Enkora

Henkilötietojen käsittelyehdot (DPA)

Enkora-järjestelmään tallennetaan tietoja asiakkaidemme omista asiakkaista, jäsenistä ja käyttäjistä. Asiakaamme päättää, mitä tietoja järjestelmään tallennetaan ja mihin niitä käytetään. Enkora käsittelee tietoja asiakkaamme ohjeiden mukaan.

Tällä sivulla kerromme tarkemmin, miten käsittely tapahtuu. Kerromme myös miten varmistamme, että tietoja käsitellään turvallisesti ja tietosuojalainsäädännön mukaisesti.

Sivu päivitetään tarvittaessa. Viimeksi päivitetty: 20.5.2026

1. Ehtojen kohde

Näissä ehdoissa kuvataan, miten Enkora Oy käsittelee henkilötietoja rekisterinpitäjänä toimivan asiakkaan toimeksiannosta. Ehdot perustuvat IT2022 EHK -erityisehtoihin ja IT2022 YSE -yleisiin sopimusehtoihin. Ehdot täydentävät asiakkaan ja Enkoran välistä pääsopimusta.

2. Osapuolet ja yhteyshenkilöt

Rekisterinpitäjä (asiakas): palvelun tilaaja, joka käyttää Enkora-järjestelmää ja vastaa henkilötietojen käsittelyn lainmukaisuudesta.

Henkilötietojen käsittelijä: Enkora Oy, Hermannin Rantatie 2 B, 00580 Helsinki, Y-tunnus 2073424-7

Yhteydenotot: tuki@enkora.fi

3. Henkilötietojen käsittelyn luonne ja tarkoitus

Enkora käsittelee henkilötietoja asiakkaan puolesta silloin, kun asiakas käyttää Enkora-järjestelmää SaaS-palveluna. Järjestelmä sisältää varaus- ja ajanvarausjärjestelmän, kassajärjestelmän, kulunvalvonnan, asiakashallinnan (CRM), verkkokaupan, mobiilisovelluksen (OnTheMove) sekä älylukkojärjestelmän.

Henkilötietojen käsittelyn tarkoituksena on mahdollistaa asiakkaan liiketoimintaprosessit, kuten jäsenyyksien hallinta, tilavaraukset, kulunvalvonta, maksutapahtumat, asiakasviestintä ja raportointi.

4. Käsiteltävät henkilötiedot ja rekisteröityjen ryhmät

Käsiteltävät henkilötiedot:

  • Yksilöinti- ja yhteystiedot (nimi, sähköpostiosoite, puhelinnumero, postiosoite, yritysasiakkailla Y-tunnus)
  • Tilitiedot (käyttäjätunnus, hajautettu salasana, rooli- ja käyttöoikeustiedot, tunnisteet kuten RFID/viivakoodi/PIN)
  • Taloustiedot (maksutapahtumat, tilisaldo, laskutustiedot, ostohistoria. Maksukorttitiedot puolestaan käsitellään ulkoisen maksunvälittäjän kautta.)
  • Käyttö- ja toimintatiedot (kulunvalvonnan sisään-/uloskirjaukset, tilojen käyttötiedot, varaushistoria, jäsenyys- ja tilaustiedot, käyntitiheys)
  • Demografiatiedot (asiakasryhmäluokittelu kuten onko lapsi, aikuinen, seniori jne; sukupuoli; muut tunnisteet)
  • Viestintäasetukset (markkinointiluvat ja -tilaukset, kielivalinta)
  • Laite- ja tunnistetiedot (RFID-korttinumerot, viivakoodit, PIN-koodit)

Rekisteröityjen ryhmät:

  • Asiakkaan jäsenet ja rekisteröityneet loppukäyttäjät
  • Asiakkaan asiakkaat (kertakävijät ja varauksentekijät)
  • Asiakkaan yritysasiakkaat ja niiden yhteyshenkilöt
  • Asiakkaan työntekijät ja järjestelmän käyttäjät
  • Jäsenyyksien ja tilausten haltijat

5. Tietoturvatoimenpiteet

Enkora toteuttaa seuraavat tietoturvatoimenpiteet:

  • Salaus: HTTPS/SSL-salaus kaikessa tiedonsiirrossa (automaattisesti uusittavat sertifikaatit)
  • Pääsynhallinta: roolipohjainen käyttöoikeuksien hallinta (ACL), hierarkkiset käyttöoikeudet (ylläpitäjä, päällikkö, myyjä jne.)
  • Tunnistautuminen: istuntopohjaiset käyttäjäsessiot aikakatkaisulla, CSRF-suojaus, henkilökohtaiset tunnukset jokaiselle käyttäjälle
  • Tietokantaturvallisuus: ORM-pohjainen muutosloki (kaikki muutokset tallennetaan JSON-auditointijälkenä), salasanakentät peitetään lokeissa
  • Valvonta ja lokitus: sovellussuorituskyvyn seuranta ja lokitus Datadog-palvelussa (EU-palvelimet). Arkaluonteiset tiedot sanitoidaan ennen lokitusta
  • Varmuuskopiointi: Enkora vastaa varmuuskopioinnista SaaS-palvelumallin mukaisesti
  • Tietojen eheys: tietokantarajoitteet uniikkikentille, liiketoimintasääntöjen valvonta, ylivarausten esto
  • Henkilöstö: käsittelyyn osallistuva henkilöstö on salassapitovelvollinen, ja pääsy on rajoitettu nimettyihin henkilöihin henkilökohtaisin tunnuksin

6. Hinnoittelu

Henkilötietojen käsittelyä koskeva hinnoittelu on määritelty asiakkaan ja Enkoran välisessä pääsopimuksessa.

7. Rekisterinpitäjän vastuut

Asiakas toimii rekisterinpitäjänä ja vastaa henkilötietojen käsittelyn lainmukaisuudesta, mukaan lukien:

  • Käsittelyn oikeusperusteen varmistaminen (esim. sopimus, suostumus, oikeutettu etu)
  • Rekisteröityjen informointi henkilötietojen käsittelystä (tietosuojaseloste)
  • Rekisteröityjen oikeuksien toteuttaminen (tarkastus-, oikaisu-, poisto- ja siirto-oikeus) yhteistyössä Enkoran kanssa
  • Tietosuojaa koskevien vaikutustenarviointien (DPIA) tekeminen tarvittaessa
  • Ilmoitusvelvollisuus valvontaviranomaiselle ja rekisteröidyille tietoturvaloukkauksista
  • Ohjeiden antaminen Enkoralle henkilötietojen käsittelystä tämän sopimuksen puitteissa
  • Henkilötietojen käsittelyn dokumentointi ja käsittelytoimien selosteen ylläpito
  • Järjestelmään syötettyjen henkilötietojen oikeellisuuden ja ajantasaisuuden varmistaminen
  • Käyttöoikeuksien hallinta: asiakkaan vastuulla on myöntää ja peruuttaa loppukäyttäjien pääsyoikeudet järjestelmään

8. Käsittelyn kohde ja kesto

Henkilötietojen käsittely koskee asiakkaan Enkora-järjestelmään tallentamia henkilötietoja, jotka liittyvät asiakkaan jäsenyyksien hallintaan, varausjärjestelmään, kulunvalvontaan, kassajärjestelmään, verkkokauppaan ja asiakashallintaan.

Käsittely alkaa pääsopimuksen voimaantulosta ja jatkuu pääsopimuksen voimassaolon ajan. Pääsopimuksen päättyessä Enkora palauttaa tai poistaa henkilötiedot asiakkaan valinnan mukaisesti IT2022 EHK -ehtojen edellyttämällä tavalla.

9. Henkilötietojen sijainti

Henkilötietoja ei siirretä EU/ETA-alueen ulkopuolelle. Enkora-palvelut sijaitsevat Telian ja Hetznerin palvelinsaleissa Suomessa.

10. Henkilötietojen alikäsittelijät

Enkora käyttää seuraavia henkilötietojen alikäsittelijöitä:

Maksunvälittäjät (asiakkaan valinnan mukaan; kaikkien sijainti Suomi/EU):
●  Paytrail Oyj (maksujen välitys)
●  Verifone Finland Oy (maksupäätejärjestelmä, kortti-tokenointi)
●  Visma Pay / Visma Solutions Oy (maksunvälitys)
●  Epassi Payments Oy (liikunta- ja kulttuurisetelit)
●  Smartum Oy (etuussetelit)
●  Suomi.fi-maksut (pankkisiirrot)

Taloushallinto (asiakkaan valinnan mukaan; kaikkien sijainti Suomi/EU):
●  Visma Solutions / Netvisor (pilvitaloushallinto)

Markkinointiautomaatio (asiakkaan valinnan mukaan; kaikkien sijainti EU eli tietojenkäsittely EU:ssa):
●  ActiveCampaign LLC (sähköpostimarkkinointi)
●  Twilio Inc / SendGrid (sähköpostin lähetys)
●  GatewayAPI (tekstiviestien lähetys)

Infrastruktuuri ja valvonta (sijainti EU eli tietojenkäsittely EU:ssa):
●  Datadog Inc (sovellusvalvonta, suorituskykyseuranta)

Kaikki alikäsittelijät eivät ole käytössä jokaisella asiakkaalla. Käytössä olevat alikäsittelijät riippuvat asiakkaan käyttämistä palveluista ja integraatioista. Enkora ilmoittaa asiakkaalle alikäsittelijöiden muutoksista IT2022 EHK -ehtojen mukaisesti.

11. Vastuunrajoitukset

Henkilötietojen käsittelystä aiheutuva vahingonkorvausvelvollisuus on määritelty IT2022 EHK erityisehtojen kohdassa 9.

12. Muut ehdot

  • Enkoralla on Poliisihallituksen myöntämä turvallisuusalan elinkeinolupa.
  • Enkoran henkilöstö on sitoutunut salassapitovelvollisuuteen.
  • Enkora avustaa asiakasta rekisteröityjen oikeuksien toteuttamisessa (tietojen tarkastus, oikaisu, poisto, siirto ja käsittelyn rajoittaminen) kohtuullisessa ajassa.
  • Enkora ilmoittaa asiakkaalle tietoturvaloukkauksista ilman aiheetonta viivytystä.

Pätemisjärjestys

Näiden henkilötietojen käsittelyehtojen pätemisjärjestys suhteessa muihin sopimusasiakirjoihin on seuraava:

  1. Enkora Oy:n ja asiakkaan välinen allekirjoitettu henkilötietojen käsittelysopimus (Data Processing Agreement, DPA) liitteineen, jos sellainen on tehty
  2. Nämä henkilötietojen käsittelyehdot
  3. Muut liitteet kuin IT2022-sopimusehdot (pienempi numero ennen suurempaa)
  4. IT2022 EHK – Erityisehdot henkilötietojen käsittelystä
  5. Pääsopimus asiakkaan ja Enkora Oy:n välillä
  6. Pääsopimuksen liitteenä olevat muut IT2022‑erityisehdot
  7. IT2022 YSE – Yleiset sopimusehdot