Web1
Lakiasiakirjat

Tietojenkäsittelysopimus (DPA)

Päivitetty: 16. maaliskuuta 2026

1. Johdanto

Tämä tietojenkäsittelysopimus (Data Processing Agreement, DPA) täydentää Web1 Oy:n (jäljempänä "Käsittelijä") ja asiakkaan (jäljempänä "Rekisterinpitäjä") välistä palvelusopimusta. Sopimus koskee henkilötietojen käsittelyä EU:n yleisen tietosuoja-asetuksen (GDPR) artiklan 28 mukaisesti.

2. Määritelmät

  • Rekisterinpitäjä: Asiakas, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot
  • Käsittelijä: Web1 Oy, joka käsittelee henkilötietoja Rekisterinpitäjän puolesta
  • Henkilötiedot: Kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön

3. Käsittelyn kohde ja kesto

Käsittelijä käsittelee henkilötietoja ainoastaan palvelusopimuksen mukaisten palveluiden tuottamiseksi. Käsittely kestää palvelusopimuksen voimassaoloajan.

Käsiteltävät henkilötiedot voivat sisältää:

  • Asiakkaan loppukäyttäjien yhteystietoja
  • Teknisiä tunnistetietoja (IP-osoitteet, käyttäjätunnukset)
  • Asiakkaan palveluihin tallentamia tietoja

4. Käsittelijän velvollisuudet

Käsittelijä sitoutuu:

  • Käsittelemään henkilötietoja ainoastaan Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti
  • Varmistamaan, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitovelvollisuuteen
  • Toteuttamaan asianmukaiset tekniset ja organisatoriset suojatoimenpiteet
  • Käyttämään alikäsittelijöitä ainoastaan Rekisterinpitäjän ennakkohyväksynnällä
  • Avustamaan Rekisterinpitäjää rekisteröityjen oikeuksien toteuttamisessa
  • Poistamaan tai palauttamaan henkilötiedot sopimuksen päättyessä

5. Tekniset ja organisatoriset suojatoimenpiteet

Käsittelijä toteuttaa vähintään seuraavat suojatoimenpiteet:

  • Salaus: Tietojen salaus siirron (TLS 1.2+) ja tallennuksen aikana
  • Pääsynhallinta: Roolipohjainen käyttöoikeushallinta ja monivaiheinen tunnistautuminen
  • Lokitus: Pääsylokien ylläpito ja seuranta
  • Fyysinen turvallisuus: Konesalien kulunvalvonta, kameravalvonta ja ympäristövalvonta
  • Varmuuskopiointi: Säännölliset varmuuskopiot ja palautustestit
  • Henkilöstö: Tietoturvakoulutus ja taustaselvitykset

6. Alikäsittelijät

Käsittelijä ylläpitää listaa alikäsittelijöistä ja ilmoittaa Rekisterinpitäjälle uusista alikäsittelijöistä vähintään 14 päivää etukäteen. Rekisterinpitäjällä on oikeus vastustaa uutta alikäsittelijää perustellusta syystä.

7. Tietoturvaloukkaukset

Käsittelijä ilmoittaa Rekisterinpitäjälle tietoturvaloukkauksesta ilman aiheetonta viivytystä ja viimeistään 48 tunnin kuluessa loukkauksen havaitsemisesta. Ilmoitus sisältää:

  • Loukkauksen luonteen ja laajuuden kuvauksen
  • Todennäköiset seuraukset
  • Toteutetut ja suunnitellut korjaustoimenpiteet
  • Yhteyshenkilön tiedot

8. Auditointi

Rekisterinpitäjällä on oikeus auditoida Käsittelijän toimintaa tämän sopimuksen noudattamisen varmistamiseksi. Auditoinnista sovitaan etukäteen ja se toteutetaan Käsittelijän normaalina työaikana.

9. Tiedonsiirrot

Henkilötietoja käsitellään ensisijaisesti EU/ETA-alueella. Siirrot kolmansiin maihin edellyttävät asianmukaisia suojatoimia (esim. EU:n vakiosopimuslausekkeet tai vastaavuuspäätös).

10. Sopimuksen päättyminen

Palvelusopimuksen päättyessä Käsittelijä:

  • Palauttaa kaikki henkilötiedot Rekisterinpitäjälle pyynnöstä
  • Poistaa henkilötiedot 30 päivän kuluessa, ellei lainsäädäntö edellytä säilyttämistä
  • Toimittaa kirjallisen vahvistuksen tietojen poistamisesta

11. Yhteystiedot

Tietojenkäsittelyä koskevat kysymykset:
support@web1.fi