Tarjoamme asiakkaidemme sisäiseen käyttöön Nepton palvelun käyttöä koskevan tietosuojaselosteen mallipohjan.
Esimerkki Oy
XX.XX.2022
Nepton palvelun käyttöä koskeva tietosuojaseloste oman henkilöstön käyttöön
Selosteen tarkoitus
Tämä tietosuojaseloste määrittää Esimerkki Oy:n henkilöstön ja muiden palveluun rekisteröityjen oikeudet Nepton palvelun käyttöä koskien sekä sitoumuksemme henkilötietojen suojaamiseen.
Tietosuojasta yleisesti
Esimerkki Oy:n toimintaa säätelee EU:n tietosuojalainsäädäntö. Tietosuojavastaava valvoo tietosuojakäytäntöjen noudattamista.
Nepton palvelun tiedot
Saarni Nepton Oy tarjoaa ohjelmistoja sekä palveluja julkisille ja yksityisille asiakkaille Euroopassa. Palvelut toimitetaan pilvipalveluna. Tarkempi kuvaus palvelusta ja palvelutoimittajan yleinen tietosuojaseloste on nähtävissä nepton.fi verkkosivuilla.
Esimerkki Oy rekisterinpitäjänä
Esimerkki Oy tarjoaa Nepton palvelua oman henkilöstönsä ja muiden mahdollisten sidosryhmien käyttöön. Esimerkki Oy on henkilötietojen rekisterinpitäjä. Nepton palvelun toimittajamme on henkilötietojen käsittelijä. Osapuolten välillä on voimassa Nepton palvelua koskeva erillinen sopimus ja tietojenkäsittelysopimus.
Henkilötiedot
Henkilötiedot ovat tietoja tai tietoryhmiä, joiden avulla henkilö voidaan todennäköisesti yksilöidä ja tunnistaa.
Esimerkki Oy voi tallentaa tai ohjeistaa tallentamaan Nepton palveluun seuraavanlaisia tietoja: Nimi, osoite, puhelinnumero, sähköpostiosoite, henkilönumero, lähiomaisen yhteystiedot, organisaatioyksikkö, esihenkilötiedot, alaishenkilötiedot, ammattinimike, työsuhdetiedot, työtapahtumaleimaukset kommentteineen, projektileimaukset, kustannuspaikkatiedot, tulkitut palkkalajitiedot, palkanlaskennan tiedot, pankkiyhteystiedot ja veronumero.
Oikeusperusta ja henkilötietojen käsittelyn tarkoitus
Esimerkki Oy säilyttää ja käsittelee henkilötietoja Nepton palvelussa työsuhteiden hallinnan sekä lainsäädännön vaatimuksiin perustuen. Mikäli henkilötietojen säilyttämisen perusteet eivät enää ole voimassa, Esimerkki Oy poistaa tai anonymisoi palveluun tallennetut henkilötiedot.
Henkilötietojen käsittely asiakkaiden puolesta
Nepton palvelu sisältää asiakkaiden, työntekijöiden ja muiden henkilöiden tietojen käsittelyä. Tällöin Esimerkki Oy määrittää henkilötietojen käsittelyn tarkoituksen ja on rekisterinpitäjä, kun taas Saarni Nepton toimii henkilötietojen käsittelijänä. Esimerkki Oy määrittää ja on vastuussa henkilötietojen käsittelyn oikeudellisista perusteista. Esimerkki Oy:n on myös noudatettava rekisterinpitäjää koskevaa rekisteröityihin liittyvää tiedonantovelvollisuutta.
Henkilötietojen luovutukset ja siirrot
Esimerkki Oy luovuttaa henkilötietojasi kolmansille osapuolille vain silloin, kun tämä on lainsäädännön tai Esimerkki Oy:n henkilöstöhallinnon sekä palkkahallinnon toimivuuden kannalta tarpeellista.
Henkilötietojasi ei siirretä EU/ETA alueen ulkopuolelle.
Henkilörekisterin tietosuojan periaatteet
Esimerkki Oy noudattaa rekisterinpitäjänä kaikkia tietosuoja-asetuksen vaatimuksia.
Nepton palvelun toimittajana on tietojen käsittelijänä myös sitoutunut pitämään henkilötiedot luottamuksellisina, eikä käsittele henkilötietoja kuin Esimerkki Oy:n nimettyjen pääkäyttäjien pyynnöstä.
Nepton palvelun toimittajana vastaa siitä, että palvelu ja sen toimitus Esimerkki Oy:lle noudattavat kulloinkin voimassa olevaa henkilötietolainsäädäntöä mukaan lukien tietosuoja-asetuksen (2016/679) (”Tietosuoja-asetus”) vaatimukset, ja että ne ovat tietoturvaltaan vähintään ammattimaisen luotettavan tietoturvan tasolla siten, ettei tietojen luottamuksellisuus, eheys tai käytettävyys vaarannu.
Yksityisyydensuoja on Nepton palvelun toimittajalle erittäin tärkeä. Saarni Nepton noudattaa kaikessa toiminnassa vähintään EU tietosuojalainsäädännön vaatimuksia. Työntekijät saavat säännöllistä tietosuojakoulutusta. Sovellettavat palvelukuvaukset liitteineen määrittävät tietosuojakäytäntöjen yksityiskohdat ja toteutustavat. Tavoitteena on toimia ISO/IEC 27001, KATAKRI, OWASP ja VAHTI standardien mukaisesti.
Nepton palvelun toimittaja on sitoutunut siihen, että se:
- käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja ETA:n ulkopuoliseen maahan.
- varmistaa, että toimittajan henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
- toteuttaa kaikki tietosuoja-asetuksen 32 artiklassa vaaditut toimenpiteet (Käsittelyn turvallisuus).
- noudattaa tietosuoja-asetuksen käsittelijää tai alikäsittelijää koskevia vaatimuksia
- ottaen huomioon käsittelytoimen luonteen auttaa asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä käyttämään asiakkaan velvollisuuden vastata rekisteröityjen esittämiin pyyntöihin.
- auttaa rekisterinpitäjää varmistamaan, että tietosuoja-asetuksen 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot.
- sopimuksen päätyttyä asiakkaan valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos EU-säädöksissä tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötietoja.
- tarjoaa asiakkaalle kaikki tieto, joka on tarpeen asiakkaan todistaessa tietosuojan vaatimustenmukaisuuttaan.
- sallii asiakkaan tai asiakkaan valtuuttaman riippumattoman auditoijan suorittaa tarvittavat tietosuojan auditoinnit, sekä osallistuu niihin.
- Kertoo välittömästi asiakkaalle, mikäli asiakkaan ohjeistuksen arvioidaan rikkovan tietosuoja-asetuksen tai muun lainsäädännön tietosuojasäännöksiä.
Saarni Nepton palvelun toimittajana ilmoittaa ilman aiheetonta viivästystä tapahtuneista tai epäillyistä tietomurrosta, henkilötietojen katoamisesta, vahingoittumisesta ja muista tilanteista, joissa henkilötietojen tietoturva on uhattuna. Toimittaja luovuttaa kaikki tarpeelliset tiedot tietomurrosta sekä toimenpiteistä, joihin on tietomurron takia ryhdytty. Ilmoitus sisältää vähintään seuraavat tiedot, mikäli ne ovat tiedossa:
- Tapahtuman luonne
- Tapahtuman liittyvien rekisteröityjen määrä
- Tapahtumaan liittyvien rekisteröityjen ja henkilötietokenttien kuvaukset
- Tunnistettu tai epäilty taho, joka on aikaansaanut tapahtuman
- Tunnistetut tai epäillyt tahot, jotka ovat saaneet pääsyn henkilötietoon
- Tunnistettu tai arvioitu vaikutus rekisteröityihin, asiakkaaseen ja toimittajaan
- Toteutetut ja suunnitellut toimenpiteet joihin toimittaja on ryhtynyt rajoittaakseen tapahtuman seurauksia ja minimoimaan mahdollisia vahinkoja, estääkseen tapahtuman jatkumisen, sekä estääkseen vastaavanlaisten tapahtumien toistumisen
- Muut Esimerkki Oy:n kohtuudella vaatimat tiedot
Alihankkijat ja tietojen siirto
Esimerkki Oy voi käyttää alihankkijoita henkilötietojen käsittelyyn (Tällöin henkilötietoja voi siirtyä myös EU:n ulkopuolelle. Esimerkki Oy:n tulee analysoida omat henkilötietojen käsittelytoimensa ja arvioida siirretäänkö henkilötietoja EU:n ulkopuolelle. Saarni Nepton ei omatoimisesti siirrä mitään tietoja EU:n ulkopuolelle.). Alihankkijoita käytettäessä Esimerkki Oy solmii tietojenkäsittelysopimuksen alihankkijoiden kanssa. Siinä yhteydessä varmistetaan kansainvälisten siirtojen oikeuspohja esimerkiksi EU:n mallisopimuslausekkeiden avulla.
Oikeutesi
Sinulla on kaikki EU yksityisyydensuojaa koskevan lainsäädännön mukaiset perusoikeudet myös Nepton palvelun käyttöä koskien. Voit esimerkiksi pyytää tiivistelmää Esimerkki Oy:n käsittelemistä henkilötiedoistasi, pyytää oikaisua virheellisiin henkilötietoihisi, vastustaa henkilötietojesi tallennusta ja käsittelyä sekä valittaa henkilötietojesi käsittelystä.
Yhteydenotot
Jos sinulla on kysymyksiä tai kommentteja tietosuojaselosteeseen liittyen lähetä viesti Esimerkki Oy:n tietosuojavastaavalle Mikko Mallikkaalle sähköpostitse dpo@esimerkki.com osoitteeseen.
Tämä tietosuojaseloste päivitettiin viimeksi XX. XXXXkuuta 202X.