Webhotellisopimus Suomi

Webhotellisopimus Suomessa on oikeustoimilain (228/1929) mukainen kirjallinen sopimus, jolla webhotelliyritys (hosting provider) tarjoaa asiakkaalle palvelintilaa ja verkkosivujen isännöintipalvelua tiettyä kuukausi- tai vuosimaksua vastaan. Webhotelli tarkoittaa jaettua tai dedikoitua palvelinresurssia, jolla asiakas ylläpitää verkkosivustoaan tai verkkosovellustaan. Suomessa webhotellisopimuksen oikeudellinen pohja muodostuu oikeustoimilaista (228/1929), laista sähköisen viestinnän palveluista (917/2014), tietosuojalaista (1050/2018) ja IT2018 Yleisistä sopimusehdoista (IT2018 YSE).

Webhotellisopimus kattaa kolme palvelutyyppiä: jaettu webhotelli (shared hosting), jossa useat asiakkaat jakavat saman fyysisen palvelimen resurssit — edullisin vaihtoehto mutta rajallisin suorituskyky; VPS-isännöinti (Virtual Private Server), jossa asiakkaan palvelin on virtuaalisesti eriytetty omaksi ympäristökseen — tasapainoinen ratkaisu; ja dedikoitu palvelin (dedicated server), jossa asiakas saa koko fyysisen palvelimen käyttöönsä — kalliimpi mutta maksimaalinen suorituskyky. Pilvipalvelinisännöinti (cloud hosting) skaalautuu automaattisesti kuorman mukaan.

Laki sähköisen viestinnän palveluista (917/2014) on webhotellisopimuksen keskeinen erityislaki. Lain 2 luvussa säädetään viestintäpalvelujen tarjoajien velvollisuuksista, mukaan lukien tietoturvavelvoitteet (316 §), vikaviestintä (319 §) ja häiriötilanteista ilmoittaminen Liikenne- ja viestintävirasto Trafficomille. Webhotelliyritys on sähköisen viestintäpalvelun tarjoaja lain 3 §:n tarkoittamassa mielessä, ja sen on noudatettava lain vaatimuksia. Liikenne- ja viestintävirasto Traficom valvoo lain noudattamista Suomessa.

Palvelutasomäärittely (SLA, Service Level Agreement) on webhotellisopimuksen ydin. SLA kuvaa, kuinka suuren osan ajasta palvelu on toiminnassa (käytettävyysprosentti, uptime). Tyypillinen webhotellisopimus lupaa 99,9 % tai 99,5 % kuukausittaisesta käyntiajasta. 99,9 % tarkoittaa enintään 43,8 minuuttia suunnittelematonta katkoa kuukaudessa. 99,5 % tarkoittaa enintään 3,65 tuntia katkoa kuukaudessa. SLA-hyvitys myönnetään, jos käytettävyystakuu ei täyty.

GDPR (EU 2016/679) ja tietosuojalaki (1050/2018) koskevat webhotellisopimuksia merkittävästi. Jos asiakkaan verkkosivusto kerää ja käsittelee loppukäyttäjien henkilötietoja (esimerkiksi yhteystietoja, tilauksia tai analytiikkaa), Palveluntarjoaja on tyypillisesti GDPR:n mukainen henkilötietojen käsittelijä. Tällöin GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) on pakollinen liite webhotellisopimukseen. Palvelimen sijainnin on oltava EU/ETA-alueella tai henkilötietojen siirrolle on oltava lainmukainen mekanismi (GDPR 46 artikla).

NHS-palveluissa (webhotellimaisessa mutta suuremmassa mittakaavassa) Suomessa merkittävä toimija on Hetzner Online GmbH (Saksa), jonka datakeskuksista osa sijaitsee Helsingissä. Kansalliset toimijat, kuten Telia, DNA Business ja Sonera (Telia) tarjoavat webhotellipalveluita suomalaisilla datakeskuksilla. Palvelimen fyysinen sijainti Suomessa tai EU-alueella on GDPR-vaatimustenmukaisuuden kannalta tärkeä.

Webhotellisopimuksen tietoturvaelementit ovat keskeisiä. Palveluntarjoaja vastaa palvelininfrastruktuurin tietoturvasta: palomuurit, DDoS-suojaus, SSL/TLS-sertifikaatit (Let's Encrypt tai kaupallinen sertifikaatti), varmuuskopiointi ja haittaohjelmasuojaus. Asiakas vastaa puolestaan oman verkkosivustonsa ohjelmistojen (WordPress, Joomla, Drupal tai räätälöity ohjelmisto) päivityksistä ja tietoturvasta.

Tekijänoikeuslaki (404/1961) soveltuu webhotelliin tallennettuun sisältöön: asiakas ei saa tallentaa tekijänoikeussuojattua materiaalia ilman asianmukaista lupaa. Tietoverkkorikoksia koskeva rikoslain 38 luku (578/1995) kriminalisoi luvattoman pääsyn tietojärjestelmiin ja datavahingonteon.

Webhotellisopimus Suomessa tarvitaan aina, kun yritys tai henkilö hankkii verkkosivujen isännöintipalvelun kaupalliselta palveluntarjoajalta. Seuraavat tilanteet edellyttävät kirjallisen webhotellisopimuksen laadintaa.

PKT-yrityksen verkkosivusto. Pieni tai keskisuuri yritys (PKT) hankkii webhotellin yrityksensä verkkosivustolle. Sopimus kattaa paketin sisällön (tallennustila, sähköpostit, SSL-sertifikaatti), SLA-käytettävyystakuun, hinnoittelun ja irtisanomisehdot.

Verkkokaupan isännöinti. Sähköinen kauppapaikka vaatii luotettavan isännöinnin korkea käytettävyyden ja tietoturvan vuoksi. PCI DSS (Payment Card Industry Data Security Standard) -vaatimukset koskevat maksukorttitietoja käsitteleviä palvelinympäristöjä. Webhotellisopimuksessa on varmistettava Palveluntarjoajan PCI DSS -vaatimustenmukaisuus.

WordPress-isännöinti. WordPress on maailman yleisin sisällönhallintajärjestelmä (yli 43 % verkkosivuista). WordPress-isännöintipalvelut tarjoavat usein automaattiset WordPress-päivitykset, haittaohjelmasuojauksen ja varmuuskopioinnin. Sopimus kattaa nämä lisäpalvelut.

Sähköpostipalvelimet. Webhotellipalvelu kattaa usein sähköpostipalvelimet (SMTP, IMAP, POP3). Yrityssähköpostien ylläpito edellyttää riittävää tallennustilaa, roskapostisuojausta (SPF, DKIM, DMARC) ja virusskannauksen. Sopimuksessa on sovittava sähköpostipalvelimen SLA:sta erikseen, koska sähköposti voi olla kriittinen liiketoimintatyökalu.

Reseller-isännöinti (webhotellin jälleenmyynti). IT-yritys tai mainostoimisto hankkii webhotellipaketin ja myy sitä edelleen omille asiakkailleen. Webhotellisopimuksessa on sovittava reseller-ehdoista: saako asiakkaan myydä palvelua edelleen, millä ehdoilla ja mikä on vastuunjako.

Dedikoitu palvelin laajoille projekteille. Suuri verkkopalvelu tai sovellus vaatii oman dedikoitun palvelimen. Sopimuksessa on sovittava palvelimen tekniset spesifikaatiot, käyttöjärjestelmä, hallintapaneeli ja tietoturvapäivitykset.

Pilvipalveluun siirtyminen. Yritys siirtää olemassa olevan webhotellin pilvipalvelimelle (VPS tai managed cloud hosting). Sopimuksessa on sovittava migraatiopalvelun sisällöstä, aikataulusta ja vastuunjako migrationin aikana mahdollisista katkoksista.

Webhotellisopimus Suomessa sisältää seuraavat oikeudelliset elementit, jotka varmistavat lain sähköisen viestinnän palveluista (917/2014) mukaisen palvelun, SLA-käytettävyystakuun ja GDPR-vaatimusten täyttymisen.

Osapuolten yksilöinti. Palveluntarjoajan ja Asiakkaan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä. Nimenkirjoitusoikeudelliset edustajat. Tekninen yhteyshenkilö palveluun liittyville asioille.

Palvelun sisältö ja tekniset spesifikaatiot. Pakettikuvaus: tallennustila (GB/TB, SSD vai HDD), kaistanleveys (rajoitettu/rajoittamaton), käyttäjätilien määrä (cPanel/WHM), sähköpostitilimäärä, tietokannat (MySQL, PostgreSQL), PHP-versio ja muut ohjelmistokonfiguraatiot. Lisäpalvelut: SSL-sertifikaatti (Let's Encrypt tai kaupallinen), CDN, varmuuskopiointi, haittaohjelmasuojaus.

Palveluntarjoajan sijainti. Datakeskuksen fyysinen tai looginen sijainti EU/ETA-alueella GDPR-vaatimusten täyttämiseksi. Maininta alihankkijoista (esimerkiksi AWS, Hetzner, OVHcloud). Sopimus Palveluntarjoajan oikeudesta siirtää palvelu toiseen datakeskukseen ennakkoilmoituksella.

SLA-käytettävyystakuu. Käytettävyysprosentti (99,9 % tai 99,5 %), hyvitysportaikko (esimerkiksi 10 % / 25 % / 50 % kuukausimaksusta), suunniteltu huoltoikkuna (tyypillisesti öisin tai viikonloppuisin) ja ennakkoilmoitusvelvollisuus (48 tuntia). SLA:n alittumisen toteamismenetelmä (Palveluntarjoajan monitorointi).

Tietoturva. Palvelintason tietoturva: palomuuri, DDoS-suojaus, tietoturvapäivitykset, haittaohjelmasuojaus. Varmuuskopiointi: päivittäinen, 14 päivän säilytys, palauttamistestaus. Pääsynhallinta cPanel/WHM tai vastaavaan hallintapaneeliin. Tietoturvaloukkauksen ilmoitusmenettely Traficomille (917/2014, 319 §).

GDPR ja tietosuoja. Jos Asiakkaan verkkosivusto käsittelee henkilötietoja, GDPR 28 artiklan mukainen DPA-liite on laadittava. Palvelimen sijainti EU/ETA-alueella. Rekisteriselostetta ei vaadita webhotellisopimuksessa itsessään, mutta se on tarpeen Asiakkaan verkkosivustolle. Forms-legal.com suosittelee tarkistamaan Palveluntarjoajan GDPR-vaatimustenmukaisuuden (DPA-tarjonta, subprocessor-lista, datakeskuksen sijainti) ennen sopimuksen allekirjoittamista.

Hinta ja laskutus. Kuukausi- tai vuosimaksu ilman arvonlisäveroa; vakio-ALV 25,5 % arvonlisäverolain (1501/1993) mukaan. Laskutusjakso, maksuaika (14 päivää netto) ja viivästyskorko korkolain (633/1982) mukaan. Hinnanmuutonsilmoitusvelvollisuus 30 päivää etukäteen.

Irtisanominen ja siirto. Irtisanomisaika (30 päivää), datan latausmahdollisuus ennen sopimuksen päättymistä, datan säilytys irtisanomisen jälkeen (tyypillisesti 30 päivää) ja siirtotuki toiselle palveluntarjoajalle.

Kielletty sisältö. Laiton materiaali, tekijänoikeusrikkomukset, haittaohjelmat, spam, DDoS-hyökkäykset ja muu lain sähköisen viestinnän palveluista (917/2014) vastainen toiminta.

Webhotellisopimus Suomessa laaditaan seuraavien vaiheiden mukaisesti, jotka varmistavat palvelutason, tietoturvan ja GDPR-vaatimusten täyttymisen.

Vaihe 1 — Valitse oikea palvelutyyppi. Arvioi tarpeesi: jaettu webhotelli (pienet verkkosivut, blogi, alle 10 000 kuukausikäyntiä), VPS-isännöinti (verkkokaupat, sovellukset, 10 000–100 000 kuukausikäyntiä) tai dedikoitu palvelin (suuret verkkopalvelut, yli 100 000 kuukausikäyntiä). Varmista, että valittu ratkaisu tukee tarvitsemiasi teknologioita (PHP-versio, tietokannat).

Vaihe 2 — Yksilöi osapuolet. Kirjaa Palveluntarjoajan ja Asiakkaan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä. Kirjaa nimenkirjoitusoikeudelliset edustajat. Nimeä tekninen yhteyshenkilö tietoturva-asioille ja laskutusyhteyshenkilö.

Vaihe 3 — Kuvaa palvelupaketti täsmällisesti. Kirjaa kaikki sopimukseen sisältyvät ominaisuudet: tallennustila, kaistanleveys, sähköpostitilien määrä, tietokannat, PHP-versio, SSL-sertifikaatti, varmuuskopiointi ja hallintapaneeli. Listaa myös sellaiset ominaisuudet, jotka eivät kuulu perusmaksuun mutta ovat saatavilla lisämaksusta.

Vaihe 4 — Sovi SLA-käytettävyystakuusta. Kirjaa täsmällinen käytettävyysprosentti (99,9 % tai 99,5 %), hyvitysportaikko alituksesta, suunniteltu huoltoikkuna (viikonloppuisin yöaikaan on tyypillinen) ja ennakkoilmoitusvelvollisuus (48 tuntia). Varmista, miten SLA:n alittuminen todennetaan ja miten hyvitystä haetaan.

Vaihe 5 — Tarkista datakeskuksen sijainti ja GDPR. Varmista, että palvelinympäristö sijaitsee EU/ETA-alueella, jos verkkosivusto käsittelee EU-kansalaisten henkilötietoja. Pyydä Palveluntarjoajalta GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA), jos sivusto kerää henkilötietoja. Tarkista Palveluntarjoajan alihankkijat (subprocessors) ja niiden sijainnit.

Vaihe 6 — Sovi hinnoittelusta ja laskutuksesta. Kirjaa kuukausi- tai vuosimaksu ilman arvonlisäveroa (vakio-ALV 25,5 % lisätään). Sovi laskutusjaksosta (automaattinen korttiveloitus tai lasku), maksuajasta (14 päivää netto) ja viivästyskorosta korkolain (633/1982) mukaan.

Vaihe 7 — Sovi irtisanomisesta ja datan siirrosta. Kirjaa irtisanomisaika (30 päivää ennen kauden loppua) ja automaattinen uusiutuminen. Varmista, että saat datasi ladattua FTP-, SFTP- tai cPanel-varmuuskopioina ennen sopimuksen päättymistä. Sovi myös datan säilytysajasta sopimuksen irtisanomisen jälkeen.

Vaihe 8 — Allekirjoita sopimus. Molemmat osapuolet allekirjoittavat sopimuksen kahtena samansisältöisenä kappaleena. Sähköinen allekirjoitus on pätevä oikeustoimilain (228/1929) mukaan. Säilytä sopimukset kirjanpitolain (1336/1997) mukaisesti.

Webhotellisopimus Suomessa kuuluu usean erityislain sääntelyn piiriin.

Laki sähköisen viestinnän palveluista (917/2014). Webhotelliyritys on sähköisen viestintäpalvelun tarjoaja (3 §). Lain 316 § velvoittaa varmistamaan viestintäpalvelun tietoturvan. 319 § velvoittaa ilmoittamaan tietoturvaloukkauksesta Liikenne- ja viestintävirasto Traficomille. 307-311 § viestinnän luottamuksellisuus: palveluntarjoaja ei saa käsitellä viestejä luvattomasti. Traficom valvoo lain noudattamista Suomessa ja voi määrätä hallinnollisia seuraamuksia.

Oikeustoimilaki (228/1929). Sopimusvapaus webhotellisopimuksen perustana. Kohtuuttomat ehdot sovitellaan 36 §:n nojalla. Kuluttajasopimusten osalta kuluttajansuojalaki (38/1978) on pakottavaa oikeutta.

Kuluttajansuojalaki (38/1978). Jos Asiakas on kuluttaja, sopimuksessa ei voida käyttää kohtuuttomia vakioehtoja. Etämyynnin peruuttamisoikeus 14 päivää palvelun alkamisesta voi soveltua digitaalisiin palveluihin. Hinnan on oltava ilmoitettu kokonaishintana ALV sisältäen. Kilpailu- ja kuluttajavirasto (KKV) valvoo kuluttajansuojalain noudattamista.

GDPR (EU 2016/679) ja tietosuojalaki (1050/2018). Jos Asiakkaan verkkosivusto käsittelee EU-kansalaisten henkilötietoja, Palveluntarjoaja on GDPR:n mukainen henkilötietojen käsittelijä. GDPR 28 artiklan mukainen DPA on pakollinen. GDPR 32 artiklan tekniset turvatoimet (TLS, AES-256, pääsynhallinta) koskevat palvelinympäristöjä. Tietosuojavaltuutetun toimisto Suomessa valvoo GDPR:n noudattamista.

Tekijänoikeuslaki (404/1961). Asiakas ei saa tallentaa webhotelliin tekijänoikeussuojattua materiaalia ilman lupaa. Palveluntarjoaja voi olla välillisesti vastuussa Asiakkaan tekijänoikeusrikkomuksista, jos se ei toimi saatuaan tiedon rikkomuksesta (notice-and-takedown -menettely).

Rikoslaki (39/1889), 38 luku tietoverkkorikokset. Luvaton pääsy tietojärjestelmään (38 luku 8 §), tietomurto (38 luku 8a §) ja datavahingonteko (35 luku 3a §) ovat rikoksia. Palveluntarjoaja on velvollinen tekemään rikosilmoituksen havaitessaan tietomurron.

Arvonlisäverolaki (1501/1993). Sähköiset palvelut ovat arvonlisäveron alaisia. Vakiokanta 25,5 % lisätään sopimushintaan. Digitaalisten palvelujen myynti EU:n kuluttajille on verotettava myynnin kohdemaan arvonlisäveron mukaan (OSS-järjestelmä).

Webhotellisopimus Suomessa epäonnistuu seuraavista yleisimmistä virheistä, jotka aiheuttavat tietoturvaongelmia, GDPR-rikkomuksia tai sopimuksia, joista on vaikea päästä eroon.

Virhe 1 — SLA-hyvitysten hakematta jättäminen. Palvelu on ollut poissa käytöstä yli sovitun rajan, mutta Asiakas ei hae hyvitystä, koska hyvitysmenettely ei ole tiedossa tai hakemiseen on lyhyt aikaraja. Suositus: kirjaa sopimukseen hyvityksen hakemistapa ja tarkista kuukausittain käytettävyysraportit Palveluntarjoajan hallintapaneelista.

Virhe 2 — GDPR-DPA:n puuttuminen. Verkkosivusto kerää asiakastietoja (yhteystietolomakkeet, tilaukset, analytiikka), mutta GDPR 28 artiklan mukainen tietojenkäsittelysopimus on laadittu vain verkkosivuston rakentajalle, ei webhotellintarjoajalle. Suositus: pyydä webhotellintarjoajalta GDPR-yhteensopiva DPA ennen sopimuksen allekirjoittamista.

Virhe 3 — Automaattinen uusiutuminen ilman irtisanomisilmoitusta. Webhotellisopimus uusiutuu vuodeksi, koska Asiakas unohtaa irtisanoa sopimuksen ajoissa. Suositus: kirjaa irtisanomisaika kalenteriin 60 päivää ennen kauden loppua.

Virhe 4 — Datakeskuksen sijainnin tarkistamatta jättäminen. Palvelin sijaitsee EU/ETA-alueen ulkopuolella (esimerkiksi USA tai Singapore), mikä on GDPR-vaatimusten vastaista, jos sivusto käsittelee EU-kansalaisten henkilötietoja. Suositus: varmista datakeskuksen sijainti EU/ETA-alueella ennen sopimuksen allekirjoittamista.

Virhe 5 — WordPress-päivitysten laiminlyönti. Asiakas olettaa, että Palveluntarjoaja päivittää WordPress-asennuksen automaattisesti, vaikka se on Asiakkaan vastuulla. Vanhentuneet WordPress-versiot ovat yleinen haavoittuvuus. Suositus: varmista sopimuksessa, kenen vastuulle WordPress-päivitykset kuuluvat.

Virhe 6 — Epäselkeä vastuunjako tietoturvaloukkauksen yhteydessä. Sopimuksessa ei sovita selkeästi, kenen vastuulla on ilmoittaa tietoturvaloukkauksen havaitsemisesta Traficomille (917/2014, 319 §) ja tietosuojavaltuutetulle (GDPR 33 artikla). Suositus: kirjaa ilmoitusvelvollisuudet täsmällisesti.

Virhe 7 — Varmuuskopioiden testaamattomuus. Sopimuksessa sovitaan varmuuskopioinnista, mutta ei varmuuskopioiden toimivuuden testauksesta. Asiakas saattaa tarvita varmuuskopiota verkkosivustohyökkäyksen jälkeen vain todetakseen, että varmuuskopio on korruptoitunut. Suositus: vaadi Palveluntarjoajaa testaamaan varmuuskopioiden palautuskyky säännöllisesti ja raportoimaan testituloksista.