Tietosuoja – GDPR

1. Valuecoden EU:n tietosuoja-asetuksen (GDPR) mukainen toimintamalli

EU:n tietosuoja-asetusta (General Data Protection Regulation, GDPR) ryhdytään soveltamaan 25. toukokuuta. Tässä kerromme miten GDPR vaikuttaa Valuecode Oy:n toimintaan.

Pyydämme asiakkaitamme tutustumaan tähän dokumenttiin. Tarvittaessa kerromme tarkemmin tietoturvaperiaatteistamme ja tietosuojaan liittyvistä rooleistamme.

1.Organisaationi on Valuecode Oy:n asiakas. Miten sovimme jatkossa henkilötietojen käsittelystä?

Tietosuoja-asetus asettaa uusia vaatimuksia kaikille henkilötietojen käsittelyyn osallistuville. Käytännössä tietosuojavaatimukset sekä tarve sopimusten päivittämiseen riippuvat siitä, missä roolissa asiakas henkilötietoja käsittelee.

Valuecode Oy:n asiakas toimii rekisterinpitäjänä ja vastaa kaikista henkilötietoihin liittyvistä tietosuojavelvoitteista. Valuecode Oy tarjoaa sopimuksen mukaisesti teknisiä tukipalveluja ja järjestelmän kehitystä. Erillistä tietosuojaa koskevaa sopimusta tai palvelusopimusmuutoksia ei näiden palvelujen osalta tarvita.

Valuecode Oy ei toimi henkilötiedon käsittelijänä rekisterinpitäjän lukuun, ellei tästä ole erikseen kirjallisesti sovittu. Ilman erillistä sopimusta Valuecoden tehtävänä oleva normaali järjestelmäkehitys tai tekninen operointi rekisterinpitäjän lukuun (ns. Oikeutetun Edun toteuttaminen) ei muodosta henkilötietojen käsittelijän roolia.

Mikäli on sovittu, että Valuecode Oy toimii henkilötietojen käsittelijänä rekisterinpitäjän lukuun, henkilötietojen käsittely edellyttää kirjallisen henkilötietojen käsittelysopimuksen laatimista ja henkilötietojen käsittelyyn liittyvän kirjallisen ohjeistuksen antamista.

2. Mistä meidän pitää konkreettisesti sopia GDPR:n vuoksi? Millä aikataululla?

Kuten edellä todettiin, Valuecode Oy tarjoaa sopimuksen mukaisesti teknisiä tukipalveluja ja järjestelmän kehitystä, eikä erillistä tietosuojaa koskevaa sopimusta tai palvelusopimusmuutoksia näiden palvelujen osalta tarvita.

Valuecode Oy tekee tarvittaessa rekisterinpitäjän kanssa erillisen tietojenkäsittelysopimuksen. Tietojenkäsittelysopimuksessa rekisterinpitäjä sitoutuu antamaan Valuecode Oy:lle
kattavat, kirjalliset ja lainmukaiset ohjeet henkilötietojen käsittelystä niin että henkilötietojen käsittelyyn on olemassa pätevä oikeudellinen peruste yhteistyösopimuksen sekä palvelukuvausten mukaisien tehtävien mukaisesti. Valuecode Oy käsittelee tällöin henkilötietoja ainoastaan rekisterinpitäjän antamien kirjallisten ohjeiden edellyttämällä tavalla. Palvelusopimuksessa ja/tai erillisessä tietojenkäsittelysopimuksessa sovitaan muun muassa henkilötietojen käyttötarkoituksesta, tietojen salassapidosta, tietoturvasta, alihankkijoiden käytöstä, tietojen käsittelyn päättymisestä sekä oikeudesta auditoida Valuecode Oy:n toimintaa.

3. Miten Valuecode Oy:ssä yleisesti varmistetaan, että henkilötietojen käsittely on tietosuoja- asetuksen mukaista?

Vastuullisesta ja lainmukaisesta henkilötietojen käsittelystä huolehditaan Valuecode Oy:ssä osana riskienhallinta- ja laatutoimintoja. Tietoturvaa koskevat periaatteet ja pelisäännöt on kirjattu tietoturvapolitiikkaan, johon sisältyvät myös henkilöstön tietosuojaamista edistävät käytännöt.

Huolellinen toiminnan dokumentointi on keskeinen osa tietosuoja-asetuksen toteuttamista. Valuecode Oy:n omassa GDPR-prosessissa käydään läpi henkilötietojen käsittelyä, toimintatapoja ja ohjeita sekä tehdään dokumentaatioon ja ohjeisiin tarvittavia tarkennuksia.

Tietosuoja-asetuksen mukaisesta toiminnasta vastaa tietosuojavastaavaksi (Data Protection Officer) nimitetty tietoturva-asiantuntija Jouni Rosenlöf, JRComplex Oy, sekä hänen tuekseen koottu tietosuojaorganisaatio.

Henkilöstön tietosuojaosaamisesta, ohjeiden mukaisesta toiminnasta ja valmiudesta puuttua poikkeamiin huolehditaan muun muassa perehdytyksissä ja säännöllisissä tietosuojakoulutuksissa.

Tietosuojan toteutumista seurataan myös teknisellä valvonnalla.

4. Tarvitaanko järjestelmäoperointiin rekisteröidyn lupa?

Tietosuoja-asetus korostaa rekisteröidyn itsemääräämisoikeutta omien tietojensa käsittelyyn. Jos tietojen käsitellylle ei ole muuta tietosuoja-asetuksessa mainittua perustetta, henkilötietojen keräämiseen tarvitaan henkilön oma suostumus. Rekisterinpitäjän pitää kyetä osoittamaan, että suostumus on todella annettu ja se on ollut rekisteröidyn itse tekemä valinta.

Henkilön tietoihin liittyvä toiminta järjestelmäoperoinnissa ja kehityksessä perustuu tietosuoja- asetuksessa mainittuihin perusteisiin eli yleensä asiakassopimuksen tai ns. oikeutetun edun toteuttamiseen. Oikeutettu etu tarkoittaa sellaista tietojen käsittelyä mitä rekisteröity voi kohtuudella odottaa, kun rekisterinpitäjän ja rekisteröidyn välillä on jokin merkityksellinen suhde, kuten työsuhde tai asiakassuhde. Henkilötietoja voi siten kerätä ja käsitellä näissä tilanteissa ilman henkilön nimenomaista lupaa.

5. Kuka on velvollinen informoimaan henkilötietojen käsittelystä? Kuka vastaa rekisteri- ja käsittelyselosteista?

Kuten nykyisinkin, henkilöllä on oikeus saada tietää itseään koskevien tietojen käsittelystä. Tietosuoja-asetuksen mukaan vastuu tiedotuksesta ja informoinnista on ensisijaisesti rekisterinpitäjällä.

Valuecode Oy vastaa kaikesta omaan toimintaansa ja tietoihinsa liittyvästä informoinnista, kun Valuecode toimii rekisterinpitäjänä. Valuecode Oy:n omista rekistereistä ylläpidetään rekisteriseloste sekä tietojen käsittelyä koskeva seloste.

Forsante-palvelun kohdalla informointivelvollisuus ja rekisteriselosteen ylläpito kuuluu rekisterinpitäjälle.

6. Voiko rekisteröity pyytää Valuecode Oy:ltä omien tietojensa poistamista, silloin kun Valuecode toimii rekisterinpitäjänä?

Henkilön tietojen käsittely perustuu tietosuoja-asetuksessa mainittuihin perusteisiin eli yleensä työsuhteeseen, asiakassopimukseen tai oikeutetun edun toteuttamiseen. Näissä tilanteissa henkilöllä ei lähtökohtaisesti ole oikeutta omien tietojensa poistamiseen.

Jos käy ilmi, ettei henkilötietojen käsittelylle ole esimerkiksi virheen vuoksi perustetta, Valuecode Oy poistaa tiedot rekisteröidyn esittämän reklamaation perusteella.

7. Miten rekisteröity voi tarkistaa omat tietonsa silloin kun Valuecode toimii rekisterinpitäjänä?

Rekisteröidyllä on oikeus saada omat tietonsa rekisterinpitäjältä. Jos pyyntö koskee Valuecode Oy:ssä käsiteltyjä tietoja, omat tiedot voi pyytää oheisella tietopyyntölomakkeella. Tietosuoja- asetuksen mukaan Valuecode toimittaa tiedot rekisteröidylle kuukauden kuluessa.

Silloin kuin Valuecode toimittaa tietojärjestelmäpalveluja, ohjaamme tietopyynnöt rekisterinpitäjälle.

Tietosuoja-asetus antaa henkilölle joissakin tilanteissa myös oikeuden siirtää omat tiedot toiselle rekisterinpitäjälle. Tietojen siirto-oikeus ei koske järjestelmäoperoinnissa käsiteltyjä tietoja.

8. Miten Valuecode Oy varmistaa, että alihankkijoiden henkilötietojen käsittely on vaatimusten mukaista?

Valuecode Oy:n normaaleihin tietojenkäsittelyehtoihin sisältyy asiakkaan antama yleinen kirjallinen valtuutus, jonka nojalla Valuecode Oy voi teettää yhteistyösopimukseen kuuluvan palvelun tai palvelut kokonaan tai osittain ulkopuolisella alihankkijalla.

Valuecode Oy vastaa käyttämiensä alihankkijoiden toiminnasta kuin omastaan. Valuecode Oy sopii henkilötietojen käsittelystä tietosuoja-asetuksen mukaisesti ja velvoittaa sopimuksin kumppaninsa noudattamaan tietosuoja-asetusta. Valuecode Oy edellyttää alihankkijoiltaan salassapitosopimusta, ellei alihankkijaa sido muu sitova salassapitovelvoite. Valuecode Oy valvoo alihankkijoiden toimintaa auditoinneilla.

9. Voimmeko auditoida Valuecode Oy:tä tietosuojaan liittyen?

Asiakkaalla ja yhteistyökumppanilla on oikeus kerran kalenterivuodessa asiakkaan tai yhteistyökumppanin kustannuksella ja yhteisen sopimuksen mukaisesti auditoida Valuecode Oy:n toimintaa ja palveluprosesseja.

Auditoinnin kohteena voivat olla henkilötietojen käsittelyn ja tietosuojan osalta kaikki ne tiedot, jotka ovat tarpeen osoittamaan tietosuojaan kuuluvien velvollisuuksien noudattamista.

Asiakkaan tai yhteistyökumppanin on ilmoitettava aikomuksestaan tehdä auditointi vähintään neljä (4) viikkoa etukäteen. Auditointi tehdään tavanomaisen työajan kuluessa siten, että se ei haittaa Valuecode Oy:n liiketoimintaa.

Ellei toisin ole sovittu, Valuecode Oy:llä on oikeus laskuttaa ylläkuvatun auditoinnin avustamisesta ja tietojen antamisesta aiheutuvat kohtuulliset kustannukset voimassa olevan hinnaston mukaisesti.

Auditointien yksityiskohdista sovitaan palvelusopimuksen sopimusehdoissa tai erillisessä tietojenkäsittelysopimuksessa.

10. Miten Valuecode Oy:ssä on varauduttu tietoturvaloukkauksiin ja niistä raportointiin?

Uuden asetuksen myötä rekisteröidyllä on oikeus ilman aiheetonta viivästystä saada tieto, jos hän joutuu tietoturvaloukkauksen kohteeksi: hänen henkilötietojaan tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.

Rekisterinpitäjänä toimivan organisaation täytyy lisäksi ilmoittaa tietosuojaloukkauksesta viranomaisille 72 tunnin kuluessa sen havaitsemisesta.

Valuecode Oy:ssä mahdolliset tietoturvaloukkaukset käsitellään tietosuoja-asetuksen vaatimuksia vastaavan toimintamallin mukaisesti. Tietojen käsittelijän roolissa, järjestelmäkehittäjänä tai teknisenä operoijana toimiessaan Valuecode Oy vastaa myös siitä, että rekisterinpitäjä saa viipymättä tiedon mahdollisesta henkilötietojen suojan vaarantumisesta, jotta rekisterinpitäjä kykenee täyttämään omat velvoitteensa rekisterinpitäjänä.

11. Mitä oikeuksia rekisteröidyllä on automaattiseen tietojen käsittelyyn liittyen?

Järjestelmien automaattisessa analytiikassa turvaudutaan usein profilointiin, jolla tarkoitetaan henkilön ominaisuuksien arviointia tai ennustamista automaattisella henkilötietojen käsittelyllä.

Tietosuoja-asetuksen mukaan henkilöllä on lähtökohtaisesti oikeus olla joutumatta automaattisen päätöksenteon kohteeksi. Asetus kuitenkin sallii automaattisen päätöksenteon, jos se on tarpeen sopimuksen mukaisen palvelun tuottamista varten. Käytännössä profilointiin perustuvia, automaattisia päätöksiä tekevän rekisterinpitäjän pitää pysyä osoittamaan, että automatisoitu päätöksenteko on tarpeen esimerkiksi yhdenmukaisen kohtelun tai prosessin nopean sujuvuuden vuoksi. Automaattisen päätöksenteon yhteydessä on lisäksi huolehdittava siitä, että rekisteröidyllä on mahdollisuus riitauttaa päätös ja saada asiansa uudelleen manuaalisesti tehtävään käsittelyyn. Jos järjestelmän päätöksenteko perustuu profilointiin, rekisterinpitäjä on velvollinen kertomaan rekisteröidylle profiloinnista, sen logiikasta ja merkityksestä rekisteröityä koskevassa päätöksenteossa. Tästä tiedottamisesta vastaa rekisterinpitäjä.

12. Miten GDPR vaikuttaa alaikäisten tietojen käsittelyyn?

Tietosuoja-asetus vaatii jatkossa huomioimaan lapset ennen kaikkea tietoyhteiskunnan palveluiden käyttäjinä (esimerkiksi Facebook, Whatsapp, Snapchat). Tällaisia palveluja tarjoavan rekisterinpitäjän on saatava alaikäisen tietojen käsittelyyn huoltajan lupa silloin, kun tietojen käsittelyn perusteena on rekisterinpitäjän hankkima suostumus.

13. Mitä on henkilötieto?

Kaikki tiettyyn henkilöön yksilöitävissä oleva tieto on henkilötietoa. Se voi olla yksityistä, julkista tai ammatillista. Henkilötieto on esimerkiksi nimi, henkilötunnus, kuva, sähköposti, ip-osoite, pankkiyhteystieto tai äänitallenne.

14. Missä Valuecode Oy:n tallettamat henkilötiedot fyysisesti sijaitsevat?

Valuecode Oy käyttää IT-kumppanin tuottamia konesalipalveluja, jotka ovat ISO 9001 -sertifioituja ja sijaitsevat Suomessa.

15. Muut ehdot

Jos rekisterinpitäjä antaa Valuecodelle tietosuojaan liittyviä, yhteistyösopimuksen sopimusalan ylittäviä lisäohjeita, rekisterinpitäjä vastaa ohjeiden noudattamisesta aiheutuvista kustannuksista.

Osapuolet toteavat, että osapuolten vastuun, joka liittyy valvontaviranomaisten tai tuomioistuimen määräämiin hallinnollisiin sakkoihin ja/tai vahingonkorvauksiin, jakautuminen näiden tietojenkäsittelyehtojen alla perustuu kummankin osapuolen velvollisuuteen täyttää omat tietosuojalainsäädännön mukaiset velvoitteensa. Näin ollen kumpikin osapuoli on vastuussa niistä valvontaviranomaisen tai tuomioistuimen määräämistä hallinnollisista sakoista ja/tai vahingonkorvauksista, jotka sille on määrätty kyseisen osapuolen aiheuttamista tietosuojalainsäädännön rikkomuksista. Osapuolten vahingonkorvausvastuu kaikista toiselle yhteistyösopimuksen osapuolelle aiheutuvista välittömistä vahingoista, jotka johtuvat siitä, että osapuoli rikkoo näitä tietojenkäsittelyehtoja, rajoittuvat summaan, joka vastaa rekisterinpitäjän Valuecode Oy:lle tämän yhteistyösopimuksen perusteella maksamia veloituksia vastuuseen perustuvaa tapahtumaa edeltävän vuoden aikana. Osapuolilla ei ole vastuuta välillisistä tai epäsuorista vahingoista. Vastuunrajoituksia ei sovelleta vahinkoihin, jotka ovat aiheutuneet tahallisuudesta tai törkeästä huolimattomuudesta.

2. Valuecode Oy:n kumppanirekisterin tietosuojaseloste

Valuecode Oy tallentaa ja käsittelee henkilötietoja EU:n tietosuoja-asetuksen ja henkilötietolain (523/1999) 10§:n ja 24§:n mukaisesti. Päivitämme tarvittaessa tätä tietosuojaselostetta julkaisemalla siitä uuden version verkossa. Pyydämme rekisteröityjä tutustumaan tietosuojaselosteeseen säännöllisesti. Tietosuojaselostetta on päivitetty viimeksi 17.5.2018.

1. Rekisterinpitäjä

Valuecode Oy, Y-tunnus 1606216-9, Heikkiläntie 2, 00210 Helsinki, Puhelin 010 3220 0220

2. Yhteyshenkilö rekisteriä koskevissa asioissa

Toimitusjohtaja Tuula Metsälä, tuula.metsala@valuecode.com

3. Rekisterin nimi

Valuecoden kumppanirekisteri

4. Henkilötietojen käsittelyn tarkoitus

Käsittelemme henkilötietoja asiakas-, yhteistyö- tai muun kumppanuussuhteen hoitamiseksi ja kehittämiseksi. Keräämme ja tallennamme tietoa perustuen olemassa olevaan tai potentiaaliseen asiakas- tai yhteistyösuhteeseen.

5. Rekisterin tietosisältö

Rekisteröidystä tallennetaan seuraavia tietoja: etu- ja sukunimi, yhteystiedot, tehtävänimike, organisaation nimi ja kumppanuussuhteen hoitoon liittyvä vapaamuotoinen muu tieto. Tallennamme tiedot rekisteröidyn tilaamista palveluista, niiden toimittamisesta sekä rekisteröiden ja Valuecoden välisestä kommunikaatiosta esimerkiksi asiakaspalautteeseen ja sovittuihin tehtäviin liittyen. Tallennamme myös tiedon käsittelyyn ja verkkosivujen käyttöön liittyviä tietoja esimerkiksi ajankohdasta ja IP-osoitteesta.

6. Henkilötietojen säilytysaika

Rekisteröidyn tiedot poistetaan rekisteristä yhden vuoden kuluttua asiakas- tai muun yhteistyösuhteen päättymisestä.

7. Säännönmukaiset tietolähteet

Tiedot saadaan ensisijaisesti kumppaniorganisaatiolta, rekisteröidyltä itseltään tai ne ovat kertyneet Valuecoden omassa toiminnassa.

8. Tietojen säännönmukaiset luovutukset

Tietoja ei luovuteta Valuecoden tai sen lukuun palveluja kehittävien tahojen ulkopuolelle muuten kuin sopimuksen, erillisen suostumuksen ja/tai nimenomaisten säädösten mukaan, esimerkiksi lainsäädännön niin velvoittaessa tai kun rekisteröidyltä on etukäteen saatu lupa hänen henkilötietojensa antamiseksi referenssinä tietylle nimetylle organisaatiolle. Käytämme kumppanuuksien hoitamiseen ulkopuolisen toimittajan CRM-työkalua, jonne tallennamme esimerkiksi rekisteröidyn nimen, yhteystiedot sekä kumppanuussuhteen hoitoon liittyvät aktiviteetit ja tiedot.

9. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Tietoja voidaan siirtää Euroopan unionin tai Euroopan talousalueen ulkopuolelle tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa.

10. Rekisterin suojauksen periaatteet

Kumppanirekisteriin liittyviä tietoja ei ylläpidetä manuaalisesti.
Digitaalisesti ylläpidettävät tiedot sijaitsevat tarkoitusta varten hankituissa ohjelmistoissa. Tiedot on palomuurein, salasanoin ja muin yleisesti hyväksytyin teknisin keinoin suojattu Valuecoden ulkopuoliselta käytöltä. Kumppanirekisterin käyttöoikeudet on rajattu Valuecodessa työskenteleville erikseen nimetyille henkilöille.

11. Tarkastusoikeudet

Rekisteröidyllä on tietosuoja-asetuksen ja henkilötietolain mukainen oikeus tarkastaa, mitä häntä koskevia tietoja kumppanirekisteriin on talletettu. Tarkastuspyyntö tehdään oheisella lomakkeella. Se tulostetaan ja lähetetään kirjattuna kirjeenä Valuecode Oy:n postiosoitteeseen Heikkiläntie 2, 00210 Helsinki. Tarkastuspyynnön vastaanotettuaan Valuecode Oy ottaa tarkastuspyynnön lähettäjään yhteyttä tietojen noutamisajankohdasta sopimiseksi. Pyydetyt tiedot luovutetaan tarkastuspyynnön lähettäjälle henkilökohtaisesti Valuecode Oy:n toimistolla. Jotta Valuecode voi varmistua, että henkilötiedot luovutetaan niitä pyytäneelle henkilölle, tietoja ei postiteta eikä niitä lähetetä sähköpostilla. Kun tarkastuspyynnön lähettäjä noutaa tietonsa Valuecoden toimistolta, hänen tulee todistaa henkilöllisyytensä virallisella henkilöllisyystodistuksella. Tiedot luovutetaan allekirjoitettua luovutusdokumenttia vastaan.

12. Oikeus vaatia tiedon korjausta

Rekisteröidyllä on tietosuoja-asetuksen ja henkilötietolain mukainen oikeus vaatia henkilörekisterissä olevan virheellisen tiedon korjaamista. Rekisteröidyn kirjallisesta ja allekirjoitetusta, kirjattuna kirjeenä lähetetystä pyynnöstä teemme henkilötietoihin tarpeelliset oikaisut ja täydennykset tai poistamme käsittelyn tarkoituksen kannalta virheelliset, tarpeettomat, puutteelliset tai vanhentuneet tiedot.
Lisätietoja:
3. Valuecode Oy:n rekisteritietojen tarkastuspyyntö

Alla olevalla lomakkeella voit esittää EU:n tietosuoja-asetuksen mukaisen rekisteritietojesi tarkastuspyynnön Valuecodelle.

Rekisteritietojen tarkastuspyyntö