Henkilötietojen käsittelyn vakiolausekkeet ja lisäliitteet (käyttäjät)

1. Tarkoitus ja soveltamisala

  1. Näiden vakiosopimuslausekkeiden (jäljempänä ’lausekkeet’) tarkoituksena on varmistaa luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdan noudattaminen.
  2. Liitteessä I luetellut rekisterinpitäjät ja henkilötietojen käsittelijät ovat hyväksyneet nämä lausekkeet varmistaakseen, että asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohtaa ja/tai asetuksen (EU) 2018/1725 29 artiklan 3 ja 4 kohtaa noudatetaan.
  3. Näitä lausekkeita sovelletaan liitteessä II täsmennettyyn henkilötietojen käsittelyyn.
  4. Liitteet I–IV ovat erottamaton osa lausekkeita.
  5. Nämä lausekkeet eivät vaikuta velvoitteisiin, joita rekisterinpitäjään sovelletaan asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 nojalla.
  6. Näillä lausekkeilla ei yksinään varmisteta asetuksen (EU) 2016/679 V luvun ja/tai asetuksen (EU) 2018/1725 V luvun mukaisten kansainvälisiin siirtoihin liittyvien velvoitteiden noudattamista.

2. Lausekkeiden muuttumattomuus

  1. Osapuolet sitoutuvat olemaan muuttamatta lausekkeita, lukuun ottamatta tietojen lisäämistä liitteisiin tai niissä olevien tietojen päivittämistä.
  2. Tämä ei estä osapuolia sisällyttämässä tässä päätöksessä säädettyjä vakiosopimuslausekkeita laajempaan sopimukseen ja lisäämästä muita lausekkeita tai täydentäviä suojatoimia edellyttäen, että ne eivät ole suoraan tai välillisesti ristiriidassa vakiosopimuslausekkeiden kanssa eivätkä rajoita rekisteröityjen perusoikeuksia tai -vapauksia.

3. Tulkinta

  1. Jos näissä lausekkeissa käytetään asetuksessa (EU) 2016/679 tai asetuksessa (EU) 2018/1725 määriteltyjä termejä, näillä termeillä on sama merkitys kuin kyseisessä asetuksessa.
  2. Näitä lausekkeita on luettava ja tulkittava asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 säännösten valossa.
  3. Näitä lausekkeita ei saa tulkita tavalla, joka on ristiriidassa asetuksessa (EU) 2016/679 tai asetuksessa (EU) 2018/1725 säädettyjen oikeuksien ja velvoitteiden kanssa tai tavalla, joka loukkaa rekisteröityjen perusoikeuksia tai -vapauksia.

4. Hierarkia

Jos nämä lausekkeet ovat ristiriidassa osapuolten välisten asiaa koskevien sopimusten määräysten kanssa, jotka ovat olemassa silloin kun näistä lausekkeista sovitaan tai tulevat voimaan sen jälkeen, nämä lausekkeet ovat ensisijaisia.

5. Käsittelyn kuvaus

Yksityiskohtaiset tiedot henkilötietojen käsittelytoimista ja erityisesti henkilötietojen ryhmistä ja tarkoituksista, joita varten henkilötietoja käsitellään rekisterinpitäjän puolesta, esitetään liitteessä II.

6. Osapuolten velvoitteet

6.1. Ohjeet

  1. Henkilötietojen käsittelijän on käsiteltävä henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan. Tässä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle kyseisestä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos se kielletään lainsäädännössä yleistä etua koskevien tärkeiden syiden vuoksi. Rekisterinpitäjä voi myös antaa myöhemmin ohjeita koko henkilötietojen käsittelyn ajan. Nämä ohjeet on aina dokumentoitava.
  2. Henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos henkilötietojen käsittelijä katsoo, että rekisterinpitäjän antamat ohjeet ovat asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 taikka sovellettavien unionin tai jäsenvaltioiden tietosuojasäännösten vastaisia.

6.2. Käyttötarkoitusten rajaaminen

Henkilötietojen käsittelijä saa käsitellä henkilötietoja ainoastaan liitteessä II esitettyjä käsittelyn erityistarkoituksia varten, ellei rekisterinpitäjä anna lisäohjeita.

6.3. Henkilötietojen käsittelyn kesto

Henkilötietojen käsittelijän suorittama käsittely saa kestää ainoastaan liitteessä II täsmennetyn ajan.

6.4. Käsittelyn turvallisuus

  1. Henkilötietojen käsittelijän on toteutettava ainakin liitteessä III eritellyt tekniset ja organisatoriset toimenpiteet henkilötietojen turvallisuuden varmistamiseksi. Tähän sisältyy tietojen suojaaminen tietoturvaloukkauksilta, jotka johtavat vahingossa tapahtuvaan tai laittomaan tietojen tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai käyttöön (henkilötietojen tietoturvaloukkaus). Asianmukaista turvallisuustasoa arvioidessaan osapuolten on otettava asianmukaisesti huomioon uusin tekniikka, täytäntöönpanokustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröidyille aiheutuvat riskit.
  2. Henkilötietojen käsittelijä antaa käsiteltävät henkilötiedot henkilöstönsä jäsenille vain siinä määrin kuin se on ehdottoman välttämätöntä sopimuksen täytäntöönpanoa, hallinnointia ja seurantaa varten. Henkilötietojen käsittelijä varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

6.5. Arkaluonteiset tiedot

Jos käsittelyyn liittyy henkilötietoja, joista käy ilmi rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisiä tietoja tai biometrisiä tietoja luonnollisen henkilön yksiselitteistä tunnistamista varten, terveyttä tai henkilön seksuaalista käyttäytymistä tai seksuaalista suuntautumista koskevia tietoja taikka rikostuomioihin ja rikoksiin liittyviä tietoja, jäljempänä ’arkaluonteiset tiedot’, henkilötietojen käsittelijän on sovellettava erityisiä rajoituksia ja/tai täydentäviä suojatoimia.

6.6. Dokumentointi ja vaatimustenmukaisuus

  1. Osapuolten on voitava osoittaa noudattavansa näitä lausekkeita.
  2. Henkilötietojen käsittelijän on käsiteltävä nopeasti ja asianmukaisesti rekisterinpitäjän kyselyt, jotka koskevat tietojen käsittelyä näiden lausekkeiden mukaisesti.
  3. Henkilötietojen käsittelijän on asetettava rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen sen osoittamiseksi, että näissä lausekkeissa vahvistettuja velvoitteita on noudatettu ja jotka johtuvat suoraan asetuksesta (EU) 2016/679 ja/tai asetuksesta (EU) 2018/1725. Henkilötietojen käsittelijän on rekisterinpitäjän pyynnöstä myös sallittava näiden lausekkeiden kattamien käsittelytoimien tarkastukset ja osallistuttava niihin kohtuullisin väliajoin tai kun on viitteitä vaatimusten noudattamatta jättämisestä. Päättäessään uudelleentarkastelusta tai tarkastuksesta rekisterinpitäjä voi ottaa huomioon henkilötietojen käsittelijällä olevat asiaankuuluvat sertifioinnit.
  4. Rekisterinpitäjä voi päättää suorittaa tarkastuksen itse tai valtuuttaa riippumattoman tarkastajan. Tarkastuksiin voi sisältyä myös käyntejä henkilötietojen käsittelijän toimitiloissa tai muissa fyysisissä tiloissa, ja niistä on tarvittaessa ilmoitettava riittävän ajoissa.
  5. Osapuolten on asetettava tässä lausekkeessa tarkoitetut tiedot, mukaan lukien tarkastusten tulokset, pyynnöstä toimivaltais(t)en valvontaviranomais(t)en saataville.

6.7 Henkilötietojen alikäsittelijöiden käyttö

  1. Henkilötietojen käsittelijä ei saa antaa mitään rekisterinpitäjän puolesta näiden lausekkeiden nojalla suorittamistaan käsittelytoimista alihankintana henkilötietojen alikäsittelijälle ilman rekisterinpitäjän erillistä kirjallista ennakkolupaa. Henkilötietojen käsittelijän on toimitettava erillistä lupaa koskeva pyyntö vähintään 30 vuorokautta ennen asianomaisen henkilötietojen alikäsittelijän palkkaamista sekä tarvittavat tiedot, jotta rekisterinpitäjä voi päättää luvasta. Luettelo rekisterinpitäjän valtuuttamista henkilötietojen alikäsittelijöistä on liitteessä IV. Osapuolten on pidettävä liite IV ajan tasalla.
  2. Jos henkilötietojen käsittelijä käyttää henkilötietojen alikäsittelijää suorittamaan tiettyjä käsittelytoimia (rekisterinpitäjän puolesta), sen on tehtävä sopimus, jossa henkilötietojen alikäsittelijälle asetetaan näiden lausekkeiden nojalla olennaisilta osin samat tietosuojavelvoitteet kuin henkilötietojen käsittelijälle. Henkilötietojen käsittelijän on varmistettava, että henkilötietojen alikäsittelijä noudattaa velvoitteita, joita henkilötietojen käsittelijään sovelletaan näiden lausekkeiden ja asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 nojalla.
  3. Henkilötietojen käsittelijän on rekisterinpitäjän pyynnöstä toimitettava jäljennös tällaisesta henkilötietojen alikäsittelijän sopimuksesta ja mahdollisista myöhemmistä muutoksista rekisterinpitäjälle. Jos se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen (mukaan lukien henkilötiedot) suojaamiseksi, henkilötietojen käsittelijä voi poistaa sopimuksesta tekstiä ennen jäljennöksen toimittamista.
  4. Henkilötietojen käsittelijä on edelleen täysin vastuussa rekisterinpitäjälle henkilötietojen alikäsittelijän velvoitteiden täyttämisestä alikäsittelijän kanssa tekemänsä sopimuksen mukaisesti. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle, jos henkilötietojen alikäsittelijä ei täytä sopimusvelvoitteitaan.
  5. Henkilötietojen käsittelijän on sovittava henkilötietojen alikäsittelijän kanssa kolmatta osapuolta suojaavasta edunsaajalausekkeesta, jonka mukaan jos henkilötietojen käsittelijä on tosiasiallisesti kadonnut, lakannut olemasta oikeudellisesti tai tullut maksukyvyttömäksi, rekisterinpitäjällä on oikeus purkaa henkilötietojen alikäsittelijän sopimus ja ohjeistaa alikäsittelijää poistamaan tai palauttamaan henkilötiedot.

6.8 Kansainväliset tiedonsiirrot

  1. Henkilötietojen käsittelijä voi siirtää tietoja kolmanteen maahan tai kansainväliselle järjestölle ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden perusteella tai henkilötietojen käsittelijään sovellettavan unionin tai jäsenvaltion lainsäädännön mukaisen erityisen vaatimuksen täyttämiseksi, ja siirron on tapahduttava asetuksen (EU) 2016/679 V luvun tai asetuksen (EU) 2018/1725 V luvun mukaisesti.
  2. Rekisterinpitäjä hyväksyy sen, että jos henkilötietojen käsittelijä käyttää lausekkeen 7.7 mukaisesti henkilötietojen alikäsittelijää suorittamaan tiettyjä käsittelytoimia (rekisterinpitäjän puolesta) ja kyseisiin käsittelytoimiin liittyy asetuksen (EU) 2016/679 V luvussa tarkoitettu henkilötietojen siirto, henkilötietojen käsittelijä ja henkilötietojen alikäsittelijä voivat varmistaa asetuksen (EU) 2016/679 V luvun säännösten noudattamisen käyttämällä komission asetuksen (EU) 2016/679 46 artiklan 2 kohdan nojalla hyväksymiä vakiosopimuslausekkeita edellyttäen, että kyseisten vakiosopimuslausekkeiden käytön edellytykset täyttyvät.

7. Rekisterinpitäjän avustaminen

  1. Henkilötietojen käsittelijän on viipymättä ilmoitettava rekisterinpitäjälle kaikista rekisteröidyltä saamistaan pyynnöistä. Henkilötietojen käsittelijä ei saa itse vastata pyyntöön, paitsi jos rekisterinpitäjä on antanut siihen luvan.
  2. Henkilötietojen käsittelijän on avustettava rekisterinpitäjää sen velvollisuuksien täyttämisessä, jotka koskevat rekisteröityjen oikeuksien käyttämistä koskeviin pyyntöihin vastaamista, ottaen huomioon käsittelyn luonne. Henkilötietojen käsittelijän on a ja b kohdan mukaisia velvollisuuksia täyttäessään noudatettava rekisterinpitäjän ohjeita.
  3. Sen lisäksi, että henkilötietojen käsittelijä on lausekkeen 8 b kohdan nojalla velvoitettu avustamaan rekisterinpitäjää, henkilötietojen käsittelijän on lisäksi avustettava rekisterinpitäjää seuraavien velvoitteiden noudattamisessa ottaen huomioon käsittelyn luonne ja henkilötietojen käsittelijän käytettävissä olevat tiedot:
    1. velvoite arvioida suunniteltujen käsittelytoimien vaikutusta henkilötietojen suojaan, jäljempänä ’tietosuojaa koskeva vaikutustenarviointi’, jos tietyntyyppinen käsittely todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille;
    2. velvoite kuulla ennen käsittelyä toimivaltaista valvontaviranomaista / toimivaltaisia valvontaviranomaisia, jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi;
    3. velvollisuus varmistaa henkilötietojen oikeellisuus ja ajantasaisuus ilmoittamalla rekisterinpitäjälle viipymättä, jos henkilötietojen käsittelijä havaitsee, että sen käsittelemät henkilötiedot ovat virheellisiä tai vanhentuneita;
    4. asetuksen (EU) 2016/679 32 artiklassa säädetyt velvoitteet.
  4. Osapuolet vahvistavat liitteessä III asianmukaiset tekniset ja organisatoriset toimenpiteet, joita henkilötietojen käsittelijän on noudatettava avustaessaan rekisterinpitäjää tämän lausekkeen soveltamisessa, sekä tarvittavan avun soveltamisalan ja laajuuden.

8. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen

Henkilötietojen tietoturvaloukkauksen tapauksessa henkilötietojen käsittelijän on tehtävä yhteistyötä rekisterinpitäjän kanssa ja avustettava rekisterinpitäjää, jotta tämä voi täyttää tapauksen mukaan asetuksen (EU) 2016/679 33 ja 34 artiklan tai asetuksen (EU) 2018/1725 34 ja 35 artiklan mukaiset velvoitteensa, ottaen huomioon käsittelyn luonne ja henkilötietojen käsittelijän käytettävissä olevat tiedot.

8.1. Tietojen tietoturvaloukkaus rekisterinpitäjän käsittelemien tietojen osalta

Jos henkilötietojen tietoturvaloukkaus koskee rekisterinpitäjän käsittelemiä tietoja, henkilötietojen käsittelijän on avustettava rekisterinpitäjää

  1. ilmoitettaessa tapauksen mukaan henkilötietojen tietoturvaloukkauksesta toimivaltaiselle valvontaviranomaiselle / toimivaltaisille valvontaviranomaisille ilman aiheetonta viivytystä sen jälkeen, kun rekisterinpitäjä on saanut sen tietoonsa /, (paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä);
  2. hankittaessa seuraavat tiedot, jotka on asetuksen (EU) 2016/679 33 artiklan 3 kohdan mukaisesti mainittava rekisterinpitäjän ilmoituksessa, ja joihin on sisällytettävä vähintään seuraavat:
    1. henkilötietojen luonne, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotietueiden ryhmät ja arvioidut lukumäärät;
    2. henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
    3. toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Jos ja siltä osin kuin kaikkia tietoja ei ole mahdollista toimittaa samaan aikaan, alkuperäisen ilmoituksen on sisällettävä saatavilla olevat tiedot, ja lisätiedot on sen jälkeen toimitettava ilman aiheetonta viivytystä, kun ne tulevat saataville;

  1. noudatettaessa asetuksen (EU) 2016/679 34 artiklan mukaisesti velvoitetta ilmoittaa henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä rekisteröidylle, kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille.

8.2. Tietojen tietoturvaloukkaus henkilötietojen käsittelemien tietojen osalta

Kun kyseessä on henkilötietojen käsittelijän käsittelemiin tietoihin liittyvä henkilötietojen tietoturvaloukkaus, henkilötietojen käsittelijän on ilmoitettava siitä rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan tietoturvaloukkauksen tietoonsa. Kyseisen ilmoituksen on sisällettävä vähintään seuraavat:

  1. kuvaus tietoturvaloukkauksen luonteesta (mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ja henkilötietotietueiden ryhmät ja arvioitu lukumäärä);
  2. tiedot yhteyspisteestä, josta saa lisätietoja henkilötietojen tietoturvaloukkauksesta;
  3. tietoturvaloukkauksen todennäköiset seuraukset ja toimenpiteet, jotka on toteutettu tai joita ehdotetaan toteutettavaksi tietoturvaloukkauksen korjaamiseksi, mukaan lukien sen mahdollisten haitallisten vaikutusten lieventämiseksi.

Jos ja siltä osin kuin kaikkia tietoja ei ole mahdollista toimittaa samaan aikaan, alkuperäisen ilmoituksen on sisällettävä saatavilla olevat tiedot, ja lisätiedot on sen jälkeen toimitettava ilman aiheetonta viivytystä, kun ne tulevat saataville.

Osapuolet esittävät liitteessä III kaikki muut tiedot, jotka henkilötietojen käsittelijän on toimitettava avustaessaan rekisterinpitäjää asetuksen (EU) 2016/679 33 ja 34 artiklan mukaisten rekisterinpitäjän velvoitteiden noudattamisessa.

9. Lausekkeiden noudattamatta jättäminen ja sopimuksen purkaminen

  1. Jos henkilötietojen käsittelijä rikkoo näiden lausekkeiden mukaisia velvoitteitaan, rekisterinpitäjä voi määrätä henkilötietojen käsittelijän keskeyttämään henkilötietojen käsittelyn, kunnes henkilötietojen käsittelijä noudattaa näitä lausekkeita tai sopimus puretaan, sanotun kuitenkaan rajoittamatta asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 säännösten soveltamista. Henkilötietojen käsittelijän on viipymättä ilmoitettava rekisterinpitäjälle, jos se ei mistä tahansa syystä pysty noudattamaan näitä lausekkeita.
  2. Rekisterinpitäjällä on oikeus purkaa sopimus siltä osin kuin on kyse henkilötietojen käsittelystä näiden lausekkeiden mukaisesti, jos
    1. rekisterinpitäjä on keskeyttänyt henkilötietojen käsittelijän suorittaman henkilötietojen käsittelyn a kohdan mukaisesti eikä näiden lausekkeiden noudattamista palauteta kohtuullisessa ajassa ja joka tapauksessa kuukauden kuluessa keskeyttämisestä;
    2. henkilötietojen käsittelijä rikkoo olennaisesti tai jatkuvasti näitä lausekkeita tai asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 mukaisia velvoitteitaan;
    3. henkilötietojen käsittelijä ei noudata toimivaltaisen tuomioistuimen tai toimivaltais(t)en valvontaviranomais(t)en sitovaa päätöstä näiden lausekkeiden tai asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 mukaisista velvoitteistaan.
  3. Henkilötietojen käsittelijällä on oikeus purkaa sopimus siltä osin kuin se koskee henkilötietojen käsittelyä näiden lausekkeiden nojalla, jos rekisterinpitäjä vaatii ohjeiden noudattamista sen jälkeen, kun käsittelijä on lausekkeen 7.1 b kohdan mukaisesti ilmoittanut rekisterinpitäjälle, että sen ohjeet ovat sovellettavien oikeudellisten vaatimusten vastaisia.
  4. Kun sopimus on purettu, henkilötietojen käsittelijän on rekisterinpitäjän valinnan mukaan poistettava kaikki rekisterinpitäjän puolesta käsitellyt henkilötiedot ja todistettava rekisterinpitäjälle, että se on tehnyt niin, tai palautettava kaikki henkilötiedot rekisterinpitäjälle ja poistettava olemassa olevat jäljennökset, jollei unionin tai jäsenvaltion lainsäädännössä edellytetä henkilötietojen säilyttämistä. Henkilötietojen käsittelijän on varmistettava, että näitä lausekkeita noudatetaan, kunnes tiedot poistetaan tai palautetaan.

LIITE I Luettelo osapuolista

Rekisterinpitäjä:

Sopimuksessa määritelty Palvelun Käyttäjä

Henkilötietojen käsittelijät:

1) Nimi: Testausserveri ry

Yhteyshenkilön nimi, asema ja yhteystiedot:
Mikael Hannolainen
Hallituksen jäsen
mikael@testausserveri.fi

Allekirjoitus ja liittymispäivä: 14.04.2024
Mikael Hannolainen HJ, Eemil Sinkko HPJ

2) Nimi: Osphost ry

Yhteyshenkilön nimi, asema ja yhteystiedot:
Jani Hiltunen
Hallituksen jäsen
jmh@osphost.fi

Allekirjoitus ja liittymispäivä: 14.04.2024
Jani Hiltunen HJ

LIITE II Henkilötietojen käsittelyn kuvaus

  1. Niiden rekisteröityjen ryhmät, joiden henkilötietoja käsitellään:
    Käyttäjä voi harkintansa mukaan toimittaa henkilötietoja Palvelun käytön yhteydessä, ja hän itse määrittelee ja hallitsee näiden tietojen laajuutta. Käyttäjän keräämät rekisteröityjen ryhmät voi sisältää, mutta ei rajoitu, Käyttäjän verkkosivuvierailijoihin.
  2. Käsiteltävät henkilötietoryhmät:
    Käyttäjä voi harkintansa mukaan toimittaa henkilötietoja Palvelun käytön yhteydessä, ja hän itse määrittelee ja hallitsee näiden tietojen laajuutta. Tämä voi sisältää, mutta ei rajoitu, seuraaviin henkilötietoryhmiin:
    1. Nimi
    2. Osoite
    3. Puhelinnumero
    4. Syntymäaika
    5. Sähköpostiosoite
    6. Muu kerätty tieto, joka voi suorasti tai epäsuorasti olla yhdistettävissä rekisteröityyn
  3. Henkilötietojen käsittelyn luonne:
    Tallentaminen ja muu käsittely, joka on tarpeen Käyttäjälle tarjottujen palvelujen, kuten webhotellien, sähköpostipalveluiden ja verkkotunnusten tarjoamiseksi, ylläpitämiseksi ja huoltamiseksi.
  4. Tarkoitus, jota varten henkilötietoja käsitellään rekisterinpitäjän puolesta:
    Henkilötietoja käsitellään rekisterinpitäjän puolesta sopimuksen edellyttämällä tavalla Käyttäjälle rekisteröityjen palvelujen toteuttamiseksi.
  5. Henkilötietojen käsittelyn kesto:
    Henkilötietojen käsittelyn kesto määräytyy täysin Palveluntarjoajien ja Käyttäjän sopimussuhteen keston mukaan.

LIITE III Tekniset ja organisatoriset toimenpiteet, mukaan lukien tekniset ja organisatoriset toimenpiteet tietoturvan varmistamiseksi

  1. Henkilötietojen suojaaminen:
    1. Käyttäjä vastaa tarvittaessa pseudonymisoinnista.
  2. Fyysinen turvallisuus:
    1. Laitteet säilytetään lukitussa tilassa.
    2. Laitteiden kanssa samassa tilassa sekä lähitilat ovat suojattu hälytysjärjestelmällä.
    3. Käytöstä poistetut kovalevyt hajotetaan ja kierrätetään asiaan kuuluvalla tavalla.
    4. Laitteet ovat suojattu vikavirtasuojalla, joka suojaa laitteita virtapiikeiltä.
    5. Kukaan ei pääse tilaan ilman meidän valtuuttamaa valvojaa.
    6. Tilassa on tallentava kameravalvonta.
  3. Luottamuksellisuus, eheys ja saatavuus:
    1. Pääsyt järjestelmiin on porrastettu. Järjestelmiin on pääsy vain henkilöstöllä, joiden tehtävän hoitaminen edellyttää pääsyä tietoihin.
    2. Tärkeät järjestelmät ovat suojattu UPS-varavirralla.
    3. Järjestelmien virtalähteet ovat kahdennettu sekä kaikki järjestelmät ovat suojattu RAID-peilausjärjestelmällä.
  4. Tietojen käsittelyn turvallisuus:
    1. Pääsyt järjestelmiin on porrastettu. Järjestelmiin on pääsy vain henkilöstöllä, joiden tehtävän hoitaminen edellyttää pääsyä tietoihin.
    2. Salasanat ovat kryptattu.
    3. Välilaitteiden hallinta on turvattu VPN-tunneloinnilla.
    4. Jokainen järjestelmän salasana tai 2FA-koodi säilytetään turvallisesti salasanahallintapalvelussa.
    5. SSH-yhteydet ovat turvattu RSA- avaimilla, joissa on omat salasanat sekä palvelimen sudo-käyttäjälle pääsy edellyttää myös palvelinkohtaista salasanaa.