EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen tietosuojaseloste

Voimassa 16.5.2018 alkaen

Taitori Oy
Fredrikinkatu 34 A, 00100 Helsinki
Y-tunnus 2373571-2

Yleistä

Tässä selosteessa kerromme, miten rekisterinpitäjänä käsittelemme rekisteröityneen käyttäjän henkilötietoja. Käsittely vastaa toukokuussa 2018 voimaan astuvan EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimuksia.

Seloste on yhdessä käyttöehtojemme kanssa samalla sopimus henkilötietojen käsittelystä tilanteissa, joissa meidän katsotaan käsittelevän henkilötietoja sinun tai yrityksesi lukuun (DPA = data processing agreement). Oikeudellisesti me olemme tällöin henkilötietojen käsittelijä ja sinä tai edustamasi yritys rekisterinpitäjä.

Henkilötietojen käsittelyn peruste ja tarkoitus

Henkilötietoja käsitellään jotta voimme yksilöidä palvelun käyttäjät ja yhdistää palveluun tallennetut tilavaraukset tai tarjoilutilaukset käyttäjiin. Voimme käyttää henkilötietoja myös palvelua koskeviin tiedotteisiin, laskutukseen ja tilastointiin.

Henkilötietojen käsittely perustuu palvelusopimukseen, jonka solmit tai jonka työnantajasi on solminut Taitori Oy:n kanssa. Palvelun käyttö edellyttää aina että olet hyväksynyt tämän tietosuojaselosteen sekä palvelun käyttöehdot. Nämä hyväksymisen pyydetään käyttäjän rekisteröinnin tai käyttäjätilin akvitoinnin yhteydessä.

Säännönmukaiset tietolähteet

Henkilörekisteriin merkittävät tiedot saadaan säännönmukaisesti rekisteröidyltä itseltään.

Joissain tapauksissa tietojasi saatetaan lisätä järjestelmään kolmannen osapuolen toimesta. Esimerkiksi työkaverisi voi kutsua sinut käyttämään palvelua tai tiedot voidaan tuoda sovitun integraation kautta työnantajasi järjestelmästä. Jos haluat muuttaa tai poistaa näin lisättyjä tietoja, ole ensisijaisesti yhteydessä siihen osapuoleen, joka on lisännyt tietosi tai vastaa integroidusta järjestelmästä. Omia tietoja voit myös tarkastella ja muuttaa käyttäjätilin asetuksissa.

Mahdollisia asiakasyrityksen järjestelmiä, joista henkilötietoja voidaan tuoda integroinnin kautta:

Muita järjestelmiä, joista henkilötietoja voidaan tuoda palveluun:

Käsiteltävät henkilötiedot

Käsittelemme yhtä tai useampaa seuraavista käyttäjiemme henkilötiedoista:

Voit käyttäjänä kutsua uusia käyttäjiä palveluun. Vastaat silloin siitä että sinulla on kutsua tehdässäsi oikeus käsitellä niitä henkilötietoja, jotka syötät palveluumme.

Sinun tulee huolehtia siitä että kutsut vain sellaisia henkilöitä palvelun käyttäjiksi, joilla on oikeus tarkastella palveluun tallennettua tietoa.

Kun tallennat tietoa palveluun tulee sinun varmistaa että tallennat vain sellaista tietoa, johon sinulla on oikeus. Käyttäjän tallentaessa tietoja palveluun Taitori katsotaan olevan henkilötietojen käsittelijä. Vastaat näissä tilanteissa itse tietoihin liittyvistä tietosuojalainsäädännön velvollisuuksista, pois lukien suojausmenetelmät, joihin olemme itse sitoutuneet alempana olevassa luvussa "Henkilötietojen suojaus" mukaisesti.

Henkilötietojen käsittelijämme

Henkilötietojasi käsittelee ainoastaan henkilöt joilla on työnsä puolesta peruste päästä käsiksi tietoihin. Kaikkia työntekijöitämme velvoittaa kattava salassapitosopimus

Keskeisimmät Taitorin lukuun henkilötietoja käsittelevät kumppanimme ovat:

Henkilötietoja saatetaan luovuttaa kolmansille osapuolille palvelun tuottamiseen liittyvissä tilanteissa.

Näitä tapauksia ovat mm:

Henkilötietoja saattavat käsitellä rajoitetusti myös kulloinkin käyttämämme tekstiviesti- ja sähköpostipalveluntarjoajat, asiakaspalvelun tarjoajat, ohjelmistokehittäjät, kirjanpitäjät ja konsultit.

Näiden kumppanien ja palveluntarjoajien valintaan kuuluu tarkka tietosuoja-arviointi ja asianmukaiset salassapitosopimukset. Tiedotamme kaikista merkittävistä muutoksista kumppaneihimme liittyen ennen muutosten toimeenpanoa.

Kaikkien kumppaneiden kanssa sovitaan aina kirjallisesti ja edellytämme että kumppanimme noudattavat tässä selosteessa asetettua tietosuojan tasoa.

Emme luovuta palveluumme tallennettua henkilötietoja ulkopuolisille kuin lain vaatiessa.

Toimitamme pyydettäessä ajantasaiset tiedot kaikista henkilötietoja käsittelevistä kumppaneistamme ja välitettävistä tiedoista sinulle henkilökohtaisesti.

Henkilötietojen siirrot kolmansiin maihin

Henkilötietojasi saatetaan teknisistä syistä siirtää Euroopan Unionin tai Euroopan talousalueen ulkopuolelle. Siirron edellytys on, että Euroopan komissio on todennut kohdemaan tietosuojan tason riittäväksi tai tietoja EU:n ulkopuolella vastaanottava osapuoli sitoutuu tietosuojalainsäädännössä (GDPR:ssä) edellytettyihin asianmukaisiin suojatoimiin.

Pyydettäessä selvennämme sinulle henkilökohtaisesti toteutetut suojatoimet tarkemmin tapauksissa, joissa tietoja mahdollisesti siirretään EU:n ulkopuolelle.

Henkilötietojen suojaus

Palvelimet

Käyttäjätietoja käsitellään palvelimissa joissa käytetään parhaita turvallisuus- ja suojauskäytäntöjä. Näitä käytäntöjä ovat mm. suojaukset tulipalojen ja sähkökatkoja vastaan. Työntekijöiden valintaprosessi on tarkka ja kulkemista konesaleissa valvotaan kulunvalvonnalla. Palvelimissa käytetään ajantasaista virustorjuntaa ja mahdollisia hyökkäyksiä valvotaan, havaitaan ja torjutaan reaaliajassa palvelintarjoajan toimesta.

Tietokannat

Henkilötietoihin on pääsy vain niillä henkilöillä joilla on työnsä puolesta oikeus päästä kyseisiin tietoihin. Henkilötietojen käsittely on luottamuksellista ja jokaisella käsittelijällä on kattava salassapitosopimus. Jokaisella tietokantaa operoivalla henkilöllä on henkilökohtainen käyttäjätunnus, joten henkilötietoja käsittelevät voidaan tunnistaa ja toimintaa voidaan seurata käyttäjätasolla. Mahdollisia hyökkäyksiä valvotaan, havaitaan ja torjutaan reaaliajassa palvelintarjoajan toimesta. Tietokanta on reaaliajassa kahdennettu toisessa konesalissa sijaitsevalle palvelimelle. Tiedoista otetaan varmuuskopioita säännöllisin väliajoin. Tietokannan sisältö sekä varmuuskopiot tallennetaan kokonaisuudessaan reaaliaikaisesti salattuna.

Pienet IoT-laitteet ja ovenpielinäytöt

Pienissä IoT-laitteissa ei säilytetä henkilötietoja. Ovenpielinäytöt ovat kiosk-tyyppisiä, eikä niiden työpöydälle ole mahdollista kirjautua ilman laitekohtaista käyttäjätunnusta ja salasanaa. Ovenpielinäytölle tallennetut tiedot varauksista on salattua AES256 -tekniikalla. Ovenpielinäytölle ei tallenneta muita henkilötietoja. Ovenpielinäytöissä on reaaliaikainen virtustorjunta ja laitteen ohjelmistoa ja käyttöjärjestelmää päivitetään tarvittaessa automaattisesti palveluajan ulkopuolella.

Tietoliikenne

Kaikki tietoliikenne tietokantoihin ja palvelimiin on suojattu palomuurein. Liikenne käyttäjän selaimelta palveluun tai ovenpielinäytöltä palveluun on suojattu vahvalla SSL-tekniikalla. Pienten IoT -laitteiden (esimerkiksi sensorit) tietoliikenne palveluun on salattu AES256 -tekniikalla.

Käyttäjien kirjautumistiedot ja käyttöoikeudet

Jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana. Jos käyttäjä unohtaa salasanan voi käyttäjä tilata uuden salasanan palvelusta. Unohdettua salasanaa ei voida selvittää koska salasanat tallennetaan salattuina. Käyttäjä voi koska tahansa vaihtaa salasanansta sisäänkirjautumisen jälkeen asetuksissa. Jokaiselle käyttäjälle määritellään käyttäjäryhmät joihin käyttäjä kuuluu. Lisäksi määritellään käyttäjän käyttäjätaso ko. käyttäjäryhmässä. Näiden tietojen perusteella käyttäjällä on pääsy vain käyttäjäryhmien ja käyttötasojen mukaisiin tietoihin ja toimintoihin

Turvaluokkauksista tiedottaminen

Jos saamme tietoomme hallussamme oleviin henkilötietoihin kohdistuneen tietoturvaluokkauksen ja loukkaus todennäköisesti aiheuttaa korkean riskin oikeuksille ja vapauksillesi, tiedotamme loukkauksesta ilman aiheetonta viivytystä sinulle. Kaikki todennäköiset riskitilanteet tutkitaan seikkaperäisesti ja raportoidaan valvontaviranomaisille.

Tietojen säilytysaika

Säilytämme henkilötietojasi lähtökohtaisesti niin kauan kuin sinulla on käyttäjätili palvelussame. Joissakin tapauksissa henkilötietoja tullaan säilyttämään käyttäjätilin poiston jälkeenkin jotta palvelun käyttö on mahdollista. Tällaisia tietoja ovat esimerkiksi tulevaan tilavaraukseen liitetyt henkilötiedot. Nämä tiedot poistetaan vasta kun varauksen ajankohta ja muut esimerkiksi laskutukseen liittyvät asiat on käsitelty. Kun haluat poistaa käyttäjätilin, ota yhteyttä asiakastukeemme (support@taitori.fi) niin käsittelemme käyttäjätilin poiston tapauskohtaisesti.

Asiakasyrityksen tapauksessa kaikki asiakasyritykseen liittyvät käyttäjätilit poistetaan asiakasyrityksen pyynnöstä silloin kun asiakasyritys päättää lopettaa palvelun käytön.

Joissakin tapauksissa saatamme poistaa pitkään käyttämättömiä käyttäjätilejä. Näissä tapauksissa olemme sinuun yhteydessä etukäteen, jotta sinulla on mahdollisuus estää poisto ja jatkaa palvelun käyttöä.

Profilointi

Henkilötietoja voidaan käyttää automaattiseen päätöksentekoon helpottamaan sinua palvelun käytössä. Sinulle voidaan esimerkiksi tarjota juuri sinulle parhaiten sopivia tiloja varattavaksi.

Emme käytä henkilötietoja suoramarkkinointitarkoituksiin.

Rekisteröidyn oikeudet

Huomioithan että koska emme vastaa käyttäjiemme tallentamien tietojen sisällöstä, kuten tilavarauksista tai tarjoilutilauksista, emmekä voi luovuttaa näitä tietoja ulos, emme voi ulottaa näitä toimenpiteitä kyseisten aineistojen mahdollisesti sisältämiin henkilötietoihin.

Oikeus saada pääsy henkilötietoihin

Rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos käsitellään, oikeus saada kopio henkilötiedoistaan. Toimitamme tiedot sinulle jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Yhteystiedot voit tarkastaa myös itse käyttäjätilisi asetuksista.

Oikeus tietojen oikaisemiseen

Oikaisemme pyynnöstäsi asiakasrekisteriimme kerätyt epätarkat ja virheelliset henkilötietosi. Yhteystietosi voit päivittää myös itse käyttäjätilisi asetuksista.

Oikeus tietojen poistamiseen

Poistamme pyynnöstäsi kaikki sinua koskevat henkilötiedot asiakasrekisteristämme, ellei meillä ole oikeudellista erityisperustetta säilyttää tietoja (esim. maksamattomat laskut). Poisto-oikeuden käyttäminen tarkoittaa samalla käyttäjätilisi sulkemista.

Oikeus käsittelyn rajoittamiseen

Voit rajoittaa henkilötietoihisi kohdistuvaa käsittelyämme, jos sinulla on siihen jokin oikeudellinen peruste (esim. tietojen paikkansapitämättömyys).

Oikeus olla joutumatta automatisoitujen päätösten kohteeksi

Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Edellä olevaa ei sovelleta, jos päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai perustuu rekisteröidyn nimenomaiseen suostumukseen.

Oikeus tehdä valitus valvontaviranomaiselle

Sinulla on oikeus saattaa asiasi valvontaviranomaisen käsiteltäväksi, jos katsot, että sinua koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. Henkilötietoasioiden kansallisena valvontaviranomaisena on oikeusministeriön yhteydessä toimiva tietosuojavaltuutettu.

Lisätiedot

Annamme lisätietoja tietojenkäsittelystämme ja tietosuojaan liittyvistä oikeuksistasi. Ota tarvittaessa yhteyttä sähköpostitse osoitteeseen privacy@taitori.fi