Impala Services Oy ja TRIBUNI® on noudattanut tietosuoja-asetuksen pääkohtia jo ennen sen soveltamisen alkamista tai voimaantuloa siltä osin kuin ne ovat olleet voimassa jo kansallisen henkilötietolakimme (22.4.1999/523) nojalla.
Impala Services Oy ja TRIBUNI® on valmistautunut asetuksen vaatimuksiin henkilökuntaa kouluttamalla ja mukauttamalla omia prosessejaan.
Impala Services Oy ja TRIBUNI® valmistautuminen tietosuoja-asetuksen voimaantuloon ei edellytä asiakkailta välittömiä toimenpiteitä.
1. Rekisterinpitäjä Impala Services Oy Y: 2639038-5 Takatie 6 90440 KEMPELE puh. 045 632 6000 tuki@impala.fi
2. Henkilötietojen käsittely Henkilötietoja käsitellään toiminnanohjaus palvelun tuottamiseksi, johon kuuluvat myös myyntireskontratiedot ja niiden seuranta ja ylläpito sekä tietoja kirjanpitoaineistosta ja maksuliikenteestä. Henkilötietoja tallentavat toiminnanohjaus palvelun (myöh. ERP) rekistereihin käyttäjät oman toimintansa mahdollistamiseksi. Lisäksi tietoja käytetään raportointiin, seurantaan, valvontaan, koulutukseen, palveluiden kehittämiseen, palvelutapahtumien todentamiseen, konsultointiin ja asiakassuhteen hoitoon liittyvissä tilanteissa. Rekisteriin tallennetaan vain asian hoitamisen kannalta tarpeelliset tiedot.
Henkilötietojen käsittely perustuu toimeksiantajan valtuutukseen.
3. Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä Rekisteriin voidaan tallentaa ERP käyttäjien asiakkaiden laskutus- ja/tai asiakasnumero, nimi, y-tunnus, osoite, puhelinnumero, sähköpostiosoite, yhteyshenkilöiden yhteystiedot, pankkiyhteystiedot ja muut toimeksiannon hoitamisen kannalta tarpeelliset tiedot. Lisäksi rekisteriin voidaan tallettaa: Laskutus- eli myyntireskontratiedot. Tapahtumaa, sen perustetta ja määrää ja maksamista koskevat tiedot. Tapahtumaa ja sen käsittelyvaihetta koskevat tiedot. Myös muut toimeksiannon hoitamisen kannalta tarpeelliset tiedot. Asiakaspalvelun kanssa käydyt puhelinkeskustelut asiakastapahtumien todentamiseksi.
4. Säännönmukaiset tietolähteet Toimeksiantajat (toimeksiantoa, kohdetta ja laskutusta koskevat tiedot). Asiakkaat (asiakasta itseään sekä tehtyä työtä ja maksuja koskevat tiedot). Rekisterinpitäjän itse lisäämät tiedot. Yritys- ja yhteisötietojärjestelmä (yritys- ja yhteisötiedot). Numero-, osoite- ja yhteystietopalveluyritykset (puhelinnumerot ja osoitetiedot).
5. Säännönmukaiset tietojen luovutukset ja tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle Tietoja voidaan siirtää ja luovuttaa rekisteristä toimeksiantosopimusten ja kulloinkin voimassa olevan lainsäädännön sallimissa ja velvoittamissa tilanteissa muun ohella: Toimeksiantajalle. Asiakkaalle itselleen tai tämän määräämälle edustajalle. Numero-, osoite- ja yhteystietopalveluyrityksille tietojen tarkistamista varten.
Tietoja ei siirretä eikä luovuteta Euroopan Unionin tai Euroopan talousalueen ulkopuolelle ellei kyseessä ole tämän alueen ulkopuolinen toimija, jonka omia tietoja käsitellään.
6. Rekisterin suojauksen periaatteet
A. Manuaalinen aineisto Manuaalinen aineisto säilytetään yrityksen, lukitussa tilassa, johon pääsy on vain siihen määrätyillä henkilöillä. Tiloissa on kulunvalvonta ja henkilöstöllä salassapitovelvollisuus. Manuaalista aineistoa ovat ainoastaan Impala Services Oy ja TRIBUNI® omat sopimukset palvelun tuottamista varten, sekä normaalit yritysten omat asiakirjat.
B. Sähköinen aineisto Pääsääntöisesti kaikki rekisteriaineisto Impala Services Oy ja TRIBUNI® ylläpitää ja tallettaa on ERP asiakkaiden omaa aineistoa heidän toimintansa mahdollistamiseksi. Aineisto säilytetään sähköisessä muodossa ja sitä käytetään Impala Services Oy ja TRIBUNI® palvelimelta salatun yhteyden kautta.
IT-järjestelmä on suojattu ulkopuolisilta ja palvelimet on suojattu palomuurilla. Tietoliikenne toimii SSL- ja SSH -salattujen yhteyksien yli. Kirjautumiset ja rajapinnat vaativat autentikoinnin. Käyttäjien salasanat on salattuna järjestelmässä ja kirjautuminen vaatii käyttäjätunnuksen.
7. Tarkastusoikeus Rekisteröidyillä on henkilötietolain 26 §:n mukaisesti oikeus tarkistaa, mitä heitä koskevia tietoja henkilörekisteriin on talletettu. Tarkastuspyyntö tulee lähettää kirjallisesti, henkilötunnuksella varustettuna sekä omakätisesti allekirjoitettuna osoitteeseen: Impala Services Oy, Takatie 6, 90440 KEMPELE Pyynnön liitteenä tulee toimittaa kopio allekirjoituksen sisältävästä henkilöllisyystodistuksesta.
Rekisteröidyllä on oikeus vaatia henkilörekisterissä olevan virheellisen tiedon korjaamista. Kirjallinen ja omakätisesti allekirjoitettu korjauspyyntö on toimitettava yllä mainittuun osoitteeseen ja siinä on yksilöitävä vaadittavat korjaukset sekä niiden perusteet.
Tulemme jatkossakin tuottamaan ensiluokkaista palvelua asetusten, lakien, viranomaisohjeiden sekä yhteistyökumppaniemme kanssa solmimien sopimusten mukaisesti. Näin asiakkaamme voivat jatkaa palveluiden käyttöä tiedostaen, että heidän ja heidän asiakkaidensa henkilötietoja käsitellään asianmukaisesti ja asetuksen velvoitteet täyttäen.
20.5.2018 Impala Services Oy
Impala Services Oy ja TRIBUNI® 2018
1. TAUSTA JA TARKOITUS Impala Services Oy:n (”Impala”) ja sen kanssa sopimuksen solmineen asiakkaan (”Asiakas”) väliseen sopimussuhteeseen sovelletaan tätä Impala Services Oy:n yleisten ja palvelukohtaisten ehtojen tietosuojaliitettä, kun Impala käsittelee käsittelijänä henkilötietoja rekisterinpitäjänä toimivan Asiakkaan lukuun. Jos tämän tietosuojaliitteen ja yleisten ja palvelukohtaisten ehtojen henkilötietojen käsittelyä koskevat ehdot ovat ristiriidassa keskenään, sovelletaan ensisijaisesti tämän tietosuojaliitteen ehtoja. Tämän tietosuojaliitteen tarkoituksena on sopia Asiakkaan henkilötietojen suojasta ja tietoturvasta Impala tuottaessa Asiakkaalle yleisten ja palvelukohtaisten ehtojen mukaisia palveluita. Impala ja Asiakas noudattavat kulloinkin sovellettavaa tietosuojalainsäädäntöä käsitellessään Impala ja Asiakkaan välisen sopimuksen perusteella rekisteröityjen henkilötietoja. Tietosuojalainsäädännöllä tarkoitetaan henkilötietojen suojaan liittyvää kansallista ja EU-lainsäädäntöä, kuten Euroopan unionin yleistä tietosuoja-asetusta (EU 2016/679). Niitä tietosuojaan liittyviä termejä, joita ei ole määritelty tässä tietosuojaliitteessä, käytetään EU:n yleisen tietosuoja asetuksen määrittämällä tavalla. Palvelussa Impala käsittelee henkilötietoja yleisten ja palvelukohtaisten ehtojen mukaisten palveluiden tuottamiseksi Asiakkaalle. Palvelut voivat olla esimerkiksi kiinteistön- tai kodinkonehuoltojen tuottamiseen liittyviä palveluita, kuten Asiakkaan kanssa on tarkemmin sovittu. Rekisteröidyt ovat toimeksiannon kohteena olevia asiakkaita tai näiden henkilöstöä, toimeksiantoon liittyviä muita henkilöitä ja/tai Asiakkaan henkilöstöä. Toimeksiannon kohteena olevista asiakkaista tai näiden henkilöstöstä käsitellään palvelun toteuttamiseksi ja toimeksiantojen hoitamiseksi tarpeellisia henkilötietoja, kuten asiakasnumero, nimi, henkilötunnus tai syntymäaika, osoite, puhelinnumero, sähköpostiosoite, yhteyshenkilöiden tai edunvalvojien nimet ja yhteystiedot, pankkiyhteystiedot ja muut toimeksiannon hoitamisen kannalta tarpeelliset tiedot toimeksiannon kohteesta. Lisäksi toimeksiantojen hoitamiseksi voidaan käsitellä muita tarpeellisia tietoja mukaan lukien laskutustietoja, saatavaa, sen määrää ja perustetta sekä sen maksamista koskevia tietoja, toimeksiannon asianumeroa ja sen käsittelyvaihetta koskevia tietoja, rekisteröidyn itse antamia tietoja sekä julkisista rekistereistä saatavia toimeksiannon hoitamisen kannalta tarpeellisia tietoja, asiakaspalvelun kanssa käydyistä puhelinkeskusteluista ja muusta viestinnästä. Asiakas on velvollinen ilmoittamaan Impala:lle, mikäli palveluiden mukaisten toimeksiantojen hoitamisen yhteydessä Impala:n käsiteltäväksi tulee muita kuin yllä mainittuja henkilötietoja, erityisesti mikäli kyse erityisiin (arkaluontoisiin) henkilötietoryhmiin kuuluvista henkilötiedoista. Asiakkaan henkilöstöstä käsiteltäviä tietoja ovat nimi, puhelinnumero ja sähköpostiosoite.
2. KÄSITTELY Asiakas siirtää Impala:lle ja Impala:n järjestelmiin vain sellaista tietoa, jota sillä on oikeus käsitellä kulloinkin soveltuvan tietosuojalainsäädännön mukaan. Impala ja sen alaisuudessa toimiva henkilöstö käsittelee Asiakkaan lukuun henkilötietoja vain sopimuksen ja sen liitteiden, kuten tämän tietosuojaliitteen, mukaisesti sekä mahdollisen erikseen sovitun kirjallisen ohjeistuksen mukaisesti, ellei kulloinkin sovellettavassa lainsäädännössä toisin vaadita. Jos Impala huomaa, että kirjallinen ohjeistus on lainvastainen, Impala tiedottaa Asiakasta tästä lainsäädännön vaatimuksesta ennen käsittelyä. Impala ei kuitenkaan tiedota asiasta, jos ilmoittaminen on kielletty kyseisessä lainsäädännössä yleistä etua koskevien tärkeiden syiden vuoksi. Impala varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta. Impala:lla on oikeus siirtää ja luovuttaa henkilötietoja Asiakkaan kanssa solmitun sopimuksen ja kulloinkin sovellettavan lainsäädännön sallimissa ja velvoittamissa tilanteissa esimerkiksi rekisteröidylle itselleen ja/tai Impala:n yleiset ja palvelukohtaiset ehdot 1/2018 mukaisesti. Sopimuksen päätyttyä Impala poistaa kohtuullisessa ajassa ne sopimuksen perusteella asiakkaan lukuun käsitellyt henkilötiedot, joita soveltuvan lainsäädännön vuoksi ei ole perusteltua säilyttää. Impala säilyttää henkilötietoja sen aikaa kuin se on soveltuvan lainsäädännön vuoksi perusteltua, minkä jälkeen ne sopimussuhteen loputtua poistetaan kohtuullisessa ajassa. Soveltuvan tietosuojalainsäädännön niin vaatiessa, Impala pitää käsittelijänä selostetta käsittelytoimista valvontaviranomaista varten.
3. TIETOTURVA
Impala toteuttaa riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöön panemiseksi niin, että käsittely täyttää sovellettavan lainsäädännön vaatimukset. Näissä teknisissä ja organisatorisissa toimenpiteissä huomioidaan riskiä vastaava turvallisuustason varmistaminen kuten: • tarvittaessa henkilötietojen pseudonyymisointi ja salaus; • kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus • kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa • menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Impala kiinnittää huomiota turvallistason arvioimisessa käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattomat luovuttamisen tai henkilötietoihin pääsyn vuoksi. Jos tapahtuu Asiakkaan lukuun käsiteltäviä henkilötietoja koskeva tietoturvaloukkaus, Impala ilmoittaa siitä Asiakkaalle ilman aiheetonta viivästystä ja mahdollisuuksien mukaan kolmenkymmenkuuden (36) tunnin kuluessa saatuaan sen tietoonsa. Ottaen huomioon käsittelyn luonteen ja Impala:n saatavilla olevat tiedot, Impala antaa Asiakkaalle tarpeelliset tiedot tietoturvaloukkauksesta, jotta Asiakas voi täyttää sovellettavan tietosuojalainsäädännön vaatimukset, kuten ilmoitusvelvollisuutensa tai tietoturvaloukkausten dokumentointivelvollisuutensa. Asiakas ilmoittaa Impala:lle ilman aiheetonta viivästystä, jos Asiakkaan tietoon tulee tietoturvaloukkaus, joka saattaa koskea Impalaa Asiakkaan lukuun käsittelemiä henkilötietoja. Jos Impala tarvitsee tietoturvaloukkaustilanteessa tarpeellisia tietoja Asiakkaalta voidakseen täyttää tämän tietosuojaliitteen ja lainsäädännön mukaiset velvollisuutensa, Asiakkaan on annettava ne Impala:lle ilman aiheetonta viivytystä.
4. AUDITOINTIOIKEUS
Asiakkaalla ja/tai sen tätä tarkoitusta varten valtuuttamalla kolmannella taholla on oikeus suorittaa auditointi, kuten tarkastus, arvioidakseen tämän liitteen mukaisten tietosuojavelvoitteiden täyttämistä ja tietoturvan tasoa. Valtuutettu kolmas taho ei saa olla Impala:n suora kilpailija. Impala:lla on oikeus määrittää, onko valtuutettu kolmas taho Impala:n suora kilpailija. Impala:lla on oikeus edellyttää sellaisen valtuutetun kolmannen tahon käyttämistä auditointiin, joka ei ole Impala:n suora kilpailija. Impala:n tulee osallistua tarkastuksiin ja antaa Asiakkaalle kaikki tiedot, jotka ovat tarpeen Impala:n velvollisuuksien noudattamisen osoittamista varten. Asiakkaalla on oikeus tarkastaa myös Impala:n käyttämien alihankkijoiden toiminta niiltä osin, kuin se on tarpeen palvelussa käsiteltävien henkilötietojen suojaamiseksi. Asiakas vastaa tarkastuksen kustannuksista kolmannen tahon osalta, muilta osin osapuolet vastaavat omista kustannuksistaan. Asiakkaalla ja sen valtuuttamalla kolmannella taholla on salassapitovelvollisuus auditoinnissa ilmi käyneistä Impala:n liikesalaisuuksista. Auditointi oikeuden käyttämisestä ja auditoinnin sisällöstä ja menettelyistä sekä ajankohdasta sovitaan aina erikseen Impala:n kanssa. Auditoinnin ajankohta voi olla aikaisintaan kolmenkymmenen (30) päivän kuluttua auditointia koskevasta kirjallisesta yhteydenotosta. Myös viranomaisilla on tarkastusoikeus esimerkiksi silloin, kun viranomainen tarkastaa Asiakkaan prosessia, johon kuuluu osana Impala:n Asiakkaalle Impala Services Oy ja TRIBUNI® yleiset ja palvelukohtaiset ehdot 1/2018.
5. ALIHANKKIJAT Asiakas antaa tällä tietosuojaliitteellä luvan Impala:lle luvan käyttää alihankkijoita henkilötietojen käsittelyssä. Alihankkijat käsittelevät henkilötietoja heidän kanssaan sovitun mukaisessa laajuudessa. Impala:n nykyiset alihankkijat on listattu seuraavalla verkkosivulla: https://impala.fi. Impala ilmoittaa Asiakkaalle tulevista muutoksista alihankkijoissa. Lista päivitetään myös yllä mainittuun osoitteeseen. Jos Asiakas ei anna lupaa uuden alihankkijan käyttämiseksi henkilötietojen käsittelyssä, Asiakkaalla on oikeus irtisanoa sopimus neljäntoista (14) päivän kuluessa alihankkijoiden muutosilmoituksesta. Jos Asiakas ei irtisano sopimusta, Impala voi käyttää ilmoitettuja uusia alihankkijoita. Asiakkaan irtisanoessa sopimuksen noudatetaan yleisten ja palvelukohtaisten ehtojen kohtaa 1.2 sopimuksen irtisanomisesta ja irtisanomisajasta. Impala:n käyttäessä alihankkijoita Asiakkaan henkilötietojen käsittelyyn, Impala huolehtii siitä, että alihankkijaan sovelletaan sopimuksen tai muun oikeudellisen asiakirjan perusteella samoja tai vähintään yhtä tiukkoja tietosuojavelvoitteita kuin tässä tietosuojaliitteessä. Erityisesti alihankkijan on annettava riittävät takeet siitä, että käsittelyyn liittyvät tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää sovellettavan lainsäädännön vaatimukset. Jos Impala:n alihankkija ei täytä tietosuojavelvoitteitaan, on Impala edelleen täysimääräisesti vastuussa alihankkijan velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.
6. KÄSITTELY EUROOPAN UNIONIN JA EUROOPAN TALOUSALUEEN ULKOPUOLELLA Henkilötietoja ei siirretä eikä luovuteta Euroopan unionin, Euroopan talousalueen tai Euroopan komission päättämien riittävän tietosuojan tason maiden ulkopuolelle ilman, että Impala ilmoittaa asiasta etukäteen Asiakkaalle. Jos Asiakas ei anna lupaa siirtoon, Asiakkaalla on oikeus irtisanoa sopimus neljäntoista (14) päivän kuluessa ilmoituksesta. Asiakkaan irtisanoessa sopimuksen noudatetaan yleisten palveluehtojen kohtaa 19.1 sopimuksen irtisanomisesta ja irtisanomisajasta. Mikäli henkilötietoja siirretään Euroopan unionin, Euroopan talousalueen ja Euroopan komission päättämien riittävän tietosuojan tason maiden ulkopuolelle, osapuolet käyttävät asianmukaisia suojatoimia, kuten Euroopan komission vahvistamia tietosuojaa koskevia vakiolausekkeita.
7. AUTTAMINEN Impala auttaa Asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään sovellettavan lainsäädännön mukaisesti rekisterinpitäjänä toimivan Asiakkaan velvollisuuden vastata tiettyihin rekisteröidyn oikeuksia koskeviin pyyntöihin. Nämä pyynnöt voivat koskea I) oikeutta tietojen oikaisuun II) oikeutta tietojen poistamiseen III) oikeutta käsittelyn rajoittamiseksi tai IV) oikeutta siirtää tiedot järjestelmästä toiseen. Osan näistä tehtävistä Asiakas voi suorittaa Impala:n palvelun osana olevan järjestelmän kautta. Ottaen huomioon käsittelyn luonteen ja Impala:n saatavilla olevat tiedot Impala auttaa Asiakasta varmistamaan, että tämä voi rekisterinpitäjänä täyttää velvollisuutensa vaikutustenarviointia tai valvontaviranomaisen ennakkokuulemista varten soveltuvan lainsäädännön niin vaatiessa. Impala saattaa Asiakkaan saataville kaikki tiedot, jotka ovat tarpeen soveltuvassa lainsäädännössä säädettyjen rekisterinpitäjän ja käsittelijän välisen suhteen velvollisuuksien noudattamisen osoittamiseksi. Impala:n on välittömästi ilmoitettava Asiakkaalle, jos Impala katsoo, että mahdollisesti erikseen sovittu Asiakkaan kirjallinen ohjeistus rikkoo soveltuvaa kansallista tai EU:n tietosuojalainsäädäntöä. Jos Impala tarvitsee Asiakkaalta tietoja tai muuta apua voidakseen täyttää tämän kohdan 7. mukaiset auttamisvelvollisuutensa, Asiakkaalla on velvollisuus ilman aiheetonta viivytystä maksutta tarjota nämä tiedot tai muu Impala:n pyytämä apu.
22.05.2018 Impala Services Oy