Tietosuojalauseke

Kattavuus
Tässä tietosuojaselosteessa kerrotaan Odealin tietoturvaa ja tietosuojaa koskevista käytännöistä, prosesseista ja teknologiasta jolla Odeal suojelee asiakkaittensa tietoja. Tämä tietosuojaseloste koskee Odealin verkkosivuja (www.odeal.fi ja www.laskuta.com), asiakkaille suunnattuja digitaalisia palveluita ja palveluiden tuotantojärjestelmiä.

Rajoitukset
Tämä tietosuojaseloste ei koske kolmansien osapuolien sivustoja, sovelluksia tai palveluita, jotka saattavat olla käytettävissä Odealin palveluissa tarjottavien partnereiden lisäpalveluiden kautta. Avaamalla partnerin sivuston asiakas poistuu Odealin palvelusta, jolloin kolmas osapuoli voi kerätä ja jakaa asiakkaasta keräämiään tietoja. Odeal suosittelee asiakkaillemme aina tutustumista kolmannen osapuolen palvelun tietosuojakäytäntöihin, ennen kuin asiakas sallii omien henkilökohtaisten tietojen keräämisen ja käytön kyseisissä palveluissa.

Tietosuojan periaatteet
Odealin tietosuojaperiaatteita ovat tietojen käsittelyn laillisuusperusteen ja käyttötarkoituksen ilmoittaminen, kerättävän ja käsiteltävän tietojen ilmoittaminen, tietojen tekninen, hallinnollinen ja fyysinen suojaaminen, lainmukainen tietojen tarkastus ja muutospyyntömahdollisuus.

Henkilötietorekisterit ja niiden rekisteriselosteet
Markkinointirekisteri
Rekrytointirekisteri
Käyttäjärekisteri

Rekistereiden tietojen tekninen suojaaminen
Sähköisesti käsiteltävät rekisterin sisältämät tiedot suojataan teknisesti palomuureilla, salasanoilla, tarjoamalla Odealin asiakkaille tunnistautumista asiakastietojärjestelmiin sekä muilla tietoturvan toimialalla yleisesti hyväksyttävin teknisillä keinoilla. Tiedonsiirto asiakkaan ja Odealin välillä on salattu SSL (Secure Socket Layer) teknologialla Odealin palveluissa. Tiedot varmuuskopioidaan säännöllisesti ja varmuuskopioita säilytetään eri sijainnissa kuin missä primääridata sijaitsee. Odeal toteuttaa sisäisiä ja kolmannen osapuolen suorittamia arviointeja, jotka kattavat sekä kriittisten tietojärjestelmien teknisen turvallisuuden että hallinnollista tietoturvaa ja tietosuojaa koskevia prosesseja ja ohjeistuksia

Rekistereiden hallinnollinen suojaaminen
Ainoastaan yksilöidyillä Odealin työntekijöillä ja Odealin toimeksiannosta ja lukuun toimivien yritysten työntekijöillä on pääsy rekisterin sisältämiin tietoihin erikseen myönnettyjen käyttöoikeuksien perusteella. Käyttäjien käyttöoikeuksia valvotaan säännöllisesti ja vaarallisten käyttöoikeusyhdistelmien luominen on kielletty käyttöoikeuksien hallintapolitiikassa. Erityisesti eri järjestelmien pääkäyttäjien käyttöoikeudet tarkistetaan säännöllisesti ja poistetaan kun käyttäjä ei niitä enää tarvitse. Odealilta poistuneiden työntekijöiden käyttöoikeudet poistetaan työsuhteen päättyessä kaikista järjestelmistä. Asiakkaan tietoja käsittelee vain se Odealin työntekijä, joka on osoitettu tekemään kyseinen työ. Asiakastiedon käsittely muilla perusteilla on kielletty, vaikka työntekijällä olisi tekninen pääsy asiakastietoon hänen työtehtävänsä ja liiketoiminnallisten syiden perusteella. Koko Odealin henkilöstöllä, ja sen lukuun toimivilla ulkopuolisilla henkilöillä, on vaitiolovelvollisuus liittyen kaikkeen Odealin asiakas- ja henkilötietoon. Vaitiolovelvollisuus on kirjattuna Odealin henkilöstön työsopimuksiin, mukaan lukien sanktiot. Vaitiolovelvollisuus on kirjattuna kolmansien osapuolien kanssa tehtyihin sopimuksiin, mukaan lukien sanktiot. Odealin asiakkaiden tietoja käsittelevät työntekijät koulutetaan säännöllisillä koulutuksilla joissa työn tekemisen laillisuusperusteet ovat olennainen osa koulutusta. Odealin henkilökunnan tietoturva- ja tietosuojatietoisuutta pidetään säännöllisesti yllä eri tavoin: Järjestämällä sekä säännöllisiä tietoturvaa ja tietosuojaa koskevia koko yrityksen henkilöstölle tiedoksi annettavia tietoiskuja, että järjestämällä vuosittain työntekijöille pakollinen tietoturvaa ja tietosuojaa koskeva koulutus, jonka läpäisemiseksi työntekijän tulee hyväksytysti läpäistä aihealuetta koskeva testi. Odealilla on tietoturvapolitiikka jonka jokainen uusi työntekijä käy läpi aloittaessaan työnsä Odealilla. Tietoturvapolitiikan olemassa olosta ja sijainnista tiedotetaan säännöllisissä tietoturvakoulutuksissa sekä muistutetaan työntekijöitä kyseisen politiikan sitovuudesta. Tietoturvapolitiikka kuvaa yleiset työntekijää velvoittavat tietoturvaa ja tietosuojaa koskevat säännöt, olivatpa ne teknisiä sääntöjä, tietoturvaprosesseja tai jokapäiväiseen työntekoon soveltuvia käytäntöjä ja ohjeita.

Rekistereiden fyysinen suojaaminen
Asiakkaiden tietoja käsitellään tietojärjestelmissä jotka sijaitsevat konesalissa Suomessa tai Euroopan Unionin alueella sijaitsevissa pilvipalveluissa. Suomessa sijaitsevissa konesaleissa tärkeimmät tuotantojärjestelmät on kahdennettu kahteen fyysisesti toisistaan erotettuihin konesaleihin turvallisuuden, tiedon säilymisen ja palvelun jatkuvuuden takaamiseksi normaali ja poikkeustilanteissa. Näissä konesaleissa ovat käytössä palveluntuottajan toimesta sertifioidut turvallisuuskäytännöt, pääsynhallinta ja valvonta. Manuaalisesti ylläpidettävät aineistot sijaitsevat toimitiloissa, joihin asiattomilta pääsy on estetty kulunvalvonnalla ja tärkeimmissä toimitiloissa on käytössä videovalvonta mahdollisen fyysisen turvallisuuden rikkoutumisen selvittämiseksi ja todentamiseksi.

Evästeiden käyttö
Odealin verkkosivuston vierailijoista voidaan kerätä tietoa ja sivustolla voidaan käyttää evästeitä. Evästeet ovat pieniä tekstitiedostoja, jotka tallentuvat sivuston vierailijan päätelaitteelle. Odeal käyttää evästeitä parantaaksemme sivustomme käyttökokemusta, arvioidaksemme käytettyä sisältöä ja tukeaksemme markkinointia. Evästeiden avulla kerätty tieto on anonyymia, eikä niiden avulla voi saada tietoa yksittäisestä tunnistettavasta henkilöstä. Evästeiden avulla voidaan kerätä esimerkiksi seuraavia tietoja:
Käyttäjän IP-osoite
Vierailun kellonaika
Vieraillut sivut ja vierailun kesto
Käytetty selaintyyppi tai päätelaitteen käyttöjärjestelmä
Mistä käyttäjä on tullut sivustolle ja mihin käyttäjä siirtyy sivuston käyttämisen jälkeen

Evästeiden avulla kerättyä tietoa voidaan käyttää esimerkiksi kohdennettuun mainontaan Googlen kumppanuusverkostossa. Käyttämällä Odealin internetsivuja, käyttäjä hyväksyy evästeiden käytön ja tallentamisen tietokoneelleen. Useimmat selainohjelmat hyväksyvät evästeet automaattisesti. Kävijällä on mahdollisuus estää evästeiden käyttö muuttamalla selaimen asetuksia siten, että selain ei salli evästeiden tallentamista. Siinä tapauksessa käyttäjä hyväksyy, että joidenkin palveluiden osalta evästeiden käytön estäminen saattaa kuitenkin vaikuttaa palvelun toiminnallisuuteen.

Rekisteröityjen oikeudet
Rekisteröidyllä on Euroopan Unionin tietosuoja-asetuksen 15-22 § mukaisesti oikeus:
1. tarkastaa henkilötiedot
2. tietojen oikaisemiseen
3. tietojen poistamiseen
4. käsittelyn rajoittamiseen
5. siirtää tiedot järjestelmästä toiseen häntä koskeviin tietoihin, joita hänestä on tallennettu Odealin tietojärjestelmiin.

Joidenkin rekisteröidyn oikeuksien toteuttamista rajoittaa jokin toinen pakottava lainsäädäntö, jonka perusteella Odealilla on oikeus ja velvollisuus kieltäytyä perustellusti tietojen oikaisemisesta, poistamisesta, käsittelyn rajoittamisesta tai siirtämisestä järjestelmästä toiseen. Esimerkkinä tällaisesta lainsäädännöstä on esimerkiksi kirjanpitolaki, joka määrää palkanlaskentaan liittyvien tositteiden säilyttämisestä, riippumatta rekisteröidyn tietosuoja-asetuksessa määräämistä oikeuksista. Niissä tilanteissa joissa rekisteröity haluaa tarkastaa tai muuttaa tietojaan Odealin asiakkaan omistuksessa olevaan rekisteriin kuuluvista tiedoista, tulee rekisteröidyn tehdä tietojen tarkastus- tai muutospyyntö rekisterinpitäjälle ja rekisterinpitäjä huolehtii tietojen tarkastus- tai muutospyynnön toimeenpanon yhdessä henkilötietojen käsittelijän Odealin kanssa. Rekisterinpitäjän tulee tällöin osoittaa kirjallinen tarkastuspyyntö alla mainittuun sähköpostiosoitteeseen. Tarkastus- ja muutospyynnössä tulee yksilöidä henkilötieto, jota halutaan tarkastaa ja antaa rekisterin nimi mitä pyyntö koskee. Pyyntö tulee lähettää sähköpostitse osoitteeseen: info@odeal.fi. Rekisteröity voi käyttää henkilötietolain määräämää henkilötietoihin kohdistuvaa oikeuttaan maksuttomasti vain kerran vuodessa.

Tietosuojaloukkauksista ilmoittaminen
Ilmoitus rekisteröidylle tehdään rekisterinpitäjän toimesta, jos tietosuojaloukkauksesta aiheutuu todennäköisesti korkea riski tämän oikeuksille ja vapauksille. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla. Niissä tapauksissa, joissa tietosuojaloukkaus kohdistuu Odealin asiakkaan omistaman henkilötietorekisterin piirissä olevaan henkilötietoon, on Odealin asiakas vastuussa rekisteröityjen informoinnista. Ilmoitus rekisterinpitäjälle tehdään ilman aiheetonta viivytystä tietosuojaloukkauksen ilmitulosta. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla. Ilmoitus tietoturvaviranomaiselle tehdään laissa määritellyn 72 h kuluessa ilmitulosta, mikäli tietosuojaloukkauksesta todennäköisesti aiheutuu luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.

Tietosuojaselosteen muuttaminen
Odeal kehittää liiketoimintaansa jatkuvasti ja pidättää oikeuden muuttaa tätä tietosuojaselostetta ilmoittamalla siitä sähköisissä palveluissaan ja muun asiakaskommunikaation yhteydessä. Muutokset voivat perustua lainsäädännössä tapahtuviin muutoksiin ja niistä seuraavien vaatimusten toteuttamiseen.