Tietojenkäsittelysopimus (TKS) GDPR:n 28 artiklan mukaisesti välillä Forge12 Interactive GmbH Josefstr. 37 78166 Donaueschingen – jäljempänä „Henkilötietojen käsittelijä“ – ja kulloinenkin asiakas – jäljempänä „Rekisterinpitäjä“ –

1. Käsittelyn kohde ja kesto

(1) Henkilötietojen käsittelijä tarjoaa Rekisterinpitäjälle IT-turvallisuus- ja botti-tunnistuspalveluja palvelun „SilentShield.io“ kautta.

(2) Käsittelyn kohteena on tietovirtojen automaattinen analysointi ja suodatus hyökkäysten ja väärinkäytön havaitsemiseksi ja estämiseksi.

(3) Käsittelyn kesto vastaa kulloisenkin pääsopimuksen kestoa.

2. Käsittelyn luonne ja tarkoitus

Käsittely suoritetaan erityisesti seuraaviin tarkoituksiin:

• Automaattisen pääsyn (bottien) havaitseminen ja estäminen
• Suojaus hyökkäyksiltä (esim. DDoS, roskaposti)
• Järjestelmän vakauden ja saatavuuden varmistaminen
• Pääsymallien analysointi uhkien torjumiseksi

Automaattisia päätöksiä (esim. pyyntöjen estäminen) voidaan tehdä, mikäli se on järjestelmän turvallisuuden kannalta tarpeellista.

3. Tietotyypit

• IP-osoitteet
• HTTP-otsaketiedot
• Selain- ja laitetiedot
• Pääsytiedot (aikaleima, URL, pyynnöt)
• Vuorovaikutus- ja käyttäytymistiedot

4. Rekisteröityjen ryhmät

• Rekisterinpitäjän verkkosivujen vierailijat
• Rekisterinpitäjän verkkopalvelujen käyttäjät

5. Rekisterinpitäjän velvollisuudet

(1) Rekisterinpitäjä vastaa tietojenkäsittelyn lainmukaisuudesta.

(2) Rekisterinpitäjä varmistaa, että hänellä on oikeus siirtää tiedot Henkilötietojen käsittelijälle.

(3) Rekisterinpitäjä täyttää tiedotusvelvollisuutensa rekisteröityjä kohtaan.

6. Henkilötietojen käsittelijän velvollisuudet

Henkilötietojen käsittelijä:

• käsittelee tietoja yksinomaan dokumentoitujen ohjeiden perusteella
• varmistaa asianmukaiset tekniset ja organisatoriset toimenpiteet
• varmistaa luottamuksellisuuden
• avustaa rekisteröityjen oikeuksien toteuttamisessa
• avustaa tietosuojan vaikutustenarvioinneissa

7. Tekniset ja organisatoriset toimenpiteet (TOT)

Henkilötietojen käsittelijä toteuttaa erityisesti seuraavat toimenpiteet:

• TLS/SSL-salaus
• Pääsynhallinta ja roolimallit
• Lokitus ja valvonta
• Suojaus luvattomalta pääsyltä
• Säännölliset turvallisuusauditoinnit

8. Alihankkijat

• Cloudflare, Inc. (USA) – CDN, WAF, välityspalvelin, DDoS-suojaus
• STRATO AG (Saksa) – Isännöinti ja infrastruktuuri

(2) Henkilötietojen käsittelijä varmistaa, että kaikki alihankkijat ovat sidottuja GDPR:n 28 artiklan mukaisesti.

(3) Rekisterinpitäjä antaa yleisen luvan näiden alihankkijoiden käyttöön.

(4) Ajantasainen lista alihankkijoista on saatavilla pyynnöstä tai verkkosivuston kautta.

9. Siirrot kolmansiin maihin

(1) Henkilötietoja voidaan siirtää kolmansiin maihin (erityisesti Yhdysvaltoihin).

(2) Tällaiset siirrot toteutetaan yksinomaan GDPR:n mukaisesti, erityisesti seuraavilla keinoilla:

• EU:n vakiosopimuslausekkeet (GDPR 46 artikla)
• Tarvittaessa EU:n ja Yhdysvaltojen tietosuojakehys

10. Tarkastusoikeudet

(1) Rekisterinpitäjällä on oikeus tarkastaa tämän sopimuksen noudattaminen.

(2) Henkilötietojen käsittelijä toimittaa tätä varten asianmukaista tietoa.

(3) Auditoinnit on ilmoitettava kohtuullisella ennakkovaroituksella, eivätkä ne saa kohtuuttomasti häiritä toimintaa.

11. Tietojen poistaminen

Sopimuksen päättyessä henkilötiedot poistetaan tai palautetaan Rekisterinpitäjän valinnan mukaan, ellei lakisääteisiä säilytysvelvoitteita ole.

12. Vastuu

Sovelletaan pääsopimuksen vastuumääräyksiä.