GDPR – EU:n tietosuojauudistus ja tietosuojakäytännöt

Mar 14, 2018

Tämän artikkelin tarkoituksena on antaa teille, asiakkaillemme mahdollisimman tarkka kuva siitä, kuinka me ILJOJA Networksillä suhtaudumme vakavasti asiakkaidemme tietoturvaan ja yksityisyyteen. Alla olevat tiedot kertovat millaisia käytäntöjä me noudatamme erityisesti koskien vuonna 2018 voimaan astuvaa Euroopan Unionin tietoturva-asetusta koskien.

Mikä on henkilötieto?

Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistaminen voi tapahtua esimerkiksi nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Henkilötietojen käsittelyn perusteet

  • Rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn
  • Käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä
  • Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
  • Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi
  • Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
  • Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi

Suoramarkkinointi

Sinulla on oikeus kieltää tietojesi käyttö suoramarkkinointiin. Lähetä pyyntö tästä asiakaspalveluumme joko sähköpostitse tai tikettijärjestelmämme avulla.

Verkkosivumme

Sivustomme kerää tietoja seuraaviin tarkoituksiin: Tilaamiesi tuotteiden ja palveluiden toimittamiseen, verkkosivujemme käytön seurantaan ja mittaamiseen, parantaaksemme sivustomme käytettävyyttä ja toiminnallisuuksia eri laitteilla ja käyttöjärjestelmillä, sisällön optimointiin, myynninedistämis- ja markkinointiaktiviteettien kohdentamiseen ja tehokkuuden seuraamiseen, lain sallimissa puitteissa palveluidemme markkinointiin, asiakasviestinnän parantamiseksi ja potentiaalisten asiakkaiden tunnistamiseksi, yhteydenottopyyntöjen käsittelyyn ja niihin vastaamiseen sekä tapahtumiin ilmoittautuessa tunnistautumiseen.

Tietojen käyttöoikeus on vain palveluksessamme olevilla henkilöillä, jotka tarvitsevat tietoja työtehtäviensä suorittamiseksi sekä markkinointi-, mainonta- tai analytiikkajärjestelmiä operoivien yhteistyökumppaneidemme hallinnassa. Näiden kolmannen osapuolen toimijoiden tietojen käsittely on sopimuksin rajattua.

Henkilötietojasi ei myydä eikä luovuteta muille ulkopuolisille yrityksille tai organisaatioille kaupallisiin tarkoituksiin. Tietoja saatetaan luovuttaa viranomaisille tilanteessa, jossa meitä on velvoitettu toimimaan niin lain, asetuksen, toimivaltaisen viranomaisen tai oikeuden päätöksen perusteella.

Mitä tietoja verkkosivumme kerää?

Jos lähetät verkkosivujemme kautta lomakkeen, rekisteröidyt johonkin palveluumme, täytät työhakemuksen, yhteydenottolomakkeen tai tilauslomakkeen, saatamme pyytää sinulta myös henkilötietojasi.

Lisäksi keräämme kävijöistä evästeiden ja palvelimen lokien avulla anonyymisti verkkosivujen käyttöön ja käyttökokemukseen liittyviä tietoja, kuten IP-osoitteesi, tietoja selaimesi ja käyttöjärjestelmäsi asetuksista ja sivujen käyttötavoista. Tietoja kerätään analysointiin, sivuston mukauttamiseksi ja kehittämiseksi, murtautumisyritysten varalta sekä verkkomarkkinoinnin kohdentamiseksi.

Käyttämällä sivustoamme hyväksyt evästeiden asettamisen. Jos halua, ettei tietokoneellesi tallennetaan evästeitä, voit estää evästeiden käytön selaimestasi ja/tai poistaa selaimesi tallentamat evästetiedot selaimen asetuksista. Tämä voi kuitenkin vaikuttaa verkkosivustomme toiminnallisuuteen ja estää joidenkin palveluiden käytön kokonaan.

Joillain osilla sivustoamme voimme myös käyttää mainonta- ja analytiikkajärjestelmiä, kuten Eloqua, Natify, Google Analytics. Näiden järjestelmien evästeiden avulla kerättyä tietoa voidaan käyttää kohdennetun mainonnan ja markkinointiviestinnän tuottamiseen, sivuston käytettävyyden parantamiseen sekä kävijätiedon analysoimiseen. Sivustomme tietojen kerääminen ja käsitteleminen näiden kolmannen osapuolen palveluntarjoajien kautta on tämän sivuston tietosuojakäytännön mukaista.

Asiakastiedot (sisältää laskutus- ja tikettijärjestelmän):

Asiakastietojen käsittelyn peruste: Asiakassuhde, tarjouspyyntö tai muu yhteydenotto

Asiakastietojen käsittelyn tavoite: Asiakkaan palveleminen, asiakassuhteiden hoito, laskutus, kirjanpito ja markkinointi

Tietojen säilytysaika: Henkilötiedot poistetaan heti kun ne katsotaan tarpeettomiksi tai viimeistään 11 vuoden kuluttua asiakkuuden päättymisestä, tarjouksen raukeamisesta tai muusta yhteydenotosta. Huomioi, että asiakastietojen säilytysvelvollisuuteen vaikuttaa kirjanpitoa säätelevä lainsäädäntö.

ILJOJA Networks palvelee pääasiassa yritysasiakkaita ja siksi sen asiakastiedot eivät pääasiassa sisällä yksityishenkilöiden henkilötietoja. Tällaista tietoa, kuten asiakkaan yhteyshenkilön nimi, sähköpostiosoite, puhelinnumero tai IP-osoite, voi kuitenkin tallentua järjestelmiimme yhteydenottojen yhteydessä. Katso tarkemmat tallennettavat tiedot Asiakas- ja yhteistyökumppanirekisterin rekisteriselosteesta.

Mitä dataa minusta on tallennettu? Entä korjaukset/muutokset? Tietojen poisto?

Ota yhteyttä asiakaspalveluumme eli tukeen. Yhteystietomme löytyvät mm. Asiakas- ja yhteistyökumppanirekisterin rekisteriselosteesta ja näiltä verkkosivuilta. Asiakaspalvelumme hoitaa puolestasi tietojesi korjaukseen, muutokseen ja poistoon tai siirtoon liittyvät kyselyt. Huomaathan, että asiakastietojen poistamista koskevia pyyntöjä rajoittaa mm. kirjanpitoa koskeva lainsäädäntö.

Miten tiedot on suojattu?

Yhteys laskutus- ja tikettijärjestelmiin Internetin välityksellä on suojattu käyttämällä palvelinsertifikaattiin perustuvaa salattua yhteyttä (HTTPS SSL/TLS). Pääsy järjestelmiin on suojattu käyttäjäkohtaisella käyttäjätunnuksella ja salasanalla. Pääsy on rajattu siten, että vain ne käyttäjät, joilla on työtehtävien takia tarve käsitellä henkilötietoja, pääsevät käsittelemään niitä. Asiakastietomme sijaitsevat omassa konesalissamme. Katso osiosta “Konesali- ja virtuaalikonepalvelut” lisätietoja tietojen fyysisestä tietoturvasta.

Konesali- ja virtuaalikonepalvelut:

Huomaa, että asiakkaanamme teitä sitovat ILJOJA Networksin yleiset sopimusehdot, jollei kirjallisesti ole muuta sovittu. Tämä tarkoittaa muun muassa sitä, että luonnollisten henkilöiden henkilötietojen tallentaminen vaatii ilmoituksen, jos sen seurauksena ILJOJA Networksin voitaisiin katsoa olevan Euroopan Unionin tietosuoja-asetuksen mukainen henkilötietojen käsittelijä. Asiakkaan ei missään tapauksessa saa tallentaa järjestelmiimme mitään Euroopan Unionin tietosuoja-asetuksen 9. artiklan tarkoittamia erityisiä henkilötietoryhmiä tai henkilötietoja ilman asianmukaista laillista syytä ja kirjallista allekirjoitettu lupaa ILJOJA Networksiltä.

Kenellä on mahdollisuus päästä käsiksi järjestelmiin tallennettuun dataan?

Vain nimetyillä järjestelmänvalvojilla on pääsy asiakaan järjestelmään tallentamaan dataan (“asiakasdata”). Kaikkia asiakasdataan pääsyn omaavia henkilöitä sitoo salassapitovelvollisuus. Saadaksesi tarkemmat tiedot siitä, kuka voi nähdä asiakasdatasi, ota yhteyttä tukeen.

Miten olette huolehtineet niiden kouluttamisesta jotka käsittelevät henkilötietoja?

Kaikki henkilötietoja käsittelevät ovat perehtyneet syvällisesti Euroopan Unionin tietosuoja-asetukseen sisäisen koulutusjärjestelymme kautta. Kaikki järjestelmänvalvojamme ovat käyneet läpi tietosuoja-asetusta koskevan koulutuksen.

Käytättekö alihankkijoita, joilla olisi pääsy asiakasdataan?

Emme käytä. Tämä ei kuitenkaan rajoita asiakkaitamme käyttämästä alihankkijoita ja antamasta heille pääsyn omistamaansa asiakasdataan toimittamassamme palvelussa.

Miten on varmistettu, että ulkopuolinen taho ei pääse käsiksi tietoihin Internetin kautta?

Konesalimme hallintayhteydet ovat SSH2, SSL/TLS tai IPSec suojattuja ja vaativat henkilökohtaisen käyttäjätunnuksen ja salasanan. Hallintajärjestelmien käyttöliittymät on sen lisäksi suojattu henkilökohtaisella käyttäjätunnuksella ja salasanalla. Pääsy hallintayhteyksiin ja hallintajärjestelmiin on annettu vain nimetyille järjestelmänvalvojille. Laitteiden välinen sisäinen liikenne, kuten hallintaverkko ja tallennusverkko, on erotettu palomuurijärjestelyillä ja erillisellä loogisella verkkosegmentillä ulkoisista verkoista (kuten Internet).

Asiakkaidemme virtuaalikoneet on eristetty omiin asiakaskohtaisiin segmentteihinsä. Lisäksi ne on tarvittaessa suojattu palomuurilla, joka päästää liikennettä läpi vain tarkoituksenmukaisista verkkoprotokollan porteista.

Miten asiakasdatan siirrosta Internetin välityksellä on huolehdittu?

Pääasiassa emme siirrä asiakasdataa Internetin välityksellä. Kaikki asiakasdata, jota on tarpeen siirtää Internetin välityksellä, on salattu käyttäen joko SSH, SSL/TLS (HTTPS) tai IPSec -teknologiaa. Käytämme vahvoina pidettyjä salausmenetelmiä.

Entä fyysinen turvallisuus?

Fyysiset laitteet sijaitsevat lukituissa ja kulunvalvonnalla varustetuissa tiloissa, joihin pääsy on rajattu vain välttämättömälle henkilökunnalle. Asiakkaamme ja yhteistyökumppanimme pääsevät tiloihin vain valvotusti. Laitetilojamme valvoo Etelävartiointi ja/tai Verisure, joilla on pääsy tiloihin. Käynnit tiloissa aiheuttavat hälytyksen. Tiloissa on kameravalvonta.

Mitä henkilötietoihin liittyviä tietoa kerätään verkkolaitteiden ja palvelinten lokeihin?

Lokeihin tallennetaan pääasiallisesti kirjautumiset ja kirjautumisyritykset, verkkosivuilla käynnit, päiväys, aika, mahdollinen käyttäjätunnus, IP-osoite, yhteyden parametrit (protokolla, osoitepolku), selaimen ja käyttöjärjestelmän tiedot. Lokeja kerätään ja säilytetään tietomurtojen tunnistamistarkoituksessa enintään puolentoista vuoden ajan. Pääsy lokeihin on rajattu nimetyille järjestelmänvalvojille.