Valtorissa käsitellään paljon asiakkaiden ja toimittajien henkilötietoja osana palveluiden tarjoamista ja toiminnan kehittämistä. Valtori käsittelee henkilötietoja myös muiden yhteydenottojen yhteydessä.
Tietosuojaselosteista saat tietoa henkilötietojesi käsittelystä eri tilanteissa ja tietosuoja-asetuksen mukaisista oikeuksistasi.
- Jos sinulla on kysyttävää henkilötietojen käsittelystä Valtorissa, voit olla yhteydessä Valtorin tietosuojavastaavaan, jonka yhteystiedot löytyvät selosteista.
- Jos haluat toteuttaa oikeuksiasi rekisteröitynä, voit olla yhteydessä Valtorin kirjaamoon. Pyrithän yksilöimään pyyntösi mahdollisimman tarkasti.
Tietosuojaselosteet
Laadittu: 24.5.2018 Päivitetty: 16.5.2022
1 Rekisterinpitäjä
Valtion tieto- ja viestintätekniikkakeskus Valtori
Vapaudenkatu 58, 40100 Jyväskylä
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
Tietosuojavastaava
Aapo Immonen
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
2 Henkilötietojen käsittelyn tarkoitus
Valtori tallentaa vaihteeseen ja asiakaspalveluun tulevat puhelutiedot ja niiden tallenteet, sekä tekstiviestit. Puheluiden kontaktihistoriaa ja puhelutallenteita käytetään ensi sijassa asiakaspalvelun kehittämiseen. Tallenteita voidaan käyttää asiakaspalveluhenkilöstön koulutuksessa ja palvelutasotutkimuksissa.
TORI-liiketoiminnan asiakastuen ja puhelunvälityksen asiakkaille lähettämät tekstiviestit tallentuvat järjestelmään, ja niistä voidaan tarvittaessa varmistaa, onko viesti lähetetty. Viestejä ei käsitellä muihin tarkoituksiin. Käsittely perustuu rekisterinpitäjän oikeutettuun etuun.
3 Rekisterin tietosisältö
Rekisteri sisältää sekä Valtorin asiakastuen puhelinpalvelun, että Valtorin puhelunvälityspalvelun, eli puhelinvaihteen. Rekisteri koskee sekä TORI- että TUVE-liiketoiminnan puhelujärjestelmiä.
Tallentuvat tiedot ovat: soittajan puhelinnumero, puhelun aikaleima, palvelunumero johon soitettu, puhelutallenteet, tekstiviestien osalta vastaanottajan puhelinnumero sekä lähetetyn viestin sisältö.
4 Tietojen säännönmukaiset luovutukset ja henkilötietojen vastaanottajat
Tietoja ei luovuteta toisille rekisterinpitäjille. Järjestelmän toimittajana on Elisa Oyj, joka voi TORI-liiketoiminnassa osallistua tietojenkäsittelyyn. TUVE-liiketoiminnassa kenelläkään ulkopuolisilla ei ole tietoihin pääsyä.
5 Henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle
Tietoja ei siirretä EU:n eikä ETA-alueen ulkopuolelle.
6 Tietoryhmien säilytysajat
Asiakastuen puhelutallenteita säilytetään TORI-liiketoiminnassa 2 kk ja TUVE-liiketoiminnassa 3 kk. Puhelunvälityspalvelun tallenteita säilytetään 6 kk. Puhelujen ja tekstiviestien kontaktitiedot eivät poistu automaattisesti, mutta voidaan poistaa pyydettäessä.
7 Tekniset ja organisatoriset turvatoimet
Manuaalinen aineisto:
Jos rekisteriin saadaan manuaalista tietoaineistoa tai sitä tulostetaan, säilytetään sitä lukitussa tilassa. Tarpeeton manuaalinen aineisto hävitetään tietoturvallisesti noudattaen tietojen säilyttämisestä annettu-ja päätöksiä ja säännöksiä sekä asiakirjahallinnon ohjeita.
Digitaalisesti käsiteltävät aineistot:
Tiedot kerätään järjestelmiin ja tietokantoihin, jotka ovat palomuurein, salasanoin ja muin teknisin keinoin suojattuja. Tietoihin on pääsy vain valtuutetuilla henkilöillä, ja pääsynhallintaa toteutetaan vaatimustenmukaisin käytännöin. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa ja vartioiduissa tiloissa ja niihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Osa rekisterin henkilötiedoista on salassa pidettäviä.
8 Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä
Tiedot tallentuvat asiakastukeen ja puhelinvälityspalveluun saapuvista puheluista ja asiakastuen ja puhelunvälityksen asiakkaille lähettämistä tekstiviesteistä.
9 Rekisteröidyn oikeudet
9.1 Artiklan 15:n mukainen rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröidyllä on lisäksi oikeus tehdä valitus valvontaviranomaiselle.
Rekisteröity voi tehdä tarkastuspyynnön rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1). Jos rekisteröidyn käyttämästä tarkastusoikeudesta on kulunut vähemmän kuin yksi vuosi, voi Rekisterinpitäjä periä tietojen antamisesta aiheutuvat hallinnollisiin kustannuksiin perustuvan maksun (artikla 12 [5]).
Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.
9.2 Artiklan 16:n mukainen oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.3 Artiklan 17:n mukainen oikeus tietojen poistamiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä poistaa henkilötiedot, joita käsitellään rekisterinpitäjän oikeutetun edun vuoksi. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.4 Artiklan 18:n mukainen oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:
- rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
Mikäli Rekisteröity kiistää henkilötietojen paikkansapitävyyden, rajoitetaan niiden käsittelyä ajaksi, jonka kuluessa Rekisterinpitäjä varmistaa niiden paikkansapitävyyden. Rekisteröity osoittaa pyynnön perusteluineen rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.5 Artiklan 19:n mukainen henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16 ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää. Rekisteröidyn halutessa tiedon vastaanottajista tulee hänen tehdä pyyntö rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
Laadittu: 4.8.2020
1 Rekisterinpitäjä
Valtion tieto- ja viestintätekniikkakeskus Valtori
Vapaudenkatu 58, 40100 Jyväskylä
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
Tietosuojavastaava
Aapo Immonen
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
2 Henkilötietojen käsittelyn tarkoitus
Valtorin vierailija- ja toimitiloissa on kameravalvonta, ja lisäksi vierailijan henkilötiedot merkitään vierailijatietojärjestelmään. Valtori käsittelee toimitiloissa vierailevien henkilöiden tietoja Valtorin henkilöstön, omaisuuden ja tietojen turvaamiseksi. Käsittely perustuu lakiin.
Aulatiloissa ja yleisissä neuvotteluhuoneissa on myös kameravalvonta. Näissä tiloissa kameravalvonnan osalta rekisterinpitäjänä toimii Senaatti-kiinteistöt, ja heidän tietosuojakäytännöistään voi lukea Senaatti rekisterinpitäjänä -sivulta.
Tämä seloste koskee Tori-liiketoiminnan sekä yhteiskäyttöisten Tori- ja Tuve-liiketoiminnan toimitiloja.
3 Rekisterin tietosisältö
Vierailijatietoihin tallennetaan vierailijan yhteystietoja, joita voivat olla nimi, organisaatio, puhelinnumero ja sähköposti. Vierailusta voidaan tallentaa myös tilaisuuden aihe, ajankohta, sijainti ja isäntä, sekä tilaisuuteen liittyvät ravintolatilaukset.
Kameravalvonnassa tallentuu videokuvaa, muttei ääntä.
4 Tietojen säännönmukaiset luovutukset ja henkilötietojen vastaanottajat
Tietoja ei luovuteta toisille rekisterinpitäjille. Henkilötietojen käsittelijänä toimii Senaatti-kiinteistöt, joka käyttää toiminnassa myös alihankkijoita.
5 Henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle
Tietoja ei siirretä EU:n eikä ETA-alueen ulkopuolelle.
6 Tietoryhmien säilytysajat
Kameravalvonnan tallenteet säilyvät laitteiston kapasiteetin mukaan joitakin viikkoja, kunnes ne ylikirjoitetaan.
Vierailijatietoja säilytetään kaksi vuotta.
7 Tekniset ja organisatoriset turvatoimet
Manuaalinen aineisto:
Jos rekisteriin saadaan manuaalista tietoaineistoa tai sitä tulostetaan, säilytetään sitä lukitussa tilassa. Tarpeeton manuaalinen aineisto hävitetään tietoturvallisesti noudattaen tietojen säilyttämisestä annettuja päätöksiä ja säännöksiä sekä asiakirjahallinnon ohjeita.
Digitaalisesti käsiteltävät aineistot:
Tiedot kerätään järjestelmiin ja tietokantoihin, jotka ovat palomuurein, salasanoin ja muin teknisin keinoin suojattuja. Tietoihin on pääsy vain valtuutetuilla henkilöillä, ja pääsynhallintaa toteutetaan vaatimustenmukaisin käytännöin. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa ja vartioiduissa tiloissa ja niihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Osa rekisterin henkilötiedoista on salassa pidettäviä.
8 Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä
Valtorin työntekijä kirjaa vierailijajärjestelmään vierailijan tiedot.
9 Rekisteröidyn oikeudet
9.1 Artiklan 15:n mukainen rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröidyllä on lisäksi oikeus tehdä valitus valvontaviranomaiselle.
Rekisteröity voi tehdä tarkastuspyynnön rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1). Jos rekisteröidyn käyttämästä tarkastusoikeudesta on kulunut vähemmän kuin yksi vuosi, voi Rekisterinpitäjä periä tietojen antamisesta aiheutuvat hallinnollisiin kustannuksiin perustuvan maksun (artikla 12 [5]).
Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.
9.2 Artiklan 16:n mukainen oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.3 Artiklan 18:n mukainen oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:
- rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
Mikäli Rekisteröity kiistää henkilötietojen paikkansapitävyyden, rajoitetaan niiden käsittelyä ajaksi, jonka kuluessa Rekisterinpitäjä varmistaa niiden paikkansapitävyyden. Rekisteröity osoittaa pyynnön perusteluineen rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.4 Artiklan 19:n mukainen henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16 ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää. Rekisteröidyn halutessa tiedon vastaanottajista tulee hänen tehdä pyyntö rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
Laadittu: 24.5.2018 Päivitetty: 31.7.2020
1 Rekisterinpitäjä
Valtion tieto- ja viestintätekniikkakeskus Valtori
Vapaudenkatu 58, 40100 Jyväskylä
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
Yhteyshenkilö rekisteriä koskevissa asioissa
Kristiina Niinioja
Sähköposti [email protected]
Tietosuojavastaava
Aapo Immonen
Sähköposti [email protected]
2 Henkilötietojen käsittelyn tarkoitus
TOP-toiminnanohjausjärjestelmässä käsitellään Valtorin sekä sen asiakasorganisaatioiden henkilötietoja, jotta Valtori voi toteuttaa työntekijöidensä ja asiakkaidensa toiminnan- ja työnohjaukseen liittyviä toimenpiteitä, toteuttaa palvelupyyntöjä ja reagoida häiriöilmoituksiin, sekä seurata niiden toteutumista.
Henkilötietoja käsitellään lakisääteisten velvoitteiden toteuttamiseksi.
3 Rekisterin tietosisältö
Käyttäjätiedot: Nimi, puhelinnumero, organisaatio, henkilön työpaikan yksikkö, kustannuspaikka, sijainti, työpiste, sähköposti, puhelinnumero, esimies, nimike, työtehtävä, Kieku-numero/käyttäjätunnus, virtu-tunnus
Laitetiedot: TOP:issa käsitellään laitetietoja, joista suurin osa ei ole henkilötietoja. Joukossa voi kuitenkin olla joitakin tietueita, jotka ovat yksilöivää tietoa, kuten imei- tai MAC-osoite.
Lisäksi tukipyyntöjen sisällöissä voi olla henkilötietoja. Rekisteröity voi tarkastaa itseään koskevat avoimet ja suljetut tukipyynnöt TOP-palveluportaalista.
4 Tietojen säännönmukaiset luovutukset ja henkilötietojen vastaanottajat
Henkilötietoja voivat käsitellä Valtorin työntekijöiden lisäksi Valtorin alihankkijatahot tietojenkäsittelijän roolissa. Tietojenkäsittelijätahoihin kuuluu esimerkiksi kapasiteettipalvelutoimittaja, sovellustoimittaja ja käyttöpalvelutoimittaja. Jos asiakkaan omaan toiminnanohjausjärjestelmään on tehty TOP:ista integraatio, henkilötietoja ja laitetietoja siirretään sinne.
5 Henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle
Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle eikä kansainvälisille järjestöille.
6 Tietoryhmien säilytysajat
Käyttäjätiedot: Käyttäjätiedot passivoituvat Valtti-käyttäjillä kaksi kuukautta henkilön työsuhteen päätyttyä. Muiden osalta vanhentuneet tiedot poistetaan kerran vuodessa.
Laitetiedot: Tiedot säilytetään toistaiseksi.
Tukipyynnöt: Tukipyynnöt säilytetään kuusi vuotta.
7 Tekniset ja organisatoriset turvatoimet
Manuaalinen aineisto:
Jos rekisteriin saadaan manuaalista tietoaineistoa tai sitä tulostetaan, säilytetään sitä lukitussa tilassa. Tarpeeton manuaalinen aineisto hävitetään tietoturvallisesti noudattaen tietojen säilyttämisestä annettuja päätöksiä ja säännöksiä sekä asiakirjahallinnon ohjeita.
Digitaalisesti käsiteltävät aineistot:
Tiedot kerätään järjestelmiin ja tietokantoihin, jotka ovat palomuurein, salasanoin ja muin teknisin keinoin suojattuja. Tietoihin on pääsy vain valtuutetuilla henkilöillä, ja pääsynhallintaa toteutetaan vaatimustenmukaisin käytännöin. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa ja vartioiduissa tiloissa ja niihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Osa rekisterin henkilötiedoista on salassa pidettäviä.
8 Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä
Käyttäjätiedot: Tiedot saadaan asiakasorganisaation Kieku-tietojärjestelmästä ja valtion yhteisestä käyttäjähallintajärjestelmästä.
Laitetiedot: Tiedot saadaan eri kumppaneiden laiterekistereistä sekä valvontajärjestelmistä. Lisäksi Valtorin henkilöstö voi täydentää tietoja osa-na työtään.
Tukipyynnöt: Tiedot saadaan rekisteröidyltä itseltään ja virastojen omista palvelunhallintajärjestelmistä.
9 Rekisteröidyn oikeudet
9.1 Artiklan 15:n mukainen rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröidyllä on lisäksi oikeus tehdä valitus valvontaviranomaiselle.
Rekisteröity voi tehdä tarkastuspyynnön rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1). Jos rekisteröidyn käyttämästä tarkastusoikeudesta on kulunut vähemmän kuin yksi vuosi, voi Rekisterinpitäjä periä tietojen antamisesta aiheutuvat hallinnollisiin kustannuksiin perustuvan maksun (artikla 12 [5]).
Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.
9.2 Artiklan 16:n mukainen oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.3 Artiklan 18:n mukainen oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:
- rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
Mikäli Rekisteröity kiistää henkilötietojen paikkansapitävyyden, rajoitetaan niiden käsittelyä ajaksi, jonka kuluessa Rekisterinpitäjä varmistaa niiden paikkansapitävyyden. Rekisteröity osoittaa pyynnön perusteluineen rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.4 Artiklan 19:n mukainen henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16 ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää. Rekisteröidyn halutessa tiedon vastaanottajista tulee hänen tehdä pyyntö rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
Laadittu: 24.5.2018 Päivitetty: 7.10.2021
1 Rekisterinpitäjä
Valtion tieto- ja viestintätekniikkakeskus Valtori
Vapaudenkatu 58, 40100 Jyväskylä
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
Tietosuojavastaava
Aapo Immonen
Sähköposti [email protected]
Puhelin 0295 50 4000 (vaihde)
2 Henkilötietojen käsittelyn tarkoitus
Henkilötietoja käsitellään asiakkuudenhallinnan eri toimintoja varten. Näitä ovat esimerkiksi asiakkaiden palveluiden tuottaminen ja kehittäminen, asiakasviestintä sekä asiakaslaskutus.
Henkilötietojen käsittelyperusteena on rekisterinpitäjän lakisääteinen velvoite sekä oikeutettu etu.
Valtorilla on lain mukaan (1226/2013, 10/2015) velvollisuus tuottaa asiakkailleen perustietotekniikka- ja viestintäpalveluita. Palveluiden tuottamiseksi, kehittämiseksi ja laskuttamiseksi tarvitaan asiakkaiden henkilötietoja.
Valtori käyttää myös rekisterinpitäjän oikeutettua etua asiakasviestinnässään markkinointia ja asiakastyytyväisyyden seuraamista varten.
3 Rekisterin tietosisältö
Asiakkuudenhallinta: nimi, nimike, viestinnällinen rooli, organisaatio, hallinnonala, sähköpostiosoite
Asiakasviestintä ja -kyselyt: nimi, organisaatio, sähköpostiosoite, asiakastilaisuuksiin liittyvät tiedot kuten ruokavalio
Häiriöviestintä: Asiakkaan yhteyshenkilöiden nimi, sähköposti, puhelinnumero
Asiakaslaskutus: Laskutettavan (yksityishenkilö tai yhteisö) nimi, pankkitili, ovt-tunnus, joissakin tapauksissa henkilötunnus, laskun tiedot, kuva laskusta liitteineen, maksua tukevat tiedot, kuten tilaisuuden osanottajatiedot
Sopimusten hallinta: Asiakkaiden yhteyshenkilöiden nimi, sähköpostiosoite, puhelinnumero, nimike
Asiakkaiden henkilötietoja käsitellään myös TOP-toiminnanohjausjärjestelmässä. Tarkemmat tiedot TOP:in henkilötietojen käsittelystä löydät TOP tietosuojaselosteesta.
4 Tietojen säännönmukaiset luovutukset ja henkilötietojen vastaanottajat
Asiakkuudenhallinta: Henkilötietoja ei luovuteta toisille rekisterinpitäjille, mutta henkilötietojen käsittelyyn osallistuu ulkoinen palveluntoimittaja.
Asiakasviestintä ja -kyselyt: Tapahtumanjärjestäjille voidaan luovuttaa tapahtuman kannalta oleellisia tietoja, kuten ruokavalio. Osaa tiedoista käsitellään ulkoisten palveluntoimittajien järjestelmissä (Webropol, Liana Technologies, Handi).
Häiriöviestintä: Tietoja ei luovuteta säännönmukaisesti.
Asiakaslaskutus: Maksu- ja laskutusliikennetiedot siirretään konekielisesti Maksuliikenneohjelmaan pankkiin maksujen suorittamista varten. Tietojen käsittelyyn osallistuu myös Valtion talous- ja henkilöstöhallinnon palvelukeskus Palkeet.
Sopimusten hallinta: Tietoja ei luovuteta säännönmukaisesti.
5 Henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle
Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle eikä kansainvälisille järjestöille.
6 Tietoryhmien säilytysajat
Asiakkuudenhallinta: Teknisen integraation kautta saadut tiedot passivoituvat kaksi kuukautta henkilön työsuhteen päättymisen jälkeen. Manuaalisesti lisätyt tiedot poistetaan, kun henkilön asiakassuhde päättyy.
Asiakasviestintä ja -kyselyt: Tiedot päivitetään aina ennen uuden tiedotteen lähettämistä, jolloin mahdolliset vanhat tiedot poistuvat jakelulistoilta. Arkistossa tieto siitä, kenelle tiedotteet ovat menneet, säilytetään toistaiseksi. Asiakaskyselyiden vastaukset säilyvät vuoden siitä, kun kysely on passivoitunut.
Häiriöviestintä: Asiakkaiden yhteyshenkilöt ilmoittavat itse henkilömuutoksista, jolloin vanhat tiedot poistetaan. Lisäksi listojen ajantasaisuus käydään noin kerran vuodessa keskitetysti läpi.
Asiakaslaskutus: Kirjanpitolain mukaisesti tositeaineistot säilytetään vähintään kuusi vuotta.
Sopimusten hallinta: Sopimukset säilytetään pysyvästi.
7 Tekniset ja organisatoriset turvatoimet
Manuaalinen aineisto:
Jos rekisteriin saadaan manuaalista tietoaineistoa tai sitä tulostetaan, säilytetään sitä lukitussa tilassa. Tarpeeton manuaalinen aineisto hävitetään tietoturvallisesti noudattaen tietojen säilyttämisestä annettuja päätöksiä ja säännöksiä sekä asiakirjahallinnon ohjeita.
Digitaalisesti käsiteltävät aineistot:
Tiedot kerätään järjestelmiin ja tietokantoihin, jotka ovat palomuurein, salasanoin ja muin teknisin keinoin suojattuja. Tietoihin on pääsy vain valtuutetuilla henkilöillä, ja pääsynhallintaa toteutetaan vaatimustenmukaisin käytännöin. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa ja vartioiduissa tiloissa ja niihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Osa rekisterin henkilötiedoista on salassa pidettäviä.
8 Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä
Asiakkuudenhallinta: Tiedot saadaan asiakkaan Kieku-järjestelmästä ja valtion yhteisestä käyttäjähallintajärjestelmästä järjestelmästä sekä Valtorin asiakaspalvelupäälliköiltä.
Asiakasviestintä: Tiedot saadaan Kieku-järjestelmästä sekä Valtorin asiakaspalvelupäälliköiltä.
Häiriöviestintä: Tiedot saadaan asiakkuuksista Valtorin asiakaspalvelupäälliköiden kautta.
Asiakaslaskutus: Tiedot saadaan Valtoriin tulevista ja Valtorin laatimista laskuista. Lisäksi tietoja saadaan SAP-järjestelmästä.
Sopimusten hallinta: Tiedot saadaan asiakasorganisaatioilta ja Valtorin toiminnanohjausjärjestelmästä.
9 Rekisteröidyn oikeudet
9.1 Artiklan 15:n mukainen rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröidyllä on lisäksi oikeus tehdä valitus valvontaviranomaiselle.
Rekisteröity voi tehdä tarkastuspyynnön rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1). Jos rekisteröidyn käyttämästä tarkastusoikeudesta on kulunut vähemmän kuin yksi vuosi, voi Rekisterinpitäjä periä tietojen antamisesta aiheutuvat hallinnollisiin kustannuksiin perustuvan maksun (artikla 12 [5]).
Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.
9.2 Artiklan 16:n mukainen oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.3 Artiklan 17:n mukainen oikeus tietojen poistamiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä poistaa henkilötiedot, joita käsitellään rekisterinpitäjän oikeutetun edun vuoksi. Näitä ovat asiakasviestintään ja -kyselyihin kerättävät tiedot. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.4 Artiklan 18:n mukainen oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:
- rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
Mikäli Rekisteröity kiistää henkilötietojen paikkansapitävyyden, rajoitetaan niiden käsittelyä ajaksi, jonka kuluessa Rekisterinpitäjä varmistaa niiden paikkansapitävyyden. Rekisteröity osoittaa pyynnön perusteluineen rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.5 Artiklan 19:n mukainen henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16 ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää. Rekisteröidyn halutessa tiedon vastaanottajista tulee hänen tehdä pyyntö rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.6 Artiklan 21 mukainen oikeus vastustaa henkilötietojen käsittelyä
Rekisteröidyllä on oikeus vastustaa niiden henkilötietojen käsittelyä, joita käsitellään rekisterinpitäjän oikeutetun edun vuoksi. Näitä ovat asiakasviestintään ja -kyselyihin kerättävät tiedot. Rekisterinpitäjä arvioi tällöin uudelleen, voidaanko käsittely lopettaa vai onko tietojenkäsittelyä silti tarpeen jatkaa huomattavan tärkeästä syystä, joka syrjäyttää rekisteröidyn oikeuden. Jos rekisteröity haluaa vastustaa henkilötietojen käsittelyä, osoitetaan pyyntö rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
Laadittu: 24.5.2018 Päivitetty: 23.7.2020
1 Rekisterinpitäjä
Valtion tieto- ja viestintätekniikkakeskus Valtori
Vapaudenkatu 58, 40100 Jyväskylä
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
Yhteyshenkilö rekisteriä koskevissa asioissa
TORI-liiketoiminnan kirjaamo: Pirkko Taskinen, puhelin 0295 50 4000 (vaihde) [email protected]
TUVE-liiketoiminnan kirjaamo: Eeva-Liisa Saariniemi, puhelin 0295 480 151 (vaihde) [email protected]
Tietosuojavastaava
Aapo Immonen
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
2 Henkilötietojen käsittelyn tarkoitus
Valtorin asianhallinnassa käsitellään henkilötietoja sähköisten asiakirjojen ja tietojen elinkaarenhallinnan ja viranomaistehtävien toteuttamiseksi hyvän hallintotavan ja hyvän tiedonhallintatavan mukaisesti.
Henkilötietoja käsitellään lakisääteisen velvoitteen toteuttamiseksi. Tiedonhallintalaki (906/2019) velvoittaa viranomaisia pitämään asiarekisteriä, johon rekisteröidään viranomaisen käsittelyssä olevista ja olleista asioista asiaa, asiankäsittelyä ja asiakirjoja koskevat tiedot.
3 Rekisterin tietosisältö
Asianhallintaan tallennettavat asiakirjat voivat sisältää erilaisia henkilötietoja riippuen asian luonteesta. Asian, toimenpiteen ja asiakirjan diaaritiedot ovat osaksi henkilötietoja, osaksi muita asian, asiakirjan ja toimenpiteiden laadintaa, käsittelyä ja elinkaarihallintaa kuvaavia tietoja.
Uusista avattavista asioista tallennetaan erikseen seuraavat tiedot:
- Asian vireille saattajan (toimeksiantajan) tai asiakirjan laatijan tai vastaanottajan (jotka voivat olla oikeushenkilöitä tai luonnollisia henkilöitä) henkilöllisyyttä koskevista tiedoista nimi, osoite, sähköpostiosoite, puhelinnumero tai muu yhteystieto sekä kieli
- Asian tunnus (diaarinumero), asiaryhmä, viitenumero(t), otsikko, avaus ja vireilletulopäivä, määräpäivä ja merkintä, kieli, sekä asian vastuutahon organisaatio- ja valmistelijatiedot
- Asian kuvaus, sisältö, laatu
- Asiakirjan otsikko, saapumis-/lähettämispäivä tai laatimispäivä sekä onko asiakirja saapuva vai lähtevä (laadittu)
- Asian ja asiakirjan julkisuutta koskevat merkinnät
- Asian ja asiakirjan säilytystä koskevat tiedot kuten säilytysaika, säilytysajan peruste, säilytysajan päättymispäivämäärä.
- Toimenpiteisiin lähettäjä/vastaanottaja, saapumis-/lähettämispäivä, laatimispäivä, toimenpiteen tyyppi, lyhyt kuvaus toimenpiteestä ja valmistelijan/laatijan nimi, organisaatiotiedot
4 Tietojen säännönmukaiset luovutukset ja henkilötietojen vastaanottajat
Tietoja ei luovuteta säännönmukaisesti. Asianhallintajärjestelmään sisältyviä julkisia tietoja luovutetaan pyydettäessä julkisuuslain mukaisesti.
Salassa pidettäviä tietoja voidaan luovuttaa, jos luovutuksen saajalla on julkisuuslakiin tai muuhun lainsäädäntöön perustuva oikeus tietojen saantiin.
5 Henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle
Tietoja ei siirretä EU/ETA-alueen ulkopuolelle.
6 Tietoryhmien säilytysajat
Tietojen säilytysaika määräytyy arkistolain ja muun lainsäädännön nojalla ja vaihtelee asiakohtaisesti.
7 Tekniset ja organisatoriset turvatoimet
Manuaalinen aineisto:
Jos rekisteriin saadaan manuaalista tietoaineistoa tai sitä tulostetaan, säilytetään sitä lukitussa tilassa. Tarpeeton manuaalinen aineisto hävitetään tietoturvallisesti noudattaen tietojen säilyttämisestä annettuja päätöksiä ja säännöksiä sekä asiakirjahallinnon ohjeita.
Digitaalisesti käsiteltävät aineistot:
Tiedot kerätään järjestelmiin ja tietokantoihin, jotka ovat palomuurein, salasanoin ja muin teknisin keinoin suojattuja. Tietoihin on pääsy vain valtuutetuilla henkilöillä, ja pääsynhallintaa toteutetaan vaatimustenmukaisin käytännöin. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa ja vartioiduissa tiloissa ja niihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Osa rekisterin henkilötiedoista on salassa pidettäviä.
8 Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä
Tiedot kerätään saapuvista ja Valtorissa laadittavista asiakirjoista, asiakkailta ja työntekijöiltä.
Valtoriin saapuu tietoja erilaisiin tietojärjestelmiin (esim. hankintajärjestelmä Cloudia, rekrytointijärjestelmä valtiolle.fi), sähköpostitse sekä kirjeitse, jotka viedään asianhallintajärjestelmään säilytettäväksi.
9 Rekisteröidyn oikeudet
9.1 Artiklan 15:n mukainen rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröidyllä on lisäksi oikeus tehdä valitus valvontaviranomaiselle.
Rekisteröity voi tehdä tarkastuspyynnön rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1). Jos rekisteröidyn käyttämästä tarkastusoikeudesta on kulunut vähemmän kuin yksi vuosi, voi Rekisterinpitäjä periä tietojen antamisesta aiheutuvat hallinnollisiin kustannuksiin perustuvan maksun (artikla 12 [5]).
Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.
9.2 Artiklan 16:n mukainen oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.3 Artiklan 18:n mukainen oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:
- rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
Mikäli Rekisteröity kiistää henkilötietojen paikkansapitävyyden, rajoitetaan niiden käsittelyä ajaksi, jonka kuluessa Rekisterinpitäjä varmistaa niiden paikkansapitävyyden. Rekisteröity osoittaa pyynnön perusteluineen rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.4 Artiklan 19:n mukainen henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16 ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää. Rekisteröidyn halutessa tiedon vastaanottajista tulee hänen tehdä pyyntö rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
Laadittu: 24.5.2018 Päivitetty: 6.6.2022
1 Rekisterinpitäjä
Valtion tieto- ja viestintätekniikkakeskus Valtori
Vapaudenkatu 58, 40100 Jyväskylä
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
Tietosuojavastaava
Aapo Immonen
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
2 Henkilötietojen käsittelyn tarkoitus
Henkilötietoja käsitellään toimittajahallinnan eri toimintoja varten. Näitä ovat esimerkiksi toimittajasopimukset, turvallisuusselvitykset, palvelutoimittajaviestintä ja toimittajien tehtäviin liittyvät tukipyynnöt. Rekisterin tietoja käsitellään myös toimittajien palkkioiden maksua varten. Henkilötietoja käsitellään lakisääteisten velvoitteiden toteuttamiseksi.
3 Rekisterin tietosisältö
Toimittajien yhteystiedot: Nimi, sähköpostiosoite, organisaatio, puhelinnumero
Maksutiedot: Saajan (yksityishenkilö tai yhteisö) nimi, pankkitili, ovt-tunnus, joissakin tapauksissa henkilötunnus, laskun tiedot, kuva laskusta liitteineen, maksua tukevat tiedot, kuten tilaisuuden osanottajatiedot
Sopimusten hallinta: Sopimusyhteyshenkilöiden nimi, sähköposti, puhelinnumero sekä hallinta- ja ohjausryhmien jäsenten nimet yhteystietoineen.
Turvallisuusselvitystiedot: Henkilön täyttämästä turvallisuusselvityslomakkeesta tallennetaan Valtoriin nimi, titteli ja työnantaja, ja kun selvitys valmistuu, sen numero ja voimassaolo. Muut lomakkeen tiedot tallennetaan vain Suojelupoliisin järjestelmään.
Tukipyynnöt: Nimi, osoite, puhelinnumero, sähköposti
Referenssipyynnöt: Sähköpostiosoite, organisaatio, puhelinnumero, referenssipyynnön sisältö
Palvelutoimittajaviestintä, -kyselyt ja -tilaisuudet: Nimi, sähköpostiosoite, organisaatio, tilaisuuksiin liittyvät tiedot kuten ruokavalio
4 Tietojen säännönmukaiset luovutukset ja henkilötietojen vastaanottajat
Toimittajien yhteystiedot: Tietoja ei luovuteta säännönmukaisesti.
Maksutiedot: Maksuliikennetiedot siirretään konekielisesti Maksuliikenneohjelmaan pankkiin maksujen suorittamista varten. Tietojen käsittelyyn osallistuu myös Valtion henkilöstö- ja talousasioiden palvelukeskus Palkeet.
Sopimusten hallinta: TORI-puolen tietoja käsitellään Cloudian sopimus- ja kilpailutusjärjestelmissä. Kilpailutusjärjestelmään voidaan antaa tarvittaessa pääsy Hanselin konsulteille tai lakimiehille.
Tukipyynnöt: Tiedot voivat näkyä niissä Valtorin asiakkuuksissa, joihin tikettien hoitaminen liittyy. Tietojenkäsittelyyn osallistuu ulkopuolinen järjestelmätoimittaja.
Turvallisuusselvitystiedot luovutetaan Suojelupoliisille.
Referenssipyynnöt: Tietoja ei luovuteta Valtorin ulkopuolelle ellei referenssipyynnössä niin pyydetä.
Palvelutoimittajaviestintä, -kyselyt ja -tilaisuudet: Tapahtumanjärjestäjille voidaan luovuttaa tapahtuman kannalta oleellisia tietoja, kuten ruokavalio. Osaa tiedoista käsitellään ulkoisten palveluntoimittajien järjestelmissä (Webropol, Liana Technologies, Handi).
5 Henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle
Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle eikä kansainvälisille järjestöille.
6 Tietoryhmien säilytysajat
Toimittajien yhteystiedot: Tiedot säilytetään toistaiseksi, mutta voidaan poistaa pyydettäessä.
Maksutiedot: Kirjanpitolain mukaisesti tositeaineistot säilytetään vähintään kuusi vuotta. Säilytysaika voi tositteesta riippuen olla pidempikin muuhun lainsäädäntöön nojaten.
Sopimusten hallinta: Tietoja säilytetään sopimuksen voimassa olon ajan, ja sen jälkeen säilytysajassa noudatetaan asiakirjojen säilytykseen liittyviä säädöksiä.
Turvallisuusselvitystiedot: Henkilön tiedot poistetaan, kun turvallisuusselvityksen voimassaolo päättyy.
Tukipyynnöt: Tukipyynnöt säilytetään kuusi vuotta.
Referenssipyynnöt: Tiedot säilytetään kymmenen vuotta.
Palvelutoimittajaviestintä, -kyselyt ja -tilaisuudet: Uutiskirjeiden osalta katso "Valtorin verkkosivujen palaute sekä uutiskirje- ja tiedotetilaukset" -tietosuojaseloste. Kyselyiden vastaukset säilyvät vuoden siitä, kun kysely on passivoitunut.
7 Tekniset ja organisatoriset turvatoimet
Manuaalinen aineisto:
Jos rekisteriin saadaan manuaalista tietoaineistoa tai sitä tulostetaan, säilytetään sitä lukitussa tilassa. Tarpeeton manuaalinen aineisto hävitetään tietoturvallisesti noudattaen tietojen säilyttämisestä annettuja päätöksiä ja säännöksiä sekä asiakirjahallinnon ohjeita.
Digitaalisesti käsiteltävät aineistot:
Tiedot kerätään järjestelmiin ja tietokantoihin, jotka ovat palomuurein, salasanoin ja muin teknisin keinoin suojattuja. Tietoihin on pääsy vain valtuutetuilla henkilöillä, ja pääsynhallintaa toteutetaan vaatimustenmukaisin käytännöin. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa ja vartioiduissa tiloissa ja niihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Osa rekisterin henkilötiedoista on salassa pidettäviä.
8 Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä
Toimittajien yhteystiedot: Tiedot saadaan rekisteröidyiltä.
Maksutiedot: Tiedot saadaan Valtoriin tulevista laskuista sekä SAP-järjestelmästä.
Sopimusten hallinta: Tiedot saadaan sopimusten laatimisen yhteydessä rekisteröidyiltä.
Turvallisuusselvitykset: Tiedot saadaan rekisteröidyltä itseltään.
Tukipyynnöt: Tiedot saadaan rekisteröidyltä itseltään.
Referenssipyynnöt: Tiedot saadaan rekisteröidyltä itseltään.
Palvelutoimittajaviestintä, -kyselyt ja -tilaisuudet: Tiedot saadaan rekisteröidyltä.
9 Rekisteröidyn oikeudet
9.1 Artiklan 15:n mukainen rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröidyllä on lisäksi oikeus tehdä valitus valvontaviranomaiselle.
Rekisteröity voi tehdä tarkastuspyynnön rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1). Jos rekisteröidyn käyttämästä tarkastusoikeudesta on kulunut vähemmän kuin yksi vuosi, voi Rekisterinpitäjä periä tietojen antamisesta aiheutuvat hallinnollisiin kustannuksiin perustuvan maksun (artikla 12 [5]).
Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.
9.2 Artiklan 16:n mukainen oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.3 Artiklan 18:n mukainen oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:
- rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
Mikäli Rekisteröity kiistää henkilötietojen paikkansapitävyyden, rajoitetaan niiden käsittelyä ajaksi, jonka kuluessa Rekisterinpitäjä varmistaa niiden paikkansapitävyyden. Rekisteröity osoittaa pyynnön perusteluineen rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.4 Artiklan 19:n mukainen henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16 ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää. Rekisteröidyn halutessa tiedon vastaanottajista tulee hänen tehdä pyyntö rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
Laadittu: 24.5.2018 Päivitetty: 7.10.2021
1 Rekisterinpitäjä
Valtion tieto- ja viestintätekniikkakeskus Valtori
Vapaudenkatu 58, 40100 Jyväskylä
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
Yhteyshenkilö rekisteriä koskevissa asioissa
Paula Kovanen
Sähköposti [email protected]
Tietosuojavastaava
Aapo Immonen
Sähköposti [email protected]
2 Henkilötietojen käsittelyn tarkoitus
Henkilötietoja käytetään palautelomakkeen (valtori.fi/anna-palautetta) kautta saatuihin palautteisiin vastaamiseen sekä uutiskirje- ja tiedotetilauslomakkeiden (valtori.fi/tilaa-julkaisuja) kautta tilattujen aineistojen toimittamiseen tilaajan sähköpostiin.
Henkilötietojen käsittely perustuu rekisteröidyn suostumukseen.
Sinulla on oikeus peruuttaa suostumuksesi henkilötietojen käsittelyyn milloin tahansa.
Jokaisessa uutiskirjeessä ja tiedotteessa on painike, josta suostumuksen peruuttamisen voi tehdä. Uutiskirjeiden osalta suostumuksen peruuttamalla tietojen käsittely rajoitetaan niin, että uutiskirjeitä ei enää saa, mutta sähköpostiosoite säilyy järjestelmässä. Jos haluat poistaa tietosi kokonaan, ole yhteydessä rekisterin yhteyshenkilöön.
Jos annoit palautteen yhteydessä sähköpostiosoitteesi, voit pyytää sen poistoa olemalla yhteydessä rekisterin yhteyshenkilöön (kohta 1).
3 Rekisterin tietosisältö
Palautelomake: Rekisteröidyn sähköpostiosoite sekä hänen antamansa palautteen sisältö
Uutiskirje- ja tiedotetilauslomakkeet: Rekisteröidyn sähköpostiosoite
4 Tietojen säännönmukaiset luovutukset ja henkilötietojen vastaanottajat
Tietoja ei luovuteta säännönmukaisesti toisille rekisterinpitäjille. Uutiskirjeiden osalta henkilötietojen käsittelyyn osallistuu Liana Technologies tietojenkäsittelijän roolissa. Palautteiden ja tiedotetilauksien osalta tietojen käsittelyyn osallistuu Valtorin verkkosivujen palvelutoimittaja Ambientia tietojenkäsittelijän roolissa.
5 Henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle
Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle eikä kansainvälisille järjestöille.
6 Tietoryhmien säilytysajat
Palautelomakkeen kautta saadut palautteet säilytetään valtori.fi-sivuston julkaisujärjestelmässä, minkä lisäksi ne siirretään julkaisujärjestelmästä automaattisesti Valtorin toiminnanohjausjärjestelmään käsiteltäviksi Valtorin palauteprosessin mukaisesti. Julkaisujärjestelmästä palautteet poistetaan kerran vuodessa. Toiminnanohjausjärjestelmässä ne säilyvät kuusi vuotta.
Uutiskirjeiden ja tiedotteiden osalta tiedot säilytetään niin kauan, kunnes tilaaja itse peruuttaa tilauksensa. Peruutuslinkki on jokaisessa tiedotteessa ja uutiskirjeessä. Tiedot poistetaan rekisteröidyn niin pyytäessä.
7 Tekniset ja organisatoriset turvatoimet
Manuaalinen aineisto:
Jos rekisteriin saadaan manuaalista tietoaineistoa tai sitä tulostetaan, säilytetään sitä lukitussa tilassa. Tarpeeton manuaalinen aineisto hävitetään tietoturvallisesti noudattaen tietojen säilyttämisestä annettuja päätöksiä ja säännöksiä sekä asiakirjahallinnon ohjeita.
Digitaalisesti käsiteltävät aineistot:
Tiedot kerätään järjestelmiin ja tietokantoihin, jotka ovat palomuurein, salasanoin ja muin teknisin keinoin suojattuja. Tietoihin on pääsy vain valtuutetuilla henkilöillä, ja pääsynhallintaa toteutetaan vaatimustenmukaisin käytännöin. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa ja vartioiduissa tiloissa ja niihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Osa rekisterin henkilötiedoista on salassa pidettäviä.
8 Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä
Lomakkeiden täyttäjä antaa itse tietonsa.
9 Rekisteröidyn oikeudet
9.1 Artiklan 15:n mukainen rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröidyllä on lisäksi oikeus tehdä valitus valvontaviranomaiselle.
Rekisteröity voi tehdä tarkastuspyynnön rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1). Jos rekisteröidyn käyttämästä tarkastusoikeudesta on kulunut vähemmän kuin yksi vuosi, voi Rekisterinpitäjä periä tietojen antamisesta aiheutuvat hallinnollisiin kustannuksiin perustuvan maksun (artikla 12 [5]).
Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.
9.2 Artiklan 16:n mukainen oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.3 Artiklan 17:n mukainen oikeus tietojen poistamiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä poistaa henkilötiedot. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.4 Artiklan 18:n mukainen oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:
- rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
Mikäli Rekisteröity kiistää henkilötietojen paikkansapitävyyden, rajoitetaan niiden käsittelyä ajaksi, jonka kuluessa Rekisterinpitäjä varmistaa niiden paikkansapitävyyden. Rekisteröity osoittaa pyynnön perusteluineen rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.5 Artiklan 19:n mukainen henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16 ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää. Rekisteröidyn halutessa tiedon vastaanottajista tulee hänen tehdä pyyntö rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
Laadittu: 6.10.2021, päivitetty: 20.1.2023
1 Rekisterinpitäjä
Valtion tieto- ja viestintätekniikkakeskus Valtori
Vapaudenkatu 58, 40100 Jyväskylä
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
Tietosuojavastaava
Aapo Immonen
Sähköposti [email protected]
Puhelin 0295 50 4000 (vaihde)
2 Henkilötietojen käsittelyn tarkoitus
Tilausprosessissa käsitellään henkilötietoja, jotta tilauksia voidaan hallinnoida ja käyttäjille toimittaa laitteita.
Työasemien leasingvaihtoihin liittyvässä leasing-prosessissa haetaan ja käsitellään henkilötietoja, jotta leasing-sopimuksia voidaan hallinnoida ja käyttäjille toimittaa uusia laitteita. Tietoja käytetään laitteiden sijainnin ja käyttäjien selvittämiseen laitteiden elinkaaren aikana.
Käsittelyn oikeusperusteena on rekisterinpitäjän oikeutettu etu.
3 Rekisterin tietosisältö
Laiterekisteri: etunimi, sukunimi, viraston osoite ja joissakin tapauksissa laitteen sijaintitieto huone- tai tilatasolla
Loppukäyttäjien yhteystiedot: sähköpostiosoite, ja jos käyttäjä haluaa laitteen kotiin toimituksen, kerätään lisäksi työpuhelinnumero ja kotiosoite
Lisäksi tilaus -ja leasing-prosessiin liittyy asiakkaan tekemiä palvelupyyntöjä TOP-portaalissa, jotka sisältävät myös henkilötietoja. TOP:iin liittyvästä henkilötietojen käsittelystä löytyy lisätietoa TOP:in tietosuojaselosteesta.
4 Tietojen säännönmukaiset luovutukset ja henkilötietojen vastaanottajat
Laiterekisteri: Tietojenkäsittelijänä toimii 3 Step IT. Kun laitteen sopimus on päättymässä, ilmoitetaan asiakasorganisaation yhteyshenkilölle sekä käyttäjälle itselleen laitteen perustiedot (sarjanumero, käyttäjän nimi, osoite). Yhteyshenkilöille voidaan toimittaa laiterekisteriote heidän niin pyytäessä.
Tilausprosessi: Vastaanottajan henkilötietoja käsitellään, jotta tilausta voidaan hallinnoida ja toimittaa laitteet. Henkilötietoja siirtyy myös Valtorin logistiikkakumppaneille.
Leasingprosessi: Tietojenkäsittelijänä toimii Webropol, jos tiedot on kerätty Webropol-kyselyllä. Käyttäjän nimi ja laitteen toimitusosoite sekä käyttäjän työpuhelinnumero luovutetaan laitetoimittajille ja niiden käyttämille logistiikkakeskuksille, jotka käsittelevät tietoja rekisterinpitäjänä.
TOP-palvelupyynnöissä tietojenkäsittelijätahoihin kuuluu esimerkiksi kapasiteettipalvelutoimittaja, sovellustoimittaja ja käyttöpalvelutoimittaja
5 Henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle
Henkilötietoja ei siirretä EU/ETA-alueen ulkopuolelle.
6 Tietoryhmien säilytysajat
Laiterekisteri: Henkilötietoja säilytetään niin kauan, kun sopimus on voimassa laitteiden toimittajan kanssa. Omistuslaitteiden osalta tiedot poistetaan, kun laitteen elinkaari päättyy.
Loppukäyttäjän yhteystiedot: Valtori säilyttää tietoja TOP:in säilytyskäytäntöjen mukaisesti, joista löytyy tarkempaa tietoa TOP:in tietosuojaselosteesta. Lisäksi tilaukseen liittyvät laskut, jotka sisältävät henkilötietoja, säilytetään Valtorissa arkistolaissa määritellyn ajan. Laitetoimittaja säilyttää tietoja lakisääteisesti kirjanpito-lain mukaisesti, pois lukien mahdollinen käyttäjän kotiosoitetieto, joka säilyy vain tilausprosessin ajan.
7 Tekniset ja organisatoriset turvatoimet
Manuaalinen aineisto:
Jos rekisteriin saadaan manuaalista tietoaineistoa tai sitä tulostetaan, säilytetään sitä lukitussa tilassa. Tarpeeton manuaalinen aineisto hävitetään tietoturvallisesti noudattaen tietojen säilyttämisestä annettuja päätöksiä ja säännöksiä sekä asiakirjahallinnon ohjeita.
Digitaalisesti käsiteltävät aineistot:
Tiedot kerätään järjestelmiin ja tietokantoihin, jotka ovat palomuurein, salasanoin ja muin teknisin keinoin suojattuja. Tietoihin on pääsy vain valtuutetuilla henkilöillä, ja pääsynhallintaa toteutetaan vaatimustenmukaisin käytännöin. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa ja vartioiduissa tiloissa ja niihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Osa rekisterin henkilötiedoista on salassa pidettäviä.
8 Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä
Laiterekisteri: Tiedot saadaan valtion AD-hakemistosta. Osa tiedoista päivitetään Valtorin toimesta manuaalisesti ja osa siirtyy automaatiolla. Asiakasvirasto voi myös itse toimittaa tietoja.
Loppukäyttäjän yhteystiedot saadaan joko loppukäyttäjältä itseltään tai viraston yhteyshenkilöltä, pois lukien sähköpostiosoite, joka saadaan AD-hakemistosta.
9 Rekisteröidyn oikeudet
9.1 Artiklan 15:n mukainen rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröidyllä on lisäksi oikeus tehdä valitus valvontaviranomaiselle.
Rekisteröity voi tehdä tarkastuspyynnön rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1). Jos rekisteröidyn käyttämästä tarkastusoikeudesta on kulunut vähemmän kuin yksi vuosi, voi Rekisterinpitäjä periä tietojen antamisesta aiheutuvat hallinnollisiin kustannuksiin perustuvan maksun (artikla 12 [5]).
Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.
9.2 Artiklan 16:n mukainen oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.3 Artiklan 17:n mukainen oikeus tietojen poistamiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä poistaa henkilötiedot, joita käsitellään rekisterinpitäjän oikeutetun edun vuoksi. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.4 Artiklan 18:n mukainen oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:
- rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
Mikäli Rekisteröity kiistää henkilötietojen paikkansapitävyyden, rajoitetaan niiden käsittelyä ajaksi, jonka kuluessa Rekisterinpitäjä varmistaa niiden paikkansapitävyyden. Rekisteröity osoittaa pyynnön perusteluineen rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.5 Artiklan 19:n mukainen henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16 ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää. Rekisteröidyn halutessa tiedon vastaanottajista tulee hänen tehdä pyyntö rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.6 Artiklan 21 mukainen oikeus vastustaa henkilötietojen käsittelyä
Rekisteröidyllä on oikeus vastustaa niiden henkilötietojen käsittelyä, joita käsitellään rekisterinpitäjän oikeutetun edun vuoksi. Rekisterinpitäjä arvioi tällöin uudelleen, voidaanko käsittely lopettaa vai onko tietojenkäsittelyä silti tarpeen jatkaa huomattavan tärkeästä syystä, joka syrjäyttää rekisteröidyn oikeuden. Jos rekisteröity haluaa vastustaa henkilötietojen käsittelyä, osoitetaan pyyntö rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
Laadittu: 4.3.2022 Päivitetty: 12.4.2022
1 Rekisterinpitäjä
Valtion tieto- ja viestintätekniikkakeskus Valtori
Vapaudenkatu 58, 40100 Jyväskylä
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
Yhteyshenkilö rekisteriä koskevissa asioissa
Jani Mattila
Sähköposti [email protected]
Tietosuojavastaava
Aapo Immonen
Sähköposti [email protected]
2 Henkilötietojen käsittelyn tarkoitus
Käsittelyn tarkoitus ja tavoite on Valtorin lakimääreisten velvollisuuksien täyttäminen. Tarkemmin tavoite on suojata loppukäyttäjien internetin käyttöä, jotta Valtorin tarjoama tietojenkäsittely-ympäristö, johon internet kuuluu osana, olisi mahdollisimman turvallinen.
3 Rekisterin tietosisältö
Käyttäjätiedot: Hakemistotieto, Käyttäjän tunniste, IP-osoite, Paikka, Cookiet ja vastaavat, URL, Geolokaatio, Käyttö Wifin SSID, Laitteen sarjanumero.
4 Tietojen säännönmukaiset luovutukset ja henkilötietojen vastaanottajat
Tietoja ei luovuteta säännönmukaisesti, paitsi jos järjestelmään on rakennettu integraatio asiakasorganisaation SIEM-järjestelmään, tällöin kyseisen asiakkuuden tiedot luovutetaan kyseiselle asiakasorganisaatiolle.
5 Henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle
Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle, eikä kansainvälisille järjestöille.
6 Tietoryhmien säilytysajat
Lokitietoja säilytetään järjestelmässä 6kk, jonka jälkeen ne automaattisesti hävitetään. Järjestelmästä lokitieto välitetään Valtorin keskitettyyn lokipalveluun, jossa tietoa säilytetään 24kk, jonka jälkeen se automaattisesti hävitetään.
7 Tekniset ja organisatoriset turvatoimet
Tiedot kerätään automaattisesti järjestelmään, josta ne välitetään Valtorin keskitettyyn lokipalveluun. Järjestelmä on vahvasti suojattu ja sen tietoturva on todennettu ulkoisen toimijan toimesta Pilvipalveluiden turvallisuuden arviointikriteeristöä (PiTuKri) vastaan. Tietoihin on pääsy vain valtuutetuilla henkilöillä, ja pääsynhallintaa toteutetaan vaatimustenmukaisin käytännöin
8 Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä
Järjestelmän tiedot saadaan asiakasorganisaation hakemistopalvelusta ja rekisteröidyn toimista järjestelmässä.
9 Rekisteröidyn oikeudet
9.1 ARTIKLAN 15:N MUKAINEN REKISTERÖIDYN OIKEUS SAADA PÄÄSY TIETOIHIN
Tietojen toimittaminen rekisteröidylle toteutetaan Valtorin virallisen asianhallintaprosessin mukaisesti ([email protected], https://valtori.fi/yhteystiedot).
Järjestelmän henkilötiedot ovat lokitietoja ja siten osa viranomaisen tietojärjestelmän tietoturvajärjestelyjä, joten ne ovat salassa pidettäviä julkisuuslain 24 §:n 1 momentin 7 kohdan perusteella, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista.
9.2 ARTIKLAN 16:N MUKAINEN OIKEUS TIETOJEN OIKAISEMISEEN
Huomioitavaa tässä on aiemmassa kohdassa kuvattu lokitiedon asema julkisuuslain ja laki julkisen hallinnon tiedonhallinnan näkökulmasta.
9.3 ARTIKLAN 18:N MUKAINEN OIKEUS KÄSITTELYN RAJOITTAMISEEN
Mikäli rekisteröity haluaa rajoittaa tietojensa käsittelyä, tulee hänen olla yhteydessä oman organisaationsa tietosuojaan, joka voi pyytää tietojen käsittelyn rajoittamista organisaationsa kohdalla.
9.4 ARTIKLAN 19:N MUKAINEN HENKILÖTIETOJEN OIKAISUA TAI POISTOA TAI KÄSITTELYN RAJOITUSTA KOSKEVA ILMOITUSVELVOLLISUUS
Lokitiedot ovat osa viranomaisen tietojärjestelmän tietoturvajärjestelyjä.
Pyyntö tietojen poistamisesta toimitetaan Valtorin kirjaamoon ([email protected]).
Laadittu: 12.1.2023
1 Rekisterinpitäjä
Valtion tieto- ja viestintätekniikkakeskus Valtori
Vapaudenkatu 58, 40100 Jyväskylä
Puhelin 0295 50 4000 (vaihde)
Sähköposti [email protected]
Tietosuojavastaava
Aapo Immonen
Sähköposti [email protected]
Puhelin 0295 50 4000 (vaihde)
2 Henkilötietojen käsittelyn tarkoitus
Whistleblowing-ilmoituskanavan ylläpito perustuu Euroopan parlamentin ja neuvoston direktiiviin unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta (EU 2019/1937) sekä kansalliseen lainsäädäntöön, jolla ilmoittajansuojelua toteutetaan (ilmoittajansuojelulaki, 1171/2022).
Ilmoituksen voi tehdä henkilö, joka työnsä yhteydessä havaitsee tai epäilee yleisen edun vastaista toimintaa. Ilmoituksia voivat tehdä Valtorin nykyiset työntekijät, entiset työntekijät ja erilaiset sidosryhmät kuten, vuokratyöntekijät, konsultit, toimittajat ym.
Ilmoituskanavan tarkoituksena on varmistaa, että Valtorissa noudatetaan ilmoittajansuojelulain 2 §:ssä tarkoitettua Euroopan unionin ja kansallista lainsäädäntöä.
Ilmoituskanavaan tulevien ilmoitusten sisältämiä henkilötietoja sekä ilmoitusten tutkinnassa esille tulevia henkilötietoja käytetään mahdollisen väärinkäytösten selvittämiseksi ja ehkäisemiseksi.
Henkilötietojen käsittely perustuu Valtorin ilmoittajansuojelulain mukaiseen lakisääteiseen velvoitteeseen.
3 Rekisterin tietosisältö
Rekisterissä voidaan käsitellä ilmoituksen tekijän, ilmoituksen kohteen, ilmoitusten käsittelijöiden ja asian käsittelyn kannalta välttämättömien asiantuntijoiden henkilötietoja.
Ilmoituksen tekijä voi päättää, jättääkö ilmoituksen yhteystiedoillaan vai ilman. Anonyymisti jätetystä ilmoituksesta näkyy vastausaika. Järjestelmä luo salasanan, jonka avulla tekijä voi seurata ilmoituksen käsittelyä. Ilmoituksen käsittelijät näkevät tapausnumeron, jota ei voi yhdistää henkilöön, ellei henkilö itse jätä yhteystietojaan käsittelijöille. Lokitietoihin tallentuu tieto vastaajan selaimesta, sen versio ja IP-osoite.
Ilmoituskanavan haltijan, ilmoitusten käsittelijöiden ja asian käsittelyyn kutsuttavien asiantuntijoiden nimi, sähköposti ja muut käyttövaltuushallinnassa määritellyt tiedot ovat Whistleblowing-ilmoituksen käsittelyn aikana käsiteltäviä henkilötietoja.
4 Tietojen säännönmukaiset luovutukset ja henkilötietojen vastaanottajat
Rekisterin sisältämää henkilötietoa ei luovuteta ulkopuolisille, paitsi mikäli asia joudutaan siirtämään viranomaistutkintaan väärinkäytöksen tai lainsäädännön rikkomiseen liittyvän tutkinnan toimeenpanoa varten tai mikäli ilmoitukseen liittyy tietoa, jonka perusteella on aihetta epäillä rikoksen tapahtuneen. Tilanteissa, joissa ilmoituksen tekijän henkilöllisyys on ilmoitusta käsittelevän tiimin tiedossa, tietoa ilmoittajan henkilöllisyydestä ei pääsääntöisesti ilman ilmoittajan nimenomaista suostumusta ilmaista tiimin ulkopuolisille. Ilmoittajan henkilöllisyys voidaan kuitenkin ilmaista, mikäli tiedon ilmaiseminen on tarpeellista ilmoittajansuojelulaissa tarkoitetun ilmoituksen käsittelemiseksi ulkoisessa ilmoituskanavassa, poliisille tehtävää rikosilmoitusta varten, poliisin toteuttamaa esitutkintaa tai tuomioistuimen käsittelyä varten. Valtorin tulee tällaisessa tapauksessa kertoa ilmoituksen tekijälle etukäteen hänen henkilöllisyytensä ilmaisemisesta, ellei tällainen tieto vaaranna asiaan liittyvää esitutkintaa tai oikeudenkäyntiä.
Tiedot tallentuvat tietojen käsittelijänä toimivan Webropol Oy:n tietojärjestelmään, joka on valittu valtionhallinnon yhteiseksi ilmoituskanavan ratkaisuksi. Webropolin työntekijöillä ei ole pääsyä kanavassa oleviin ilmoituksiin ilman Valtorin nimenomaista suostumusta.
5 Henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle
Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle eikä kansainvälisille järjestöille.
6 Tietoryhmien säilytysajat
Ilmoituskanavan kautta tulevat tiedot poistetaan viiden vuoden kuluttua ilmoituksen saapumisesta, jollei niiden säilyttäminen ole välttämätöntä ilmoittajasuojelusta annetussa laissa tai muussa laissa säädettyjen oikeuksien tai velvoitteiden toteuttamista varten taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Henkilötiedot, joilla ei selvästi ole merkitystä ilmoituksen käsittelyn kannalta, poistetaan ilman aiheetonta viivytystä.
Ilmoittajalle pyritään antamaan vastaus toimenpiteistä kolmen kuukauden sisällä. Tämän jälkeen alkuperäinen ilmoitus ja yhteenvetoraportti viedään asianhallintajärjestelmään arkistonmuodostussuunnitelman ohjeaikoja noudattaen. Ilmoitusjärjestelmän käyttöä kuvaavissa koontiraporteissa ei käsitellä henkilötietoja.
Tietojen käsittelijä Webropol Oy:n palvelimelle tallentuvat lokitietoina ilmoituksen jättäjän selain, sen versio ja IP-osoite. Lokitiedot hävitetään pysyvästi kahden viikon kuluessa ilmoituksen jättämisestä.
7 Tekniset ja organisatoriset turvatoimet
Manuaalinen aineisto:
Jos rekisteriin saadaan manuaalista tietoaineistoa tai sitä tulostetaan, säilytetään sitä lukitussa tilassa. Tarpeeton manuaalinen aineisto hävitetään tietoturvallisesti noudattaen tietojen säilyttämisestä annettuja päätöksiä ja säännöksiä sekä asiakirjahallinnon ohjeita.
Digitaalisesti käsiteltävät aineistot:
Tiedot kerätään järjestelmiin ja tietokantoihin, jotka ovat palomuurein, salasanoin ja muin teknisin keinoin suojattuja. Tietoihin on pääsy vain valtuutetuilla henkilöillä, ja pääsynhallintaa toteutetaan vaatimustenmukaisin käytännöin. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa ja vartioiduissa tiloissa ja niihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Osa rekisterin henkilötiedoista on salassa pidettäviä.
Tietojen tallennuspaikkana toimivat palvelimet sijaitsevat Suomessa korkean turvallisuustason (PCIDSS, Cloud Security Alliance v3) palvelinkeskuksissa, ja käsittelijän tietoturvan hallintajärjestelmä on ISO 27001 -sertifioitu.
8 Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä
Tiedot kerätään ilmoituskanavaan tehdyistä ilmoituksista sekä ilmoituksen kohteen selvittelyn yhteydessä Valtorin sisäisistä tietolähteistä, kuten asiaan mahdollisesti liittyviltä henkilöiltä ja tarvittaessa IT-järjestelmien tietoja hyödyntäen.
9 Rekisteröidyn oikeudet
9.1 Artiklan 15:n mukainen rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröidyllä on lisäksi oikeus tehdä valitus valvontaviranomaiselle.
Rekisteröity voi tehdä tarkastuspyynnön rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1). Jos rekisteröidyn käyttämästä tarkastusoikeudesta on kulunut vähemmän kuin yksi vuosi, voi Rekisterinpitäjä periä tietojen antamisesta aiheutuvat hallinnollisiin kustannuksiin perustuvan maksun (artikla 12 [5]).
Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.
9.2 Artiklan 16:n mukainen oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Pyyntö osoitetaan rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.3 Artiklan 18:n mukainen oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:
- rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
Mikäli Rekisteröity kiistää henkilötietojen paikkansapitävyyden, rajoitetaan niiden käsittelyä ajaksi, jonka kuluessa Rekisterinpitäjä varmistaa niiden paikkansapitävyyden. Rekisteröity osoittaa pyynnön perusteluineen rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).
9.4 Artiklan 19:n mukainen henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16 ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää. Rekisteröidyn halutessa tiedon vastaanottajista tulee hänen tehdä pyyntö rekisterinpitäjän edustajalle (yhteystiedot kohdassa 1).