Ineon verkkopalveluiden tietosuojaseloste

Seloste on laadittu: 25.5.2018

Selostetta on viimeksi muokattu: 14.9.2022

1. Rekisterinpitäjä

Ineo Oy (Y-tunnus 1570683-1) (“Ineo”)

Osoite: Humalistonkatu 1
20100 Turku

2. Tietosuojavastuullinen ja henkilön oikeuksia koskevat pyynnöt

Sähköposti: privacy@ineo.fi

Postiosoite: Ineo Oy, Tietosuojavastuullinen, Humalistonkatu 1, 20100 Turku

Voit ottaa yhteyttä Ineon tietosuojavastuulliseen kaikissa henkilötietojen käsittelyyn liittyvissä kysymyksissä.

Henkilön on tehtävä myös oikeuksiensa toteuttamista koskevat pyynnöt Ineon tietosuojavastuulliselle.

Ineolla on oikeus pyytää henkilöä varmentamaan henkilöllisyytensä tai tarkentamaan pyyntöään ennen pyynnön toteuttamista.

Jos henkilön pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, Ineo voi voimassa olevan oikeuden nojalla joko a) periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset tai b) kieltäytyä suorittamasta pyydettyä toimea.

3. Selosteen tarkoitus

3.1. Tässä selosteessa kerrotaan, miten Ineo käsittelee verkkopalveluidensa rekisterissä olevia henkilötietoja.

3.2. Tässä selosteessa tarkoitetaan termillä ”henkilö” kaikkia niitä luonnollisia henkilöitä, joiden tietoja käsitellään osana kyseistä henkilörekisteriä.

3.3. Ineo ja sen asiakas ovat saattaneet solmia myös tietojenkäsittelysopimuksen koskien asiakkaan henkilötietojen käsittelyä Ineon palvelutuotannossa, jolloin Ineo on kyseisten henkilötietojen käsittelijä ja asiakas rekisterinpitäjä. Tällöin tietojenkäsittelysopimuksen ehdot ovat etusijalla tähän selosteeseen nähden ja henkilön on otettava yhteyttä työnantajaansa tai muuhun organisaatioonsa henkilötietojensa suhteen.

4. Rekisterin tietosisältö ja rekisteröityjen ryhmät

4.1.”Henkilötiedoilla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

4.2. Kaikki seuraavat tiedot eivät välttämättä muodosta todellisuudessa henkilötietoja. Jos esimerkiksi tieto yksilöi vain yrityksen, kuten Ineon asiakasyrityksen, tiedot eivät ole henkilötietoja.

4.3. Rekisteri sisältää seuraavia henkilötietoja Ineoon yhteyttä ottavista henkilöistä:
    a) henkilön vapaaehtoisesti antamat tiedot joita voivat olla:

  • etu- ja sukunimet;
  • osoite;
  • puhelinnumero;
  • sähköpostiosoite;
  • muut yhteystiedot;
  • työnantaja tai muu organisaatio;
  • tieto henkilön roolista organisaatiossa;
  • kiinnostuksen kohteet (henkilön ilmoittamat ja markkinointipreferenssit)

b) IP-osoite ja MAC-osoite ja verkkopalvelun käytöstä johtuvia lokitietoja Ineon evästepolitiikan mukaisesti ja lain mukaisin edellytyksin.

5. Henkilötietojen käsittelyn tarkoitus ja oikeusperusteet

5.1. Ineoon yhteyden ottavista henkilöistä henkilötietoja käsitellään seuraaviin tarkoituksiin:

  1. Asiakassuhteen hoitamiseen sekä mahdollisten reklamointien hallinnointiin ja hoitamiseen ja tiedusteluihin vastaamiseen. ”Ineon oikeutettujen etujen toteuttaminen” on oikeusperusta henkilötietojen käsittelylle tähän tarkoitukseen.
  2. Ineon tuotteiden ja palveluiden tarjoaminen, sopimusvelvoitteiden täyttäminen tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttaminen ja Ineon sopimusten mukaisten oikeuksien käyttö. ”Ineon oikeutettujen etujen toteuttaminen” on oikeudellinen perusta Henkilötietojen käsittelylle näihin tarkoituksiin.
  3. Tilastojen luominen Ineon tuotteiden ja palveluiden käytöstä ja Ineon tuotteiden, palveluiden ja liiketoiminnan kehittäminen. ”Ineon oikeutettujen etujen toteuttaminen” on oikeusperusta henkilötietojen käsittelylle tähän tarkoitukseen.
  4. Tietoturvan hoito. “Ineon lakisääteisen velvoitteen noudattaminen” on oikeusperusta henkilötietojen käsittelylle tähän tarkoitukseen.
  5. Petosten torjunta. ”Ineon oikeutettujen etujen toteuttaminen” on oikeusperusta henkilötietojen käsittelylle tähän tarkoitukseen.
  6. Ineon tuotteiden ja palveluiden suoramarkkinointi ja uutiskirjeiden ja tiedotteiden toimittaminen, lain sallimissa rajoissa. Kun suostumus vaaditaan näille toimille lainsäädännön mukaan, ”suostumus” on oikeudellinen perusta henkilötietojen käsittelylle tähän tarkoitukseen. Jos lainsäädännössä ei edellytetä suostumusta näille toimille, ”Ineon oikeutettujen etujen toteuttaminen” on oikeudellinen perusta henkilötietojen käsittelylle tähän tarkoitukseen.‍

5.2. Henkilötietojen käsittelyn oikeusperusteet ovat seuraavat:

  • Siltä osin kuin kohdassa 5.1 on sanottu, peruste käsittelylle on henkilön antama suostumus henkilötietojen käsittelyyn. Näissä tilanteissa, joissa käsittely perustuu henkilön suostumukseen, henkilöllä on oikeus peruuttaa suostumuksensa käsittelyyn. Suostumuksen peruuttaminen ei kuitenkaan vaikuta ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen.
  • Siltä osin kuin kohdassa 5.1 on sanottu, peruste käsittelylle on lakisääteisen velvoitteen noudattaminen.
  • “Käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa henkilö on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi henkilön pyynnöstä” on peruste käsittelylle siltä osin kuin kohdassa 5.1 on sanottu.
  • Siltä osin kuin kohdassa 5.1 on sanottu, peruste käsittelylle on ”Ineon oikeutettujen etujen toteuttaminen”. Oikeutettu etu on esimerkiksi asiakassuhde, yhteydenotto, rekrytointiprosessi tai muu käsittely, jota henkilö voi olettaa, eivätkä henkilötietojen suojaa edellyttävät henkilön edut tai perusoikeudet ja -vapaudet syrjäytä tällaisia oikeutettuja etuja.

6. Säännönmukaiset tietolähteet

a. Henkilöltä itseltään.
b. Evästeiden mahdollisesti keräämät henkilötiedot Ineon evästepolitiikan mukaisesti ja lain mukaisin edellytyksin.

7. Säännönmukaiset tietojen luovutus

Henkilötietoja ei luovuteta.

8. Tietojen siirtäminen ETA:n ulkopuolelle

Ineo ei siirrä henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle.

9. Henkilötietojen säilytysaika

9.1. Henkilötietoja käsitellään sen aikaa, kun se on tarpeen käsittelytarvetta varten ja sen jälkeen, kunnes henkilötietoon tai sen käsittelyyn liittyen ei enää voida esittää lainsäädännön vuoksi vaatimuksia.

9.2.Rekrytointimenettelyssä kerättyjä henkilötietoja käsitellään sen aikaa, kun rekrytointimenettelyyn liittyviä vaateita voidaan esittää.

10. Oikeus saada pääsy itseä koskeviin henkilötietoihin

10.1. Henkilöllä on oikeus saada Ineolta vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä.

10.2. Jos henkilön henkilötietoja käsitellään Ineon toimesta, Ineo luovuttaa pyynnöstä henkilölle jäljennöksen käsiteltävistä henkilötiedoista sekä seuraavat tiedot:

  1. käsittelyn tarkoitukset;
  2. kyseessä olevat henkilötietoryhmät;
  3. vastaanottajat tai vastaanottajaryhmät, erityisesti ETA:n ulkopuolella olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa;
  4. mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;
  5. henkilön oikeus pyytää Ineolta häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;
  6. oikeus tehdä valitus valvontaviranomaiselle;
  7. tietojen alkuperästä käytettävissä olevat tiedot;
  8. automaattisen päätöksenteon, muun muassa profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset henkilölle;
  9. ilmoitus siirtoa koskevista asianmukaisista suojatoimista, jos henkilötietoja siirretään ETA:n ulkopuolelle tai kansainväliselle järjestölle.

10.3. Jos henkilö pyytää useampia jäljennöksiä tiedoistaan, Ineo voi periä niistä kohtuullisen lainmukaisen maksun.

11. Oikeus pyytää tietojen oikaisemista

Henkilöllä on oikeus vaatia, että Ineo oikaisee ilman aiheetonta viivytystä henkilöä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tarkoitukset joihin tietoja käsiteltiin, henkilöllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

12. Oikeus pyytää tietojen poistamista

12.1. Ineo poistaa henkilön pyynnöstä häntä koskevat henkilötiedot, mikäli jokin seuraavista edellytyksistä täyttyy:

  1. henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
  2. henkilö peruuttaa suostumuksen, johon käsittely on perustunut eikä käsittelyyn ole muuta laillista perustetta;
  3. henkilö vastustaa käsittelyä eikä käsittelyyn ole olemassa perusteltua syytä;
  4. henkilötietoja on käsitelty lainvastaisesti;
  5. henkilötiedot on poistettava lainsäädäntöön perustuvan Ineoon sovellettavan lakisääteisen velvoitteen noudattamiseksi;
  6. henkilötiedot on kerätty tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

12.2. Ineolla ei kuitenkaan ole velvollisuutta poistaa henkilötietoja, mikäli henkilötietojen käsittely on tarpeen:

  1. sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi;
  2. lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista varten;
  3. kansanterveyteen liittyvää yleistä etua koskevista syistä;
  4. yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten; tai
  5. oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

13. Oikeus pyytää käsittelyn rajoittamista

13.1. ”Käsittelyn rajoittamisella” tarkoitetaan henkilötietojen merkitsemistä siten, että niitä käsitellään vain rajoitetusti.

13.2. Ineo rajoittaa henkilötietojen käsittelyä henkilön pyynnöstä seuraavissa tilanteissa:

  1. henkilö kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa Ineo voi varmistaa niiden paikkansapitävyyden;
  2. käsittely on lainvastaista ja henkilö vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
  3. Ineo ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta henkilö tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai
  4. henkilö on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö Ineon oikeutetut perusteet henkilön perusteet.

13.3. Yllä mainituissa tilanteissa Ineo käsittelee henkilötietoja vain seuraavissa tilanteissa:

  1. henkilön suostumuksella;
  2. oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;
  3. toisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi; tai
  4. EU:n tai EU:n jäsenvaltion tärkeää yleistä etua koskevasta syystä.

14. Oikeus vastustaa käsittelyä

Henkilöllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella vastustaa häntä koskevien henkilötietojen käsittelyä, jos käsittely perustuu johonkin seuraavista: (i) käsittely on tarpeen yleistä etua koskevan tehtävän tai Ineolle kuuluvan julkisen vallan käyttämiseksi tai (ii) käsittely on tarpeen Ineon tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Tällaisessa tilanteessa henkilön vastustamisen tilanteessa Ineo ei saa enää käsitellä henkilötietoja, paitsi jos Ineo voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää henkilön edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

15. Oikeus siirtää tiedot järjestelmästä toiseen

Jos henkilötietojen käsittely perustuu henkilön suostumukseen tai henkilön kanssa tehtyyn sopimukseen ja käsittely suoritetaan automaattisesti, henkilöllä on pyynnöstä oikeus:

  1. saada ne häntä koskevat henkilötiedot, jotka hän on toimittanut Ineolle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa; ja
  2. siirtää sellaiset henkilötiedot toiselle rekisterinpitäjälle, jos se on teknisesti mahdollista.

16. Henkilötietojen suojaaminen ja tietoturva

16.1. Ineo on rajannut henkilötietojen käsittelypiiriä niihin henkilöihin, joiden työtehtäviin kyseisten henkilötietojen käsittely kuuluu. Järjestelmiin on pääsy vain henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla.

16.2. Henkilötietoja sisältävät järjestelmät ja tietokannat sijaitsevat palvelimilla, joita Ineo säilyttää lukituissa tiloissa, ja joihin on pääsy ainoastaan työtehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.

16.3. Palvelimet ja tietoverkot on suojattu palomuurilla ja muilla teknisillä suojauksilla. Palvelintilat on suojattu kulunvalvontajärjestelmillä.

17. Oikeus tehdä valitus valvontaviranomaiselle

17.1. Jos henkilö katsoo, että Ineo käsittelee henkilötietoja tietosuojasääntelyn vastaisesti, henkilö voi kannella asiasta valvontaviranomaiselle.

17.2. Suomessa Tietosuojavaltuutetun yhteystiedot ovat: https://tietosuoja.fi/etusivu

18. Automaattisen päätöksenteon käyttö käsittelyssä

Ineo ei käsittele henkilötietoja EU:n tietosuoja-asetuksen tarkoittaman automaattisen päätöksenteon tai siihen kuuluvan profiloinnin avulla.