä poikkeus ei koske tämän DPA:n mukaisia Asiakkaan lasku- tai asiakasdata, joihin Asiakkaalla (rekisterinpitäjänä) on mahdolliset kirjanpidon säilytysvelvoitteet; tai
- Tiedot ovat varmuuskopiointijärjestelmissä, jolloin ne poistetaan osana normaalia varmuuskopiokierrätyssykliä (Supabase-alustan varmuuskopiointikäytännön mukaisesti).
Nykyinen toteutushuomio: Itsepalveluinen tilin poisto on käytettävissä tiliasetuksissa. Kun tilisi poistetaan, se siirtyy 30 päivän armoaikaan, jonka aikana voit peruuttaa poiston kirjautumalla sisään ja napsauttamalla "Peruuta poisto". Armoajan jälkeen kaikki tietosi poistetaan pysyvästi. Billify säilyttää omat tilauksen laskutustietueensa 6 vuotta kirjanpitolain (KPL 2:10a) mukaisesti. Itsepalveluinen tietojen vienti on myös käytettävissä tiliasetuksissa.
Poiston valmistuessa Billify vahvistaa kirjallisesti pyynnöstä.
Kirjanpidon säilytysvelvoitteet: Asiakas, rekisterinpitäjänä, vastaa mahdollisista kirjanpidon säilytysvelvoitteista, jotka koskevat heidän lähettämiään laskuja. Suomalainen kirjanpitolaki ja vastaava ruotsalainen kirjanpitolainsäädäntö asettavat säilytysvelvoitteita yrityksille, ei Billifylle käsittelijänä. Billify suosittelee, että Asiakkaat vievät ja säilyttävät itsenäiset kopiot laskutietueistaan eivätkä luota Billifyyn yksinomaisena pitkäaikaisarkistona tiedoille, joita heidän on lakisääteisesti säilytettävä.
10. Vastuu
Kummankin osapuolen vastuu toiselle tämän DPA:n mukaisesti on Billifyn käyttöehtojen kohdan 9 mukaisten rajoitusten alainen, paitsi että:
- Vastuu tämän DPA:n rikkomisesta ei saa olla rajoitetumpaa kuin vastuu käyttöehtojen mukaisesti;
- Tämä DPA ei rajoita kummankaan osapuolen vastuuta valvontaviranomaiselle tai rekisteröidyille GDPR:n rikkomisesta.
Rekisterinpitäjän ja Käsittelijän välisissä suhteissa Asiakas vastaa sakoista tai rangaistuksista, jotka johtuvat Asiakkaan rekisterinpitäjävelvollisuuksien täyttämättä jättämisestä, ja Billify vastaa sakoista tai rangaistuksista, jotka johtuvat Billifyn käsittelijävelvollisuuksien täyttämättä jättämisestä, siinä määrin kuin ne ovat kuhunkin osapuoleen kohdistettavissa.
11. Sopimuksen voimassaolo ja irtisanominen
Tämä DPA tulee voimaan sinä päivänä, kun Asiakas hyväksyy käyttöehdot, ja pysyy voimassa Asiakkaan tilin irtisanomiseen asti. Tämän DPA:n irtisanominen ei vaikuta jo käsiteltyä dataa koskeviin velvollisuuksiin, mukaan lukien kohdan 9 mukaisiin poistovelvollisuuksiin.
12. Kansainväliset siirrot — vakiosopimuslausekkeet
Siltä osin kuin Billify siirtää asiakasdata kolmansia maita koskeville alikäsittelijöille vakiosopimuslausekkeita käyttäen:
- Euroopan komission päätöksellä 2021/914 (moduuli 3: Käsittelijältä käsittelijälle) hyväksytyt vakiosopimuslausekkeet sisällytetään viittauksella tähän DPA:han tällaisten siirtojen osalta.
- Billify, tiedon viejänä, ja asiaankuuluva alikäsittelijä, tiedon tuojana, ovat kyseisten vakiosopimuslausekkeiden osapuolia.
- Asiakas (Rekisterinpitäjä) valtuuttaa Billifyn tekemään tällaiset vakiosopimuslausekkeet sen puolesta alavirtana olevana rekisterinpitäjänä vakiosopimuslausekkeiden 9(b) lausekkeen mukaisesti.
Huomio vakiosopimuslausekkeiden moduuleista: Jos Asiakas itse siirtää tietoja EU:n ulkopuolelta Billifylle (eli jos Asiakas on sijoittautunut ETA:n ulkopuolelle), saattaa lisäksi tarvita Rekisterinpitäjältä Käsittelijälle -vakiosopimuslausekkeita (moduuli 2). Oikeudellisen neuvonantajan tulee vahvistaa sovellettava moduuli Asiakkaan sijoittumispaikan perusteella.
13. Sovellettava laki
Tähän DPA:han sovelletaan Suomen lakia ja soveltuvin osin suoraan sovellettavaa EU:n lainsäädäntöä (mukaan lukien GDPR). Riidat ratkaistaan käyttöehtojen riidanratkaisumääräysten mukaisesti.
14. Kieli
Tämä henkilötietojen käsittelysopimus on saatavilla englanniksi, suomeksi (henkilötietojen käsittelysopimus) ja ruotsiksi (personuppgiftsbiträdesavtal). Kunnes käännetyt versiot on virallisesti tarkastanut ja vahvistanut pätevä lakimies, englanninkielinen versio on ensisijainen mahdollisten kieliversioiden välisten ristiriitojen tapauksessa. Tätä etusijasääntöä arvioidaan uudelleen ja sitä voidaan muuttaa, kun kaikkien kieliversioiden oikeudellinen tarkastus on valmis.
15. Yhteystiedot tietosuoja-asioissa
Billify (Käsittelijä)
Tietosuojaa koskevat yhteydenotot: privacy@billify.fi
Osoite: Sundåkersvägen 5, 68620 Jakobstad, Suomi
Asiakas (Rekisterinpitäjä)
Yhteystiedot: Asiakkaan Billify-tilille rekisteröity sähköpostiosoite.
Liite 2 — Käsittelytoimintojen yhteenveto
| Käsittelytoiminto | Käsitellyt henkilötiedot | Tarkoitus | Säilytys |
|---|---|---|---|
| Asiakastietueiden tallentaminen asiakastietokantaan | Nimi, organisaatiotunnus, sähköposti, osoite, ensisijainen kieli | Laskujen luomisen ja hallinnan mahdollistaminen | Yksittäisiä tietueita voi poistaa Asiakas milloin tahansa aktiivisen tilin aikana Billify-sovelluksen kautta. Kaikkien tilitietojen osalta säilytetään, kunnes Asiakas lähettää kirjallisen poistopyynnön osoitteeseen privacy@billify.fi. Tilin irtisanomisen jälkeen tarjotaan 30 päivän vientikkuna; tietoja ei poisteta automaattisesti vientikkunan päättyessä, vaan ne säilyvät, kunnes kirjallinen poistopyyntö vastaanotetaan. |
| Laskutietueiden tallentaminen | Laskun otsikko, rivit, viitteet, muistiinpanot | Laskujen luominen ja hallinta | Laskuluonnoksia voi poistaa Asiakas milloin tahansa aktiivisen tilin aikana Billify-sovelluksen kautta. Lähetettyjä tai maksettuja laskuja ei voi poistaa sovelluksessa; poistaminen edellyttää kirjallista pyyntöä osoitteeseen privacy@billify.fi. Kaikkien tilitietojen osalta säilytetään, kunnes Asiakas lähettää kirjallisen poistopyynnön osoitteeseen privacy@billify.fi. Tilin irtisanomisen jälkeen tarjotaan 30 päivän vientikkuna; tietoja ei poisteta automaattisesti vientikkunan päättyessä, vaan ne säilyvät, kunnes kirjallinen poistopyyntö vastaanotetaan. |
| Laskun lähettäminen sähköpostitse (Resendin kautta) | Vastaanottajan sähköposti, asiakkaan nimi, laskunumero, laskun URL | Laskun toimittaminen asiakkaalle | Sähköpostiloki säilytetään Resendin käytännön mukaisesti |
| Julkisen laskunäkymän renderöinti | Asiakkaan nimi, laskun sisältö | Asiakkaan pääsyn mahdollistaminen laskuunsa | Ei lisäkäsittelyä; tiedot tarjoillaan sovelluspalvelintietokannasta |
| PDF-laskun luominen | Kaikki laskutus- ja profiilitiedot | Ladattavan laskun PDF:n tuottaminen | PDF luodaan pyydettäessä; ei pysyvästi tallennettu |