Siirry sisältöön

Tietojenkäsittelysopimus (DPA)

Tässä tietojenkäsittelysopimuksessa kuvataan, miten Vahti Service Oy käsittelee asiakkaan henkilötietoja asiakkaan puolesta vahti.ai-palvelun tuottamisessa. Sopimus täydentää palveluehtoja ja määrittelee muun muassa käsittelyn tarkoitukset, osapuolten vastuut, alikäsittelijät, tietoturvatoimet sekä tietojen poistamisen sopimuksen päättyessä.

Tietojenkäsittelysopimus (DPA)

Päivitetty viimeksi: 24.4.2026

Tämä tietojenkäsittelysopimus (“DPA” tai “Sopimus”) on osa Vahti Service Oy:n palveluehtoja ja tulee sovellettavaksi automaattisesti, kun Vahti Service Oy käsittelee henkilötietoja asiakkaan puolesta vahti.ai-palvelun yhteydessä.

Palveluehdot: [LINKKI: Palveluehdot]
Tietosuojaseloste: [LINKKI: Tietosuojaseloste]
Alikäsittelijät: [LINKKI: Alikäsittelijät]
Cookie Policy: [LINKKI: Cookie Policy]

1. Osapuolet

Tämä Sopimus koskee henkilötietojen käsittelyä, jossa asiakas toimii rekisterinpitäjänä ja Vahti Service Oy käsittelijänä.

Rekisterinpitäjä: asiakas, joka käyttää vahti.ai-palvelua (“Asiakas”).
Käsittelijä: Vahti Service Oy, Y-tunnus 3598836-2, Kauppakatu 39, 40100 Jyväskylä (“Vahti Service Oy” tai “Käsittelijä”).

Tätä Sopimusta sovelletaan siltä osin kuin Vahti Service Oy käsittelee henkilötietoja Asiakkaan puolesta vahti.ai-palvelun tuottamiseksi.

2. Määritelmät

Tässä Sopimuksessa käytetyillä tietosuojatermeillä, kuten “henkilötieto”, “rekisterinpitäjä”, “käsittelijä”, “rekisteröity”, “käsittely”, “henkilötietojen tietoturvaloukkaus” ja “alikäsittelijä”, on EU:n yleisessä tietosuoja-asetuksessa (EU) 2016/679 (“GDPR”) määritelty merkitys.

“Pääsopimus” tarkoittaa Asiakkaan ja Vahti Service Oy:n välistä palvelusopimusta, käyttöehtoja, tilausta, tarjousta, tilausvahvistusta tai muuta sopimusta, jonka perusteella Asiakas käyttää vahti.ai-palvelua.

3. Sopimuksen tarkoitus ja suhde pääsopimukseen

Tämän Sopimuksen tarkoituksena on sopia GDPR:n 28 artiklan mukaisista ehdoista, joilla Vahti Service Oy käsittelee henkilötietoja Asiakkaan puolesta.

Tämä Sopimus täydentää Pääsopimusta ja tulee sovellettavaksi automaattisesti osana Pääsopimusta, kun Vahti Service Oy käsittelee henkilötietoja Asiakkaan puolesta.

Jos tämä Sopimus ja Pääsopimus ovat ristiriidassa henkilötietojen käsittelyä koskevissa asioissa, tätä Sopimusta sovelletaan ensisijaisesti. Kaupallisiin ehtoihin, vastuisiin ja palvelun käyttöön sovelletaan Pääsopimusta, ellei tässä Sopimuksessa nimenomaisesti toisin sovita.

4. Käsittelyn kohde, luonne ja tarkoitus

Vahti Service Oy käsittelee henkilötietoja vahti.ai-palvelun tuottamiseksi, ylläpitämiseksi, suojaamiseksi ja kehittämiseksi Pääsopimuksen mukaisesti.

Palvelu on Microsoft 365 -ympäristöjen tietoturvan ja vaatimustenmukaisuuden jatkuva seurantapalvelu. Käsittely voi liittyä esimerkiksi Microsoft 365 -ympäristöstä saatuihin käyttäjä-, asetustila-, tapahtuma-, havainto- ja turvallisuustietoihin sekä palvelun käyttöön liittyviin teknisiin tietoihin.

Käsittelyn tarkempi kuvaus on Liitteessä 1.

5. Käsittelyn kesto

Vahti Service Oy käsittelee henkilötietoja niin kauan kuin Pääsopimus on voimassa ja käsittely on tarpeen palvelun tuottamiseksi.

Pääsopimuksen päätyttyä henkilötiedot poistetaan tai palautetaan kohdan 18 ja Liitteen 3 mukaisesti, ellei sovellettava laki edellytä tietojen säilyttämistä pidempään.

6. Henkilötietoryhmät

Käsiteltävät henkilötietoryhmät on kuvattu Liitteessä 1. Tietoryhmät voivat sisältää esimerkiksi käyttäjien tunniste- ja yhteystietoja, käyttöoikeus- ja roolitietoja, Microsoft 365 -ympäristöön liittyviä tietoturva- ja vaatimustenmukaisuustietoja sekä palvelun teknisiä loki- ja käyttötietoja.

Vahti Service Oy ei lähtökohtaisesti tarvitse erityisiin henkilötietoryhmiin kuuluvia tietoja palvelun tuottamiseksi. Asiakas vastaa siitä, ettei se toimita palveluun tarpeettomia erityisiä henkilötietoryhmiä tai muuta arkaluonteista aineistoa, ellei siitä ole erikseen sovittu.

7. Rekisteröityjen ryhmät

Rekisteröityjen ryhmät on kuvattu Liitteessä 1. Näitä voivat olla esimerkiksi Asiakkaan työntekijät, käyttäjät, ylläpitäjät, konsultit, alihankkijat ja muut Microsoft 365 -ympäristöön liittyvät henkilöt.

8. Rekisterinpitäjän velvollisuudet

Asiakas vastaa rekisterinpitäjänä siitä, että henkilötietojen käsittelylle on lainmukainen peruste ja että käsittely on sovellettavan tietosuojalainsäädännön mukaista.

Asiakas vastaa erityisesti siitä, että:

  • Asiakkaalla on oikeus antaa henkilötiedot Vahti Service Oy:n käsiteltäväksi.
  • Rekisteröidyille annetaan tarvittavat tietosuojainformaatiot.
  • Asiakkaan Vahti Service Oy:lle antamat ohjeet ovat lainmukaisia.
  • Asiakas määrittää, ketkä sen organisaatiossa saavat käyttää palvelua.
  • Asiakas huolehtii omien käyttäjiensä käyttöoikeuksista ja niiden ajantasaisuudesta.
  • Asiakas ei toimita palveluun tarpeettomia henkilötietoja.

9. Käsittelijän velvollisuudet

Vahti Service Oy käsittelee henkilötietoja vain Asiakkaan dokumentoitujen ohjeiden mukaisesti, ellei sovellettava laki velvoita Vahti Service Oy:tä käsittelemään tietoja muulla tavoin.

Vahti Service Oy sitoutuu:

  • käsittelemään henkilötietoja vain tämän Sopimuksen, Pääsopimuksen ja Asiakkaan dokumentoitujen ohjeiden mukaisesti;
  • toteuttamaan asianmukaiset tekniset ja organisatoriset turvatoimet;
  • huolehtimaan siitä, että henkilötietoja käsittelevät henkilöt ovat salassapitovelvollisia;
  • käyttämään alikäsittelijöitä tämän Sopimuksen mukaisesti;
  • avustamaan Asiakasta kohtuullisesti rekisteröityjen oikeuksiin, tietoturvaloukkauksiin ja tietosuojaa koskeviin arviointeihin liittyvissä asioissa;
  • poistamaan tai palauttamaan henkilötiedot Sopimuksen päättyessä kohdan 18 mukaisesti.

10. Dokumentoidut ohjeet

Asiakkaan dokumentoituja ohjeita ovat tämä Sopimus, Pääsopimus, palvelun asetukset, Asiakkaan palvelussa tekemät valinnat sekä muut kirjallisesti sovitut ohjeet.

Jos Vahti Service Oy katsoo, että Asiakkaan ohje rikkoo tietosuojalainsäädäntöä, Vahti Service Oy ilmoittaa tästä Asiakkaalle ilman aiheetonta viivytystä, ellei laki estä ilmoittamista.

11. Henkilöstön salassapito

Vahti Service Oy varmistaa, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet salassapitoon tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

Pääsy henkilötietoihin rajataan henkilöihin, joilla on työtehtäviensä perusteella tarve käsitellä tietoja.

12. Tietoturvatoimet

Vahti Service Oy toteuttaa käsittelyyn nähden asianmukaiset tekniset ja organisatoriset turvatoimet. Turvatoimien tarkoituksena on suojata henkilötietoja luvattomalta tai lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta.

Turvatoimia kuvataan tarkemmin Liitteessä 3.

Vahti Service Oy voi päivittää turvatoimiaan palvelun, teknologian ja uhkaympäristön kehittyessä, kunhan tietosuojan kokonaistaso ei olennaisesti heikkene.

13. Alihankkijat / alikäsittelijät

Asiakas antaa Vahti Service Oy:lle yleisen luvan käyttää alikäsittelijöitä henkilötietojen käsittelyssä.

Vahti Service Oy ylläpitää luetteloa olennaisista alikäsittelijöistä. Nykyiset tunnetut alikäsittelijät on kuvattu Liitteessä 2 ja julkisella alikäsittelijäsivulla: [LINKKI: Alikäsittelijät].

Vahti Service Oy varmistaa, että alikäsittelijöitä sitovat olennaisilta osin vastaavat tietosuojavelvoitteet kuin Vahti Service Oy:tä tämän Sopimuksen perusteella sitovat velvoitteet.

Jos Vahti Service Oy aikoo ottaa käyttöön uuden olennaisen alikäsittelijän, joka käsittelee Asiakkaan henkilötietoja, Vahti Service Oy pyrkii ilmoittamaan muutoksesta vähintään 30 päivää etukäteen, ellei muutos ole kiireellinen esimerkiksi tietoturva-, saatavuus- tai lakisääteisestä syystä.

Asiakas voi esittää perustellun tietosuojaan liittyvän vastalauseen uudesta alikäsittelijästä ilmoitusajan kuluessa. Osapuolet pyrkivät tällöin löytämään kohtuullisen ratkaisun. Jos ratkaisua ei löydy, Asiakkaalla voi olla oikeus päättää se palvelun osa, jota uusi alikäsittelijä koskee, Pääsopimuksen mukaisesti.

14. Kansainväliset siirrot

Vahti Service Oy käsittelee palvelun ydininfrastruktuuriin liittyviä tietoja ensisijaisesti EU/ETA-alueella.

Joihinkin alikäsittelijöihin, kuten maksuihin, sähköpostien toimitukseen tai muihin tukitoimintoihin liittyviin palveluihin, voi kuitenkin liittyä henkilötietojen käsittelyä tai pääsyä EU/ETA-alueen ulkopuolelta.

Jos henkilötietoja siirretään EU/ETA-alueen ulkopuolelle, Vahti Service Oy huolehtii siitä, että siirrolle on soveltuva tietosuojalainsäädännön mukainen siirtoperuste, kuten Euroopan komission hyväksymät vakiosopimuslausekkeet, EU-U.S. Data Privacy Framework tai muu soveltuva mekanismi.

15. Rekisteröidyn oikeuksiin ja DPIA:han liittyvä avustaminen

Vahti Service Oy avustaa Asiakasta kohtuullisesti ja käsittelyn luonne huomioiden rekisteröityjen oikeuksien toteuttamisessa, kuten tietopyyntöihin, oikaisupyyntöihin, poistopyyntöihin ja käsittelyn rajoittamista koskeviin pyyntöihin liittyen.

Vahti Service Oy avustaa Asiakasta kohtuullisesti myös tietosuojaa koskevien vaikutustenarviointien ja valvontaviranomaisen ennakkokuulemisen yhteydessä siltä osin kuin avustaminen liittyy Vahti Service Oy:n suorittamaan käsittelyyn ja Vahti Service Oy:n hallussa oleviin tietoihin.

Jos rekisteröity ottaa suoraan yhteyttä Vahti Service Oy:hyn Asiakkaan rekisterinpitäjän rooliin liittyvässä asiassa, Vahti Service Oy ohjaa pyynnön Asiakkaalle, ellei laki muuta edellytä.

16. Tietoturvaloukkaukset

Vahti Service Oy ilmoittaa Asiakkaalle ilman aiheetonta viivytystä saatuaan tietoonsa henkilötietojen tietoturvaloukkauksen, joka koskee Vahti Service Oy:n Asiakkaan puolesta käsittelemiä henkilötietoja. Vahti Service Oy:n tavoitteena on tehdä ilmoitus 48 tunnin kuluessa siitä, kun loukkaus on havaittu ja sen olennaiset vaikutukset Asiakkaan henkilötietoihin on alustavasti arvioitu.

Ilmoitus sisältää saatavilla olevat tiedot loukkauksen luonteesta, todennäköisistä vaikutuksista, toteutetuista tai ehdotetuista korjaavista toimista sekä yhteyspisteen lisätietoja varten. Jos kaikkia tietoja ei ole saatavilla heti, Vahti Service Oy voi toimittaa tiedot vaiheittain.

Asiakas vastaa rekisterinpitäjänä mahdollisista ilmoituksista valvontaviranomaiselle ja rekisteröidyille. Vahti Service Oy avustaa Asiakasta kohtuullisesti näiden velvoitteiden täyttämisessä.

17. Auditoinnit ja osoitusvelvollisuus

Vahti Service Oy antaa Asiakkaalle kohtuullisesti saatavilla olevat tiedot, jotka ovat tarpeen tämän Sopimuksen mukaisten velvoitteiden osoittamiseksi.

Asiakas voi pyytää lisätietoja Vahti Service Oy:n käsittelytoimista ja turvatoimista. Vahti Service Oy voi täyttää tämän velvoitteen esimerkiksi toimittamalla kirjallisia kuvauksia, tietoturvadokumentaatiota, alikäsittelijälistan tai muita kohtuullisia selvityksiä.

Jos Asiakkaalla on lakisääteinen tarve suorittaa tarkastus, tarkastuksesta on sovittava etukäteen kirjallisesti. Tarkastus on toteutettava kohtuullisena aikana, tavalla, joka ei vaaranna muiden asiakkaiden tietoja, Vahti Service Oy:n liikesalaisuuksia, tietoturvaa tai palvelun jatkuvuutta.

Vahti Service Oy voi periä kohtuulliset kustannukset laajoista, toistuvista tai tavanomaisen asiakastuen ylittävistä auditointipyynnöistä, ellei pakottava laki muuta edellytä.

18. Tietojen poistaminen tai palauttaminen sopimuksen päättyessä

Pääsopimuksen päättyessä Vahti Service Oy poistaa tai palauttaa Asiakkaan puolesta käsittelemänsä henkilötiedot Asiakkaan valinnan mukaisesti, ellei sovellettava laki edellytä tietojen säilyttämistä.

Asiakkaalla on päättymisen jälkeen 30 päivää aikaa pyytää kohtuullisesti saatavilla olevien tietojen palauttamista tai vientiä, ellei Pääsopimuksessa toisin sovita.

Vahti Service Oy poistaa henkilötiedot aktiivisista järjestelmistään kohtuullisessa ajassa, kuitenkin viimeistään 90 päivän kuluessa sopimuksen päättymisestä tai Asiakkaan poistopyynnöstä. Varmuuskopioissa olevat tiedot poistuvat varmuuskopioiden normaalin elinkaaren mukaisesti, eikä niitä palauteta tuotantokäyttöön muuten kuin palautumis- tai jatkuvuustilanteissa.

19. Vastuunjako

Osapuolet vastaavat omista tietosuojalainsäädännön mukaisista velvoitteistaan.

Asiakas vastaa rekisterinpitäjänä käsittelyn lainmukaisuudesta, käsittelyn tarkoituksista, rekisteröityjen informoinnista ja henkilötietojen toimittamisesta palveluun.

Vahti Service Oy vastaa käsittelijänä siitä, että se käsittelee henkilötietoja tämän Sopimuksen, Pääsopimuksen ja Asiakkaan dokumentoitujen ohjeiden mukaisesti.

Tämä Sopimus ei muuta Pääsopimuksessa sovittuja vastuunrajoituksia, ellei pakottavasta tietosuojalainsäädännöstä muuta johdu.

20. Sovellettava laki ja erimielisyydet

Tähän Sopimukseen sovelletaan Suomen lakia, lukuun ottamatta sen lainvalintasäännöksiä.

Tästä Sopimuksesta aiheutuvat erimielisyydet ratkaistaan Pääsopimuksessa sovitun riidanratkaisumenettelyn mukaisesti. Jos Pääsopimuksessa ei ole sovittu riidanratkaisusta, erimielisyydet ratkaistaan toimivaltaisessa suomalaisessa yleisessä tuomioistuimessa.

Liite 1 – Käsittelyn kuvaus

1. Käsittelyn tarkoitus

Henkilötietoja käsitellään vahti.ai-palvelun tuottamiseksi Asiakkaalle. Palvelun tarkoituksena on seurata Microsoft 365 -ympäristön tietoturvaa ja vaatimustenmukaisuutta sekä tuottaa havaintoja, näkymiä, ilmoituksia ja ohjeita Asiakkaan käyttöön.

Käsittely voi sisältää esimerkiksi:

  • Microsoft 365 -ympäristöstä saatavien tietojen hakemista, vastaanottamista ja tallentamista;
  • käyttäjä-, rooli-, käyttöoikeus-, asetustila-, turvallisuus- ja tapahtumatietojen analysointia;
  • tietoturva- ja vaatimustenmukaisuushavaintojen muodostamista;
  • havaintojen ja suositusten näyttämistä palvelussa;
  • teknistä lokitusta, ylläpitoa, vianmääritystä ja tietoturvan valvontaa;
  • palveluviestien ja järjestelmäilmoitusten lähettämistä.

2. Käsittelyn kesto

Käsittely jatkuu Pääsopimuksen voimassaolon ajan.

Pääsopimuksen päättyessä henkilötiedot poistetaan tai palautetaan DPA:n kohdan 18 mukaisesti, ellei laki tai muu sovittu velvoite edellytä pidempää säilytystä.

3. Henkilötietoryhmät

Käsiteltävät henkilötietoryhmät voivat sisältää seuraavia tietoja:

  • käyttäjän nimi;
  • sähköpostiosoite;
  • käyttäjätunnus tai muu yksilöivä tunniste;
  • Microsoft 365 / Entra ID -käyttäjä- ja roolitiedot;
  • käyttöoikeuksiin, ryhmiin ja hallintarooleihin liittyvät tiedot;
  • kirjautumis-, loki-, tapahtuma- ja turvallisuustiedot;
  • Microsoft 365 -ympäristön asetuksiin ja suojaustilaan liittyvät tiedot;
  • palvelun käyttöön liittyvät tekniset tiedot;
  • palvelun tuottamisessa syntyvät havainnot, riskit, suositukset ja tilatiedot;
  • asiakasorganisaation yhteyshenkilöiden palvelun käytön kannalta tarpeelliset tiedot.

Palvelun tarkoituksena ei ole käsitellä erityisiä henkilötietoryhmiä. Asiakas vastaa siitä, ettei se toimita palveluun tarpeettomia erityisiin henkilötietoryhmiin kuuluvia tietoja.

4. Rekisteröityjen ryhmät

Rekisteröityjen ryhmiä voivat olla:

  • Asiakkaan työntekijät;
  • Asiakkaan käyttäjät ja ylläpitäjät;
  • Asiakkaan konsultit, alihankkijat tai muut yhteistyökumppanit, joilla on pääsy Asiakkaan Microsoft 365 -ympäristöön;
  • muut henkilöt, joiden tietoja näkyy Asiakkaan Microsoft 365 -ympäristön turvallisuus-, käyttöoikeus- tai tapahtumatiedoissa.

Liite 2 – Alikäsittelijät

1. Nykyiset alikäsittelijät

Alikäsittelijä Tarkoitus Sijainti / data residency Huomio
Google Cloud / Google Cloud EMEA Limited Infrastruktuuri, hosting, tietokanta, lokitus, tekninen ajo sekä Google Vertex AI / Gemini -käsittely havaintojen selittämiseen ja ohjeiden tuottamiseen. Vahtin päätuotantoinfra sijaitsee EU-alueella, ensisijaisesti alueella europe-north1. Google Vertex AI / Gemini on määritetty käytettäväksi EU-alueella. Käsittelee palvelun ydintoiminnan kannalta tarpeellisia tietoja.
Stripe / Stripe Payments Europe, Limited ja Stripe Technology Europe, Limited Maksut, tilaukset, laskutus ja maksutapahtumien käsittely. ETA-alueella irlantilaisten Stripe-yhtiöiden kautta; mahdollinen EU/ETA-alueen ulkopuolinen käsittely tai pääsy. Käsittelee pääasiassa laskutus- ja maksutietoja, ei varsinaista Microsoft 365 -tenant-dataa.
Postmark / AC PM, LLC Sähköpostien toimitus, kuten järjestelmäviestit, kutsut ja ilmoitukset. Yhdysvallat / mahdollinen EU/ETA-alueen ulkopuolinen käsittely. Käsittelee sähköpostien lähettämiseen tarvittavia tietoja ja toimituslokeja.
HubSpot / HubSpot Ireland Limited Verkkosivun lomakkeet, liidien ja demopyyntöjen käsittely, CRM, myyntiprosessi sekä asiakasviestinnän hallinta. HubSpot-tili on EU1-ympäristössä. HubSpotin palveluun voi silti liittyä EU/ETA-alueen ulkopuolista käsittelyä tai pääsyä. HubSpot käsittelee ensisijaisesti verkkosivun, myynnin ja asiakassuhteen tietoja. HubSpot ei lähtökohtaisesti käsittele varsinaista Microsoft 365 -tenant-dataa.

2. Muutosilmoitusmekanismi

Vahti Service Oy ylläpitää ajantasaista alikäsittelijälistaa osoitteessa:

[LINKKI: Alikäsittelijät]

Vahti Service Oy pyrkii ilmoittamaan uudesta olennaisesta alikäsittelijästä vähintään 30 päivää ennen muutoksen voimaantuloa, ellei muutos ole kiireellinen esimerkiksi tietoturva-, saatavuus- tai lakisääteisestä syystä.

Asiakas voi esittää perustellun tietosuojaan liittyvän vastalauseen ilmoitusajan kuluessa.

3. Lokitus

Palvelussa voidaan kerätä teknisiä lokeja palvelun toiminnan, tietoturvan, vianmäärityksen ja väärinkäytösten havaitsemisen tueksi.

Lokit voivat sisältää esimerkiksi tapahtuma-aikaleimoja, käyttäjä- tai järjestelmätunnisteita, IP-osoitteita, teknisiä tapahtumatietoja ja virhelokeja. Lokien säilytys rajataan käyttötarkoituksen kannalta tarpeelliseen aikaan.

4. Salaus

Henkilötietoja suojataan tarkoituksenmukaisin salaus- ja suojausmenetelmin siirron aikana ja tallennettuna silloin, kun käytetty infrastruktuuri ja palvelun tekninen toteutus sitä tukevat.

Yhteydet palveluun toteutetaan salattujen yhteyksien kautta. Pilvi-infrastruktuurin tallennusratkaisuissa hyödynnetään palveluntarjoajan tarjoamia suojausmekanismeja.

5. Palautuminen ja varmistukset

Vahti Service Oy käyttää palvelun jatkuvuuden ja palautumisen tukena teknisiä varmistus- ja palautumismenettelyjä.

Varmuuskopioita ja palautumismenettelyjä hallitaan siten, että palvelu voidaan kohtuullisesti palauttaa häiriötilanteissa. Tarkat palautumisaikatavoitteet tai palvelutasot määräytyvät Pääsopimuksen mukaan, jos niistä on erikseen sovittu.

6. Haavoittuvuuksien hallinta

Vahti Service Oy pyrkii tunnistamaan, arvioimaan ja korjaamaan palveluun liittyviä haavoittuvuuksia riskiperusteisesti.

Haavoittuvuuksien hallinta voi sisältää esimerkiksi riippuvuuksien päivittämistä, tietoturvapäivityksiä, lokien seurantaa, kehityskäytäntöjä ja palvelun teknisen ympäristön koventamista.

7. Poistaminen ja palauttaminen

Pääsopimuksen päättyessä henkilötietojen poistamiseen ja palauttamiseen sovelletaan DPA:n kohtaa 18.

Asiakkaan pyynnöstä Vahti Service Oy palauttaa kohtuullisesti saatavilla olevat henkilötiedot sovitussa muodossa, jos se on teknisesti ja kohtuudella mahdollista. Tämän jälkeen tiedot poistetaan aktiivisista järjestelmistä viimeistään 90 päivän kuluessa.

Varmuuskopioissa olevat tiedot poistuvat varmuuskopioiden normaalin elinkaaren mukaisesti.