Henkilötietojen käsittelysopimus

Tämä versio on käännös englanninkielisestä versiosta, ja sen tarkoitus on vain välittää tietoa. Jos versioiden välillä on ristiriitoja, englanninkielinen versio on aina ensisijainen.

Rekisterinpitäjä: EU:ssa sijaitseva asiakas (“Rekisterinpitäjä“) ja

(jäljempänä ‘Henkilötietojen käsittelijä‘)
(viitataan erikseen nimellä ‘osapuoli‘ ja yhdessä ‘osapuolet‘).

ovat hyväksyneet seuraavan:

Tietojenkäsittelysopimus

(jäljempänä ‘sopimus‘),
joka koskee henkilötietojen käsittelyä rekisterinpitäjän puolesta.

1. Käsitellyt henkilötiedot

1.1 Tämä sopimus (“Sopimus“) on solmittu sen yhteydessä, että Rekisterinpitäjä käyttää Henkilötietojen käsittelijän palveluja osana tilaus- ja lisäpalveluja tavalla, joka on kuvattu One.comin yleisissä ehdoissa (“Pääsopimus”). 

1.2 Henkilötietojen käsittelijä käsittelee henkilötietoja Rekisterinpitäjän puolesta suhteessa asianomaisiin rekisteröityihin Liitteessä 1 määritellyllä tavalla. Henkilötiedot liittyvät rekisteröityihin, jotka on lueteltu Liitteessä 1.

1.3 Henkilötietojen käsittelijä voi aloittaa henkilötietojen käsittelyn Rekisterinpitäjä puolesta sen jälkeen, kun Pääsopimus on astunut voimaan. Pääsopimuksen päättyessä käsittely päättyy, ja henkilötiedot poistetaan Liitteen 1 ohjeiden mukaisesti.

1.4 Sopimus ja pääsopimus ovat toisistaan riippuvaisia, eikä niitä voida irtisanoa erikseen. Sopimus voidaan kuitenkin korvata toisella voimassa olevalla tietojenkäsittelijäsopimuksella ilman, että pääsopimusta irtisanotaan.

2. Käyttötarkoitus

2.1 Tietojenkäsittelijä saa käsitellä henkilötietoja ainoastaan tarkoituksiin, jotka ovat välttämättömiä tietojenkäsittelijän velvollisuuksien täyttämiseksi ja pääsopimuksessa määriteltyjen palvelujen tarjoamiseksi.

3. Rekisterinpitäjän velvollisuudet

3.1 Rekisterinpitäjä takaa, että henkilötietoja käsitellään laillisia ja objektiivisia tarkoituksia varten, ja että Henkilötietojen käsittelijä ei käsittele useampia henkilötietoja kuin on tarpeen näiden tarkoitusten täyttämiseksi.

3.2 Rekisterinpitäjä on vastuussa siitä, että henkilötietojen käsittelylle on olemassa pätevä oikeusperuste silloin, kun henkilötiedot siirretään Henkilötietojen käsittelijälle. Rekisterinpitäjä sitoutuu tietojenkäsittelijän pyynnöstä kirjallisesti selvittämään ja/tai toimittamaan asiakirjat käsittelyn perusteesta.

3.3 Lisäksi rekisterinpitäjä takaa, että rekisteröidyille osapuolille, joita henkilötiedot koskevat, on annettu riittävästi tietoa heidän tietojensa käsittelystä.

4. Tietojenkäsittelijän velvollisuudet

4.1 Henkilötietojen käsittelijän on kaikessa Rekisterinpitäjän toimittamien henkilötietojen käsittelyssä noudatettava Rekisterinpitäjän laatimia ohjeita, ja Henkilötietojen käsittelijän on lisäksi noudatettava kaikkea kulloinkin voimassa olevaa tietosuojalainsäädäntöä. Jos unionin lainsäädännössä tai EU:n jäsenvaltion lainsäädännössä, jota tietojenkäsittelijään sovelletaan, säädetään, että tietojenkäsittelijän on käsiteltävä Liitteessä 1 lueteltuja henkilötietoja, Henkilötietojen käsittelijän on ilmoitettava Rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä. Tätä ei kuitenkaan sovelleta, jos kyseinen lainsäädäntö kieltää tällaisen tiedon antamisen tärkeän yleisen edun vuoksi. Henkilötietojen käsittelijän on ilmoitettava välittömästi Rekisterinpitäjälle, jos ohje on Tietojenkäsittelijän mielestä EU:n yleisen tietosuoja-asetuksen tai EU:n jäsenvaltion tietosuojasäännösten vastainen.

4.2 Henkilötietojen käsittelijän on toteutettava kaikki tarvittavat tekniset ja organisatoriset turvatoimet, mukaan lukien mahdolliset lisätoimenpiteet, jotka ovat tarpeen sen varmistamiseksi, että henkilötietoja ei vahingossa tai laittomasti tuhota, kadoteta tai heikennetä tai saateta luvattomien kolmansien osapuolten tietoon, että niitä ei käytetä väärin tai että niitä ei muutoin käsitellä tavalla, joka on ristiriidassa kulloinkin voimassa olevan tietosuojalainsäädännön kanssa. Nämä toimenpiteet on kuvattu tarkemmin Liitteessä 2.

4.3 Henkilötietojen käsittelijän on varmistettava, että henkilötietojen käsittelyyn valtuutetut työntekijät ovat sitoutuneet luottamuksellisuuteen tai heillä on asianmukainen lakisääteinen salassapitovelvollisuus.

4.4 Rekisterinpitäjän pyynnöstä Henkilötietojen käsittelijän on ilmoitettava ja/tai dokumentoitava, että Henkilötietojen käsittelijä noudattaa sovellettavan tietosuojalainsäädännön vaatimuksia, mukaan lukien dokumentaatio koskien Henkilötietojen käsittelijän tietovirtoja sekä henkilötietojen käsittelyä koskevat menettelyt/käytännöt.

4.5 Käsittelyn luonteen huomioon ottaen Henkilötietojen käsittelijän on mahdollisuuksien mukaan avustettava Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Rekisterinpitäjä voi täyttää velvoitteensa vastata pyyntöihin, jotka koskevat rekisteröidyn oikeuksien käyttämistä yleisen tietosuoja-asetuksen 3. luvussa säädetyllä tavalla.

4.6 Henkilötietojen käsittelijän tai toisen henkilötietojen käsittelijän (alihankkijana toimiva tietojenkäsittelijä) on lähetettävä rekisteröityjen esittämät pyynnöt ja vastalauseet Rekisterinpitäjälle, jotta Rekisterinpitäjä voi käsitellä niitä edelleen, ellei Henkilötietojen käsittelijällä ole oikeutta käsitellä pyyntöä itse. Rekisterinpitäjän pyynnöstä Henkilötietojen käsittelijän on avustettava Rekisterinpitäjää tällaisiin pyyntöihin ja/tai vastalauseisiin vastaamisessa.

4.7 Jos Henkilötietojen käsittelijä käsittelee henkilötietoja toisessa EU:n jäsenvaltiossa, Henkilötietojen käsittelijän on noudatettava kyseisen jäsenvaltion turvatoimenpiteitä koskevaa lainsäädäntöä.

4.8 Henkilötietojen käsittelijän on ilmoitettava Rekisterinpitäjälle, jos toiminnassa ilmenee keskeytys, epäily siitä, että tietosuojasääntöjä on rikottu, tai muita henkilötietojen käsittelyyn liittyviä sääntöjenvastaisuuksia. Henkilötietojen käsittelijän määräaika ilmoittaa Rekisterinpitäjälle tietoturvaloukkauksesta on 48 tuntia siitä hetkestä, kun Henkilötietojen käsittelijä saa tiedon tietoturvaloukkauksesta. Rekisterinpitäjän pyynnöstä Henkilötietojen käsittelijän on avustettava Rekisterinpitäjää tietoturvaloukkauksen laajuuden selvittämisessä, mukaan lukien mahdollisen ilmoituksen valmistelu asianomaiselle tietosuojavirastolle ja/tai rekisteröidyille. 

4.9 Henkilötietojen käsittelijän on annettava rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen yleisen tietosuoja-asetuksen 28 artiklan ja Sopimuksen noudattamisen osoittamiseksi. Tässä yhteydessä henkilötietojen käsittelijä sallii rekisterinpitäjän tai rekisterinpitäjän valtuuttaman tarkastajan suorittamat auditoinnit, mukaan lukien tarkastukset, ja osallistuu niihin. Rekisterinpitäjä vastaa kaikista auditoinneista tai tarkastuksista aiheutuvista kustannuksista.

4.10 Edellä mainitun lisäksi Henkilötietojen käsittelijän on avustettava Rekisterinpitäjää sen varmistamisessa, että Rekisterinpitäjä noudattaa yleisen tietosuoja-asetuksen 32-36 artiklan mukaisia velvoitteitaan. Tässä avustamisessa otetaan huomioon käsittelyn luonne ja Henkilötietojen käsittelijän käytettävissä olevat tiedot.

5. Tietojen siirto alihankkijoille tai kolmansille osapuolille.

5.1 Henkilötietojen käsittelijän on täytettävä yleisen tietosuoja-asetuksen 28 artiklan 2 ja 4 kohdassa säädetyt edellytykset toisen henkilötietojen käsittelijän (alihankkijana toimiva henkilötietojen käsittelijä) palkkaamiseksi. Tämä tarkoittaa, että Henkilötietojen käsittelijä ei ota toista henkilötietojen käsittelijää (alihankkijana toimivaa henkilötietojen käsittelijää) Sopimuksen toteuttamiseen ilman Rekisterinpitäjän etukäteen antamaa erityistä tai yleistä kirjallista hyväksyntää.

5.2 Rekisterinpitäjä antaa täten Henkilötietojen käsittelijälle yleisen valtakirjan tehdä sopimuksia alihankkijana toimivien henkilötietojen käsittelijöiden kanssa. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle kaikista muutoksista, jotka koskevat alihankkijoiden lisäämistä tai korvaamista, viimeistään 30 päivää ennen kuin uusi alihankkija aloittaa henkilötietojen käsittelyn. Rekisterinpitäjä voi esittää kohtuullisia ja asianmukaisia vastalauseita tällaisia muutoksia vastaan 14 päivän kuluessa ilmoituksen vastaanottamisesta. Jos Henkilötietojen käsittelijä haluaa edelleen käyttää sellaista alihankkijana toimivaa tietojenkäsittelijää, jota rekisterinpitäjä on vastustanut, osapuolilla on oikeus irtisanoa sopimus, ks. lauseke 7.

5.3 Kun Rekisterinpitäjä on hyväksynyt, että Henkilötietojen käsittelijä voi käyttää alihankkijana toimivaa henkilötietojen käsittelijää, Henkilötietojen käsittelijän on asetettava alihankkijalle samat velvoitteet kuin Sopimuksessa on määrätty. Tämä toteutetaan sopimuksella tai muulla EU:n lainsäädännön tai jäsenvaltion lainsäädännön mukaisella oikeustoimella. On esimerkiksi varmistettava, että alihankkijana toimiva henkilötietojen käsittelijä antaa riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta siten, että käsittely täyttää yleisen tietosuoja-asetuksen vaatimukset (“back-to-back”- ehdot).

5.4 Jos alihankkijana toimiva tietojenkäsittelijä ei täytä tietosuojavelvoitteitaan, Henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa Rekisterinpitäjälle alihankkijana toimivan henkilötietojen käsittelijän velvoitteiden täyttämisestä.

5.5 Rekisterinpitäjän henkilötietojen luovuttaminen, siirtäminen ja sisäinen käyttö kolmansissa maissa tai kansainvälisessä organisaatiossa voi tapahtua ainoastaan Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, ellei EU:n lainsäädännössä tai sen jäsenvaltion lainsäädännössä, jonka alainen Henkilötietojen käsittelijä on, toisin säädetä.

Jos näin on, Henkilötietojen käsittelijän on ilmoitettava Rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, ellei laki kiellä tällaista ilmoitusta tärkeän yleisen edun vuoksi.

5.6 Jos Liitteessä 1 määritettyjä henkilötietoja siirretään EU:n/ETA:n ulkopuolisille alikäsittelijöille, kyseisessä sopimuksessa on mainittava, että alikäsittelijöihin sovelletaan Rekisterinpitäjän maassa sovellettavaa tietosuojalainsäädäntöä. Jos vastaanottava alihankkijana toimiva henkilötietojen käsittelijä sijaitsee EU:n/ETA:n alueella, kyseisessä henkilötietojen käsittelijää koskevassa sopimuksessa on lisäksi todettava, että vastaanottavan EU-maan erityisiä henkilötietojen käsittelijöitä koskevia lakisääteisiä vaatimuksia, esimerkiksi kansallisille viranomaisille tehtäviä ilmoituksia koskevia vaatimuksia, on noudatettava.

5.7 Henkilötietojen käsittelijä on velvollinen tekemään kirjalliset henkilötietojen käsittelysopimukset alikäsittelijöiden kanssa EU:ssa/ETA:ssa. EU:n/ETA:n ulkopuolisten alikäsittelijöiden osalta Henkilötietojen käsittelijän on varmistettava asianmukaiset suojatoimet, esimerkiksi EU:n komission mallisopimuslausekkeiden uusin versio, ja tehtävä tietojenkäsittelysopimus.

5.8 Tämän Sopimuksen allekirjoitushetkellä Henkilötietojen käsittelijä ottaa palvelukseensa Liitteessä 3 luetellut alikäsittelijät.

6. Vastuu

6.1 Osapuolten vastuu määräytyy Pääsopimuksen mukaan.

6.2 Osapuolten vahingonkorvausvastuu tämän Sopimuksen nojalla määräytyy Pääsopimuksen mukaan.

7. Voimaantulopäivä ja irtisanominen

7.1 Tämä Sopimus tulee voimaan samanaikaisesti Pääsopimuksen kanssa. Jos Pääsopimus irtisanotaan, myös tämä Sopimus päättyy. Henkilötietojen käsittelijään sovelletaan kuitenkin edelleen tässä Sopimuksessa määrättyjä velvoitteita niin kauan, kuin Henkilötietojen käsittelijä käsittelee henkilötietoja Rekisterinpitäjän puolesta.

7.2 Käsittelypalvelujen päättyessä Henkilötietojen käsittelijä on velvollinen Rekisterinpitäjän pyynnöstä poistamaan kaikki henkilötiedot tai palauttamaan ne Rekisterinpitäjälle, sekä poistamaan olemassa olevat jäljennökset, ellei EU:n tai kansallisessa lainsäädännössä säädetä henkilötietojen säilyttämisestä.

8. Sovellettava laki ja toimivalta

8.1 Kaikki tästä Sopimuksesta johtuvat tai siihen liittyvät vaateet tai riidat on ratkaistava toimivaltaisessa ensimmäisen oikeusasteen tuomioistuimessa, jonka tuomiovalta ja lainvalinta on sama kuin Pääsopimuksessa mainittu.

9. Allekirjoitukset

Liite 1

Rekisteröityjen ryhmät, henkilötietotyypit ja ohjeet

1. Rekisteröityjen ryhmät:

• Henkilötietojen käsittelijä käsittelee Rekisterinpitäjän verkkosivuston kävijöiden ja varsinaisten, potentiaalisten tai entisten asiakkaiden ja/tai jäsenten, työntekijöiden, toimittajien, liike- ja yhteistyökumppaneiden ja tytäryhtiöiden yhteystietoja. 
• Henkilötietojen käsittelijä antaa järjestelmänsä Rekisterinpitäjän käyttöön hosting-palveluna, eikä Henkilötietojen käsittelijän ole mahdollista määrittää kaikkia rekisteröityjen ryhmiä. Jos Rekisterinpitäjä tallentaa tietoja muista rekisteröityjen ryhmistä Henkilötietojen käsittelijän kanssa, rekisterinpitäjän velvollisuus on rekisteröidä nämä tiedot. 

2. Henkilötietojen tyypit:

Yleensä Henkilötietojen käsittelijä käsittelee kaikkia Rekisterinpitäjän verkkolevytilan kautta käsiteltäviä henkilötietoja. Alla oleva ei-tyhjentävä luettelo sisältää yleisimmät verkkolevytilojen kautta käsiteltävät henkilötietotyypit. Rekisterinpitäjä päättää, mitä henkilötietoja hän päättää käsitellä Henkilötietojen käsittelijän infrastruktuurin kautta. Tämä voi sisältää yleisen tietosuoja-asetuksen 9 artiklassa lueteltuja erityisiä henkilötietoryhmiä.

• Yhteystiedot ja tunnistetiedot, mukaan lukien sähköpostiosoite
• IP-osoitteet
• Verkkotunnukset
• Käyttäjätunnukset
• Jäsenyyttä koskevat tiedot
• Analytiikka ja käyttötiedot
• Tilaushistoria ja -tiedot
• Sopimukset
• Viestintä
• Tuki
• Kuvat
• Markkinointisuostumuksen tila
• Sähköpostien sisältämät henkilötiedot
• Muita henkilötietojen tyyppejä voi esiintyä

3. Ohjeet
Palvelu

Henkilötietojen käsittelijä voi käsitellä rekisteröityjä koskevia henkilötietoja Pääsopimuksen mukaisten palvelujen toimittamiseksi, kehittämiseksi ja hallinnoimiseksi, mukaan lukien palvelimiemme vakauden ja käytettävyyden varmistaminen ja lakisääteisten vaatimusten täyttäminen. 

Säilytysaika

Järjestelmiimme tallennetut henkilötiedot poistetaan tai anonymisoidaan kohtuullisen ajan kuluessa siitä, kun Rekisterinpitäjä on irtisanonut Pääsopimuksen kokonaan.

Käsittelyn sijainti

Sopimuksen kattamien henkilötietojen käsittelyä ei saa tehdä ilman Rekisterinpitäjän etukäteen antamaa kirjallista suostumusta muualla kuin Käsittelijän Kööpenhaminassa sijaitsevassa tietokeskuksessa ja Liitteessä 3 lueteltujen alikäsittelijöiden sijainneissa. 

Liite 2

Turvatoimenpiteet

Verkkotunnus	Käytännöt
Tietoturvaorganisointi	Turvallisuusomistus. One.com on nimittänyt turvallisuusvastaavan, joka vastaa turvallisuussääntöjen ja – menettelyjen koordinoinnista ja valvonnasta. C-tason henkilöistä koostuva hallinto avustaa ja ohjaa turvallisuusvastaavaa. Turvallisuusroolit ja -vastuut. One.comin henkilökunnalla, jolla on pääsy asiakastietoihin, on salassapitovelvollisuus, jota korostetaan palvelukseen otettaessa ja josta tiedostamista jatketaan. Riskienhallinta. One.com suorittaa jatkuvasti riskinarviointia, joka on osa riskienhallintaa, ennen asiakastietojen käsittelyä tai palvelujen käyttöönottoa. Riskienhallinta mahdollistaa keskittymisen olennaisiin uhkiin priorisoimalla, jäsentämällä ja lieventämällä riskejä, jotka ylittävät hyväksytyn tason. Varmuuskopiointi on toteutettu. Tietojenkäsittelijä säilyttää turvallisuusasiakirjat säilyttämisvaatimustensa mukaisesti sen jälkeen, kun ne eivät enää ole voimassa.
Omaisuudenhallinta	Omaisuusluettelo. Tietojenkäsittelijä ylläpitää luetteloa kaikista tietovälineistä, joille asiakastiedot on tallennettu. Pääsy tällaisten tietovälineiden luetteloihin on rajoitettu tietojenkäsittelijän henkilökuntaan kuuluviin henkilöihin, joilla on kirjallinen valtuutus saada tällainen pääsy. Varojen käsittely One.com luokittelee asiakastiedot, jotta ne voidaan tunnistaa ja jottaniiden käyttöä voidaan rajoittaa asianmukaisesti . – Tietojenkäsittelijän henkilöstön on saatava tietojenkäsittelijän lupa ennen asiakastietojen tallentamista kannettaviin laitteisiin, asiakastietojen etäkäyttöä tai asiakastietojen käsittelyä tietojenkäsittelijän tilojen ulkopuolella.
Henkilöstöhallinnonturvallisuus	Turvallisuuskoulutus. One.com tiedottaa henkilöstölleen asianmukaisista turvallisuusmenettelyistä ja heidän tehtävistään sekä uusista uhkista jne., joissa työntekijöillä on tärkeä rooli.
Fyysinen ja ympäristön turvallisuus	Fyysinen pääsy tiloihin. One.com rajoittaa pääsyn tiloihin, joissa asiakastietoja käsittelevät tietojärjestelmät sijaitsevat, vain tunnistettuihinvaltuutettuihin henkilöihin. Fyysinen pääsy komponentteihin. One.com varmistaa, että asiakastietoja sisältäviä välineitä rajoitetaan riittävästi. Suojautuminen häiriöiltä. One.com käyttää useita alan standardi järjestelmiä suojautuakseen sähkökatkoksilta, tulvilta, tulipaloista tai linjahäiriöistä johtuvilta tietojen menetyksiltä. Tietojen hävittäminen. One.com käyttää alan standardiprosesseja asiakastietojen poistamiseen, kun niitä ei enää tarvita.
Viestintä ja toiminnanohjaus	Toimintapolitiikka. One.com ylläpitää turvallisuusasiakirjoja, joissa kuvataan sen turvatoimenpiteet sekä asiaankuuluvat menettelyt ja vastuut sen henkilöstölle, jolla on pääsy asiakastietoihin. Tietojen palautusmenettelyt One.com säilyttää kopiot asiakastiedoista ja tietojen palautusmenettelyistä eri paikassa kuin missä asiakastietoja käsitteleväensisijainen tietokonelaitteisto sijaitsee. One.comilla on käytössään erityiset menettelyt, jotka koskevat pääsyäasiakastietojen kopioihin. Haitalliset ohjelmistot. One.comilla on haittaohjelmien torjuntaohjelmat, joiden avulla voidaan estää haittaohjelmien luvaton pääsy asiakastietoihin,mukaan lukien julkisista verkoista peräisin olevat haittaohjelmat. Myös virustorjunta on otettu käyttöön. Tapahtumien kirjaaminen. One.com kirjaa tai antaa asiakkaalle mahdollisuuden kirjautua asiakkaan tietoja sisältäviin tietojärjestelmiin janiiden käyttöön rekisteröimällä tapahtuman tunnuksen, ajan, myönnetyn tai evätyn valtuutuksen ja asiaankuuluvan toiminnan. Salaus. Henkilötietoja käsittelevien järjestelmien välinen viestintäinternetissä salataan.
Kulunvalvonta	Pääsykäytäntö. One.com pitää kirjaa niiden henkilöiden suojausoikeuksista, joilla on pääsy asiakastietoihin. Pääsyn salliminen One.com deaktivoi tunnistautumistiedot, joita ei ole käytetty enintäänkuuteen kuukauteen. One.com yksilöi ne henkilöt, jotka voivat myöntää, muuttaa tai peruuttaa valtuutetun pääsyn tietoihin ja resursseihin . One.com varmistaa, että jos useammalla kuin yhdellä henkilöllä onpääsy asiakastietojasisältäviin järjestelmiin, yksilöillä on erilliset tunnukset ja kirjautumistunnukset. Pienin etuoikeus One.com rajoittaa pääsyn asiakastietoihin vain niihin henkilöihin, jotkatarvitsevat pääsyä työtehtäviensä hoitamiseen . Eheys ja luottamuksellisuus One.com ohjeistaa henkilökuntaansa poistamaan hallinnolliset istunnot käytöstä, kun he poistuvat tiloista tai kun tietokoneet jätetään muuten ilmanvalvontaa. One.com tallentaa salasanat tavalla, joka tekee niistä lukukelvottomia niiden voimassaoloaikana. Tunnistus One.com käyttää alan standardikäytäntöjä tunnistaakseen jatodentaakseen käyttäjät, jotka yrittävät päästä tietojärjestelmiin. Jos tunnistusmekanismit perustuvat salasanoihin, tietojenkäsittelijä edellyttää, että salasanat uusitaan säännöllisesti. One.com varmistaa, että deaktivoituja tai vanhentuneita tunnuksia eiluovuteta muille henkilöille. One.com valvoo tai antaa asiakkaan valvoa toistuvia yrityksiä päästätietojärjestelmään virheellisellä salasanalla. One.com ylläpitää alan vakiomenettelyjä korruptoituneiden tai tahattomasti paljastuneiden salasanojen poistamiseksi käytöstä. One.com käyttää alan standardien mukaisia salasanasuojauskäytäntöjä, mukaan lukien käytännöt, joiden tarkoituksena on säilyttää salasanojen luottamuksellisuus ja eheys salasanoja myönnettäessä ja jaettaessa sekä säilytyksen aikana. Verkkosuunnittelu. One.comilla on valvontatoimia, joilla estetään se, että henkilöt käyttävät käyttöoikeuksia, joita heille ei ole annettu, päästäkseen käsiksi asiakastietoihin, joihin heillä ei ole lupaa.
Tietoturvatapahtumienhallinta	Tapahtumiin reagointiprosessi One.com pitää kirjaa tietoturvaloukkauksista, joissa on kuvaus tietoturvaloukkauksesta, ajanjakso, seuraukset, ilmoittajan nimi ja kenelle tietoturvaloukkauksesta ilmoitettiin sekä menettely tietojen palauttamiseksi. One.com ilmoittaa jokaisesta tietoturvaloukkauksesta, joka on tietoturvatapahtuma, ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa. One.com seuraa tai antaa Asiakkaan seurata asiakastietojen luovutuksia,mukaan lukien mitä tietoja on luovutettu, kenelle ja milloin.
Liiketoiminnanjatkuvuudenhallinta	One.com ylläpitää hätä- ja varasuunnitelmia tiloille, joissa asiakastietoja käsittelevien tietojenkäsittelijöiden tietojärjestelmät sijaitsevat. One.comin varmistava varastointi ja sen tietojen palautusmenettelyt on suunniteltu siten, että asiakastiedot pyritään palauttamaan alkuperäiseen tai viimeisimpään kopioituun tilaansa ennen niiden katoamista tai tuhoutumista.

Liite 3

Luettelo alihankkijoina toimivista tietojenkäsittelijöistä

Mass hosting -palvelut

Toimittaja	Sijainti	Funktio
Global Connect A/S	DK	Datakeskus
Digital Realty Trust Inc.	DK	Datakeskus (varmuuskopio)
One.com A/S*	DK	Järjestelmien valvonta
One.com Intia pvt. Oy.*	IN	Järjestelmien valvonta

VPS (ei Managed VPS)

Toimittaja	Sijainti	Funktio
Envia TEL GmbH	DE	Datakeskus
Dogado GmbH*	DE	Järjestelmien valvonta

Managed VPS

Toimittaja	Sijainti	Funktio
Global Connect A/S	DK	Datakeskus
Digital Realty Trust Inc	DK	Datakeskus (varmuuskopio)
WebPros International GmbH (Plesk)	CH (Sveitsi)	Ohjauspaneelin tarjoaja
One.com A/S*	DK	Järjestelmien valvonta
One.com Intia pvt. Oy.*	IN	Järjestelmien valvonta
Acronis International GmbH	CH (Sveitsi)	Varmuuskopioiden tarjoaja

Website Builder

Toimittaja	Sijainti	Funktio
Global Connect A/S	DK	Datakeskus
Digital Realty Trust Inc	DK	Datakeskus (varmuuskopio)
Amazon Web Services Inc.	US/DE	Website Builder Kokeilutoiminnot (DE-klusteri)
SiteWit Oyj (Kliken)	US	Verkkosivuston analytiikka
Termly Inc.*	US	Suostumusten hallinta
Shore GmbH*	DE	Ajanvarausjärjestelmä
Google Inc.	US	Captcha
One.com A/S*	DK	Järjestelmien valvonta
One.com Intia pvt. Oy.*	IN	Järjestelmien valvonta

Premium Care

Toimittaja	Sijainti	Funktio
Liven Studio Ltd. (WP Umbrella)	US	Valvontaohjelmisto WordPressille

WP.one

Toimittaja	Sijainti	Funktio
Google Inc.	US/NL	Google Cloud (NL-klusteri)

Tähdellä (*) merkityt yksiköt ovat osa Group.one-konsernia