GDPR-vaatimusten mukainen toiminta
Tietosuojaseloste I Tietoturvan ja henkilötietojen käsittelyn toteutus
GDPR-Tietosuojaseloste
Päivitetty 21.11.2023
1. REKISTERINPITÄJÄ
SprintIT Finland Oy (y-tunnus 3001049-6)
https://www.sprintit.fi
https://www.people.sprintit.fi
Atomitie 5, 00370 Helsinki
2. YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA
Petri Heino, [email protected], puh. 050 537 8602
3. REKISTERIT
SprintIT Finland Oy:n Asiakas- ja toimittajarekisteri
SprintIT Finland Oy:n Rekrytointijärjestelmä
SprintIT Finland Oy:n Työntekijärekisteri
4. REKISTERIN SUOJAUKSEN PERIAATTEET
SprintIT Finland Oy suojaa rekisterin tietoja parhaansa mukaan.
Mikäli SprintIT Finland Oy epäilee tietomurtoa, niin SprintIT Finland Oy ilmoittaa siitä viipymättä niille asiakkaille, joihin se on kohdistunut ja kertoo myöhemmin mihin toimenpiteisiin asian johdosta on ryhdytty. SprintIT Finland Oy on tuottanut ohjeiston tietomurtojen varalta: ”Yrityksen_toimintasuunnitelma_tietoturvaloukkauksen_varalta.docx”
SprintIT Finland Oy pyrkii pitämään tätä tietosuojaselostetta ajan tasalla.
5. TIETOJEN SÄILYTYS
Asiakasrekisterin tietoja säilytetään vähintään kuusi vuotta asiakkuuden päättymisen jälkeen kirjanpitolain mukaisesti.
Rekrytointijärjestelmän tietoja säilytetään rekrytoinnin ajan.
Työntekijärekisteri säilytetään työsuhteen voimassaolon ajan ja sen jälkeen Suomen lain vaatimalla tavalla.
6. REKISTERIEN KÄYTTÖTARKOITUS
Asiakasrekisterin tarkoituksena on kerätä ja säilyttää SprintIT Finland Oy:n asiakkaiden tietoja ainoastaan asiakkuuden hoitamista, palvelujen tilaamista ja tuottamista, tiedotusta sekä laskutusta ja kirjanpitoa varten. SprintIT Finland Oy voi käyttää asiakasrekisterin tietoja markkinointiviestinnässä. Asiakas voi kieltäytyä viestien vastaanottamisesta.
Rekrytointijärjestelmän tarkoituksena on kerätä rekrytoinnissa oleellisesti tarvittavia tietoja työnhakijalta. Työnhakija voi kieltää tietojensa säilyttämisen rekrytointiprosessin päätyttyä.
Työntekijärekisterin tarkoituksena on ylläpitää työntekijän yhteys- ja palkkatietoja. Palkanlaskenta on ulkoistettu jossa yhteydessä on palkanlaskentaa varten tarvittavat Työntekijätiedot siirretty palkanlaskentaa toteuttavalle kotimaiselle yhtiölle.
Rekisterien tietoja ei luovuteta ulkopuolisille tahoille.
7. REKISTERIN TIETOLÄHTEET
Tiedot kertyvät SprintIT Finland Oy:n omassa toiminnassa sekä asiakkaiden että työnhakijoiden ja työntekijöiden antamalla omalla ilmoituksella heidän rekisteröityessään palveluiden käyttäjiksi. Asiakastietoja voidaan kerätä ja päivittää markkinointitarkoituksiin myös muista käytettävissä olevista julkisista tai yksityisistä rekistereistä. Tietoja voidaan kerätä myös hyödyntämällä evästeitä tai muita vastaavia tekniikoita.
8. REKISTERIN TIETOSISÄLTÖ
Asiakas- ja toimittajarekisteriin kerätään asiakkaan ja toimittajan sekä niiden yhteyshenkilöiden yhteystiedot
- nimi
- y-tunnus
- sähköpostiosoite
- puhelinnumero
- osoite
- laskutusosoitteet, laskutukset ja maksusuoritukset
Rekrytointijärjestelmään kerätään työnhakijoista seuraavat tiedot
- nimi
- sähköpostiosoite
- puhelinnumero
- hakijan itsensä lähettämät, työnhakuun liittyvät tiedot ja tiedostot
Työntekijärekisteriin kerätään työntekijöistä seuraavat tiedot
- nimi
- sotu
- verotustiedot palkanlaskentaa varten
- pankkiyhteys palkanmaksua varten
- kotiosoite
- puhelinnumero
- sähköpostiosoite
9. TIETOJEN SUOJAUS
SprintIT Finland Oy:n järjestelmissä ja sivuilla tiedot liikkuvat suojattujen SSL-yhteyksien kautta. Sähköinen asiakasrekisteri säilytetään luottamuksellisena SprintIT Finland Oy:n toiminnanohjausjärjestelmässä. Toiminnanohjausjärjestelmä on palvelutarjoajan pilvipalvelussa EU-alueen sisällä ja palveluntarjoaja on sertifioitu ISO 27001 -tietoturvastandardilla. SprintIT Finland Oy ja pilvipalvelun tarjoaja huolehtivat tietoturvan säilymisestä parhaan kykynsä mukaan.
10. TIETOJEN LUOVUTUS
Rekisteriin tallennettuja tietoja ei säännönmukaisesti luovuteta ulkopuolisille.
11. TARKASTUSOIKEUS JA TIETOJEN KORJAAMINEN SEKÄ KIELTO-OIKEUS
Rekisteriin merkityllä asiakkaalla on henkilötietolain mukainen oikeus
- tarkastaa rekisteriin talletetut tietonsa sekä pyytää SprintIT Finland Oy:tä korjaamaan virheelliset tietonsa.
- vaatia rekisterissä olevan virheellisen tiedon korjaamista.
- kieltää häntä itseään koskevien tietojen käyttöä suoramainonnassa ja markkinointiviestinnässä.
Mahdollinen tarkastuspyyntö, korjausvaatimus tai kieltopyyntö on lähetettävä kirjallisesti SprintIT Finland Oy:n yhteyshenkilölle.
12. EVÄSTEET
SprintIT Finland Oy käyttää sivuillaan evästeitä eli ns. cookie-toimintoa. Lisäksi sivuilla käytetään Google Analytics -palvelua, joka voi käyttää omia evästeitään sivuilla palvelun tuottamiseen. Evästeet ovat tarpeellisia sivujen ja tarjottujen palveluiden asianmukaiselle toimimiselle.
Käytämme Leadoon käyttäjänseurantaa seurataksemme miten käyttäjämme liikkuvat nettisivuillamme ja yhdistämme tämän datan käyttäjän tietoihin joita kerätään esim. Chat interaktioiden kautta. Leadoo käyttää etag seurantaa joka teknisesti eroaa keksipohjaisesta seurannasta, mutta johon pätee samat lainalaisuudet kuin evästeisiin. Tarkista Leadoo Marketing Technologies Oyn tietosuojakäytäntö (https://leadoo.com/privacy-policy/) tietääksesi enemmän siitä mitä järjestelmässä seurataan. GDPR mielessä me toimimme kontrollerina ja Leadoo datan prosessorina. Mikäli et halua että sinua seurataan voit tyhjentää selaimesi välimuistin. Lisätietoja siitä miten Leadoo toimii tarkista https://leadoo.com/privacy-policy-processor/
13. IP-OSOITTEET
SprintIT Finland Oy:n sivuilla vierailevien käyttäjien ja SprintIT Finland Oy:n tarjoamien palveluiden käyttäjien IP-osoitteet tallentuvat automaattisesti järjestelmien loki-tietoihin. Lokia käytetään tilastointitarkoituksiin ja virheselvityksiin. Lokiin on pääsy vain SprintIT Finland Oy:n henkilöstöllä.
14. LINKIT TOISIIN WWW-SIVUSTOIHIN
SprintIT Finland Oy:n ylläpitämillä sivuilla on linkkejä ulkopuolisten tahojen ylläpitämille verkkosivuille. SprintIT Finland Oy ei vastaa näiden ulkopuolisten sivujen turvallisuudesta, sisällöstä eikä kyseisillä sivuilla kerätyistä tiedoista.
SprintIT Finland Oy:n ylläpitämillä sivuilla on sosiaalisen median toimintoja (esimerkiksi Facebook, LinkedIn, Instagram). Lisäksi SprintIT järjestää webinaareja ja demoja käyttäen WebinarGeek-palvelua. Näitä toimintoja koskevat ne rekisteriselosteet ja käyttöoikeudet, joita kukin toiminto käyttää.
Yleinen yhteenveto SprintIT Finland Oy:n tietoturvan ja henkilötietojen käsittelyn toteutuksesta.
SprintIT Finland Oy toimittaa asiakkailleen erilaisia järjestelmiä. Järjestelmiin tallennetut tiedot ovat aina asiakkaan omaisuutta, jolloin asiakas on aina itse henkilörekisterin pitäjä. Toimitusvaiheessa ja jatkossa ylläpidolla sekä tukipalvelulla voi olla pääsy järjestelmään ja niin myös siihen tallennettuihin henkilötietoihin.
Hosting palvelut
SprintIT Finland Oy toimittaa asiakkailleen myös kolmannen osapuolen tuottamia hosting -palveluita, joissa ajetaan toimitettuja järjestelmiä. SprintIT Finland Oy:llä on näiden kolmansien osapuolten tietoturvalausunnot sekä määrätysti erittelyt pääsyoikeuksista hostattuihin järjestelmiin.
SprintIT Finland Oy on hyväksynyt saamansa lausunnot oman toimintansa osalta.
Henkilötietojen käsittely ja perusteet
SprintIT Finland Oy toimii GDPR -asetusten mukaan korkeintaan henkilötietojen käsittelijänä, jos sillä on pääsy kyseisiin tietoihin. SprintIT Finland Oy ei kuitenkaan osallistu asiakasjärjestelmän henkilötietojen
tallettamiseen, käsittelemiseen eikä kerryttämiseen millään tavoin. Kunkin asiakasjärjestelmän henkilötietoihin pääsyyn (henkilötietojen käsittelijä) on saatu kirjallinen lupa asiakkaalta tai pääsy on
erikseen sovittu toimitussopimuksessa.
SprintIT Finland Oy:llä on myös omia henkilörekisterejä jotka ovat vain yhtiön omassa käytössä, kuten työntekijärekisteri ja rekrytointirekisteri. Näihin rekistereihin on pääsy vain määritellyillä henkilöillä.
Pääsy henkilötietoihin ja henkilötietojen käsittelijät
SprintIT Finland Oy:n henkilöstöllä on projektikohtaisesti rajattu pääsy asiakasjärjestelmien henkilötietoihin, kuitenkin koskettaen koko henkilökuntaa. Pääsy on sallittu ainoastaan EU:n sisäpuolelta, ellei
asiakkaan kanssa ole muuta kirjallisesti sovittu.
Riskiarviointi
Riskiarviointi on tehty omille järjestelmille ja hosting –palveluja tarjoavien kolmansien osapuolten osalta.
Tietoturvan toteutus
Henkilötietojen tietoturvasta huolehditaan asianmukaisesti. SprintIT Finland Oy:n laitteiden turvataso on nähtävissä F-Securen portaalissa ja turvatasoa hallinnoidaan keskitetysti. Tietokoneiden kovalevyt on salattu ”BitLockerilla”, ”FileVault” ohjelmilla tai vastaavalla. Tuotekehityksen ja ylläpidon käytössä oleva tunnusrekisteri on toteutettu tehokkaasti salatulla järjestelmällä, jota ylläpidetään jatkuvasti. Järjestelmä kirjaa kaikki pyynnöt ja toiminnot.
Toiminta mahdollisen tietoturvaloukkauksen tai tietomurron varalta.
Toiminta on kuvattu SprintIT Finland Oy:n sisäiseen käyttöön tarkoitetussa dokumentissa.