GDPR-vaatimusten mukainen toiminta

Tietosuojaseloste

Tietoturvan ja henkilötietojen käsittelyn toteutus
 

GDPR-Tietosuojaseloste


1. REKISTERINPITÄJÄ
Sprintit Oy (y-tunnus 2625244-1)
https://www.sprintit.fi
Atomitie 5, 00370 Helsinki


2. YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA
Petri Heino, petri.heino@sprintit.fi, puh. 050 537 8602


3. REKISTERIT
Sprintit Oy:n Asiakas- ja toimittajarekisteri
Sprintit Oy:n Rekrytointijärjestelmä
Sprintit Oy:n Työntekijärekisteri


4. REKISTERIN SUOJAUKSEN PERIAATTEET
Sprintit Oy suojaa rekisterin tietoja parhaansa mukaan.
Mikäli Sprintit Oy epäilee tietomurtoa, niin Sprintit Oy ilmoittaa siitä viipymättä niille asiakkaille, joihin se on kohdistunut ja kertoo myöhemmin mihin toimenpiteisiin asian johdosta on ryhdytty. SprintIT Oy on tuottanut ohjeiston tietomurtojen varalta: ”Yrityksen_toimintasuunnitelma_tietoturvaloukkauksen_varalta.docx”
Sprintit Oy pyrkii pitämään tätä tietosuojaselostetta ajan tasalla.
 

5. TIETOJEN SÄILYTYS
Asiakasrekisterin tietoja säilytetään vähintään kuusi vuotta asiakkuuden päättymisen jälkeen kirjanpitolain mukaisesti.
Rekrytointijärjestelmän tietoja säilytetään rekrytoinnin ajan.
Työntekijärekisteri säilytetään työsuhteen voimassaolon ajan.


6. REKISTERIEN KÄYTTÖTARKOITUS
Asiakasrekisterin tarkoituksena on kerätä ja säilyttää Sprintit Oy:n asiakkaiden tietoja ainoastaan asiakkuuden hoitamista, palvelujen tilaamista ja tuottamista, tiedotusta sekä laskutusta ja kirjanpitoa varten. Sprintit Oy voi käyttää asiakasrekisterin tietoja markkinointiviestinnässä. Asiakas voi kieltäytyä viestien vastaanottamisesta.
Rekrytointijärjestelmän tarkoituksena on kerätä rekrytoinnissa oleellisesti tarvittavia tietoja työnhakijalta. Työnhakija voi kieltää tietojensa säilyttämisen rekrytointiprosessin päätyttyä.
Työntekijärekisterin tarkoituksena on ylläpitää työntekijän yhteys- ja palkkatietoja. Palkanlaskenta on ulkoistettu jossa yhteydessä on palkanlaskentaa varten tarvittavat Työntekijätiedot siirretty palkanlaskentaa toteuttavalle kotimaiselle yhtiölle. Työntekijätiedot tuhotaan työsuhteen päättymisen jälkeen.
Rekisterien tietoja ei luovuteta ulkopuolisille tahoille.


7. REKISTERIN TIETOLÄHTEET
Tiedot kertyvät Sprintit Oy:n omassa toiminnassa sekä asiakkaiden että työnhakijoiden ja työntekijöiden antamalla omalla ilmoituksella heidän rekisteröityessään palveluiden käyttäjiksi. Asiakastietoja voidaan kerätä ja päivittää markkinointitarkoituksiin myös muista käytettävissä olevista julkisista tai yksityisistä rekistereistä. Tietoja voidaan kerätä myös hyödyntämällä evästeitä tai muita vastaavia tekniikoita.


8. REKISTERIN TIETOSISÄLTÖ
Asiakas- ja toimittajarekisteriin kerätään asiakkaan ja toimittajan sekä niiden yhteyshenkilöiden yhteystiedot
 nimi
 y-tunnus
 sähköpostiosoite
 puhelinnumero
 osoite
 laskutusosoitteet, laskutukset ja maksusuoritukset
Rekrytointijärjestelmään kerätään työnhakijoista seuraavat tiedot
 nimi
 sähköpostiosoite
 puhelinnumero
 hakijan itsensä lähettämät, työnhakuun liittyvät tiedot ja tiedostot
Työntekijärekisteriin kerätään työntekijöistä seuraavat tiedot
 nimi
 sotu
 verotustiedot palkanlaskentaa varten
 pankkiyhteys palkanmaksua varten
 kotiosoite
 puhelinnumero
 sähköpostiosoite


9. TIETOJEN SUOJAUS
Sprintit Oy:n järjestelmissä ja sivuilla tiedot liikkuvat suojattujen SSL-yhteyksien kautta. Sähköinen asiakasrekisteri säilytetään luottamuksellisena Sprintit Oy:n toiminnanohjausjärjestelmässä. Toiminnanohjausjärjestelmä on palvelutarjoajan pilvipalvelussa EU-alueen sisällä ja palveluntarjoaja on sertifioitu ISO 27001 -tietoturvastandardilla. Sprintit Oy ja pilvipalvelun tarjoaja huolehtivat tietoturvan säilymisestä parhaan kykynsä mukaan.
10. TIETOJEN LUOVUTUS
Rekisteriin tallennettuja tietoja ei säännönmukaisesti luovuteta ulkopuolisille.
 

11. TARKASTUSOIKEUS JA TIETOJEN KORJAAMINEN SEKÄ KIELTO-OIKEUS
Rekisteriin merkityllä asiakkaalla on henkilötietolain mukainen oikeus
 tarkastaa rekisteriin talletetut tietonsa sekä pyytää Sprintit Oy:tä korjaamaan virheelliset tietonsa.
 vaatia rekisterissä olevan virheellisen tiedon korjaamista.
 kieltää häntä itseään koskevien tietojen käyttöä suoramainonnassa ja markkinointiviestinnässä.
Mahdollinen tarkastuspyyntö, korjausvaatimus tai kieltopyyntö on lähetettävä kirjallisesti Sprintit Oy:n yhteyshenkilölle.
 

12. EVÄSTEET
Sprintit Oy käyttää sivuillaan evästeitä eli ns. cookie-toimintoa. Lisäksi sivuilla käytetään Google Analytics -palvelua, joka voi käyttää omia evästeitään sivuilla palvelun tuottamiseen. Evästeet ovat tarpeellisia sivujen ja tarjottujen palveluiden asianmukaiselle toimimiselle.
 

13. IP-OSOITEET
Sprintit Oy:n sivuilla vierailevien käyttäjien ja Sprintit Oy:n tarjoamien palveluiden käyttäjien IP-osoitteet tallentuvat automaattisesti järjestelmien loki-tietoihin. Lokia käytetään tilastointitarkoituksiin ja virheselvityksiin. Lokiin on pääsy vain Sprintit Oy:n henkilöstöllä.


14. LINKIT TOISIIN WWW-SIVUSTOIHIN
Sprintit Oy:n ylläpitämillä sivuilla on linkkejä ulkopuolisten tahojen ylläpitämille verkkosivuille. Sprintit Oy ei vastaa näiden ulkopuolisten sivujen turvallisuudesta, sisällöstä eikä kyseisillä sivuilla kerätyistä tiedoista.
Sprintit Oy:n ylläpitämillä sivuilla on sosiaalisen median toimintoja (esimerkiksi Facebook, Linkedin). Näitä toimintoja koskevat ne rekisteriselosteet ja käyttöoikeudet joita kukin toiminto käyttää.

Yleinen yhteenveto SprintIT OY:n tietoturvan ja henkilötietojen käsittelyn toteutuksesta.

SprintIT Oy toimittaa asiakkailleen erilaisia järjestelmiä. Järjestelmiin tallennetut tiedot ovat aina asiakkaan omaisuutta, jolloin asiakas on aina itse henkilörekisterin pitäjä. Toimitusvaiheessa ja jatkossa ylläpidolla sekä tukipalvelulla voi olla pääsy järjestelmään ja niin myös siihen tallennettuihin henkilötietoihin.


Hosting palvelut
SprintIT Oy toimittaa asiakkailleen myös kolmannen osapuolen tuottamia hosting -palveluita, joissa ajetaan toimitettuja järjestelmiä. SprintIT Oy:llä on näiden kolmansien osapuolten tietoturvalausunnot sekä määrätysti erittelyt pääsyoikeuksista hostattuihin järjestelmiin.
SprintIT Oy on hyväksynyt saamansa lausunnot oman toimintansa osalta.

Henkilötietojen käsittely ja perusteet
SprintIT Oy toimii GDPR -asetusten mukaan korkeintaan henkilötietojen käsittelijänä, jos sillä on
pääsy kyseisiin tietoihin. SprintIT Oy ei kuitenkaan osallistu asiakasjärjestelmän henkilötietojen
tallettamiseen, käsittelemiseen eikä kerryttämiseen millään tavoin. Kunkin asiakasjärjestelmän
henkilötietoihin pääsyyn (henkilötietojen käsittelijä) on saatu kirjallinen lupa asiakkaalta tai pääsy on
erikseen sovittu toimitussopimuksessa.

SprintIT Oy:llä on myös omia henkilörekisterejä jotka ovat vain yhtiön omassa käytössä, kuten
työntekijärekisteri ja rekrytointirekisteri. Näihin rekistereihin on pääsy vain määritellyillä henkilöillä.
Näiden rekisterien käsittelyyn on erillinen sisäinen ohje.

Pääsy henkilötietoihin ja henkilötietojen käsittelijät
SprintIT Oy:n henkilöstöllä on projektikohtaisesti rajattu pääsy asiakasjärjestelmien henkilötietoihin,
kuitenkin koskettaen koko henkilökuntaa. Pääsy on sallittu ainoastaan EU:n sisäpuolelta, ellei
asiakkaan kanssa ole muuta kirjallisesti sovittu.
Riskiarviointi
Riskiarviointi on tehty omille järjestelmille ja hosting –palveluja tarjoavien kolmansien osapuolten
osalta.

Tietoturvan toteutus
Henkilötietojen tietoturvasta huolehditaan asianmukaisesti.
SprinIT Oy:n laitteiden turvataso on nähtävissä F-Securen portaalissa ja turvatasoa hallinnoidaan
keskitetysti. Tietokoneiden kovalevyt on salattu ”BitLockerilla”, ”FileVault” ohjelmilla tai vastaavalla.
Tuotekehityksen ja ylläpidon käytössä oleva tunnusrekisteri on toteutettu tehokkaasti salatulla
järjestelmällä, jota ylläpidetään jatkuvasti. Järjestelmä kirjaa kaikki pyynnöt ja toiminnot.
Toiminta mahdollisen tietoturvaloukkauksen tai tietomurron varalta
Toiminta on kuvattu SprintIT:n sisäiseen käyttöön tarkoitetussa dokumentissa.