Seloste asiakkaiden tallentaman datan käsittelystä.

Tämä sopimusliite on olennainen ja erottamaton osa Domainkeskus Oy:n (jäljempänä Domainkeskus) yleisiä sopimusehtoja. Tätä liitettä sovelletaan silloin, kun Domainkeskus toimii asiakassuhteen myötä tietosuojalainsäädännön tarkoittamana asiakkaan henkilötietojen käsittelijänä.

Asiakkaamme voivat viitata tähän liitteeseen omissa lainsäädännön vaatimissa selosteissaan. Liitteen ajantasainen versio on saatavilla osoitteesta https://www.domainkeskus.com/sopimusehdot/.

Henkilötietojen käsittelijän yhteystiedot:

Domainkeskus Oy
Käsityöläiskatu 4 A
20100 Turku
tietosuoja@domainkeskus.com
02 – 251 6911

Yleistä

Domainkeskus tarjoaa asiakkailleen Internet-palveluita ja Internet-verkon saavutettavissa olevaa tallennustilaa, jota asiakkaamme voivat käyttää esimerkiksi web-sivustonsa tallentamiseen ja julkaisemiseen. Tallennustila voi mahdollistaa tiedon tallentamisen esimerkiksi tiedostoina tai relaatiotietokannan objekteina.

Domainkeskus toimii tiedon teknisenä tallentajana ja palvelintilan tarjoana, eikä tiedä tarkemmin asiakkaiden tallentaman tiedon sisällöstä.

Kaikki asiakkaan Domainkeskuksen palvelimille tallentama tieto on asiakkaan hallinnassa ja asiakas vastaa itse siitä, että hänellä on lain ja asetusten mukainen käsittelyperuste mahdollisille henkilörekistereilleen, ja että tälläisissä henkilörekistereissä ei ole virheellistä tai vanhentunutta tietoa.

Asiakkaan palvelut toteutetaan pääsääntöisesti jaetuilla palvelimilla. Jaetuille palvelimille on tallennettuna useamman eri asiakkuuden tietoja ja pääsyä näihin tietoihin on rajoitettu laitteiden ja ohjelmistojen omilla pääsyoikeus-, käyttäjätunnus- ja salasanajärjestelmillä. On asiakkaan vastuulla varmistaa, että palvelun pääsy- ja jakoasetukset on asetettu asiakkaan haluamalla tavalla.

Rekisteröityjen oikeudet

Asiakas vastaa itse lainsäädännön mukaisten muutos-, poisto- ja tietopyyntöjen toteuttamisesta omille sidosryhmilleen. Domainkeskus ilmoittaa asiakkaalle ilman aiheetonta viivytystä kaikista rekisteröidyiltä tai viranomaisilta saamistaan tietosuojalainsäädännön mukaisista tarkitus-, poisto tai muutoskyselyistä, sekä muista mahdollisista lain noudattamista koskevista valituksista ja kyselyistä.

Domainkeskus ei tiedä, onko asiakkailla palveluun talletettuna henkilörekistereitä ja mitä tietoa niissä mahdollisesti on, joten Domainkeskus ei voi valvoa tietosuojalainsäädännön vaatimusten toteutumista. Näinollen Domainkeskus ei myöskään ole asettanut erillistä tietosuojavastaavaa.

Domainkeskus voi tarvittaessa auttaa tietosuojalainsäädännön mukaisten pyyntöjen teknisessä toteuttamisessa tuntihinnastonsa mukaisesti saatuaan asiakkaalta siitä kirjallisen pyynnön.

Domainkeskuksen pääsy asiakkaan dataan

Palvelusopimuksen voimassaoloaikana Domainkeskus ei normaalitilanteessa lisää, poista tai hae mitään tietoa asiakkaiden tallentamista tiedoista ilman asiakkaalta tullutta nimenomaista pyyntöä. Poikkeuksen tähän tekee esim.

• vika- ja häiriötilanteiden tutkinta ja korjaus
• viranomaisten määräys
• palvelinmuutosten yhteydessä mahdollisesti tehtävät korjaukset
• tietoturvaloukkaus tai tietoturvaloukkausepäilyn tutkiminen
• yleisten sopimusehtojen mukainen palvelun, tai sen osan, sulkeminen

Asiakkaalta tulleet pyynnöt ja ohjeistukset tulee kirjata Domainkeskuksen asiakkuudenhallintajärjestelmään. Yllälistattujen poikkeustapausten käsittelyssä Domainkeskuksen tekninen henkilöstö saattaa nähdä osia asiakkaiden tallentamista tiedoista. Domainkeskuksen henkilöstöllä on lakeihin perustuvat salassapitovelvollisuudet.

Domainkeskus:llä ei ole oikeutta käyttää asiakkaan dataa mihinkään muuhun tarkoitukseen kuin palvelusopimuksen mukaisen palvelun toteuttamiseen.

Palvelusopimuksen päättymisen jälkeen Domainkeskus poistaa asiakkaan datan palvelimiltaan kohtuullisen ajan kuluttua.

Auditoinnit

Jos asiakas haluaa teettää erillisen tietoturva-auditoinnin, sen suorittamisesta sovitaan tapauskohtaisesti erikseen. Asiakas vastaa auditoinnin suorittamiseen liittyvistä kuluista. Domainkeskuksen henkilöstöltä kuluva aika laskutetaan Domainkeskuksen normaalilla tuntiveloituksella.

Tietoturva

Ellei asiakkaan kanssa ole erikseen muuta sovittu tai palvelukuvauksesta muuta ilmene, kaikki asiakkaiden Domainkeskuksen palvelimille tallentama data varmuuskopioineen sijaitsee EU-alueella, lukitussa kulunvalvonnalla varustetussa tilassa. Domainkeskus ei ilman asiakkaan nimenomaista pyyntöä siirrä tai kopioi dataa muualle.

Domainkeskus pyrkii varmuuskopioin ja teknisin kahdennuksin maksimoimaan tiedon säilymisen ja eheyden. Varmuuskopiot sijaitsevat asiakkaiden saavuttamattomissa erillisillä sisäverkon palvelimilla, joten varmuuskopioista ei voi hakea esim. vanhentuneita tietoja vahingossa. Domainkeskuksen tekemät varmuuskopiot on tarkoitettu ainoastaan vikatilanteisat toipumiseen, joten niiden säilytysaika on lyhyehkö. Varmuuskopioiden tekoaika ja -muoto saattaa vaihdella, eikä varmuuskopiosta välttämättä ole helposti palautettavissa yksittäistä tiedostoa tai muuta rajoitettua osaa palvelusta. Asiakkaan pyynnöstä Domainkeskus voi tutkia, onko asiakkaan tarvitsema yksittäinen tieto palautettavissa varmuuskopioista. Jos asiakas tarvitsee itse omassa toiminnassaan varmuuskopioita, hän on vastuussa tarpeidensa mukaisen varmuuskopioinnin järjestämisestä.

Asiakas tiedostaa jaetun palvelinympäristön aiheuttamat mahdolliset riskit ja asiakkaan yksinomaisessa käytössä olevaan palvelinympäristöön nähden kasvaneen hyökkäyspinta-alan. On asiakkaan vastuulla analysoida tallentamansa tiedon sisältö ja tarvittaessa tilata palvelu erilliselle palvelimelle tai sopia Domainkeskuksen kanssa muista tarpeellisista toimenpiteistä tietojen suojaamiseksi.

Tietoturvaloukkaukset

Mahdollisissa tietoturvaloukkaustilanteissa Domainkeskus ilmoittaa tilanteesta asiakkalle ja asiakas on itse vastuussa eteenpäin tiedottamisesta esimerkiksi omille asiakkailleen tai verkkokauppansa rekisteröityneille käyttäjille. Domainkeskus voi tietoturvaloukkausten yhteydessä tiedottaa asiasta myös Viestintäviraston tietoturvaosastoa ja yhdessä heidän kanssaan suunnitella tarvittavia toimenpiteitä.

Jos asiakas havaitsee tilaamiinsa palveluihin kohdistuneen tietoturvapoikkeaman ennen Domainkeskus:tä, asiakas on velvollinen viipymättä tiedottamaan Domainkeskus:tä tapahtuneesta.