NUORISOKESKUS VILLA ELBA OY
Tietoturvadokumentaatio
Päivitetty 14.7.2018
Laatija Catarina Silvander, toimitusjohtaja
Rekisterinpitäjä
Nuorisokeskus Villa Elba Oy
Rekisteriasioita hoitava henkilö
Päävastuullinen: Taloussihteeri Outi Peltonen
Tämä dokumentti sisältää yleiskuvauksen Nuorisokeskus Villa Elba Oy:ssä käytetyistä työkaluista, joissa käsitellään henkilötietoja; miten kerätään, käytetään, suojataan ja luovutetaan asiakkaiden tai työntekijöiden henkilötietoja.
1. Tiedonkeruu
Voimme kerätä henkilötietoja niiltä, jotka vierailevat yrityksessä, käyttää palveluja, tai muutoin ovat yhteydessä. Kerätyt tiedot jaetaan kolmeen osaan: (a) suoraan annetut tiedot; (b) automaattisesti keräämät tiedot; ja (c) muista lähteistä keräämät tiedot.
Suoraan annetut tiedot voidaan automaattisesti lisätä aikaisemmin keräämiin tietoihin sekä muista lähteistä keräämiin tietoihin. Tiedot voidaan siirtää suoramarkkinointirekistereihin asiallisen yhteyden päättyessä, ellei rekisteröity ole kieltänyt kyseistä tietojen siirtoa.
Tiedot voivat olla;
– henkilökohtaiset tiedot, kuten nimi, posti- ja sähköpostiosoite, puhelinnumero, syntymäaika, ja muut yhteystiedot;
– asiointi- ja käyttötiedot, kuten tiedot palvelujen ostosta, hinnoista, maksutavoista ja maksutiedoista;
– tilitiedot, kuten palvelun ostoa koskeva tieto;
– muut henkilötiedot, joita annetaan.
2. Rekisterien nimet ja sisältö
Alla on määritelty omat rekisterit sekä käytetyt järjestelmät, joiden tietoturvakuvaukset löytyvät liitteinä dokumentin lopussa.
2.1. Asiakkuuteen perustuva rekisteri
a. Palvelujen ostaminen Varausjärjestelmään SPORTUMiin (liite 1) kerätään asiakkaan varauksen ja tilaisuuden suunnittelun ja toteuttamisen yhteydessä antamat tarvittavat tiedot. Tiedot voivat olla esim. nimen, (s-posti) osoitteen ja puhelinnumeron lisäksi syntymävuosi, sosiaaliturvatunnus, terveystietoja.
Palvelun laskuttaminen tapahtuu Kokkolan kaupungilta ostopalveluna Unit4 agresso järjestelmän kautta, liite 2. Yksityishenkilön laskutuksen yhteydessä tarvitaan myös sosiaaliturvatunnus.
Perustiedot kuten nimi, syntymävuosi, osoite ja puhelinnumero voidaan siirtää suoramarkkinointirekisterin asiallisen yhteyden päättyessä, ellei rekisteröity ole kieltänyt kyseistä tietojen siirtoa.
Arat henkilötiedot kuten terveystiedot, sosiaaliturvatunnus poistetaan järjestelmästä 12 kk sisällä.
b. Ilmoittautuminen Tapahtumiin, toimintaan ja hankkeisiin ilmoittautuminen voi tapahtua puhelimitse, sähköpostilla tai webropol, liite 3 järjestelmän kautta.
Ilmoittautumisen yhteydessä annetut perustiedot kuten nimi, syntymävuosi, osoite ja puhelinnumero voidaan siirtää suoramarkkinointirekisterin asiallisen yhteyden päättyessä, ellei rekisteröity ole kieltänyt kyseistä tietojen siirtoa.
2.2. Asialliseen yhteyteen perustuva muu rekisteri
a. Hankkeet Nuorten pedagogisen liikkuvuuden hankkeissa käsitellään osallistujien henkilötietoja esim. confidential letter missä nuori itse selvittää elämäntilanteensa ja terveyslomake missä selvittelevät terveystilanteensa.
Hankkeiden aikana kerätyt arat henkilötiedot kuten terveystiedot, confidential letter elämäntilanteesta, sosiaaliturvatunnus poistetaan järjestelmästä 12 kk sisällä.
Hankkeessa mukana olevien nuorten perustiedot kuten nimi, syntymävuosi, osoite ja puhelinnumero voidaan siirtää suoramarkkinointirekisterin asiallisen yhteyden päättyessä, ellei rekisteröity ole kieltänyt kyseistä tietojen siirtoa.
Hankkeet raportoidaan pääsääntöisesti Mobility-tool’in kautta, liite 4.
b. Kyselyjä Kyselyjä tehdään asiakkaille, hankkeissa mukana olleille, sidosryhmille etc. Kyselyt tehdään pääsääntöisesti anonyyminä ja webropol – järjestelmän kautta (liite 3).
c. Sähköinen markkinointi Tuotamme neljä kertaa vuodessa sähköisen uutiskirjeen Postiviidakko järjestelmän kautta (Suomen Nuorisokeskukset ry:n sopimus), liite 5. Uutiskirje lähetetään niille, jotka ovat antaneet suostumuksensa sähköiseen markkinointiin esim. uutiskirjeen sivun kautta, messuilla, tapahtumissa etc.
d. Rikosrekisteritiedot Laki lasten kanssa työskentelevien rikostaustan selvittämisestä edellyttää, että uudet työntekijät pyydetään näyttämään itse tilaamansa rikosrekisteriote. Näyttämisestä pidetään kirjaa nimestä ja milloin on näyttänyt dokumentin ja onko siellä ollut asiaan vaikuttavaa merkintää.
2.3.Työsuhteisiin liittyvä rekisteri
a. Henkilötietojen käsittely
Tarkoituksena on rekisteröidyn ja Nuorisokeskus Villa Elba Oy:n väliseen työsuhteeseen liittyvien asioiden hoitaminen. Rekisteriin tallennetaan työntekijästä mm. nimi, yhteystiedot, henkilötunnus sekä pankkitiliä koskevat tiedot.
Työsopimukset säilytetään lukitussa kaapissa, johon vaan toimitusjohtajalla ja taloussihteerillä on pääsy. Palkanlaskentapalveluja ostetaan Kokkolan kaupungilta, joten palkanlaskenta ja palkkasihteeri Anne Torpalla käsittelee myös tiedot.
Osa työntekijöiden työvuorosuunnittelusta tehdään Kokkolan kaupungin hallinnoiman titania ohjelmiston kautta (liite 6).
Työaikaseuranta hoidetaan Kokkolan kaupungin hallinnoiman esmikko ohjelmiston kautta (liite 7). Esmikkovastaava Villa Elbassa on taloussihteeri Outi Peltonen.
Pääsy rekisterien tietoihin on vain niillä ja siinä laajuudessa, kun työnjohtaminen, valvominen, palkanlaskenta tai muu työsuhteeseen liittyvän asian hoito edellyttää.
Henkilötietoja käsittelee vaan toimitusjohtaja, tiiminvetäjät ja taloussihteeri. Niitä ei luovuteta ulkopuolisille paitsi Suomen viranomaistoimien niin edellyttäessä.
b. Rekrytointi ja siihen liittyvää Työntekijärekrytointien työpaikkahakemukset ja ansioluettelot toimitetaan pääosin sähköpostin kautta.
Henkilötietoja käsittelee vaan toimitusjohtaja ja tiiminvetäjät sekä mahdollisesti yrityksen hallitus. Niitä ei luovuteta ulkopuolisille paitsi Suomen viranomaistoimien niin edellyttäessä.
Rekrytointiprosessissa kerätyt tiedot poistetaan 6 kk:n päästä rekrytoinnin päätyttyä.
3. Keräämien tietojen käyttö voi liittyä;
– tilauksiin ja pyyntöihin sekä palveluita koskeviin maksuihin; – yhteydenpitoon liittyen tilauksiin, ostoihin, tileihin, pyyntöihin, kysymyksiin ja kommentteihin;
– liiketoiminnan hoitamiseen, mukaan lukien uusien palveluiden kehittämiseen, asiakastutkimusten toteuttamiseen, sekä myyntiin, markkinointiin ja mainontaan ja niiden tehokkuuden arvioimiseen; – sovellettavan lain noudattamiseen; – muihin asioihin, joista kerrotaan tietoja kerättäessä tai silloin, kun pyydetään suostumusta tietojen käsittelyyn
Henkilötietojen käsittelyperusteena on oikeutettu etu, joka perustuu osapuolten väliseen asialliseen yhteyteen. Tietoja voidaan käsitellä myös henkilön suostumuksen perusteella
Työsuhteeseen liittyvien henkilötietojen käsittelyperusteena on sopimus ja oikeutettu etu.
3. Miten kerätyt tiedot jaetaan
Yritys ei myy henkilötietoja eikä luovuta muuten kuin tässä tietosuojaselosteessa on kuvattu:
– Henkilötietoja voidaan luovuttaa sovittujen asioiden hoitamiseksi, esimerkiksi työsuhteeseen liittyvät tiedot palkanlaskentaan ym. – Henkilötietoja vastaanottavat tahot eivät ole oikeutettuja luovuttamaan tietoja muille tahoille muutoin kuin tässä tietosuojaselosteessa kuvatuilla tavoilla. – Sellaista tietoa, josta ei henkilöitä ei ole suoraan tunnistettavissa voidaan aika ajoin luovuttaa, esim. anonymisoituja, koottuja tilastotietoja. – Villa Elballa on oikeus käyttää tai luovuttaa tietoja, mikäli se on tarpeen lain, säädöksen tai laillisen pyynnön johdosta; teknologian suojaamiseksi; oikeusvaateilta puolustautumiseksi tai niiden esittämiseksi; organisaation, työntekijöiden tai yleisön oikeuksien, etujen tai turvallisuuden suojaamiseksi; tai petoksen, muun rikoksen tai sääntöjemme rikkomisen tutkimisen yhteydessä.
4. Kuvaus rekisterin suojauksesta ja turvatoimista
4.1. Tietoturva
Villa Elba on sitoutunut huolehtimaan asianmukaisista toimenpiteistä pitääkseen henkilötiedot turvassa. Tekniset, hallinnolliset ja fyysiset prosessit on suunniteltu suojaamaan henkilötiedot vahingossa tapahtuvalta, laittomalta tai luvattomalta häviämiseltä, tietoihin pääsyltä, luovuttamiselta, käytöltä, muuttamiselta tai tuhoamiselta. Tästä huolimatta ei kuitenkaan voi taata, että internet-sivu, tietokonejärjestelmä tai tietojen siirto internetin tai muun julkisen verkon välityksellä on täysin turvallinen.
IT palveluja ostetaan Kokkolan kaupungilta ja rekisteriin liittyvät tietokannat ovat heidän toimesta palomuurein, salasanoin ja muin teknisin keinoin suojattuja ulkoisia tietomurtoja vastaan. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa tiloissa (liite 6)
Ainoastaan yksilöidyillä yrityksen toimeksiannosta ja lukuun toimivien yritysten työntekijöillä on pääsy rekisterin sisältämiin tietoihin rekisterinpitäjän myöntämällä henkilökohtaisella käyttöoikeudella.
4.2. Henkilöiden oikeudet
Kaikilla on oikeus tarkastaa, mitä sinua koskevia tietoja rekisteriin on tallennettu. Tarkastuspyyntö tulee lähettää osoitteeseen elba@kokkola.fi.
Mikäli markkinointiviestintään on annettu lupaa, voi myöhemmin kieltäytyä viestinnästä ohjeiden mukaisesti.
Henkilötietoja ei luovuteta kolmansille tahoille heidän omaan suoramarkkinointitarkoitukseensa.
Tietojen antaja hallitsee kaikkia henkilötietoja. Jos henkilötietoja halutaan korjata, on otettava yhteyttä sähköpostiosoitteella elba@kokkola.fi. Lisäksi tietyissä tilanteissa on oikeus pyytää omien henkilötietojen poistamista rekisteristä.
Henkilötietojen käsittelyä koskevat erimielisyydet pyritään aina ratkaisemaan suoraan rekisteröidyn kanssa. Mikäli siihen ei ole tyytyväinen on oikeus saattaa asia tietosuojaviranomaisen tutkittavaksi.
4.3. Lasten tietosuoja
Asetuksen mukaan suostumus lapsen tietojen käsittelyyn on saatava vanhemman vastuussa olevalta henkilöltä. Velvollisuus suostumuksen hankkimiseen alle 16–vuotiaiden huoltajalta tulee vain silloin, jos kyse on tietoyhteiskunnan palvelusta ja käsittelyperusteena on suostumus.
4.4. Henkilötietojen säilyttäminen
Henkilötiedot säilytetään vain niin kauan kuin tietoja voidaan pitää tarpeellisina tässä dokumentissa kuvattujen käyttötarkoitusten kannalta, ellei tietojen säilyttäminen tätä pidempään ole lain edellyttämä tai lain nojalla sallittu.
4.5. Kansainväliset tietojensiirrot
Tietoja ei siirretä Euroopan talousalueen ulkopuolisille maille, jos ei ole tarpeen esimerkiksi hankkeen toteuttamisen yhteydessä Euroopan ulkopuolisen kumppanin kanssa.
5. Muutokset tietosuojaselosteeseen
Tätä tietosuojaselostetta sovelletaan yllä mainitusta päiväyksestä lukien. Voi tulla tarve muuttaa tietosuojadokumenttia, joten sitä kannattaa tarkistaa täältä säännöllisesti.
6. Miten ottaa meihin yhteyttä
Jos haluat ottaa meihin yhteyttä tähän tietosuojaselosteeseen liittyen, saat meidät kiinni seuraavasti sähköpostilla elba@kokkola.fi.
LIITTEET:
1. Sportumin tietoturvakuvaus
2. Unit4 agresson tietoturvakuvaus
3. Webropolin tietoturvakuvaus
4. Mobility tool’in tietoturvakuvaus
5. Koodiviidakon tietoturvakuvaus
7. Titania työvuorosuunnittelujärjestelmä