Data Processing Agreement (DPA)

Voimassa 26.5.2026 alkaen · Versio 1.0

Tämä on EU:n yleisen tietosuoja-asetuksen (GDPR) artiklan 28 mukainen henkilötietojen käsittelysopimus Resaco Oy:n (Y-tunnus 3259870-5, jäljempänä Käsittelijä) ja Resahost-asiakkaan (jäljempänä Rekisterinpitäjä) välillä. Sopimus astuu voimaan, kun asiakas tilaa Resahost-palvelun, ja se on osa palvelun sopimuskokonaisuutta.

1. Sopimuksen tarkoitus

Käsittelijä käsittelee Rekisterinpitäjän puolesta henkilötietoja Resahost-palvelun tuottamiseksi. Tällä sopimuksella määritellään käsittelyn ehdot GDPR Art. 28 edellyttämällä tavalla.

2. Käsittelyn kohde, kesto, luonne ja tarkoitus

  • Kohde: Henkilötiedot, jotka tallentuvat Rekisterinpitäjän sivustolle, tietokantaan, lokeihin ja varmuuskopioihin Resahost-palvelussa.
  • Kesto: Sopimus on voimassa palvelusopimuksen voimassaolon ajan. Käsittely päättyy, kun palvelusopimus päättyy ja data on palautettu tai poistettu.
  • Luonne: Hosting (tallennus, varmuuskopiointi, ylläpito, tietoturva, tuki).
  • Tarkoitus: Rekisterinpitäjän verkkosivuston ja siihen liittyvien palveluiden tuottaminen.

3. Henkilötietoryhmät ja rekisteröidyt

Käsittelijä käsittelee tyypillisesti seuraavia henkilötietoja Rekisterinpitäjän puolesta:

  • Rekisterinpitäjän asiakkaiden, käyttäjien ja yhteyshenkilöiden tiedot (nimi, sähköposti, puhelin, IP-osoite, käyttäytymisdata)
  • WordPress-käyttäjätilit ja niiden metatiedot
  • Lomakkeiden kautta kerätyt tiedot
  • Verkkokaupan tilaustiedot, jos Rekisterinpitäjällä on verkkokauppa

Rekisteröidyt ovat Rekisterinpitäjän sivuston kävijöitä, asiakkaita ja muita henkilöitä, joiden tietoja Rekisterinpitäjä käsittelee.

4. Käsittelijän velvollisuudet

  1. Käsittelijä käsittelee henkilötietoja vain Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, ellei laki muuta edellytä.
  2. Käsittelijä varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitoon.
  3. Käsittelijä toteuttaa Art. 32 mukaiset tekniset ja organisatoriset turvallisuustoimet (kuvattu kohdassa 6).
  4. Käsittelijä avustaa Rekisterinpitäjää rekisteröidyn oikeuksien toteuttamisessa (Art. 12–22) sekä Art. 32–36 mukaisten velvoitteiden noudattamisessa.
  5. Käsittelijä luovuttaa Rekisterinpitäjälle pyynnöstä tiedot, jotka Rekisterinpitäjä tarvitsee osoittaakseen GDPR:n noudattamisen.
  6. Käsittelijä ilmoittaa Rekisterinpitäjälle viipymättä, jos Rekisterinpitäjän antama ohje rikkoo GDPR:ää tai muuta tietosuojalainsäädäntöä.

5. Alihankkijat (subprocessors)

Resaco Oy käyttää sopimuksen täyttämiseksi alihankkijoita henkilötietojen käsittelyssä. Asiakkaalla on oikeus saada ajantasainen lista alihankkijoista pyynnöstä osoitteesta [email protected]. Ilmoitamme uusista alihankkijoista vähintään 14 vuorokautta ennen muutosta.

6. Turvallisuustoimet (GDPR Art. 32)

  • Salaus: TLS 1.3 liikenteessä, salatut varmuuskopiot levossa
  • Pääsynvalvonta: 2FA pakollisena ylläpitäjille, roolipohjaiset oikeudet, vähimmän oikeuden periaate
  • Lokitus ja seuranta: palvelinlokit, autentikointilokit, poikkeavan toiminnan havaitseminen
  • Varmuuskopiot: päivittäinen automaattinen varmuuskopiointi, säilytys 30 vuorokautta, palautustestit
  • Päivitykset: WordPress-ydin, PHP, käyttöjärjestelmä ja riippuvuudet pidetään ajan tasalla
  • Erottelu: asiakkaat eristetään toisistaan teknisesti
  • Toimintaohjeet: dokumentoidut prosessit tietoturvapoikkeamien hallintaan

7. Tietoturvaloukkauksesta ilmoittaminen

  1. Käsittelijä ilmoittaa Rekisterinpitäjälle henkilötietoihin kohdistuneesta loukkauksesta ilman aiheetonta viivytystä, viimeistään 24 tunnin kuluessa siitä, kun Käsittelijä on saanut loukkauksen tietoonsa.
  2. Ilmoitus sisältää GDPR Art. 33(3) mukaisesti vähintään:
    • Loukkauksen luonne, kategoriat ja arvioitu määrä rekisteröityjä
    • Yhteyshenkilön nimi ja yhteystiedot
    • Loukkauksen todennäköiset seuraukset
    • Toteutetut tai ehdotetut korjaavat toimenpiteet
  3. Käsittelijä avustaa Rekisterinpitäjää viranomais- ja rekisteröidyille tehtävissä ilmoituksissa (Art. 33–34).

8. Auditointioikeus

  1. Rekisterinpitäjällä on oikeus tarkastaa Käsittelijän henkilötietojen käsittely enintään kerran kalenterivuodessa. Tarkastus tehdään etänä asiakirjapyynnöllä, ellei toisin ole perusteltua sopia.
  2. Käsittelijä luovuttaa Rekisterinpitäjälle pyynnöstä turvallisuustoimia kuvaavat dokumentit, sertifikaatit ja kolmannen osapuolen auditointiraportit.
  3. Auditoinnin kustannuksista vastaa Rekisterinpitäjä, ellei auditoinnissa havaita olennaista sopimusrikkomusta.

9. Tietojen palautus ja poisto

  1. Palvelusopimuksen päätyttyä Käsittelijä palauttaa Rekisterinpitäjälle kaikki henkilötiedot ja poistaa kopiot, ellei laki muuta edellytä.
  2. Tiedot toimitetaan koneellisesti luettavassa muodossa (SQL-dumpit, tiedostot, tarvittaessa salattuna).
  3. Poisto suoritetaan 30 vuorokauden kuluessa palvelusopimuksen päättymisestä. Varmuuskopioiden lopullinen poisto tapahtuu varmuuskopiosyklin mukaisesti enintään 90 vuorokauden kuluessa.

10. Vastuu ja sovellettava laki

  1. Osapuolten välinen vastuu määräytyy palvelun yleisten ehtojen mukaisesti siltä osin kuin tästä sopimuksesta ei muuta johdu.
  2. Sopimukseen sovelletaan Suomen lakia ja GDPR:ää. Toimivaltainen tuomioistuin on Helsingin käräjäoikeus.

11. Sopimuksen muutokset

Käsittelijä voi päivittää tätä sopimusta lainsäädännön tai toiminnan muuttuessa. Muutoksista ilmoitetaan Rekisterinpitäjälle vähintään 30 vuorokautta ennen voimaantuloa. Rekisterinpitäjällä on oikeus perustellusta syystä irtisanoa palvelusopimus ennen muutoksen voimaantuloa.