Seloste asiakkaiden tallentaman datan käsittelystä.
Tämä sopimusliite on olennainen ja erottamaton osa MMD Networks Oy:n (jäljempänä MMD) yleisiä sopimusehtoja. Tätä liitettä sovelletaan silloin, kun MMD toimii asiakassuhteen myötä EU:n tietosuoja-asetuksen tarkoittamana asiakkaan henkilötietojen käsittelijänä.
Asiakkaamme voivat viitata tähän liitteeseen omassa EU:n tietosuoja-asetuksen vaatimassa selosteessaan. Liitteen ajantasainen versio on saatavilla osoitteesta https://verkko24.fi/sopimusehdot/.
Henkilötietojen käsittelijän yhteystiedot:
MMD Networks Oy
Kauppakatu 3 A 4
33300 Tampere
tietosuoja@mmd.net
03 339447
Yleistä
MMD Networks Oy tarjoaa asiakkailleen Internet-palveluita ja Internet-verkon saavutettavissa olevaa tallennustilaa, jota asiakkaamme voivat käyttää esimerkiksi web-sivustonsa tallentamiseen ja julkaisemiseen. Tallennustila voi mahdollistaa tiedon tallentamisen esimerkiksi tiedostoina tai relaatiotietokannan objekteina.
MMD toimii tiedon teknisenä tallentajana ja palvelintilan tarjoana, eikä tiedä tarkemmin asiakkaiden tallentaman tiedon sisällöstä.
Kaikki asiakkaan MMD:n palvelimille tallentama tieto on asiakkaan hallinnassa ja asiakas vastaa itse siitä, että hänellä on lain ja asetusten mukainen käsittelyperuste mahdollisille henkilörekistereilleen ja että tälläisissä henkilörekistereissä ei ole virheellistä tai vanhentunutta tietoa.
Asiakkaan palvelut toteutetaan pääsääntöisesti jaetuilla palvelimilla. Jaetuille palvelimille on tallennettuna useamman eri asiakkuuden tietoja ja pääsyä näihin tietoihin on rajoitettu laitteiden ja ohjelmistojen omilla pääsyoikeus-, käyttäjätunnus- ja salasanajärjestelmillä. On asiakkaan vastuulla varmistaa, että palvelun pääsy- ja jakoasetukset on asetettu asiakkaan haluamalla tavalla.
Rekisteröityjen oikeudet
Asiakas vastaa itse EU:n tietosuoja-asetuksen mukaisten muutos-, poisto- ja tietopyyntöjen toteuttamisesta omille sidosryhmilleen. MMD ilmoittaa asiakkaalle ilman aiheetonta viivytystä kaikista rekisteröidyiltä tai viranomaisilta saamistaan tietoturvalainsäädännön mukaisista tarkitus-, poisto tai muutoskyselyistä, sekä muista mahdollisista lain noudattamista koskevista valituksista ja kyselyistä.
MMD ei tiedä, onko asiakkailla palveluun talletettuna henkilörekistereitä ja mitä tietoa ne mahdollisesti sisältävät, joten MMD ei voi valvoa tietosuojalainsäädännön vaatimusten toteutumista. Näinollen MMD ei myöskään ole asettanut erillistä tietosuojavastaavaa.
MMD voi tarvittaessa auttaa tietoturvalainsäädännön mukaisten pyyntöjen teknisessä toteuttamisessa tuntihinnastonsa mukaisesti saatuaan asiakkaalta siitä kirjallisen pyynnön.
MMD:n pääsy asiakkaan dataan
Palvelusopimuksen voimassaoloaikana MMD ei normaalitilanteessa lisää, poista tai hae mitään tietoa asiakkaiden tallentamista tiedoista ilman asiakkaalta tullutta nimenomaista pyyntöä. Poikkeuksen tähän tekee esim.
- vika- ja häiriötilanteiden tutkinta ja korjaus
- viranomaisten määräys
- palvelinmuutosten yhteydessä mahdollisesti tehtävät korjaukset
- tietoturvaloukkaus tai tietoturvaloukkausepäilyn tutkiminen
- yleisten sopimusehtojen mukainen palvelun, tai sen osan, sulkeminen
Asiakkaalta tulleet pyynnöt ja ohjeistukset tulee kirjata MMD:n asiakkuudenhallintajärjestelmään. Yllälistattujen poikkeustapausten käsittelyssä MMD:n tekninen henkilöstö saattaa nähdä osia asiakkaiden tallentamista tiedoista. MMD on Viestintävirastolle rekisteröitynyt teleoperaattori ja henkilöstöllä on Tietoyhteiskuntakaaren mukaiset salassapitovelvollisuudet.
MMD:llä ei ole oikeutta käyttää asiakkaan dataa mihinkään muuhun tarkoitukseen kuin palvelusopimuksen mukaisen palvelun toteuttamiseen.
Palvelusopimuksen päättymisen jälkeen MMD poistaa asiakkaan datan palvelimiltaan kohtuullisen ajan kuluttua.
Auditoinnit
Jos asiakas haluaa teettää erillisen tietoturva-auditoinnin, sen suorittamisesta sovitaan tapauskohtaisesti erikseen. Asiakas vastaa auditoinnin suorittamiseen liittyvistä kuluista. MMD:n henkilöstöltä kuluva aika laskutetaan MMD:n normaalilla tuntiveloituksella.
Tietoturva
Ellei asiakkaan kanssa ole erikseen muuta sovittu tai palvelukuvauksesta muuta ilmene, kaikki asiakkaiden MMD:n palvelimille tallentama data varmuuskopioineen sijaitsee Suomessa, lukitussa kulunvalvonnalla varustetussa tilassa. MMD ei ilman asiakkaan nimenomaista pyyntöä siirrä tai kopioi dataa Suomen ulkopuolelle.
MMD pyrkii varmuuskopioin ja teknisin kahdennuksin maksimoimaan tiedon säilymisen ja eheyden. Varmuuskopiot sijaitsevat asiakkaiden saavuttamattomissa erillisillä sisäverkon palvelimilla, joten varmuuskopioista ei voi hakea esim. vanhentuneita tietoja vahingossa. MMD:n tekemät varmuuskopiot on tarkoitettu ainoastaan vikatilanteisat toipumiseen, joten niiden säilytysaika on lyhyehkö. Varmuuskopioiden tekoaika ja -muoto saattaa vaihdella, eikä varmuuskopiosta välttämättä ole helposti palautettavissa yksittäistä tiedostoa tai muuta rajoitettua osaa palvelusta. Asiakkaan pyynnöstä MMD voi tutkia, onko asiakkaan tarvitsema tieto palautettavissa varmuuskopioista. Jos asiakas tarvitsee itse omassa toiminnassaan varmuuskopioita, hän on vastuussa tarpeidensa mukaisen varmuuskopioinnin järjestämisestä.
Asiakas tiedostaa jaetun palvelinympäristön aiheuttamat mahdolliset riskit ja asiakkaan yksinomaisessa käytössä olevaan palvelinympäristöön nähden kasvaneen hyökkäyspinta-alan. On asiakkaan vastuulla analysoida tallentamansa tiedon sisältö ja tarvittaessa tilata palvelu erilliselle palvelimelle tai sopia MMD:n kanssa muista tarpeellisista toimenpiteistä tietojen suojaamiseksi.
Tietoturvaloukkaukset
Mahdollisissa tietoturvaloukkaustilanteissa MMD ilmoittaa tilanteesta asiakkalle ja asiakas on itse vastuussa eteenpäin tiedottamisesta esimerkiksi omille asiakkailleen tai verkkokauppansa rekisteröityneille käyttäjille. MMD voi tietoturvaloukkausten yhteydessä tiedottaa asiasta myös Viestintäviraston tietoturvaosastoa ja yhdessä heidän kanssaan suunnitella tarvittavia toimenpiteitä.
Jos asiakas havaitsee tilaamiinsa palveluihin kohdistuneen tietoturvapoikkeaman ennen MMD:tä, asiakas on velvollinen viipymättä tiedottamaan MMD:tä tapahtuneesta
Versio 1.00 – 25.05.2018.