Tietosuojaseloste
Henkilötietolaki (523/1999) 10 § ja 24 §
Laatimispäivä 29.4.2018
1 YHTEENVETO
– Verstas247 kerää asiakkaiden henkilötietoja Google Forms -lomakkeen avulla ja säilyttää tietoja pilvipalvelussa Google Drivessa salasanoin ja käyttäjätunnuksin suojattuna. Google saattaa skannata tiedostot omien palvelujensa kehittämiseksi (samaan tapaan kuin esimerkiksi Gmailiin saapuvat ja sieltä lähtevät sähköpostiviestit), mutta ei luovuta tai myy tietoja kolmansille osapuolille.
– Vain asiakkuuden ylläpitoon ja palvelun järjestämiseen ja kehittämiseen välttämättömät tiedot kerätään.
– Tietoja ei luovuteta kolmansille osapuolille eikä käytetä muuhun kuin palveluiden järjestämiseen ja kehittämiseen.
– Rekisteröidyllä (asiakkaalla) on oikeus pyytää tietonsa nähtäväkseen ja pyytää niihin korjaus. Rekisteröidyllä on myös oikeus pyytää tietojensa poistoa rekisteristä, mikäli pyyntö ei ole ristiriidassa kirjanpitolain kanssa.
– Verstas247 käyttää verkkosivuillaan evästeitä, joilla kerää tietoa verkkosivujen käyttöasteesta ja verkkosivukäyttäytymisestä (esim. eri sivuilla liikkuminen). Tietoja voidaan käyttää verkkosivujen ja viestinnän kehittämiseen sekä mahdollisesti markkinoinnin kohdentamiseen.
– Mahdollisen tietomurron tapauksessa Verstas247 ilmoittaa murrosta kaikille asianomaisille ja tietovalvontaviranomaiselle, mikäli on syytä epäillä henkilötietojen vaarantuneen.
2 YHTEYSTIEDOT
2.1 Rekisterin pitäjä
Verstas247
Y-tunnus 2905126-6
Toinen Linja 23
00530 Helsinki
2.2 Yhteyshenkilö rekisteriä ja tietosuojaa koskevissa asioissa
Kati Hinkkanen
Sähköposti: info(a)verstas247.fi
3 ASIAKASREKISTERI
3.1 Rekisterin nimi
Asiakasrekisteri
3.2 Rekisterin käsittelijät
Rekisterin tietoja säilytetään Google Drivessa ja henkilötiedot kerätään Google Forms -palvelun avulla. Lue Googlen tietosuojaperiaatteista täältä. Huomionarvoista on, että Google voi skannata kaikkia tileillään säilytettyjä tietoja (samoin kuin esimerkiksi Gmailiin saapuvia ja sieltä lähteviä sähköposteja), mutta ei luovuta tai myy niitä kolmansille osapuolille.
3.3 Henkilötietojen käsittelyn tarkoitus
Asiakassuhteiden hoitoon perustuva asiakasrekisteri. Asiakkaille tiedottaminen ja laskutus. Toiminnan kehittäminen asiakastiedon perusteella paremmin asiakkaiden toiveita vastaavaksi.
Kaikkien rekisterin tietojen käsittelyperusteena on sopimus: tietoja tarvitaan asiakkuussuhteen ylläpitämiseen. Syntymäaikaa tarvitaan henkilön yksilöimiseen, tilastointiin sekä toiminnan ja markkinoinnin kehittämiseen, muut tiedot henkilön tavoittamiseen sekä asiakkaan ostamien palveluiden toimittamiseen, niiden käytön seurantaan ja palveluista tiedottamiseen.
Asiakasrekisterin tietoja käytetään myös Verstas247n palveluiden markkinointiin, jolloin tietojen käsittelyn perusteena on oikeutettu etu. Rekisteröidyllä on oikeus kieltää tietojensa käyttö markkinointiin (ks. kohta 3.14).
3.4 Rekisterin tietosisältö
Asiakkaiden tietoja tallennetaan ja käsitellään seuraavasti: palvelun tilaajan etu- ja sukunimi, puhelinnumero, sähköpostiosoite, syntymäaika, asiakkuuden alkamis- ja päättymisajankohta, asiakkaan osto- ja kulkutapahtumat kirjanpitolain mukaisesti.
3.5 Tietojen säilytysaika
Tietoja säilytetään kirjanpitolain mukaisesti ja poistetaan säilytysvelvollisuuden päätyttyä.
3.6 Säännönmukaiset tietolähteet
Tiedot kerätään asiakkaalta lomakkeella (Google Forms).
3.7 Tietojen säännönmukaiset luovutukset
Rekisteristä ei luovuteta tietoja.
3.8 Tietojen siirto EU:n tai ETA:n ulkopuolelle
Rekisterin tietoja voidaan Google Drivessa säilyttää EU:n tai ETA:n ulkopuolella, mutta Google noudattaa tietojen siirrossa ja säilyttämisessä EU:n mallilausekesopimuksia, eli huolehtii tietojen suojauksesta EU:n asetusten mukaisesti myös EU:n ulkopuolella.
3.9 Rekisterin suojauksen periaatteet
Rekisterin tiedot siirtyvät käsin tai automatiikan avulla lomakkeilta ja mainituista järjestelmistä rekisteriin. Rekisteri on suojattu käyttäjätunnuksella ja salasanalla, ja siihen on pääsy vain asiakkuuksien hallintaa tekevillä välttämättömillä henkilöillä. Lue lisää suojauksesta kohdasta 5.
3.10 Tarkastusoikeus
Jokaisella on oikeus tarkastaa asiakasrekisteriin sisältyvät itseään koskevat henkilötietonsa (henkilötietolain 26 ja 28 §). Tietoja pyydetään rekisterinpitäjän yhteyshenkilöltä henkilökohtaisesti tai omakätisesti allekirjoitetulla kirjeellä.
3.11 Oikeus tietojen siirtämiseen
Rekisteröidyllä on oikeus pyytää itseänsä koskevat tiedot rekisteristä koneellisessa muodossa siirtääkseen ne toiselle palveluntarjoajalle. Tietoja pyydetään rekisterinpitäjän yhteyshenkilöltä henkilökohtaisesti tai omakätisesti allekirjoitetulla kirjeellä.
3.12 Oikeus vaatia tiedon korjaamista
Rekisterissä oleva virheellinen tieto korjataan rekisterinpitäjälle tehdyn rekisteröidyn kirjallisen pyynnön perusteella (henkilötietolain 29 §). Lisäksi tietoja päivitetään oma-aloitteisesti ja vanhentuneet tiedot poistetaan säännöllisin väliajoin.
3.13 Oikeus tulla unohdetuksi
Rekisteröidyllä on oikeus pyytää tietojensa poistamista rekisteristä niiltä osin, kun kirjanpitolaki ei velvoita tietojen säilyttämistä. Poistamista pyydetään rekisterinpitäjän yhteyshenkilöltä henkilökohtaisesti tai omakätisesti allekirjoitetulla kirjeellä.
3.14 Muut henkilötietojen käsittelyyn liittyvät oikeudet
Henkilötietolain 30 §:n mukaan rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta samoin kuin henkilömatrikkelia ja sukututkimusta varten. Sähköistä suoramarkkinointia koskevat säännökset ovat sähköisen viestinnän tietosuojalain 26 §:ssä. Kiellot osoitetaan rekisterinpitäjälle yllä mainittuun osoitteeseen.
4 EVÄSTEET
4.1 Tietoa evästeistä
Verstas247 verkkosivustot käyttävät evästeitä. Käyttämällä tätä sivustoa ja hyväksymällä tämän käytännön annat Verstas247lle suostumuksesi evästeiden käyttöön tämän käytännön ehtojen mukaisesti. Evästeet ovat tiedostoja, joita verkkopalvelimet lähettävät verkkoselaimiin ja jotka tallentuvat verkkoselaimiin. Sen jälkeen selain lähettää tiedot takaisin palvelimeen aina pyytäessään sivua palvelimelta. Näin verkkopalvelin pystyy tunnistamaan ja seuraamaan verkkoselaimia.
Evästeitä on kahta päätyyppiä: istuntoevästeitä ja pysyviä evästeitä:
- Istuntoevästeet häviävät tietokoneesta heti, kun selain suljetaan.
- Pysyvät evästeet pysyvät tallennettuina tietokoneessa, kunnes ne erikseen poistetaan tai niiden voimassaolo päättyy.
4.2 Verstas247n evästeet
Verstas247 käyttää tässä sivustossa evästeitä seuraaviin tarkoituksiin:
- tietojen keräämiseen käyttäjästä Google Analytics -työkalujen avulla
- sisällön jakamisen mahdollistamiseen sosiaalisen median avulla
- suositusten näyttämiseen käyttäjälle, jos tämä on käynyt sivustossa aiemmin
- valitun kielen tallentamiseen evästeeseen, käyttäjä ohjautuu automaattisesti oikealle sivulle.
4.3 Googlen evästeet
Verstas247 käyttää Google Analytics -järjestelmää verkkosivuston käytön analysointiin. Google Analytics tuottaa tilastoja ja muita tietoja verkkosivuston käytöstä käyttäjien tietokoneisiin tallennettujen evästeiden avulla. Yritystulkin verkkosivustosta kerättyjä tietoja käytetään verkkosivuston käyttöä koskevien raporttien laatimiseen. Tässä ovat lyhyesti Googlen evästeiden suorittamat tehtävät:
- seurattavan verkkoalueen määrittäminen
- yksittäisten käyttäjien erottaminen
- edellisten käyntien määrän ja ajankohdan muistaminen
- liikenteen lähdetietojen muistaminen
- istunnon alun ja lopun määrittäminen
- vierailijatason mukautettujen muuttujien arvon muistaminen.
Google tallentaa ja käyttää näitä tietoja 30 minuutista kahteen vuoteen evästeen tyypin mukaan. Googlen tietosuojakäytäntö löytyy täältä.
4.4 Evästeiden estäminen
Useimmissa selaimissa evästeet voi estää.
– Internet Explorerissa kaikki evästeet voi estää napsauttamalla “Työkalut”, “Internet-asetukset”, “Tietosuoja” ja valitsemalla “Estä kaikki evästeet” liukusäätimellä.
– Firefoxissa voit säätää evästeasetuksia napsauttamalla “Työkalut”, “Asetukset” ja “Tietosuoja”.
– Safarissa voit säätää evästeasetuksia napsauttamalla “Asetukset” ja “Yksityisyys”.
– Google Chromessa voit säätää evästeasetuksia napsauttamalla “Asetukset” ja “Tietosuoja”.
Evästeiden estäminen haittaa joidenkin verkkosivustojen käytettävyyttä.
4.5 Lisätietoa
Jos haluat lisätietoa Verstas247n tietosuojakäytännöstä ja tallentamiemme tietojen tyypistä tai jos haluat meidän poistavan kaikki tiedot sinusta, ota meihin yhteyttä: info@verstas247.fi.
5 TIETOTURVA
5.1 Verstas247n asiakkaiden tietoturvasta huolehtiminen
Verstas247n verkkosivut on SSL-suojattu. Myös Google Forms ja Google Drive pakottaa tiedonsiirtoihin HTTPS-suojauksen. Lue lisää Googlen tietoturvasta täältä. Verstas247 säilyttää asiakkaiden tietoja pilvipalvelussa salasanan ja käyttäjätunnuksen takana.
Mikäli kuitenkin sattuisi tietoturvaloukkaus (kattaen kaikki tapahtumat, joiden seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin), asianomaisille rekisteröidyille ilmoitetaan 24-72 tunnin sisällä, jos tietoturvaloukkaus saattaa vaarantaa heidän henkilötietojaan ja jos on olemassa identiteettivarkauden tai petoksen riski. Tapauksesta myös ilmoitetaan Tietovalvontavirastolle 72 tunnin sisällä ja tietoturvaloukkaukseen sekä siihen reagointiin liittyvät tapahtumat dokumentoidaan.
5.2 Toimintamalli tietoturvaloukkauksen tapauksessa
Jos Verstas247 saa tietoonsa asiakasrekisteriinsä liittyvän tietoturvaloukkauksen, kuten tietomurron, toimii rekisteristä vastaava kohdassa 2.2 mainittu henkilö seuraavasti:
- 24-48 h tietoturvaloukkauksen jälkeen riski arvioituna:
- onko rekisteröidyn (ja kenen/keiden) henkilötiedot vaarassa
- onko olemassa todennäköistä ja korkeaa identiteettivarkauden tai petoksen riskiä tai muuta riskiä rekisteröidyn oikeuksille tai vapauksille (mitä tietoja vuotanut, voiko käyttää esim. henkilöllisyyden todentamiseen, maksamiseen verkossa tai tilin/käyttäjätunnuksen kaappaamiseen, kuten jos vuotanut salasana, joka monella on käytössä useissa palveluissa)
- kuka/mikä on tehnyt loukkauksen ja oliko kyseessä tahallinen teko vai vahinko (jos tiedossa)
- mitkä ovat loukkauksen todennäköiset seuraukset
- riskiarvio ja riskin arviointiprosessi on dokumentoitu (dokumentaatio säästetään aina)
- 48-72 h tietoturvaloukkauksen jälkeen rekisteröityä tiedotettu (sähköpostitse), mikäli loukkauksesta on aiheutunut edellisessä kohdassa mainittu riski.
- 72 h tietoturvaloukkauksen jälkeen ilmoitus tehtynä valvontaviranomaiselle (lomake täällä), mikäli Verstas247 ei pysty osoittamaan, että tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä. Ilmoituksessa tietoturvaloukkauksen kuvauksen lisäksi
- kuvataan tiedot loukkauksen kohteena olevista rekisteröityjen ryhmistä ja arvioidut lukumäärät mahdollisuuksien mukaan
- ilmoitetaan kohdassa 2.2 mainittu henkilö, jolta voi saada lisätietoa
- kuvataan henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
- kuvataan toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.