Mitä pilvipalvelusopimus tarkoittaa Suomessa?

Pilvipalvelusopimus Suomessa on oikeustoimilain (228/1929) mukainen kirjallinen sopimus, jolla pilvipalveluntarjoaja tarjoaa asiakkaalle infrastruktuuri- tai alustapohjaista pilvipalvelua (IaaS/PaaS). Pilvipalvelusopimuksen oikeudellinen pohja muodostuu oikeustoimilaista (228/1929), tietosuojalaista (1050/2018), GDPR:stä (EU 2016/679) ja EU:n datamarkkina-asetuksesta (Data Act, EU 2023/2854). Pilvipalvelut jakautuvat IaaS (virtuaalipalvelimet, tallennus, verkko), PaaS (kehitysalusta) ja Private Cloud (dedikoitu ympäristö) -malleihin. Sopimuksen keskeisiä elementtejä ovat SLA-käytettävyystakuu, RTO/RPO-tavoitteet, tietoturvasertifikaatit (ISO 27001, SOC 2), GDPR-tietojenkäsittelysopimus (DPA) ja EU Data Act -velvoitteet datan siirrettävyydestä.

Mikä on RTO ja RPO pilvipalvelusopimuksessa?

RTO (Recovery Time Objective) ja RPO (Recovery Point Objective) ovat pilvipalvelun katastrofitoipumisen keskeisiä mittareita. RTO on tavoiteaika, jonka kuluessa järjestelmä on palautettava häiriön jälkeen toimintakuntoon. Esimerkiksi RTO 4 h tarkoittaa, että palveluntarjoajan on palautettava pilvipalvelu toimintakuntoon enintään 4 tunnissa katastrofista. RPO on suurin sallittu datan menetys katastrofitilanteessa. Esimerkiksi RPO 1 h tarkoittaa, että viimeisin varmuuskopio ei saa olla vanhempi kuin 1 tunti — eli enintään 1 tunnin data voidaan menettää. Käytännön vaikutus: liiketoimintakriittinen verkkopalvelu voi vaatia RTO < 1 h ja RPO < 15 min; sisäinen HR-järjestelmä voi hyväksyä RTO 24 h ja RPO 4 h. Tiukemmat RTO/RPO-tavoitteet tarkoittavat kalliimpia replikointi- ja varmuuskopiointiratkaisuja. Sopimuksessa on kirjattava selkeästi RTO/RPO-tavoitteet ja hyvitykset niiden ylittyessä.

Mitä EU:n datamarkkina-asetus (Data Act) tarkoittaa pilvipalvelusopimukselle?

EU:n datamarkkina-asetus (Data Act, EU 2023/2854) tuli voimaan 12.9.2025 ja toi merkittäviä muutoksia pilvipalvelusopimuksiin Suomessa. Keskeiset vaikutukset: (1) Datan siirrettävyys: asiakkaalla on oikeus siirtää datansa toiselle pilvipalveluntarjoajalle ilman teknisiä esteitä. Palveluntarjoaja ei saa asettaa teknisiä rajoituksia tai periä kohtuuttomia siirtomaksuja (23-31 artikla). (2) Migraatiotuki: palveluntarjoajan on tarjottava asiakkaalle migraatiotuki siirtymäprosessin aikana. (3) Standardoitu formaatti: data on toimitettava yleisesti käytettävässä formaatissa (esimerkiksi OVF, S3, SQL-dump). (4) Hinnoittelurajoitus: datan siirtopalvelujen hinnat on laskettava asteittain kohti nollaa siirtymäajalla. Nämä velvoitteet ovat pakottavia — sopimusehtoja, jotka rajoittavat asiakkaan oikeuksia Data Actin vastaisesti, ei sovelleta. Tämä on merkittävä muutos erityisesti pitkäaikaisissa sopimuksissa, joissa on aiemmin sovittu siirtomaksuista tai lock-in-ehdoista.

Onko ISO 27001 pakollinen pilvipalveluntarjoajalle Suomessa?

ISO 27001 -sertifikaatti ei ole lakisääteisesti pakollinen kaikille pilvipalveluntarjoajille Suomessa, mutta se on käytännössä välttämätön useissa tilanteissa. Pakollinen seuraavissa tilanteissa: (1) Finanssialan toimijat: EBA:n ulkoistamisohjeet (EBA/GL/2019/02) ja DORA (EU 2022/2554) edellyttävät pilvipalveluntarjoajilta riittävää tietoturvan dokumentointia — ISO 27001 tai vastaava; (2) Julkishallinnon hankinnat: monet julkiset hankinnat edellyttävät ISO 27001 -sertifikaattia tai vastaavaa; (3) GDPR-velvoitteet: GDPR 32 artikla edellyttää teknisiä ja organisatorisia turvatoimia; ISO 27001 on yleisesti hyväksytty tapa täyttää tämä vaatimus; (4) Asiakasskopimus: monet suuryritykset edellyttävät toimittajiltaan ISO 27001 -sertifikaattia hankkintavelvoitteena. Vaihtoehtoja ISO 27001:lle: SOC 2 Type II (yhdysvaltalainen standardi, hyväksytään laajasti), CSA STAR (pilvispesifinen sertifikaatti), ISAE 3402 (kansainvälinen auditointistandardi). Suositus: vaadi pilvipalveluntarjoajalta vähintään ISO 27001 tai SOC 2 Type II ennen pilvipalvelusopimuksen allekirjoittamista.

Miten pilvipalvelun SLA-hyvitys lasketaan?

Pilvipalvelun SLA-hyvitys (service credit) lasketaan sovitun laskentakaavan mukaan, joka kirjataan sopimukseen tai sen SLA-liitteeseen. Tyypillinen laskentamalli: (1) Käytettävyysprosentti lasketaan kuukausittain: (suunniteltu aika — suunnittelematon katkoaika) / suunniteltu aika × 100. (2) Hyvitysportaikko esimerkiksi: alle 99,9 % = 10 % kuukausimaksusta; alle 99,5 % = 25 % kuukausimaksusta; alle 99,0 % = 50 % kuukausimaksusta. (3) Hyvitysmenettely: Asiakas pyytää hyvitystä kirjallisesti tietyn ajan kuluessa (esimerkiksi 30 päivää kuukauden lopusta); Palveluntarjoaja tarkistaa monitorointidatan ja hyväksyy hyvityksen. Hyvityksen hakemiseen liittyvät haasteet: monitorointidata on usein vain Palveluntarjoajan hallinnassa, joten asiakas on riippuvainen sen raportoinnin luotettavuudesta. Suositus: sovi sopimuksessa, että SLA-monitorointidataan on pääsy myös Asiakkaalle tai riippumattomalle kolmannelle osapuolelle. SLA-hyvitys on oikaisu eikä korvaa liiketoimintavahinkoja — vahingonkorvaus katotuista liiketoimintamahdollisuuksista on sovittava erikseen.

Miten pilvipalvelun datakeskuksen sijainti vaikuttaa GDPR:n noudattamiseen?

Pilvipalvelun datakeskuksen sijainnilla on suora vaikutus GDPR-vaatimustenmukaisuuteen, kun palvelussa käsitellään EU-kansalaisten henkilötietoja. EU/ETA-alueen sisäinen datakeskus (Suomi, Saksa, Hollanti, Ruotsi jne.): korkein GDPR-vaatimustenmukaisuus; ei erillisiä siirtomekanismeja tarvita; tietosuojavaltuutettu pystyy suorittamaan tarkastuksia datakeskuksessa. Kolmansien maiden datakeskukset: GDPR 46 artiklan mukainen siirtomekanismi pakollinen — EU-mallisopimuslausekkeet (SCC) tai sitovat yrityssäännöt (BCR); Yhdysvallat: EU-US Data Privacy Framework (2023) sallii siirrot sertifioituihin USA-yrityksiin; Muut maat (esimerkiksi Intia, Kiina, Australia): edellyttävät SCC-lausekkeita tai erittäin vahvoja suojatoimenpiteitä. Pilvipalveluntarjoajan alihankkijat (subprocessors): suurilla pilvipalveluntarjoajilla (AWS, Azure, GCP) on datakeskuksia ympäri maailmaa; varmista, että sopimuksessa sovitaan datan säilymisestä EU/ETA-alueella (data residency requirement). Tietosuojavaltuutetun toimisto Suomessa on ohjeistanut, että EU-kansalaisten henkilötietojen käsittelyn on ensisijaisesti tapahduttava EU/ETA-alueella.

Miten DORA vaikuttaa finanssialan yritysten pilvipalvelusopimuksiin Suomessa?

DORA (Digital Operational Resilience Act, EU 2022/2554) tuli voimaan 17.1.2025 ja koskee kaikkia EU:n finanssialan toimijoita: pankkeja, vakuutusyhtiöitä, sijoituspalveluyrityksiä, maksupalveluntarjoajia (PSD2) ja muita Finanssivalvonnan (FIN-FSA) valvomia toimijoita. DORA:n vaikutukset pilvipalvelusopimuksiin: (1) Pakolliset sopimuslausekkeet: pilvipalvelusopimuksessa on oltava DORA 30 artiklan edellyttämät lausekkeet ICT-riskienhallinnasta, toimituksenkatkossuunnitelmista, DRO-testauksesta, auditoinnin mahdollisuudesta ja exit-strategiasta. (2) Kriittisten ICT-palveluiden rekisteri: finanssitoimijat ylläpitävät rekisteriä kaikista kriittisistä ICT-palveluntarjoajistaan, mukaan lukien pilvipalvelut. (3) Testaus: finanssitoimijat ovat velvollisia testaamaan digitaalisen operatiivisen resilienssinsä TLPT-testauksin (Threat-Led Penetration Testing) vähintään 3 vuoden välein. (4) Ilmoitusvelvollisuus: merkittävistä ICT-häiriöistä on ilmoitettava Finanssivalvonnalle. Käytännön vaikutus: finanssialan yritysten on päivitettävä kaikki pilvipalvelusopimuksensa DORA-yhteensopiviksi. Monet suuret pilvipalveluntarjoajat (AWS, Azure, Google Cloud) ovat julkaisseet DORA-yhteensopivat sopimuspohjat.

Mitä tapahtuu pilvipalveluntarjoajan konkurssissa?

Pilvipalveluntarjoajan konkurssi on harvinainen mutta vakava skenaario, johon Asiakas voi varautua sopimuksella. Välittömät riskit konkurssitilanteessa: datan saatavuus voi katketa, jos palvelimet sammutetaan; datan omistajuus voi tulla kyseenalaiseksi konkurssipesässä; siirtymisaika toiselle palveluntarjoajalle voi olla erittäin lyhyt. Sopimukselliset suojatoimet: (1) Data escrow -järjestely: kriittinen data tallennetaan säännöllisesti puolueettomaan escrow-palveluun, josta Asiakas voi hakea sen palveluntarjoajan maksukyvyttömyystilanteessa; (2) Migraatiotuki konkurssitilanteessa: sopimuksessa sovitaan tuen jatkumisesta vähintään 3 kuukauden ajan myös konkurssitilanteessa; (3) Datan välitön palautusoikeus: konkurssitilanteessa Asiakkaalla on oikeus välittömästi ladata kaikki datansa standardoidussa formaatissa; (4) Monipilvistrategia: kriittiset järjestelmät jakautuvat useammalle pilvipalveluntarjoajalle (multi-cloud), jolloin yhden toimijan ongelma ei kaada koko infrastruktuuria. EU:n datamarkkina-asetus (Data Act, 2025) vahvistaa Asiakkaan oikeuksia datanaan myös sopimussuhteen päättyessä, mukaan lukien konkurssitilanteessa. Suositus: liiketoimintakriittisille järjestelmille suositellaan monipilvistrategiaa ja säännöllistä data escrow -varmuuskopiointia.

Pilvipalvelusopimus Suomi

Q: Mitä EU:n datamarkkina-asetus (Data Act) tarkoittaa pilvipalvelusopimukselle?

EU:n datamarkkina-asetus (Data Act, EU 2023/2854) tuli voimaan 12.9.2025 ja toi merkittäviä muutoksia pilvipalvelusopimuksiin Suomessa. Keskeiset vaikutukset: (1) Datan siirrettävyys: asiakkaalla on oikeus siirtää datansa toiselle pilvipalveluntarjoajalle ilman teknisiä esteitä. Palveluntarjoaja ei saa asettaa teknisiä rajoituksia tai periä kohtuuttomia siirtomaksuja (23-31 artikla). (2) Migraatiotuki: palveluntarjoajan on tarjottava asiakkaalle migraatiotuki siirtymäprosessin aikana. (3) Standardoitu formaatti: data on toimitettava yleisesti käytettävässä formaatissa (esimerkiksi OVF, S3, SQL-dump). (4) Hinnoittelurajoitus: datan siirtopalvelujen hinnat on laskettava asteittain kohti nollaa siirtymäajalla. Nämä velvoitteet ovat pakottavia — sopimusehtoja, jotka rajoittavat asiakkaan oikeuksia Data Actin vastaisesti, ei sovelleta. Tämä on merkittävä muutos erityisesti pitkäaikaisissa sopimuksissa, joissa on aiemmin sovittu siirtomaksuista tai lock-in-ehdoista.

Q: Onko ISO 27001 pakollinen pilvipalveluntarjoajalle Suomessa?

ISO 27001 -sertifikaatti ei ole lakisääteisesti pakollinen kaikille pilvipalveluntarjoajille Suomessa, mutta se on käytännössä välttämätön useissa tilanteissa. Pakollinen seuraavissa tilanteissa: (1) Finanssialan toimijat: EBA:n ulkoistamisohjeet (EBA/GL/2019/02) ja DORA (EU 2022/2554) edellyttävät pilvipalveluntarjoajilta riittävää tietoturvan dokumentointia — ISO 27001 tai vastaava; (2) Julkishallinnon hankinnat: monet julkiset hankinnat edellyttävät ISO 27001 -sertifikaattia tai vastaavaa; (3) GDPR-velvoitteet: GDPR 32 artikla edellyttää teknisiä ja organisatorisia turvatoimia; ISO 27001 on yleisesti hyväksytty tapa täyttää tämä vaatimus; (4) Asiakasskopimus: monet suuryritykset edellyttävät toimittajiltaan ISO 27001 -sertifikaattia hankkintavelvoitteena. Vaihtoehtoja ISO 27001:lle: SOC 2 Type II (yhdysvaltalainen standardi, hyväksytään laajasti), CSA STAR (pilvispesifinen sertifikaatti), ISAE 3402 (kansainvälinen auditointistandardi). Suositus: vaadi pilvipalveluntarjoajalta vähintään ISO 27001 tai SOC 2 Type II ennen pilvipalvelusopimuksen allekirjoittamista.

Q: Miten pilvipalvelun SLA-hyvitys lasketaan?

Pilvipalvelun SLA-hyvitys (service credit) lasketaan sovitun laskentakaavan mukaan, joka kirjataan sopimukseen tai sen SLA-liitteeseen. Tyypillinen laskentamalli: (1) Käytettävyysprosentti lasketaan kuukausittain: (suunniteltu aika — suunnittelematon katkoaika) / suunniteltu aika × 100. (2) Hyvitysportaikko esimerkiksi: alle 99,9 % = 10 % kuukausimaksusta; alle 99,5 % = 25 % kuukausimaksusta; alle 99,0 % = 50 % kuukausimaksusta. (3) Hyvitysmenettely: Asiakas pyytää hyvitystä kirjallisesti tietyn ajan kuluessa (esimerkiksi 30 päivää kuukauden lopusta); Palveluntarjoaja tarkistaa monitorointidatan ja hyväksyy hyvityksen. Hyvityksen hakemiseen liittyvät haasteet: monitorointidata on usein vain Palveluntarjoajan hallinnassa, joten asiakas on riippuvainen sen raportoinnin luotettavuudesta. Suositus: sovi sopimuksessa, että SLA-monitorointidataan on pääsy myös Asiakkaalle tai riippumattomalle kolmannelle osapuolelle. SLA-hyvitys on oikaisu eikä korvaa liiketoimintavahinkoja — vahingonkorvaus katotuista liiketoimintamahdollisuuksista on sovittava erikseen.

Q: Miten pilvipalvelun datakeskuksen sijainti vaikuttaa GDPR:n noudattamiseen?

Pilvipalvelun datakeskuksen sijainnilla on suora vaikutus GDPR-vaatimustenmukaisuuteen, kun palvelussa käsitellään EU-kansalaisten henkilötietoja. EU/ETA-alueen sisäinen datakeskus (Suomi, Saksa, Hollanti, Ruotsi jne.): korkein GDPR-vaatimustenmukaisuus; ei erillisiä siirtomekanismeja tarvita; tietosuojavaltuutettu pystyy suorittamaan tarkastuksia datakeskuksessa. Kolmansien maiden datakeskukset: GDPR 46 artiklan mukainen siirtomekanismi pakollinen — EU-mallisopimuslausekkeet (SCC) tai sitovat yrityssäännöt (BCR); Yhdysvallat: EU-US Data Privacy Framework (2023) sallii siirrot sertifioituihin USA-yrityksiin; Muut maat (esimerkiksi Intia, Kiina, Australia): edellyttävät SCC-lausekkeita tai erittäin vahvoja suojatoimenpiteitä. Pilvipalveluntarjoajan alihankkijat (subprocessors): suurilla pilvipalveluntarjoajilla (AWS, Azure, GCP) on datakeskuksia ympäri maailmaa; varmista, että sopimuksessa sovitaan datan säilymisestä EU/ETA-alueella (data residency requirement). Tietosuojavaltuutetun toimisto Suomessa on ohjeistanut, että EU-kansalaisten henkilötietojen käsittelyn on ensisijaisesti tapahduttava EU/ETA-alueella.

Q: Miten DORA vaikuttaa finanssialan yritysten pilvipalvelusopimuksiin Suomessa?

DORA (Digital Operational Resilience Act, EU 2022/2554) tuli voimaan 17.1.2025 ja koskee kaikkia EU:n finanssialan toimijoita: pankkeja, vakuutusyhtiöitä, sijoituspalveluyrityksiä, maksupalveluntarjoajia (PSD2) ja muita Finanssivalvonnan (FIN-FSA) valvomia toimijoita. DORA:n vaikutukset pilvipalvelusopimuksiin: (1) Pakolliset sopimuslausekkeet: pilvipalvelusopimuksessa on oltava DORA 30 artiklan edellyttämät lausekkeet ICT-riskienhallinnasta, toimituksenkatkossuunnitelmista, DRO-testauksesta, auditoinnin mahdollisuudesta ja exit-strategiasta. (2) Kriittisten ICT-palveluiden rekisteri: finanssitoimijat ylläpitävät rekisteriä kaikista kriittisistä ICT-palveluntarjoajistaan, mukaan lukien pilvipalvelut. (3) Testaus: finanssitoimijat ovat velvollisia testaamaan digitaalisen operatiivisen resilienssinsä TLPT-testauksin (Threat-Led Penetration Testing) vähintään 3 vuoden välein. (4) Ilmoitusvelvollisuus: merkittävistä ICT-häiriöistä on ilmoitettava Finanssivalvonnalle. Käytännön vaikutus: finanssialan yritysten on päivitettävä kaikki pilvipalvelusopimuksensa DORA-yhteensopiviksi. Monet suuret pilvipalveluntarjoajat (AWS, Azure, Google Cloud) ovat julkaisseet DORA-yhteensopivat sopimuspohjat.

Q: Mitä tapahtuu pilvipalveluntarjoajan konkurssissa?

Pilvipalveluntarjoajan konkurssi on harvinainen mutta vakava skenaario, johon Asiakas voi varautua sopimuksella. Välittömät riskit konkurssitilanteessa: datan saatavuus voi katketa, jos palvelimet sammutetaan; datan omistajuus voi tulla kyseenalaiseksi konkurssipesässä; siirtymisaika toiselle palveluntarjoajalle voi olla erittäin lyhyt. Sopimukselliset suojatoimet: (1) Data escrow -järjestely: kriittinen data tallennetaan säännöllisesti puolueettomaan escrow-palveluun, josta Asiakas voi hakea sen palveluntarjoajan maksukyvyttömyystilanteessa; (2) Migraatiotuki konkurssitilanteessa: sopimuksessa sovitaan tuen jatkumisesta vähintään 3 kuukauden ajan myös konkurssitilanteessa; (3) Datan välitön palautusoikeus: konkurssitilanteessa Asiakkaalla on oikeus välittömästi ladata kaikki datansa standardoidussa formaatissa; (4) Monipilvistrategia: kriittiset järjestelmät jakautuvat useammalle pilvipalveluntarjoajalle (multi-cloud), jolloin yhden toimijan ongelma ei kaada koko infrastruktuuria. EU:n datamarkkina-asetus (Data Act, 2025) vahvistaa Asiakkaan oikeuksia datanaan myös sopimussuhteen päättyessä, mukaan lukien konkurssitilanteessa. Suositus: liiketoimintakriittisille järjestelmille suositellaan monipilvistrategiaa ja säännöllistä data escrow -varmuuskopiointia.

Pilvipalvelusopimus

PILVIPALVELUSOPIMUS (Cloud/IaaS-palvelusopimus)

Laadittu oikeustoimilain (228/1929), tietosuojalain (1050/2018), EU:n datamarkkina-asetuksen (Data Act, EU 2023/2854) ja lain sähköisen viestinnän palveluista (917/2014) mukaisesti.

Osapuolet

SOPIMUKSEN OSAPUOLET:

PILVIPALVELUNTARJOAJA: [Tarjoaja Nimi], osoite [Tarjoaja Osoite], Y-tunnus [Tarjoaja Ytunnus], edustajana [Tarjoaja Edustaja], jäljempänä „Palveluntarjoaja“;

ASIAKAS: [Asiakas Nimi], osoite [Asiakas Osoite], Y-tunnus [Asiakas Ytunnus], edustajana [Asiakas Edustaja], jäljempänä „Asiakas“;

OSAPUOLET SOPIVAT SEURAAVAA:

1 § Pilvipalvelun sisältö

1 § PILVIPALVELUN SISÄLTÖ

1.1 Palveluntarjoaja tarjoaa Asiakkaalle pilvipalvelun seuraavalla sisällöllä: [Palvelu Tyyppi].

1.2 Datakeskuksen sijainti: [Datakeskus Sijainti]. Palveluntarjoaja ilmoittaa kirjallisesti etukäteen mahdollisista datakeskuksen sijaintimuutoksista.

1.3 Asiakas saa pilviympäristön hallinnointioikeudet (management API, hallintakonsoli) sopimuksen voimassaoloajaksi.

2 § Käytettävyystakuu ja toipuminen (SLA/RTO/RPO)

2 § KÄYTETTÄVYYSTAKUU, RTO JA RPO

2.1 Palvelun käytettävyystakuu: [Sla Kaytettavyys]. Suunniteltu huoltoikkuna ei sisälly käytettävyyslaskelmaan; Palveluntarjoaja ilmoittaa suunnitelluista katkoksista vähintään 72 tuntia etukäteen.

2.2 Katastrofitoipuminen (DR): RTO (Recovery Time Objective) ja RPO (Recovery Point Objective) on kirjattu SLA-liitteeseen. Palveluntarjoaja testaa DR-toipumissuunnitelman vähintään kerran vuodessa ja raportoi Asiakkaalle testituloksista.

2.3 SLA-alituksesta hyvitetään: alle 99,9 % – 10 % kuukausimaksusta; alle 99,5 % – 25 %; alle 99,0 % – 50 %. Toistuvasta SLA-alituksesta (kolme kertaa peräkkäin) Asiakkaalla on oikeus irtisanoa sopimus.

3 § Tietoturva ja vaatimustenmukaisuus

3 § TIETOTURVA JA VAATIMUSTENMUKAISUUS

3.1 Palveluntarjoaja noudattaa ISO 27001 -tietoturvastandardi tai SOC 2 Type II -vaatimuksia. Sertifikaatit toimitetaan Asiakkaalle pyydettäessä.

3.2 Fyysisen ja loogisen ympäristön suojaus: pääsynhallinta (role-based access control, RBAC), verkkojen segmentointi, kuljetuskerroksen salaus (TLS 1.3), tallennusajan salaus (AES-256), DDoS-suojaus, tietoturvamonitorointi 24/7.

3.3 Tietoturvaloukkauksen ilmoitusvelvollisuus: Palveluntarjoaja ilmoittaa havaituista tietoturvaloukkauksia Asiakkaalle viipymättä ja viimeistään 24 tunnin kuluessa. Asiakkaan vastuulla on ilmoittaa loukkauksen tietosuojavaltuutetulle GDPR 33 artiklan mukaisesti (72 h).

4 § Tietosuoja (GDPR)

4 § TIETOSUOJA JA HENKILÖTIETOJEN KÄSITTELY

4.1 Palveluntarjoaja käsittelee Asiakkaan pilviympäristössä sijaitsevia henkilötietoja GDPR 28 artiklan mukaisena henkilötietojen käsittelijänä. GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) on tämän sopimuksen pakollinen liite.

4.2 Datakeskuksen sijaintimaan laki ja GDPR soveltuvat. Henkilötietojen siirto EU/ETA-alueen ulkopuolelle on kielletty ilman lainmukaista siirtomekanismia (GDPR 46 artikla, EU-mallisopimuslausekkeet SCC).

4.3 EU:n datamarkkina-asetus (Data Act, EU 2023/2854) soveltuu pilvipalvelun vaihtamiseen: Palveluntarjoaja on velvollinen tarjoamaan teknisen datan siirrettävyyden toiselle palveluntarjoajalle eikä saa periä kohtuuttomia siirtomaksuja.

5 § Hinta ja laskutus

5 § HINTA JA LASKUTUS

5.1 Hinnoittelumalli: [Hinnoittelu Malli] (ilman arvonlisäveroa). Palveluun lisätään arvonlisävero (vakiokanta 25,5 %) arvonlisäverolain (1501/1993) mukaan.

5.2 Maksuehto: [Maksuehto]. Maksun viivästyessä peritään korkolain (633/1982) mukainen viivästyskorko.

5.3 Sopimuskausi: [Sopimus Kausi]. Hinnanmuutoksesta ilmoitetaan vähintään 60 päivää etukäteen; Asiakkaalla on oikeus irtisanoa sopimus ilman lisäkustannuksia, jos hinnankorotus ylittää 10 % tai KKHI (kuluttajahintaindeksi) + 3 prosenttiyksikköä.

6 § Pilvipalvelun vaihtaminen

6 § PILVIPALVELUN VAIHTAMINEN JA DATAN SIIRTO

6.1 EU:n datamarkkina-asetuksen (Data Act, EU 2023/2854) 23-31 artiklojen mukaisesti Asiakkaalla on oikeus siirtää datansa toiselle pilvipalveluntarjoajalle ilman teknisiä esteitä ja kohtuuttomia lisäkustannuksia.

6.2 Palveluntarjoaja tarjoaa migraatiotuen (migration assistance) enintään 3 kuukauden ajan sopimuksen irtisanomisen jälkeen. Migraatiotuen veloituksesta sovitaan erikseen.

6.3 Datan formaatti: Palveluntarjoaja toimittaa datan yleisesti käytettävässä formaatissa (esimerkiksi S3-yhteensopiva objektitallennus, VM-image OVF-formaatissa tai tietokantadump SQL/CSV).

7 § Sovellettava laki ja riidat

7 § SOVELLETTAVA LAKI JA RIITOJEN RATKAISU

7.1 Sopimukseen sovelletaan Suomen lakia.

7.2 Riidat ratkaistaan ensin neuvotteluin. Ellei sovintoon päästä, riita ratkaistaan toimivaltaisessa käräjäoikeudessa oikeudenkäymiskaaren (4/1734) mukaisesti.

Allekirjoitus

ALLEKIRJOITUS

Sopimus on laadittu kahtena samansisältöisenä kappaleena ja allekirjoitettu paikassa [Allekirjoitus Paikka] [Allekirjoitus Paiva].

Palveluntarjoaja: __________________________ Asiakas: __________________________

[Tarjoaja Edustaja] [Asiakas Edustaja]

Pilvipalveluntarjoaja

________________

Signature

Asiakas

________________

Signature

Ylläpitäjä Vladislav Sergienko, perustaja·Mallia muokattu viimeksi: 2026-06-23·Ilmoita virheestä

Mikä on Pilvipalvelusopimus Suomi?

Pilvipalvelusopimus Suomessa on oikeustoimilain (228/1929) mukainen kirjallinen sopimus, jolla pilvipalveluntarjoaja tarjoaa asiakkaalle infrastruktuuri- tai alustapohjaista pilvipalvelua (IaaS, Infrastructure as a Service tai PaaS, Platform as a Service) tiettyä kuukausi- tai käyttöpohjaista maksua vastaan. Pilvipalvelusopimuksen oikeudellinen pohja Suomessa muodostuu oikeustoimilaista (228/1929), tietosuojalaista (1050/2018), yleisestä tietosuoja-asetuksesta (GDPR, EU 2016/679), EU:n datamarkkina-asetuksesta (Data Act, EU 2023/2854) ja laista sähköisen viestinnän palveluista (917/2014).

Pilvipalvelut jakautuvat kolmeen päämalliin. IaaS (Infrastructure as a Service) tarkoittaa, että Palveluntarjoaja tarjoaa virtualisoitua laskenta-, tallennus- ja verkkokapasiteettia; Asiakas vastaa käyttöjärjestelmästä, middleware-ohjelmistoista ja sovelluksista — esimerkiksi AWS EC2, Azure Virtual Machines, Google Compute Engine tai suomalainen Hetzner Cloud. PaaS (Platform as a Service) tarjoaa kehitys- ja suoritusympäristön, jossa Palveluntarjoaja hallinnoi käyttöjärjestelmää ja middleware-ohjelmistoja; Asiakas vastaa vain sovelluskoodistaan — esimerkiksi Heroku, Google App Engine tai Azure App Service. Private Cloud on dedikoitu pilviympäristö, jossa yrityksen infrastruktuuri on fyysisesti tai loogisesti eristetty muista asiakkaista; kalliimpi mutta parempi hallinta ja tietoturva.

SLA (Service Level Agreement) on pilvipalvelusopimuksen ydin. Pilvipalvelun SLA on yleensä vaativampi kuin webhotellin SLA: tyypillinen käytettävyyslupaus on 99,9 %–99,99 %. 99,99 % tarkoittaa enintään 4,38 minuuttia suunnittelematonta katkoa kuukaudessa — kriittisten tuotantosovellusten minimi. Lisäksi SLA:ssa sovitaan RTO:sta (Recovery Time Objective, tavoiteaika järjestelmän palauttamiseen häiriön jälkeen) ja RPO:sta (Recovery Point Objective, suurin sallittu datan menetys tunteja). IaaS-palveluissa SLA kattaa palvelinkapasiteetin saatavuuden; Asiakas vastaa sovellusten korkeasta käytettävyydestä (HA-arkkitehtuuri).

GDPR (EU 2016/679) ja tietosuojalaki (1050/2018) koskevat pilvipalvelusopimuksia erityisen laajasti. Pilvipalveluntarjoaja on GDPR:n mukainen henkilötietojen käsittelijä (processor), koska Asiakkaan sovellukset prosessoivat loppukäyttäjien henkilötietoja Palveluntarjoajan infrastruktuurilla. GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) on pakollinen liite jokaiseen pilvipalvelusopimukseen. Datakeskuksen on sijaittava EU/ETA-alueella tai henkilötietoja siirrettäessä on käytettävä lainmukaisia siirtomekanismeja (GDPR 46 artikla, EU-mallisopimuslausekkeet SCC). Tietosuojavaltuutettu Suomessa valvoo GDPR:n noudattamista.

EU:n datamarkkina-asetus (Data Act, EU 2023/2854) toi merkittäviä muutoksia pilvipalvelusopimuksiin. Asetus tuli voimaan 12.9.2025. Pilvipalvelujen vaihtaminen: Palveluntarjoajat eivät saa periä kohtuuttomia siirtomaksuja asiakkaan siirtäessä palveluja toiselle tarjoajalle (23-31 artikla). Tekninen siirrettävyys: Palveluntarjoajan on tarjottava avoimia rajapintoja ja standardoituja dataformaatteja, jotka mahdollistavat siirtymisen kilpailijoille. Pilvivaihtamisprosessi: Palveluntarjoaja on velvollinen tukemaan asiakasta migraation aikana (migration assistance). Nämä velvoitteet ovat pakottavia; niistä ei voida sopia toisin sopimuksessa.

Tietoturvasertifikaatit ovat keskeisiä pilvipalvelua valittaessa. ISO 27001 on kansainvälinen tietoturvahallinnan standardi — sertifioidun pilvipalveluntarjoajan tietoturvakäytännöt on auditoitu ulkopuolisen tahon toimesta. SOC 2 Type II on yhdysvaltalainen pilvipalveluntarjoajille kehitetty auditointistandardi, joka arvioi turvallisuutta, käytettävyyttä, prosessin eheyttä, luottamuksellisuutta ja yksityisyyttä. CSA STAR (Cloud Security Alliance Security Trust Assurance and Risk) on pilvispesifinen sertifikaatti. Asiakkaan on varmistettava, että valittu Palveluntarjoaja täyttää nämä vaatimukset ennen sopimuksen allekirjoittamista.

Finanssialan ja julkishallinnon pilvipalveluille on erityisvaatimuksia. Finanssivalvonta (FIN-FSA) edellyttää pankkien ja vakuutusyhtiöiden ulkoistamissopimuksissa noudattavan EBA:n (European Banking Authority) ulkoistamisohjeita. Suomalaiset julkishallinnon pilvipalveluhankinnat noudattavat hankintalakia (1397/2016) ja Julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) suosituksia. JHS-järjestelmä (Julkisen hallinnon suositukset) antaa ohjeita pilvipalveluhankinnoista.

Milloin tarvitset asiakirjan Pilvipalvelusopimus Suomi?

Pilvipalvelusopimus Suomessa tarvitaan aina, kun yritys tai organisaatio hankkii pilvi-infrastruktuuria tai -alustapalvelua kaupalliselta tarjoajalta. Seuraavat tilanteet edellyttävät kirjallisen pilvipalvelusopimuksen laadintaa.

Yrityksen IT-infrastruktuurin pilvimigraatio. Yritys siirtää omilta palvelimiltaan (on-premises) pilvipalveluntarjoajan infrastruktuurille. Sopimus kattaa kapasiteetin, siirron aikataulun, SLA:n ja GDPR-vaatimustenmukaisuuden.

Verkkopalvelun tai -sovelluksen skaalaava infrastruktuuri. Startup tai kasvava teknologiayritys hankkii skaalautuvan pilvi-infrastruktuurin sovelluksensa kasvavaa käyttäjämäärää varten. Sopimus kattaa automaattisen skaalautuvuuden (auto-scaling), käyttöpohjaisen hinnoittelun (pay-per-use) ja kapasiteetin laajentamisen ehdot.

Julkishallinnon pilvipalvelut. Kunta, sairaanhoitopiiri tai valtion virasto hankkii pilvipalvelun tietojärjestelmilleen. Hankintalaki (1397/2016) edellyttää kilpailutuksen. Sopimuksessa on huomioitava julkisten tietovarantojen luovuttamista koskeva tiedonhallintalaki (906/2019) ja terveysdatan osalta laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019).

Katastrofitoipuminen (Disaster Recovery). Yritys hankkii toisesta datakeskuksesta DR-ympäristön (Disaster Recovery site) tuotantojärjestelmiensä suojaksi. Sopimus kattaa RTO- ja RPO-tavoitteet, testaustiheyden ja aktivointimenettelyn.

Pilvi-infrastruktuuri teollisuusyritykselle (Industrial Cloud). Teollisuusyritys hankkii pilviympäristön IoT-datan keräämiseen, käsittelyyn ja analysointiin. EU:n datamarkkina-asetus (Data Act, 2025) soveltuu IoT-laitteiden tuottamaan dataan.

Private Cloud -palvelu finanssialan toimijalle. Pankki tai vakuutusyhtiö hankkii yksityisen pilven, joka täyttää Finanssivalvonnan (FIN-FSA) ja EBA:n ulkoistamisohjeiden vaatimukset. Sopimus kattaa datan sijainnin Suomessa, säännöllisen auditoinnin oikeuden ja vähintään ISO 27001 -sertifioinnin.

Hybridipilvi. Yritys kombinoi oman datakeskuksen ja julkisen pilvipalvelun hybridiratkaisuksi. Sopimus kattaa yksityisen ja julkisen pilven integraatiorajapinnat (API), datan liikkumisen osapuolten välillä ja GDPR-vaatimustenmukaisuuden.

Mitä Pilvipalvelusopimus Suomi sisältää

Pilvipalvelusopimus Suomessa sisältää seuraavat oikeudelliset elementit, jotka varmistavat infrastruktuurin saatavuuden, tietoturvan, GDPR-vaatimusten täyttymisen ja EU Data Act -velvoitteiden noudattamisen.

Osapuolten yksilöinti. Palveluntarjoajan ja Asiakkaan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä. Nimenkirjoitusoikeudelliset edustajat osakeyhtiölain (624/2006) mukaan. IT-johtaja teknisille asioille ja tietosuojavastaaava GDPR-asioille.

Palvelumäärittely. Palvelutyyppi (IaaS/PaaS/Private Cloud), kapasiteetti (vCPU, RAM, tallennustila, kaistanleveys), tekniset spesifikaatiot (käyttöjärjestelmä, virtualisointialusta, tietokanta), hallintakonsoli (AWS Management Console, Azure Portal, OpenStack tai vastaava). Automaattisen skaalautuvuuden (auto-scaling) säännöt ja kapasiteetin laajentamismenettelyt.

SLA, RTO ja RPO. Käytettävyysprosentti (99,9 %–99,99 %), hyvitysportaikko, suunniteltu huoltoikkuna (vähintään 72 h ennakkoilmoitus), RTO (Recovery Time Objective, esimerkiksi 4 h) ja RPO (Recovery Point Objective, esimerkiksi 1 h). DR-testausvelvollisuus (vähintään kerran vuodessa) ja raportointivelvollisuus.

Tietoturva. ISO 27001 -sertifikaatti tai SOC 2 Type II -raportti. Fyysinen turvallisuus: pääsynhallinta datakeskukseen, valvontakamerat, turvatarkistukset. Looginen turvallisuus: RBAC, verkkojen segmentointi, kuljetuskerroksen salaus (TLS 1.3), tallennusajan salaus (AES-256), DDoS-suojaus, 24/7 tietoturvamonitorointi (SOC). Penetraatiotestaus vähintään kerran vuodessa; tulokset toimitetaan Asiakkaalle.

GDPR ja tietosuoja. DPA-liite GDPR 28 artiklan mukaisesti. Datakeskuksen sijainti EU/ETA-alueella; kielto siirtää dataa EU/ETA-alueen ulkopuolelle ilman SCC-lausekkeita (GDPR 46 artikla). Alihenkilötietojenkäsittelijöiden lista ja muutosmenettely. Tietoturvaloukkauksen ilmoitusvelvollisuus 24 h Asiakkaalle, 72 h tietosuojavaltuutetulle (GDPR 33 artikla).

EU Data Act -velvoitteet. Datan siirrettävyys toiselle palveluntarjoajalle ilman kohtuuttomia kustannuksia (23-31 artikla). Migraatiotuki 3 kuukauden ajan sopimuksen päättymisestä. Standardoitu dataformaatti (esimerkiksi OVF, S3, SQL-dump). Kielto asettaa teknisiä esteitä kilpailijoille siirtymiselle.

Hinnoittelu. Kiinteä kuukausimaksu tai käyttöpohjainen hinnoittelu ilman arvonlisäveroa; vakio-ALV 25,5 % arvonlisäverolain (1501/1993) mukaan. Laskutusjakso (kuukausittain jälkikäteen), maksuaika (14 päivää netto), viivästyskorko korkolain (633/1982) mukaan. Hinnanmuutosvaroitusaika 60 päivää. Forms-legal.com suosittelee kirjaamaan käyttöpohjaisen hinnoittelun sopimukseen enimmäislaskutusmäärän (billing cap) yllättävien kustannusten välttämiseksi.

Vastuunrajoitus. Palveluntarjoajan kokonaisvastuu enintään 12 kuukauden maksuihin; välilliset vahingot pois suljettuina. Asiakas vastaa sovellustason tietoturvasta ja oman koodinsa virheistä.

Näin täytät asiakirjan Pilvipalvelusopimus Suomi

Pilvipalvelusopimus Suomessa laaditaan seuraavien vaiheiden mukaisesti, jotka varmistavat SLA-vaatimusten, GDPR-velvoitteiden ja EU Data Act -velvoitteiden täyttymisen.

Vaihe 1 — Arvioi palvelutyyppi. Selvitä ennen sopimuksen laadintaa: IaaS (virtuaalipalvelimet, tallennus, verkko), PaaS (kehitysalusta, hallittu tietokanta) vai Private Cloud; onko kyseessä public cloud (yhteisresurssit) vai private cloud (dedikoitu ympäristö); mitkä ovat korkein saatavuusvaatimus (RTO/RPO); tarvitseeko se toimialakohtaisia vaatimuksia (FINRA, PCI DSS, Finanssivalvonnan ohjeet). Nämä valinnat vaikuttavat sopimuksen rakenteeseen ja sisältöön merkittävästi.

Vaihe 2 — Yksilöi osapuolet. Kirjaa Palveluntarjoajan ja Asiakkaan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä. Nimeä IT-johtaja teknisille asioille ja tietosuojavastaava GDPR-asioille.

Vaihe 3 — Kuvaa pilvipalvelu täsmällisesti. Kirjaa kapasiteetti (vCPU, RAM, tallennustila, kaistanleveys), palvelutyyppi (IaaS/PaaS), tekniset spesifikaatiot ja hallintakonsoli. Dokumentoi automaattisen skaalautuvuuden säännöt ja kapasiteetin laajentamismenettelyt.

Vaihe 4 — Sovi SLA:sta, RTO:sta ja RPO:sta. Kirjaa käytettävyysprosentti (tuotantoympäristöön suositellaan vähintään 99,95 %), hyvitysportaikko, suunniteltu huoltoikkuna ja ennakkoilmoitusvelvollisuus (72 h). Sovi RTO:sta ja RPO:sta liiketoimintakritiikaalisuuden mukaan: RTO 4 h tarkoittaa, että järjestelmä on palautettava 4 tunnin sisällä häiriöstä; RPO 1 h tarkoittaa, että enintään 1 tunnin data voidaan menettää. Vaadi DR-testausvelvollisuutta (vähintään kerran vuodessa).

Vaihe 5 — Varmista tietoturvasertifikaatit. Pyydä Palveluntarjoajalta ISO 27001 -sertifikaatti tai SOC 2 Type II -raportti ennen sopimuksen allekirjoittamista. Varmista penetraatiotestausvelvollisuus (kerran vuodessa) ja tulosten toimittaminen Asiakkaalle.

Vaihe 6 — Laadi DPA-liite GDPR:n mukaisesti. Laadi GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) pakolliseksi liitteeksi. DPA:ssa on kuvattava käsittelyn tarkoitus, henkilötietotyypit, tekniset turvatoimet, alihenkilötietojenkäsittelijöiden lista (subprocessors) ja muutosmenettely, tietoturvaloukkauksen ilmoitusvelvollisuus sekä datan hävittäminen sopimuksen päättyessä. Varmista, että datakeskuksen sijainti on EU/ETA-alueella.

Vaihe 7 — Tarkista EU Data Act -velvoitteet. Varmista, että sopimuksessa on: datan siirrettävyys ilman kohtuuttomia kustannuksia; migraatiotuki 3 kuukauden ajan; standardoitu dataformaatti; kielto asettaa teknisiä esteitä kilpailijoille siirtymiselle. Nämä ovat pakottavia velvoitteita Data Actin (EU 2023/2854) 23-31 artiklojen nojalla.

Vaihe 8 — Sovi hinnoittelusta. Kirjaa hinnoittelumalli ilman arvonlisäveroa (ALV 25,5 % lisätään). Käyttöpohjaisessa hinnoittelussa sovi enimmäislaskutusmäärästä (billing cap). Sovi laskutusjaksosta (kuukausittain jälkikäteen), maksuajasta (14 päivää netto) ja viivästyskorosta.

Vaihe 9 — Allekirjoita sopimus. Molemmat osapuolet allekirjoittavat sopimuksen kahtena samansisältöisenä kappaleena. Sähköinen allekirjoitus on pätevä oikeustoimilain (228/1929) mukaan.

Pilvipalvelusopimus Suomi – lakisääteiset vaatimukset

Pilvipalvelusopimus Suomessa kuuluu erityisen laajan lainsäädäntökehyksen piiriin.

Oikeustoimilaki (228/1929). Sopimusvapaus perustana; kohtuuttomat ehdot sovitellaan 36 §:n nojalla. Kuluttajansuojalaki (38/1978) soveltuu, jos Asiakas on kuluttaja.

GDPR (EU 2016/679) ja tietosuojalaki (1050/2018). GDPR 28 artiklan mukainen DPA on pakollinen liite. GDPR 32 artiklan tekniset turvatoimet: TLS, AES-256, RBAC, pseudonymisointi. GDPR 33-34 artiklojen tietoturvaloukkausilmoitus 72 h tietosuojavaltuutetulle. GDPR 46 artiklan siirtomekanismi EU/ETA-alueen ulkopuolisiin siirtoihin (SCC). Tietosuojavaltuutetun toimisto Suomessa valvoo.

EU:n datamarkkina-asetus (Data Act, EU 2023/2854). Pilvipalveluiden vaihtamista helpottavat velvoitteet (23-31 artikla): palveluntarjoaja ei saa periä kohtuuttomia siirtomaksuja; datan on oltava siirrettävissä standardoidussa formaatissa; teknisiä esteitä vaihtamiselle ei saa asettaa; migraatiotuki on tarjottava. Julkishallinnon oikeus saada dataa hätätilanteissa (15-22 artikla).

Laki sähköisen viestinnän palveluista (917/2014). 316 § tietoturvavelvollisuus; 319 § tietoturvaloukkausilmoitus Traficomille. Pilvipalveluntarjoaja on sähköisen viestintäpalvelun tarjoaja, jonka Traficom valvoo.

Finanssialan erityissäännökset. EBA:n ulkoistamisohjeet (EBA/GL/2019/02): pankit ja vakuutusyhtiöt, jotka ulkoistavat kriittisiä toimintoja pilvipalveluun, noudattavat EBA:n ohjeita. DORA (Digital Operational Resilience Act, EU 2022/2554): finanssialan ICT-riskienhallintaasetus tuli voimaan 17.1.2025; edellyttää pilvipalvelusopimuksissa tiettyjä sopimuslausekkeita ICT-riskienhallinnasta.

Julkishallinnon erityissäännökset. Tiedonhallintalaki (906/2019): julkishallinnon tietovarantojen pilvivarastoinnille erityisehdot; suomalaisten viranomaistietojen siirto EU/ETA-alueen ulkopuolelle on rajoitettu. Hankintalaki (1397/2016): julkishallinnon pilvipalveluhankinnat on kilpailutettava.

Vahingonkorvauslaki (412/1974) ja sopimusrikkomus. Palveluntarjoajan vastuu SLA-alituksesta tai tietoturvaloukkauksen aiheuttamista vahingoista. GDPR 82 artikla antaa rekisteröidylle suoran oikeuden vahingonkorvaukseen tietosuojarikkomuksesta.

Yleisimmät virheet: Pilvipalvelusopimus Suomi

Pilvipalvelusopimus Suomessa epäonnistuu seuraavista yleisimmistä virheistä.

Virhe 1 — DPA-liitteen puuttuminen tai riittämättömyys. Pilvipalvelusopimukseen ei laadita GDPR 28 artiklan mukaista tietojenkäsittelysopimusta (DPA) tai DPA on niin yleisluonteinen, ettei se täytä GDPR:n vaatimuksia. Tietosuojavaltuutettu voi määrätä merkittävän seuraamusmaksun. Suositus: vaadi ennen sopimuksen allekirjoittamista GDPR-yhteensopiva DPA ja varmista, että siinä on kaikki GDPR 28 artiklan pakolliset lausekkeet.

Virhe 2 — Datakeskuksen sijainnin huomiotta jättäminen. Pilvipalvelu käyttää datakeskuksia EU/ETA-alueen ulkopuolella (esimerkiksi USA, Singapore tai Australia) ilman lainmukaista siirtomekanismia. Suositus: varmista datakeskuksen sijainti EU/ETA-alueella tai EU-mallisopimuslausekkeiden (SCC) käyttö.

Virhe 3 — Riittämättömät SLA-vaatimukset kriittisille järjestelmille. Tuotantoympäristölle sovitaan vain 99,9 % SLA, vaikka liiketoimintakriittinen sovellus vaatii 99,99 %. Katkosta aiheutuva liiketoimintavahinko ylittää SLA-hyvityksen moninkertaisesti. Suositus: arvioi RTO- ja RPO-vaatimukset liiketoimintavaikutusanalyysin (BIA) pohjalta ennen SLA-neuvotteluja.

Virhe 4 — EU Data Act -velvoitteiden huomiotta jättäminen. Sopimuksessa ei huomioida EU:n datamarkkina-asetuksen (Data Act, 2025) datan siirrettävyysvelvoitteita. Palveluntarjoaja perii kohtuuttomia siirtomaksuja tai asettaa teknisiä esteitä siirtymiselle toiselle tarjoajalle. Suositus: kirjaa sopimukseen nimenomaisesti Data Act 23-31 artiklojen mukaiset velvoitteet.

Virhe 5 — Käyttöpohjaisen hinnoittelun enimmäismäärän puuttuminen. Sovelluksessa on virhe tai hyökkäys, joka generoi eksponentiaalisen määrän pilviresursseja; lasku nousee odottamattomasti kymmeniin tuhansiin euroihin kuukaudessa. Suositus: kirjaa sopimukseen enimmäislaskutusmäärä (billing cap) ja automaattinen ilmoitusvelvollisuus, kun 80 % kuukausibudjetista on käytetty.

Virhe 6 — Migraatioehdoista sopimatta jättäminen. Sopimuksessa ei sovita datan siirtämisestä toiselle tarjoajalle tai migraatiotuesta. Palveluntarjoaja hinnoittelee migraatiotuen erikseen tai asettaa teknisiä esteitä kilpailijoille siirtymiselle. Suositus: kirjaa migraatiotuen laajuus (3 kuukautta), standardoitu dataformaatti ja kielto asettaa teknisiä esteitä Data Act -velvoitteiden mukaisesti.

Virhe 7 — DORA-velvoitteiden laiminlyönti finanssialan toimijoilla. Pankki tai vakuutusyhtiö ei huomioi DORA:n (EU 2022/2554) vaatimuksia pilvipalvelusopimuksessa; sopimuksesta puuttuvat ICT-riskienhallintaan liittyvät pakolliset lausekkeet. Suositus: finanssialan toimijoiden on käytettävä DORA-yhteensopivaa sopimusta, jossa on EBA:n ulkoistamisohjeissa edellytetyt lausekkeet.

Viittaa tähän sivuun

Viittaa tähän ilmaiseen malliin artikkelissa, opetussuunnitelmassa tai tutkimusmuistiossa:

APA

Forms Legal. (2026). Pilvipalvelusopimus Suomi (Suomi) [Legal document template]. Forms Legal. https://forms-legal.com/fi/suomi/business/contracts/pilvipalvelusopimus

MLA

"Pilvipalvelusopimus Suomi (Suomi)." Forms Legal, 2026, https://forms-legal.com/fi/suomi/business/contracts/pilvipalvelusopimus.

BibTeX

@misc{formslegal-pilvipalvelusopimus,
  author       = {{Forms Legal}},
  title        = {Pilvipalvelusopimus Suomi (Suomi)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/fi/suomi/business/contracts/pilvipalvelusopimus}},
  note         = {Free legal document template}
}

Usein kysytyt kysymykset

Säädösviitteinen malli — Mallia muokattu viimeksi kesäkuu 2026

Tämä malli on tarkoitettu ainoastaan tiedoksi eikä se ole oikeudellista neuvontaa. Lait vaihtelevat lainkäyttöalueittain ja muuttuvat ajan myötä. Kysy tilanteeseesi sopivaa neuvoa pätevältä lakimieheltä.Täydellinen vastuuvapauslauseke

Löysitkö virheen? Kerro meille