Tietosuojaseloste
Tämä on tietosuojalain ja Euroopan Unionin yleisen tietosuoja-asetuksen (2016/679/EU) mukainen yhdistetty tietosuojaseloste ja tietosuojaa koskeva informointi rekisteröidyille.
Huomattavaa on, että Henriika Maikku Oy on lisäksi sosiaali- ja terveydenhuollon palvelutuottaja. Tätä tietosuojaselostetta ei noudateta sosiaali- ja terveydenhuollon tarkoittaman asiakas- tai potilastiedon käsittelyyn, vaan sitä varten yhtiöllä on erillinen tietosuojaseloste, joka toimitetaan näitä tilanteita koskevien sopimusten solmimisen yhteydessä.
Tämä tietosuojaseloste on laadittu 10.11.2023 ja sitä on viimeksi päivitetty 10.11.2023.
1 Rekisterinpitäjä ja rekisterinpitäjän yhteyspiste
Rekisterinpitäjä:
Juura / Henriika Maikku Oy
Y-tunnus: 2755085-4
Lapinkyläntie 643
07870 Skinnarby
Tässä tietosuojaselosteessa rekisterinpitäjään viitataan myöhemmin termillä ”Juura” tai ”rekisterinpitäjä”.
Rekisterinpitäjän yhteyspiste:
Rekisterinpitäjän yhteyspiste kaikissa tietosuojaan liittyvissä kysymyksissä on:
Henriika Maikku
Toimitusjohtaja
puh. 040 416 8409
henriika.maikku@juura.fi
2 Tietoja julkisista verkkopalveluistamme
Juuralla on tai on mahdollista olla internetissä muun muassa seuraavia julkisia verkkopalveluita:
- yritys- ja palvelukohtaisia verkkosivuja ja -kauppoja
- Facebook-yhteisösivu
- Google-yritysprofiili
- LinkedIn-yhteisösivu
- Twitter-tili
- Instagram-tili
Näissä ja muissa mahdollisesti käyttämissämme julkisissa verkkopalveluissa käytetään teknologiaa, joiden avulla palveluiden käyttäjä voidaan tunnistaa ja hänelle voidaan tarjota tunnistetietojen avulla räätälöityjä palveluita ja sisältöjä.
2.1 Tietoliikenteen suojaus
Tarjoamamme julkiset verkkopalvelut käyttävät lähtökohtaisesti SSL-salausta käyttäjän päätelaitteen ja verkkopalvelun välisen tietoliikenteen suojaamiseen. SSL-salaus auttaa myös verkkosivuston aitouden varmistamisessa. SSL-salausta käyttävän verkkopalvelun tunnistaa useimmiten selaimen osoitekentän vieressä olevasta lukon kuvasta sekä HTTPS-alkuisesta osoitteesta.
2.2 Tietoja evästeistä ja muusta verkkotunnistetietojen keräämisestä
Voimme käyttää kotisivuillamme sekä käyttämissämme muissa sähköisissä palveluissa ja järjestelmissä niin evästeitä sekä muita kävijän verkkotunnistetietoja kerääviä toimintoja. Evästeet eivät vahingoita käyttäjien päätelaitteita tai tiedostoja.
Evästeessä on käytännössä kyse pienestä, käyttäjän tietokoneelle lähetettävästä ja siellä säilytettävästä tekstitiedostosta, jonka tarkoituksena on esimerkiksi sivuoston perustoimintojen mahdollistaminen ja sivustoilla vierailevien kävijöiden tunnistamisessa auttaminen. Evästeiden tuottamat tunnistetiedot mahdollistavat kävijälle häntä kiinnostavan sisällön kohdentamisen ja ne saattavat olla tarpeellisia joidenkin ylläpitämiemme sivujen ja tarjoamiemme palveluiden asianmukaiselle toiminnalle. Vastaavasti evästeiden käytön estäminen voi estää verkkosivujen sekä muiden sähköisten palveluiden ja järjestelmien asianmukaisen toiminnan.
Evästeisiin liittyvät valinnat ja evästeiden käytön estäminen ovat mahdollisia verkkosivuillamme, käyttämissämme sähköisissä palveluissa ja/tai selainohjelman kautta.
2.3 Yhteisöliitännäiset
Verkkosivuillamme voi olla linkkejä ja yhteyksiä kolmannen osapuolen verkkosivustoihin, kuten LinkedIniin, Facebookiin, Google My Business -yritysprofiiliin, Twitteriin, Instagramiin ja muihin yhteisöpalveluihin tai kolmannen osapuolen verkkopalveluihin. Niiden kautta tuleva sisältö latautuu kolmannen osapuolen palvelimilta. Yhteisöpalveluntarjoajat voivat kerätä yhteisöliitännäisten avulla tietoja kävijän vierailusta kulloinkin voimassa olevien ehtojensa mukaisesti.
3 Henkilötietojen käsittelyperiaatteet rekistereittäin
3.1 Asiakasrekisteri
3.1.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste
Rekisterinpitäjän asiakasrekisterin sisältämien henkilötietojen käsittelyn tarkoituksena on Juuran liiketoimintaan liittyvien asiakassuhteiden ja tehtävien hoitaminen, asiakas- ja osallistumistietojenylläpito, kirjaaminen, palveluiden ja niiden ostojen käsittely ja toimitukset, Juuran toiminnan suunnittelun, toteutuksen ja seurannan apuna käytettävien tilastotietojen tuottaminen sekä palvelutuotantoon liittyvässä laskutuksessa tarvittavien tietojen tuottaminen. Henkilötietojen käsittely perustuu asiakassuhteeseen ja/tai verkko-ostosopimuksen täytäntöönpano.
3.1.2 Rekisteröityjen ryhmät
Rekisterinpitäjän ja asiakkaan välisestä asiakassuhteesta riippuen rekisterinpitäjä saattaa käsitellä seuraavien keskeisten rekisteröityjen ryhmien henkilötietoja:
- Asiakkaat
- Asiakkaan työnantaja
- Asiakkaan perheenjäsenet ja muut yhteyshenkilöt
- Asiakkaan yhteyshenkilöt muissa organisaatioissa.
3.1.3 Rekisterin tietosisältö
Rekisterinpitäjä saattaa käsitellä seuraavia rekisteröityjen ryhmien henkilötietoja:
- Etunimi ja sukunimi
- Syntymäaika
- Puhelinnumero
- Osoite
- Sähköpostiosoite
- Ammattinimike
- Palvelutiedot
3.1.4 Henkilötietojen säännönmukaiset lähteet
Henkilötietojen ensisijainen tietolähde on Rekisterinpitäjän asiakas ja asiakkaan edustajat itse. Rekisteriin voidaan kerätä tietoa myös julkisista tietolähteistä. Lisäksi Rekisterinpitäjä voi täydentää rekisteröidyn tietoja oman toimintansa perusteella ja tiedot voivat täydentyä automaattisesti Rekisterinpitäjän ja asiakkaan toiminnan perusteella.
Henkilötietoja voidaan lisäksi vastaanottaa viranomaisilta, järjestöiltä ja tapaturmavakuutusyhtiöiltä.
3.1.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt
Rekisterinpitäjän asiakasrekisterin sisältämiä henkilötietoja käsitellään lähtökohtaisesti ainoastaan Rekisterinpitäjän toiminnassa. Henkilötietoja ei myydä, vuokrata tai luovuteta kolmannelle osapuolelle.
Henkilötietoja voidaan kuitenkin luovuttaa kolmansille osapuolille seuraavissa tilanteissa:
- Lain sallimissa tai sen edellyttämässä laajuudessa;
- Luovutettaessa tietoja henkilötietojen käsittelijöille, jotka käsittelevät henkilötietoja Rekisterinpitäjän lukuun;
- Rekisterinpitäjän ollessa mukana sulautumisessa, jakautumisessa, yritysjärjestelyssä tai muussa vastaavassa järjestelyssä taikka liiketoiminnan tai sen osan myynnissä;
- Mikäli uskomme henkilötietojen luovuttamisen olevan välttämätöntä oikeuksiemme toteuttamiseksi, rekisteröidyn tai muiden turvallisuuden takaamiseksi, väärinkäytösten tai niiden epäilyjen tutkimiseksi tai viranomaisen pyyntöön vastaamiseksi;
- Siinä laajuudessa kuin henkilötietosi on liitetty muihin henkilöihin tai organisaatioihin (palveluiden yhteyshenkilötiedot).
3.1.6 Henkilötietojen säilytysaika ja poistaminen
Rekisterinpitäjän asiakasrekisterin henkilötietoja säilytetään vähintään niin kauan, kuin henkilötietojen käsittely on tarpeen Rekisterinpitäjän ja asiakkaan välisen asiakkuuden tai muun oikeutetun edun toteuttamiseksi. Asiakkuuden päättymisestä huolimatta tietoja säilytetään viisi (5) vuotta viimeisimmästä tapahtumasta tai tietojen muokkauksesta, jonka jälkeen tiedot poistetaan. Edellä mainitun estämättä Rekisterinpitäjällä on oikeus säilyttää henkilötietoja tarvittavilta osin omien oikeutettujen etujensa toteuttamiseksi ja velvoitteidensa täyttämiseksi (esimerkiksi kirjanpidon vaatimukset) erikseen määrittelemättömän ajan.
3.2 Markkinointirekisteri
3.2.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste
Rekisterinpitäjän markkinointirekisterin tarkoitus on Rekisterinpitäjän asiakassuhteiden hoitaminen ja kehittäminen. Lisäksi markkinointirekisteriä käytetään sekä markkinointiviestinnän että virallisen tiedottamisen kohdentamiseen asiakkaille, potentiaalisille asiakkaille ja edellä mainittujen yhteyshenkilöille. Markkinointirekisteriä käytetään myös Rekisterinpitäjän omissa verkkopalveluissaan vastaanottamien yhteydenotto- ja palvelupyyntöjen käsittelyyn.
Asiakkaiden ja heidän yhteyshenkilöidensä osalta Rekisterinpitäjän suorittama henkilötietojen käsittely perustuu asiakassuhteeseen. Potentiaalisten asiakkaiden, heidän edustajiensa ja muiden henkilöiden osalta henkilötietojen käsittely perustuu rekisteröidyn yksiselitteiseen tai nimenomaiseen suostumukseen taikka Rekisterinpitäjän oikeutettuun etuun.
3.2.1 Rekisteröityjen ryhmät
Rekisterinpitäjä saattaa käsitellä seuraavien keskeisten rekisteröityjen ryhmien henkilötietoja:
- Aktiiviset asiakkaat ja näiden yhteyshenkilöt;
- Potentiaaliset asiakkaat ja näiden yhteyshenkilöt;
- Rekisterinpitäjän tapahtumiin, kuten avoimiin oviin tai muihin fyysisiin ja digitaalisiin tilaisuuksiin (esimerkiksi webinaarit) osallistuneet henkilöt;
- Rekisterinpitäjän ladattavia sisältöjä, kuten oppaita ladanneet henkilöt, kotisivujen lomakkeilla tietonsa lähettäneet henkilöt ja uutiskirjeen tilanneet henkilöt;
- Rekisterinpitäjän yhteistyöverkostoon kuuluvat henkilöt.
3.2.2 Rekisterin tietosisältö
Rekisterinpitäjä saattaa käsitellä seuraavia rekisteröityjen ryhmien henkilötietoja:
- Rekisteröidyn nimi
- Rekisteröidyn asema organisaatiossa
- Rekisteröidyn osoite
- Rekisteröidyn puhelinnumero ja sähköpostiosoite
- Rekisteröidyn sosiaalisen median tilit
- Tieto mahdollisista viestintä- tai markkinointiviestintäkielloista
- Tieto rekisteröidylle lähetetystä viestinnästä
- Tieto rekisteröidyn lataamasta sisällöstä Rekisterinpitäjän verkkopalveluissa (oppaat, webinaarit, muu sisältö) sekä tieto Rekisterinpitäjän uutiskirjeen tilaamisesta
- Tieto rekisteröidyn sähköisillä tai fyysisillä lomakkeilla ja suullisesti luovuttamista tiedoista
- Tieto rekisteröidyn kiinnostuksen kohteista (Rekisterinpitäjän tuotteet, palvelut ja tapahtumat)
- Tieto rekisteröidyn kontaktoinnista ja tähän liittyvistä muistiinpanoista
Lähtökohtaisesti markkinointirekisterissä ei käsitellä erityisiä henkilötietoryhmiä. Rekisterinpitäjä ei voi varmuudella estää alle 13-vuotiaita henkilöitä käyttämästä Rekisterinpitäjän julkisia verkkopalveluita ja tietolähteitä. Jos Rekisterinpitäjällä on perusteltu syy epäillä kerätyn henkilötiedon koskevan alle 13-vuotiasta henkilöä, tietojen käsittely keskeytetään ja henkilötiedot poistetaan.
3.2.3 Henkilötietojen säännönmukaiset lähteet
Rekisterinpitäjän aktiivisten asiakkaiden ja heidän yhteyshenkilöidensä henkilötietoja käsitellään myös markkinointirekisterissä, jos tämä on rekisteröidyn suostumusten ja/tai kieltojen puitteissa mahdollista. Muiden rekisteröityjen osalta rekisterin ensisijainen tietolähde on rekisteröity itse tai hänen edustajansa sekä rekisteröidyn oma toiminta Rekisterinpitäjän verkkopalveluissa.
Rekisteriin voidaan kerätä tietoa myös julkisista tietolähteistä ja Rekisterinpitäjä voi täydentää rekisteröidyn tietoja oman toimintansa perusteella tai tiedot voivat täydentyä automaattisesti Rekisterinpitäjän ja asiakkaan toiminnan perusteella.
3.2.4 Henkilötietojen vastaanottajat ja luovutuskäytännöt
Rekisterinpitäjän markkinointirekisterin sisältämiä henkilötietoja käsitellään lähtökohtaisesti ainoastaan Rekisterinpitäjän toiminnassa. Henkilötietoja ei myydä, vuokrata tai luovuteta kolmannelle osapuolelle. Edellä mainitun estämättä henkilötietoja voidaan kuitenkin luovuttaa kolmansille osapuolille seuraavissa tilanteissa:
- Lain sallimissa tai sen edellyttämässä laajuudessa;
- Luovutettaessa tietoja henkilötietojen käsittelijöille, jotka käsittelevät henkilötietoja Rekisterinpitäjän lukuun;
- Rekisterinpitäjän ollessa mukana sulautumisessa, jakautumisessa, yritysjärjestelyssä tai muussa vastaavassa järjestelyssä taikka liiketoiminnan tai sen osan myynnissä;
- Mikäli uskomme henkilötietojen luovuttamisen olevan välttämätöntä oikeuksiemme toteuttamiseksi, rekisteröidyn tai muiden turvallisuuden takaamiseksi, väärinkäytösten tai niiden epäilyjen tutkimiseksi tai viranomaisen pyyntöön vastaamiseksi;
- Siinä laajuudessa kuin henkilötietosi on liitetty muihin henkilöihin tai organisaatioihin (esimerkiksi palveluiden yhteyshenkilöt).
Rekisterinpitäjä voi käyttää omassa asiakastiedottamisessaan ja markkinointiviestinnässään tietojärjestelmiä ja työkaluja, joiden sisältämät tiedot tallennetaan EU:n tai ETA-alueen ulkopuolella sijaitseville palvelimille. Samoja tietojärjestelmiä voidaan käyttää myös markkinointiviestinnän kohdentamiseen potentiaalisille asiakkaille. Tällaisissa tietojärjestelmissä ja työkaluissa ei lähtökohtaisesti käsitellä tietosuoja-asetuksen tarkoittamia erityisiä henkilötietoryhmiä. Turvaamme henkilötietoja tässä kappaleessa kuvatuissa tilanteissa sopimusjärjestelyin, jotka noudattavat Euroopan komission mallisopimuslausekkeita.
3.2.5 Henkilötietojen säilytysaika ja poistaminen
Rekisterinpitäjän markkinointirekisterin henkilötietoja säilytetään vähintään niin kauan, kuin henkilötietojen käsittely on tarpeen Rekisterinpitäjän ja asiakkaan välisen asiakkuuden tai muun oikeutetun edun toteuttamiseksi. Asiakkuuden päättymisestä huolimatta tietoja säilytetään viisi (5) vuotta viimeisimmästä tapahtumasta tai tietojen muokkauksesta, jonka jälkeen tiedot poistetaan. Edellä mainitun estämättä Rekisterinpitäjällä on oikeus säilyttää henkilötietoja tarvittavilta osin omien oikeutettujen etujensa toteuttamiseksi ja velvoitteidensa täyttämiseksi (esimerkiksi kirjanpidon vaatimukset) erikseen määrittelemättömän ajan.
3.3 Toiminnanohjausjärjestelmä
3.3.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste
Hausvise on Rekisterinpitäjän ensisijainen toiminnanohjausjärjestelmä, johon kirjaudutaan käyttäjätunnuksilla. Järjestelmää käytetään ensisijaisesti palvelutuotannon suunnitteluun ja toteuttamiseen. Rekisteröityjen henkilötietoja käytetään palveluiden ohjaukseen, kehittämiseen sekä näihin liittyviin palvelutilanteisiin osallistuvien yksilöimiseen ja yhteydenpitoon asiakkaiden kanssa. Tietoja voidaan käyttää myös tilastointiin.
3.3.2 Rekisteröityjen ryhmät
Rekisterinpitäjän ja asiakkaan välisestä asiakassuhteesta riippuen rekisterinpitäjä saattaa käsitellä seuraavien keskeisten rekisteröityjen ryhmien henkilötietoja:
- Asiakkaat
- Palvelun tuottamiseen osallistuvat henkilöt
- Viranomaistahot, joita palveluiden toteuttamiseen tarvitaan
3.3.3 Rekisterin tietosisältö
Rekisterinpitäjä saattaa käsitellä seuraavia rekisteröityjen ryhmien henkilötietoja:
- Etunimi ja sukunimi
- Sähköpostiosoite
- Käyttäjätunnus ja käyttöoikeudet
- Rekisteröiden tuottama materiaali kuten palvelupyynnöt, lisätiedot, asumiseen liittyvät ilmoitukset, kuten muutto- ja vikailmoitukset, ja muut näihin rinnastettavat tiedot
- Lokitiedot teknisen ylläpidon mahdollistamiseksi, väärinkäytösten estämiseksi ja selvittämiseksi sekä asiakkaiden aktiivisuuden seurantaan.
3.3.4 Henkilötietojen säännönmukaiset lähteet
Henkilötietojen ensisijainen tietolähde on rekisteröity itse. Tietoja voidaan siirtää myös Rekisterinpitäjän asiakasrekisteristä rekisteröityihin palvelutietoihin liittyen. Lisäksi Rekisterinpitäjä voi täydentää rekisteröidyn tietoja oman toimintansa perusteella, ja tiedot voivat täydentyä automaattisesti Rekisterinpitäjän ja rekisteröidyn toiminnan perusteella.
3.3.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt
Rekisterinpitäjän asiakasrekisterin sisältämiä henkilötietoja käsitellään lähtökohtaisesti ainoastaan Rekisterinpitäjän toiminnassa. Henkilötietoja ei myydä, vuokrata tai luovuteta kolmannelle osapuolelle.
Lähtökohtaisesti palveluita toteuttavalla henkilöstöllä on palveluun liittyviin tietoihin. Järjestelmän ylläpidolla on pääsy kaikkiin tietoihin.
Henkilötietoja voidaan kuitenkin luovuttaa kolmansille osapuolille seuraavissa tilanteissa:
- Lain sallimissa tai sen edellyttämässä laajuudessa;
- Luovutettaessa tietoja henkilötietojen käsittelijöille, jotka käsittelevät henkilötietoja Rekisterinpitäjän lukuun;
- Rekisterinpitäjän ollessa mukana sulautumisessa, jakautumisessa, yritysjärjestelyssä tai muussa vastaavassa järjestelyssä taikka liiketoiminnan tai sen osan myynnissä;
- Mikäli uskomme henkilötietojen luovuttamisen olevan välttämätöntä oikeuksiemme toteuttamiseksi, rekisteröidyn tai muiden turvallisuuden takaamiseksi, väärinkäytösten tai niiden epäilyjen tutkimiseksi tai viranomaisen pyyntöön vastaamiseksi;
- Siinä laajuudessa kuin henkilötietosi on liitetty muihin henkilöihin tai organisaatioihin (esimerkiksi palveluiden yhteyshenkilöt).
3.3.6 Henkilötietojen säilytysaika ja poistaminen
Rekisteröidyn tietoja säilytetään järjestelmässä koko palvelusopimuksen ajan, jonka jälkeen tunnukset suljetaan ja poistetaan kohtuullisen ajan kuluessa.
4 Henkilötietojen käsittelijät
Tietosuojan näkökulmasta erotellaan toisistaan rekisterinpitäjä ja henkilötietojen käsittelijä. Tässä luvussa käsitellään tilannetta, jossa Juura rekisterinpitäjänä käyttää toiminnassaan alihankkijoita ja yhteistyökumppaneita henkilötietojen käsittelijöinä. Tässä yhteydessä ”Alihankkijalla” tarkoitetaan käsittelijää, joka käsittelee henkilötietoja tämän sopimuksen mukaisesti, kokonaan tai osittain, rekisterinpitäjän lukuun ja tämän toimeksiannosta.
Pääosin Alihankkijat ovat ICT-yhteistyökumppaneita ja muita kumppaneita, joilla on tekninen pääsy Rekisterinpitäjän hallitsemiin tietojärjestelmiin tai toimitiloihin niiden ylläpitämiseksi. Tyypillisiä henkilötietojen käsittelijöitä voivat olla myös esimerkiksi palvelutuotantoon osallistuva muu kuin Rekisterinpitäjän henkilökunta, markkinointitoimisto ja taloushallinnon palveluiden tuottaja.
Rekisterinpitäjä voi perustellusta pyynnöstä yksilöidä käyttämänsä Alihankkijat. Kaikkien Alihankkijoiden kanssa on laadittu asianmukainen salassapitosopimus.
Henkilötietojen käsittelijöillä tai kenelläkään Rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimivista henkilöistä, joilla on pääsy henkilötietoihin, ei ole oikeutta käsitellä niitä muuten kuin Rekisterinpitäjän ohjeiden mukaisesti ja vain tehtäviensä kannalta välttämättömässä laajuudessa, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.
Rekisterinpitäjän ja Alihankkijan välisen henkilötietojen käsittelysopimuksen puitteissa Rekisterinpitäjä on antanut Alihankkijalle erilliset kirjalliset ohjeet henkilötietojen asianmukaisesta käsittelystä. Ohjeistuksella varmistetaan, että velvoite henkilötietojen käsittelyn suojaustoimista toteutetaan huomioiden tietojen riskiperusteisuus.
Henkilötietojen käsittely voi tulla kyseeseen myös erilaisten järjestelmien, toimisto-ohjelmistojen ja pilvitallennustilojen osalta. Tällöin järjestelmien, ohjelmistojen ja muiden vastaavien tuottajilla on pääsy tietoihin omien palveluidensa tuottamisen ja ylläpidon edellyttämässä laajuudessa. Kyseessä on usein myös tilanteesta, jossa tiedot tallennetaan EU:n tai ETA-alueen ulkopuolella sijaitseville palvelimille. Turvaamme henkilötietoja tällaisissa tilanteissa sopimusjärjestelyin, jotka noudattavat Euroopan komission mallisopimuslausekkeita.
Rekisterinpitäjä tarkastelee henkilötietojen käsittelijälle antamansa ohjeen ja muiden dokumenttien ajantasaisuutta säännöllisesti. Mikäli alihankkijan tai Rekisterinpitäjän käytäntöihin tai tietojärjestelmiin tulee olennaisia muutoksia, niiden vaikutus tietosuojan toteutumiseen arvioidaan erikseen.
5 Henkilötietojen tekniset ja organisatoriset suojatoimet
Manuaalisessa muodossa olevat henkilötietoja sisältävät aineistot sijaitsevat lukituissa tiloissa, joihin asiattomilta on pääsy estetty. Ainoastaan yksilöidyllä Rekisterinpitäjän vastuuhenkilöllä tai hänen toimeksiannostaan yrityksen työntekijöillä on pääsy asiakasrekisterissä käsiteltäviin, manuaalisessa muodossa säilytettäviin henkilötietoihin. Rekisterinpitäjän toimitiloissa on asianmukaiset lukitusjärjestelyt ja muita toimitilaturvallisuuteen liittyviä ratkaisuja.
Sähköisessä muodossa olevia henkilötietoja suojataan asianmukaisten tietoturvateknologioiden avulla. Tietojärjestelmiä ja niiden sisältämää tietoa suojataan esimerkiksi palomuurein, käyttäjätunnuksin ja salasanoin. Rekisteröityjen tiedot sijaitsevat rekisteristä riippuen henkilötietojen käsittelijöiden (järjestelmätoimittajat) käyttämillä palvelimilla. Ainoastaan Rekisterinpitäjän työntekijöillä ja Rekisterinpitäjän lukuun toimivilla henkilötietojen käsittelijöillä on pääsy henkilötietoihin.
Rekisterinpitäjän käyttövaltuushallinta on keskitetty. Pääsyä tietojärjestelmiin ja asiakastietoihin rajoitetaan käyttäjätunnuksin ja käyttöoikeuksin. Käyttöoikeudet myönnetään tosiasiallisen tarpeen mukaan. Työtehtävien muuttuessa tai työsuhteen päättyessä tarpeettomat käyttöoikeudet poistetaan.
Rekisterinpitäjän henkilöstöturvallisuuden lähtökohtana on hyvinvoiva, osaava ja motivoitunut henkilöstö. Rekrytointiin, perehdytykseen, toimenkuvien muutoksiin ja työsuhteen päättymiseen liittyvät prosessit ovat suunnitelmallisia. Jokaiselta Rekisterinpitäjän henkilötietojen käsittelyyn osallistuvalta työntekijältä edellytetään salassapitosopimuksen allekirjoittamista. Tietosuojaan liittyvät asiat huomioidaan tarvittavassa laajuudessa osana uuden työntekijän perehdyttämistä.
Rekisterinpitäjän henkilötietoja saavat käsitellä vain ne työntekijät ja henkilötietojen käsittelijät, joiden työtehtäviin kyseisten tietojen käsittely kuuluu. Henkilötietojen käsittely muihin tarkoituksiin tai muussa kuin työtehtävien edellyttämässä laajuudessa on kiellettyä.
Kaikilta Rekisterinpitäjä lukuun henkilötietojen käsittelijöinä toimivilta tahoilta edellytetään riittävää tietosuojaa salassapitosopimuksin tai muilla sopimusjärjestelyillä.
6 Henkilötietojen sijainti ja siirtäminen
Ensisijaisesti Rekisterinpitäjän tietojärjestelmien ja henkilörekistereiden sisältämät henkilötiedot pyritään säiyttämään Suomessa tai EU:n ja ETA-alueen sisällä. On kuitenkin mahdollista, että useiden toimistosovellusten, viestintäratkaisujen, pilvitallenustilojen ja erilaisten järjestelmien data voidaan säilyttää EU:n ja ETA-alueen ulkopuolella. Turvaamme henkilötietoja tällaisissa tilanteissa sopimusjärjestelyin, jotka noudattavat Euroopan komission mallisopimuslausekkeita.
7 Rekisteröityjen oikeuksien toteuttaminen
Rekisteröidylle on määritelty esimerkiksi seuraavat oikeudet:
- Oikeus peruuttaa suostumuksensa henkilötietojen käsittelyyn;
- Oikeus saada vahvistus siitä, käsitelläänkö hänen henkilötietojaan;
- Oikeus saada kopio omista henkilötiedoistaan;
- Oikeus epätarkkojen ja virheellisten tietojen oikaisemiseen;
- Oikeus tietojen poistamiseen eli ”oikeus tulla unohdetuksi”;
- Oikeus käsittelyn rajoittamiseen;
- Oikeus siirtää tiedot järjestelmästä toiseen;
- Oikeus vastustaa henkilötietojen käsittelyä ja automaattisesti tehtäviä yksittäispäätöksiä.
Rekisterinpitäjälle saattaa muodostua oikeus ja velvollisuus kieltäytyä rekisteröityjen oikeuksien toteuttamisesta sellaisenaan, jos muu lainsäädäntö asettaa tälle rajoitteita. Näin ollen muu lainsäädäntö saattaa tapauskohtaisesti estää rekisteröityjen oikeuksien täysimääräisen toteuttamisen. Tällainen tilanne saattaa syntyä esimerkiksi kirjanpitoa koskevan lainsäädännön rajoittaessa rekisteröityjen oikeutta panna täysimääräisenä toimeen oikeuden tulla unohdetuksi. Tällaisissa tilanteissa Rekisterinpitäjä informoi rekisteröityä selkeästi kieltäytymisen perusteista ja opastaa rekisteröityä hänen oikeuksiensa kattavaksi toimeenpanemiseksi.
Rekisteröityjen mahdolliset tieto- ja toimenpidepyynnöt tulee osoittaa Rekisterinpitäjän kohdassa 1 osoittamaan yhteyspisteeseen. Tieto- ja toimenpidepyynnöstä täytyy ilmetä riittävän tarkat ja yksilöidyt tiedot pyynnön toteuttamiseksi. Tieto- ja toimenpidepyyntöjen toteuttamisen edellytyksenä on, että rekisteröidyn henkilöllisyys pystytään todentamaan kuvallisella henkilöllisyystodistuksella tai muulla Rekisterinpitäjän riittäväksi toteamalla tavalla.
Lähtökohtaisesti edellä kuvatut, rekisteröidyn oikeuksiin perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, Rekisterinpitäjä voi joko
1. Periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai
2. Kieltäytyä suorittamasta pyydettyä toimea.
Näissä tapauksissa Rekisterinpitäjä osoittaa rekisteröidylle pyynnön ilmeisen perusteettomuuden tai kohtuuttomuuden.
Mahdollisissa tilanteissa, joissa Juura toimii rekisterinpitäjän sijasta henkilötietojen käsittelijänä, rekisteröidyn oikeuksien toteuttamisesta vastaa aina rekisterinpitäjä. Tällöin Juura ei ole oikeutta luovuttaa rekisterinpitäjän henkilörekisteristä tietoja rekisteröidylle ilman rekisterinpitäjän suostumusta pois lukien viranomaisten osoittamien lakisääteisten tietopyyntöjen perusteella. Näissä tilanteissa rekisteröityjen tulee osoittaa tietopyynnöt ja muut toimenpidepyynnöt varsinaiselle rekisterinpitäjälle.
8 Tietoturvaloukkauksista ilmoittaminen
”Henkilötietojen tietoturvaloukkauksella” tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
Jos tapahtuu henkilötietojen tietoturvaloukkaus ja se aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, tällöin:
- Rekisterinpitäjä ilmoittaa siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle valvontaviranomaiselle;
- Rekisterinpitäjä ilmoittaa tietoturvaloukkauksesta myös rekisteröidylle ilman aiheetonta viivytystä;
- Rekisterinpitäjä ryhtyy tarvittaviin toimiin tietoturvaloukkauksen aiheuttamien riskien ehkäisemiseksi ja mahdollisten haittavaikutusten lieventämiseksi.
9 Tietosuojakäytäntöjen muuttaminen
Juura seuraa ja kehittää tietosuoja- ja tietoturvakäytäntöjään jatkuvasti. Tästä syystä myös tietosuojaa ja -turvaa koskevaan dokumentaatioomme saattaa tulla päivityksiä. Juura pidättää itsellään täydet oikeudet edellä mainitun dokumentaation, mukaan lukien tämän tietosuojaselosteen, muuttamiseen. Tämän tietosuojaselosteen ajantasainen versio on aina saatavilla Juuran verkkosivuilla.
10 Vastuunrajoitukset
Juura vastaa vain tietosuojalakiin ja Euroopan Unionin yleisen tietosuoja-asetukseen sekä näitä suoranaisesti täydentävään lainsäädäntöön liittyvistä tahallisista taikka huolimattomuudestaan johtuvista välittömistä vahingoista. Juura ei vastaa välillisistä vahingoista, kuten tulon vähenemisestä tai rekisteröidylle aiheutuneesta muusta haitasta. Juuran vastuu rajoittuu rekisteröidyn, ja tietoturvaloukkausten yhteydessä myös toimivaltaisen valvontaviranomaisen, informoimiseen sekä Juuran mahdollisuuksiensa mukaan käynnistämiin toimenpiteisiin aiheutuneiden riskien ehkäisemiseksi ja mahdollisten haittavaikutusten lieventämiseksi. Juurallä ei ole velvoitetta vahingonkorvauksiin. Sopimusrikkomus, virhe tai laiminlyönti eivät aiheuta Juuralle muuta seuraamusta kuin mitä edellä on todettu.