Kattavuus
Tässä tietosuojaselosteessa kerrotaan Rutiini Oy:n tietoturvaa ja tietosuojaa koskevista käytännöistä, prosesseista ja teknologiasta jolla Rutiini Oy suojelee asiakkaittensa tietoja. Tämä tietosuojaseloste koskee Rutiini Oy:n verkkosivuja, asiakkaille suunnattuja palveluita ja taloushallintopalveluiden tuotantojärjestelmiä.
Rajoitukset
Tämä tietosuojaseloste ei koske kolmansien osapuolien sivustoja, sovelluksia tai palveluita, jotka saattavat olla käytettävissä Rutiini Oy:n palveluissa tarjottavien partnereiden lisäpalveluiden kautta. Rutiini Oy suosittelee asiakkaillemme aina tutustumista kolmannen osapuolen palvelun tietosuojakäytäntöihin, ennen kuin asiakas sallii omien henkilökohtaisten tietojen keräämisen ja käytön kyseisissä palveluissa.
Tietosuojan periaatteet
Rutiini Oy:n tietosuojaperiaatteita ovat tietojen käsittelyn laillisuusperusteen ja käyttötarkoituksen ilmoittaminen, kerättävän ja käsiteltävän tietojen ilmoittaminen, tietojen tekninen, hallinnollinen ja fyysinen suojaaminen, lainmukainen tietojen tarkastus ja muutospyyntömahdollisuus.
Henkilötietorekisterit ja niiden rekisteriselosteet
Markkinointirekisteri
Asiakastietorekisteri
Rekrytointirekisteri
Henkilötiedon käsittely rekisterinpitäjän lukuun
Joissakin palveluissaan Rutiini Oy käsittelee henkilötietoja Rutiini Oy:n asiakkaan lukuun. Tällaisissa tapauksissa asiakas on muodostuneen henkilörekisterin rekisterinpitäjä ja Rutiini Oy toimii henkilörekisterin henkilötietojen käsittelijänä, henkilötietolain määrittämässä ominaisuudessa. Tällöin henkilötietojen käsittelyyn liittyvistä käsittelytoimista on erikseen sovittu Rutiini Oy:n asiakkaan kanssa, käyttäen tähän dokumenttiin sisällytettyä Selostetta henkilötiedon käsittelytoimista: Seloste henkilötiedon käsittelytoimista
Evästeet
Rutiini Oy käyttää evästeitä verkkosivuillaan. Lisätietoa evästeistä saat evästeilmoituksesta.
Rekistereiden tietojen tekninen suojaaminen
Sähköisesti käsiteltävät rekisterin sisältämät tiedot suojataan teknisesti palomuureilla, salasanoilla sekä muilla tietoturvan toimialalla yleisesti hyväksyttävillä teknisillä keinoilla. Tiedonsiirto asiakkaan ja Rutiini Oy:n välillä on salattu SSL (Secure Socket Layer) teknologialla. Tiedot varmuuskopioidaan säännöllisesti ja varmuuskopioita säilytetään eri sijainnissa kuin missä primääridata sijaitsee. Rutiini Oy toteuttaa sisäisiä ja kolmannen osapuolen suorittamia arviointeja, jotka kattavat sekä kriittisten tietojärjestelmien teknisen turvallisuus.
Rekistereiden hallinnollinen suojaaminen
Ainoastaan yksilöidyillä Rutiini Oy:n työntekijöillä ja Rutiini Oy:n toimeksiannosta ja lukuun toimivien yritysten työntekijöillä on pääsy rekisterin sisältämiin tietoihin erikseen myönnettyjen käyttöoikeuksien perusteella. Käyttäjien käyttöoikeuksia valvotaan säännöllisesti ja vaarallisten käyttöoikeusyhdistelmien luominen on kielletty käyttöoikeuksien hallintapolitiikassa. Erityisesti eri järjestelmien pääkäyttäjien käyttöoikeudet tarkistetaan säännöllisesti ja poistetaan kun käyttäjä ei niitä enää tarvitse. Rutiini Oy:ltä poistuneiden työntekijöiden käyttöoikeudet poistetaan työsuhteen päättyessä kaikista järjestelmistä.
Asiakkaan tietoja käsittelee vain se Rutiini Oy:n työntekijä, joka on osoitettu tekemään kyseinen työ. Asiakastiedon käsittely muilla perusteilla on kielletty, vaikka työntekijällä olisi tekninen pääsy asiakastietoon hänen työtehtävänsä ja liiketoiminnallisten syiden perusteella.
Koko Rutiini Oy:n henkilöstöllä, ja sen lukuun toimivilla ulkopuolisilla henkilöillä, on vaitiolovelvollisuus liittyen kaikkeen Rutiini Oy:n asiakas- ja henkilötietoon. Vaitiolovelvollisuus on kirjattuna Rutiini Oy:n henkilöstön työsopimuksiin, mukaan lukien sanktiot. Vaitiolovelvollisuus on kirjattuna kolmansien osapuolien kanssa tehtyihin sopimuksiin, mukaan lukien sanktiot.
Rutiini Oy:n asiakkaiden tietoja käsittelevät työntekijät koulutetaan säännöllisillä koulutuksilla joissa työn tekemisen laillisuusperusteet ovat olennainen osa koulutusta. Rutiini Oy:n henkilökunnan tietoturva- ja tietosuojatietoisuutta pidetään säännöllisesti yllä eri tavoin: Järjestämällä sekä säännöllisiä tietoturvaa ja tietosuojaa koskevia koko yrityksen henkilöstölle tiedoksi annettavia tietoiskuja, että järjestämällä vuosittain työntekijöille pakollinen tietoturvaa ja tietosuojaa koskeva koulutus, jonka läpäisemiseksi työntekijän tulee hyväksytysti läpäistä aihealuetta koskeva testi. Rutiini Oy:n on tietoturvapolitiikka jonka jokainen uusi työntekijä käy läpi aloittaessaan työnsä Rutiini Oy:ssä. Tietoturvapolitiikan olemassa olosta ja sijainnista tiedotetaan säännöllisissä tietoturvakoulutuksissa sekä muistutetaan työntekijöitä kyseisen politiikan sitovuudesta. Tietoturvapolitiikka kuvaa yleiset työntekijää velvoittavat tietoturvaa ja tietosuojaa koskevat säännöt, olivatpa ne teknisiä sääntöjä, tietoturvaprosesseja tai jokapäiväiseen työntekoon soveltuvia käytäntöjä ja ohjeita.
Rekistereiden tietojen fyysinen suojaaminen
Asiakkaiden tietoja käsitellään tietojärjestelmissä jotka sijaitsevat konesalissa Suomessa tai Euroopan Unionin alueella sijaitsevissa pilvipalveluissa. Suomessa sijaitsevissa konesaleissa tärkeimmät tuotantojärjestelmät on kahdennettu kahteen fyysisesti toisistaan erotettuihin konesaleihin turvallisuuden, tiedon säilymisen ja palvelun jatkuvuuden takaamiseksi normaali ja poikkeustilanteissa. Näissä konesaleissa ovat käytössä palveluntuottajan toimesta sertifioidut turvallisuuskäytännöt, pääsynhallinta ja valvonta.
Manuaalisesti ylläpidettävät aineistot sijaitsevat toimitiloissa, joihin asiattomilta pääsy on estetty kulunvalvonnalla ja tärkeimmissä toimitiloissa on käytössä videovalvonta mahdollisen fyysisen turvallisuuden rikkoutumisen selvittämiseksi ja todentamiseksi.
Rekisteröityjen oikeudet
Rekisteröidyllä on Euroopan Unionin tietosuoja-asetuksen 15-22 § mukaisesti oikeus:
- tarkastaa henkilötiedot
- tietojen oikaisemiseen
- tietojen poistamiseen
- käsittelyn rajoittamiseen
- siirtää tiedot järjestelmästä toiseen
häntä koskeviin tietoihin, joita hänestä on tallennettu Rutiini Oy:n tietojärjestelmiin. Joidenkin rekisteröidyn oikeuksien toteuttamista rajoittaa jokin toinen pakottava lainsäädäntö, jonka perusteella Rutiini Oy:llä on oikeus ja velvollisuus kieltäytyä perustellusti tietojen oikaisemisesta, poistamisesta, käsittelyn rajoittamisesta tai siirtämisestä järjestelmästä toiseen. Esimerkkinä tällaisesta lainsäädännöstä on esimerkiksi kirjanpitolaki, joka määrää palkanlaskentaan liittyvien tositteiden säilyttämisestä, riippumatta rekisteröidyn tietosuoja-asetuksessa määräämistä oikeuksista.
Niissä tilanteissa joissa rekisteröity haluaa tarkastaa tai muuttaa tietojaan Rutiini Oy:n asiakkaan omistuksessa olevaan rekisteriin kuuluvista tiedoista, tulee rekisteröidyn tehdä tietojen tarkastus- tai muutospyyntö rekisterinpitäjälle ja rekisterinpitäjä huolehtii tietojen tarkastus- tai muutospyynnön toimeenpanon yhdessä henkilötietojen käsittelijän Rutiini Oy:n kanssa. Rekisterinpitäjän tulee tällöin osoittaa kirjallinen tarkastuspyyntö alla mainittuun sähköpostiosoitteeseen.
Tarkastus- ja muutospyynnössä tulee yksilöidä henkilötieto, jota halutaan tarkastaa ja antaa rekisterin nimi mitä pyyntö koskee. Pyyntö tulee lähettää sähköpostitse osoitteeseen: info@rutiini.fi. Rekisteröity voi käyttää henkilötietolain määräämää henkilötietoihin kohdistuvaa oikeuttaan maksuttomasti vain kerran vuodessa.
Tietosuojaloukkauksista ilmoittamisen käytännöt
Ilmoitus rekisteröidylle tehdään rekisterinpitäjän toimesta, jos tietosuojaloukkauksesta aiheutuu todennäköisesti korkea riski tämän oikeuksille ja vapauksille. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.
Niissä tapauksissa, joissa tietosuojaloukkaus kohdistuu Rutiini Oy:n asiakkaan omistaman henkilötietorekisterin piirissä olevaan henkilötietoon, on Rutiini Oy:n asiakas vastuussa rekisteröityjen informoinnista. Ilmoitus rekisterinpitäjälle tehdään ilman aiheetonta viivytystä tietosuojaloukkauksen ilmitulosta. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.
Ilmoitus tietoturvaviranomaiselle tehdään laissa määritellyn 72 h kuluessa ilmitulosta, mikäli tietosuojaloukkauksesta todennäköisesti aiheutuu luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.
Tietosuojaselosteen muuttaminen
Rutiini Oy kehittää liiketoimintaansa jatkuvasti ja pidättää oikeuden muuttaa tätä tietosuojaselostetta ilmoittamalla siitä sähköisissä palveluissaan ja muun asiakaskommunikaation yhteydessä. Muutokset voivat perustua lainsäädännössä tapahtuviin muutoksiin ja niistä seuraavien vaatimusten toteuttamiseen.