Tämä henkilötietojen käsittelysopimus (DPA) on osa palveluehtojamme ja soveltuu automaattisesti heti kun B2B-asiakkaana otat käyttöön palvelun, jossa käsittelemme loppukäyttäjiesi henkilötietoja puolestasi (GDPR art. 28). Sinun ei tarvitse allekirjoittaa sitä erikseen — ehtojen hyväksyminen = tämän DPA:n hyväksyminen.
1. Osapuolet ja roolit
Rekisterinpitäjä: sinä, asiakas ("Asiakas").
Käsittelijä: InternalHost (toiminimi Xaviero Kajafas, KvK 90174720).
InternalHost käsittelee henkilötietoja vain Asiakkaan ohjeiden mukaan ja vain siinä määrin kuin on tarpeen sovittujen palveluiden toimittamiseksi (hosting, tallennus, sähköposti, verkko).
2. Kohde ja kesto
- Kohde: henkilötietojen käsittely toimittamiemme IT-infrastruktuuripalveluiden yhteydessä.
- Käsittelyn luonne: tallennus, siirto (infrastruktuurimme sisällä), varmuuskopiointi — me emme aktiivisesti käsittele loppukäyttäjien sisältöä.
- Tarkoitus: sovittujen IT-palveluiden saataville asettaminen.
- Rekisteröityjen ryhmät: Asiakkaan määrittelemiä. Meillä ei ole näkyvyyttä (emme katso tietokantoihisi).
- Henkilötietojen tyypit: Asiakkaan määrittelemiä. Erityiset ryhmät (terveys, uskonto jne.) ovat sallittuja edellyttäen että Asiakas toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet.
- Kesto: niin kauan kuin pääsopimus on voimassa, plus 14 päivän palautusjakso päättymisen jälkeen.
3. Turvatoimet
InternalHost toteuttaa vähintään seuraavat tekniset ja organisatoriset toimenpiteet:
- Salaus siirrossa: TLS 1.2+ kaikissa julkisissa endpointeissa, WireGuard sisäiseen meshiin.
- Salaus levossa: LUKS kaikissa tallennusvolyymeissa. Asiakas-tason salaus on Asiakkaan vastuulla.
- Pääsynvalvonta: SSH vain ed25519-avaimilla, MFA pakollinen admin-pääsyyn, vähimmän oikeuden periaate.
- Lokitus: infrastruktuuripääsy lokitetaan (90 päivää).
- Varmuuskopiot: päivittäiset salatut snapshotit asiakasvolyymeista, 7d/4w/12m säilytys (meidän puolellamme — sovellusten varmuuskopiointi on Asiakkaan vastuulla).
- Fyysinen turvallisuus: Qupra DC:llä on 24/7 miehitetty pääsy, ISO 27001 + 9001 -sertifioitu, biometrinen pääsy + mantrap.
- Ohjelmistopäivitykset: tietoturvapäivitykset 7 päivän sisällä julkaisusta, kriittiset 24 tunnin sisällä.
- Monitorointi: CrowdSec + fail2ban kaikissa altistetuissa palveluissa.
Ajantasainen tekninen yhteenveto on saatavilla pyynnöstä osoitteesta [email protected].
4. Alikäsittelijät
Käytämme seuraavia alikäsittelijöitä. Kaikki EU:ssa. Ilmoitamme muutoksista vähintään 30 päivää etukäteen, jotta Asiakas voi vastustaa.
| Alikäsittelijä | Tarkoitus | Sijainti |
|---|---|---|
| Qupra Data Centers BV | Datakeskus / kolokaatio | Amsterdam, NL |
| Mollie B.V. | Maksut | Amsterdam, NL |
| Revolut Payments UAB | Maksut (vaihtoehto) | Vilna, LT |
| Cloudflare Germany GmbH | CDN / DDoS | DE, EU-data-alue |
| Hoster B.V. (OpenProvider) | Verkkotunnusten rekisteröinti (valinnainen) | Haag, NL |
5. Siirto EU:n ulkopuolelle
Emme siirrä henkilötietoja EU:n/ETA:n ulkopuolisiin maihin, paitsi jos Cloudflare CDN:nä välttämättä reitittää muiden kuin EU:n PoP:ien kautta DDoS-tapauksissa. Siinä tapauksessa vakiosopimuslausekkeet (SCC) soveltuvat meidän ja Cloudflaren välillä.
6. Tietoturvaloukkausmenettely
Asiakkaaseen vaikuttavasta henkilötietoloukkauksesta ilmoitamme Asiakkaalle 24 tunnin sisällä havaitsemisesta (rekisteröidyn sähköpostin kautta) seuraavasti:
- Loukkauksen luonne
- Vaikutuksen kohteena olevien henkilöiden ryhmät ja arvioitu lukumäärä
- Todennäköiset seuraukset
- Tehdyt tai ehdotetut toimenpiteet
Asiakas päättää onko ilmoitus tietosuojaviranomaiselle tarpeen. Tuemme tarpeen mukaan.
7. Päättyminen ja tietojen palautus
Pääsopimuksen päättymisen jälkeen:
- Asiakkaalla on 14 päivää aikaa ladata kaikki tiedot (SSH/SFTP:n kautta tai vientipyynnöllä).
- Sen jälkeen kaikki henkilötiedot poistetaan pysyvästi, paitsi jos lakisääteinen säilytys vaaditaan (Hollannin vero: laskutiedot 7 vuotta).
- Pyynnöstä toimitamme kirjallisen tuhoamistodistuksen.
Erityissopimuksia varten (suuret B2B, terveydenhuolto, rahoitusala) voimme allekirjoittaa räätälöidyn DPA:n. Sähköposti [email protected].